| K7 Detection Name | Affected OS | Prevalence | AV Definition Version |
|---|---|---|---|
| Trojan ( 005afd5a1 ) | Windows | Low | 12.142.51097 |
| MD5 | 038a453e1b357ccb36ecf4d030761ea5 |
| SHA256 | d46d8d3e40e2457c793bdbadcd5576f93d54313046e0117c99c2e540e724ee8a |
| File Size | 1,427,624 bytes |
| Packer Information | N/A |
| First Seen | 16-02-2024 |
| Last Seen | 15-07-2024 |
| Aliases | MSIL/Kryptik.AKLD |
Behavior Details
1. Dropped files:
InArgCount.exe
Under the folder
C:\Users\<user_name>\AppData\Local\Current\lgupb
2. Creates Registry:
Adds registry data
0
Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
Adds registry data
1
Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
Adds registry data
\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xd4t\xdeW\9\xb2\xd3\x9c\x85\x83\xc5\xc0eI\x8a\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xe3^\xf0\x8d\x88O
\xde/u\xe9c\x01\xceb0\xf2\x13\xa8S\x00\x00\x00\x01\x00\x00\x00@\x00\x00\x000>0\x1f\x06`\x86H\x01\x86\xfdl\x02\x010\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc00\x1b\x06\x05g\x81\x0c\x01\x030\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc0\x00\x00\x00\x01\x00\x00\x004\x00\x00\x0002\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06\x08+\x06\x01\x05\x05\x07\x03\x03\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00t1\xe5\xf4\xc3\xc1\xceF\x90wO\x0ba\xe0T@\x88;\xa9\xa0\x1e\xd0\x0b\xa6\xab\xd7\x80n\xd3\xb1\x18\xcf\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xb1>\xc3i\x03\xf8\xbfG\x01\xd4\x98&\x1a\x08\x02\xefcd+\xc3\x0b\x00\x00\x00\x01\x00\x00\x00\x12\x00\x00\x00D\x00i\x00g\x00i\x00C\x00e\x00r\x00t\x00\x00\x00\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\x8fv\xb9\x81\xd5(\xadGp\x08\x82E\xe2\x03\x1bc\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00_\xb7\xee\x063\xe2Y\xdb\xad\x0cL\x9a\xe6\xd3\x8f\x1aa\xc7\xdc%\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xbaO9r\xe7\xae\xd9\xdc\xcd\xc2\x10\xdbY\xda\x13\xc9 \x00\x00\x00\x01\x00\x00\x00\xc9\x03\x00\x000\x82\x03\xc50\x82\x02\xad\xa0\x03\x02\x01\x02\x02\x10\x02\xac\&j\x0b@\x9b\x8f\x0by\xf2\xaeF%w0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000l1\x0b0\x06\x03U\x04\x06\x13\x02US1\x150\x13\x06\x03U\x04
\x13\x0cDigiCert Inc1\x190\x17\x06\x03U\x04\x0b\x13\x10www.digicer
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25\Blob
Adds registry data
\\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xbaO9r\xe7\xae\xd9\xdc\xcd\xc2\x10\xdbY\xda\x13\xc9\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00_\xb7\xee\x063\xe2Y\xdb\xad\x0cL\x9a\xe6\xd3\x8f\x1aa\xc7\xdc%\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\x8fv\xb9\x81\xd5(\xadGp\x08\x82E\xe2\x03\x1bc\x0b\x00\x00\x00\x01\x00\x00\x00\x12\x00\x00\x00D\x00i\x00g\x00i\x00C\x00e\x00r\x00t\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xb1>\xc3i\x03\xf8\xbfG\x01\xd4\x98&\x1a\x08\x02\xefcd+\xc3b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00t1\xe5\xf4\xc3\xc1\xceF\x90wO\x0ba\xe0T@\x88;\xa9\xa0\x1e\xd0\x0b\xa6\xab\xd7\x80n\xd3\xb1\x18\xcf\x00\x00\x00\x01\x00\x00\x004\x00\x00\x0002\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06\x08+\x06\x01\x05\x05\x07\x03\x03\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08S\x00\x00\x00\x01\x00\x00\x00@\x00\x00\x000>0\x1f\x06`\x86H\x01\x86\xfdl\x02\x010\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc00\x1b\x06\x05g\x81\x0c\x01\x030\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc0\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xe3^\xf0\x8d\x88O
\xde/u\xe9c\x01\xceb0\xf2\x13\xa8\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xd4t\xdeW\9\xb2\xd3\x9c\x85\x83\xc5\xc0eI\x8a \x00\x00\x00\x01\x00\x00\x00\xc9\x03\x00\x000\x82\x03\xc50\x82\x02\xad\xa0\x03\x02\x01\x02\x02\x10\x02\xac\&j\x0b@\x9b\x8f\x0by\xf2\xaeF%w0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000l1\x0b0\x06\x03U\x04\x06\x13\x02US1\x150\x13\x06\x03U\x04
\x13\x0cDigiCert Inc1\x190\x17\x06\x03
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25\Blob
Removal Instructions
1. Update the copy of K7 security to the latest version.
2. Scan the system completely and remove the detected files.
3. Open Windows registry editor.
4. Delete the registry data
0
Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
5. Delete the registry data
1
Under the key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
6. Delete the registry data
\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xd4t\xdeW\9\xb2\xd3\x9c\x85\x83\xc5\xc0eI\x8a\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xe3^\xf0\x8d\x88O
\xde/u\xe9c\x01\xceb0\xf2\x13\xa8S\x00\x00\x00\x01\x00\x00\x00@\x00\x00\x000>0\x1f\x06`\x86H\x01\x86\xfdl\x02\x010\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc00\x1b\x06\x05g\x81\x0c\x01\x030\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc0\x00\x00\x00\x01\x00\x00\x004\x00\x00\x0002\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06\x08+\x06\x01\x05\x05\x07\x03\x03\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00t1\xe5\xf4\xc3\xc1\xceF\x90wO\x0ba\xe0T@\x88;\xa9\xa0\x1e\xd0\x0b\xa6\xab\xd7\x80n\xd3\xb1\x18\xcf\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xb1>\xc3i\x03\xf8\xbfG\x01\xd4\x98&\x1a\x08\x02\xefcd+\xc3\x0b\x00\x00\x00\x01\x00\x00\x00\x12\x00\x00\x00D\x00i\x00g\x00i\x00C\x00e\x00r\x00t\x00\x00\x00\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\x8fv\xb9\x81\xd5(\xadGp\x08\x82E\xe2\x03\x1bc\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00_\xb7\xee\x063\xe2Y\xdb\xad\x0cL\x9a\xe6\xd3\x8f\x1aa\xc7\xdc%\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xbaO9r\xe7\xae\xd9\xdc\xcd\xc2\x10\xdbY\xda\x13\xc9 \x00\x00\x00\x01\x00\x00\x00\xc9\x03\x00\x000\x82\x03\xc50\x82\x02\xad\xa0\x03\x02\x01\x02\x02\x10\x02\xac\&j\x0b@\x9b\x8f\x0by\xf2\xaeF%w0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000l1\x0b0\x06\x03U\x04\x06\x13\x02US1\x150\x13\x06\x03U\x04
\x13\x0cDigiCert Inc1\x190\x17\x06\x03U\x04\x0b\x13\x10www.digicer
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25\Blob
7. Delete the registry data
\\x00\x00\x00\x01\x00\x00\x00\x04\x00\x00\x00\x00\x08\x00\x00\x19\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xbaO9r\xe7\xae\xd9\xdc\xcd\xc2\x10\xdbY\xda\x13\xc9\x03\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00_\xb7\xee\x063\xe2Y\xdb\xad\x0cL\x9a\xe6\xd3\x8f\x1aa\xc7\xdc%\x1d\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\x8fv\xb9\x81\xd5(\xadGp\x08\x82E\xe2\x03\x1bc\x0b\x00\x00\x00\x01\x00\x00\x00\x12\x00\x00\x00D\x00i\x00g\x00i\x00C\x00e\x00r\x00t\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xb1>\xc3i\x03\xf8\xbfG\x01\xd4\x98&\x1a\x08\x02\xefcd+\xc3b\x00\x00\x00\x01\x00\x00\x00 \x00\x00\x00t1\xe5\xf4\xc3\xc1\xceF\x90wO\x0ba\xe0T@\x88;\xa9\xa0\x1e\xd0\x0b\xa6\xab\xd7\x80n\xd3\xb1\x18\xcf\x00\x00\x00\x01\x00\x00\x004\x00\x00\x0002\x06\x08+\x06\x01\x05\x05\x07\x03\x02\x06\x08+\x06\x01\x05\x05\x07\x03\x03\x06\x08+\x06\x01\x05\x05\x07\x03\x04\x06\x08+\x06\x01\x05\x05\x07\x03\x01\x06\x08+\x06\x01\x05\x05\x07\x03\x08S\x00\x00\x00\x01\x00\x00\x00@\x00\x00\x000>0\x1f\x06`\x86H\x01\x86\xfdl\x02\x010\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc00\x1b\x06\x05g\x81\x0c\x01\x030\x120\x10\x06
+\x06\x01\x04\x01\x827<\x01\x01\x03\x02\x00\xc0\x0f\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\xe3^\xf0\x8d\x88O
\xde/u\xe9c\x01\xceb0\xf2\x13\xa8\x04\x00\x00\x00\x01\x00\x00\x00\x10\x00\x00\x00\xd4t\xdeW\9\xb2\xd3\x9c\x85\x83\xc5\xc0eI\x8a \x00\x00\x00\x01\x00\x00\x00\xc9\x03\x00\x000\x82\x03\xc50\x82\x02\xad\xa0\x03\x02\x01\x02\x02\x10\x02\xac\&j\x0b@\x9b\x8f\x0by\xf2\xaeF%w0
\x06*\x86H\x86\xf7
\x01\x01\x05\x05\x000l1\x0b0\x06\x03U\x04\x06\x13\x02US1\x150\x13\x06\x03U\x04
\x13\x0cDigiCert Inc1\x190\x17\x06\x03
Under the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25\Blob
8. Close the Windows registry.
9. Restart the machine.