Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\DireWolf] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\DireWolf] 'ImagePath' = '"C:\Users\Public\Loader.exe"'
Создает следующие сервисы
- 'DireWolf' C:�sers\Public\Loader.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\autochk.exe
- <SYSTEM32>\smss.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\svchost.exe
Другое
Запускает на исполнение
- '<SYSTEM32>\bcdedit.exe' /enum
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "$ErrorActionPreference = 'Stop' ; $connectionOptions = New-Object System.Management.ConnectionOptions ; $connectionOptions.Impersonation = [System.Management.ImpersonationLevel]::Impe...
- '<SYSTEM32>\sc.exe' create DireWolf binPath= \"C:\Users\Public\Loader.exe\" start= auto displayname= "DireWolf Service"
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal\DireWolf /t REG_SZ /d Service /f
- '<SYSTEM32>\shutdown.exe' /r /f /t 0
Пытается завершить работу операционной системы Windows.
