Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\ses.exe' -p
- '%TEMP%\1.tmp\7z.exe' x -psystem32.dll Sys.7z -o%HOMEPATH%\Local Settings\Temp -y
- '%TEMP%\install.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2.tmp\ses.bat" -p "
- '<SYSTEM32>\taskkill.exe' /f /im rfusclient.exe
- '<SYSTEM32>\taskkill.exe' /f /im rutserv.exe
- '<SYSTEM32>\wscript.exe' "%TEMP%\stop.js"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\new.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\rutserv.exe
- %TEMP%\rfusclient.exe
- %TEMP%\ses.exe
- %TEMP%\2.tmp\ses.bat
- %TEMP%\7ZSfx000.cmd
- %TEMP%\1.tmp\Sys.7z
- %TEMP%\install.exe
- %TEMP%\stop.js
- %TEMP%\1.tmp\new.bat
- %TEMP%\1.tmp\7z.exe
- %TEMP%\1.tmp\7z.dll
Удаляет следующие файлы:
- %TEMP%\1.tmp\new.bat
- %TEMP%\7ZSfx000.cmd
- %TEMP%\stop.js
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
