文件名 | UserOOBEBroker.exe |
文件类型 |
PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
|
扫描器版本 | 1.0.158.174 |
数据库版本 | 2024-01-31 11:00:46 UTC |
恶意软件家族: Sabsik
哈希类型 | 值 | 操作 |
---|---|---|
MD5 |
990ffea40c71b5c2c12eeab1c20f2f42
|
|
SHA1 |
cacef3426e88fef612e13c3dae57ea8796ec2192
|
|
SHA256 |
ecafe249b73979322f351d3a6a08565582c4d0069330f660a71b61520d8666cc
|
|
SHA512 |
4dbbd94ab62659266bdd1b7564cb835925242312077a1cf87bf686a6b1aecc6a56e9d7c568e15d0345e1956c1628e304af4b418531b8ea980ebfa3884a9a64f7
|
|
ImpHash |
f34d5f2d4577ed6d9ceec516c1f5a744
|
映像基址 | 0x00400000 |
入口点 | 0x005e630e |
编译时间 | 2023-09-18 01:48:37 |
校验和 | 0x00000000 (实际: 0x001f2f16) |
操作系统版本 | 4.0 |
PEiD 签名 |
PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
|
数字签名 | The PE file does not contain a certificate table. |
导入 |
1 库
mscoree |
导出 | 0 函数 |
资源 | 1 资源 |
节 | 3 节 |
CompanyName | |
FileDescription | |
FileVersion | 16.10.31418.88 |
InternalName | VisualStudio.Shell.Framework.dll |
LegalCopyright | © All rights reserved. |
OriginalFilename | VisualStudio.Shell.Framework.dll |
ProductName | |
ProductVersion | |
Assembly Version | 16.0.0.0 |
Translation | 0x0000 0x04b0 |
名称 | 虚拟地址 | 虚拟大小 | 原始大小 | 熵 | 特征 | MD5 |
---|---|---|---|---|---|---|
.text |
0x00002000 |
1,983,252 bytes | 1,983,488 bytes | 7.56 (打包/加密) |
IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ
|
4EEB8AAFB175618BE20BC1A1FB94A75A |
.rsrc |
0x001e8000 |
880 bytes | 1,024 bytes | 2.86 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE
|
3A40487ED8B821BBD07CA0D7CB945676 |
.reloc |
0x001ea000 |
12 bytes | 512 bytes | 0.10 (正常) |
IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ
|
65C785B73A7D769730A2CD255CE402AC |
1 检测到高熵(≥7.5)的节 - 可能存在打包/加密
资源类型 | 数量 | 总大小 | 百分比 |
---|---|---|---|
RT_VERSION | 1 | 792 字节 |
此文件未进行数字签名。
⚠ 此文件缺少数字签名或证书链无法验证。
执行来自未知来源的未签名文件时请谨慎。
The PE file does not contain a certificate table.
建议: 验证文件来源并确保它来自可信的发布者.
按照以下步骤完全从系统中移除威胁