ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen12.65313

Добавлен в вирусную базу Dr.Web: 2021-04-02

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"C:\Far2\Documentation\eng\taskhost.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"C:\Far2\Documentation\eng\taskhost.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"<SYSTEM32>\FXSMON\smss.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"<SYSTEM32>\FXSMON\smss.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '"C:\totalcmd\LANGUAGE\csrss.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '"C:\totalcmd\LANGUAGE\csrss.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"C:\PerfLogs\Admin\WUDFHost.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'audiodg' = '"C:\Documents and Settings\audiodg.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"C:\PerfLogs\Admin\WUDFHost.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"%ProgramFiles%\fsauach\taskhost.exe"'
  • [<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe", "C:\totalcmd\LANGUAGE\services.exe", "%ProgramFiles%\fsauach\taskho...
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"C:\totalcmd\LANGUAGE\services.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"C:\totalcmd\LANGUAGE\services.exe"'
  • [<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "C:\Far2\Documentation\rus\smss.exe", "C:\totalcmd\LANGUAGE\services.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"C:\Far2\Documentation\rus\smss.exe"'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"C:\Far2\Documentation\rus\smss.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"%ProgramFiles%\fsauach\taskhost.exe"'
  • [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'audiodg' = '"C:\Documents and Settings\audiodg.exe"'
Создает или изменяет следующие файлы
  • <SYSTEM32>\tasks\smss
  • <SYSTEM32>\tasks\services
  • <SYSTEM32>\tasks\taskhost
  • <SYSTEM32>\tasks\wudfhost
  • <SYSTEM32>\tasks\csrss
  • <SYSTEM32>\tasks\audiodg
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
  • %LOCALAPPDATA%\google\chrome\user data\default\cookies
  • %LOCALAPPDATA%\google\chrome\user data\default\login data
  • %APPDATA%\opera software\opera stable\login data
  • %LOCALAPPDATA%\google\chrome\user data\default\web data
  • %HOMEPATH%\desktop\508softwareandos.doc
  • %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
Изменения в файловой системе
Создает следующие файлы
  • C:\far2\documentation\rus\smss.exe
  • C:\users\public\bp45kkcrxn
  • C:\users\public\yt0ubv3jth
  • C:\users\public\ldfsk7pno1
  • C:\users\public\lps5y6gnpt
  • C:\users\public\ko1we2smmt
  • C:\users\public\almmji1g0c
  • C:\users\public\jvwo9j1how
  • C:\users\public\ltflj2zyap
  • C:\users\public\6gh8rdbodd
  • C:\users\public\ut6vhwynuh
  • C:\users\public\2ursuxnwru
  • C:\users\public\pmikatxhhu
  • C:\users\public\zhc6p4fznt
  • C:\users\public\vbkuebevng
  • C:\users\public\borg0qiimg
  • %TEMP%\5d897901e6a490f1ac3b3f5740c5b98c49c4cbc3ca77b42d057802630835681e52147a08c63fa485
  • C:\documents and settings\audiodg.exe
  • C:\far2\documentation\eng\b75386f1303e64d8139363b71e44ac16341adf4e
  • C:\far2\documentation\eng\taskhost.exe
  • <SYSTEM32>\fxsmon\69ddcba757bf72f7d36c464c71f42baab150b2b9
  • <SYSTEM32>\fxsmon\smss.exe
  • C:\totalcmd\language\886983d96e3d3e31032c679b2d4ea91b6c05afef
  • C:\totalcmd\language\csrss.exe
  • C:\perflogs\admin\480b7989c529f6ff17bde430d81d4770fb5337f5
  • C:\perflogs\admin\wudfhost.exe
  • %ProgramFiles%\fsauach\b75386f1303e64d8139363b71e44ac16341adf4e
  • %ProgramFiles%\fsauach\taskhost.exe
  • C:\totalcmd\language\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
  • C:\totalcmd\language\services.exe
  • C:\far2\documentation\rus\69ddcba757bf72f7d36c464c71f42baab150b2b9
  • C:\documents and settings\42af1c969fbb7b2ae36b0e06bea61fc9a154b4af
  • C:\users\public\nf7v4szydd
Удаляет следующие файлы
  • C:\users\public\vbkuebevng
  • C:\users\public\zhc6p4fznt
  • C:\users\public\pmikatxhhu
  • C:\users\public\2ursuxnwru
  • C:\users\public\ut6vhwynuh
  • C:\users\public\6gh8rdbodd
  • C:\users\public\ltflj2zyap
  • C:\users\public\jvwo9j1how
  • C:\users\public\almmji1g0c
  • C:\users\public\ko1we2smmt
  • C:\users\public\lps5y6gnpt
  • C:\users\public\ldfsk7pno1
  • C:\users\public\yt0ubv3jth
  • C:\users\public\bp45kkcrxn
  • C:\users\public\borg0qiimg
  • C:\users\public\nf7v4szydd
Сетевая активность
Подключается к
  • '19#.#4.33.24':80
  • 'ip##fo.io':443
  • 'xx##ell.xyz':80
  • 'ap#.##legram.org':443
TCP
Запросы HTTP GET
  • http://19#.#4.33.24/jsserverwindows.php?cb#######################################################################################################################################################...
  • 'ip##fo.io':443
  • 'ap#.##legram.org':443
  • UDP
    • DNS ASK ip##fo.io
    • DNS ASK xx##ell.xyz
    • DNS ASK ap#.##legram.org
    Другое
    Создает и запускает на исполнение
    • 'C:\documents and settings\audiodg.exe'
    Запускает на исполнение
    • '<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'C:\Far2\Documentation\rus\smss.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'C:\totalcmd\LANGUAGE\services.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'%ProgramFiles%\fsauach\taskhost.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'C:\PerfLogs\Admin\WUDFHost.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "csrss" /sc ONLOGON /tr "'C:\totalcmd\LANGUAGE\csrss.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'<SYSTEM32>\FXSMON\smss.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'C:\Far2\Documentation\eng\taskhost.exe'" /rl HIGHEST /f
    • '<SYSTEM32>\schtasks.exe' /create /tn "audiodg" /sc ONLOGON /tr "'C:\Documents and Settings\audiodg.exe'" /rl HIGHEST /f

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Российский разработчик антивирусов Dr.Web с 1992 года
    Dr.Web в Реестре Отечественного ПО
    Dr.Web совместим с российскими ОС и оборудованием
    Dr.Web пользуются в 200+ странах мира
    Техническая поддержка 24х7х365 Рус | En

    Dr.Web © «Доктор Веб»
    2003 — 2021

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А