Trojan.Siggen13.6000

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKLM>\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "<Текущая директория>\services.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"<Текущая директория>\services.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'services' = '"<Текущая директория>\services.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "<Текущая директория>\services.exe", "<SYSTEM32>\rpcrt4\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"<SYSTEM32>\rpcrt4\WUDFHost.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"<SYSTEM32>\rpcrt4\WUDFHost.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "<Текущая директория>\services.exe", "<SYSTEM32>\rpcrt4\WUDFHost.exe", "<Текущая директория>\...
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"<Текущая директория>\taskhost.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'taskhost' = '"<Текущая директория>\taskhost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '"<PATH_SAMPLE>\<Имя файла>.exe"'
[<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '"<PATH_SAMPLE>\<Имя файла>.exe"'

Создает или изменяет следующие файлы

<SYSTEM32>\tasks\services
<SYSTEM32>\tasks\wudfhost
<SYSTEM32>\tasks\taskhost
<SYSTEM32>\tasks\<Имя файла>

Вредоносные функции

Ищет следующие окна с целью

обнаружения утилит для анализа:

ClassName: 'OLLYDBG', WindowName: ''
ClassName: 'GBDYLLO', WindowName: ''
ClassName: 'pediy06', WindowName: ''
ClassName: 'FilemonClass', WindowName: ''
ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'RegmonClass', WindowName: ''
ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'

Изменения в файловой системе

Создает следующие файлы

<Текущая директория>\services.exe
<Текущая директория>\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
%WINDIR%\syswow64\rpcrt4\wudfhost.exe
%WINDIR%\syswow64\rpcrt4\480b7989c529f6ff17bde430d81d4770fb5337f5
<Текущая директория>\taskhost.exe
<Текущая директория>\b75386f1303e64d8139363b71e44ac16341adf4e
<PATH_SAMPLE>\<Имя файла>.exe
<PATH_SAMPLE>\58ede25f91a730beef33f5181d405de3d5f2d384
C:\users\public\zc7nllnt2u
C:\users\public\nuxm4cyb4e.bat
nul

Удаляет следующие файлы

C:\users\public\zc7nllnt2u

Сетевая активность

Подключается к

'cs####9.tmweb.ru':80
'ip##fo.io':443

TCP

Запросы HTTP GET

http://cs####9.tmweb.ru/EternalFlowertraffic.php?Bf##############################################################################################################################################...

'ip##fo.io':443

UDP

DNS ASK cs####9.tmweb.ru
DNS ASK ip##fo.io

Другое

Ищет следующие окна

ClassName: '18467-41' WindowName: ''

Создает и запускает на исполнение

'<PATH_SAMPLE>\<Имя файла>.exe'
'%WINDIR%\syswow64\cmd.exe' /C "C:\Users\Public\NuxM4CyB4e.bat"' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'<Текущая директория>\services.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'<SYSTEM32>\rpcrt4\WUDFHost.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'<Текущая директория>\taskhost.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\schtasks.exe' /create /tn "<Имя файла>" /sc ONLOGON /tr "'<PATH_SAMPLE>\<Имя файла>.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\cmd.exe' /C "C:\Users\Public\NuxM4CyB4e.bat"
'%WINDIR%\syswow64\chcp.com' 65001
'%WINDIR%\syswow64\ping.exe' -n 5 localhost