Trojan.Siggen21.29112

Technical Information

To ensure autorun and distribution

Modifies the following registry keys

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'chrome' = '%APPDATA%\pythonw.exe %APPDATA%\1880.py'
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Internet Explorer' = '%APPDATA%\pythonw.exe %APPDATA%\1880.py'

Malicious functions

Injects code into

the following user processes:

pythonw.exe

Modifies file system

Creates the following files

%APPDATA%\1880.py
%APPDATA%\lib\encodings\ascii.py
%APPDATA%\lib\encodings\base64_codec.py
%APPDATA%\lib\encodings\big5.py
%APPDATA%\lib\encodings\big5hkscs.py
%APPDATA%\lib\encodings\bz2_codec.py
%APPDATA%\lib\encodings\charmap.py
%APPDATA%\lib\email\mime\text.py
%APPDATA%\lib\encodings\cp037.py
%APPDATA%\lib\encodings\aliases.py
%APPDATA%\lib\encodings\cp1026.py
%APPDATA%\lib\encodings\cp1140.py
%APPDATA%\lib\encodings\cp1250.py
%APPDATA%\lib\encodings\cp1251.py
%APPDATA%\lib\encodings\cp1252.py
%APPDATA%\lib\encodings\cp1253.py
%APPDATA%\lib\encodings\cp1254.py
%APPDATA%\lib\encodings\cp1006.py
%APPDATA%\lib\encodings\cp1255.py
%APPDATA%\lib\encodings\cp1125.py
%APPDATA%\lib\encodings\__init__.py
%APPDATA%\lib\email\mime\nonmultipart.py
%APPDATA%\lib\email\mime\multipart.py
%APPDATA%\lib\email\contentmanager.py
%APPDATA%\lib\email\encoders.py
%APPDATA%\lib\email\errors.py
%APPDATA%\lib\email\feedparser.py
%APPDATA%\lib\email\generator.py
%APPDATA%\lib\email\header.py
%APPDATA%\lib\email\headerregistry.py
%APPDATA%\lib\email\base64mime.py
%APPDATA%\lib\email\iterators.py
%APPDATA%\lib\email\parser.py
%APPDATA%\lib\email\policy.py
%APPDATA%\lib\email\quoprimime.py
%APPDATA%\lib\email\utils.py
%APPDATA%\lib\email\mime\application.py
%APPDATA%\lib\email\mime\audio.py
%APPDATA%\lib\email\mime\base.py
%APPDATA%\lib\email\mime\image.py
%APPDATA%\lib\email\message.py
%APPDATA%\lib\email\mime\message.py
%APPDATA%\lib\email\architecture.rst
%APPDATA%\lib\email\charset.py
%APPDATA%\lib\encodings\cp1256.py
%APPDATA%\lib\encodings\cp424.py
%APPDATA%\lib\encodings\cp932.py
%APPDATA%\lib\encodings\cp949.py
%APPDATA%\lib\encodings\cp950.py
%APPDATA%\lib\encodings\euc_jis_2004.py
%APPDATA%\lib\encodings\euc_jisx0213.py
%APPDATA%\lib\encodings\euc_jp.py
%APPDATA%\lib\encodings\euc_kr.py
%APPDATA%\lib\encodings\cp874.py
%APPDATA%\lib\encodings\cp875.py
%APPDATA%\lib\encodings\gb18030.py
%APPDATA%\lib\encodings\hex_codec.py
%APPDATA%\lib\encodings\hp_roman8.py
%APPDATA%\lib\encodings\hz.py
%APPDATA%\lib\encodings\idna.py
%APPDATA%\lib\encodings\iso2022_jp.py
%APPDATA%\lib\encodings\iso2022_jp_1.py
%APPDATA%\lib\encodings\iso2022_jp_2.py
%APPDATA%\lib\encodings\gb2312.py
%APPDATA%\lib\encodings\gbk.py
%APPDATA%\lib\encodings\cp869.py
%APPDATA%\lib\encodings\cp865.py
%APPDATA%\lib\distutils\tests\test_file_util.py
%APPDATA%\lib\encodings\cp437.py
%APPDATA%\lib\encodings\cp500.py
%APPDATA%\lib\encodings\cp65001.py
%APPDATA%\lib\encodings\cp720.py
%APPDATA%\lib\encodings\cp737.py
%APPDATA%\lib\encodings\cp775.py
%APPDATA%\lib\encodings\cp850.py
%APPDATA%\lib\encodings\cp852.py
%APPDATA%\lib\encodings\cp855.py
%APPDATA%\lib\encodings\cp856.py
%APPDATA%\lib\encodings\cp857.py
%APPDATA%\lib\encodings\cp858.py
%APPDATA%\lib\encodings\cp860.py
%APPDATA%\lib\encodings\cp861.py
%APPDATA%\lib\encodings\cp862.py
%APPDATA%\lib\encodings\cp863.py
%APPDATA%\lib\encodings\cp864.py
%APPDATA%\lib\encodings\cp1257.py
%APPDATA%\lib\encodings\cp273.py
%APPDATA%\lib\encodings\cp1258.py
%APPDATA%\lib\email\_policybase.py
%APPDATA%\lib\email\_parseaddr.py
%APPDATA%\lib\email\_header_value_parser.py
%APPDATA%\lib\distutils\command\install_headers.py
%APPDATA%\lib\distutils\command\install_lib.py
%APPDATA%\lib\distutils\command\install_scripts.py
%APPDATA%\lib\distutils\command\register.py
%APPDATA%\lib\distutils\command\sdist.py
%APPDATA%\lib\distutils\command\upload.py
%APPDATA%\lib\distutils\command\install.py
%APPDATA%\lib\distutils\command\wininst-10.0-amd64.exe
%APPDATA%\lib\distutils\command\install_egg_info.py
%APPDATA%\lib\distutils\command\wininst-14.0-amd64.exe
%APPDATA%\lib\distutils\command\wininst-6.0.exe
%APPDATA%\lib\distutils\command\wininst-7.1.exe
%APPDATA%\lib\distutils\command\wininst-8.0.exe
%APPDATA%\lib\distutils\command\wininst-9.0-amd64.exe
%APPDATA%\lib\distutils\command\wininst-9.0.exe
%APPDATA%\lib\distutils\tests\setup.sample
%APPDATA%\lib\distutils\command\wininst-10.0.exe
%APPDATA%\lib\distutils\command\config.py
%APPDATA%\lib\distutils\command\wininst-14.0.exe
%APPDATA%\lib\distutils\command\command_template
%APPDATA%\lib\distutils\command\clean.py
%APPDATA%\lib\distutils\spawn.py
%APPDATA%\lib\distutils\text_file.py
%APPDATA%\lib\distutils\unixccompiler.py
%APPDATA%\lib\distutils\util.py
%APPDATA%\lib\distutils\version.py
%APPDATA%\lib\distutils\versionpredicate.py
%APPDATA%\lib\distutils\command\__init__.py
%APPDATA%\lib\distutils\command\bdist.py
%APPDATA%\lib\distutils\command\bdist_dumb.py
%APPDATA%\lib\distutils\sysconfig.py
%APPDATA%\lib\distutils\command\bdist_msi.py
%APPDATA%\lib\distutils\command\bdist_wininst.py
%APPDATA%\lib\distutils\command\build.py
%APPDATA%\lib\distutils\command\build_clib.py
%APPDATA%\lib\distutils\command\build_ext.py
%APPDATA%\lib\distutils\command\build_py.py
%APPDATA%\lib\distutils\command\build_scripts.py
%APPDATA%\lib\distutils\command\check.py
%APPDATA%\lib\distutils\tests\__init__.py
%APPDATA%\lib\distutils\command\bdist_rpm.py
%APPDATA%\lib\distutils\tests\support.py
%APPDATA%\lib\distutils\command\install_data.py
%APPDATA%\lib\distutils\tests\test_archive_util.py
%APPDATA%\lib\distutils\tests\test_install_data.py
%APPDATA%\lib\distutils\tests\test_install_lib.py
%APPDATA%\lib\distutils\tests\test_install_scripts.py
%APPDATA%\lib\distutils\tests\test_log.py
%APPDATA%\lib\distutils\tests\test_msvc9compiler.py
%APPDATA%\lib\distutils\tests\test_msvccompiler.py
%APPDATA%\lib\distutils\tests\test_register.py
%APPDATA%\lib\distutils\tests\test_sdist.py
%APPDATA%\lib\distutils\tests\test_spawn.py
%APPDATA%\lib\distutils\tests\test_sysconfig.py
%APPDATA%\lib\distutils\tests\test_text_file.py
%APPDATA%\lib\distutils\tests\test_unixccompiler.py
%APPDATA%\lib\distutils\tests\test_upload.py
%APPDATA%\lib\distutils\tests\test_util.py
%APPDATA%\lib\distutils\tests\test_version.py
%APPDATA%\lib\distutils\tests\test_versionpredicate.py
%APPDATA%\lib\email\__init__.py
%APPDATA%\lib\email\_encoded_words.py
%APPDATA%\lib\distutils\tests\test_install.py
%APPDATA%\lib\distutils\tests\test_bdist.py
%APPDATA%\lib\distutils\tests\test_install_headers.py
%APPDATA%\lib\encodings\cp866.py
%APPDATA%\lib\encodings\iso2022_jp_2004.py
%APPDATA%\lib\distutils\tests\test_extension.py
%APPDATA%\lib\distutils\tests\test_bdist_msi.py
%APPDATA%\lib\distutils\tests\test_bdist_rpm.py
%APPDATA%\lib\distutils\tests\test_bdist_wininst.py
%APPDATA%\lib\distutils\tests\test_build.py
%APPDATA%\lib\distutils\tests\test_build_clib.py
%APPDATA%\lib\distutils\tests\test_build_ext.py
%APPDATA%\lib\distutils\tests\test_build_py.py
%APPDATA%\lib\distutils\tests\test_build_scripts.py
%APPDATA%\lib\distutils\tests\test_bdist_dumb.py
%APPDATA%\lib\distutils\tests\test_check.py
%APPDATA%\lib\distutils\tests\test_cmd.py
%APPDATA%\lib\distutils\tests\test_config.py
%APPDATA%\lib\distutils\tests\test_config_cmd.py
%APPDATA%\lib\distutils\tests\test_core.py
%APPDATA%\lib\distutils\tests\test_cygwinccompiler.py
%APPDATA%\lib\distutils\tests\test_dep_util.py
%APPDATA%\lib\distutils\tests\test_dir_util.py
%APPDATA%\lib\distutils\tests\test_dist.py
%APPDATA%\lib\distutils\tests\test_clean.py
%APPDATA%\lib\distutils\tests\test_filelist.py
%APPDATA%\lib\encodings\iso2022_jp_3.py
%APPDATA%\lib\encodings\iso2022_jp_ext.py
%APPDATA%\lib\encodings\iso2022_kr.py
%APPDATA%\lib\urllib\parse.py
%APPDATA%\lib\urllib\request.py
%APPDATA%\lib\urllib\response.py
%APPDATA%\lib\urllib\robotparser.py
%APPDATA%\lib\venv\__init__.py
%APPDATA%\lib\venv\__main__.py
%APPDATA%\lib\venv\scripts\common\activate
%APPDATA%\lib\site-packages\readme.txt
%APPDATA%\lib\urllib\error.py
%APPDATA%\lib\venv\scripts\nt\activate.ps1
%APPDATA%\lib\venv\scripts\posix\activate.csh
%APPDATA%\lib\venv\scripts\posix\activate.fish
%APPDATA%\lib\wsgiref\__init__.py
%APPDATA%\lib\wsgiref\handlers.py
%APPDATA%\lib\wsgiref\headers.py
%APPDATA%\lib\wsgiref\simple_server.py
%APPDATA%\lib\wsgiref\util.py
%APPDATA%\lib\venv\scripts\nt\activate.bat
%APPDATA%\lib\venv\scripts\nt\deactivate.bat
%APPDATA%\lib\pydoc_data\topics.py
%APPDATA%\lib\pydoc_data\_pydoc.css
%APPDATA%\lib\multiprocessing\dummy\connection.py
%APPDATA%\lib\multiprocessing\forkserver.py
%APPDATA%\lib\multiprocessing\heap.py
%APPDATA%\lib\multiprocessing\managers.py
%APPDATA%\lib\multiprocessing\pool.py
%APPDATA%\lib\multiprocessing\popen_fork.py
%APPDATA%\lib\multiprocessing\popen_forkserver.py
%APPDATA%\lib\multiprocessing\popen_spawn_posix.py
%APPDATA%\lib\multiprocessing\popen_spawn_win32.py
%APPDATA%\lib\multiprocessing\context.py
%APPDATA%\lib\multiprocessing\process.py
%APPDATA%\lib\multiprocessing\reduction.py
%APPDATA%\lib\multiprocessing\resource_sharer.py
%APPDATA%\lib\multiprocessing\semaphore_tracker.py
%APPDATA%\lib\multiprocessing\sharedctypes.py
%APPDATA%\lib\multiprocessing\spawn.py
%APPDATA%\lib\multiprocessing\synchronize.py
%APPDATA%\lib\multiprocessing\util.py
%APPDATA%\lib\multiprocessing\dummy\__init__.py
%APPDATA%\lib\multiprocessing\queues.py
%APPDATA%\lib\wsgiref\validate.py
%APPDATA%\lib\xml\__init__.py
%APPDATA%\lib\xml\dom\nodefilter.py
%APPDATA%\lib\xml\dom\__init__.py
%APPDATA%\lib\__pycache__\fnmatch.cpython-36.pyc.6095360
%APPDATA%\lib\__pycache__\posixpath.cpython-36.pyc.6097376
%APPDATA%\lib\__pycache__\bz2.cpython-36.pyc.6096608
%APPDATA%\lib\__pycache__\_compression.cpython-36.pyc.36238800
%APPDATA%\lib\__pycache__\threading.cpython-36.pyc.45629856
%APPDATA%\lib\__pycache__\traceback.cpython-36.pyc.45630144
%APPDATA%\lib\__pycache__\linecache.cpython-36.pyc.45630816
%APPDATA%\lib\__pycache__\tokenize.cpython-36.pyc.45631104
%APPDATA%\lib\__pycache__\token.cpython-36.pyc.45632352
%APPDATA%\lib\__pycache__\lzma.cpython-36.pyc.45631680
%APPDATA%\lib\__pycache__\zipfile.cpython-36.pyc.45632832
%APPDATA%\lib\importlib\__pycache__\__init__.cpython-36.pyc.45854856
%APPDATA%\lib\importlib\__pycache__\util.cpython-36.pyc.45855272
%APPDATA%\lib\importlib\__pycache__\abc.cpython-36.pyc.45856000
%APPDATA%\lib\importlib\__pycache__\machinery.cpython-36.pyc.36530624
%APPDATA%\lib\__pycache__\contextlib.cpython-36.pyc.6098528
%APPDATA%\lib\__pycache__\glob.cpython-36.pyc.6098816
%APPDATA%\lib\__pycache__\webbrowser.cpython-36.pyc.6098240
%APPDATA%\lib\__pycache__\shlex.cpython-36.pyc.36307840
%APPDATA%\lib\__pycache__\shutil.cpython-36.pyc.6095648
%APPDATA%\lib\xmlrpc\client.py
%APPDATA%\lib\xmlrpc\server.py
%APPDATA%\lib\xmlrpc\__init__.py
%APPDATA%\lib\xml\dom\domreg.py
%APPDATA%\lib\xml\dom\expatbuilder.py
%APPDATA%\lib\xml\dom\minicompat.py
%APPDATA%\lib\xml\dom\minidom.py
%APPDATA%\lib\xml\dom\pulldom.py
%APPDATA%\lib\xml\dom\xmlbuilder.py
%APPDATA%\lib\xml\etree\elementinclude.py
%APPDATA%\lib\xml\etree\elementpath.py
%APPDATA%\lib\xml\etree\elementtree.py
%APPDATA%\lib\xml\etree\__init__.py
%APPDATA%\lib\xml\etree\celementtree.py
%APPDATA%\lib\xml\parsers\__init__.py
%APPDATA%\lib\xml\parsers\expat.py
%APPDATA%\lib\xml\sax\__init__.py
%APPDATA%\lib\xml\sax\_exceptions.py
%APPDATA%\lib\xml\sax\expatreader.py
%APPDATA%\lib\xml\sax\handler.py
%APPDATA%\lib\xml\sax\saxutils.py
%APPDATA%\lib\xml\sax\xmlreader.py
%APPDATA%\lib\distutils\msvccompiler.py
%APPDATA%\lib\html\parser.py
%APPDATA%\lib\multiprocessing\__init__.py
%APPDATA%\lib\msilib\text.py
%APPDATA%\lib\encodings\mac_cyrillic.py
%APPDATA%\lib\encodings\mac_farsi.py
%APPDATA%\lib\encodings\mac_greek.py
%APPDATA%\lib\encodings\mac_iceland.py
%APPDATA%\lib\encodings\mac_latin2.py
%APPDATA%\lib\encodings\mac_roman.py
%APPDATA%\lib\encodings\mac_romanian.py
%APPDATA%\lib\encodings\mac_centeuro.py
%APPDATA%\lib\encodings\mac_croatian.py
%APPDATA%\lib\encodings\mac_turkish.py
%APPDATA%\lib\encodings\palmos.py
%APPDATA%\lib\encodings\ptcp154.py
%APPDATA%\lib\encodings\punycode.py
%APPDATA%\lib\encodings\quopri_codec.py
%APPDATA%\lib\encodings\raw_unicode_escape.py
%APPDATA%\lib\encodings\rot_13.py
%APPDATA%\lib\encodings\shift_jis.py
%APPDATA%\lib\encodings\mbcs.py
%APPDATA%\lib\encodings\oem.py
%APPDATA%\lib\encodings\mac_arabic.py
%APPDATA%\lib\encodings\latin_1.py
%APPDATA%\lib\encodings\kz1048.py
%APPDATA%\lib\encodings\iso8859_10.py
%APPDATA%\lib\encodings\iso8859_11.py
%APPDATA%\lib\encodings\iso8859_13.py
%APPDATA%\lib\encodings\iso8859_14.py
%APPDATA%\lib\encodings\iso8859_15.py
%APPDATA%\lib\encodings\iso8859_16.py
%APPDATA%\lib\encodings\iso8859_2.py
%APPDATA%\lib\encodings\iso8859_3.py
%APPDATA%\lib\encodings\iso8859_1.py
%APPDATA%\lib\encodings\iso8859_4.py
%APPDATA%\lib\encodings\iso8859_6.py
%APPDATA%\lib\encodings\iso8859_7.py
%APPDATA%\lib\encodings\iso8859_8.py
%APPDATA%\lib\encodings\iso8859_9.py
%APPDATA%\lib\encodings\johab.py
%APPDATA%\lib\encodings\koi8_r.py
%APPDATA%\lib\encodings\koi8_t.py
%APPDATA%\lib\encodings\koi8_u.py
%APPDATA%\lib\encodings\iso8859_5.py
%APPDATA%\lib\encodings\shift_jis_2004.py
%APPDATA%\lib\encodings\shift_jisx0213.py
%APPDATA%\lib\encodings\tis_620.py
%APPDATA%\lib\encodings\undefined.py
%APPDATA%\lib\http\cookiejar.py
%APPDATA%\lib\http\cookies.py
%APPDATA%\lib\http\server.py
%APPDATA%\lib\importlib\__init__.py
%APPDATA%\lib\importlib\_bootstrap.py
%APPDATA%\lib\importlib\_bootstrap_external.py
%APPDATA%\lib\importlib\abc.py
%APPDATA%\lib\importlib\machinery.py
%APPDATA%\lib\importlib\util.py
%APPDATA%\lib\json\__init__.py
%APPDATA%\lib\json\decoder.py
%APPDATA%\lib\json\encoder.py
%APPDATA%\lib\json\scanner.py
%APPDATA%\lib\json\tool.py
%APPDATA%\lib\logging\__init__.py
%APPDATA%\lib\logging\config.py
%APPDATA%\lib\logging\handlers.py
%APPDATA%\lib\msilib\__init__.py
%APPDATA%\lib\msilib\schema.py
%APPDATA%\lib\http\client.py
%APPDATA%\lib\__pycache__\subprocess.cpython-36.pyc.45732160
%APPDATA%\lib\http\__init__.py
%APPDATA%\lib\html\entities.py
%APPDATA%\lib\encodings\unicode_escape.py
%APPDATA%\lib\encodings\unicode_internal.py
%APPDATA%\lib\encodings\utf_16.py
%APPDATA%\lib\encodings\utf_16_be.py
%APPDATA%\lib\encodings\utf_16_le.py
%APPDATA%\lib\encodings\utf_32.py
%APPDATA%\lib\encodings\utf_32_be.py
%APPDATA%\lib\encodings\utf_32_le.py
%APPDATA%\lib\encodings\utf_7.py
%APPDATA%\lib\encodings\utf_8.py
%APPDATA%\lib\encodings\utf_8_sig.py
%APPDATA%\lib\encodings\uu_codec.py
%APPDATA%\lib\encodings\zlib_codec.py
%APPDATA%\lib\encodings\__pycache__\__init__.cpython-36.pyc
%APPDATA%\lib\encodings\__pycache__\aliases.cpython-36.pyc
%APPDATA%\lib\encodings\__pycache__\idna.cpython-36.pyc
%APPDATA%\lib\encodings\__pycache__\latin_1.cpython-36.pyc
%APPDATA%\lib\encodings\__pycache__\utf_8.cpython-36.pyc
%APPDATA%\lib\html\__init__.py
%APPDATA%\lib\msilib\sequence.py
%APPDATA%\lib\multiprocessing\connection.py
%APPDATA%\lib\distutils\msvc9compiler.py
%APPDATA%\lib\ctypes\__pycache__\_endian.cpython-36.pyc
%APPDATA%\lib\operator.py
%APPDATA%\lib\optparse.py
%APPDATA%\lib\os.py
%APPDATA%\lib\pathlib.py
%APPDATA%\lib\pdb.py
%APPDATA%\lib\pickle.py
%APPDATA%\lib\nturl2path.py
%APPDATA%\lib\pickletools.py
%APPDATA%\lib\opcode.py
%APPDATA%\lib\pkgutil.py
%APPDATA%\lib\plistlib.py
%APPDATA%\lib\poplib.py
%APPDATA%\lib\posixpath.py
%APPDATA%\lib\pprint.py
%APPDATA%\lib\profile.py
%APPDATA%\lib\pstats.py
%APPDATA%\lib\pipes.py
%APPDATA%\lib\pty.py
%APPDATA%\lib\platform.py
%APPDATA%\lib\numbers.py
%APPDATA%\lib\ntpath.py
%APPDATA%\lib\nntplib.py
%APPDATA%\lib\hmac.py
%APPDATA%\lib\imaplib.py
%APPDATA%\lib\imghdr.py
%APPDATA%\lib\imp.py
%APPDATA%\lib\inspect.py
%APPDATA%\lib\io.py
%APPDATA%\lib\ipaddress.py
%APPDATA%\lib\hashlib.py
%APPDATA%\lib\keyword.py
%APPDATA%\lib\locale.py
%APPDATA%\lib\lzma.py
%APPDATA%\lib\macpath.py
%APPDATA%\lib\macurl2path.py
%APPDATA%\lib\mailbox.py
%APPDATA%\lib\mailcap.py
%APPDATA%\lib\mimetypes.py
%APPDATA%\lib\modulefinder.py
%APPDATA%\lib\linecache.py
%APPDATA%\lib\netrc.py
%APPDATA%\lib\gzip.py
%APPDATA%\lib\heapq.py
%APPDATA%\lib\py_compile.py
%APPDATA%\lib\quopri.py
%APPDATA%\lib\stat.py
%APPDATA%\lib\statistics.py
%APPDATA%\lib\string.py
%APPDATA%\lib\stringprep.py
%APPDATA%\lib\struct.py
%APPDATA%\lib\subprocess.py
%APPDATA%\lib\sunau.py
%APPDATA%\lib\sre_parse.py
%APPDATA%\lib\ssl.py
%APPDATA%\lib\symbol.py
%APPDATA%\lib\tabnanny.py
%APPDATA%\lib\tarfile.py
%APPDATA%\lib\telnetlib.py
%APPDATA%\lib\tempfile.py
%APPDATA%\lib\textwrap.py
%APPDATA%\lib\this.py
%APPDATA%\lib\threading.py
%APPDATA%\lib\symtable.py
%APPDATA%\lib\sysconfig.py
%APPDATA%\lib\sre_constants.py
%APPDATA%\lib\socketserver.py
%APPDATA%\lib\configparser.py
%APPDATA%\lib\random.py
%APPDATA%\lib\re.py
%APPDATA%\lib\reprlib.py
%APPDATA%\lib\rlcompleter.py
%APPDATA%\lib\runpy.py
%APPDATA%\lib\sched.py
%APPDATA%\lib\secrets.py
%APPDATA%\lib\selectors.py
%APPDATA%\lib\shelve.py
%APPDATA%\lib\shlex.py
%APPDATA%\lib\shutil.py
%APPDATA%\lib\signal.py
%APPDATA%\lib\site.py
%APPDATA%\lib\smtpd.py
%APPDATA%\lib\smtplib.py
%APPDATA%\lib\sndhdr.py
%APPDATA%\lib\socket.py
%APPDATA%\lib\pyclbr.py
%APPDATA%\lib\queue.py
%APPDATA%\lib\pydoc.py
%APPDATA%\lib\glob.py
%APPDATA%\lib\gettext.py
%APPDATA%\lib\getpass.py
%APPDATA%\dlls\select.pyd
%APPDATA%\dlls\unicodedata.pyd
%APPDATA%\lib\__future__.py
%APPDATA%\lib\__phello__.foo.py
%APPDATA%\lib\_bootlocale.py
%APPDATA%\lib\_collections_abc.py
%APPDATA%\dlls\pyexpat.pyd
%APPDATA%\lib\_compat_pickle.py
%APPDATA%\dlls\python_tools.cat
%APPDATA%\lib\_dummy_thread.py
%APPDATA%\lib\_osx_support.py
%APPDATA%\lib\_pydecimal.py
%APPDATA%\lib\_pyio.py
%APPDATA%\lib\_sitebuiltins.py
%APPDATA%\lib\_strptime.py
%APPDATA%\lib\_threading_local.py
%APPDATA%\lib\_compression.py
%APPDATA%\dlls\pyd.ico
%APPDATA%\lib\_markupbase.py
%APPDATA%\dlls\pyc.ico
%APPDATA%\dlls\py.ico
%APPDATA%\ins.py
%APPDATA%\python36.dll
%APPDATA%\pythonw.exe
%APPDATA%\server.bat
%APPDATA%\server.py
%APPDATA%\vcruntime140.dll
%APPDATA%\dlls\_asyncio.pyd
%APPDATA%\dlls\_bz2.pyd
%APPDATA%\dlls\_ctypes.pyd
%APPDATA%\python3.dll
%APPDATA%\dlls\_decimal.pyd
%APPDATA%\dlls\_hashlib.pyd
%APPDATA%\dlls\_lzma.pyd
%APPDATA%\dlls\_msi.pyd
%APPDATA%\dlls\_multiprocessing.pyd
%APPDATA%\dlls\_overlapped.pyd
%APPDATA%\dlls\_socket.pyd
%APPDATA%\dlls\_ssl.pyd
%APPDATA%\lib\_weakrefset.py
%APPDATA%\dlls\_elementtree.pyd
%APPDATA%\lib\abc.py
%APPDATA%\dlls\python_lib.cat
%APPDATA%\lib\aifc.py
%APPDATA%\lib\copyreg.py
%APPDATA%\lib\csv.py
%APPDATA%\lib\datetime.py
%APPDATA%\lib\decimal.py
%APPDATA%\lib\difflib.py
%APPDATA%\lib\dis.py
%APPDATA%\lib\doctest.py
%APPDATA%\lib\dummy_threading.py
%APPDATA%\lib\enum.py
%APPDATA%\lib\filecmp.py
%APPDATA%\lib\fileinput.py
%APPDATA%\lib\fnmatch.py
%APPDATA%\lib\formatter.py
%APPDATA%\lib\fractions.py
%APPDATA%\lib\ftplib.py
%APPDATA%\lib\functools.py
%APPDATA%\lib\genericpath.py
%APPDATA%\lib\getopt.py
%APPDATA%\lib\copy.py
%APPDATA%\lib\antigravity.py
%APPDATA%\lib\crypt.py
%APPDATA%\lib\sre_compile.py
%APPDATA%\lib\timeit.py
%APPDATA%\lib\compileall.py
%APPDATA%\lib\ast.py
%APPDATA%\lib\asynchat.py
%APPDATA%\lib\asyncore.py
%APPDATA%\lib\base64.py
%APPDATA%\lib\bdb.py
%APPDATA%\lib\binhex.py
%APPDATA%\lib\bisect.py
%APPDATA%\lib\bz2.py
%APPDATA%\lib\argparse.py
%APPDATA%\lib\cprofile.py
%APPDATA%\lib\cgi.py
%APPDATA%\lib\cgitb.py
%APPDATA%\lib\chunk.py
%APPDATA%\lib\cmd.py
%APPDATA%\lib\code.py
%APPDATA%\lib\codecs.py
%APPDATA%\lib\codeop.py
%APPDATA%\lib\colorsys.py
%APPDATA%\lib\calendar.py
%APPDATA%\lib\contextlib.py
%APPDATA%\lib\token.py
%APPDATA%\lib\tokenize.py
%APPDATA%\lib\trace.py
%APPDATA%\lib\ctypes\test\test_frombuffer.py
%APPDATA%\lib\ctypes\test\test_funcptr.py
%APPDATA%\lib\ctypes\test\test_functions.py
%APPDATA%\lib\ctypes\test\test_incomplete.py
%APPDATA%\lib\ctypes\test\test_init.py
%APPDATA%\lib\ctypes\test\test_internals.py
%APPDATA%\lib\ctypes\test\test_keeprefs.py
%APPDATA%\lib\ctypes\test\test_errno.py
%APPDATA%\lib\ctypes\test\test_find.py
%APPDATA%\lib\ctypes\test\test_libc.py
%APPDATA%\lib\ctypes\test\test_memfunctions.py
%APPDATA%\lib\ctypes\test\test_numbers.py
%APPDATA%\lib\ctypes\test\test_objects.py
%APPDATA%\lib\ctypes\test\test_parameters.py
%APPDATA%\lib\ctypes\test\test_pep3118.py
%APPDATA%\lib\ctypes\test\test_pickling.py
%APPDATA%\lib\ctypes\test\test_pointers.py
%APPDATA%\lib\ctypes\test\test_loading.py
%APPDATA%\lib\ctypes\test\test_macholib.py
%APPDATA%\lib\ctypes\test\test_delattr.py
%APPDATA%\lib\ctypes\test\test_checkretval.py
%APPDATA%\lib\ctypes\test\test_cfuncs.py
%APPDATA%\lib\ctypes\macholib\__init__.py
%APPDATA%\lib\ctypes\macholib\dyld.py
%APPDATA%\lib\ctypes\macholib\dylib.py
%APPDATA%\lib\ctypes\macholib\fetch_macholib
%APPDATA%\lib\ctypes\macholib\fetch_macholib.bat
%APPDATA%\lib\ctypes\macholib\framework.py
%APPDATA%\lib\ctypes\test\__init__.py
%APPDATA%\lib\ctypes\test\__main__.py
%APPDATA%\lib\ctypes\macholib\readme.ctypes
%APPDATA%\lib\ctypes\test\test_anon.py
%APPDATA%\lib\ctypes\test\test_arrays.py
%APPDATA%\lib\ctypes\test\test_as_parameter.py
%APPDATA%\lib\ctypes\test\test_bitfields.py
%APPDATA%\lib\ctypes\test\test_buffers.py
%APPDATA%\lib\ctypes\test\test_bytes.py
%APPDATA%\lib\ctypes\test\test_byteswap.py
%APPDATA%\lib\ctypes\test\test_callbacks.py
%APPDATA%\lib\ctypes\test\test_cast.py
%APPDATA%\lib\ctypes\test\test_array_in_pointer.py
%APPDATA%\lib\ctypes\test\test_prototypes.py
%APPDATA%\lib\ctypes\test\test_python_api.py
%APPDATA%\lib\ctypes\test\test_random_things.py
%APPDATA%\lib\ctypes\test\test_refcounts.py
%APPDATA%\lib\dbm\ndbm.py
%APPDATA%\lib\distutils\readme
%APPDATA%\lib\distutils\__init__.py
%APPDATA%\lib\distutils\_msvccompiler.py
%APPDATA%\lib\distutils\archive_util.py
%APPDATA%\lib\distutils\bcppcompiler.py
%APPDATA%\lib\distutils\ccompiler.py
%APPDATA%\lib\distutils\cmd.py
%APPDATA%\lib\distutils\config.py
%APPDATA%\lib\distutils\core.py
%APPDATA%\lib\distutils\cygwinccompiler.py
%APPDATA%\lib\distutils\debug.py
%APPDATA%\lib\distutils\dep_util.py
%APPDATA%\lib\distutils\dir_util.py
%APPDATA%\lib\distutils\dist.py
%APPDATA%\lib\distutils\errors.py
%APPDATA%\lib\distutils\extension.py
%APPDATA%\lib\distutils\fancy_getopt.py
%APPDATA%\lib\distutils\file_util.py
%APPDATA%\lib\dbm\gnu.py
%APPDATA%\lib\dbm\__init__.py
%APPDATA%\lib\dbm\dumb.py
%APPDATA%\lib\curses\textpad.py
%APPDATA%\lib\ctypes\test\test_repr.py
%APPDATA%\lib\ctypes\test\test_returnfuncptrs.py
%APPDATA%\lib\ctypes\test\test_simplesubclasses.py
%APPDATA%\lib\ctypes\test\test_sizes.py
%APPDATA%\lib\ctypes\test\test_slicing.py
%APPDATA%\lib\ctypes\test\test_stringptr.py
%APPDATA%\lib\ctypes\test\test_strings.py
%APPDATA%\lib\ctypes\test\test_struct_fields.py
%APPDATA%\lib\ctypes\test\test_structures.py
%APPDATA%\lib\ctypes\test\test_unaligned_structures.py
%APPDATA%\lib\ctypes\test\test_unicode.py
%APPDATA%\lib\ctypes\test\test_values.py
%APPDATA%\lib\ctypes\test\test_varsize_struct.py
%APPDATA%\lib\ctypes\test\test_win32.py
%APPDATA%\lib\ctypes\test\test_wintypes.py
%APPDATA%\lib\curses\__init__.py
%APPDATA%\lib\curses\ascii.py
%APPDATA%\lib\curses\has_key.py
%APPDATA%\lib\curses\panel.py
%APPDATA%\lib\distutils\log.py
%APPDATA%\lib\asyncio\queues.py
%APPDATA%\lib\ctypes\__pycache__\__init__.cpython-36.pyc
%APPDATA%\lib\ctypes\wintypes.py
%APPDATA%\lib\__pycache__\functools.cpython-36.pyc
%APPDATA%\lib\__pycache__\genericpath.cpython-36.pyc
%APPDATA%\lib\__pycache__\heapq.cpython-36.pyc
%APPDATA%\lib\__pycache__\io.cpython-36.pyc
%APPDATA%\lib\__pycache__\ipaddress.cpython-36.pyc
%APPDATA%\lib\__pycache__\keyword.cpython-36.pyc
%APPDATA%\lib\__pycache__\ntpath.cpython-36.pyc
%APPDATA%\lib\__pycache__\enum.cpython-36.pyc
%APPDATA%\lib\__pycache__\ftplib.cpython-36.pyc
%APPDATA%\lib\__pycache__\operator.cpython-36.pyc
%APPDATA%\lib\__pycache__\reprlib.cpython-36.pyc
%APPDATA%\lib\__pycache__\selectors.cpython-36.pyc
%APPDATA%\lib\__pycache__\site.cpython-36.pyc
%APPDATA%\lib\__pycache__\socket.cpython-36.pyc
%APPDATA%\lib\__pycache__\sre_compile.cpython-36.pyc
%APPDATA%\lib\__pycache__\sre_constants.cpython-36.pyc
%APPDATA%\lib\__pycache__\sre_parse.cpython-36.pyc
%APPDATA%\lib\__pycache__\os.cpython-36.pyc
%APPDATA%\lib\__pycache__\re.cpython-36.pyc
%APPDATA%\lib\__pycache__\copyreg.cpython-36.pyc
%APPDATA%\lib\__pycache__\codecs.cpython-36.pyc
%APPDATA%\lib\__pycache__\base64.cpython-36.pyc
%APPDATA%\lib\tracemalloc.py
%APPDATA%\lib\tty.py
%APPDATA%\lib\turtle.py
%APPDATA%\lib\types.py
%APPDATA%\lib\typing.py
%APPDATA%\lib\uu.py
%APPDATA%\lib\uuid.py
%APPDATA%\lib\warnings.py
%APPDATA%\lib\traceback.py
%APPDATA%\lib\wave.py
%APPDATA%\lib\webbrowser.py
%APPDATA%\lib\xdrlib.py
%APPDATA%\lib\zipapp.py
%APPDATA%\lib\zipfile.py
%APPDATA%\lib\__pycache__\_collections_abc.cpython-36.pyc
%APPDATA%\lib\__pycache__\_sitebuiltins.cpython-36.pyc
%APPDATA%\lib\__pycache__\_weakrefset.cpython-36.pyc
%APPDATA%\lib\__pycache__\abc.cpython-36.pyc
%APPDATA%\lib\weakref.py
%APPDATA%\lib\__pycache__\ssl.cpython-36.pyc
%APPDATA%\lib\__pycache__\stat.cpython-36.pyc
%APPDATA%\lib\__pycache__\string.cpython-36.pyc
%APPDATA%\lib\__pycache__\stringprep.cpython-36.pyc
%APPDATA%\lib\asyncio\streams.py
%APPDATA%\lib\asyncio\subprocess.py
%APPDATA%\lib\asyncio\tasks.py
%APPDATA%\lib\asyncio\test_utils.py
%APPDATA%\lib\asyncio\transports.py
%APPDATA%\lib\asyncio\unix_events.py
%APPDATA%\lib\asyncio\windows_events.py
%APPDATA%\lib\asyncio\windows_utils.py
%APPDATA%\lib\collections\__init__.py
%APPDATA%\lib\collections\abc.py
%APPDATA%\lib\collections\__pycache__\__init__.cpython-36.pyc
%APPDATA%\lib\collections\__pycache__\abc.cpython-36.pyc
%APPDATA%\lib\concurrent\__init__.py
%APPDATA%\lib\concurrent\futures\__init__.py
%APPDATA%\lib\concurrent\futures\_base.py
%APPDATA%\lib\concurrent\futures\process.py
%APPDATA%\lib\concurrent\futures\thread.py
%APPDATA%\lib\ctypes\__init__.py
%APPDATA%\lib\ctypes\_endian.py
%APPDATA%\lib\asyncio\sslproto.py
%APPDATA%\lib\distutils\filelist.py
%APPDATA%\lib\asyncio\selector_events.py
%APPDATA%\lib\asyncio\protocols.py
%APPDATA%\lib\__pycache__\struct.cpython-36.pyc
%APPDATA%\lib\__pycache__\sysconfig.cpython-36.pyc
%APPDATA%\lib\__pycache__\textwrap.cpython-36.pyc
%APPDATA%\lib\__pycache__\types.cpython-36.pyc
%APPDATA%\lib\__pycache__\warnings.cpython-36.pyc
%APPDATA%\lib\__pycache__\weakref.cpython-36.pyc
%APPDATA%\lib\asyncio\__init__.py
%APPDATA%\lib\asyncio\base_events.py
%APPDATA%\lib\asyncio\base_futures.py
%APPDATA%\lib\asyncio\base_subprocess.py
%APPDATA%\lib\asyncio\base_tasks.py
%APPDATA%\lib\asyncio\compat.py
%APPDATA%\lib\asyncio\constants.py
%APPDATA%\lib\asyncio\coroutines.py
%APPDATA%\lib\asyncio\events.py
%APPDATA%\lib\asyncio\futures.py
%APPDATA%\lib\asyncio\locks.py
%APPDATA%\lib\asyncio\log.py
%APPDATA%\lib\asyncio\proactor_events.py
%APPDATA%\lib\ctypes\util.py
%APPDATA%\lib\__pycache__\signal.cpython-36.pyc.45733024

Moves the following files

from %APPDATA%\lib\__pycache__\shutil.cpython-36.pyc.6095648 to %APPDATA%\lib\__pycache__\shutil.cpython-36.pyc
from %APPDATA%\lib\__pycache__\shlex.cpython-36.pyc.36307840 to %APPDATA%\lib\__pycache__\shlex.cpython-36.pyc
from %APPDATA%\lib\__pycache__\webbrowser.cpython-36.pyc.6098240 to %APPDATA%\lib\__pycache__\webbrowser.cpython-36.pyc
from %APPDATA%\lib\__pycache__\glob.cpython-36.pyc.6098816 to %APPDATA%\lib\__pycache__\glob.cpython-36.pyc
from %APPDATA%\lib\__pycache__\contextlib.cpython-36.pyc.6098528 to %APPDATA%\lib\__pycache__\contextlib.cpython-36.pyc
from %APPDATA%\lib\importlib\__pycache__\machinery.cpython-36.pyc.36530624 to %APPDATA%\lib\importlib\__pycache__\machinery.cpython-36.pyc
from %APPDATA%\lib\importlib\__pycache__\abc.cpython-36.pyc.45856000 to %APPDATA%\lib\importlib\__pycache__\abc.cpython-36.pyc
from %APPDATA%\lib\importlib\__pycache__\util.cpython-36.pyc.45855272 to %APPDATA%\lib\importlib\__pycache__\util.cpython-36.pyc
from %APPDATA%\lib\importlib\__pycache__\__init__.cpython-36.pyc.45854856 to %APPDATA%\lib\importlib\__pycache__\__init__.cpython-36.pyc
from %APPDATA%\lib\__pycache__\zipfile.cpython-36.pyc.45632832 to %APPDATA%\lib\__pycache__\zipfile.cpython-36.pyc
from %APPDATA%\lib\__pycache__\lzma.cpython-36.pyc.45631680 to %APPDATA%\lib\__pycache__\lzma.cpython-36.pyc
from %APPDATA%\lib\__pycache__\token.cpython-36.pyc.45632352 to %APPDATA%\lib\__pycache__\token.cpython-36.pyc
from %APPDATA%\lib\__pycache__\tokenize.cpython-36.pyc.45631104 to %APPDATA%\lib\__pycache__\tokenize.cpython-36.pyc
from %APPDATA%\lib\__pycache__\linecache.cpython-36.pyc.45630816 to %APPDATA%\lib\__pycache__\linecache.cpython-36.pyc
from %APPDATA%\lib\__pycache__\traceback.cpython-36.pyc.45630144 to %APPDATA%\lib\__pycache__\traceback.cpython-36.pyc
from %APPDATA%\lib\__pycache__\threading.cpython-36.pyc.45629856 to %APPDATA%\lib\__pycache__\threading.cpython-36.pyc
from %APPDATA%\lib\__pycache__\_compression.cpython-36.pyc.36238800 to %APPDATA%\lib\__pycache__\_compression.cpython-36.pyc
from %APPDATA%\lib\__pycache__\bz2.cpython-36.pyc.6096608 to %APPDATA%\lib\__pycache__\bz2.cpython-36.pyc
from %APPDATA%\lib\__pycache__\posixpath.cpython-36.pyc.6097376 to %APPDATA%\lib\__pycache__\posixpath.cpython-36.pyc
from %APPDATA%\lib\__pycache__\fnmatch.cpython-36.pyc.6095360 to %APPDATA%\lib\__pycache__\fnmatch.cpython-36.pyc
from %APPDATA%\lib\__pycache__\subprocess.cpython-36.pyc.45732160 to %APPDATA%\lib\__pycache__\subprocess.cpython-36.pyc
from %APPDATA%\lib\__pycache__\signal.cpython-36.pyc.45733024 to %APPDATA%\lib\__pycache__\signal.cpython-36.pyc

Network activity

Connects to

'19#.#49.189.199':21
'19#.#49.189.199':64166
'ga###alpha.io':80
'19#.#49.189.199':64366
'19#.#49.189.199':52595
'14#.#2.20.165':1680
'19#.#49.189.199':60266

TCP

HTTP GET requests

http://ga###alpha.io/

HTTP POST requests

http://ga###alpha.io/c2conf

Other

'19#.#49.189.199':21
'14#.#2.20.165':1680

UDP

DNS ASK ga###alpha.io

Miscellaneous

Creates and executes the following

'%APPDATA%\pythonw.exe' %APPDATA%\ins.py
'%APPDATA%\pythonw.exe'
'%APPDATA%\pythonw.exe' %APPDATA%\1880.py
'%APPDATA%\pythonw.exe' %APPDATA%\server.py

Executes the following

'%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\server.bat""
'%ProgramFiles(x86)%\internet explorer\iexplore.exe'

Технологии

Термины

Обучение и просвещение

Мифы

Technical Information

Рекомендации по лечению

Демо бесплатно на 14 дней