Trojan.PWS.Siggen2.64570

Added to the Dr.Web virus database: 2021-04-17

Virus description added: 2021-04-24

Technical Information

Malicious functions

Reads files which store third party applications passwords

%LOCALAPPDATA%\google\chrome\user data\default\login data
%LOCALAPPDATA%\google\chrome\user data\default\cookies
%LOCALAPPDATA%\google\chrome\user data\default\web data
%APPDATA%\opera software\opera stable\login data

Modifies file system

Creates the following files

%ALLUSERSPROFILE%\5563
%TEMP%\tmp8ce8.tmp
%TEMP%\tmp8ce7.tmp
%TEMP%\tmp8ce6.tmp
%TEMP%\tmp8ce5.tmp
%TEMP%\tmp8cd4.tmp
%TEMP%\tmp8cd3.tmp
%TEMP%\tmp8cd2.tmp
%TEMP%\tmp8cc2.tmp
%TEMP%\tmp8cc1.tmp
%TEMP%\tmp8cc0.tmp
%TEMP%\tmp8cf8.tmp
%TEMP%\tmp8caf.tmp
%TEMP%\tmp8c9d.tmp
%TEMP%\tmp8c9c.tmp
%TEMP%\tmp8c9b.tmp
%TEMP%\tmp8c9a.tmp
%TEMP%\tmp8c99.tmp
%TEMP%\tmp8c89.tmp
%TEMP%\tmp8c88.tmp
%TEMP%\tmp8c87.tmp
%TEMP%\tmp8c76.tmp
%TEMP%\tmp8c75.tmp
%TEMP%\tmp8cae.tmp
%TEMP%\tmp8cf9.tmp
%TEMP%\tmp8cfa.tmp
%TEMP%\tmp8cfb.tmp
%TEMP%\tmp8d80.tmp
%TEMP%\tmp8d7f.tmp
%TEMP%\tmp8d6e.tmp
%TEMP%\tmp8d6d.tmp
%TEMP%\tmp8d6c.tmp
%TEMP%\tmp8d5b.tmp
%TEMP%\tmp8d5a.tmp
%TEMP%\tmp8d59.tmp
%TEMP%\tmp8d58.tmp
%TEMP%\tmp8d48.tmp
%TEMP%\tmp8d47.tmp
%TEMP%\tmp8d46.tmp
%TEMP%\tmp8d45.tmp
%TEMP%\tmp8d34.tmp
%TEMP%\tmp8d33.tmp
%TEMP%\tmp8d32.tmp
%TEMP%\tmp8d31.tmp
%TEMP%\tmp8d21.tmp
%TEMP%\tmp8d20.tmp
%TEMP%\tmp8d1f.tmp
%TEMP%\tmp8d0e.tmp
%TEMP%\tmp8d0d.tmp
%TEMP%\tmp8d0c.tmp
%TEMP%\tmp8c74.tmp
%TEMP%\tmp8d81.tmp
%TEMP%\tmp8c64.tmp
%TEMP%\tmp8c52.tmp
%TEMP%\tmp8b6b.tmp
%TEMP%\tmp8b6a.tmp
%TEMP%\tmp8b5a.tmp
%TEMP%\tmp8b59.tmp
%TEMP%\tmp8b58.tmp
%TEMP%\tmp8b47.tmp
%TEMP%\tmp8b46.tmp
%TEMP%\tmp8b35.tmp
%TEMP%\tmp8b34.tmp
%TEMP%\tmp8b33.tmp
%TEMP%\tmp8b6c.tmp
%TEMP%\tmp8b23.tmp
%TEMP%\tmp8b21.tmp
%TEMP%\tmp8ae1.tmp
%TEMP%\tmp89f6.tmp
%ALLUSERSPROFILE%\55\nss3.dll
%ALLUSERSPROFILE%\55\msvcp140.dll
%ALLUSERSPROFILE%\55\mozglue.dll
%ALLUSERSPROFILE%\55\freebl3.dll
%ALLUSERSPROFILE%\55\vcruntime140.dll
%ALLUSERSPROFILE%\55\sqlite3.dll
%ALLUSERSPROFILE%\55\softokn3.dll
%TEMP%\tmp8b22.tmp
%TEMP%\tmp8b7d.tmp
%TEMP%\tmp8b7e.tmp
%TEMP%\tmp8b7f.tmp
%TEMP%\tmp8c41.tmp
%TEMP%\tmp8c40.tmp
%TEMP%\tmp8c01.tmp
%TEMP%\tmp8c00.tmp
%TEMP%\tmp8bff.tmp
%TEMP%\tmp8bee.tmp
%TEMP%\tmp8bed.tmp
%TEMP%\tmp8bec.tmp
%TEMP%\tmp8bdc.tmp
%TEMP%\tmp8bdb.tmp
%TEMP%\tmp8bda.tmp
%TEMP%\tmp8bc9.tmp
%TEMP%\tmp8bc8.tmp
%TEMP%\tmp8bc7.tmp
%TEMP%\tmp8bc6.tmp
%TEMP%\tmp8bb6.tmp
%TEMP%\tmp8bb5.tmp
%TEMP%\tmp8ba4.tmp
%TEMP%\tmp8ba3.tmp
%TEMP%\tmp8ba2.tmp
%TEMP%\tmp8ba1.tmp
%TEMP%\tmp8b90.tmp
%TEMP%\tmp8b8f.tmp
%TEMP%\tmp8c63.tmp
%ALLUSERSPROFILE%\51097.51097

Deletes the following files

%TEMP%\tmp8ae1.tmp
%TEMP%\tmp8c9d.tmp
%TEMP%\tmp8caf.tmp
%TEMP%\tmp8cc1.tmp
%TEMP%\tmp8cd2.tmp
%TEMP%\tmp8cd4.tmp
%TEMP%\tmp8ce6.tmp
%TEMP%\tmp8ce8.tmp
%TEMP%\tmp8cf9.tmp
%TEMP%\tmp8c99.tmp
%TEMP%\tmp8c9b.tmp
%TEMP%\tmp8cfb.tmp
%TEMP%\tmp8d21.tmp
%TEMP%\tmp8d32.tmp
%TEMP%\tmp8d34.tmp
%TEMP%\tmp8d46.tmp
%TEMP%\tmp8d48.tmp
%TEMP%\tmp8d59.tmp
%TEMP%\tmp8d5b.tmp
%TEMP%\tmp8d6d.tmp
%TEMP%\tmp8d0d.tmp
%TEMP%\tmp8d1f.tmp
%TEMP%\tmp8c88.tmp
%TEMP%\tmp8c76.tmp
%TEMP%\tmp8c74.tmp
%TEMP%\tmp8b33.tmp
%TEMP%\tmp8b35.tmp
%TEMP%\tmp8b47.tmp
%TEMP%\tmp8b59.tmp
%TEMP%\tmp8b6a.tmp
%TEMP%\tmp8b6c.tmp
%TEMP%\tmp8b7e.tmp
%TEMP%\tmp8b8f.tmp
%TEMP%\tmp8ba1.tmp
%TEMP%\tmp8b22.tmp
%TEMP%\tmp8ba3.tmp
%TEMP%\tmp8bc6.tmp
%TEMP%\tmp8bc8.tmp
%TEMP%\tmp8bda.tmp
%TEMP%\tmp8bdc.tmp
%TEMP%\tmp8bed.tmp
%TEMP%\tmp8bff.tmp
%TEMP%\tmp8c01.tmp
%TEMP%\tmp8c41.tmp
%TEMP%\tmp8c63.tmp
%TEMP%\tmp8bb5.tmp
%TEMP%\tmp8d7f.tmp
%TEMP%\tmp8d81.tmp

Network activity

TCP

'po####ns3rts.xyz':443
'mu###islife.xyz':443

UDP

DNS ASK po####ns3rts.xyz
DNS ASK mu###islife.xyz

Technologies

Terminology

Training and education

Myths

Technical Information

Curing recommendations

Free trial