Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\WareFace\WarFace.exe'
- '%PROGRAM_FILES%\MicrosoftNet\NEThost.exe'
- '%PROGRAM_FILES%\WareFace\WarFace.exe' (загружен из сети Интернет)
- '%PROGRAM_FILES%\MicrosoftNet\NEThost.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM <Имя вируса>.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\WarFace[1].exe
- %PROGRAM_FILES%\WareFace\WarFace.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\Configutation[1].exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\NEThost[1].exe
- %PROGRAM_FILES%\MicrosoftNet\NEThost.exe
Сетевая активность:
Подключается к:
- 'rg##st.ru':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- rg##st.ru/download/private/50422532/6f2c512be91d0bdf6fdf50e20328352b/bc451fe8281c722bb33460ab10df19b5855c067c/WarFace.exe
- rg##st.ru/download/private/50422480/9a2be7c21d173cefedeaed56698228ec/edcb0ade684acb5f229c293fb4503a39ba66761a/Configutation.exe
- rg##st.ru/download/private/50422523/77cca4ad2a46d5640b89cc7b0e6b46b6/1d46ad95fbf855f37321b4306f36aaeb71fe7abb/NEThost.exe
UDP:
- DNS ASK rg##st.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
