WinMend Folder Hidden v2 4 0 exe Trojan Agent 文件恶意软件分析: 924e4b0a9026c608955c791358f21e91

WinMend-Folder-Hidden_v2.4.0.exe Trojan Agent 分析

更新于 1 year ago

检查者 Malware Check

WinMend-Folder-Hidden_v2.4.0.exe

哈希类型	值	操作
MD5	924e4b0a9026c608955c791358f21e91
SHA1	d4eff4bc23606e9b437983d2931c5af5908333a2
SHA256	19a322fe5d49fef78ad8d645bb331a265094e9a699785ac769b577e3a8d90bc4
SHA512	bfb778551e5cb45ae5b6c8dcdc003b2c82447f4422ea32a4a4f6577627a11097b5f08e67310b31be3d19cb7380bed17678a2a893fe16b29ed9bf0f0e4344eba9
ImpHash	80417b621299e3e1de617305557a3c68

哈希类型

值

操作

MD5

924e4b0a9026c608955c791358f21e91

SHA1

d4eff4bc23606e9b437983d2931c5af5908333a2

SHA256

19a322fe5d49fef78ad8d645bb331a265094e9a699785ac769b577e3a8d90bc4

SHA512

bfb778551e5cb45ae5b6c8dcdc003b2c82447f4422ea32a4a4f6577627a11097b5f08e67310b31be3d19cb7380bed17678a2a893fe16b29ed9bf0f0e4344eba9

ImpHash

80417b621299e3e1de617305557a3c68

PE 分析

基本信息

▼

图标	哈希: 30adcb5c0b2e3c35eaec2c110733c9f8 模糊: c98f96d6ffe5af8d4eb0870c1dc20826 dHash: 92e0b496a6cada72
映像基址	`0x00400000`
入口点	`0x004097f0`
编译时间	1992-06-19 22:22:17
校验和	0x00000000 (实际: 0x002fa444)
操作系统版本	1.0
PEiD 签名	`PE32 executable (GUI) Intel 80386, for MS Windows`
数字签名	The PE file does not contain a certificate table.
导入	5 库 kernel32, user32, oleaut32, advapi32, comctl32
导出	0 函数
资源	14 资源
节	8 节

版本信息

▼

Comments	This installation was built with Inno Setup: http://www.innosetup.com
CompanyName	WinMend.com
FileDescription	WinMend Folder Hidden Setup
FileVersion
LegalCopyright
Translation	0x0409 0x04e4

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`CODE`	`0x00001000`	36,628 bytes	36,864 bytes	6.58 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`19AEC1C1A4EF2FB9FE30B219AB07DDB2`
`DATA`	`0x0000a000`	584 bytes	1,024 bytes	2.72 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`6344B5E22B5B2675BE150744885E2671`
`BSS`	`0x0000b000`	3,636 bytes	0 bytes	0.00 (正常)	`IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D41D8CD98F00B204E9800998ECF8427E`
`.idata`	`0x0000c000`	2,370 bytes	2,560 bytes	4.42 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`563CB4AE07A81B0403D850851E368293`
`.tls`	`0x0000d000`	8 bytes	0 bytes	0.00 (正常)	`IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D41D8CD98F00B204E9800998ECF8427E`
`.rdata`	`0x0000e000`	24 bytes	512 bytes	0.20 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_SHARED\|IMAGE_SCN_MEM_READ`	`D293BF8D4EBE9826D58E1D27C25FE4B6`
`.reloc`	`0x0000f000`	2,176 bytes	0 bytes	0.00 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_SHARED\|IMAGE_SCN_MEM_READ`	`D41D8CD98F00B204E9800998ECF8427E`
`.rsrc`	`0x00010000`	10,240 bytes	10,240 bytes	4.34 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_SHARED\|IMAGE_SCN_MEM_READ`	`D74027728F2CE535EDB1FC76CA140D92`

熵分析警报

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 14 (9,125 字节)

资源类型	数量	总大小	百分比
RT_ICON	4	4,640 字节	50.8%
RT_STRING	6	2,710 字节	29.7%
RT_RCDATA	1	44 字节	0.5%
RT_GROUP_ICON	1	62 字节	0.7%
RT_VERSION	1	1,020 字节	11.2%
RT_MANIFEST	1	649 字节	7.1%

证书链分析

▼

无数字签名

此文件未进行数字签名。

安全影响:

无法验证发布者的身份
运行此文件时安全风险增加
可能在某些系统上触发安全警告

⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。

证书验证状态

The PE file does not contain a certificate table.

建议: 验证文件来源并确保它来自可信的发布者.

发表评论

文件名	WinMend-Folder-Hidden_v2.4.0.exe
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
扫描器版本	1.0.151.174
数据库版本	2023-12-10 21:01:05 UTC

WinMend-Folder-Hidden_v2.4.0.exe Trojan Agent 分析

技术分析

Trojan.Win32.Agent.oa

扫描另一个文件

文件识别