Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\UpdateFlashPlayer_1229a0e2.exe'
- '%TEMP%\UpdateFlashPlayer_b8e6436d.exe'
- '%TEMP%\UpdateFlashPlayer_1229a0e2.exe' (загружен из сети Интернет)
- '%TEMP%\UpdateFlashPlayer_b8e6436d.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\ajax[1]
- %TEMP%\UpdateFlashPlayer_1229a0e2.exe
- %TEMP%\tmp8841a268.bat
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\951[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\jquery[1]
- %TEMP%\UpdateFlashPlayer_b8e6436d.exe
Удаляет следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\ajax[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\jquery[1]
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\951[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- 'di####-lihuret.su':80
- 'ra###-gerut.su':80
TCP:
Запросы HTTP GET:
- di####-lihuret.su/mod_articles-login9658.6584/ajax/
- di####-lihuret.su/mod_articles-login9658.6584/jquery/
- ra###-gerut.su/b/shoe/951
UDP:
- DNS ASK di####-lihuret.su
- DNS ASK ra###-gerut.su
