Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\appid\handlecommand
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\google\chrome\letsvpm.exe
- %ProgramFiles(x86)%\google\chrome\uninstall.exe
- %ProgramFiles%\ruxim\aa1.xml
- %ProgramFiles%\ruxim\bridgedll_v5_dynamic.dll
- %ProgramFiles%\ruxim\hiddenloaders.exe
- %ProgramFiles%\ruxim\sc.ps1
- %TEMP%\nsq3375.tmp\nsexec.dll
- %ProgramFiles%\ruxim\temp_dll_nuuhrtkt.dll
- C:\${loading_file_name}
- %HOMEPATH%\desktop\letsvpm.lnk
Удаляет файлы, которые сам же создал
- %ProgramFiles%\ruxim\temp_dll_nuuhrtkt.dll
Сетевая активность
UDP
- DNS ASK us###789.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "%ProgramFiles%\RUXIM\Sc.ps1"
- '%ProgramFiles%\ruxim\hiddenloaders.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File "%ProgramFiles%\RUXIM\Sc.ps1" (со скрытым окном)
