Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftStCnt' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Сетевая активность:
Подключается к:
- 'ma##.gmail.com':25
- 'ma##.mail.com':25
- 'ma##.###jwww10proxiesss.com':443
- 'ma##.#otmail.com':25
- '67.##5.160.76':25
- 'ma##.aol.com':25
UDP:
- DNS ASK ma##.aol.com
- DNS ASK ma##.###jwww10proxiesss.com
- DNS ASK ao#.com
- DNS ASK gm##l.com
- DNS ASK ma##.mail.com
- DNS ASK ma##.com
- DNS ASK ma##.gmail.com
- DNS ASK ya##o.com
- DNS ASK ho##ail.com
- DNS ASK ma##.#otmail.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK ma##.yahoo.com
- '8.#.8.8':56272
- '8.#.8.8':55846
- '8.#.8.8':51474
- '8.#.8.8':59255
- '8.#.8.8':58674
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
