Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Cab6492.tmp
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab64E9.tmp
- %TEMP%\CabE206.tmp
- %TEMP%\TarE13B.tmp
- %TEMP%\CabE13A.tmp
- %TEMP%\Tar1D54.tmp
- %TEMP%\Cab1D53.tmp
- %TEMP%\TarE207.tmp
Удаляет следующие файлы:
- %TEMP%\Tar1D54.tmp
- %TEMP%\Cab1D53.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab64E9.tmp
- %TEMP%\Cab6492.tmp
- %TEMP%\TarE13B.tmp
- %TEMP%\CabE13A.tmp
- %TEMP%\TarE207.tmp
- %TEMP%\CabE206.tmp
Сетевая активность:
Подключается к:
- 'cs######0-crl.verisign.com':80
- 'ap#.##owsemark.net':80
- 'crl.verisign.com':80
- 'www.download.windowsupdate.com':80
- 'oc##.#erisign.com':80
TCP:
Запросы HTTP GET:
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CEGHTF2vJB1ixs%2FKvX45LcHU%3D
- cs######0-crl.verisign.com/CSC3-2010.crl
- crl.verisign.com/pca3-g5.crl
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
Запросы HTTP POST:
- ap#.##owsemark.net/rs
UDP:
- DNS ASK cs######0-crl.verisign.com
- DNS ASK ap#.##owsemark.net
- DNS ASK crl.verisign.com
- DNS ASK www.download.windowsupdate.com
- DNS ASK oc##.#erisign.com
