Trojan.Siggen13.377

Техническая информация

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

<SYSTEM32>\tasks\nvngxupdatecheckdaily_{aefe271c-271c-271c-271c-aefe271c271c}

Изменения в файловой системе

Создает следующие файлы

%TEMP%\5c1b.tmp
%APPDATA%\rwgwrsw
%APPDATA%\uffrihh

Присваивает атрибут 'скрытый' для следующих файлов

%APPDATA%\rwgwrsw
%APPDATA%\uffrihh

Самоудаляется.

Сетевая активность

Подключается к

'ol##us.casa':443

TCP

'ol##us.casa':443

UDP

DNS ASK ol##us.casa
DNS ASK microsoft.com

Другое

Ищет следующие окна

ClassName: '' WindowName: ''

Запускает на исполнение

'<SYSTEM32>\cmd.exe'
'<SYSTEM32>\net.exe' share
'<SYSTEM32>\net1.exe' share
'<SYSTEM32>\net.exe' user
'<SYSTEM32>\net1.exe' user
'<SYSTEM32>\net.exe' user /domain
'<SYSTEM32>\net1.exe' user /domain
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Process Get Caption,CommandLine,ExecutablePath,ProcessId /format:csv
'<SYSTEM32>\net.exe' use
'<SYSTEM32>\net1.exe' group
'<SYSTEM32>\net.exe' localgroup
'<SYSTEM32>\net1.exe' localgroup
'<SYSTEM32>\netstat.exe' -r
'<SYSTEM32>\cmd.exe' /c "<SYSTEM32>\route.exe" print
'<SYSTEM32>\netstat.exe' -nao
'<SYSTEM32>\net.exe' accounts /domain
'<SYSTEM32>\net1.exe' accounts /domain
'<SYSTEM32>\tasklist.exe' /v
'<SYSTEM32>\systeminfo.exe'
'<SYSTEM32>\netsh.exe' firewall show state
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path FirewallProduct Get displayName /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiSpywareProduct Get displayName /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Processor Get Name,DeviceID,NumberOfCores /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Product Get Name,Version /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_NetworkAdapter Where PhysicalAdapter=TRUE Get Name,MACAddress,ProductName,ServiceName,NetConnectionID /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_StartupCommand Get Name,Location,Command /format:csv
'<SYSTEM32>\schtasks.exe' /query
'<SYSTEM32>\net.exe' group
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_OperatingSystem Get Caption,CSDVersion,BuildNumber,Version,BuildType,CountryCode,CurrentTimeZone,InstallDate,LastBootUpTime,Locale,OSArchitecture,OSLanguage,O...
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_UserAccount Get Name,Domain,AccountType,LocalAccount,Disabled,Status,SID /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_GroupUser Get GroupComponent,PartComponent /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_ComputerSystem Get Caption,Manufacturer,PrimaryOwnerName,UserName,Workgroup /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_PnPEntity Where ClassGuid="{50dd5230-ba8a-11d1-bf5d-0000f805f530}" Get Name,DeviceID,PNPDeviceID,Manufacturer,Description /format:csv
'<SYSTEM32>\ipconfig.exe' /displaydns
'<SYSTEM32>\route.exe' print
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /format:csv
'<SYSTEM32>\wbem\wmic.exe' /namespace:\\root\cimv2 Path Win32_Volume Get Name,Label,FileSystem,SerialNumber,BootVolume,Capacity,DriveType /format:csv
'%ProgramFiles%\internet explorer\iexplore.exe' -Embedding

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android