Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Ruhez' = '%APPDATA%\Rhuuudg.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- rhuuudg.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut7b08.tmp
- %TEMP%\412028
- %TEMP%\aut7b19.tmp
- %TEMP%\incl1
- %TEMP%\aut7b1a.tmp
- %TEMP%\g34g34cc
- %TEMP%\472092
- %APPDATA%\rhuuudg.exe
- %TEMP%\62.bat
- %TEMP%\aut8dcd.tmp
- %TEMP%\72093
- %TEMP%\aut8dde.tmp
- %TEMP%\aut8dee.tmp
- nul
- %TEMP%\712242
- %APPDATA%\.identifier
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\rhuuudg.exe
- %APPDATA%\.identifier
Удаляет следующие файлы
- %TEMP%\aut7b08.tmp
- %TEMP%\aut7b19.tmp
- %TEMP%\aut7b1a.tmp
- %TEMP%\aut8dcd.tmp
- %TEMP%\aut8dde.tmp
- %TEMP%\aut8dee.tmp
- %TEMP%\incl2
- %TEMP%\472092
Перемещает следующие файлы
- %TEMP%\g34g34cc в %TEMP%\incl2
Подменяет следующие файлы
- %TEMP%\g34g34cc
- %TEMP%\incl2
Сетевая активность
Подключается к
- 'be####us.ns1.name':8081
- 'be####us.user32.com':3178
UDP
- DNS ASK be####us.ns1.name
- DNS ASK be####us.user32.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\rhuuudg.exe'
- '%APPDATA%\rhuuudg.exe' /AutoIt3ExecuteScript "%TEMP%\712242" "%APPDATA%\Rhuuudg.exe"
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\62.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\62.bat
- '%WINDIR%\syswow64\ping.exe' -n 0127.0.0.1
