Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\CabD010.tmp
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabD058.tmp
- %TEMP%\Cab4D37.tmp
- %TEMP%\Tar4CC9.tmp
- %TEMP%\Cab4CC8.tmp
- %TEMP%\Tar8894.tmp
- %TEMP%\Cab8884.tmp
- %TEMP%\Tar4D38.tmp
Удаляет следующие файлы:
- %TEMP%\Tar8894.tmp
- %TEMP%\Cab8884.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\CabD058.tmp
- %TEMP%\CabD010.tmp
- %TEMP%\Tar4CC9.tmp
- %TEMP%\Cab4CC8.tmp
- %TEMP%\Tar4D38.tmp
- %TEMP%\Cab4D37.tmp
Сетевая активность:
Подключается к:
- 'cs######0-crl.verisign.com':80
- 'ap#.##eygray.biz':80
- 'crl.verisign.com':80
- 'www.download.windowsupdate.com':80
- 'oc##.#erisign.com':80
TCP:
Запросы HTTP GET:
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CECP%2FYqFsY4s3Gkq5io%2BHbos%3D
- cs######0-crl.verisign.com/CSC3-2010.crl
- crl.verisign.com/pca3-g5.crl
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
Запросы HTTP POST:
- ap#.##eygray.biz/rs
UDP:
- DNS ASK cs######0-crl.verisign.com
- DNS ASK ap#.##eygray.biz
- DNS ASK crl.verisign.com
- DNS ASK www.download.windowsupdate.com
- DNS ASK oc##.#erisign.com
