Trojan.Siggen10.37112

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

Вредоносные функции

Ищет следующие окна с целью

обнаружения утилит для анализа:

ClassName: 'OLLYDBG', WindowName: ''
ClassName: 'GBDYLLO', WindowName: ''
ClassName: 'pediy06', WindowName: ''
ClassName: 'FilemonClass', WindowName: ''
ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'RegmonClass', WindowName: ''
ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'

Изменения в файловой системе

Создает следующие файлы

%TEMP%\nsg6e3d.tmp
%APPDATA%\microsoft\windows\cookies\low\index.dat
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\a74au3it\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\88e5wbnf\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\d539m3gc\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\jxkzh5y4\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\index.dat
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\index.dat
%LOCALAPPDATA%\microsoft\windows\history\low\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
%TEMP%\signtool.exe
%APPDATA%\realtek sound blaster\realteksb.exe
%APPDATA%\software\6.exe
%APPDATA%\software\olive_89.exe
%APPDATA%\jerseys\federal_55.exe
%TEMP%\nsg6e3e.tmp\system.dll
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
%ALLUSERSPROFILE%\systemnetwork\ncoremanager.exe

Присваивает атрибут 'скрытый' для следующих файлов

%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\jxkzh5y4\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\d539m3gc\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\88e5wbnf\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\a74au3it\desktop.ini
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini

Удаляет следующие файлы

Сетевая активность

TCP

Запросы HTTP GET

UDP

Другое

Ищет следующие окна

Создает и запускает на исполнение

'%APPDATA%\jerseys\federal_55.exe'
'%APPDATA%\software\olive_89.exe'
'%APPDATA%\software\6.exe'
'%TEMP%\signtool.exe' verify /v /ph /sha1 648384a4dee53d4c1c87e10d67cc99307ccc9c98 "%APPDATA%\Software\6.exe"
'%APPDATA%\realtek sound blaster\realteksb.exe'
'%ALLUSERSPROFILE%\systemnetwork\ncoremanager.exe'
'<SYSTEM32>\cmd.exe' /c copy <SYSTEM32>\Tasks\KMSAuto "%TEMP%\KMSAuto.tmp" /Y' (со скрытым окном)
'%TEMP%\signtool.exe' verify /v /ph /sha1 648384a4dee53d4c1c87e10d67cc99307ccc9c98 "%APPDATA%\Software\6.exe"' (со скрытым окном)
'%WINDIR%\syswow64\wbem\wmic.exe' path Win32_NetworkAdapter get ServiceName /value /FORMAT:List' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /k ping -n 5 localhost < nul & del /F /Q "%APPDATA%\Software\Olive_89.exe"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c WMIC OS get osarchitecture >%ALLUSERSPROFILE%\SystemNetwork\arch.txt' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c copy <SYSTEM32>\Tasks\KMSAuto "%TEMP%\KMSAuto.tmp" /Y
'%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\WININET.dll",DispatchAPICall 1
'%WINDIR%\syswow64\wbem\wmic.exe' path Win32_NetworkAdapter get ServiceName /value /FORMAT:List
'%WINDIR%\syswow64\cmd.exe' /k ping -n 5 localhost < nul & del /F /Q "%APPDATA%\Software\Olive_89.exe"
'%WINDIR%\syswow64\ping.exe' -n 5 localhost
'%WINDIR%\syswow64\cmd.exe' /c WMIC OS get osarchitecture >%ALLUSERSPROFILE%\SystemNetwork\arch.txt
'%WINDIR%\syswow64\wbem\wmic.exe' OS get osarchitecture