Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im "<Имя файла>.exe" /f
- '%WINDIR%\syswow64\taskkill.exe' /im "RuTFXv58n5=.exe" /f
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\rutfxv58n5=.exe
Удаляет следующие файлы
- <Текущая директория>\rutfxv58n5=.exe
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ip###ger.org/1dnc57
UDP
- DNS ASK yo#####4kdowloader.club
- DNS ASK yo#####4kdownload.club
- DNS ASK ip###ger.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\rutfxv58n5=.exe'
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "<Текущая директория>\RuTFXv58n5=.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "RuTFXv58n5=.exe" /f & erase "<Текущая директория>\RuTFXv58n5=.exe" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start /I "" "<Текущая директория>\RuTFXv58n5=.exe"
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "<Имя файла>.exe" /f & erase "<Полный путь к файлу>" & exit
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im "RuTFXv58n5=.exe" /f & erase "<Текущая директория>\RuTFXv58n5=.exe" & exit
