EcoDMSOfficePluginSetup_213.exe Stealer Redline Análise

Atualizado 9 days ago

Verificado por Malware Check

ecoDMSOfficePluginSetup_213.exe

Análise Técnica

Nome do Arquivo	ecoDMSOfficePluginSetup_213.exe
Tipo de Arquivo	PE32 executable (GUI) Intel 80386, for MS Windows
Versão do Scanner	1.0.228.174
Versão do Banco de Dados	2025-10-21 09:00:17 UTC

⚠

Spy.Win32.Redline.lu!heur

Família de malware: Redline

RedLine Stealer é uma ferramenta de exfiltração de dados que visa dados de navegador, informações do sistema e credenciais de software instalado. Propaga-se através de anexos de email e sites comprometidos. Além do roubo de dados, serve como mecanismo de entrega para cargas úteis de malware adicionais, criando múltiplos vetores de ataque em sistemas infectados.

N/A

Taxa de Detecção

12,708,360

Tamanho do Arquivo (bytes)

2025-10-21

Data de Análise

Verificar Outro Arquivo

Identificação do Arquivo

Tipo de Hash	Valor	Ação
MD5	fe14dd6ed42e1f09b21ff9033226e944
SHA1	c0acf210c36539d9e94507b5828db4f4aa17de0b
SHA256	b6d7f3c98be1395d0d44c6d500af407cccf3e2da79e1e9c78f5b88b9fca9211f
SHA512	e7614418130705b15b73c943a5d87abf3a83182dcf3096387b3a2697bfcfa5c428c828c924ab60a42130953905ed77c51943138e0689f352efac53612662149d
ImpHash	646167cce332c1c252cdcb1839e0cf48

Análise PE

Informações Básicas

▼

Ícone	Hash: 3e91cc67e146308239c15a39134ff14e Fuzzy: 2e2cf0d16805fb9dfdfc9b2658485b99 dHash: f0f0f4d8c8c8d8f0
Base da Imagem	`0x00400000`
Ponto de Entrada	`0x00406a00`
Tempo de Compilação	2000-11-24 11:50:57
Soma de Verificação	0x00c1f0c8 (Real: 0x00c1f0c8)
Versão do SO	10.0
Assinaturas PEiD	`PE32 executable (GUI) Intel 80386, for MS Windows`
Caminho PDB	`wextract.pdb`
Assinatura Digital	OK
Importações	8 bibliotecas ADVAPI32, KERNEL32, GDI32, USER32, msvcrt, COMCTL32, Cabinet, VERSION
Exportações	0 funções
Recursos	56 Recursos
Seções	5 Seções

Informações de Versão

▼

CompanyName	Microsoft Corporation
FileDescription	Win32 Cabinet Self-Extractor
FileVersion	11.00.19041.4522 (WinBuild.160101.0800)
InternalName	Wextract
LegalCopyright	© Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename	WEXTRACT.EXE .MUI
ProductName	Internet Explorer
ProductVersion	11.00.19041.4522
Translation	0x0407 0x04b0
CompanyName	Microsoft Corporation
FileDescription	Win32 Cabinet Self-Extractor
FileVersion	11.00.19041.320 (WinBuild.160101.0800)
InternalName	Wextract
LegalCopyright	© Microsoft Corporation. All rights reserved.
OriginalFilename	WEXTRACT.EXE .MUI
ProductName	Internet Explorer
ProductVersion	11.00.19041.320
Translation	0x0409 0x04b0

Seções PE

▼

Nome	Endereço Virtual	Tamanho Virtual	Tamanho Bruto	Entropia	Características	MD5
`.text`	`0x00001000`	25,284 bytes	25,600 bytes	6.30 (Normal)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`D3B080BD7B514F812CBEE16DA52B0C4C`
`.data`	`0x00008000`	6,728 bytes	512 bytes	4.97 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`7B9890A93C0516BB070E1170CFDE54D5`
`.idata`	`0x0000a000`	4,178 bytes	4,608 bytes	5.02 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`3906FAB55F211460C4A4A799648BE3C7`
`.rsrc`	`0x0000c000`	12,664,832 bytes	12,662,272 bytes	8.00 (Empacotado/Criptografado)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`F4D32D6CBAEF9BA421059508878066F3`
`.reloc`	`0x00c20000`	2,184 bytes	2,560 bytes	6.27 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`F081B23C3AA39325C504C02CDCD1422D`

Alerta de Análise de Entropia

1 seção(ões) com alta entropia (≥7.5) detectada(s) - possível empacotamento/criptografia

Análise de Recursos

▼

Total de Recursos: 56 (12,659,121 bytes)

Tipo de Recurso	Quantidade	Tamanho Total	Porcentagem
AVI	1	11,802 bytes	0.1%
RT_ICON	13	85,490 bytes	0.7%
RT_DIALOG	12	5,436 bytes	0%
RT_STRING	12	14,002 bytes	0.1%
RT_RCDATA	14	12,538,093 bytes	99%
RT_GROUP_ICON	1	188 bytes	0%
RT_VERSION	2	2,092 bytes	0%
RT_MANIFEST	1	2,018 bytes	0%

Análise da Cadeia de Certificados

▼

Sem Assinaturas Digitais

Este arquivo não está assinado digitalmente.

Implicações de Segurança:

Não é possível verificar a identidade do editor
Maior risco de segurança ao executar este arquivo
Pode acionar avisos de segurança em alguns sistemas

⚠ Este arquivo não possui assinatura digital ou a cadeia de certificados não pôde ser verificada.
Tenha cuidado ao executar arquivos não assinados de fontes desconhecidas.

Status de Verificação do Certificado

Remoção de Spy.Win32.Redline.lu!heur

O Gridinsoft tem a capacidade de identificar e eliminar Spy.Win32.Redline.lu!heur sem requerer intervenção adicional do usuário.

Baixar Anti-Malware

Instruções de Remoção

Siga estas etapas para remover completamente a ameaça do seu sistema

Comece baixando o Gridinsoft Anti-Malware para o seu computador.
Clique duas vezes no arquivo gsam-pt-install.exe e siga as instruções na tela para instalar o programa.
Após a conclusão da instalação do Gridinsoft Anti-Malware, o programa será aberto na tela de Verificação.
Clique no botão "Verificação Padrão" para começar a verificar seu computador em busca de ameaças.
Após o término do processo de verificação, clique em "Limpar Agora" para remover quaisquer ameaças detectadas.
Se solicitado, reinicie seu sistema para concluir o processo de remoção e garantir que todas as ameaças sejam eliminadas.

Importante: Antes de Começar

Desconecte-se da internet para evitar que o malware se espalhe ou baixe ameaças adicionais. Execute a verificação em Modo de Segurança para melhor detecção e remoção de ameaças persistentes.

Deixar um Comentário

Compartilhe seus pensamentos ou insights sobre este arquivo. Você concorda com nossa conclusão?

* Seu feedback pode influenciar nossa classificação, e tenha certeza de que seu e-mail permanecerá confidencial e será usado apenas para entrar em contato com você, se necessário.

Sua Pontuação para

5 4 3 2 1