Gridinsoft Logo

A Análise do Arquivo wuauclt.exe (Windows Modules Installer Worker)

Atualizado 1 year ago
Verificado por Malware Check
wuauclt.exe

Análise Técnica

Nome do Arquivo wuauclt.exe
Tipo de Arquivo
Win32 EXE
Bytes Mágicos PE32+ executable for MS Windows (console) Mono/.Net assembly
Hash SSDEEP
196608:W1QKjDOnfEgQWsZSonfCwav0IvJkyvlcnUoGDjHRh9tuFREkf9NCq8:WgfpQ17nfvav9Jl9cUBRh8Tf94q8
Versão do Scanner 1.0.167.174
Versão do Banco de Dados 2024-02-22 21:00:14 UTC

Arquivo Suspeito Detectado

Detectado por 44 mecanismos de segurança - requer cautela

Este arquivo requer verificação adicional de possíveis ameaças. Com base em indicadores suspeitos, em breve o adicionaremos ao nosso banco de dados de vírus.
63%
Taxa de Detecção
12,992,440
Tamanho do Arquivo (bytes)
44/70
Mecanismos Detectados
2024-02-22
Data de Análise

Verificar Outro Arquivo

Identificação do Arquivo

Tipo de Hash Valor Ação
MD5
ab0c7aeebe3a71f2324615c12306648e
SHA1
f3bb425509f881ac7da10980f44d5fc16241949c
SHA256
bdd7c041d93290c529464f17895a2fcb37a87ba4e08abafe4325e9eeebed4227
SHA512
8a9eac4f24960f7123b5cc8cc78b64c875be321a5a8d8c6cc375936b7100111241b747abbb2709db455ed19eb0827130a533ecb757efee8260a9ae87130c4db5
ImpHash
9899b6042bb52067ae3b0d0ebfd1b2ed

Mecanismos de Segurança com Detecções (44 de 70)

Lionic
Trojan.Win32.Miner.4!c Malicious
AVG
FileRepMalware Malicious
Elastic
malicious (high confidence) Malicious
DrWeb
Tool.BtcMine.2548 Malicious
Malwarebytes
Trojan.BitCoinMiner Malicious
Sangfor
Trojan.Win64.XMR.Miner Malicious
Cybereason
malicious.509f88 Malicious
Symantec
ML.Attribute.HighConfidence Malicious
ESET-NOD32
Win64/CoinMiner.AEW Malicious
Cynet
Malicious (score: 100) Malicious
APEX
Malicious Malicious
Paloalto
generic.ml Malicious
ClamAV
Win.Coinminer.Generic-7151250-0 Malicious
Kaspersky
HEUR:Trojan.Win32.Miner.gen Malicious
Alibaba
Trojan:Win64/CoinMiner.5f8aff29 Malicious
Rising
HackTool.CoinMiner!8.F154 (TFE:5:GRT5r7usHCJ) Malicious
Sophos
Generic Reputation PUA (PUA) Malicious
F-Secure
Heuristic.HEUR/AGEN.1249459 Malicious
Zillya
Trojan.Miner.Win32.12742 Malicious
TrendMicro
TROJ_GEN.R007C0DIG21 Malicious
McAfee-GW-Edition
Artemis!Trojan Malicious
FireEye
Generic.mg.ab0c7aeebe3a71f2 Malicious
Ikarus
Trojan.Win64.Vmprotect Malicious
GData
Win32.Malware.Coinminer.48USP9 Malicious
Jiangmin
Trojan.Miner.pgu Malicious
Webroot
W32.Malware.Gen Malicious
Avira
HEUR/AGEN.1249459 Malicious
Antiy-AVL
GrayWare/Win64.CoinMiner.xmr Malicious
Arcabit
Application.CoinMiner Malicious
ZoneAlarm
not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen Malicious
Microsoft
Trojan:Win64/CoinMiner.XD Malicious
Google
Detected Malicious
AhnLab-V3
Trojan/Win.Miner.C4462870 Malicious
McAfee
Artemis!AB0C7AEEBE3A Malicious
VBA32
Trojan.Miner Malicious
Cylance
Unsafe Malicious
Panda
Trj/CI.A Malicious
TrendMicro-HouseCall
TROJ_GEN.R007C0DIG21 Malicious
Tencent
Risktool.Win64.Bitminer.16000063 Malicious
Yandex
Trojan.Miner!9NnososCYSY Malicious
SentinelOne
Static AI - Suspicious PE Malicious
Fortinet
Riskware/CoinMiner Malicious
Avast
FileRepMalware Malicious
CrowdStrike
win/malicious_confidence_100% (W) Malicious
26 mecanismos não relataram ameaças - Apenas mecanismos com detecções são mostrados acima para maior clareza

Análise PE

Informações Básicas

Base da Imagem 0x00400000
Ponto de Entrada 0x0114967e
Tempo de Compilação 2021-04-23 12:58:08
Soma de Verificação 0x00c6628a (Real: 0x00c6628a)
Versão do SO 5.2
Assinaturas PEiD PE32+ executable (console) x86-64 (stripped to external PDB), for MS Windows
Assinatura Digital Chain verification from CN=Microsoft Corporation, O=Microsoft Corporation, C=US (serial:1, sha1:e1f40bacc4610a5fc3dee1315dfb2eb6e9084c53) failed: The X.509 certificate provided is self-signed - "Common Name: Microsoft Corporation, Organization: Microsoft Corporation, Country: US"
Importações 10 bibliotecas
ADVAPI32, CRYPT32, IPHLPAPI, KERNEL32, msvcrt, SHELL32, USER32, USERENV, WS2_32, WTSAPI32
Exportações 0 funções
Recursos 2 Recursos
Seções 12 Seções

Informações de Versão

CompanyName Microsoft Corporation
FileDescription Windows Modules Installer Worker
FileVersion 10.0.17134.136 (WinBuild.160101.0800)
InternalName TiWorker.exe
LegalCopyright © Microsoft Corporation. All rights reserved.
OriginalFilename TiWorker.exe
ProductName Microsoft® Windows® Operating System
ProductVersion 10.0.17134.136
Translation 0x0409 0x04b0

Seções PE

Nome Endereço Virtual Tamanho Virtual Tamanho Bruto Entropia Características MD5
.text 0x00001000 5,528,696 bytes 5,529,600 bytes 6.46 (Normal) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4096BYTES C7D5C19625CF9B6DF731CFD59E64C3A4
.data 0x00547000 65,952 bytes 66,048 bytes 3.12 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_64BYTES 4C71F02332C7284926A7D3AC66AEA1D9
.rdata 0x00558000 1,154,176 bytes 1,154,560 bytes 5.96 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_64BYTES CD924F8FC9FC99E870DDB5CB45026A6B
.pdata 0x00672000 184,860 bytes 185,344 bytes 7.99 (Empacotado/Criptografado) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES B559D6476B4A5DF6B9AE8B56C0514B6F
.xdata 0x006a0000 229,796 bytes 229,888 bytes 5.04 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_8BYTES 76C0AE2A27527C827D6E00B8DC70C8AF
.bss 0x006d9000 3,292,512 bytes 0 bytes 0.00 (Normal) IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_64BYTES D41D8CD98F00B204E9800998ECF8427E
.idata 0x009fd000 17,824 bytes 17,920 bytes 7.63 (Empacotado/Criptografado) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES E84468D0B0F4EC7EC091897373C991DD
.CRT 0x00a02000 112 bytes 512 bytes 0.32 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES 19BF54D721A05C0DE5DF188DBD4BA896
.tls 0x00a03000 16 bytes 512 bytes 0.00 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES BF619EAC0CDF3F68D496EA9344137E8B
.datam0 0x00a04000 3,211,236 bytes 3,211,264 bytes 7.62 (Empacotado/Criptografado) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 35A4C2416AA3CD94149DEAE51388F313
.datam1 0x00d14000 2,578,836 bytes 2,578,944 bytes 7.57 (Empacotado/Criptografado) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 965AC7B40F9E72EC2AD0F765C0385EB8
.rsrc 0x00f8a000 2,271 bytes 2,560 bytes 4.44 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES 284E86010C9BE54539171FC3876D6E97
Alerta de Análise de Entropia

4 seção(ões) com alta entropia (≥7.5) detectada(s) - possível empacotamento/criptografia

Análise de Recursos

Total de Recursos: 2 (2,111 bytes)
Tipo de Recurso Quantidade Tamanho Total Porcentagem
RT_VERSION 1 944 bytes
44.7%
RT_MANIFEST 1 1,167 bytes
55.3%

Análise da Cadeia de Certificados

Certificado Information
Produto Microsoft® Windows® Operating System
Descrição Windows Modules Installer Worker
Versão do Arquivo 10.0.17134.136 (WinBuild.160101.0800)
Nome Original TiWorker.exe
Data de Assinatura 02:48 PM 05/07/2021 (1503 dias atrás)
Status de Verificação A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Assinantes Microsoft Corporation
Nome Interno TiWorker.exe
Copyright © Microsoft Corporation. All rights reserved.
Resumo da Cadeia de Certificados
DigiCert Timestamp 2021 #1 Principal
Período de Validade: 2021-01-01 00:00:00 → 2031-01-06 00:00:00
Algoritmo de Assinatura: sha256RSA
Número de Série: 0D 42 4A E0 BE 3A 88 FF 60 40 21 CE 14 00 F0 DD
Microsoft Corporation #2 Cadeia
Período de Validade: 2019-04-14 22:00:57 → 2022-04-13 22:00:57
Algoritmo de Assinatura: sha256RSA
Número de Série: 01
DigiCert SHA2 Assured ID Timestamping CA #3 Cadeia
Período de Validade: 2016-01-07 12:00:00 → 2031-01-07 12:00:00
Algoritmo de Assinatura: sha256RSA
Número de Série: 0A A1 25 D6 D6 32 1B 7E 41 E4 05 DA 36 97 C2 15
Symantec SHA256 TimeStamping CA #4 Cadeia
Período de Validade: 2016-01-12 00:00:00 → 2031-01-11 23:59:59
Algoritmo de Assinatura: sha256RSA
Número de Série: 7B 05 B1 D4 49 68 51 44 F7 C9 89 D2 9C 19 9D 12
Symantec SHA256 TimeStamping Signer - G3 #5 Cadeia
Período de Validade: 2017-12-23 00:00:00 → 2029-03-22 23:59:59
Algoritmo de Assinatura: sha256RSA
Número de Série: 7B D4 E5 AF BA CC 07 3F A1 01 23 04 22 41 4D 12

✓ Este arquivo foi assinado digitalmente e a cadeia de certificados foi verificada.

  • A assinatura garante a integridade do arquivo e a autenticidade do editor.
  • O carimbo de tempo prova quando a assinatura foi aplicada.
Status de Verificação do Certificado

Chain verification from CN=Microsoft Corporation, O=Microsoft Corporation, C=US (serial:1, sha1:e1f40bacc4610a5fc3dee1315dfb2eb6e9084c53) failed: The X.509 certificate provided is self-signed - "Common Name: Microsoft Corporation, Organization: Microsoft Corporation, Country: US"

Recomendação: Verifique a fonte do arquivo e certifique-se de que venha de um editor confiável.

Lembre-se: Este é o Resultado do Scanner de Vírus Online

O Gridinsoft Anti-Malware possui um mecanismo de verificação de vírus muito mais poderoso. Recomendamos usá-lo para um diagnóstico mais preciso de sistemas infectados. Este breve guia ajudará você a instalar nosso produto principal para diagnósticos mais precisos:

Baixar Anti-Malware

Mantenha Seu Sistema Protegido

Este arquivo parece limpo, mas a manutenção regular de segurança é importante

  1. Verificações Regulares: Execute verificações semanais do sistema para detectar novas ameaças antes que possam causar danos.
  2. Mantenha o Software Atualizado: Certifique-se de que seu sistema operacional e todos os aplicativos tenham os patches de segurança mais recentes.
  3. Navegação Segura: Evite sites suspeitos e nunca baixe software de fontes não confiáveis.
  4. Segurança de E-mail: Seja cauteloso com anexos e links de e-mail, mesmo de contatos conhecidos.
Proteção Proativa
44 mecanismos antivírus detectaram ameaças potenciais. Isso pode ser um falso positivo, especialmente para ferramentas do sistema ou software empacotado. Verifique a fonte do arquivo e veja se está assinado digitalmente por um editor confiável.

Deixar um Comentário

Compartilhe seus pensamentos ou insights sobre este arquivo. Você concorda com nossa conclusão?

* Seu feedback pode influenciar nossa classificação, e tenha certeza de que seu e-mail permanecerá confidencial e será usado apenas para entrar em contato com você, se necessário.
Sua Pontuação para

Gridinsoft Anti-Malware

Cure seu PC de qualquer tipo de malware

GridinSoft Anti-Malware irá ajudá-lo a proteger seu computador contra spyware, trojans, backdoors, rootkits. Ele limpa seu sistema de módulos de propaganda irritantes e outras coisas maliciosas desenvolvidas por hackers.

Anti-Malware Baixar agora
Gridinsoft Anti-Malware