Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\rtkaudioservice
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс rfndy.exe, модуль KERNELBASE.dll
- Процесс rfndy.exe, модуль KERNEL32.dll
- Процесс rtkaudioservice64.exe, модуль KERNELBASE.dll
- Процесс rtkaudioservice64.exe, модуль KERNEL32.dll
в динамической библиотеке NTDLL
- Процесс rfndy.exe, модуль ntdll.dll
- Процесс rtkaudioservice64.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%low\rtkaudioservice64.exe
- %TEMP%\rtkaudioservice.xml
Удаляет файлы, которые сам же создал
- %TEMP%\rtkaudioservice.xml
Сетевая активность
UDP
- DNS ASK di##ord.com
- DNS ASK ga####y.discord.gg
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%low\rtkaudioservice64.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start "" %LOCALAPPDATA%Low\RtkAudioService64.exe
- '<SYSTEM32>\schtasks.exe' /Query /TN RtkAudioService
- '<SYSTEM32>\schtasks.exe' /Create /TN RtkAudioService /XML %TEMP%\RtkAudioService.xml /F
