Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppExtComObj.exe] 'Debugger' = '%WINDIR%\SECOH-QAD.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\sppextcomobj.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\logs\<Имя файла>.log
- %WINDIR%\secoh-qad.dll
- %WINDIR%\secoh-qad.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Сетевая активность
Подключается к
- '12#.#27.127.127':1688
- 'localhost':1688
TCP
Другие
- '12#.#27.127.127':1688
- 'localhost':49695
- 'localhost':1688
- 'localhost':49696
- 'localhost':49697
- 'localhost':49699
UDP
- DNS ASK validation-v2.sls.microsoft.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\secoh-qad.exe' <SYSTEM32>\SppExtComObj.exe -Embedding
Запускает на исполнение
- '<SYSTEM32>\sppextcomobj.exe' -Embedding
