CHEAT Loader.exe (Malwarebytes) 文件分析

更新于 2 years ago

检查者 Malware Check

CHEAT Loader.exe

技术分析

文件名	CHEAT Loader.exe
文件类型	Win32 EXE
魔术字节	`PE32 executable (GUI) Intel 80386, for MS Windows`
SSDEEP 哈希	98304:NW5cnbCzw/TRQi1t11OdbRrPejUjnMP+seiZfmNqyoapIRCDmqj9VixwvA2FBqhq:NWzwZ12T/LMPrPZf3yLKRaPUCDqU
扫描器版本	1.0.170.174
数据库版本	2024-03-30 14:00:29 UTC

⚠

检测到可疑文件

被 31 个安全引擎检测到 - 需要谨慎

此文件需要额外检查潜在威胁。基于可疑指标，我们很快会将其添加到我们的病毒数据库中。

44%

检测率

4,904,944

文件大小（字节）

31/71

检测引擎

2024-03-30

分析日期

扫描另一个文件

文件识别

哈希类型	值	操作
MD5	3b016683daab3b3cbd2aec267abf4fe4
SHA1	62c983c0ba81a6295abd66ce7a55ea1f1b56a7da
SHA256	0fe8ef270e08fe0c38513e0f847167ce34a2ce062f6927d1a7b677bfffd4d635
SHA512	5fe17990f09a5075933a3fc4ecb98704d0606f6872b6aeffdd32d60a2f1d995b70e1c0d8bce3e8e425de44a1da191e8f33c7424093246c32aee79aaf21c651f4
ImpHash	f6baa5eaa8231d4fe8e922a2e6d240ea

检测到威胁的安全引擎 (31 共 71)

Bkav

W32.AIDetectMalware Malicious

Lionic

Trojan.Win32.Stealer.tsi1 Malicious

Elastic

malicious (high confidence) Malicious

Skyhigh

Artemis!Trojan Malicious

McAfee

Artemis!3B016683DAAB Malicious

Malwarebytes

Generic.Malware/Suspicious Malicious

Sangfor

Trojan.Win32.Sfx.V1o0 Malicious

K7AntiVirus

Trojan ( 005a24931 ) Malicious

K7GW

Trojan ( 005a24931 ) Malicious

Symantec

Trojan.Gen.MBT Malicious

ESET-NOD32

Win32/Packed.7Zip.AI Malicious

Avast

FileRepMalware [Misc] Malicious

ClamAV

Win.Keylogger.Gencbl-9969771-0 Malicious

Kaspersky

Trojan.Win32.SFX.om Malicious

Tencent

Win32.Trojan.FalseSign.Edhl Malicious

Sophos

Mal/Generic-S Malicious

F-Secure

Trojan.TR/Redcap.xxxax Malicious

Ikarus

Trojan.Win32.7zip Malicious

Avira

TR/Redcap.xxxax Malicious

Microsoft

Trojan:Win32/Sabsik.FL.B!ml Malicious

ZoneAlarm

Trojan.Win32.SFX.om Malicious

GData

Win32.Backdoor.Rozena.06A8BX Malicious

Cynet

Malicious (score: 99) Malicious

AhnLab-V3

Malware/Win.Generic.C4518703 Malicious

Cylance

unsafe Malicious

Panda

Trj/Chgt.AD Malicious

Rising

Stealer.Agent/SFX!1.F3AF (CLASSIC) Malicious

Fortinet

W32/PossibleThreat Malicious

AVG

FileRepMalware [Misc] Malicious

DeepInstinct

MALICIOUS Malicious

CrowdStrike

win/malicious_confidence_60% (W) Malicious

40 个引擎未报告威胁 - 为清晰起见，仅显示有检测结果的引擎

PE 分析

基本信息

▼

图标	哈希: 35254fe6022f271cac5ec91d6637329f 模糊: 6a946b8de3a6cac6e2b022bbb603f929 dHash: 00b28e8e8e86b800
映像基址	`0x00400000`
入口点	`0x0041945f`
编译时间	2012-05-28 09:05:18
校验和	0x004b1fe1 (实际: 0x004b1fe1)
操作系统版本	4.0
PEiD 签名	`PE32 executable (GUI) Intel 80386, for MS Windows`
数字签名	Chain verification from CN=ZennoInc, EMAIL=ZennoInc, O=ZennoInc, L=ZennoInc, C=UK (serial:3597384518965702805, sha1:f0f30f7fff6072ab7e2ce8e0921ccbe6283d1181) failed: The X.509 certificate provided is self-signed - "Common Name: ZennoInc, Email Address: ZennoInc, Organization: ZennoInc, Locality: ZennoInc, Country: UK"
导入	9 库 COMCTL32, SHELL32, GDI32, ADVAPI32, USER32, ole32, OLEAUT32, KERNEL32, MSVCRT
导出	0 函数
资源	7 资源
节	4 节

版本信息

▼

CompanyName	Malwarebytes
LegalCopyright	© Malwarebytes 2024. All rights reserved.
OriginalFilename	Malwarebytes.dll
FileVersion	5.0.0.735
ProductName	Malwarebytes
ProductVersion	5.0.0.735
InternalName	Malwarebytes.dll
FileDescription	Malwarebytes
Created	7z SFX Constructor v4.6.0.0 (http://usbtor.ru/viewtopic.php?t=798)
Builder	ahileeeeeess 19:33:34 28/03/2024
Translation	0x0000 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00001000`	101,902 bytes	102,400 bytes	6.66 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`D3957DDD0307E58133C3F807DFC6F779`
`.rdata`	`0x0001a000`	15,322 bytes	15,360 bytes	5.73 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`D084871ADC0CD9263E4A1811B8FC40FA`
`.data`	`0x0001e000`	19,948 bytes	2,560 bytes	4.44 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`8C42B68006A121B1B9EBD199E2E59CA5`
`.rsrc`	`0x00023000`	20,224 bytes	20,480 bytes	3.93 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`197037149DB03D59796C3E0D2F5E05AB`

熵分析警报

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 7 (19,772 字节)

资源类型	数量	总大小	百分比
RT_ICON	4	17,840 字节	90.2%
RT_GROUP_ICON	1	62 字节	0.3%
RT_VERSION	1	1,032 字节	5.2%
RT_MANIFEST	1	838 字节	4.2%

证书链分析

▼

证书 Information

产品	Malwarebytes
描述	Malwarebytes
文件版本	5.0.0.735
原始名称	Malwarebytes.dll
签名日期	06:32 PM 03/28/2024 (808 天前)
验证状态	A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
签名者	ZennoInc
内部名称	Malwarebytes.dll
版权	© Malwarebytes 2024. All rights reserved.

证书链摘要

ZennoInc #1 主要

有效期: 2024-02-27 00:00:00 → 2026-02-27 00:00:00

签名算法: sha256RSA

序列号: 31 EC 7A 29 05 70 B0 95

Sectigo RSA Time Stamping CA #2 链

有效期: 2019-05-02 00:00:00 → 2038-01-18 23:59:59

签名算法: sha384RSA

序列号: 30 0F 6F AC DD 66 98 74 7C A9 46 36 A7 78 2D B9

Sectigo RSA Time Stamping Signer #4 #3 链

有效期: 2023-05-03 00:00:00 → 2034-08-02 23:59:59

签名算法: sha384RSA

序列号: 39 4C 25 E1 7C A0 6D 27 A8 65 E2 3B D9 1D 22 D4

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

Chain verification from CN=ZennoInc, EMAIL=ZennoInc, O=ZennoInc, L=ZennoInc, C=UK (serial:3597384518965702805, sha1:f0f30f7fff6072ab7e2ce8e0921ccbe6283d1181) failed: The X.509 certificate provided is self-signed - "Common Name: ZennoInc, Email Address: ZennoInc, Organization: ZennoInc, Locality: ZennoInc, Country: UK"

建议: 验证文件来源并确保它来自可信的发布者.

记住：这是在线病毒扫描器的结果

Gridinsoft Anti-Malware 拥有更强大的病毒扫描引擎。我们建议使用它来更准确地诊断受感染的系统。这个简短的指南将帮助您安装我们的旗舰产品以进行更准确的诊断：

下载反恶意软件

保护您的系统

此文件看起来是干净的，但定期的安全维护很重要

1
每周快速扫描：设置每周日运行扫描的提醒。大多数感染在第一周内被发现，定期检查让您安心。
2
更新所有软件：那些烦人的更新弹窗存在是有原因的 — 它们修补安全漏洞。Windows、浏览器、Adobe、Java — 保持全部更新。
3
智慧下载：坚持使用官方网站和应用商店。如果付费软件的"免费"版本听起来好得不真实，它可能自带不需要的附加内容。
4
点击前三思：恶意软件喜欢电子邮件附件和"紧急"链接。即使邮件看起来来自您的银行或朋友，也要通过其他渠道验证可疑请求。

主动保护

31 个安全引擎标记了此文件。可能是真正的威胁，也可能是误报 — 对于注册机、游戏修改器和合法系统工具来说很常见。检查文件是否有有效的数字签名，以及是否来自官方来源。

发表评论

分享您对此文件的想法或见解。您是否同意我们的结论？

您的反馈可能会影响我们的评级。您的电子邮件将保密，仅在必要时用于与您联系。

Signed in via Gridinsoft Portal · View profile

您对的评分

5 4 3 2 1

Gridinsoft Anti-Malware

保持无恶意软件：使用 Gridinsoft 反恶意软件 保护您的 PC

Gridinsoft 反恶意软件正是如此——提供强大、用户友好的解决方案，让您安心，并不断更新以应对最新威胁。由网络安全专家设计，它提供实时保护和轻松删除恶意软件。这不仅仅是检测威胁；它是通过不间断的安全来增强您的数字生活。试一试，体验无忧浏览的感觉！

Gridinsoft Anti-Malware 现在试试