Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM RodexAgent.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rodex_install.log
- nul
- %ALLUSERSPROFILE%\drnpai_com\rodexagent.exe
Сетевая активность
Подключается к
- 'if##nfig.me':443
- 'ap#.#pify.org':443
- 'ic###azip.com':443
- 'ch#####.amazonaws.com':443
- 'cr#.####g2.amazontrust.com':80
- 'x1.#.lencr.org':80
- 'x.##2.us':80
- 'dr##ai.com':443
TCP
Запросы HTTP GET
- http://cr#.####g2.amazontrust.com/rootg2.cer
- http://x1.#.lencr.org/
- http://x.##2.us/x.cer
Другие
- 'ap#.#pify.org':443
- 'if##nfig.me':443
- 'ic###azip.com':443
- 'ch#####.amazonaws.com':443
- 'dr##ai.com':443
UDP
- DNS ASK if##nfig.me
- DNS ASK ic###azip.com
- DNS ASK ch#####.amazonaws.com
- DNS ASK ap#.#pify.org
- DNS ASK cr#.####g2.amazontrust.com
- DNS ASK x1.#.lencr.org
- DNS ASK x.##2.us
- DNS ASK dr##ai.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\drnpai_com\rodexagent.exe' --install --server https://drnpai.com --token 95d056877d0afc7a337e620731adc9782e81a39fb0fe6a3a92392894b7720f93 --fallback https://14#.#02.188.99 --service-name drnpai.com
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM RodexAgent.exe (со скрытым окном)
- '%ALLUSERSPROFILE%\drnpai_com\rodexagent.exe' --install --server https://drnpai.com --token 95d056877d0afc7a337e620731adc9782e81a39fb0fe6a3a92392894b7720f93 --fallback https://14#.#02.188.99 --service-name drnpai.com (со скрытым окном)
