K7 Detection Name | Affected OS | Prevalence | AV Definition Version |
---|---|---|---|
Trojan ( 005af2491 ) | Windows | Low | 12.150.51544 |
MD5 | 8b0d57410219a089ab825ec854a8ad08 |
SHA256 | 71299311bf7a465f0f367681e5dc63b16f97f7c995c822f91725233a11c759a5 |
File Size | 1,743,872 bytes |
Packer Information | N/A |
First Seen | 30-03-2024 |
Last Seen | 01-04-2024 |
Aliases | MSIL/Packed.Confuser.FN |
Behavior Details
1. Dropped files: GDIPFONTCACHEV1.DAT Under the folder C:\Users\<user_name>\AppData\Local 2. Dropped files: 77EC63BDA74BD0D0E0426DC8F8008506 Under the folder C:\Users\<user_name>\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content 3. Dropped files: CabA6A6.tmp TarA6A7.tmp Under the folder C:\Users\<user_name>\AppData\Local\Temp 4. Creates Registry: Adds registry data 0 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\EnableConsoleTracing Adds registry data 18446744073709486080 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\ConsoleTracingMask Adds registry data 1048576 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\MaxFileSize Adds registry data %windir%\tracing Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\FileDirectory Adds registry data \\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00~\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00\xc0\x01\xb3\x96g\xd6\x01b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00\x06\x87&\x031\xa7$\x03\xd9\xf1\x05\xe6\x9b\xcf 2\xe1\xbd$\x93\xff\xc6\xd9 m\x11\xbc\xd6w\x079\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00A\x03R\xdc\x0f\xf7P\x1b\x16\xf0\x02\x8e\xbaoE\xc5\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00[\xca\xa1\xc2x\x0f\x0b\xcbZ\x90w\x04Q\xd9o8\x96?\x01-\x0b\x00\x00\x00\x01\x00\x00\x00\x1e\x00\x00\x00D\x00S\x00T\x00 \x00R\x00o\x00o\x00t\x00 \x00C\x00A\x00 \x00X\x003\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xc4\xa7\xb1\xa4{,q\xfa\xdb\xe1K\x90u\xff\xc4\x15`\x85\x89\x10\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00EX\xd5\x12\xee\xcb'FI \x89}\xe7\xb6`S\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xda\xc9\x02OT\xd8\xf6\xdf\x94\x93_\xb1s&8\xcaj\xd7|\x13\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00l\xf2R\xfe\xc3\xe8\xf2\x96\xde]M\xd9\xae\xf4$\x00\x00\x00\x01\x00\x00\x00B\x00\x00\x000@\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06 +\x06\x01\x04\x01\x827 \x03\x0c\x06 +\x06\x01\x04\x01\x827 \x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08\x7f\x00\x00\x00\x01\x00\x00\x00\x0e\x00\x00\x000\x0c\x06 +\x06\x01\x04\x01\x827 \x03\x04h\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00@\x91 \xd05\xd9\x01 \x00\x00\x00\x01\x00\x00\x00N\x03\x00\x000\x82\x03J0\x82\x022\xa0\x03\x02\x01\x02\x02\x10D\xaf\xb0\x80\xd6\xa3'\xba\x8909\x86.\xf8@k0 \x06*\x86H\x86\xf7 \x01\x01\x05\x05\x000?1$0"\x06\x03U\x04 \x13\x1bDigital Signatu Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DAC9024F54D8F6DF94935FB1732638CA6AD77C13\Blob
Removal Instructions
1. Update the copy of K7 security to the latest version. 2. Scan the system completely and remove the detected files. 3. Open Windows registry editor. 4. Delete the registry data 0 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\EnableConsoleTracing 5. Delete the registry data 18446744073709486080 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\ConsoleTracingMask 6. Delete the registry data 1048576 Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\MaxFileSize 7. Delete the registry data %windir%\tracing Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\8b0d57410219a089ab82_RASAPI32\FileDirectory 8. Delete the registry data \\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00~\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00\xc0\x01\xb3\x96g\xd6\x01b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00\x06\x87&\x031\xa7$\x03\xd9\xf1\x05\xe6\x9b\xcf 2\xe1\xbd$\x93\xff\xc6\xd9 m\x11\xbc\xd6w\x079\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00A\x03R\xdc\x0f\xf7P\x1b\x16\xf0\x02\x8e\xbaoE\xc5\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00[\xca\xa1\xc2x\x0f\x0b\xcbZ\x90w\x04Q\xd9o8\x96?\x01-\x0b\x00\x00\x00\x01\x00\x00\x00\x1e\x00\x00\x00D\x00S\x00T\x00 \x00R\x00o\x00o\x00t\x00 \x00C\x00A\x00 \x00X\x003\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xc4\xa7\xb1\xa4{,q\xfa\xdb\xe1K\x90u\xff\xc4\x15`\x85\x89\x10\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00EX\xd5\x12\xee\xcb'FI \x89}\xe7\xb6`S\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xda\xc9\x02OT\xd8\xf6\xdf\x94\x93_\xb1s&8\xcaj\xd7|\x13\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00l\xf2R\xfe\xc3\xe8\xf2\x96\xde]M\xd9\xae\xf4$\x00\x00\x00\x01\x00\x00\x00B\x00\x00\x000@\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06 +\x06\x01\x04\x01\x827 \x03\x0c\x06 +\x06\x01\x04\x01\x827 \x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08\x7f\x00\x00\x00\x01\x00\x00\x00\x0e\x00\x00\x000\x0c\x06 +\x06\x01\x04\x01\x827 \x03\x04h\x00\x00\x00\x01\x00\x00\x00\x08\x00\x00\x00\x00@\x91 \xd05\xd9\x01 \x00\x00\x00\x01\x00\x00\x00N\x03\x00\x000\x82\x03J0\x82\x022\xa0\x03\x02\x01\x02\x02\x10D\xaf\xb0\x80\xd6\xa3'\xba\x8909\x86.\xf8@k0 \x06*\x86H\x86\xf7 \x01\x01\x05\x05\x000?1$0"\x06\x03U\x04 \x13\x1bDigital Signatu Under the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DAC9024F54D8F6DF94935FB1732638CA6AD77C13\Blob 9. Close the Windows registry. 10. Restart the machine.