Multi-License Discount Quote

Change Region

English
Threat Database Backdoors Backdoor.MSIL.Agent.XFC

Backdoor.MSIL.Agent.XFC

By CagedTech in Backdoors

Analysis Report

General information

Family Name: Backdoor.MSIL.Agent.XFC
Signature status: Hash Mismatch

Known Samples

MD5: d8ece2f5e1d6ec0438bcb4a675a41781
SHA1: e97301ab743b5f7f510dcc1a9f35b88bb16197a7
SHA256: 9B18FAC62EA6D14F3C415E4B474D69BFBA9B78668010EC921457F8EE597DAF7E
File Size: 2.58 MB, 2581904 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File is .NET application
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Name Value
Assembly Version 7.0.8.6879
Comments VirtualBox Web Service
Company Name Oracle and/or its affiliates
File Description VirtualBox Web Service
File Version 7.0.8.6879
Internal Name Eqanqpez.exe
Legal Copyright Copyright (C) 2009-2023 Oracle Corporation
Original Filename Eqanqpez.exe
Product Name Oracle VM VirtualBox
Product Version 7.0.8.6879

Digital Signatures

Signer Root Status
Oracle Corporation DigiCert Assured ID Root CA Hash Mismatch
Oracle Corporation VeriSign Class 3 Public Primary Certification Authority - G5 Hash Mismatch

File Traits

  • .NET
  • big overlay
  • HighEntropy
  • x86

Block Information

Total Blocks: 1,613
Potentially Malicious Blocks: 181
Whitelisted Blocks: 368
Unknown Blocks: 1,064

Visual Map

? ? ? ? ? ? 0 x x ? ? 0 ? x ? x ? ? ? ? ? ? ? ? ? 0 0 ? 0 ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? ? 0 0 0 x ? ? ? 0 0 ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? 0 0 ? ? 0 ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? 0 ? ? ? 0 ? ? ? ? ? ? ? 0 x ? ? ? 0 0 x x ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? 0 0 0 0 0 0 x x 0 ? 0 ? ? ? 0 0 x ? x ? x ? x ? x ? x ? 0 0 0 x ? ? 0 ? ? 0 0 0 0 0 ? ? 0 ? ? ? ? 0 x ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? 0 ? ? 0 0 0 x x ? ? ? 0 ? ? ? x ? ? ? ? ? ? ? ? ? ? 0 ? ? ? x ? ? 0 ? ? ? ? ? ? ? ? 0 0 ? 0 0 0 x 0 0 0 0 0 x ? 0 ? 0 0 x 0 0 0 0 0 0 0 0 0 ? 0 ? ? ? ? x 0 0 0 0 ? ? ? ? 0 ? ? ? ? ? 0 0 0 0 0 ? ? x ? ? ? x 0 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 x 0 x 0 0 0 0 0 0 0 0 ? ? 0 ? ? ? ? ? ? ? ? ? 0 0 0 ? ? ? ? ? ? ? ? 0 ? ? x ? 0 0 ? ? ? 0 0 ? ? ? ? 0 ? x 0 0 ? ? ? ? ? 0 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x 0 ? x ? 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? 0 0 x 0 x ? ? ? x x ? ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? x x x x x ? 0 0 ? ? ? ? 0 0 ? ? 0 0 ? ? 0 ? 0 ? ? ? ? ? 0 ? ? ? ? ? ? ? ? x ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? x ? 0 0 ? ? 0 0 ? ? ? 0 0 ? ? 0 0 x ? x 0 ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? 0 x 0 ? ? ? x ? ? ? ? ? x ? ? ? x ? ? ? ? ? ? ? ? x ? ? ? ? x ? ? ? ? ? ? ? ? ? 0 x x 0 x ? x 0 x ? 0 0 0 0 0 0 0 0 0 ? x ? ? ? ? 0 ? 0 0 0 0 0 0 ? ? ? ? ? ? ? ? 0 x ? ? ? ? 0 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 x 0 0 0 0 0 0 0 0 0 0 0 0 ? ? ? ? ? ? 0 ? ? x ? ? ? ? ? 0 0 0 0 0 x ? ? 0 0 0 0 0 0 x ? ? ? ? ? 0 0 0 0 ? x ? ? ? ? 0 ? ? ? ? x 0 ? ? ? 0 ? ? ? ? 0 ? ? ? 0 x ? ? ? ? 0 0 0 ? ? ? 0 ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x 0 0 x x ? 0 ? ? ? ? ? 0 0 ? ? ? ? 0 ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? 0 0 ? ? ? ? ? ? ? 0 ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 x 0 x 0 ? 0 ? 0 ? x ? ? ? 0 ? ? ? 0 ? x ? ? ? ? 0 0 0 0 ? 0 0 ? ? 0 ? ? ? ? 0 x 0 x 0 x 0 x 0 x ? ? x ? ? ? ? x ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? x ? ? ? 0 ? 0 ? x x x ? 0 0 ? ? x x ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? 0 ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? 0 ? x ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 x x 0 x 0 x 0 x 0 ? 0 x 0 x 0 x 0 x 0 x 0 x 0 x 0 x ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? 0 ? ? 0 ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? 0 0 0 0 0 ? ? ? ? ? ? ? 0 ? ? ? x x x ? ? 0 ? ? ? ? ? ? ? 0 ? ? ? ? ? ? x ? ? x ? ? ? ? 0 0 0 0 0 ? ? ? ? ? 0 ? ? ? ? ? ? ? 0 ? ? 0 ? ? ? ? 0 x ? 0 ? ? ? ? ? 0 ? ? x ? ? ? ? 0 ? 0 ? ? x ? ? ? x ? ? ? 0 ? ? ? ? ? ? ? 0 ? ? 0 0 0 ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? ? ? ? ? x ? 0 ? ? ? ? 0 ? ? ? x ? ? ? 0 x x 0 ? ? 0 x 0 ? 0 x ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? x ? ? x ? 0 ? ? ? ? ? x ? 0 0 0 ? ? ? 0 0 x x ? ? ? x 0 0 ? 0 ? ? ? ? ? x x ? 0 ? x ? x 0 0 0 0 0 ? 0 0 ? 0 ? 0 ? 0 0 x 0 x 0 x x x x x 0 x ? ? x ? ? x x 0 ? ? ? 0 ? ? ? 0 ? ? ? ? ? ? ? ? x ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? 0 0 0 ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? x x x x x 0 0 ? ? 0 ? ? ? ? ? ? 0 x x x ? 0 0 x x x x 0 ? x x x x x x 0 ? x 0 x ? 0 ? ? ? 0 ? ? ? ? ? ? x ? ? ? ? ? ? 0 0 x 0 x 0 x x x x x 0 x x ? ? ? x ? ? ? ? ? x ? 0 ? ? ? ?
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Files Modified

File Attributes
c:\users\user\appdata\local\microsoft\windows\usrclass.dat{dba6b5ef-640a-11ed-9bcb-f677369d361c}.txr.0.regtrans-ms Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\microsoft\windows\usrclass.dat{dba6b5ef-640a-11ed-9bcb-f677369d361c}.txr.1.regtrans-ms Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\microsoft\windows\usrclass.dat{dba6b5ef-640a-11ed-9bcb-f677369d361c}.txr.2.regtrans-ms Generic Read,Write Data,Write Attributes,Write extended,Append data

Registry Modifications

Key::Value Data API Name
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 沖휽໢ǜ RegNtPreCreateKey

Windows API Usage

Category API
User Data Access
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
  • CryptAcquireContext
Anti Debug
  • IsDebuggerPresent
  • NtQuerySystemInformation
Other Suspicious
  • AdjustTokenPrivileges
Process Terminate
  • TerminateProcess
Process Shell Execute
  • CreateProcess
Syscall Use
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClose
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtEnumerateValueKey
Show More
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtWaitForAlertByThreadId
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitLowEventPair
  • ntdll.dll!NtWriteFile
  • ntdll.dll!NtWriteVirtualMemory
  • win32u.dll!NtGdiBitBlt
  • win32u.dll!NtGdiCreateBitmap
  • win32u.dll!NtGdiCreateCompatibleDC
  • win32u.dll!NtGdiCreateDIBitmapInternal
  • win32u.dll!NtGdiCreateSolidBrush
  • win32u.dll!NtGdiDeleteObjectApp
  • win32u.dll!NtGdiExtGetObjectW
  • win32u.dll!NtGdiGetDCforBitmap
  • win32u.dll!NtGdiGetDCObject
  • win32u.dll!NtGdiRestoreDC
  • win32u.dll!NtGdiSaveDC
  • win32u.dll!NtGdiSelectBitmap
  • win32u.dll!NtGdiSetDIBitsToDeviceInternal
  • win32u.dll!NtUserCallNoParam
  • win32u.dll!NtUserConsoleControl
  • win32u.dll!NtUserCreateEmptyCursorObject
  • win32u.dll!NtUserGetDC
  • win32u.dll!NtUserGetGUIThreadInfo
  • win32u.dll!NtUserGetKeyboardLayout
  • win32u.dll!NtUserGetProcessWindowStation
  • win32u.dll!NtUserGetThreadState
  • win32u.dll!NtUserReleaseDC
  • win32u.dll!NtUserSelectPalette
  • win32u.dll!NtUserSetCursorIconData
  • win32u.dll!NtUserSetProcessDpiAwarenessContext

Shell Command Execution

"powershell.exe" -NoProfile -ExecutionPolicy Bypass -Enc UgBlAGcAaQBzAHQAZQByAC0AUwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawAgAC0AVABhAHMAawBOAGEAbQBlACAAJwB2AG0AZABsAGwALgBlAHgAZQAnACAALQBBAGMAdABpAG8AbgAgACgATgBlAHcALQBTAGMAaABlAGQAdQBsAGUAZABUAGEAcwBrAEEAYwB0AGkAbwBuACAALQBFAHgAZQBjAHUAdABlACAAJwBDADoAXABVAHMAZQByAHMAXABGAHoAcgBvAHIAaAB6AGQAXABBAHAAcABEAGEAdABhAFwAUgBvAGEAbQBpAG4AZwBcAHYAbQBkAGwAbAAuAGUAeABlACcAKQAgAC0AVAByAGkAZwBnAGUAcgAgACgATgBlAHcALQBTAGMAaABlAGQAdQBsAGUAZABUAGEAcwBrAFQAcgBpAGcAZwBlAHIAIAAtAE8AbgBjAGUAIAAtAEEAdAAgACgARwBlAHQALQBEAGEAdABlACkAIAAtAFIAZQBwAGUAdABpAHQAaQBvAG4ASQBuAHQAZQByAHYAYQBsACAAKABOAGUAdwAtAFQAaQBtAGUAUwBwAGEAbgAgAC0ATQBpAG4AdQB0AGUAcwAgADUAKQApACAALQBVAHMAZQByACAAJABlAG4AdgA6AFUAcwBlAHIATgBhAG0AZQAgAC0AUgB1AG4ATABlAHYAZQBsACAASABpAGcAaABlAHMAdAAgAC0AUwBlAHQAdABpAG4AZwBzACAAKABOAGUAdwAtAFMAYwBoAGUAZAB1AGwAZQBkAFQAYQBzAGsAUwBlAHQAdABpAG4AZwBzAFMAZQB0ACAALQBFAHgAZQBjAHUAdABpAG8AbgBUAGkAbQBlAEwAaQBtAGkAdAAgACgATgBlAHcALQBUAGkAbQBlAFMAcABhAG4AIAAtAFMAZQBjAG8AbgBkAHMAIAAwACkAIAAtAEEAbABsAG8AdwBTAHQAYQByAHQASQBmAE8AbgBCAGEAdAB0AGUAcgBpAGUAcwAgAC0ARABvAG4AdABTAHQAbwBwAEkAZgBHAG8AaQBuAGcATwBuAEIAYQB0AHQAZQByAGkAZQBzACkAIAAtAEYAbwByAGMAZQA=

Trending

Most Viewed

Loading...