Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen12.65313
Добавлен в вирусную базу Dr.Web:
2021-04-02
Описание добавлено:
2021-04-04
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"C:\Far2\Documentation\eng\taskhost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"C:\Far2\Documentation\eng\taskhost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"<SYSTEM32>\FXSMON\smss.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"<SYSTEM32>\FXSMON\smss.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '"C:\totalcmd\LANGUAGE\csrss.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '"C:\totalcmd\LANGUAGE\csrss.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"C:\PerfLogs\Admin\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'audiodg' = '"C:\Documents and Settings\audiodg.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"C:\PerfLogs\Admin\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"%ProgramFiles%\fsauach\taskhost.exe"'
[<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe", "C:\totalcmd\LANGUAGE\services.exe", "%ProgramFiles%\fsauach\taskho...
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"C:\totalcmd\LANGUAGE\services.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"C:\totalcmd\LANGUAGE\services.exe"'
[<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe", "C:\totalcmd\LANGUAGE\services.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"C:\Far2\Documentation\rus\smss.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"C:\Far2\Documentation\rus\smss.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"%ProgramFiles%\fsauach\taskhost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'audiodg' = '"C:\Documents and Settings\audiodg.exe"'
Создает или изменяет следующие файлы
<SYSTEM32>\tasks\smss
<SYSTEM32>\tasks\services
<SYSTEM32>\tasks\taskhost
<SYSTEM32>\tasks\wudfhost
<SYSTEM32>\tasks\csrss
<SYSTEM32>\tasks\audiodg
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
%LOCALAPPDATA%\google\chrome\user data\default\cookies
%LOCALAPPDATA%\google\chrome\user data\default\login data
%APPDATA%\opera software\opera stable\login data
%LOCALAPPDATA%\google\chrome\user data\default\web data
%HOMEPATH%\desktop\508softwareandos.doc
%HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
Изменения в файловой системе
Создает следующие файлы
C:\far2\documentation\rus\smss.exe
C:\users\public\bp45kkcrxn
C:\users\public\yt0ubv3jth
C:\users\public\ldfsk7pno1
C:\users\public\lps5y6gnpt
C:\users\public\ko1we2smmt
C:\users\public\almmji1g0c
C:\users\public\jvwo9j1how
C:\users\public\ltflj2zyap
C:\users\public\6gh8rdbodd
C:\users\public\ut6vhwynuh
C:\users\public\2ursuxnwru
C:\users\public\pmikatxhhu
C:\users\public\zhc6p4fznt
C:\users\public\vbkuebevng
C:\users\public\borg0qiimg
%TEMP%\5d897901e6a490f1ac3b3f5740c5b98c49c4cbc3ca77b42d057802630835681e52147a08c63fa485
C:\documents and settings\audiodg.exe
C:\far2\documentation\eng\b75386f1303e64d8139363b71e44ac16341adf4e
C:\far2\documentation\eng\taskhost.exe
<SYSTEM32>\fxsmon\69ddcba757bf72f7d36c464c71f42baab150b2b9
<SYSTEM32>\fxsmon\smss.exe
C:\totalcmd\language\886983d96e3d3e31032c679b2d4ea91b6c05afef
C:\totalcmd\language\csrss.exe
C:\perflogs\admin\480b7989c529f6ff17bde430d81d4770fb5337f5
C:\perflogs\admin\wudfhost.exe
%ProgramFiles%\fsauach\b75386f1303e64d8139363b71e44ac16341adf4e
%ProgramFiles%\fsauach\taskhost.exe
C:\totalcmd\language\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
C:\totalcmd\language\services.exe
C:\far2\documentation\rus\69ddcba757bf72f7d36c464c71f42baab150b2b9
C:\documents and settings\42af1c969fbb7b2ae36b0e06bea61fc9a154b4af
C:\users\public\nf7v4szydd
Удаляет следующие файлы
C:\users\public\vbkuebevng
C:\users\public\zhc6p4fznt
C:\users\public\pmikatxhhu
C:\users\public\2ursuxnwru
C:\users\public\ut6vhwynuh
C:\users\public\6gh8rdbodd
C:\users\public\ltflj2zyap
C:\users\public\jvwo9j1how
C:\users\public\almmji1g0c
C:\users\public\ko1we2smmt
C:\users\public\lps5y6gnpt
C:\users\public\ldfsk7pno1
C:\users\public\yt0ubv3jth
C:\users\public\bp45kkcrxn
C:\users\public\borg0qiimg
C:\users\public\nf7v4szydd
Сетевая активность
Подключается к
'19#.#4.33.24':80
'ip##fo.io':443
'xx##ell.xyz':80
'ap#.##legram.org':443
TCP
Запросы HTTP GET
http://19#.#4.33.24/jsserverwindows.php?cb#######################################################################################################################################################...
'ip##fo.io':443
'ap#.##legram.org':443
UDP
DNS ASK ip##fo.io
DNS ASK xx##ell.xyz
DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
'C:\documents and settings\audiodg.exe'
Запускает на исполнение
'<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'C:\Far2\Documentation\rus\smss.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'C:\totalcmd\LANGUAGE\services.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'%ProgramFiles%\fsauach\taskhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'C:\PerfLogs\Admin\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "csrss" /sc ONLOGON /tr "'C:\totalcmd\LANGUAGE\csrss.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'<SYSTEM32>\FXSMON\smss.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'C:\Far2\Documentation\eng\taskhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "audiodg" /sc ONLOGON /tr "'C:\Documents and Settings\audiodg.exe'" /rl HIGHEST /f
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK