Trojan.Siggen32.12396

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RSA74517882' = '<SYSTEM32>\rundll32.exe "%APPDATA%\Microsoft\Crypto\RSA\RSA74517882.dll",DllInitialize'

Вредоносные функции

Внедряет код в

следующие системные процессы:

<SYSTEM32>\svchost.exe

Завершает или пытается завершить

следующие пользовательские процессы:

iexplore.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\tmp6f54.tmp
%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dab-428.pma
%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dad-3e4.pma
%TEMP%\l74517882
%TEMP%\tmpd2a3.tmp
%TEMP%\tmpd62e.tmp
%LOCALAPPDATA%\microsoft\edge\user data\default\heavy_ad_intervention_opt_out.db-journal
%LOCALAPPDATA%\microsoft\edge\user data\default\heavy_ad_intervention_opt_out.db
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\manifest-000001
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\000001.dbtmp
%LOCALAPPDATA%\microsoft\edge\user data\default\previews_opt_out.db-journal
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\manifest-000002
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\000002.dbtmp
%LOCALAPPDATA%\microsoft\edge\user data\default\previews_opt_out.db
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\log
%LOCALAPPDATA%\microsoft\edge\user data\last browser
%LOCALAPPDATA%\microsoft\edge\user data\default\preferredapps
%LOCALAPPDATA%\microsoft\edge\user data\default\budgetdatabase\manifest-000001
%LOCALAPPDATA%\microsoft\edge\user data\default\budgetdatabase\000001.dbtmp
%LOCALAPPDATA%\microsoft\edge\user data\default\budgetdatabase\log
%LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\manifest-000001
%LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\000001.dbtmp
%LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\log
%LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\000003.log
%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dc5-13b8.pma
%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dc7-1598.pma
%APPDATA%\microsoft\crypto\rsa\rsa74517882.dll

Удаляет файлы, которые сам же создал

%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dab-428.pma
%LOCALAPPDATA%\microsoft\edge\user data\browsermetrics\browsermetrics-69369dad-3e4.pma
%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\manifest-000001
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\joabbvem\dnserror[1]
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\lm83rir6\newerrorpagetemplate[1]
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\7tkt8iqa\errorpagestrings[1]
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\ffx4hfr7\httperrorpagesscripts[1]
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\joabbvem\down[1]
%TEMP%\l74517882
%TEMP%\tmp6f54.tmp
%TEMP%\tmpd2a3.tmp
%TEMP%\tmpd62e.tmp

Перемещает следующие файлы

%LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\000001.dbtmp в %LOCALAPPDATA%\microsoft\edge\user data\default\data_reduction_proxy_leveldb\current
%LOCALAPPDATA%\microsoft\edge\user data\default\budgetdatabase\000001.dbtmp в %LOCALAPPDATA%\microsoft\edge\user data\default\budgetdatabase\current
%LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\000001.dbtmp в %LOCALAPPDATA%\microsoft\edge\user data\default\shared_proto_db\metadata\current

Изменяет следующие файлы

%LOCALAPPDATA%\microsoft\edge\user data\last version
%LOCALAPPDATA%\microsoft\edge\user data\default\site characteristics database\log
%LOCALAPPDATA%\microsoft\edge\user data\default\sync data\leveldb\log
%LOCALAPPDATA%\microsoft\edge\user data\default\sync data\leveldb\000003.log
%LOCALAPPDATA%\microsoft\tokenbroker\cache\9cd93bc6dcf544bae69531052e64647ec02f2bb4.tbres

Подменяет следующие файлы

%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Platform Notifications\LOG
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Local Storage\leveldb\LOG

Сетевая активность

UDP

DNS ASK me###vvads3.uk

Другое

Ищет следующие окна

ClassName: 'Chrome_MessageWindow' WindowName: '%LOCALAPPDATA%\Microsoft\Edge\User Data'
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebCheckMonitor' WindowName: ''

Запускает на исполнение

'%ProgramFiles(x86)%\internet explorer\ielowutil.exe' -CLSID:{0002DF01-0000-0000-C000-000000000046} -Embedding
'%ProgramFiles%\internet explorer\iexplore.exe' -Embedding
'%ProgramFiles(x86)%\microsoft\edge\application\89.0.774.68\bho\ie_to_edge_stub.exe' --from-ie-to-edge=3 --ie-frame-hwnd=2025a
'%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --from-ie-to-edge=3 --ie-frame-hwnd=2025a
'%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --from-ie-to-edge=3 --ie-frame-hwnd=2025a --flag-switches-begin --flag-switches-end --do-not-de-elevate (со скрытым окном)
'%ProgramFiles(x86)%\microsoft\edge\application\89.0.774.68\bho\ie_to_edge_stub.exe' --from-ie-to-edge=3 --ie-frame-hwnd=801ec
'%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --from-ie-to-edge=3 --ie-frame-hwnd=801ec
'%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --from-ie-to-edge=3 --ie-frame-hwnd=801ec --flag-switches-begin --flag-switches-end --do-not-de-elevate (со скрытым окном)
'%WINDIR%\syswow64\rundll32.exe' "%APPDATA%\Microsoft\Crypto\RSA\RSA74517882.dll",DllInitialize
'<SYSTEM32>\rundll32.exe' "%APPDATA%\Microsoft\Crypto\RSA\RSA74517882.dll",DllInitialize
'<SYSTEM32>\svchost.exe'
'%WINDIR%\syswow64\cmd.exe' /C del "<Полный путь к файлу>" (со скрытым окном)