Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen12.28892
Добавлен в вирусную базу Dr.Web:
2021-03-07
Описание добавлено:
2021-03-09
Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
<SYSTEM32>\tasks\npcapwatchdog
Устанавливает следующие настройки сервисов
[<HKLM>\System\CurrentControlSet\Services\npcap] 'ImagePath' = 'system32\DRIVERS\npcap.sys'
[<HKLM>\SYSTEM\CurrentControlSet\Services\npcap] 'Start' = '00000001'
[<HKLM>\System\CurrentControlSet\Services\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca] 'ImagePath' = '"%ProgramFiles%\Rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a...
Создает следующие сервисы
'npcap' system32\DRIVERS\npcap.sys
'rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca' "%ProgramFiles%\Rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe"
'rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca' %ProgramFiles%\Rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe
Вредоносные функции
Запускает на исполнение
'<SYSTEM32>\taskkill.exe' /F /IM rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe
'<SYSTEM32>\taskkill.exe' /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /FI "STATUS eq running" /FI "ImageName eq Chrome.exe"
Изменения в файловой системе
Создает следующие файлы
%TEMP%\npcap-oem-254270529.exe
<SYSTEM32>\npcaphelper.exe
<SYSTEM32>\wlanhelper.exe
<SYSTEM32>\npcap\wpcap.dll
<SYSTEM32>\npcap\packet.dll
<SYSTEM32>\npcap\npcaphelper.exe
<SYSTEM32>\npcap\wlanhelper.exe
%TEMP%\nshe561.tmp\insecure-ev.cer
%TEMP%\nshe561.tmp\insecure-ev-sha1.cer
%WINDIR%\inf\oem0.pnf
<SYSTEM32>\wpcap.dll
<SYSTEM32>\packet.dll
%WINDIR%\inf\oem1.pnf
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set916.tmp
<SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem2.cat
%WINDIR%\inf\oem2.pnf
<DRIVERS>\set647c.tmp
%TEMP%\nshe561.tmp\simplesc.dll
%WINDIR%\temp\udd698b.tmp
%ProgramFiles%\npcap\checkstatus.bat
%LOCALAPPDATA%\.rumble\3e97e286-33f5-4156-a8c8-29b2a29320ca.agentid
nul
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set6d3.tmp
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set7ce.tmp
%WINDIR%\syswow64\npcap\wlanhelper.exe
%WINDIR%\syswow64\npcap\npcaphelper.exe
%WINDIR%\syswow64\npcap\packet.dll
%TEMP%\nshe561.tmp\options.ini
%TEMP%\nshe561.tmp\final.ini
%TEMP%\nshe561.tmp\system.dll
%ProgramFiles%\npcap\install.log
%TEMP%\nshe561.tmp\npfinstall.exe
%TEMP%\nshe561.tmp\nsexec.dll
%ProgramFiles%\npcap\npfinstall.log
%ProgramFiles%\npcap\license
%ProgramFiles%\npcap\diagreport.bat
%ProgramFiles%\npcap\diagreport.ps1
%TEMP%\nsre550.tmp
%ProgramFiles%\npcap\fixinstall.bat
%ProgramFiles%\npcap\npfinstall.exe
%ProgramFiles%\npcap\npcap.sys
%ProgramFiles%\npcap\npcap.cat
%ProgramFiles%\npcap\npcap.inf
%ProgramFiles%\npcap\npcap_wfp.inf
%WINDIR%\syswow64\wpcap.dll
%WINDIR%\syswow64\packet.dll
%WINDIR%\syswow64\npcaphelper.exe
%WINDIR%\syswow64\wlanhelper.exe
%WINDIR%\syswow64\npcap\wpcap.dll
%ProgramFiles%\npcap\uninstall.exe
%ProgramFiles%\rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe
%ProgramFiles%\rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca.log
Присваивает атрибут 'скрытый' для следующих файлов
<SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem2.cat
Удаляет следующие файлы
%TEMP%\nshe561.tmp\insecure-ev.cer
%TEMP%\nshe561.tmp\insecure-ev-sha1.cer
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.cat
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.inf
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.sys
%WINDIR%\temp\udd698b.tmp
%TEMP%\nshe561.tmp\final.ini
%TEMP%\nshe561.tmp\npfinstall.exe
%TEMP%\nshe561.tmp\nsexec.dll
%TEMP%\nshe561.tmp\options.ini
%TEMP%\nshe561.tmp\simplesc.dll
%TEMP%\nshe561.tmp\system.dll
%TEMP%\npcap-oem-254270529.exe
%ProgramFiles%\rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe
Перемещает следующие файлы
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set6d3.tmp в %TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.cat
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set7ce.tmp в %TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.inf
%TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\set916.tmp в %TEMP%\{6fe85b5a-15d8-4fd1-97e3-f35d64fff17a}\npcap.sys
<DRIVERS>\set647c.tmp в <DRIVERS>\npcap.sys
Изменяет следующие файлы
Сетевая активность
Подключается к
TCP
UDP
DNS ASK co####e.rumble.run
Другое
Ищет следующие окна
ClassName: '' WindowName: ''
Создает и запускает на исполнение
'%TEMP%\npcap-oem-254270529.exe' "/S /npf_startup=yes /loopback_support=yes /dlt_null=no /admin_only=yes /dot11_support=yes /vlan_support=yes /winpcap_mode=no"
'%TEMP%\nshe561.tmp\npfinstall.exe' -n -check_dll
'%ProgramFiles%\npcap\npfinstall.exe' -n -c
'%ProgramFiles%\npcap\npfinstall.exe' -n -iw
'%ProgramFiles%\npcap\npfinstall.exe' -n -i
'%ProgramFiles%\rumble\rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe'
'%TEMP%\npcap-oem-254270529.exe' "/S /npf_startup=yes /loopback_support=yes /dlt_null=no /admin_only=yes /dot11_support=yes /vlan_support=yes /winpcap_mode=no"' (со скрытым окном)
'%TEMP%\nshe561.tmp\npfinstall.exe' -n -check_dll' (со скрытым окном)
'%WINDIR%\syswow64\certutil.exe' -addstore -f "TrustedPublisher" "%TEMP%\nshE561.tmp\Insecure-EV.cer"' (со скрытым окном)
'%WINDIR%\syswow64\certutil.exe' -addstore -f "TrustedPublisher" "%TEMP%\nshE561.tmp\Insecure-EV-sha1.cer"' (со скрытым окном)
'%ProgramFiles%\npcap\npfinstall.exe' -n -c' (со скрытым окном)
'<SYSTEM32>\pnputil.exe' -e' (со скрытым окном)
'%ProgramFiles%\npcap\npfinstall.exe' -n -iw' (со скрытым окном)
'%ProgramFiles%\npcap\npfinstall.exe' -n -i' (со скрытым окном)
'%WINDIR%\syswow64\schtasks.exe' /Create /F /RU SYSTEM /SC ONSTART /TN npcapwatchdog /TR "'%ProgramFiles%\Npcap\CheckStatus.bat'" /NP' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\certutil.exe' -addstore -f "TrustedPublisher" "%TEMP%\nshE561.tmp\Insecure-EV.cer"
'%WINDIR%\syswow64\certutil.exe' -addstore -f "TrustedPublisher" "%TEMP%\nshE561.tmp\Insecure-EV-sha1.cer"
'<SYSTEM32>\pnputil.exe' -e
'%WINDIR%\syswow64\schtasks.exe' /Create /F /RU SYSTEM /SC ONSTART /TN npcapwatchdog /TR "'%ProgramFiles%\Npcap\CheckStatus.bat'" /NP
'<SYSTEM32>\cmd.exe' /c "taskkill /F /IM rumble-agent-3e97e286-33f5-4156-a8c8-29b2a29320ca-c0657b37c88a4a4c-1.16.6.exe 2>NUL"
'<SYSTEM32>\cmd.exe' /c taskkill /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /FI "STATUS eq running" /FI "ImageName eq Chrome.exe"
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK