Risico analyse van 5f076e8fcf6ed495_Filesample.dll MD5:009b3e698de7eee86110877722c76369 - Dreiging analyse: Schadelijk

De bestands extensie laat zien dat dit een dll bestand is.

Analyse MD5: 009b3e698de7eee86110877722c76369

Analyse classificeert dit bestand als een klasse F (Schadelijk). Het bestand is schadelijk, gebruik het niet. De betrouwbaarheid-index van deze analyse is 100 % (zeker).

D+

D-

E+

E-

Omschrijving

5f076e8fcf6ed495_Filesample.dll is onderdeel van de Trojan:Win32/Wisdomeyes.FM malware. Dit bestand vormt een bedreiging voor uw systeem en het systeem van anderen.

Bestandsnaam:	5f076e8fcf6ed495_Filesample.dll (Trojan:Win32/Wisdomeyes.FM)
Dreiging analyse:	Schadelijk
Analyse betrouwbaarheid:	100%
Recente activiteit:
Eerst gevonden:	06 Mar, 2018
Voor het laatst gezien:	02 Apr, 2018
Laatste analyse:	06 Nov, 2019
Mogelijke infectie:	Trojan:Win32/Wisdomeyes.FM

5f076e8fcf6ed495_Filesample.dll Trojan:Win32/Wisdomeyes.FM

Applicatie:	Trojan:Win32/Wisdomeyes.FM
Ontwikkelaar:	Unknown
Stabiliteit:	75%
Bestand versie:	0.0.0.0
Grootte bestand:	189340 bytes (185 KB.)
Recente activiteit:
Historische activiteit:
CRC32 hash:	3c59136c
MD5 hash:	009b3e698de7eee86110877722c76369
SHA1 hash:	ef569b68258923773724480101f991bb8fea8a2f
SHA256 hash:	5f076e8fcf6ed495931b8eb2ff92c9e7958eb10b7bc57b44b4d689514532786c

D+

Bestand entropie

Bestand entropie overeenkomst: Gecodeerd

Onderdelen van dit bestand zijn gecodeerd. De reden kan onschuldig zijn maar dit maakt de analyse moeilijker.

| 0 b.189340 b. |

Plain Data Text Code Compressed Encrypted Random

Bestand signatuur

Dynamic Link Library

Een dynamic-link library, ook wel bekend als DLL, is een bibliotheek met functies, die door meerdere applicaties gebruikt kunnen worden. Het is het tegenovergestelde van een statisch gekoppelde bibliotheek, waarbij de bibliotheek in elk programma dat de bibliotheek gebruikt moet ingebouwd worden.

Bestand-header Eerste 32 bytes van dit bestand

4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00

Het bepalen van het type bestand gebeurd dmv een zgn signatuur of magic-numbers. Bestanden worden geïdentificeerd dmv het vergelijken van de eerste set bytes in de bestands-header. Hiermee kunnen bestanden worden herkend ongeacht de extensie van het bestand. Deze informatie is bijvoorbeeld handig om uitvoerbare bestanden te herkennen die zijn verhuld als plaatjes of films.

Schadelijke code scan

Geen verdachte code gevonden

Agics voert een analyse uit van de bron code. Er wordt gezocht naar overeenkomsten met code in bekende schadelijke bestanden. Dit is een goede manier om nieuwe schadelijk bestanden te detecteren die een variatie zijn van bekende schadelijk bestanden.

Scan resultaten:

0 %

E+

Fuzzy hash a.k.a. Context Triggered Piecewise Hashing

SSDEEP

Context Triggered Piecewise Hashing, ook wel Fuzzy Hashing genoemd, kan ingangen met homologieën koppelen. Dergelijke ingangen hebben sequenties van identieke bytes in dezelfde volgorde, hoewel bytes tussen deze sequenties in zowel inhoud als lengte verschillend kunnen zijn. Het vergelijken van een fuzzyhash is een goede manier om morphing-malware te detecteren. Malware die willekeurige code in elke kopie van zig zelf plaatst om de eigenschappen van het bestand te wijzigen. Agics gebruikt ssdeep om een fuzzyhash te maken.

SSDEEP: 3072:HxIBtQnE7OhssdWJ5jy392aCmCbBq/XIbeYql7ccXgqKVMuxCbE451y:Mqvhssdu5jyYaCmCQ/XI8ycXg3V5CIh

Overeenkomst gevonden

SHA256 :b6c800efae36575a01c6b5cb918b3c0f8659954e537c40ccecdab3b5498f5153
SSDEEP :3072:HGIBtQnE7OhssdWJ5jy392aCmCbBqT/6BKHt/Sbrs4YXTbwYHGnJ/mZNtg9N8OV3:Hqvhssdu5jyYaCmCQT6Bgwr+DsYm4/yl

58% Match

Bestands-rapport weergeven

E-

Online virus scanners

Detectie verhouding:

84 %

E-

VirusShare.com

Beschikbaar op virusshare.com

VirusShare.com is een archief van malware-bestanden beschikbaar voor veiligheids-onderzoekers, incident responders, forensische analisten, en de morbide nieuwsgierigen. Aanwezigheid van het bestand op deze site geeft aan dat het bestand beschouwd wordt (of was) als schadelijk.
Website: virusshare.com

National Software Reference Library

Niet op de nsrl lijst

De NSRL bevat een verzameling van digitale handtekeningen van bekende, traceerbare software applicaties. Er zijn applicatie hash waarden in de hash set die schadelijk kunnen zijn, dat wil zeggen steganography tools en hacking scripts.
Website: www.nsrl.nist.gov

Gedrag

Sandbox gedrags-analyse:

Het bestand wordt in een veilige omgeving uitgevoerd om het gedrag te analyseren. Gedrags analyse kan helpen bij het detecteren van nieuwe malware die nog niet wordt herkend door virusscanners. Er bestaat wel een grote kans op een false-positive, vooral met installatie programma's, uninstallers en virusscanners..

Detecteert Avast Antivirus door de aanwezigheid van een bibliotheek

Cre�ert en voert een batchbestand uit om het originele binaire bestand te verwijderen

Het bestand plaatst een schadelijk bestand

Detecteert de aanwezigheid van Wine-emulator

Yara hit: Advapi_Hash_API - Zoekt naar API-functies van Advapi

Yara hit: CRC32_poly_Constant - Zoek naar CRC32 [poly]

Herhaaldelijk op zoek naar een niet-gevonden proces.

Een of meer processen zijn gecrasht

Controleert op de aanwezigheid van bekende Windows foutopsporingsprogramma's en forensische hulpprogramma's

Cre�ert een verdacht proces

Voer een proces uit en injecteerde code erin, waarschijnlijk tijdens het uitpakken

Een of meer potentieel interessante buffers werden ge�xtraheerd, deze bevatten over het algemeen ge�njecteerde code, configuratiegegevens, etc.

Controleert de hoeveelheid geheugen in het systeem, dit kan worden gebruikt om virtuele machines te detecteren die een lage hoeveelheid geheugen beschikbaar hebben

Maakt verbinding met een IP-adres dat niet langer reageert op verzoeken (legitieme services blijven meestal gewoon actief)

Wijst read-write-execute-geheugen (gewoonlijk om zichzelf uit te pakken)

Voert enkele HTTP-aanvragen uit

Netwerk activiteit

Verbindt met veilige servers

Host reageerd niet

Host	Port
51.143.22.239	80	Dead

TCP

Host	Port
52.109.88.34	49176
52.109.88.38	49174

DNS

Domain	Result	Record type
watson.microsoft.com	51.143.22.239	A

Geplaatste bestanden

Bestand naam	md5
tmp_af9c2552.bat	13470e003899338bb7d33e4e9b4f3586	B
taci.exe	a0a4c0e1ce38a1e2ffd73c549a8d828b	B
Filesample.dll	009b3e698de7eee86110877722c76369	F

Import hashing

Imphash 65e9607e6f28a7852bb41a6e2e439a92

Vingerafdrukken maken van bestanden kan op verschillende manieren worden gedaan. Eén manier is om een hash van de PE-imports te maken. PE-import zijn relatief uniek en dit is een geweldige manier om nieuwe varianten van bestaande malware te vinden. De kans op foute-positieven is relatief hoog. De resulterende hash wordt ook wel Imphash genoemd.

98% Match

Statistische analyse

Statistische analyse van het bestand

	Overeenkomst met andere bestanden met de zelfde naam
	Versienummer is 0.0.0.0
	Het certificaat kan niet worden achterhaald.
	Het bestand komt zeer vaak voor.

Neurale netwerk analyse

Analyse: Schadelijk

Een neuraal netwerk is een type van kunstmatige intelligentie. Het kan patronen herkennen die een mens niet zou opvallen. Ons neurale netwerk is verbazend accuraat in het herkennen van schadelijke software. De waarde hieronder is de voorspelde kans dat dit een schadelijk bestand is.

96 %

Gebruikers feedback

Lees de feedback op dit bestand van andere gebruikers. Help andere gebruikers door zelf feedback te geven.

U kunt reputatie punten verdienen !

U bent op dit moment niet ingelogd. Login, of Maak een account

Feedback users:

Er is nog geen feedback gegeven door gebruikers.

U bent niet ingelogd. Alleen geregistreerde gebruikers kunnen feedback geven. Log in en help andere gebruikers.

Login Maak een account