57c653b1a178cce3b0091634af94614f27a7fd4d6c838dada76a435fd0e2487c Stealer Redline Análise

Atualizado 1 year ago

Verificado por Malware Check

57c653b1a178cce3b0091634af94614f27a7fd4d6c838dada76a435fd0e2487c

Análise Técnica

Nome do Arquivo	57c653b1a178cce3b0091634af94614f27a7fd4d6c838dada76a435fd0e2487c
Tipo de Arquivo	PE32 executable (GUI) Intel 80386, for MS Windows
Versão do Scanner	1.0.143.174
Versão do Banco de Dados	2023-10-14 09:01:18 UTC

⚠

Spy.Win32.Redline.lu!heur

Família de malware: Redline

RedLine Stealer é uma ferramenta de exfiltração de dados que visa dados de navegador, informações do sistema e credenciais de software instalado. Propaga-se através de anexos de email e sites comprometidos. Além do roubo de dados, serve como mecanismo de entrega para cargas úteis de malware adicionais, criando múltiplos vetores de ataque em sistemas infectados.

N/A

Taxa de Detecção

1,590,784

Tamanho do Arquivo (bytes)

2023-10-14

Data de Análise

Verificar Outro Arquivo

Identificação do Arquivo

Tipo de Hash	Valor	Ação
MD5	76b4591d4784d44745f1dd515032be95
SHA1	bf5a0eb4269754345b5818a7b57f5a3c8c86b072
SHA256	57c653b1a178cce3b0091634af94614f27a7fd4d6c838dada76a435fd0e2487c
SHA512	829afb86aa0c1f646a765ffc754744423159c963d782cd7f97b215dc29ba8c4ffe598eaf0e8437b2b6d7a22cab8c1e805537b021dbaafab6daeeff1d9281bd7f
ImpHash	646167cce332c1c252cdcb1839e0cf48

Análise PE

Informações Básicas

▼

Ícone	Hash: 3e91cc67e146308239c15a39134ff14e Fuzzy: 2e2cf0d16805fb9dfdfc9b2658485b99 dHash: f0f0f4d8c8c8d8f0
Base da Imagem	`0x00400000`
Ponto de Entrada	`0x00406a60`
Tempo de Compilação	2022-05-24 22:49:06
Soma de Verificação	0x00186278 (Real: 0x00186278)
Versão do SO	10.0
Assinaturas PEiD	`PE32 executable (GUI) Intel 80386, for MS Windows`
Caminho PDB	`wextract.pdb`
Assinatura Digital	The PE file does not contain a certificate table.
Importações	8 bibliotecas ADVAPI32, KERNEL32, GDI32, USER32, msvcrt, COMCTL32, Cabinet, VERSION
Exportações	0 funções
Recursos	43 Recursos
Seções	5 Seções

Informações de Versão

▼

CompanyName	Microsoft Corporation
FileDescription	Win32 Cabinet Self-Extractor
FileVersion	11.00.17763.1 (WinBuild.160101.0800)
InternalName	Wextract
LegalCopyright	© Microsoft Corporation. All rights reserved.
OriginalFilename	WEXTRACT.EXE .MUI
ProductName	Internet Explorer
ProductVersion	11.00.17763.1
Translation	0x0409 0x04b0

Seções PE

▼

Nome	Endereço Virtual	Tamanho Virtual	Tamanho Bruto	Entropia	Características	MD5
`.text`	`0x00001000`	25,364 bytes	25,600 bytes	6.31 (Normal)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`B0B66B32F4CA82E2E157C51B24DA0BE7`
`.data`	`0x00008000`	6,728 bytes	512 bytes	4.97 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`7B9890A93C0516BB070E1170CFDE54D5`
`.idata`	`0x0000a000`	4,178 bytes	4,608 bytes	5.03 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`67CE48BF2E7C8FE3321CA7AA188F77E2`
`.rsrc`	`0x0000c000`	1,556,480 bytes	1,556,480 bytes	7.98 (Empacotado/Criptografado)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`C9F40377418A4E3AF475FDEC66AC5F2D`
`.reloc`	`0x00188000`	2,184 bytes	2,560 bytes	6.22 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`6025C825C4098EF081AC8EE3C8D5DD22`

Alerta de Análise de Entropia

1 seção(ões) com alta entropia (≥7.5) detectada(s) - possível empacotamento/criptografia

Análise de Recursos

▼

Total de Recursos: 43 (1,553,444 bytes)

Tipo de Recurso	Quantidade	Tamanho Total	Porcentagem
AVI	1	11,802 bytes	0.8%
RT_ICON	13	85,490 bytes	5.5%
RT_DIALOG	6	2,584 bytes	0.2%
RT_STRING	6	6,208 bytes	0.4%
RT_RCDATA	14	1,444,122 bytes	93%
RT_GROUP_ICON	1	188 bytes	0%
RT_VERSION	1	1,032 bytes	0.1%
RT_MANIFEST	1	2,018 bytes	0.1%

Análise da Cadeia de Certificados

▼

Sem Assinaturas Digitais

Este arquivo não está assinado digitalmente.

Implicações de Segurança:

Não é possível verificar a identidade do editor
Maior risco de segurança ao executar este arquivo
Pode acionar avisos de segurança em alguns sistemas

⚠ Este arquivo não possui assinatura digital ou a cadeia de certificados não pôde ser verificada.
Tenha cuidado ao executar arquivos não assinados de fontes desconhecidas.

Status de Verificação do Certificado

The PE file does not contain a certificate table.

Recomendação: Verifique a fonte do arquivo e certifique-se de que venha de um editor confiável.

Remoção de Spy.Win32.Redline.lu!heur

O Gridinsoft tem a capacidade de identificar e eliminar Spy.Win32.Redline.lu!heur sem requerer intervenção adicional do usuário.

Baixar Anti-Malware

Instruções de Remoção

Siga estas etapas para remover completamente a ameaça do seu sistema

Comece baixando o Gridinsoft Anti-Malware para o seu computador.
Clique duas vezes no arquivo gsam-pt-install.exe e siga as instruções na tela para instalar o programa.
Após a conclusão da instalação do Gridinsoft Anti-Malware, o programa será aberto na tela de Verificação.
Clique no botão "Verificação Padrão" para começar a verificar seu computador em busca de ameaças.
Após o término do processo de verificação, clique em "Limpar Agora" para remover quaisquer ameaças detectadas.
Se solicitado, reinicie seu sistema para concluir o processo de remoção e garantir que todas as ameaças sejam eliminadas.

Importante: Antes de Começar

Desconecte-se da internet para evitar que o malware se espalhe ou baixe ameaças adicionais. Execute a verificação em Modo de Segurança para melhor detecção e remoção de ameaças persistentes.

Deixar um Comentário

Compartilhe seus pensamentos ou insights sobre este arquivo. Você concorda com nossa conclusão?

* Seu feedback pode influenciar nossa classificação, e tenha certeza de que seu e-mail permanecerá confidencial e será usado apenas para entrar em contato com você, se necessário.

Sua Pontuação para

5 4 3 2 1