| 文件名 | Update.Client.exe |
| 文件类型 |
PE32 executable (GUI) Intel 80386, for MS Windows
|
| 扫描器版本 | 1.0.210.174 |
| 数据库版本 | 2025-03-10 06:00:40 UTC |
恶意软件家族: RemoteAdmin
| 哈希类型 | 值 | 操作 |
|---|---|---|
| MD5 |
91f1f2cf7a5a4de1b7567de2a284dc54
|
|
| SHA1 |
ea2692ff1d8c8741c9309eb4e9a002e76fca08ef
|
|
| SHA256 |
342cd95d21066229dd4e9a4ea4b3a003a6cee33df53c79295a059800df1788a7
|
|
| SHA512 |
3baac1f3dd0cb20e6602d4e1213b31dc7884a6944b86a9f33739ec1ee015213054bb1ae8719d02c6d9a3f59a7ccf32277ba8044d1178650b9d0555a5279caa67
|
|
| ImpHash |
37d5c89163970dd3cc69230538a1b72b
|
| 映像基址 | 0x00400000 |
| 入口点 | 0x00401489 |
| 编译时间 | 2024-10-28 17:41:07 |
| 校验和 | 0x0001cb11 (实际: 0x0002272b) |
| 操作系统版本 | 5.1 |
| PEiD 签名 |
PE32 executable (GUI) Intel 80386, for MS Windows
|
| PDB 路径 | C:\builds\cc\cwcontrol\Product\ClickOnceRunner\Release\ClickOnceRunner.pdb |
| 数字签名 | OK |
| 导入 |
2 库
KERNEL32, CRYPT32 |
| 导出 | 0 函数 |
| 资源 | 1 资源 |
| 节 | 5 节 |
| 名称 | 虚拟地址 | 虚拟大小 | 原始大小 | 熵 | 特征 | MD5 |
|---|---|---|---|---|---|---|
.text |
0x00001000 |
40,184 bytes | 40,448 bytes | 6.58 (压缩) |
IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ
|
BAE4521030709E187BDBE8A34D7BF731 |
.rdata |
0x0000b000 |
23,896 bytes | 24,064 bytes | 4.84 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ
|
5885F441ED28E3701C5E80BF46CB5C4B |
.data |
0x00011000 |
4,556 bytes | 2,048 bytes | 2.01 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE
|
04A548A5C04675D08166D3823A6BF61B |
.rsrc |
0x00013000 |
480 bytes | 512 bytes | 4.70 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ
|
AA256780346BE2E1EE49AC6D69D2FAFF |
.reloc |
0x00014000 |
3,548 bytes | 3,584 bytes | 6.50 (压缩) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ
|
908329E10A1923A3C4938A10D44237D9 |
2 检测到较高熵(≥6.5)的节 - 可能存在压缩
| 资源类型 | 数量 | 总大小 | 百分比 |
|---|---|---|---|
| RT_MANIFEST | 1 | 381 字节 |
此文件未进行数字签名。
⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。
OK
按照以下步骤完全从系统中移除威胁
