NеwInst [UPD!] exe 文件恶意软件分析

技术分析

文件名	NеwInst_[UPD!].exe
文件类型	Win32 EXE
魔术字节	`PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows`
SSDEEP 哈希	196608:bWYbfdRXGjrRxx4BJThagv3R9+KRHba8E7BvKdNsQHUydG8auL+1EJhMvpAFP+E/:AC+BOk8+iPI4pS3Bd3nt8+c
扫描器版本	1.0.216.174
数据库版本	2025-05-14 12:00:23 UTC

扫描另一个文件

文件识别

哈希类型	值	操作
MD5	85001423c532f4c2b85516fd60a67c2d
SHA1	263458d969875c6e31866e0b9c20d1dc3ba8c8da
SHA256	0c8375c59184a716a448face09ef08f619db1245795ada87e2f44758ef169368
SHA512	a2fb641bb428ff564aa5f7c38f93393763d7ecc178ede7da44231b47503fdfe664fe35d6a01668c08a73f5b3f4306091dafb679f9df9e5b21b5a9a22a036dd0e
ImpHash	6bfb7efaa840cda501f03d168513e82c

检测到威胁的安全引擎 (3 共 72)

VirIT

Trojan.Win32.GenHeur.B Malicious

Rising

Trojan.Injector!1.127AD (CLASSIC) Malicious

Microsoft

Trojan:Win32/Bearfoos.A!ml Malicious

69 个引擎未报告威胁 - 为清晰起见，仅显示有检测结果的引擎

PE 分析

基本信息

▼

图标	哈希: 3a125d7c19f23452a68b06d9fb3c6f63 模糊: 9157fc754cb04cef7624c7d4a105658c dHash: fcbaeeeeeeeeeeb2
映像基址	`0x00400000`
入口点	`0x004012a0`
编译时间	2011-03-23 01:09:05
校验和	0x00d5c167 (实际: 0x007df014)
操作系统版本	4.0
PEiD 签名	`PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows`
数字签名	The expected hash does not match the digest in SpcInfo
导入	13 库
导出	0 函数
资源	3 资源
节	6 节

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	6,378,316 bytes	6,378,496 bytes	6.25 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`AA49CC214D9C30AEF080D61AB4CCC8D2`
`.data`	`0x00617000`	5,732 bytes	6,144 bytes	3.72 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`0531B3C44A5314AABC7A682606FB511F`
`.rdata`	`0x00619000`	1,357,420 bytes	1,357,824 bytes	7.13 (压缩)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`1E085D36CD3140192C03F5A42167E9BB`
`.bss`	`0x00765000`	41,936 bytes	0 bytes	0.00 (正常)	`IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D41D8CD98F00B204E9800998ECF8427E`
`.idata`	`0x00770000`	16,720 bytes	16,896 bytes	5.22 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`CD0B15611AF6EEAD1ABCEF1EE218582F`
`.rsrc`	`0x00775000`	433,152 bytes	433,152 bytes	7.83 (打包/加密)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`34F8AD6573740EA7F8272D7FF448890D`

熵分析警报

1 检测到高熵（≥7.5）的节 - 可能存在打包/加密

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 3 (3,634 字节)

资源类型	数量	总大小	百分比
RT_ICON	2	3,600 字节	99.1%
RT_GROUP_ICON	1	34 字节	0.9%

证书链分析

▼

证书 Information

签名日期	10:22 AM 04/02/2025 (66 天前)
验证状态	The digital signature of the object did not verify.
签名者	Wondershare Technology Group Co.,Ltd; DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1; DigiCert Trusted Root G4; DigiCert
副签名者	DigiCert Timestamp 2024; DigiCert Trusted G4 RSA4096 SHA256 TimeStamping CA; DigiCert Trusted Root G4; DigiCert

证书链摘要

DigiCert Trusted Root G4 #1 主要

有效期: 2022-08-01 00:00:00 → 2031-11-09 23:59:59

签名算法: sha384RSA

序列号: 0E 9B 18 8E F9 D0 2D E7 EF DB 50 E2 08 40 18 5A

DigiCert Trusted G4 RSA4096 SHA256 TimeStamping CA #2 链

有效期: 2022-03-23 00:00:00 → 2037-03-22 23:59:59

签名算法: sha256RSA

序列号: 07 36 37 B7 24 54 7C D8 47 AC FD 28 66 2A 5E 5B

DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 #3 链

有效期: 2021-04-29 00:00:00 → 2036-04-28 23:59:59

签名算法: sha384RSA

序列号: 08 AD 40 B2 60 D2 9C 4C 9F 5E CD A9 BD 93 AE D9

DigiCert Timestamp 2024 #4 链

有效期: 2024-09-26 00:00:00 → 2035-11-25 23:59:59

签名算法: sha256RSA

序列号: 0B AE 66 BC 5A BA 7F 95 87 C6 F9 E9 04 E3 33 04

Wondershare Technology Group Co.,Ltd #5 链

有效期: 2022-04-15 00:00:00 → 2025-04-05 23:59:59

签名算法: sha256RSA

序列号: 0E 59 B2 10 F4 02 BB 48 03 BE EC 5B 21 01 30 C5

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

The expected hash does not match the digest in SpcInfo

建议: 验证文件来源并确保它来自可信的发布者.

NеwInst_[UPD!].exe 文件分析

技术分析

检测到可疑文件

扫描另一个文件

文件识别

检测到威胁的安全引擎 (3 共 72)

PE 分析

基本信息

PE 节

熵分析警报

资源分析

证书链分析

证书 Information

证书链摘要

证书验证状态

记住：这是在线病毒扫描器的结果

保护您的系统

发表评论

Gridinsoft Anti-Malware