Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\DTReg.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "%APPDATA%\DefaultTab\DefaultTab\DefaultTabBHO.dll"
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\DefaultTab\DefaultTab\DTReg.exe
- %APPDATA%\DefaultTab\DefaultTab\DefaultTabWrap64.dll
- %APPDATA%\DefaultTab\DefaultTab\DefaultTabStart64.exe
- %HOMEPATH%\ntuser.pol
- <SYSTEM32>\GroupPolicy\User\Registry.pol
- <SYSTEM32>\GroupPolicy\gpt.ini
- %APPDATA%\DefaultTab\DefaultTab\DefaultTabWrap.dll
- %APPDATA%\DefaultTab\DefaultTab\DefaultTabStart.exe
- %APPDATA%\DefaultTab\DefaultTab\DefaultTabBHO.dll
- %APPDATA%\DefaultTab\DefaultTab\searchhere.ico
- %APPDATA%\DefaultTab\DefaultTab\DT.ico
- %APPDATA%\DefaultTab\DefaultTab\addon.ico
Сетевая активность:
Подключается к:
- 'ap#.##faulttab.com':80
- 'localhost':1038
UDP:
- DNS ASK ap#.##faulttab.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
