Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\bfsvc.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\benzin.ttf
- %ALLUSERSPROFILE%\zona-pro.ttf
- %ALLUSERSPROFILE%\icomoon.ttf
- %ALLUSERSPROFILE%\icons.ttf
- %ALLUSERSPROFILE%\china.ttf
Сетевая активность
Подключается к
- 'localhost':49695
- 'ap#.###st-cheats.com':443
- 'x1.#.lencr.org':80
- 'r1#.#.lencr.org':80
- 'localhost':49704
TCP
Запросы HTTP GET
- http://r1#.#.lencr.org/23.crl
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?a2##############
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?60##############
Другие
- 'localhost':49695
- 'localhost':49696
- 'ap#.###st-cheats.com':443
- 'localhost':49704
- 'localhost':49705
UDP
- DNS ASK ap#.###st-cheats.com
- DNS ASK x1.#.lencr.org
- DNS ASK r1#.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc stop faceit
- '<SYSTEM32>\sc.exe' stop faceit
- '<SYSTEM32>\cmd.exe' /c cls
- '%WINDIR%\bfsvc.exe'
