<< Back to Top Threats
K7 Detection Name Affected OS Prevalence AV Definition Version
Trojan ( 005b80cc1 ) Windows Low 12.176.52638
MD5

9d3a5017e86fd5e182ca58c8293ffa3e
SHA256

c339b1bf9947ba07e9203ebfdd6f41cf8414f4ef795d528c8f768eab0d136586
File Size

10,240 bytes
Packer Information

N/A
First Seen

18-07-2024
Last Seen

14-10-2024
Aliases

Win32/Phorpiex.BF

Behavior Details 

1. Dropped files:
     r5r5r7r.jpg
     3669833868.exe
  Under the folder
       C:\Users\<user_name>\AppData\Local\Temp

2. Dropped files:
     counters.dat
  Under the folder
       C:\Users\<user_name>\AppData\Local\Microsoft\Windows\Temporary Internet Files

3. Dropped files:
     SQMHelper
  Under the folder
       \Device\Afd

4. Creates Registry:

  Adds registry data
     

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix

  Adds registry data
     Cookie:

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix

  Adds registry data
     Visited:

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History\CachePrefix

  Adds registry data
     F\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00 \xffvVm\x89\xd9\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x00\xc0\xa8zQ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

  Adds registry data
     1

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionReason

  Adds registry data
     h\x93\xc6v\x8c!\xdb\x01

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionTime

  Adds registry data
     0

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecision

  Adds registry data
     Network

  Under the key:
	 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D1E6D7DB-941E-426B-A649-64CF5F7E69FB}\WpadNetworkName

  Downloads the file:
  /nxmr.exe

  From the url: http://185.215.113.84/nxmr.exe

Removal Instructions 

1. Update the copy of K7 security to the latest version.
2. Scan the system completely and remove the detected files.
3. Open Windows registry editor.
4. Delete the registry data
     

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix

5. Delete the registry data
     Cookie:

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix

6. Delete the registry data
     Visited:

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History\CachePrefix

7. Delete the registry data
     F\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00 \xffvVm\x89\xd9\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x00\xc0\xa8zQ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

8. Delete the registry data
     1

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionReason

9. Delete the registry data
     h\x93\xc6v\x8c!\xdb\x01

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecisionTime

10. Delete the registry data
     0

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\52-54-00-7a-66-fc\WpadDecision

11. Delete the registry data
     Network

   Under the key:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D1E6D7DB-941E-426B-A649-64CF5F7E69FB}\WpadNetworkName
12. Close the Windows registry.
13. Restart the machine.