d01b789b535c91834b646750a431ba06
Summary
| Architecture |
IMAGE_FILE_MACHINE_I386
|
|---|---|
| Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
| Compilation Date | 2018-Jun-24 15:04:40 |
| Debug artifacts |
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb
|
Plugin Output
| Info | Matching compiler(s): | Microsoft Visual C++ 6.0 - 8.0 |
| Info | Cryptographic algorithms detected in the binary: |
Uses constants related to SHA1
Uses constants related to SHA256 |
| Info | The PE contains common functions which appear in legitimate applications. |
[!] The program may be hiding some of its imports:
|
| Suspicious | The file contains overlay data. |
5988622 bytes of data starting at offset 0x49800.
The overlay data has an entropy of 7.99997 and is possibly compressed or encrypted. Overlay data amounts for 95.2135% of the executable. |
| Malicious | VirusTotal score: 27/69 (Scanned on 2018-12-29 14:01:21) |
MicroWorld-eScan:
Trojan.GenericKD.40712756
CAT-QuickHeal: Trojan.IGENERIC McAfee: Artemis!D01B789B535C Cylance: Unsafe AegisLab: Trojan.Multi.Generic.4!c Invincea: heuristic Cyren: W32/Trojan.ZYVW-4925 Symantec: Trojan.Gen.2 TrendMicro-HouseCall: TROJ_GEN.R002H09KC18 Kaspersky: UDS:DangerousObject.Multi.Generic BitDefender: Trojan.GenericKD.40712756 Ad-Aware: Trojan.GenericKD.40712756 F-Secure: Trojan.GenericKD.40712756 McAfee-GW-Edition: BehavesLike.Win32.Backdoor.tc Fortinet: W32/Generic.AC.423184 Trapmine: malicious.high.ml.score Emsisoft: Trojan.GenericKD.40712756 (B) F-Prot: W32/Dropper.BJYD Arcabit: Trojan.Generic.D26D3A34 ZoneAlarm: UDS:DangerousObject.Multi.Generic Microsoft: Trojan:Win32/Skeeyah ALYac: Trojan.GenericKD.40712756 VBA32: Trojan.Skeeyah Yandex: Trojan.PowerShell! GData: Trojan.GenericKD.40712756 CrowdStrike: malicious_confidence_90% (W) Qihoo-360: HEUR/QVM10.2.05A9.Malware.Gen |
Hashes
DOS Header
| e_magic | MZ |
|---|---|
| e_cblp | 0x90 |
| e_cp | 0x3 |
| e_crlc | 0 |
| e_cparhdr | 0x4 |
| e_minalloc | 0 |
| e_maxalloc | 0xffff |
| e_ss | 0 |
| e_sp | 0xb8 |
| e_csum | 0 |
| e_ip | 0 |
| e_cs | 0 |
| e_ovno | 0 |
| e_oemid | 0 |
| e_oeminfo | 0 |
| e_lfanew | 0x108 |
PE Header
| Signature | PE |
|---|---|
| Machine |
IMAGE_FILE_MACHINE_I386
|
| NumberofSections | 6 |
| TimeDateStamp | 2018-Jun-24 15:04:40 |
| PointerToSymbolTable | 0 |
| NumberOfSymbols | 0 |
| SizeOfOptionalHeader | 0xe0 |
| Characteristics |
IMAGE_FILE_32BIT_MACHINE
IMAGE_FILE_EXECUTABLE_IMAGE
|
Image Optional Header
| Magic | PE32 |
|---|---|
| LinkerVersion | 14.0 |
| SizeOfCode | 0x2e800 |
| SizeOfInitializedData | 0x1ac00 |
| SizeOfUninitializedData | 0 |
| AddressOfEntryPoint | 0x0001D4F9 (Section: .text) |
| BaseOfCode | 0x1000 |
| BaseOfData | 0x30000 |
| ImageBase | 0x400000 |
| SectionAlignment | 0x1000 |
| FileAlignment | 0x200 |
| OperatingSystemVersion | 5.1 |
| ImageVersion | 0.0 |
| SubsystemVersion | 5.1 |
| Win32VersionValue | 0 |
| SizeOfImage | 0x6d000 |
| SizeOfHeaders | 0x400 |
| Checksum | 0 |
| Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
| DllCharacteristics |
IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE
IMAGE_DLLCHARACTERISTICS_NX_COMPAT
IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE
|
| SizeofStackReserve | 0x100000 |
| SizeofStackCommit | 0x1000 |
| SizeofHeapReserve | 0x100000 |
| SizeofHeapCommit | 0x1000 |
| LoaderFlags | 0 |
| NumberOfRvaAndSizes | 16 |
.text
.rdata
.data
.gfids
.rsrc
.reloc
Imports
| KERNEL32.dll |
GetLastError
SetLastError GetCurrentProcess DeviceIoControl SetFileTime CloseHandle CreateDirectoryW RemoveDirectoryW CreateFileW DeleteFileW CreateHardLinkW GetShortPathNameW GetLongPathNameW MoveFileW GetFileType GetStdHandle WriteFile ReadFile FlushFileBuffers SetEndOfFile SetFilePointer SetFileAttributesW GetFileAttributesW FindClose FindFirstFileW FindNextFileW GetVersionExW GetCurrentDirectoryW GetFullPathNameW FoldStringW GetModuleFileNameW GetModuleHandleW FindResourceW FreeLibrary GetProcAddress GetCurrentProcessId ExitProcess SetThreadExecutionState Sleep LoadLibraryW GetSystemDirectoryW CompareStringW AllocConsole FreeConsole AttachConsole WriteConsoleW GetProcessAffinityMask CreateThread SetThreadPriority InitializeCriticalSection EnterCriticalSection LeaveCriticalSection DeleteCriticalSection SetEvent ResetEvent ReleaseSemaphore WaitForSingleObject CreateEventW CreateSemaphoreW GetSystemTime SystemTimeToTzSpecificLocalTime TzSpecificLocalTimeToSystemTime SystemTimeToFileTime FileTimeToLocalFileTime LocalFileTimeToFileTime FileTimeToSystemTime GetCPInfo IsDBCSLeadByte MultiByteToWideChar WideCharToMultiByte GlobalAlloc GetTickCount LockResource GlobalLock GlobalUnlock GlobalFree LoadResource SizeofResource SetCurrentDirectoryW GetExitCodeProcess GetLocalTime MapViewOfFile UnmapViewOfFile CreateFileMappingW OpenFileMappingW GetCommandLineW SetEnvironmentVariableW ExpandEnvironmentStringsW GetTempPathW MoveFileExW GetLocaleInfoW GetTimeFormatW GetDateFormatW GetNumberFormatW SetFilePointerEx GetConsoleMode GetConsoleCP HeapSize SetStdHandle GetProcessHeap RaiseException GetSystemInfo VirtualProtect VirtualQuery LoadLibraryExA IsProcessorFeaturePresent IsDebuggerPresent UnhandledExceptionFilter SetUnhandledExceptionFilter GetStartupInfoW QueryPerformanceCounter GetCurrentThreadId GetSystemTimeAsFileTime InitializeSListHead TerminateProcess RtlUnwind EncodePointer InitializeCriticalSectionAndSpinCount TlsAlloc TlsGetValue TlsSetValue TlsFree LoadLibraryExW QueryPerformanceFrequency GetModuleHandleExW GetModuleFileNameA GetACP HeapFree HeapAlloc HeapReAlloc GetStringTypeW LCMapStringW FindFirstFileExA FindNextFileA IsValidCodePage GetOEMCP GetCommandLineA GetEnvironmentStringsW FreeEnvironmentStringsW DecodePointer |
|---|---|
| gdiplus.dll |
GdiplusShutdown
GdiplusStartup GdipCreateHBITMAPFromBitmap GdipCreateBitmapFromStreamICM GdipCreateBitmapFromStream GdipDisposeImage GdipCloneImage GdipFree GdipAlloc |
| USER32.dll (delay-loaded) |
WaitForInputIdle
IsWindowVisible DialogBoxParamW EndDialog SetDlgItemTextW GetDlgItemTextW PostMessageW SetFocus SetForegroundWindow GetSysColor LoadBitmapW LoadIconW DestroyIcon IsDialogMessageW wvsprintfW GetClassNameW FindWindowExW MessageBoxW ReleaseDC GetDC SendMessageW LoadCursorW CopyRect MapWindowPoints UpdateWindow DestroyWindow IsWindow CreateWindowExW RegisterClassExW DefWindowProcW PeekMessageW DispatchMessageW TranslateMessage GetMessageW CharUpperW OemToCharBuffA LoadStringW GetWindow SetProcessDefaultLayout SetWindowLongW GetWindowLongW GetWindowRect GetClientRect GetWindowTextW GetSystemMetrics SetWindowPos GetParent SetWindowTextW EnableWindow GetDlgItem SendDlgItemMessageW ShowWindow |
Delayed Imports
| Attributes | 0x1 |
|---|---|
| Name | USER32.dll |
| ModuleHandle | 0x59930 |
| DelayImportAddressTable | 0x3aa80 |
| DelayImportNameTable | 0x383f4 |
| BoundDelayImportTable | 0x38b18 |
| UnloadDelayImportTable | 0 |
| TimeStamp | 1970-Jan-01 00:00:00 |
101
102
1
2
3
4
5
6
7
ASKNEXTVOL
GETPASSWORD1
LICENSEDLG
RENAMEDLG
REPLACEFILEDLG
STARTDLG
7 (#2)
8
9
10
11
12
13
14
15
16
100
1 (#2)
String Table contents
| Выберите папку для извлечения |
| Извлечение %s |
| Пропуск %s |
| Неожиданный конец архива |
| Повреждён заголовок файла "%s" |
| Обнаружен повреждённый заголовок |
| Повреждён главный заголовок архива |
| Повреждён заголовок комментария архива |
| Повреждён комментарий архива |
| Недостаточно памяти |
| Неизвестный метод в %s |
| Невозможно открыть %s |
| Невозможно создать %s |
| Невозможно создать папку %s |
| Ошибка контрольной суммы в зашифрованном файле %s. Файл повреждён или указан неверный пароль. |
| Ошибка контрольной суммы в %s |
| Ошибка контрольной суммы сжатых данных в %s |
| Ошибка записи файла %s (возможно, нет места на диске) |
| Ошибка чтения файла %s |
| Ошибка закрытия файла |
| Отсутствует необходимый том |
| Архив повреждён или имеет неизвестный формат |
| Извлечение из %s |
| Следующий том |
| Повреждён заголовок архива |
| Закрыть |
| Ошибка |
| Ошибки при выполнении операции. |
| См. окно с информацией |
| байт |
| изменён |
| папка недоступна |
| Некоторые файлы не были созданы. |
| Закройте все программы, перезагрузите Windows и повторите установку |
| Некоторые инсталляционные файлы повреждены. |
| Загрузите новую копию и повторите установку |
| Все файлы |
| <ul><li>Нажмите кнопку <b><i>Установить</i></b>, чтобы начать извлечение.</li><br><br> |
| <ul><li>Нажмите кнопку <b><i>Извлечь</i></b>, чтобы начать извлечение.</li><br><br> |
| <li>Кнопка <b><i>Обзор</i></b> позволяет выбрать папку назначения |
| в дереве папок. Имя папки также можно ввести |
| вручную.</li><br><br> |
| <li>Если папки назначения не существует, то она будет |
| создана автоматически до начала процесса извлечения.</li></ul> |
| Архив повреждён |
| Извлечение файлов в папку %s |
| Извлечение файлов во временную папку |
| Извлечь |
| Ход извлечения |
| Максимум символов в пути и имени файла: %d |
| Неизвестный метод шифрования в %s |
| Указан неверный пароль. |
| Невозможно скопировать %s в %s. |
| Невозможно создать символическую ссылку %s |
| Невозможно создать жёсткую ссылку %s |
| Сначала нужно распаковать целевой объект ссылки |
| Попробуйте запустить этот самораспаковывающийся архив от имени администратора |
| Приостановить |
| Продолжить |
| Предупреждение о безопасности |
| Удалите %s из папки %s. Пока это не будет сделано, запускать %s небезопасно. |
Version Info
IMAGE_DEBUG_TYPE_CODEVIEW
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Jun-24 15:04:40 |
| Version | 0.0 |
| SizeofData | 81 |
| AddressOfRawData | 0x37128 |
| PointerToRawData | 0x35d28 |
| Referenced File | D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb |
IMAGE_DEBUG_TYPE_VC_FEATURE
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Jun-24 15:04:40 |
| Version | 0.0 |
| SizeofData | 20 |
| AddressOfRawData | 0x3717c |
| PointerToRawData | 0x35d7c |
IMAGE_DEBUG_TYPE_POGO
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Jun-24 15:04:40 |
| Version | 0.0 |
| SizeofData | 944 |
| AddressOfRawData | 0x37190 |
| PointerToRawData | 0x35d90 |
TLS Callbacks
Load Configuration
| Size | 0x5c |
|---|---|
| TimeDateStamp | 1970-Jan-01 00:00:00 |
| Version | 0.0 |
| GlobalFlagsClear | (EMPTY) |
| GlobalFlagsSet | (EMPTY) |
| CriticalSectionDefaultTimeout | 0 |
| DeCommitFreeBlockThreshold | 0 |
| DeCommitTotalFreeThreshold | 0 |
| LockPrefixTable | 0 |
| MaximumAllocationSize | 0 |
| VirtualMemoryThreshold | 0 |
| ProcessAffinityMask | 0 |
| ProcessHeapFlags | (EMPTY) |
| CSDVersion | 0 |
| Reserved1 | 0 |
| EditList | 0 |
| SecurityCookie | 0x43a1c8 |
| SEHandlerTable | 0x437090 |
| SEHandlerCount | 38 |
RICH Header
| XOR Key | 0x70329d92 |
|---|---|
| Unmarked objects | 0 |
| 241 (40116) | 13 |
| 243 (40116) | 139 |
| 242 (40116) | 24 |
| ASM objects (VS2015 UPD3 build 24123) | 22 |
| C objects (VS2015 UPD3 build 24123) | 19 |
| C++ objects (VS2015 UPD3 build 24123) | 44 |
| C objects (VS2008 SP1 build 30729) | 10 |
| Imports (VS2008 SP1 build 30729) | 5 |
| Total imports | 267 |
| C++ objects (VS2015 UPD3.1 build 24215) | 48 |
| Exports (VS2015 UPD3.1 build 24215) | 1 |
| Resource objects (VS2015 UPD3 build 24210) | 1 |
| Linker (VS2015 UPD3.1 build 24215) | 1 |