Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftPerfWD' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Сетевая активность:
Подключается к:
- '74.##5.232.51':25
- 'ma##.mail.com':25
- 'ma##.###jnewkwefewamail.com':443
- 'ma##.#otmail.com':25
- '67.##5.160.76':25
- 'ma##.aol.com':25
UDP:
- DNS ASK ma##.google.com
- DNS ASK google.com
- DNS ASK ma##.aol.com
- DNS ASK ma##.###jnewkwefewamail.com
- DNS ASK ma##.mail.com
- DNS ASK ma##.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK ma##.#otmail.com
- DNS ASK ho##ail.com
- DNS ASK ao#.com
- DNS ASK ma##.yahoo.com
- DNS ASK ya##o.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
