Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\bfsvc.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\benzin.ttf
- %ALLUSERSPROFILE%\zona-pro.ttf
- %ALLUSERSPROFILE%\icomoon.ttf
- %ALLUSERSPROFILE%\icons.ttf
- %ALLUSERSPROFILE%\china.ttf
Сетевая активность
Подключается к
- 'localhost':49692
- 'ap#.###st-cheats.com':443
- 'cr#.#ectigo.com':80
- 'oc##.#ectigo.com':80
- 'localhost':49702
TCP
Запросы HTTP GET
- http://oc##.#ectigo.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ1uniq7DyFGBEstPHKBOv5qa%2FqfAQUgVlIybrlAG%2Fft%2F9Qxavv3ebkrpACECZgyVkEgNolw58qRNe765s%3D
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?33##############
Другие
- 'localhost':49692
- 'localhost':49693
- 'ap#.###st-cheats.com':443
- 'localhost':49702
- 'localhost':49703
UDP
- DNS ASK ap#.###st-cheats.com
- DNS ASK cr#.#ectigo.com
- DNS ASK oc##.#ectigo.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc stop faceit
- '<SYSTEM32>\sc.exe' stop faceit
- '<SYSTEM32>\cmd.exe' /c cls
- '%WINDIR%\bfsvc.exe'
