Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System Security' = '<Полный путь к вирусу>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'System Security' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System Security' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'System Security' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\System Components Update
- <SYSTEM32>\Tasks\System Security
Сетевая активность:
Подключается к:
- '94.##0.191.201':25
- 'ma##.#ailinator.com':25
- '91.#07.6.22':40601
- 'ma##.gmail.com':25
- 'ma##.#otmail.com':25
- '67.##5.160.76':25
- 'ma##.aol.com':25
UDP:
- DNS ASK ma#l.ru
- DNS ASK dn#.##ftncsi.com
- DNS ASK ma##.gmail.com
- DNS ASK ma##.#ailinator.com
- DNS ASK ma###nator.com
- DNS ASK ma##.mail.ru
- DNS ASK gm##l.com
- DNS ASK ya##o.com
- DNS ASK ma##.#otmail.com
- DNS ASK ho##ail.com
- DNS ASK ma##.aol.com
- DNS ASK ao#.com
- DNS ASK ma##.yahoo.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
