Trojan.PWS.Siggen1.60372

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'decontaminateddecontaminated' = '"%ProgramFiles%\Auditing\piped.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'holdouts' = '"%ProgramFiles%\Foresters\piped.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'holdoutsholdouts' = '"%ProgramFiles%\Auditing\piped.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'latchkey' = '"%ProgramFiles%\Foresters\piped.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'krapp' = '"%ProgramFiles%\loudon\krapp.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sammy' = '"%ProgramFiles%\Foresters\piped.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'flyway' = '"%ProgramFiles%\Foresters\piped.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'flywayflyway' = '"%ProgramFiles%\Auditing\piped.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'decontaminated' = '"%ProgramFiles%\Foresters\piped.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sammysammy' = '"%ProgramFiles%\Auditing\piped.exe"'

Создает или изменяет следующие файлы:

%HOMEPATH%\Start Menu\Programs\Startup\whicker.lnk

Вредоносные функции:

Запускает на исполнение:

'<LS_APPDATA>\91083.exe'
'<LS_APPDATA>\62954.exe'
'%ProgramFiles%\loudon\krapp.exe'
'<SYSTEM32>\taskkill.exe' /im chrome.exe
'<SYSTEM32>\find.exe' /I "piped.exe"
'<SYSTEM32>\tasklist.exe' /NH /FI "IMAGENAME eq piped.exe"
'<SYSTEM32>\cmd.exe' /C <SYSTEM32>\tasklist /NH /FI "IMAGENAME eq piped.exe" | <SYSTEM32>\find /I "piped.exe"
'<LS_APPDATA>\paramours.exe' "%ProgramFiles%\kates\kates.exe" "k82596584"
'%ProgramFiles%\Foresters\piped.exe'
'<LS_APPDATA>\paramours.exe' "%ProgramFiles%\Foresters\piped.exe" "77397448"
'<LS_APPDATA>\77896.exe'
'<LS_APPDATA>\39620.exe'
'<LS_APPDATA>\paramours.exe' "%ProgramFiles%\Auditing\piped.exe" "82596584"
'%ProgramFiles%\Auditing\piped.exe'
'<LS_APPDATA>\paramours.exe' "<LS_APPDATA>\piped.exe" "41835245"

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:

[<HKLM>\SOFTWARE\Microsoft\Internet Account Manager]

Изменения в файловой системе:

Создает следующие файлы:

%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[13].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[12].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[14].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[16].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[15].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[11].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[7].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[6].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[8].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[10].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[9].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[17].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[25].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[24].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[26].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[28].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[27].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[23].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[19].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[18].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[20].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[22].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[21].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[5].php
%ProgramFiles%\Foresters\piped.exe
<LS_APPDATA>\paramours.exe
<LS_APPDATA>\piped.exe
%ProgramFiles%\Auditing\settings.dll
%ProgramFiles%\Auditing\piped.exe
<LS_APPDATA>\91083.exe
<LS_APPDATA>\12359.exe
%TEMP%\nsb2.tmp\AccessControl.dll
<LS_APPDATA>\39620.exe
<LS_APPDATA>\77896.exe
<LS_APPDATA>\62954.exe
%ProgramFiles%\kates\kates.exe
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[1].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\homepage[1].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[2].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[4].php
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\homepage[3].php
%TEMP%\nsaA.tmp\ExecCmd.dll
%ProgramFiles%\loudon\krapp.exe
%TEMP%\nsa5.tmp\SimpleFC.dll
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\homepage[1].php
%TEMP%\nsq9.tmp\ShellLink.dll
%WINDIR%\piped.exe

Удаляет следующие файлы:

%TEMP%\nsq9.tmp\ShellLink.dll
%TEMP%\nsa5.tmp\SimpleFC.dll

Перемещает следующие файлы:

%WINDIR%\piped.exe в %WINDIR%\intercepting.exe

Изменяет файл HOSTS.

Сетевая активность:

Подключается к:

'www.st####ylowther.pw':80
'www.ne###know.pw':80
'localhost':1037
'localhost':1038

TCP:

Запросы HTTP GET:

http://www.ne###know.pw/homepage.php?id###########################################################
http://www.st####ylowther.pw/homepage.php?id###########################################################

UDP: