KMSAuto Net.exe (KMSAuto Net) 文件分析

更新于 8 months ago

检查者 Malware Check

KMSAuto Net.exe

技术分析

文件名	KMSAuto Net.exe
文件类型	Win32 EXE
魔术字节	`PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows`
SSDEEP 哈希	196608:ZIywBGqyw1O3ywuywQywJywlywLywsywTyw9lywpywZywEywxywZywBywFywUywp:DwBGnw1PwjwNwkwIwuwxw2w9IwEwUwJD
扫描器版本	1.0.196.174
数据库版本	2024-11-09 13:00:33 UTC

⚠

检测到可疑文件

被 46 个安全引擎检测到 - 需要谨慎

此文件需要额外检查潜在威胁。基于可疑指标，我们很快会将其添加到我们的病毒数据库中。

AutoKMS是与绕过合法许可过程的非法Microsoft软件激活相关的工具。引入安全风险和潜在法律后果。

64%

检测率

8,599,288

文件大小（字节）

46/72

检测引擎

2024-11-09

分析日期

扫描另一个文件

文件识别

哈希类型	值	操作
MD5	b9d0b1c63d81a546c6cf6fb800f881ab
SHA1	5c9d2bf13d98e65cd3e5bcd9ef3eafabc7fdedd3
SHA256	3c56387a047564ab68443d8c2f9f427933d5caa09354b60ebf1879a3f3862ceb
SHA512	76efa0b8db35d2a8d034f39b9e78b4ab5d5566bcc4df52ef924a1f037f44b10e327d9d8ea348bc8c98fff8afadce3d4f6d1032f2f8eefb1197c5b7644c4816b7
ImpHash	f34d5f2d4577ed6d9ceec516c1f5a744

检测到威胁的安全引擎 (46 共 72)

Bkav

W32.AIDetectMalware.CS Malicious

Lionic

Hacktool.Win32.AutoKMS.3!c Malicious

Elastic

malicious (high confidence) Malicious

MicroWorld-eScan

Application.Hacktool.KMSActivator.X Malicious

CAT-QuickHeal

PUA.HacktoolFC.S17035616 Malicious

Skyhigh

Generic PUP.db Malicious

ALYac

Application.Hacktool.KMSActivator.X Malicious

Malwarebytes

HackKMS.HackTool.RiskWare.DDS Malicious

CrowdStrike

win/grayware_confidence_100% (W) Malicious

K7GW

Unwanted-Program ( 004d38111 ) Malicious

K7AntiVirus

Unwanted-Program ( 004d38111 ) Malicious

Arcabit

Application.Hacktool.KMSActivator.X Malicious

Symantec

Hacktool.Kms Malicious

ESET-NOD32

a variant of MSIL/HackKMS.I potentially unsafe Malicious

Paloalto

generic.ml Malicious

ClamAV

Win.Tool.Autokms-9829657-0 Malicious

Kaspersky

HackTool.MSIL.KMSAuto.ba Malicious

BitDefender

Application.Hacktool.KMSActivator.X Malicious

Tencent

Malware.Win32.Gencirc.114b0b64 Malicious

VIPRE

Application.Hacktool.KMSActivator.X Malicious

TrendMicro

HackTool.Win32.AutoKMS.AUSWV Malicious

McAfeeD

ti!3C56387A0475 Malicious

CTX

exe.hacktool.autokms Malicious

Sophos

KMS Activator (PUA) Malicious

Ikarus

HackTool.Win32.AutoKMS Malicious

FireEye

Generic.mg.b9d0b1c63d81a546 Malicious

Jiangmin

RiskTool.HackKMS.bg Malicious

Webroot

W32.Hack.Tool Malicious

Varist

W32/AutoKMS.F.gen!Eldorado Malicious

Antiy-AVL

HackTool/MSIL.KMSAuto Malicious

Kingsoft

MSIL.Riskware.KMSAuto.ba Malicious

Xcitium

ApplicUnwnt@#2dzwt0ve12h7t Malicious

Microsoft

HackTool:Win32/AutoKMS Malicious

ZoneAlarm

HackTool.MSIL.KMSAuto.ba Malicious

GData

Application.Hacktool.KMSActivator.X Malicious

AhnLab-V3

HackTool/Win32.AutoKMS.C2656265 Malicious

McAfee

Generic PUP.db Malicious

Cylance

Unsafe Malicious

Panda

HackingTool/AutoKMS Malicious

TrendMicro-HouseCall

HackTool.Win32.AutoKMS.AUSWV Malicious

Rising

Exploit.CVE-2012-0158!8.B68 (CLOUD) Malicious

Yandex

Trojan.Igent.bRV46u.1 Malicious

SentinelOne

Static AI - Malicious PE Malicious

MaxSecure

Trojan.Malware.73388769.susgen Malicious

Fortinet

Riskware/KMSAuto Malicious

DeepInstinct

MALICIOUS Malicious

26 个引擎未报告威胁 - 为清晰起见，仅显示有检测结果的引擎

PE 分析

基本信息

▼

图标	哈希: 7c527cd9cf664d4d93d62961b2149521 模糊: d4bce5b2f880ce8ff726b9b396e3dd70 dHash: b369f1b1619132c0
映像基址	`0x00400000`
入口点	`0x00c284fe`
编译时间	2015-10-01 08:30:40
校验和	0x0083c7b4 (实际: 0x0083c7b4)
操作系统版本	4.0
PEiD 签名	`PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows`
数字签名	Chain verification from CN=Ratiborus MSFree Inc. (serial:40817367281780333941285904014118196625, sha1:1ac5317a27edd14d251767bfca3c38216ec3ca54) failed: The X.509 certificate provided is self-signed - "Common Name: Ratiborus MSFree Inc."
导入	1 库 mscoree
导出	0 函数
资源	12 资源
节	3 节

版本信息

▼

Translation	0x0000 0x04b0
Comments
CompanyName	MSFree Inc.
FileDescription	KMSAuto Net
FileVersion	1.4.0
InternalName	KMSAuto Net.exe
LegalCopyright
LegalTrademarks
OriginalFilename	KMSAuto Net.exe
ProductName	KMSAuto Net
ProductVersion	1.4.0
Assembly Version	1.4.0.0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.text`	`0x00002000`	8,545,540 bytes	8,545,792 bytes	7.07 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`70760C335ED10ECBAE2C2E50B0AD7F29`
`.rsrc`	`0x0082a000`	48,188 bytes	48,640 bytes	4.62 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`223A8A5D174008C19C94927626BB7ACE`
`.reloc`	`0x00836000`	12 bytes	512 bytes	0.08 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`09ED51275768C8E68164C1D7125B1378`

熵分析警报

1 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 12 (47,493 字节)

资源类型	数量	总大小	百分比
RT_ICON	9	43,496 字节	91.6%
RT_GROUP_ICON	1	132 字节	0.3%
RT_VERSION	1	792 字节	1.7%
RT_MANIFEST	1	3,073 字节	6.5%

证书链分析

▼

证书 Information

产品	KMSAuto Net
描述	KMSAuto Net
文件版本	1.4.0
原始名称	KMSAuto Net.exe
签名日期	08:32 AM 10/01/2015 (3568 天前)
验证状态	A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
签名者	Ratiborus MSFree Inc.
内部名称	KMSAuto Net.exe

证书链摘要

Ratiborus MSFree Inc. #1 主要

有效期: 2015-07-26 06:49:10 → 2039-12-31 23:59:59

签名算法: 1.3.14.3.2.29

序列号: 1E B5 23 94 D7 A0 F7 80 4A C8 F8 0D 76 13 95 91

Symantec Time Stamping Services CA - G2 #2 链

有效期: 2012-12-21 00:00:00 → 2020-12-30 23:59:59

签名算法: sha1RSA

序列号: 7E 93 EB FB 7C C6 4E 59 EA 4B 9A 77 D4 06 FC 3B

Symantec Time Stamping Services Signer - G4 #3 链

有效期: 2012-10-18 00:00:00 → 2020-12-29 23:59:59

签名算法: sha1RSA

序列号: 0E CF F4 38 C8 FE BF 35 6E 04 D8 6A 98 1B 1A 50

Microsoft Time-Stamp Service #4 链

有效期: 2015-03-20 17:32:03 → 2016-06-20 17:32:03

签名算法: sha1RSA

序列号: 33 00 00 00 71 B3 2E 8A 6B 82 AA 1F 4E 00 00 00 00 00 71

Microsoft Corporation #5 链

有效期: 2015-06-04 17:42:45 → 2016-09-04 17:42:45

签名算法: sha1RSA

序列号: 33 00 00 01 0A 2C 79 AE D7 79 7B A6 AC 00 01 00 00 01 0A

Microsoft Code Signing PCA #6 链

有效期: 2010-08-31 22:19:32 → 2020-08-31 22:29:32

签名算法: sha1RSA

序列号: 61 33 26 1A 00 00 00 00 00 31

Microsoft Time-Stamp PCA #7 链

有效期: 2007-04-03 12:53:09 → 2021-04-03 13:03:09

签名算法: sha1RSA

序列号: 61 16 68 34 00 00 00 00 00 1C

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

Chain verification from CN=Ratiborus MSFree Inc. (serial:40817367281780333941285904014118196625, sha1:1ac5317a27edd14d251767bfca3c38216ec3ca54) failed: The X.509 certificate provided is self-signed - "Common Name: Ratiborus MSFree Inc."

建议: 验证文件来源并确保它来自可信的发布者.

记住：这是在线病毒扫描器的结果

Gridinsoft Anti-Malware 拥有更强大的病毒扫描引擎。我们建议使用它来更准确地诊断受感染的系统。这个简短的指南将帮助您安装我们的旗舰产品以进行更准确的诊断：

下载反恶意软件

保护您的系统

此文件看起来是干净的，但定期的安全维护很重要

定期扫描：每周运行系统扫描以在新威胁造成损害之前检测它们。
保持软件更新：确保您的操作系统和所有应用程序都有最新的安全补丁。
安全浏览：避免可疑网站，永远不要从不受信任的来源下载软件。
电子邮件安全：对电子邮件附件和链接保持谨慎，即使来自已知联系人。

主动保护

46 个防病毒引擎检测到潜在威胁。这可能是误报，特别是对于系统工具或打包软件。验证文件来源并检查是否由受信任的发布者进行数字签名。

发表评论

分享您对此文件的想法或见解。您是否同意我们的结论？

* 您的反馈可能会影响我们的评级。您的电子邮件将保密，仅在必要时用于与您联系。

您对的评分

5 4 3 2 1