Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\ruqiryde] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\ruqiryde] 'ImagePath' = '%ProgramFiles(x86)%\40D03B7B-1730198526-4E8F-A73A-50B49BB06BFD\znsg7D3F.tmp'
Создает следующие сервисы
- 'ruqiryde' %ProgramFiles(x86)%\40D03B7B-1730198526-4E8F-A73A-50B49BB06BFD\znsg7D3F.tmp
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Fiddler - Web Debugger'
- ClassName: '', WindowName: 'Fiddler - HTTP Debugging Proxy'
- ClassName: '', WindowName: 'Jing'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsbfdc0.tmp
- %TEMP%\nsqfdd0.tmp
- %TEMP%\nsqfff1.tmp
- %TEMP%\nsv11.tmp\system.dll
- %TEMP%\nsv11.tmp\ipconfig.dll
- %TEMP%\nsv11.tmp\wmiinspector.dll
- %TEMP%\nsg7b69.tmp\wmiinspector.dll
- %TEMP%\nsg7b69.tmp\inetc.dll
- %TEMP%\nsg7b69.tmp\system.dll
- %ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\dnsg7d40.tmp
- %ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\ynsg7d41.exe
- %ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\znsg7d3f.tmp
- %ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\uninst.exe
Удаляет следующие файлы
- %TEMP%\nsv11.tmp\ipconfig.dll
- %TEMP%\nsv11.tmp\system.dll
- %TEMP%\nsv11.tmp\wmiinspector.dll
- %TEMP%\nsqfdd0.tmp
- %TEMP%\nsg7b69.tmp\inetc.dll
- %TEMP%\nsg7b69.tmp\system.dll
- %TEMP%\nsg7b69.tmp\wmiinspector.dll
Сетевая активность
UDP
- DNS ASK ib###########53175.us-east-1.elb.amazonaws.com
Другое
Создает и запускает на исполнение
- '%TEMP%\nsqfdd0.tmp'
- '%ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\znsg7d3f.tmp' install
- '%ProgramFiles(x86)%\40d03b7b-1730198526-4e8f-a73a-50b49bb06bfd\znsg7d3f.tmp'
