ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.Siggen4.21075

Добавлен в вирусную базу Dr.Web: 2013-04-22

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run] 'llajyn_df' = '%WINDIR%\system\lljyn081119.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wimine' = '<SYSTEM32>\wimine.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'vmdetdhc.exe' = '<SYSTEM32>\vmdetdhc.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify] 'DllName' = 'wminotify.dll'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify] 'Startup' = 'EventStartup'
Создает или изменяет следующие файлы:
  • %WINDIR%\Tasks\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e.job
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\obfp] 'Start' = '00000000'
  • [<HKLM>\SYSTEM\ControlSet001\Services\wwfdgekj] 'Start' = '00000000'
Заражает следующие исполняемые системные файлы:
  • <SYSTEM32>\ctfmon.exe
  • <DRIVERS>\beep.sys
Подменяет следующие исполняемые системные файлы:
  • <SYSTEM32>\dllcache\beep.sys файлом <SYSTEM32>\dllcache\beep.sys.new
  • <DRIVERS>\beep.sys файлом <DRIVERS>\beep.sys.new
Вредоносные функции:
Создает и запускает на исполнение:
  • '%TEMP%\go8_1001.exe'
  • '%TEMP%\10.exe'
  • '%TEMP%\0917.exe'
  • '<SYSTEM32>\vmdetdhc.exe' -Start
  • '%TEMP%\smss.exe'
  • '<SYSTEM32>\loadssl.exe'
  • '%TEMP%\setup_1027272.exe'
  • '%TEMP%\Setup706.exe'
  • '%WINDIR%\wwfdgekj.exe'
  • '%TEMP%\qq01.exe'
  • '%TEMP%\to8_2222.exe'
  • '%TEMP%\TBSetup(-33554357).exe'
  • '%TEMP%\small.exe'
  • '%TEMP%\1045.exe'
  • '%TEMP%\4005.exe'
  • '%TEMP%\setup1487.exe'
Запускает на исполнение:
  • '<SYSTEM32>\ping.exe' -n 3 127.0.0.1
  • '<SYSTEM32>\cmd.exe' /c ""c:\dfDelmlljy.bat" "
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\Ade.dll,DllUnregisterServer
  • '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\1H7yx9.bat
  • '<SYSTEM32>\cmd.exe' /c %TEMP%\$$30689.bat
  • '%WINDIR%\explorer.exe'
  • '<SYSTEM32>\ping.exe' 127.0.0.1
  • '<SYSTEM32>\cmd.exe' /c %TEMP%\tmp.bat
  • '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\copy2090000.bat
  • '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\LeftPlug.dll
  • '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\zzToolBar\Toolbar_bho.dll"
  • '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\zzToolBar\ToolBand.dll"
  • '<SYSTEM32>\ctfmon.exe'
  • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\Ade.dll,DllRegisterServer
  • '<SYSTEM32>\cmd.exe' /c %TEMP%\dsetup.bat
  • '<SYSTEM32>\spoolsv.exe' -Start
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\svchost.exe
  • <SYSTEM32>\spoolsv.exe
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\ctfmon.exe
следующие пользовательские процессы:
  • 360tray.exe
  • iexplore.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
  • NtQueryDirectoryFile, драйвер-обработчик: ruofpguw.sys
  • NtQuerySystemInformation, драйвер-обработчик: ruofpguw.sys
  • NtEnumerateKey, драйвер-обработчик: ruofpguw.sys
  • NtEnumerateValueKey, драйвер-обработчик: ruofpguw.sys
Скрывает следующие процессы:
  • %WINDIR%\wwfdgekj.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\system\lljyn081119.exe
  • %ALLUSERSPROFILE%\lljyndf16.ini
  • <SYSTEM32>\Ade.dll
  • <DRIVERS>\ucufibk.sys
  • %TEMP%\smss.exe
  • <SYSTEM32>\1H7yx9.bat
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\downloader[1].gif
  • %TEMP%\tmp.tmp
  • %TEMP%\nsn6.tmp\inetc.dll
  • %WINDIR%\ResetTest.txt
  • %TEMP%\nsn6.tmp\System.dll
  • %TEMP%\nsn6.tmp\Base64.dll
  • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶Ї Internet Explorer дЇААЖч.lnk
  • %HOMEPATH%\Favorites\НшЦ·µјєЅ.url
  • %CommonProgramFiles%\mssafe\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e\mssafe.exe
  • %CommonProgramFiles%\mssafe\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e\mssafe.dll
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[1].aspx
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\setup1487[1].txt
  • <SYSTEM32>\s1366251158h.dat
  • <SYSTEM32>\Web.ini
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\update[1].txt
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\main[1].dll
  • %CommonProgramFiles%\mssafe\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e\main.dll
  • <SYSTEM32>\s1366251158g.dat
  • %TEMP%\$$30689.bat
  • C:\dfDelmlljy.bat
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[2].aspx
  • %WINDIR%\system\llbjyn32bb.dll
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ini[1].aspx
  • %TEMP%\tmp.bat
  • %PROGRAM_FILES%\zzToolBar\uISGRLFile.dat
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[3].aspx
  • <SYSTEM32>\wimine.exe
  • %TEMP%\10.exe
  • %TEMP%\setup_1027272.exe
  • %TEMP%\0917.exe
  • %TEMP%\go8_1001.exe
  • %WINDIR%\wwfdgekj.exe
  • %TEMP%\nsx4.tmp\Processes.dll
  • %TEMP%\Setup706.exe
  • <DRIVERS>\ruofpguw.sys
  • %TEMP%\TBSetup(-33554357).exe
  • %TEMP%\qq01.exe
  • %TEMP%\nse2.tmp
  • %TEMP%\to8_2222.exe
  • %TEMP%\small.exe
  • %TEMP%\1045.exe
  • %TEMP%\4005.exe
  • %TEMP%\setup1487.exe
  • %PROGRAM_FILES%\zzToolBar\ToolBand.dll
  • <SYSTEM32>\wminotify.dll
  • <SYSTEM32>\dllcache\wminotify.dll
  • %PROGRAM_FILES%\zzToolBar\Uninstall.exe
  • <SYSTEM32>\vmdetdhc.exe
  • <SYSTEM32>\MainCtl.dll
  • <SYSTEM32>\dllcache\MainCtl.dll
  • <SYSTEM32>\loadssl.exe
  • <SYSTEM32>\kmedia.dat
  • %PROGRAM_FILES%\zzToolBar\SearchEngineConfig
  • <SYSTEM32>\Com\ie.exe
  • %PROGRAM_FILES%\zzToolBar\Toolbar_bho.dll
  • %PROGRAM_FILES%\zzToolBar\IP.dat
  • %TEMP%\dsetup.bat
  • %WINDIR%\msagente\system.wav
  • <SYSTEM32>\MinorCtrl.dll
  • <SYSTEM32>\copy2090000.bat
Присваивает атрибут 'скрытый' для следующих файлов:
  • %CommonProgramFiles%\mssafe\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e\mssafe.dll
  • <SYSTEM32>\vmdetdhc.exe
Удаляет следующие файлы:
  • %TEMP%\nsn6.tmp\inetc.dll
  • %TEMP%\nsn6.tmp\System.dll
  • %TEMP%\nsn6.tmp\Base64.dll
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[3].aspx
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[2].aspx
  • %CommonProgramFiles%\mssafe\8a9cb74b-0577-42fa-8ca7-1a86209bbe5e\main.dll
  • %TEMP%\Setup706.exe
  • <SYSTEM32>\s1366251158g.dat
  • %TEMP%\4005.exe
  • <SYSTEM32>\s1366251158h.dat
  • %TEMP%\1045.exe
  • %TEMP%\setup1487.exe
  • <SYSTEM32>\kmedia.dat
  • %TEMP%\nsx4.tmp\Processes.dll
  • %TEMP%\to8_2222.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ini[1].aspx
  • %TEMP%\10.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ini[1].aspx
  • %TEMP%\tmp.tmp
  • %TEMP%\setup_1027272.exe
Сетевая активность:
Подключается к:
  • 'www.fl##dad.com':80
  • '20##.366ent.com':80
  • 'localhost':1059
  • 'www.wo#####idongxi.com.cn':80
  • 'pw#.#1ave.net':80
  • 'aa##.11ave.net':80
  • 'su#####.cnsitetop.com':80
  • '25#.#55.255.255':80
  • 'ms#.#lone.cn':80
  • 'localhost':1037
  • 'localhost':1036
  • 'localhost':1049
  • 'localhost':1057
  • 'localhost':1053
  • 'www.rj##utai.cn':80
TCP:
Запросы HTTP GET:
  • www.wo#####idongxi.com.cn/update.php?bX##################################
  • www.fl##dad.com/web/get_core_infov2.asp?ty####################################
  • su#####.cnsitetop.com/client/main.dll
  • pw#.#1ave.net/cike.php?fi#################################################
  • aa##.11ave.net/cike.php?fi#################################################
  • 20##.366ent.com/2008//user/setup1487.txt
  • www.rj##utai.cn/ini.aspx
  • ms#.#lone.cn/html/downloader.gif
  • www.rj##utai.cn/hailiang.aspx?ac##################################################################################################################################
  • 20##.366ent.com/2008//update.txt
  • 25#.#55.255.255/web/get_core_infov2.asp?ty####################################
UDP:
  • DNS ASK www.bu#####nchang.com.cn
  • DNS ASK up####.heishatu.cn
  • DNS ASK aa.#234.net
  • DNS ASK su#####.cnsitetop.com
  • DNS ASK id#.#kaka.com
  • DNS ASK 20##.366ent.com
  • DNS ASK www.wo#####idongxi.com.cn
  • DNS ASK www.fl##dad.com
  • DNS ASK www.ha###580.com
  • DNS ASK www.rj##utai.cn
  • DNS ASK pw#.#1ave.net
  • DNS ASK ud#.#job123.com
  • DNS ASK ms#.#lone.cn
  • DNS ASK tj.###dia.com.cn
  • DNS ASK dn#.#rads.cn
  • DNS ASK xy#.#as2222.cn
  • DNS ASK aa##.11ave.net
  • 'ud#.#job123.com':31801
Другое:
Ищет следующие окна:
  • ClassName: 'Proxy Desktop' WindowName: ''
  • ClassName: '' WindowName: ''
  • ClassName: 'IEFrame' WindowName: ''
  • ClassName: 'BaseBar' WindowName: 'ChanApp'
  • ClassName: 'CSCHiddenWindow' WindowName: ''
  • ClassName: 'SystemTray_Main' WindowName: ''
  • ClassName: 'SysListView32' WindowName: ''
  • ClassName: 'CabinetWClass' WindowName: ''
  • ClassName: '' WindowName: 'HLTENCENTAD'
  • ClassName: '' WindowName: 'Shell_TrayWnd'
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'MS_WebcheckMonitor' WindowName: ''
  • ClassName: 'MS_AutodialMonitor' WindowName: ''
  • ClassName: '{F03B79CC-5B19-4D71-9EDD-FFDD44B441BF}' WindowName: '{F03B79CC-5B19-4D71-9EDD-FFDD44B441BF}'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play