Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\DllHost.exe' /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Inst\Kak\cheburek.bat" "
- '<SYSTEM32>\WScript.exe' "%PROGRAM_FILES%\Inst\Kak\buhlo.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Inst\Kak\Uninstall.exe
- %PROGRAM_FILES%\Inst\Kak\1.txt
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\292[1]
- %PROGRAM_FILES%\Inst\Kak\Uninstall.ini
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %PROGRAM_FILES%\Inst\Kak\cheburek.bat
- %PROGRAM_FILES%\Inst\Kak\buhlo.vbs
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '19#.#75.125.195':80
- 'localhost':58786
TCP:
Запросы HTTP GET:
- 19#.#75.125.195/zayats/podoxdfdf/292
