Trojan.Siggen11.49347

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKLM>\SYSTEM\CurrentControlSet\Control\Print\Monitors\RunDllExe] 'Driver' = '%WINDIR%\Logs\RunDllExe.dll'

Устанавливает следующие настройки сервисов

[<HKLM>\System\CurrentControlSet\Services\Spooler] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\GraphicsPerf_Svcs] 'ImagePath' = '<SYSTEM32>\svchost.exe -k GraphicsPerf_SvcsGroup'
[<HKLM>\SYSTEM\CurrentControlSet\Services\GraphicsPerf_Svcs\Parameters\] 'ServiceDll' = '%WINDIR%\Help\active_desktop_render.dll'
[<HKLM>\System\CurrentControlSet\Services\ShellHWDetection] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\PolicyAgent] 'Start' = '00000002'

Создает следующие сервисы

'GraphicsPerf_Svcs' <SYSTEM32>\svchost.exe -k GraphicsPerf_SvcsGroup

Вредоносные функции

Внедряет код в

следующие системные процессы:

%WINDIR%\syswow64\svchost.exe

Изменения в файловой системе

Создает следующие файлы

%WINDIR%\logs\rundllexe.exe
%WINDIR%\logs\rundllexe
%WINDIR%\logs\rundllexe.dll
%WINDIR%\mpmgsvc.dll
%WINDIR%\logs\vers.txt
%WINDIR%\logs\rundllexe_new.dll
%WINDIR%\logs\rundllexe_new
<Текущая директория>\x64.exe
%WINDIR%\help\active_desktop_render.dll
%WINDIR%\cursors\wudfhosts.exe
%WINDIR%\help\active_desktop_render_new.dll
%WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\update[1].txt

Удаляет следующие файлы

%WINDIR%\logs\rundllexe_new.dll
%WINDIR%\logs\rundllexe_new
<Текущая директория>\x64.exe
%WINDIR%\help\active_desktop_render_new.dll
%WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\update[1].txt

Подменяет следующие файлы

%WINDIR%\logs\rundllexe_new.dll
%WINDIR%\logs\rundllexe_new
%WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\update[1].txt

Сетевая активность

TCP

Запросы HTTP GET

http://12#.#60.126.238/11.exe
http://www.36##om.com/Update.txt

'po##.#sa-138.com':80

UDP

DNS ASK do##.362com.com
DNS ASK ss#.#i7i.com
DNS ASK 36##om.com
DNS ASK po##.#sa-138.com

Другое

Создает и запускает на исполнение

'%WINDIR%\logs\rundllexe.exe'
'<Текущая директория>\x64.exe'
'%WINDIR%\cursors\wudfhosts.exe' -o stratum+tcp://pool.usa-138.com:80 -u 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S -p x
'%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\x64.exe"' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static set policy name=Block assign=y' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add rule name=Rule1 policy=Block filterlist=Filter1 filteraction=FilteraAtion1' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filteraction name=FilteraAtion1 action=block' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filterlist name=Filter1' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add policy name=Block' (со скрытым окном)
'<Текущая директория>\x64.exe' ' (со скрытым окном)
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\Fonts\*.exe /e /d system' (со скрытым окном)
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP' (со скрытым окном)
'%WINDIR%\cursors\wudfhosts.exe' -o stratum+tcp://pool.usa-138.com:80 -u 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S -p x' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\svchost.exe'
'%WINDIR%\syswow64\cacls.exe' %WINDIR%\Fonts\*.exe /e /d system
'%WINDIR%\syswow64\netsh.exe' ipsec static add policy name=Block
'%WINDIR%\syswow64\netsh.exe' ipsec static add filterlist name=Filter1
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
'%WINDIR%\syswow64\netsh.exe' ipsec static add filteraction name=FilteraAtion1 action=block
'%WINDIR%\syswow64\netsh.exe' ipsec static add rule name=Rule1 policy=Block filterlist=Filter1 filteraction=FilteraAtion1
'%WINDIR%\syswow64\netsh.exe' ipsec static set policy name=Block assign=y
'%WINDIR%\syswow64\svchost.exe' -k GraphicsPerf_SvcsGroup
'%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\x64.exe"