OInstall.exe (Office 2013-2024 C2R Install) 文件分析

更新于 2 years ago

检查者 Malware Check

OInstall.exe

技术分析

文件名	OInstall.exe
文件类型	Win32 EXE
魔术字节	`PE32 executable (GUI) Intel 80386, for MS Windows`
SSDEEP 哈希	393216:3foCkhfO/zFXGW/F/P9wXiXzTh7heC/+pWt0q:PRkdObGXYzt71Ma0
扫描器版本	1.0.168.174
数据库版本	2024-03-09 20:00:28 UTC

⚠

检测到可疑文件

被 33 个安全引擎检测到 - 需要谨慎

此文件需要额外检查潜在威胁。基于可疑指标，我们很快会将其添加到我们的病毒数据库中。

46%

检测率

16,228,352

文件大小（字节）

33/71

检测引擎

2024-03-09

分析日期

扫描另一个文件

文件识别

哈希类型	值	操作
MD5	79b79c931da142894da7ba535f00f624
SHA1	43e1ba4454dc112425eec454d46af409c241ee2a
SHA256	e20e04ab7f5c5035d49ba6ca27e99b8f6ba85aa9392464dee3a9ebf3ef0dc4fa
SHA512	788c7219ff52c563bfd3b3804f7eab96908f218dff1ecb2763e09adcccfe8eb1c73b744de20bd45cde448e7f4adccb5c1902c2d2348e078ec3b0b8491cf751dc
ImpHash	4f5bd8c41170d44583a1b0a0ac96a54c

检测到威胁的安全引擎 (33 共 71)

Bkav

W32.Common.BEF896BE Malicious

Lionic

Hacktool.Win32.KMSAuto.3!c Malicious

Elastic

malicious (high confidence) Malicious

FireEye

Application.Generic.3609630 Malicious

Skyhigh

BehavesLike.Win32.Crack.wh Malicious

Cylance

unsafe Malicious

Sangfor

Suspicious.Win32.Save.ins Malicious

CrowdStrike

win/grayware_confidence_70% (D) Malicious

K7GW

Unwanted-Program ( 005b265b1 ) Malicious

K7AntiVirus

Unwanted-Program ( 005b265b1 ) Malicious

Symantec

ML.Attribute.HighConfidence Malicious

tehtris

Generic.Malware Malicious

ESET-NOD32

a variant of Win32/HackTool.KMSAuto_AGen.K potentially unsafe Malicious

Kaspersky

HackTool.Win32.KMSAuto.ggb Malicious

BitDefender

Application.Generic.3609630 Malicious

MicroWorld-eScan

Application.Generic.3609630 Malicious

Avast

Win32:Malware-gen Malicious

Sophos

Generic Reputation PUA (PUA) Malicious

Emsisoft

Application.Generic.3609630 (B) Malicious

Webroot

W32.Malware.Gen Malicious

Antiy-AVL

HackTool/Win32.KMSAuto Malicious

ZoneAlarm

HackTool.Win32.KMSAuto.ggb Malicious

GData

Win32.Trojan.Agent.HRPT7Y Malicious

McAfee

Artemis!79B79C931DA1 Malicious

MAX

malware (ai score=74) Malicious

VBA32

BScope.Trojan.Win64.Miner Malicious

Malwarebytes

Generic.Malware.AI.DDS Malicious

Rising

HackTool.KMSAuto!8.3AE (TFE:1:J23j2OgaArD) Malicious

Ikarus

PUA.HackTool.Kmsauto Malicious

MaxSecure

Trojan.Malware.300983.susgen Malicious

Fortinet

Riskware/KMSAuto Malicious

AVG

Win32:Malware-gen Malicious

DeepInstinct

MALICIOUS Malicious

38 个引擎未报告威胁 - 为清晰起见，仅显示有检测结果的引擎

PE 分析

基本信息

▼

图标	哈希: cf8b3d44cc80ac3d3f5b2c3f6848133a 模糊: 71fcd2e860bbcd562ce257f969072383 dHash: e0c8ccc6c6c6c0e0
映像基址	`0x00400000`
入口点	`0x00401000`
编译时间	2024-03-05 07:18:30
校验和	0x00f7c72a (实际: 0x00f7c72a)
操作系统版本	4.0
PEiD 签名	`PE32 executable (GUI) Intel 80386, for MS Windows`
数字签名	The PE file does not contain a certificate table.
导入	14 库
导出	0 函数
资源	7 资源
节	7 节

版本信息

▼

ProductName	Office 2013-2024 C2R Install
FileDescription	Office 2013-2024 C2R Install
Translation	0x0000 0x04b0

PE 节

▼

名称	虚拟地址	虚拟大小	原始大小	熵	特征	MD5
`.code`	`0x00001000`	332,266 bytes	332,288 bytes	6.16 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`803A5AF2F3D756C8DD662389A0FA5DF7`
`.text`	`0x00053000`	751,281 bytes	751,616 bytes	6.63 (压缩)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`0F56E4B1CF1642BF2337F3A7599CC5C8`
`'.text'`	`0x0010b000`	21 bytes	512 bytes	0.36 (正常)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`ED9BA544DB08FB4F835EB3AC1C1D5C27`
`.rdata`	`0x0010c000`	172,168 bytes	172,544 bytes	5.89 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`1733C78C99398272ED68382EC6B5F676`
`.data`	`0x00137000`	15,382,616 bytes	14,882,304 bytes	7.02 (压缩)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`F384562DAA1EE008F33636A1DF9AF9B2`
`.rsrc`	`0x00fe3000`	87,752 bytes	88,064 bytes	2.17 (正常)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`477B0A54C43059CB39D2DD57DDD38E4F`
`.modplug`	`0x00ff9000`	20,480 bytes	0 bytes	0.00 (正常)	`IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`D41D8CD98F00B204E9800998ECF8427E`

熵分析警报

2 检测到较高熵（≥6.5）的节 - 可能存在压缩

资源分析

▼

资源总数: 7 (87,299 字节)

资源类型	数量	总大小	百分比
RT_ICON	4	82,656 字节	94.7%
RT_GROUP_ICON	1	62 字节	0.1%
RT_VERSION	1	412 字节	0.5%
RT_MANIFEST	1	4,169 字节	4.8%

证书链分析

▼

证书 Information

产品	Office 2013-2024 C2R Install
描述	Office 2013-2024 C2R Install

证书链摘要

Microsoft Time-Stamp Service #1 主要

有效期: 2016-09-07 17:58:51 → 2018-09-07 17:58:51

签名算法: sha1RSA

序列号: 33 00 00 00 C2 A0 09 C5 37 76 E9 F6 CD 00 00 00 00 00 C2

Microsoft Corporation #2 链

有效期: 2017-08-11 20:11:15 → 2018-08-11 20:11:15

签名算法: sha1RSA

序列号: 33 00 00 01 78 25 5A B5 CD 23 C6 5F 95 00 01 00 00 01 78

Microsoft Code Signing PCA #3 链

有效期: 2010-08-31 22:19:32 → 2020-08-31 22:29:32

签名算法: sha1RSA

序列号: 61 33 26 1A 00 00 00 00 00 31

Microsoft Time-Stamp PCA #4 链

有效期: 2007-04-03 12:53:09 → 2021-04-03 13:03:09

签名算法: sha1RSA

序列号: 61 16 68 34 00 00 00 00 00 1C

Microsoft Corporation #5 链

有效期: 2017-08-11 20:20:24 → 2018-08-11 20:20:24

签名算法: sha256RSA

序列号: 33 00 00 00 C3 0E 9B A7 D8 B2 DC F7 2C 00 00 00 00 00 C3

Microsoft Code Signing PCA 2011 #6 链

有效期: 2011-07-08 20:59:09 → 2026-07-08 21:09:09

签名算法: sha256RSA

序列号: 61 0E 90 D2 00 00 00 00 00 03

Microsoft Time-Stamp PCA 2010 #7 链

有效期: 2010-07-01 21:36:55 → 2025-07-01 21:46:55

签名算法: sha256RSA

序列号: 61 09 81 2A 00 00 00 00 00 02

Microsoft Time-Stamp Service #8 链

有效期: 2016-09-07 17:56:54 → 2018-09-07 17:56:54

签名算法: sha256RSA

序列号: 33 00 00 00 AB 5E 40 9D EE 46 DF 2C 6C 00 00 00 00 00 AB

Symantec Time Stamping Services CA - G2 #9 链

有效期: 2012-12-21 00:00:00 → 2020-12-30 23:59:59

签名算法: sha1RSA

序列号: 7E 93 EB FB 7C C6 4E 59 EA 4B 9A 77 D4 06 FC 3B

Symantec Time Stamping Services Signer - G4 #10 链

有效期: 2012-10-18 00:00:00 → 2020-12-29 23:59:59

签名算法: sha1RSA

序列号: 0E CF F4 38 C8 FE BF 35 6E 04 D8 6A 98 1B 1A 50

VMware, Inc. #11 链

有效期: 2013-10-17 00:00:00 → 2016-11-15 23:59:59

签名算法: sha1RSA

序列号: 44 51 AD 37 17 CF A2 23 71 FF BC 07 DF 13 E6 5D

VeriSign Class 3 Public Primary Certification Authority - G5 #12 链

有效期: 2011-02-22 19:25:17 → 2021-02-22 19:35:17

签名算法: sha1RSA

序列号: 61 19 93 E4 00 00 00 00 00 1C

Microsoft Time-Stamp Service #13 链

有效期: 2016-03-30 19:21:27 → 2017-06-30 19:21:27

签名算法: sha1RSA

序列号: 33 00 00 00 98 04 58 CB 7F 23 09 B0 9E 00 00 00 00 00 98

Microsoft Corporation #14 链

有效期: 2015-06-04 17:42:45 → 2016-09-04 17:42:45

签名算法: sha1RSA

序列号: 33 00 00 01 0A 2C 79 AE D7 79 7B A6 AC 00 01 00 00 01 0A

Microsoft Corporation #15 链

有效期: 2015-10-28 20:31:46 → 2017-01-28 20:31:46

签名算法: sha256RSA

序列号: 33 00 00 00 64 47 84 94 86 DB 41 19 38 00 00 00 00 00 64

✓ 此文件已进行数字签名，证书链已验证。

签名确保文件的完整性和发布者的真实性。
时间戳证明签名的应用时间。

证书验证状态

The PE file does not contain a certificate table.

建议: 验证文件来源并确保它来自可信的发布者.

记住：这是在线病毒扫描器的结果

Gridinsoft Anti-Malware 拥有更强大的病毒扫描引擎。我们建议使用它来更准确地诊断受感染的系统。这个简短的指南将帮助您安装我们的旗舰产品以进行更准确的诊断：

下载反恶意软件

保护您的系统

此文件看起来是干净的，但定期的安全维护很重要

1
每周快速扫描：设置每周日运行扫描的提醒。大多数感染在第一周内被发现，定期检查让您安心。
2
更新所有软件：那些烦人的更新弹窗存在是有原因的 — 它们修补安全漏洞。Windows、浏览器、Adobe、Java — 保持全部更新。
3
智慧下载：坚持使用官方网站和应用商店。如果付费软件的"免费"版本听起来好得不真实，它可能自带不需要的附加内容。
4
点击前三思：恶意软件喜欢电子邮件附件和"紧急"链接。即使邮件看起来来自您的银行或朋友，也要通过其他渠道验证可疑请求。

主动保护

33 个安全引擎标记了此文件。可能是真正的威胁，也可能是误报 — 对于注册机、游戏修改器和合法系统工具来说很常见。检查文件是否有有效的数字签名，以及是否来自官方来源。

发表评论

分享您对此文件的想法或见解。您是否同意我们的结论？

您的反馈可能会影响我们的评级。您的电子邮件将保密，仅在必要时用于与您联系。

Signed in via Gridinsoft Portal · View profile

您对的评分

5 4 3 2 1

Gridinsoft Anti-Malware

保持无恶意软件：使用 Gridinsoft 反恶意软件 保护您的 PC

Gridinsoft 反恶意软件正是如此——提供强大、用户友好的解决方案，让您安心，并不断更新以应对最新威胁。由网络安全专家设计，它提供实时保护和轻松删除恶意软件。这不仅仅是检测威胁；它是通过不间断的安全来增强您的数字生活。试一试，体验无忧浏览的感觉！

Gridinsoft Anti-Malware 现在试试