Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\iiqo.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\iiqo
- C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\d42cc0c3858a58db2db37658219e6400_fdaad129-04df-4089-bb80-174ce725f721
- <SYSTEM32>\Microsoft\Protect\S-1-5-18\User\c2985e6c-0e3c-4da1-82f5-f4539420fe5d
Сетевая активность:
Подключается к:
- 'ly###y.pp.ua':80
- 'ta###a.pp.ua':80
- 'to###e.pp.ua':80
- 'ik###fulolo.biz':80
- 'lo####truasf.biz':80
- 'zo###y.pp.ua':80
- 'ad###z.pp.ua':80
- 'la###yk.pp.ua':80
- 'yz###d.pp.ua':80
- 'yl###k.pp.ua':80
- 'yd###d.pp.ua':80
TCP:
Запросы HTTP GET:
- ly###y.pp.ua/390/289.html
- ta###a.pp.ua/862/592.html
- to###e.pp.ua/317/326.html
- ik###fulolo.biz/525/380.html
- lo####truasf.biz/839/445.html
- zo###y.pp.ua/882/556.html
- ad###z.pp.ua/486/989.html
- la###yk.pp.ua/332/119.html
- yz###d.pp.ua/915/380.html
- yl###k.pp.ua/692/337.html
- yd###d.pp.ua/446/299.html
UDP:
- DNS ASK ly###y.pp.ua
- DNS ASK ta###a.pp.ua
- DNS ASK to###e.pp.ua
- DNS ASK ik###fulolo.biz
- DNS ASK lo####truasf.biz
- DNS ASK zo###y.pp.ua
- DNS ASK ad###z.pp.ua
- DNS ASK la###yk.pp.ua
- DNS ASK yz###d.pp.ua
- DNS ASK yl###k.pp.ua
- DNS ASK yd###d.pp.ua
