Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Siggen21.31455
Добавлен в вирусную базу Dr.Web:
2023-09-23
Описание добавлено:
2024-03-29
Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
[HKLM\System\CurrentControlSet\Services\shit] 'Start' = '00000002'
[HKLM\System\CurrentControlSet\Services\shit] 'ImagePath' = '%systedrive%WindowsSystem32cmd.exe'
[HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие сервисы
'shit' %systedrive%WindowsSystem32cmd.exe
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует:
Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Запускает на исполнение
'<SYSTEM32>\taskkill.exe' /f /IM *.exe
'<SYSTEM32>\netsh.exe' firewall set opmode mode=disable
'<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
Изменения в файловой системе
Сетевая активность
Подключается к
'google.com':443
'pk#.goog':80
TCP
Запросы HTTP GET
http://pk#.goog/gsr1/gsr1.crt
Другие
UDP
DNS ASK google.com
DNS ASK pk#.goog
'localhost':59149
'localhost':57518
Другое
Ищет следующие окна
ClassName: '' WindowName: ''
Создает и запускает на исполнение
'<SYSTEM32>\cmd.exe' /c attrib +s +h *.exe' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell bcdedit.exe /set {{default}}recoveryenabled no' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c bcdedit /set {{default}}recoveryenabled no' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell bcdedit.exe /set{{default}} bootstatuspolicy ignoreallfailures' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c bcdedit.exe /set{{default}} bootstatuspolicy ignoreallfailures' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell wbadmin.exe delete backup' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c wbadmin.exe delete backup' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell netsh advfirewall set allprofiles state off' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c netsh advfirewall set allprofiles state off' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell netsh firewall set opmode mode=disable' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c netsh firewall set opmode mode=disable' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.dll' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.sys' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.exe' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c TASKKILL /f /IM *.exe' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell wmic shadowcopy delete /nointeractive' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c wmic shadowcopy delete /nointeractive' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell vssadmin delete shadows /all /quiet' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c sc create shit binpath= %systedrive%WindowsSystem32cmd.exe type= own start= auto displayname= shit' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powershell certutil.exe -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png' (со скрытым окном)
Запускает на исполнение
'<SYSTEM32>\cmd.exe' /c attrib +s +h *.exe
'<SYSTEM32>\wbadmin.exe' delete backup
'<SYSTEM32>\cmd.exe' /c powershell wbadmin.exe delete backup
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wbadmin.exe delete backup
'<SYSTEM32>\cmd.exe' /c bcdedit.exe /set{{default}} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\bcdedit.exe' /set{{default}} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' netsh advfirewall set allprofiles state off
'<SYSTEM32>\cmd.exe' /c wbadmin.exe delete backup
'<SYSTEM32>\cmd.exe' /c powershell bcdedit.exe /set{{default}} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /c bcdedit /set {{default}}recoveryenabled no
'<SYSTEM32>\cmd.exe' /c powershell bcdedit.exe /set {{default}}recoveryenabled no
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' bcdedit.exe /set {{default}}recoveryenabled no
'<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png
'<SYSTEM32>\certutil.exe' -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' bcdedit.exe /set{{default}} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\bcdedit.exe' /set -encodedCommand ewBkAGUAZgBhAHUAbAB0AH0A bootstatuspolicy ignoreallfailures -inputFormat xml -outputFormat text
'<SYSTEM32>\cmd.exe' /c powershell netsh advfirewall set allprofiles state off
'<SYSTEM32>\cmd.exe' /c netsh advfirewall set allprofiles state off
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' netsh firewall set opmode mode=disable
'<SYSTEM32>\cmd.exe' /c sc create shit binpath= %systedrive%WindowsSystem32cmd.exe type= own start= auto displayname= shit
'<SYSTEM32>\sc.exe' create shit binpath= %systedrive%WindowsSystem32cmd.exe type= own start= auto displayname= shit
'<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet
'<SYSTEM32>\cmd.exe' /c powershell vssadmin delete shadows /all /quiet
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' vssadmin delete shadows /all /quiet
'<SYSTEM32>\cmd.exe' /c wmic shadowcopy delete /nointeractive
'<SYSTEM32>\attrib.exe' +s +h *.exe
'<SYSTEM32>\cmd.exe' /c powershell wmic shadowcopy delete /nointeractive
'<SYSTEM32>\cmd.exe' /c TASKKILL /f /IM *.exe
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.exe
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.sys
'<SYSTEM32>\cmd.exe' /c del /f /s /q C:*.dll
'<SYSTEM32>\cmd.exe' /c netsh firewall set opmode mode=disable
'<SYSTEM32>\cmd.exe' /c powershell netsh firewall set opmode mode=disable
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' wmic shadowcopy delete /nointeractive
'<SYSTEM32>\cmd.exe' /c powershell certutil.exe -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' certutil.exe -urlcache -split -f https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK