| 文件名 | winserver.exe |
| 文件类型 |
PE32 executable (GUI) Intel 80386, for MS Windows
|
| 扫描器版本 | 1.0.154.174 |
| 数据库版本 | 2024-01-14 17:04:45 UTC |
恶意软件家族: Dropper
| 哈希类型 | 值 | 操作 |
|---|---|---|
| MD5 |
a43bedcea11374dcac695f3c6c73d087
|
|
| SHA1 |
e49dac10515c6eac7e4faf0ff8e33aac53948a7c
|
|
| SHA256 |
ac4f790c512fdad670bc2d49171d1cd46fe93c3264317cbac616d64b16762457
|
|
| SHA512 |
25e116aed58f43bd8d32f2119280af1713b95883320fc094347192ca0c09f2f5d47dfcd94b66561b2a845326514a579ab5a6e548aab148a747ddba08a03105a5
|
|
| ImpHash |
d5d9d937853db8b666bd4b525813d7bd
|
| 映像基址 | 0x00400000 |
| 入口点 | 0x00401ae1 |
| 编译时间 | 2013-06-15 16:44:28 |
| 校验和 | 0x00000000 (实际: 0x00be8b75) |
| 操作系统版本 | 4.0 |
| PEiD 签名 |
PE32 executable (GUI) Intel 80386, for MS Windows
|
| 数字签名 | The PE file does not contain a certificate table. |
| 导入 |
3 库
shlwapi, kernel32, user32 |
| 导出 | 0 函数 |
| 资源 | 3 资源 |
| 节 | 4 节 |
| 名称 | 虚拟地址 | 虚拟大小 | 原始大小 | 熵 | 特征 | MD5 |
|---|---|---|---|---|---|---|
.text |
0x00001000 |
3,110 bytes | 3,584 bytes | 5.15 (正常) |
IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ
|
A941EDE160CF12509BE8DD37AE2B6A57 |
.rdata |
0x00002000 |
1,216 bytes | 1,536 bytes | 4.21 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ
|
930587E8EECE4537E4BE6A4476DC03FA |
.data |
0x00003000 |
55,024 bytes | 1,536 bytes | 1.73 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE
|
7F95694B637A8E9D84E496462C4AF938 |
.rsrc |
0x00011000 |
12,415,588 bytes | 12,416,000 bytes | 8.00 (打包/加密) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE
|
0FC79A3AA604D132B16C3CC3A72AB0E9 |
1 检测到高熵(≥7.5)的节 - 可能存在打包/加密
| 资源类型 | 数量 | 总大小 | 百分比 |
|---|---|---|---|
| IMAGE | 1 | 66 字节 | |
| RT_RCDATA | 2 | 12,415,300 字节 |
此文件未进行数字签名。
⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。
The PE file does not contain a certificate table.
建议: 验证文件来源并确保它来自可信的发布者.
Gridinsoft 能够识别并消除 Backdoor.Win32.Dropper.bot!s1,无需用户进一步干预。
下载反恶意软件按照以下步骤完全从系统中移除威胁
