Analyse MD5: 9bf50f3fc54b7a97e51113e25971bbf1
Analyse classificeert dit bestand als een klasse F (Schadelijk). Het bestand is schadelijk, gebruik het niet. De betrouwbaarheid-index van deze analyse is 100 % (zeker).
Omschrijving
Filesample.dll is onderdeel van de Trojan:Win32/Inject.BX malware. Dit bestand vormt een bedreiging voor uw systeem en het systeem van anderen.
Bestandsnaam: | Filesample.dll (Trojan:Win32/Inject.BX) |
Dreiging analyse: | Schadelijk |
Analyse betrouwbaarheid: | |
Recente activiteit: | |
Eerst gevonden: | 04 Mar, 2018 |
Voor het laatst gezien: | 22 Aug, 2018 |
Laatste analyse: | 26 Nov, 2018 |
Mogelijke infectie: | Trojan:Win32/Wisdomeyes.FM |
Filesample.dll Trojan:Win32/Inject.BX
Applicatie: | Trojan:Win32/Inject.BX |
Ontwikkelaar: | Unknown |
Stabiliteit: | |
Bestand versie: | 0.0.0.0 |
Grootte bestand: | 189343 bytes (185 KB.) |
Recente activiteit: | |
Historische activiteit: | |
CRC32 hash: | 5505d81a |
MD5 hash: | 9bf50f3fc54b7a97e51113e25971bbf1 |
SHA1 hash: | c2d9fbf16fc33d54f43eb941f05989f414fff74f |
SHA256 hash: | b6c800efae36575a01c6b5cb918b3c0f8659954e537c40ccecdab3b5498f5153 |
Handtekening verificatie
Niet ondertekend
Dit bestand heeft geen digitale handtekening. De uitgever van dit bestand kan niet worden geverifieerd.
Bestand entropie
Bestand entropie overeenkomst: Gecodeerd
Onderdelen van dit bestand zijn gecodeerd. De reden kan onschuldig zijn maar dit maakt de analyse moeilijker.
Plain Data Text Code Compressed Encrypted RandomBestand signatuur
PE32 executable (GUI) Intel 80386
Dit is een uitvoerbaar bestand.Bestand-header Eerste 32 bytes van dit bestand
4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00
Het bepalen van het type bestand gebeurd dmv een zgn signatuur of magic-numbers. Bestanden worden geïdentificeerd dmv het vergelijken van de eerste set bytes in de bestands-header. Hiermee kunnen bestanden worden herkend ongeacht de extensie van het bestand. Deze informatie is bijvoorbeeld handig om uitvoerbare bestanden te herkennen die zijn verhuld als plaatjes of films.
Schadelijke code scan
Geen verdachte code gevonden
Agics voert een analyse uit van de bron code. Er wordt gezocht naar overeenkomsten met code in bekende schadelijke bestanden. Dit is een goede manier om nieuwe schadelijk bestanden te detecteren die een variatie zijn van bekende schadelijk bestanden.
Scan resultaten:
Fuzzy hash a.k.a. Context Triggered Piecewise Hashing
SSDEEP
Context Triggered Piecewise Hashing, ook wel Fuzzy Hashing genoemd, kan ingangen met homologieën koppelen. Dergelijke ingangen hebben sequenties van identieke bytes in dezelfde volgorde, hoewel bytes tussen deze sequenties in zowel inhoud als lengte verschillend kunnen zijn. Het vergelijken van een fuzzyhash is een goede manier om morphing-malware te detecteren. Malware die willekeurige code in elke kopie van zig zelf plaatst om de eigenschappen van het bestand te wijzigen. Agics gebruikt ssdeep om een fuzzyhash te maken.
SSDEEP: 3072:HGIBtQnE7OhssdWJ5jy392aCmCbBqT/6BKHt/Sbrs4YXTbwYHGnJ/mZNtg9N8OV3:Hqvhssdu5jyYaCmCQT6Bgwr+DsYm4/yl
Overeenkomst gevonden
c88d088dfec85df3ef97280c2f85224691d43760e739515c8868115b8c6a3c9c
SSDEEP :
3072:HnIBtQnE7OhssdWJ5jy392aCmCbBqNWU3TOQiP1193wDsqMRflfSMpEHdmj:Cqvhssdu5jyYaCmCQNWUqb1193wDsDYc
Online virus scanners
Detectie verhouding:
VirusShare.com
Beschikbaar op virusshare.com
VirusShare.com is een archief van malware-bestanden beschikbaar voor veiligheids-onderzoekers, incident responders, forensische analisten, en de morbide nieuwsgierigen. Aanwezigheid van het bestand op deze site geeft aan dat het bestand beschouwd wordt (of was) als schadelijk.Website: virusshare.com
National Software Reference Library
Niet op de nsrl lijst
De NSRL bevat een verzameling van digitale handtekeningen van bekende, traceerbare software applicaties. Er zijn applicatie hash waarden in de hash set die schadelijk kunnen zijn, dat wil zeggen steganography tools en hacking scripts.Website: www.nsrl.nist.gov
Gedrag
Sandbox gedrags-analyse:
Het bestand wordt in een veilige omgeving uitgevoerd om het gedrag te analyseren. Gedrags analyse kan helpen bij het detecteren van nieuwe malware die nog niet wordt herkend door virusscanners. Er bestaat wel een grote kans op een false-positive, vooral met installatie programma's, uninstallers en virusscanners..
Detecteert Avast Antivirus door de aanwezigheid van een bibliotheek
Creëert en voert een batchbestand uit om het originele binaire bestand te verwijderen
Het bestand plaatst een schadelijk bestand
Detecteert de aanwezigheid van Wine-emulator
Yara hit: Advapi_Hash_API - Zoekt naar API-functies van Advapi
Herhaaldelijk op zoek naar een niet-gevonden proces.
Yara hit: CRC32_poly_Constant - Zoek naar CRC32 [poly]
Controleert op de aanwezigheid van bekende Windows foutopsporingsprogramma's en forensische hulpprogramma's
Creëert een verdacht proces
Een of meer processen zijn gecrasht
Verwijdert het oorspronkelijke binaire bestand van de schijf
Een of meer potentieel interessante buffers werden geëxtraheerd, deze bevatten over het algemeen geïnjecteerde code, configuratiegegevens, etc.
Voer een proces uit en injecteerde code erin, waarschijnlijk tijdens het uitpakken
Controleert de hoeveelheid geheugen in het systeem, dit kan worden gebruikt om virtuele machines te detecteren die een lage hoeveelheid geheugen beschikbaar hebben
Wijst read-write-execute-geheugen (gewoonlijk om zichzelf uit te pakken)
Voert enkele HTTP-aanvragen uit
Maakt verbinding met een IP-adres dat niet langer reageert op verzoeken (legitieme services blijven meestal gewoon actief)
Netwerk activiteit
Verbindt met veilige servers
DNS
Domain | Result | Record type | |
---|---|---|---|
watson.microsoft.com | 13.78.233.133 | A |
TCP
Host | Port | |
---|---|---|
52.109.124.21 | 49170 | |
52.109.120.17 | 49175 | |
2.16.4.200 | 49182 |
Host reageerd niet
Host | Port | ||
---|---|---|---|
13.78.233.133 | 80 | Dead |
Geplaatste bestanden
Bestand naam | md5 | |
---|---|---|
Filesample.dll | 9bf50f3fc54b7a97e51113e25971bbf1 | F |
heho.exe | 1f35ceff36e1b999ebb7bc0f8c3157c1 | B |
tmp_29ce7170.bat | ba0cab2083db7f448c67e3291df43241 | B |
Import hashing
Imphash 65e9607e6f28a7852bb41a6e2e439a92
Vingerafdrukken maken van bestanden kan op verschillende manieren worden gedaan. Eén manier is om een hash van de PE-imports te maken. PE-import zijn relatief uniek en dit is een geweldige manier om nieuwe varianten van bestaande malware te vinden. De kans op foute-positieven is relatief hoog. De resulterende hash wordt ook wel Imphash genoemd.
Statistische analyse
Statistische analyse van het bestand
Komt met een bekend virusbundel | |
Geen certificaat. | |
Andere bestanden met de zelfde naam hebben ook geen certificaat. | |
Het bestand komt niet vaak voor. |
Neurale netwerk analyse
Analyse: Schadelijk
Een neuraal netwerk is een type van kunstmatige intelligentie. Het kan patronen herkennen die een mens niet zou opvallen. Ons neurale netwerk is verbazend accuraat in het herkennen van schadelijke software. De waarde hieronder is de voorspelde kans dat dit een schadelijk bestand is.
Gebruikers feedback
Lees de feedback op dit bestand van andere gebruikers. Help andere gebruikers door zelf feedback te geven.
U kunt reputatie punten verdienen !
U bent op dit moment niet ingelogd. Login, of Maak een account
Feedback users:
Login Maak een account