| K7 Detection Name | Affected OS | Prevalence | AV Definition Version |
|---|---|---|---|
| Trojan ( 005af2491 ) | Windows | Low | 12.150.51544 |
| MD5 | 8b0d57410219a089ab825ec854a8ad08 |
| SHA256 | 71299311bf7a465f0f367681e5dc63b16f97f7c995c822f91725233a11c759a5 |
| File Size | 1,743,872 bytes |
| Packer Information | N/A |
| First Seen | 30-03-2024 |
| Last Seen | 01-04-2024 |
| Aliases | MSIL/Packed.Confuser.FN |
Behavior Details
1. Dropped files:
GDIPFONTCACHEV1.DAT
Under the folder
C:\Users\<user_name>\AppData\Local
2. Dropped files:
77EC63BDA74BD0D0E0426DC8F8008506
Under the folder
C:\Users\<user_name>\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
3. Dropped files:
CabA6A6.tmp
TarA6A7.tmp
Under the folder
C:\Users\<user_name>\AppData\Local\Temp
4. Creates Registry:
Adds registry data
0
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\EnableConsoleTracing
Adds registry data
18446744073709486080
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\ConsoleTracingMask
Adds registry data
1048576
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\MaxFileSize
Adds registry data
%windir%\tracing
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\FileDirectory
Adds registry data
\\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00~\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00\xc0\x01\xb3\x96g\xd6\x01b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00\x06\x87&\x031\xa7$\x03\xd9\xf1\x05\xe6\x9b\xcf
2\xe1\xbd$\x93\xff\xc6\xd9 m\x11\xbc\xd6w\x079\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00A\x03R\xdc\x0f\xf7P\x1b\x16\xf0\x02\x8e\xbaoE\xc5\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00[\xca\xa1\xc2x\x0f\x0b\xcbZ\x90w\x04Q\xd9o8\x96?\x01-\x0b\x00\x00\x00\x01\x00\x00\x00\x1e\x00\x00\x00D\x00S\x00T\x00 \x00R\x00o\x00o\x00t\x00 \x00C\x00A\x00 \x00X\x003\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xc4\xa7\xb1\xa4{,q\xfa\xdb\xe1K\x90u\xff\xc4\x15`\x85\x89\x10\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00EX\xd5\x12\xee\xcb'FI \x89}\xe7\xb6`S\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xda\xc9\x02OT\xd8\xf6\xdf\x94\x93_\xb1s&8\xcaj\xd7|\x13\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00l\xf2R\xfe\xc3\xe8\xf2\x96\xde]M\xd9\xae\xf4$\x00\x00\x00\x01\x00\x00\x00B\x00\x00\x000@\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06
+\x06\x01\x04\x01\x827
\x03\x0c\x06
+\x06\x01\x04\x01\x827
\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08\x7f\x00\x00\x00\x01\x00\x00\x00\x0e\x00\x00\x000\x0c\x06
+\x06\x01\x04\x01\x827
\x03\x04h\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00@\x91 \xd05\xd9\x01 \x00\x00\x00\x01\x00\x00\x00N\x03\x00\x000\x82\x03J0\x82\x022\xa0\x03\x02\x01\x02\x02\x10D\xaf\xb0\x80\xd6\xa3'\xba\x8909\x86.\xf8@k0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000?1$0"\x06\x03U\x04
\x13\x1bDigital Signatu
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DAC9024F54D8F6DF94935FB1732638CA6AD77C13\Blob
Removal Instructions
1. Update the copy of K7 security to the latest version.
2. Scan the system completely and remove the detected files.
3. Open Windows registry editor.
4. Delete the registry data
0
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\EnableConsoleTracing
5. Delete the registry data
18446744073709486080
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\ConsoleTracingMask
6. Delete the registry data
1048576
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\MaxFileSize
7. Delete the registry data
%windir%\tracing
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\FileDirectory
8. Delete the registry data
\\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00~\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00\xc0\x01\xb3\x96g\xd6\x01b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00\x06\x87&\x031\xa7$\x03\xd9\xf1\x05\xe6\x9b\xcf
2\xe1\xbd$\x93\xff\xc6\xd9 m\x11\xbc\xd6w\x079\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00A\x03R\xdc\x0f\xf7P\x1b\x16\xf0\x02\x8e\xbaoE\xc5\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00[\xca\xa1\xc2x\x0f\x0b\xcbZ\x90w\x04Q\xd9o8\x96?\x01-\x0b\x00\x00\x00\x01\x00\x00\x00\x1e\x00\x00\x00D\x00S\x00T\x00 \x00R\x00o\x00o\x00t\x00 \x00C\x00A\x00 \x00X\x003\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xc4\xa7\xb1\xa4{,q\xfa\xdb\xe1K\x90u\xff\xc4\x15`\x85\x89\x10\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00EX\xd5\x12\xee\xcb'FI \x89}\xe7\xb6`S\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xda\xc9\x02OT\xd8\xf6\xdf\x94\x93_\xb1s&8\xcaj\xd7|\x13\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00l\xf2R\xfe\xc3\xe8\xf2\x96\xde]M\xd9\xae\xf4$\x00\x00\x00\x01\x00\x00\x00B\x00\x00\x000@\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06
+\x06\x01\x04\x01\x827
\x03\x0c\x06
+\x06\x01\x04\x01\x827
\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08\x7f\x00\x00\x00\x01\x00\x00\x00\x0e\x00\x00\x000\x0c\x06
+\x06\x01\x04\x01\x827
\x03\x04h\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00@\x91 \xd05\xd9\x01 \x00\x00\x00\x01\x00\x00\x00N\x03\x00\x000\x82\x03J0\x82\x022\xa0\x03\x02\x01\x02\x02\x10D\xaf\xb0\x80\xd6\xa3'\xba\x8909\x86.\xf8@k0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000?1$0"\x06\x03U\x04
\x13\x1bDigital Signatu
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DAC9024F54D8F6DF94935FB1732638CA6AD77C13\Blob
9. Close the Windows registry.
10. Restart the machine.