Multi-License Discount Quote

Change Region

English
Threat Database Trojans Trojan.Agent.KGR

Trojan.Agent.KGR

By CagedTech in Trojans

Analysis Report

General information

Family Name: Trojan.Agent.KGR
Signature status: No Signature

Known Samples

MD5: be02f9bc0f3c2f9f6e4a42f6ca1ec58c
SHA1: c565562dac4ce8f8b37ebb293d92e438af8996ed
SHA256: 956422B9575DEE0679461E98AA7232F239D839EE76E5C8FE556EDBEA811406BC
File Size: 1.18 MB, 1180672 bytes
MD5: d5d1c9b085c897d93b47556bb1803140
SHA1: 1bdf327d313b169e15948a30ef1d83ab9d409349
SHA256: 622D07CC263DE89CFBE44E98CB3F02DE18E6122C50F17D8DDCB640DFEAF9360A
File Size: 1.59 MB, 1590272 bytes
MD5: aa82a5a72d3f5a6cb5765db8c06e99f5
SHA1: 208687fc76ab2d86fd7d7732f592aaa01f11fe90
SHA256: BD2F3EA97CF65553D3F0A4D5FDB9D08DD586F2C634E60A715541D8D02440E54E
File Size: 2.73 MB, 2729984 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File has TLS information
  • File is 64-bit executable
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
Show More
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Name Value
Company Name KRKsoft
File Description Directory Lister v2.48
File Version 2.48.0.1599
Internal Name DirListerPro.exe
Legal Copyright Copyright 1999-2022 KRKsoft. All rights reserved.
Original Filename DirListerPro.exe
Product Name Directory Lister
Product Version 2.48.0.0

File Traits

  • HighEntropy
  • No Version Info
  • x64

Block Information

Total Blocks: 3,608
Potentially Malicious Blocks: 13
Whitelisted Blocks: 2,314
Unknown Blocks: 1,281

Visual Map

0 0 ? 0 0 ? ? 0 0 0 0 x 0 0 ? 0 ? ? 0 0 ? ? 0 ? ? ? ? ? ? 0 ? ? 0 0 ? ? 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? ? ? 0 ? ? ? ? ? 0 ? ? ? 0 ? ? ? ? ? ? 0 ? 1 ? ? ? 0 0 0 ? 0 ? ? ? 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? 0 0 0 0 0 0 0 ? ? ? 0 ? ? 0 0 ? 0 ? ? ? 0 ? 0 0 0 ? ? 0 ? ? ? ? ? 0 ? ? ? ? ? 0 0 0 0 0 0 0 0 ? ? ? ? 0 0 ? ? 0 ? ? ? ? ? 0 ? 0 0 0 ? 0 ? 0 ? ? ? 0 ? 0 ? ? ? 0 0 ? ? 0 ? 0 0 0 0 1 0 ? 0 ? 0 ? 0 0 ? 0 ? 0 0 0 0 0 0 0 0 ? ? ? x 0 0 0 x x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? ? 0 ? 0 ? 0 ? 0 0 0 0 ? ? ? 0 ? 0 0 ? ? ? 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 1 0 0 0 0 0 0 ? ? ? ? 0 ? ? ? 0 0 0 ? 0 ? ? ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 ? ? ? ? ? ? ? ? ? 0 ? 0 0 ? 0 0 0 ? ? 0 ? ? ? ? 0 ? ? 0 0 ? ? ? ? ? 0 ? ? 0 ? ? ? ? 0 ? ? ? 0 0 0 0 0 ? ? ? 0 0 0 ? 0 ? 0 ? ? ? ? ? ? ? ? ? 0 ? ? 0 ? 0 x ? ? ? ? ? 0 0 ? ? ? ? ? ? ? 0 ? 0 ? ? 0 ? ? ? 0 ? ? ? ? 0 ? ? ? 0 0 0 0 0 0 ? ? ? 0 0 ? 0 0 ? ? ? ? ? 0 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 x 0 0 ? ? ? 0 0 ? 0 0 0 0 0 0 0 0 ? 0 0 0 0 ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? 0 ? ? ? ? ? 0 ? ? ? ? ? ? 0 0 ? ? ? ? ? ? 0 0 ? ? ? 0 0 ? ? ? ? ? 0 ? 0 0 0 ? ? ? ? ? 0 0 0 ? 0 ? ? ? ? ? ? ? 0 ? ? ? ? 0 ? ? ? ? 0 ? ? ? ? 0 ? ? ? 0 0 ? 0 ? ? ? 0 ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? 0 ? ? ? 0 ? 0 0 ? 0 ? 0 ? ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? 0 ? ? 0 0 0 ? ? ? 0 0 0 0 0 0 0 0 0 1 ? 0 0 0 0 0 ? 0 0 0 ? 0 0 ? 0 0 0 0 0 0 ? ? 0 0 ? ? ? ? 0 ? 0 ? ? 0 0 0 0 ? ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? 0 0 x ? 0 ? ? 0 0 ? ? ? ? ? 0 ? 0 ? 0 ? 0 ? 0 0 0 ? ? ? ? ? 0 0 0 ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? 0 ? ? ? 0 ? 0 ? ? ? ? 0 ? ? 0 0 ? ? 0 ? ? ? ? 0 ? ? 0 ? ? ? ? 0 ? 0 0 ? 0 0 ? 0 0 ? ? 0 ? ? ? ? ? 0 ? ? ? 0 0 0 0 0 0 0 0 0 ? 0 0 1 0 0 0 0 ? 0 0 ? ? 0 ? ? ? ? ? ? ? ? ? 0 ? 0 ? 0 ? ? 0 ? ? ? ? 0 ? ? ? 1 ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? 0 ? ? ? ? ? 0 ? 1 ? ? ? ? ? 0 ? 0 ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? 0 ? ? ? ? ? 0 ? ? 0 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? 0 0 0 0 0 0 0 0 0 0 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? 0 ? ? ? ? 0 0 ? 0 ? ? ? ? ? ? ? ? 0 0 ? ? ? ? 0 ? ? 0 0 ? 0 0 0 ? ? ? ? 0 0 0 0 ? ? ? ? ? 0 0 ? ? 0 ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 1 ? ? ? 0 ? 0 0 0 0 1 0 0 0 1 0 0 x 0 0 0 1 0 0 0 0 0 ? ? ? ? 0 0 0 1 ? 0 ? 0 ? ? ? ? ? ? 0 ? 0 ? 0 0 0 ? 0 ? ? ? 0 ? ? 0 ? 0 0 0 ? ? ? ? ? ? 0 0 0 0 ? 0 0 ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? 1 ? ? 0 ? 0 0 ? ? 0 0 0 0 0 ? ? 0 0 ? ? 0 0 ? ? 0 ? ? ? 0 ? ? x x 0 0 ? ? ? ? ? ? 0 0 ? 0 ? ? ? ? 0 ? ? ? ? ? 0 ? 0 ? 0 0 0 0 0 ? 0 0 0 1 ? ? 0 0 0 0 ? ? ? ? ? 0 0 0 0 0 0 0 0 0 ? ? 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 ? ? ? ? ? ? 0 ? 0 ? ? 0 0 ? ? ? ? ? ? ? 0 ? 0 ? 0 ? ? 0 ? ? ? ? 0 0 ? 0 ? ? ? ? 0 ? 0 ? ? 0 ? 0 ? ? ? ? ? ? 0 ? 0 ? 0 ? 0 ? ? ? ? ? ? 0 ? 0 ? ? ? ? 0 ? 0 ? 0 ? 0 ? 0 ? ? ? ? 0 ? 0 ? ? 0 ? 0 ? ? ? ? ? ? ? ? 0 0 ? ? ? 0 ? 0 ? 0 ? ? ? ? ? 0 ? 0 ? ? 0 0 0 0 0 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? 0 ? ? 0 0 0 ? ? ? ? ? 0 ? 0 ? ? 0 ? ? 0 0 0 0 0 ? 0 0 ? ? ? 0 ? ? 0 ? ? ? ? ? ? ? ? ? ? 0 0 ? ? ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? ? ? ? ? 0 0 0 ? ? 0 0 0 0 ? ? 0 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? ? ? 0 ? 0 0 0 ? ? 0 ? ? ? ? ? 0 ? 0 ? ? ? ? ? 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 ? ? 0 0 0 1 0 ? 0 0 ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? 0 0 ? ? ? ? ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? 0 ? ? ? ? ? 0 ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? 0 0 0 ? ? ? ? ? ? ? 0 ? ? 0 ? 0 ? ? ? ? ? ? ? ? ? 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 ? ? 0 ? 0 0 0 ? 0 ? ? ? ? ? 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? 0 ? ? ? ? ? ? ? 0 ? 0 ? 0 ? 0 ? 0 0 ? ? ? ? ? 0 ? ? ? 0 0 ? 0 ? 0 ? ? ? ? 0 0 0 1 0 0 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 0 0 ? 0 0 ? 0 ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 ? 0 ? ? 0 ? ? 0 ? ? ? ? ? ? ? ? 0 ? ? ? 0 0 1 ? ? 0 0 0 ? 0 0 0 ? 0 ? ? ? ? ? ? ? ? ? 0 ? ? ? ? 0 ? 0 ? 0 ? ? 0 0 0 0 0 ? ? 0 0 0 0 0 0 0 ? ? 0 0 ? ? 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 ? 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 ? ? 0 ? 0 0 ? 0 0 ? 0 0 ? 0 0 ? 0 ? ? 0 ? 0 ? 0 0 ? 0 0 0 0 0 ? 0 ? 0 0 0 0 ? 0 0 0 0 0 0 0 ?
... Data truncated
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • Agent.KGR

Files Modified

File Attributes
\device\namedpipe\dav rpc service Generic Read,Write Data,Write Attributes,Write extended,Append data
\device\namedpipe\pshost.134066443611002930.5928.defaultappdomain.powershell Generic Read,Write Data,Write Attributes,Write extended,Append data,LEFT 524288
\device\namedpipe\wkssvc Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\__psscriptpolicytest_lewnpqsn.lhh.psm1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_mcbpe1ef.awp.ps1 Generic Write,Read Attributes

Registry Modifications

Key::Value Data API Name
HKLM\software\microsoft\windows defender\exclusions\paths::c:\users\user\downloads\c565562dac4ce8f8b37ebb293d92e438af8996ed_0001180672 RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\cmd.exe 쬕宦䲸ǜ RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\cmd.exe 厄宰䲸ǜ RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 㻬宼䲸ǜ RegNtPreCreateKey

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAllocateLocallyUniqueId
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcConnectPortEx
  • ntdll.dll!NtAlpcCreateResourceReserve
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcQueryInformationMessage
  • ntdll.dll!NtAlpcSendWaitReceivePort
Show More
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelTimer2
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCompareSigningLevels
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtFsControlFile
  • ntdll.dll!NtGetCachedSigningLevel
  • ntdll.dll!NtGetCompleteWnfStateSubscription
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryObject
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtQueueApcThreadEx2
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationObject
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSetTimerEx

29 additional items are not displayed above.

Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
Anti Debug
  • IsDebuggerPresent
  • NtQuerySystemInformation
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserNameEx
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
Other Suspicious
  • AdjustTokenPrivileges
Network Wininet
  • InternetOpen
  • InternetOpenUrl
  • InternetReadFile
  • InternetSetOption

Shell Command Execution

C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe /c schtasks /delete /tn "$77-WindowsVersion-2600499253-Handler.sys" /f >nul 2>&1
C:\WINDOWS\system32\schtasks.exe schtasks /delete /tn "$77-WindowsVersion-2600499253-Handler.sys" /f
C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe /c schtasks /create /sc onlogon /tn "$77-WindowsVersion-2600499253-Handler.sys" /tr "c:\users\user\downloads\c565562dac4ce8f8b37ebb293d92e438af8996ed_0001180672" /rl HIGHEST /f >nul
C:\WINDOWS\system32\schtasks.exe schtasks /create /sc onlogon /tn "$77-WindowsVersion-2600499253-Handler.sys" /tr "c:\users\user\downloads\c565562dac4ce8f8b37ebb293d92e438af8996ed_0001180672" /rl HIGHEST /f
powershell.exe -ExecutionPolicy bypass -Command "Set-MpPreference -DisableRealtimeMonitoring $true

Trending

Most Viewed

Loading...