Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop FACEIT
- '%WINDIR%\syswow64\net.exe' stop FACEITsevervice
Изменения в файловой системе
Создает следующие файлы
- <DRIVERS>\etc\hosts.bk
- %TEMP%\autcca1.tmp
- %WINDIR%\syswow64\vcruntime140_1.dll
- %TEMP%\autccb2.tmp
- %TEMP%\vcruntime140_1.dll
- %TEMP%\autccc2.tmp
- %TEMP%\minty.dll
- %TEMP%\autcf43.tmp
- %TEMP%\minty.json
- %TEMP%\autcf44.tmp
- <Текущая директория>\minty.json
- %TEMP%\autcf64.tmp
- %TEMP%\min.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\min.exe
- %TEMP%\minty.dll
Удаляет следующие файлы
- %TEMP%\autcca1.tmp
- %TEMP%\autccb2.tmp
- %TEMP%\autccc2.tmp
- %TEMP%\autcf43.tmp
- %TEMP%\autcf44.tmp
- %TEMP%\autcf64.tmp
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c net stop FACEIT (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop FACEIT
- '%WINDIR%\syswow64\cmd.exe' /c sc delete FACEIT (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FACEIT
- '%WINDIR%\syswow64\cmd.exe' /c net stop FACEITsevervice (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop FACEITsevervice
- '%WINDIR%\syswow64\cmd.exe' /c sc delete FACEITsevervice (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FACEITsevervice
