Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] ' rdfnpgyq' = '"<LS_APPDATA>\rulyfe\rulyfe.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ' rdfnpgyq' = '"<LS_APPDATA>\rulyfe\rulyfe.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\regsvr32.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1206' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2300' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1809' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1206' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2300' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1809' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\rulyfe\rulyfe.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '24#.#41.136.216':80
- '22#.#70.162.21':80
- '60.##0.72.152':80
- '17#.#01.43.23':443
- '74.##4.251.234':80
- '18.##.23.195':80
- '21#.#35.55.225':80
- '33.##2.126.57':80
- '2.###.10.222':80
- '13#.#6.158.103':80
- '19#.#0.154.54':80
- '20#.#4.122.116':80
- '68.##.217.198':80
- '17#.#13.72.136':80
- '13#.#03.2.220':80
- '10#.#40.5.253':80
- '18#.#40.152.193':80
- '16#.#2.183.42':80
- '21#.#78.143.31':80
- '51.#7.35.28':80
- '96.##5.81.153':80
UDP:
- DNS ASK microsoft.com
