Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Cab6CDB.tmp
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\A89DFCC31C360BA5CBD616749B1B1C5D
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\A89DFCC31C360BA5CBD616749B1B1C5D
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6D52.tmp
- %TEMP%\CabE698.tmp
- %TEMP%\TarE5BD.tmp
- %TEMP%\CabE59D.tmp
- %TEMP%\Tar22FF.tmp
- %TEMP%\Cab22EE.tmp
- %TEMP%\TarE699.tmp
Удаляет следующие файлы:
- %TEMP%\Tar22FF.tmp
- %TEMP%\Cab22EE.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6D52.tmp
- %TEMP%\Cab6CDB.tmp
- %TEMP%\TarE5BD.tmp
- %TEMP%\CabE59D.tmp
- %TEMP%\TarE699.tmp
- %TEMP%\CabE698.tmp
Сетевая активность:
Подключается к:
- 'sf.##mcd.com':80
- 'sf.##mcb.com':80
- 'ap#.####tydealkeeper.com':80
- 'www.download.windowsupdate.com':80
- 'oc##.#erisign.com':80
- 'crl.verisign.com':80
TCP:
Запросы HTTP GET:
- sf.##mcd.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CEC1akaYl0nTuKa%2F25dxKM6w%3D
- sf.##mcb.com/sf.crl
- crl.verisign.com/pca3-g5.crl
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
Запросы HTTP POST:
- ap#.####tydealkeeper.com/rs
UDP:
- DNS ASK sf.##mcd.com
- DNS ASK sf.##mcb.com
- DNS ASK ap#.####tydealkeeper.com
- DNS ASK www.download.windowsupdate.com
- DNS ASK oc##.#erisign.com
- DNS ASK crl.verisign.com
