Trojan.Siggen31.49776

Добавлен в вирусную базу Dr.Web: 2025-08-14

Описание добавлено: 2025-08-15

Техническая информация

Вредоносные функции

Для затруднения выявления своего присутствия в системе

добавляет исключения антивируса:

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Temp'"

Запускает большое число процессов

Внедряет код в

следующие пользовательские процессы:

msedge.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\adsfqewr_72o7x70nlu2.ps1
%TEMP%\pcc8dwcyyl.ps1
%TEMP%\u5fcfvt2\u5fcfvt2.0.cs
%TEMP%\u5fcfvt2\u5fcfvt2.cmdline
%TEMP%\u5fcfvt2\u5fcfvt2.out
%TEMP%\u5fcfvt2\csc2cef772b858b41cd847ce39623e09ded.tmp
%TEMP%\res6405.tmp
%TEMP%\u5fcfvt2\u5fcfvt2.dll
nul
%TEMP%\d1ge\sql-wasm.wasm
%TEMP%\d1ge\shellmanager.exe
%TEMP%\d1ge\launcher.exe

Удаляет следующие файлы

%TEMP%\pcc8dwcyyl.ps1

Сетевая активность

Подключается к

'gi##ub.com':443
're#########ets.githubusercontent.com':443

TCP

Другие

'gi##ub.com':443
're#########ets.githubusercontent.com':443

UDP

DNS ASK gi##ub.com
DNS ASK re#########ets.githubusercontent.com

Другое

Создает и запускает на исполнение

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "%TEMP%\PCc8dWcYYl.ps1"
'%TEMP%\d1ge\launcher.exe' --doge
'%TEMP%\d1ge\shellmanager.exe'

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /d /s /c "<SYSTEM32>\REG.exe QUERY HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography /v MachineGuid" (со скрытым окном)
'<SYSTEM32>\reg.exe' QUERY HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography /v MachineGuid
'<SYSTEM32>\cmd.exe' /d /s /c "tasklist" (со скрытым окном)
'<SYSTEM32>\tasklist.exe'
'<SYSTEM32>\cmd.exe' /d /s /c "powershell "try { (Get-Process -Id 4276).Path } catch { '' }"" (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "try { (Get-Process -Id 4276).Path } catch { '' }"
'<SYSTEM32>\cmd.exe' /d /s /c "powershell.exe -ExecutionPolicy Bypass -File "%TEMP%\PCc8dWcYYl.ps1"" (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\u5fcfvt2\u5fcfvt2.cmdline" (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6405.tmp" "%TEMP%\u5fcfvt2\CSC2CEF772B858B41CD847CE39623E09DED.TMP" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell.exe -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Temp'"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "tasklist /FI "IMAGENAME eq ShellManager.exe" /FO CSV /NH" (со скрытым окном)
'<SYSTEM32>\tasklist.exe' /FI "IMAGENAME eq ShellManager.exe" /FO CSV /NH
'%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --headless --disable-gpu --no-sandbox --disable-dev-shm-usage
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_VideoController | Select-Object -ExpandProperty Name"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Disk\Enum" -Name "0" | Select-Object -ExpandProperty "0""" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_VideoController | Select-Object CurrentHorizontalResolution, CurrentVerticalResolution | ConvertTo-J... (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty TotalPhysicalMemory"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "(Invoke-WebRequest -Uri "http://ip-api.com/line/?fields=hosting" -UseBasicParsing).Content"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform' -Name BackupProductK... (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_OperatingSystem | Select-Object Caption, OSArchitecture | ConvertTo-Json"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "(Invoke-WebRequest -Uri "https://api.ipify.org" -UseBasicParsing).Content"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /d /s /c "powershell -ExecutionPolicy Bypass -NoProfile -Command "Get-NetAdapter | Where-Object {$_.Status -eq 2} | Select-Object -ExpandProperty MacAddress"" (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_VideoController | Select-Object CurrentHorizontalResolution, CurrentVerticalResolution | ConvertTo-Json"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Disk\Enum" -Name "0" | Select-Object -ExpandProperty "0""
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_VideoController | Select-Object -ExpandProperty Name"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty TotalPhysicalMemory"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "(Invoke-WebRequest -Uri "http://ip-api.com/line/?fields=hosting" -UseBasicParsing).Content"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform' -Name BackupProductKeyDefault"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-WmiObject -Class Win32_OperatingSystem | Select-Object Caption, OSArchitecture | ConvertTo-Json"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "(Invoke-WebRequest -Uri "https://api.ipify.org" -UseBasicParsing).Content"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -NoProfile -Command "Get-NetAdapter | Where-Object {$_.Status -eq 2} | Select-Object -ExpandProperty MacAddress"
'%TEMP%\d1ge\launcher.exe' --doge (со скрытым окном)

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней