Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\WScript.exe' "<Текущая директория>\tem.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\tem.vbs
Самоудаляется.
Сетевая активность:
Подключается к:
- 'wu##.#####n-hangzhou.aliyuncs.com':80
- 'do####ad.2345.cn':80
- 'qq#####94.b.xundisk.net':80
- 'do####ad.035668.com':80
TCP:
Запросы HTTP GET:
- wu##.#####n-hangzhou.aliyuncs.com/qd/114gglm_011.exe
- do####ad.2345.cn/silence/2345Explorer_253191_silence.exe
- qq#####94.b.xundisk.net/xinde.exe
- do####ad.035668.com/onlinetime/sonlinetime_1135.exe
UDP:
- DNS ASK wu##.#####n-hangzhou.aliyuncs.com
- DNS ASK do####ad.2345.cn
- DNS ASK qq#####94.b.xundisk.net
- DNS ASK do####ad.035668.com
