F35fad2add3fc01b1ffdac6c39ce9f790dcde84eeda81c1ac673d016ec111e62 Stealer Redline Análise

Atualizado 1 year ago

Verificado por Malware Check

f35fad2add3fc01b1ffdac6c39ce9f790dcde84eeda81c1ac673d016ec111e62

Análise Técnica

Nome do Arquivo	f35fad2add3fc01b1ffdac6c39ce9f790dcde84eeda81c1ac673d016ec111e62
Tipo de Arquivo	PE32 executable (GUI) Intel 80386, for MS Windows
Versão do Scanner	1.0.143.174
Versão do Banco de Dados	2023-10-20 09:03:05 UTC

⚠

Spy.Win32.Redline.lu!heur

Família de malware: Redline

RedLine Stealer é uma ferramenta de exfiltração de dados que visa dados de navegador, informações do sistema e credenciais de software instalado. Propaga-se através de anexos de email e sites comprometidos. Além do roubo de dados, serve como mecanismo de entrega para cargas úteis de malware adicionais, criando múltiplos vetores de ataque em sistemas infectados.

N/A

Taxa de Detecção

2,016,768

Tamanho do Arquivo (bytes)

2023-10-20

Data de Análise

Verificar Outro Arquivo

Identificação do Arquivo

Tipo de Hash	Valor	Ação
MD5	c2e2737238fce76b3ae7b4013cb77d04
SHA1	8eefbc07c8e04c87b65fb84f4f8b65969205ede9
SHA256	f35fad2add3fc01b1ffdac6c39ce9f790dcde84eeda81c1ac673d016ec111e62
SHA512	353ee3fc3673dde55d0c1bac891a5bc69a78abf4e8dc9c63cf55a73d2cf61a39e220cfd79fbdd7aecc28d62166bf3ba77a70e0d7ebabdd35ea28577015ca583d
ImpHash	646167cce332c1c252cdcb1839e0cf48

Análise PE

Informações Básicas

▼

Ícone	Hash: 3e91cc67e146308239c15a39134ff14e Fuzzy: 2e2cf0d16805fb9dfdfc9b2658485b99 dHash: f0f0f4d8c8c8d8f0
Base da Imagem	`0x00400000`
Ponto de Entrada	`0x00406a60`
Tempo de Compilação	2022-05-24 22:49:06
Soma de Verificação	0x001f71b5 (Real: 0x001f71b5)
Versão do SO	10.0
Assinaturas PEiD	`PE32 executable (GUI) Intel 80386, for MS Windows`
Caminho PDB	`wextract.pdb`
Assinatura Digital	The PE file does not contain a certificate table.
Importações	8 bibliotecas ADVAPI32, KERNEL32, GDI32, USER32, msvcrt, COMCTL32, Cabinet, VERSION
Exportações	0 funções
Recursos	43 Recursos
Seções	5 Seções

Informações de Versão

▼

CompanyName	Microsoft Corporation
FileDescription	Win32 Cabinet Self-Extractor
FileVersion	11.00.17763.1 (WinBuild.160101.0800)
InternalName	Wextract
LegalCopyright	© Microsoft Corporation. All rights reserved.
OriginalFilename	WEXTRACT.EXE .MUI
ProductName	Internet Explorer
ProductVersion	11.00.17763.1
Translation	0x0409 0x04b0

Seções PE

▼

Nome	Endereço Virtual	Tamanho Virtual	Tamanho Bruto	Entropia	Características	MD5
`.text`	`0x00001000`	25,364 bytes	25,600 bytes	6.31 (Normal)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`B0B66B32F4CA82E2E157C51B24DA0BE7`
`.data`	`0x00008000`	6,728 bytes	512 bytes	4.97 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`7B9890A93C0516BB070E1170CFDE54D5`
`.idata`	`0x0000a000`	4,178 bytes	4,608 bytes	5.03 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`67CE48BF2E7C8FE3321CA7AA188F77E2`
`.rsrc`	`0x0000c000`	1,982,464 bytes	1,982,464 bytes	7.98 (Empacotado/Criptografado)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`E0BB515E87DAF655E8DF245340A5C7DE`
`.reloc`	`0x001f0000`	2,184 bytes	2,560 bytes	6.22 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`6025C825C4098EF081AC8EE3C8D5DD22`

Alerta de Análise de Entropia

1 seção(ões) com alta entropia (≥7.5) detectada(s) - possível empacotamento/criptografia

Análise de Recursos

▼

Total de Recursos: 43 (1,979,833 bytes)

Tipo de Recurso	Quantidade	Tamanho Total	Porcentagem
AVI	1	11,802 bytes	0.6%
RT_ICON	13	85,490 bytes	4.3%
RT_DIALOG	6	2,584 bytes	0.1%
RT_STRING	6	6,208 bytes	0.3%
RT_RCDATA	14	1,870,511 bytes	94.5%
RT_GROUP_ICON	1	188 bytes	0%
RT_VERSION	1	1,032 bytes	0.1%
RT_MANIFEST	1	2,018 bytes	0.1%

Análise da Cadeia de Certificados

▼

Sem Assinaturas Digitais

Este arquivo não está assinado digitalmente.

Implicações de Segurança:

Não é possível verificar a identidade do editor
Maior risco de segurança ao executar este arquivo
Pode acionar avisos de segurança em alguns sistemas

⚠ Este arquivo não possui assinatura digital ou a cadeia de certificados não pôde ser verificada.
Tenha cuidado ao executar arquivos não assinados de fontes desconhecidas.

Status de Verificação do Certificado

The PE file does not contain a certificate table.

Recomendação: Verifique a fonte do arquivo e certifique-se de que venha de um editor confiável.

Remoção de Spy.Win32.Redline.lu!heur

O Gridinsoft tem a capacidade de identificar e eliminar Spy.Win32.Redline.lu!heur sem requerer intervenção adicional do usuário.

Baixar Anti-Malware

Instruções de Remoção

Siga estas etapas para remover completamente a ameaça do seu sistema

Comece baixando o Gridinsoft Anti-Malware para o seu computador.
Clique duas vezes no arquivo gsam-pt-install.exe e siga as instruções na tela para instalar o programa.
Após a conclusão da instalação do Gridinsoft Anti-Malware, o programa será aberto na tela de Verificação.
Clique no botão "Verificação Padrão" para começar a verificar seu computador em busca de ameaças.
Após o término do processo de verificação, clique em "Limpar Agora" para remover quaisquer ameaças detectadas.
Se solicitado, reinicie seu sistema para concluir o processo de remoção e garantir que todas as ameaças sejam eliminadas.

Importante: Antes de Começar

Desconecte-se da internet para evitar que o malware se espalhe ou baixe ameaças adicionais. Execute a verificação em Modo de Segurança para melhor detecção e remoção de ameaças persistentes.

Deixar um Comentário

Compartilhe seus pensamentos ou insights sobre este arquivo. Você concorda com nossa conclusão?

* Seu feedback pode influenciar nossa classificação, e tenha certeza de que seu e-mail permanecerá confidencial e será usado apenas para entrar em contato com você, se necessário.

Sua Pontuação para

5 4 3 2 1