Trojan.Siggen27.22626

Technical Information

To ensure autorun and distribution

Creates or modifies the following files

<SYSTEM32>\tasks\freeupdiskmgr

Malicious functions

Registers BHO

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59A78827-30FA-4C31-85F1-F958BAF22976}]

Modifies file system

Creates the following files

%TEMP%\7982.tmp
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\shellmenu.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\shellmenu_x64.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\spacefree.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\warpfree.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\web.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\webready.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\webres.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\curl.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\diskmgrspeed.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\freeupdiskmgr.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\freeupdiskmgrver.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgevnchk.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\refutepop.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\mgcute.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\updateblock.dll
%ProgramFiles(x86)%\freeupdiskmgr\updatecfg.ini
%ProgramFiles(x86)%\freeupdiskmgr\config.ini
C:\users\public\desktop\freeup磁盘管家.lnk
%ALLUSERSPROFILE%\microsoft\windows\start menu\programs\freeup磁盘管家\freeup磁盘管家.lnk
%ALLUSERSPROFILE%\microsoft\windows\start menu\programs\freeup磁盘管家\卸载freeup磁盘管家.lnk
%APPDATA%\freeupdiskmgrdata\config.ini
%ProgramFiles(x86)%\freeupdiskmgr\setup.log
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef.7z
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\cef.pak
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\cef_100_percent.pak
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\uninst.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\update.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgatctrl.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\freepack.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskmd.exe
%TEMP%\{49436e5f-7a67-4088-9a59-ed1bab799abd}.tmp\warpfree.dll
%TEMP%\{f006eab4-83d5-49b4-8c24-fac93097a2bf}.tf
%TEMP%\{77c470ec-f0c4-4d00-bedd-f42c13d22ddc}.tmp
%TEMP%\{811794f9-3de9-4d14-b5cf-b2fc707947c3}.tmp\7z.dll
%TEMP%\{620db52f-849a-4d3b-916b-ca82682f2087}.tmp
%TEMP%\{d330b844-f47b-4809-96df-9e4f3893723c}.tmp\curl.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\{8155515e-c5f3-406b-ae56-a02773e8cd38}.tf
%TEMP%\{8763b4c6-f7bf-4700-aa5a-84dcfe4bc7fd}.tmp
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\filelist.xml
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\freeup.prj
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\uninstallrootdirfilelist.xml
%ProgramFiles(x86)%\freeupdiskmgr\{0a71e918-3763-4259-95c2-f27a77aef0b4}.tf
%TEMP%\{401fa823-2418-4133-b97f-02d3c21f22cb}.tmp
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskcfg.db
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\softrule.db
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\brprovider.plg
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\incflat.plg
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\spmodule.plg
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\skin\webui.dat
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\updatecfg.ini
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\basic.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\bugreport.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cef\web.exe
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cfgcenter.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cfgcenterstub.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskclean.dll
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgevnchk.dat
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\cef_200_percent.pak
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\cef_extensions.pak

Deletes the following files

%TEMP%\{401fa823-2418-4133-b97f-02d3c21f22cb}.tmp
%TEMP%\{f006eab4-83d5-49b4-8c24-fac93097a2bf}.tf
%TEMP%\{77c470ec-f0c4-4d00-bedd-f42c13d22ddc}.tmp
%TEMP%\{620db52f-849a-4d3b-916b-ca82682f2087}.tmp
%ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\{8155515e-c5f3-406b-ae56-a02773e8cd38}.tf
%TEMP%\{8763b4c6-f7bf-4700-aa5a-84dcfe4bc7fd}.tmp
%ProgramFiles(x86)%\freeupdiskmgr\{0a71e918-3763-4259-95c2-f27a77aef0b4}.tf
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\filelist.xml
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\freeup.prj
%TEMP%\{7c0da2f8-7df7-4822-b251-da3053b4dab8}.tmp\uninstallrootdirfilelist.xml
%ProgramFiles(x86)%\freeupdiskmgr\bin\cef.7z

Moves the following files

from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskcfg.db to %ProgramFiles(x86)%\freeupdiskmgr\bin\diskcfg.db
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\shellmenu.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\shellmenu.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\shellmenu_x64.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\shellmenu_x64.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\spacefree.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\spacefree.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\warpfree.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\warpfree.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\web.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\web.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\webready.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\webready.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\curl.dll to %ProgramFiles(x86)%\freeupdiskmgr\curl.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\updateblock.dll to %ProgramFiles(x86)%\freeupdiskmgr\updateblock.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\diskmgrspeed.exe to %ProgramFiles(x86)%\freeupdiskmgr\diskmgrspeed.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\freeupdiskmgr.exe to %ProgramFiles(x86)%\freeupdiskmgr\freeupdiskmgr.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\freeupdiskmgrver.dll to %ProgramFiles(x86)%\freeupdiskmgr\freeupdiskmgrver.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\mgcute.exe to %ProgramFiles(x86)%\freeupdiskmgr\plugin\mgcute.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\uninst.exe to %ProgramFiles(x86)%\freeupdiskmgr\uninst.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\update.exe to %ProgramFiles(x86)%\freeupdiskmgr\update.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\refutepop.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\refutepop.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\webres.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\webres.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgevnchk.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\mgevnchk.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\updatecfg.ini to %ProgramFiles(x86)%\freeupdiskmgr\updatecfg.ini
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgevnchk.dat to %ProgramFiles(x86)%\freeupdiskmgr\bin\mgevnchk.dat
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\softrule.db to %ProgramFiles(x86)%\freeupdiskmgr\bin\softrule.db
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\brprovider.plg to %ProgramFiles(x86)%\freeupdiskmgr\plugin\brprovider.plg
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\incflat.plg to %ProgramFiles(x86)%\freeupdiskmgr\plugin\incflat.plg
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\plugin\spmodule.plg to %ProgramFiles(x86)%\freeupdiskmgr\plugin\spmodule.plg
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\skin\webui.dat to %ProgramFiles(x86)%\freeupdiskmgr\skin\webui.dat
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\basic.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\basic.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\freepack.exe to %ProgramFiles(x86)%\freeupdiskmgr\bin\freepack.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\bugreport.exe to %ProgramFiles(x86)%\freeupdiskmgr\bin\bugreport.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cef\web.exe to %ProgramFiles(x86)%\freeupdiskmgr\bin\cef\web.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cfgcenter.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\cfgcenter.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\cfgcenterstub.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\cfgcenterstub.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskclean.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\diskclean.dll
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\diskmd.exe to %ProgramFiles(x86)%\freeupdiskmgr\bin\diskmd.exe
from %ALLUSERSPROFILE%\{4fe58412-70fe-4fe9-9ce5-b49ccc68313d}.tmp\bin\mgatctrl.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\mgatctrl.dll
from %TEMP%\{811794f9-3de9-4d14-b5cf-b2fc707947c3}.tmp\7z.dll to %ProgramFiles(x86)%\freeupdiskmgr\bin\7z.dll

Network activity

Connects to

's.####artech.com':80
'fr######pi.joyfartech.com':80
'cd#####e.joyfartech.com':80
'lp#######nake3.joyfartech.com':443
'ba##.#oyfartech.com':443

TCP

HTTP GET requests

http://s.####artech.com/report?pi##############################################################################################################################
http://fr######pi.joyfartech.com/cmsConfig/appInfo?na#######
http://cd#####e.joyfartech.com/FreeUp/FreeUpDiskMgrSetup_1.0.0.1015.exe
http://s.####artech.com/report?pi############################################################################################################################
http://s.####artech.com/report?pi################################################################################################################################
http://s.####artech.com/url3?pi###############################################################################################################################
http://s.####artech.com/report?pi###############################################################################################################################
http://s.####artech.com/url3?pi##################################################################################################################################
http://s.####artech.com/url3?pi#############################################################################################################################
http://s.####artech.com/report?pi###################################################################################################################################
http://s.####artech.com/report?pi######################################################################################################################################
http://cd#####e.joyfartech.com/cms/project_117/cfg_center/mod_list.js
http://s.####artech.com/report?pi#######################################################################################################################################
http://s.####artech.com/url3?pi##############################################################################################################################

Other

'lp#######nake3.joyfartech.com':443
'ba##.#oyfartech.com':443

UDP

DNS ASK fr######pi.joyfartech.com
DNS ASK s.####artech.com
DNS ASK cd#####e.joyfartech.com
DNS ASK lp#######nake3.joyfartech.com
DNS ASK ba##.#oyfartech.com

Miscellaneous

Searches for the following windows

ClassName: 'freeupdiskmgrspeed_mainwndclassname' WindowName: ''
ClassName: 'freeupdiskmgr_mainwndclassname' WindowName: ''
ClassName: 'freeupdiskmgr_dataprovider@msgclassname' WindowName: 'freeupdiskmgr_dataprovider@msgclassname'

Creates and executes the following

'%ProgramFiles(x86)%\freeupdiskmgr\freeupdiskmgr.exe' --softid=
'%ProgramFiles(x86)%\freeupdiskmgr\diskmgrspeed.exe' --updatefinish
'%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\web.exe' --parent_wnd=1a017e --tab_rect="0,0,822,540" --tab_ids="7A1B2D2F-09B6-4c09-B2E8-558751260E1A" --cmd="" --disable-gpu --disable-gpu-compositing --url="zip://1D98F9CE-84A6-48C8-AE9E-738ED930CCDB|...
'%ProgramFiles(x86)%\freeupdiskmgr\bin\cef\web.exe' --type=renderer --disable-gpu-compositing --no-sandbox --lang=en-US --lang=zh-CN --log-file="%APPDATA%\FreeUpDiskMgrData\cef.log" --disable-extensions --ppapi-flash-path=pepflashplayer.dll --pp...

Technologies

Begriffe

Schulung und Training

Mythen

Technical Information

Curing recommendations

Free trial