Architecture |
IMAGE_FILE_MACHINE_AMD64
|
---|---|
Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
Compilation Date | 2094-Aug-19 14:35:19 |
Detected languages |
Dutch - Netherlands
English - United States |
Debug artifacts |
wextract.pdb
|
CompanyName | Microsoft Corporation |
FileDescription | Win32 Cabinet Self-Extractor |
FileVersion | 11.00.22000.2652 (WinBuild.160101.0800) |
InternalName | Wextract |
LegalCopyright | © Microsoft Corporation. Alle rechten voorbehouden. |
OriginalFilename | WEXTRACT.EXE .MUI |
ProductName | Internet Explorer |
ProductVersion | 11.00.22000.2652 |
Suspicious | Strings found in the binary may indicate undesirable behavior: |
Contains references to system / monitoring tools:
|
Malicious | The PE contains functions mostly used by malware. |
[!] The program may be hiding some of its imports:
|
Malicious | The PE header may have been manually modified. |
Resource CABINET detected as a CAB Installer file.
The resource timestamps differ from the PE header:
|
Malicious | VirusTotal score: 8/70 (Scanned on 2024-06-11 07:03:54) |
ALYac:
Application.BAT.ForkBomb.2.Gen
APEX: Malicious Bkav: W64.AIDetectMalware DeepInstinct: MALICIOUS Kaspersky: Trojan.BAT.Looper.gen MicroWorld-eScan: Application.BAT.ForkBomb.2.Gen VIPRE: Application.BAT.ForkBomb.2.Gen ZoneAlarm: Trojan.BAT.Looper.gen |
e_magic | MZ |
---|---|
e_cblp | 0x90 |
e_cp | 0x3 |
e_crlc | 0 |
e_cparhdr | 0x4 |
e_minalloc | 0 |
e_maxalloc | 0xffff |
e_ss | 0 |
e_sp | 0xb8 |
e_csum | 0 |
e_ip | 0 |
e_cs | 0 |
e_ovno | 0 |
e_oemid | 0 |
e_oeminfo | 0 |
e_lfanew | 0xe8 |
Signature | PE |
---|---|
Machine |
IMAGE_FILE_MACHINE_AMD64
|
NumberofSections | 6 |
TimeDateStamp | 2094-Aug-19 14:35:19 |
PointerToSymbolTable | 0 |
NumberOfSymbols | 0 |
SizeOfOptionalHeader | 0xf0 |
Characteristics |
IMAGE_FILE_EXECUTABLE_IMAGE
IMAGE_FILE_LARGE_ADDRESS_AWARE
|
Magic | PE32+ |
---|---|
LinkerVersion | 14.0 |
SizeOfCode | 0x8000 |
SizeOfInitializedData | 0x22000 |
SizeOfUninitializedData | 0 |
AddressOfEntryPoint | 0x0000000000001150 (Section: .text) |
BaseOfCode | 0x1000 |
ImageBase | 0x140000000 |
SectionAlignment | 0x1000 |
FileAlignment | 0x1000 |
OperatingSystemVersion | A.0 |
ImageVersion | A.0 |
SubsystemVersion | 6.0 |
Win32VersionValue | 0 |
SizeOfImage | 0x2c000 |
SizeOfHeaders | 0x1000 |
Checksum | 0x2f1f3 |
Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
DllCharacteristics |
IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE
IMAGE_DLLCHARACTERISTICS_GUARD_CF
IMAGE_DLLCHARACTERISTICS_HIGH_ENTROPY_VA
IMAGE_DLLCHARACTERISTICS_NX_COMPAT
IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE
|
SizeofStackReserve | 0x80000 |
SizeofStackCommit | 0x2000 |
SizeofHeapReserve | 0x100000 |
SizeofHeapCommit | 0x1000 |
LoaderFlags | 0 |
NumberOfRvaAndSizes | 16 |
ADVAPI32.dll |
GetTokenInformation
RegDeleteValueA RegOpenKeyExA RegQueryInfoKeyA FreeSid OpenProcessToken RegSetValueExA RegCreateKeyExA LookupPrivilegeValueA AllocateAndInitializeSid RegQueryValueExA EqualSid RegCloseKey AdjustTokenPrivileges |
---|---|
KERNEL32.dll |
_lopen
_llseek CompareStringA GetLastError GetFileAttributesA GetSystemDirectoryA LoadLibraryA DeleteFileA GlobalAlloc GlobalFree CloseHandle WritePrivateProfileStringA IsDBCSLeadByte GetWindowsDirectoryA SetFileAttributesA GetProcAddress GlobalLock LocalFree RemoveDirectoryA FreeLibrary _lclose CreateDirectoryA GetPrivateProfileIntA GetPrivateProfileStringA GlobalUnlock ReadFile SizeofResource WriteFile GetDriveTypeA LoadLibraryExA SetFileTime SetFilePointer FindResourceA CreateMutexA GetVolumeInformationA WaitForSingleObject GetCurrentDirectoryA FreeResource GetVersion SetCurrentDirectoryA GetTempPathA LocalFileTimeToFileTime CreateFileA SetEvent TerminateThread GetVersionExA LockResource GetSystemInfo CreateThread ResetEvent LoadResource ExitProcess GetModuleHandleW CreateProcessA FormatMessageA GetTempFileNameA DosDateTimeToFileTime CreateEventA GetExitCodeProcess ExpandEnvironmentStringsA LocalAlloc lstrcmpA FindNextFileA GetCurrentProcess FindFirstFileA GetModuleFileNameA GetShortPathNameA Sleep GetStartupInfoW RtlCaptureContext RtlLookupFunctionEntry RtlVirtualUnwind UnhandledExceptionFilter SetUnhandledExceptionFilter TerminateProcess QueryPerformanceCounter GetCurrentProcessId GetCurrentThreadId GetSystemTimeAsFileTime GetTickCount EnumResourceLanguagesA GetDiskFreeSpaceA MulDiv FindClose |
GDI32.dll |
GetDeviceCaps
|
USER32.dll |
ShowWindow
MsgWaitForMultipleObjects SetWindowPos GetDC GetWindowRect DispatchMessageA GetSystemMetrics CallWindowProcA SetWindowTextA MessageBoxA SendDlgItemMessageA SendMessageA GetDlgItem DialogBoxIndirectParamA GetWindowLongPtrA SetWindowLongPtrA SetForegroundWindow ReleaseDC EnableWindow CharNextA LoadStringA CharPrevA EndDialog MessageBeep ExitWindowsEx SetDlgItemTextA CharUpperA GetDesktopWindow PeekMessageA GetDlgItemTextA |
msvcrt.dll |
?terminate@@YAXXZ
_commode _fmode _acmdln __C_specific_handler memset __setusermatherr _ismbblead _cexit _exit exit __set_app_type __getmainargs _amsg_exit _XcptFilter memcpy_s _vsnprintf _initterm memcpy |
COMCTL32.dll |
#17
|
Cabinet.dll |
#20
#21 #23 #22 |
VERSION.dll |
VerQueryValueA
GetFileVersionInfoSizeA GetFileVersionInfoA |
Selecteer de map waarin de uitgepakte bestanden moeten worden opgeslagen. |
%s |
Kan geen informatie krijgen over schijfruimte van: %s. |
Systeemmelding: %s. |
Kan een benodigde bron niet vinden. |
Weet u zeker dat u wilt annuleren? |
Kan geen informatie vinden over de versie van het besturingssysteem. |
Aanvraag tot geheugentoewijzing is mislukt. |
Kan de uitpak-thread niet maken. |
Ongeldig CAB-bestand. |
De bestandstabel is vol. |
Kan niet overschakelen naar de doelmap. |
Setup kan geen station vinden met %s kB beschikbare schijfruimte om het programma te installeren. Maak schijfruimte vrij en probeer het opnieuw of annuleer de installatie. |
De map is ongeldig. Controleer of de map bestaat en of deze niet alleen-lezen is. |
U moet een map met een volledig pad opgeven of op Annuleren klikken. |
Kan het invoervak voor de map niet bijwerken. |
Kan de functies die vereist zijn voor het bladerdialoogvenster, niet laden. |
Kan het bestand Shell32.dll dat vereist is voor het bladerdialoogvenster, niet laden. |
Fout bij het maken van proces <%s>. Reden: %s |
De clustergrootte in dit systeem wordt niet ondersteund. |
Een vereiste bron lijkt beschadigd te zijn. |
Voor deze installatie is Windows 95 of Windows NT 4.0 Bèta 2 (of een nieuwere versie) vereist. |
Fout bij het laden van %s. |
GetProcAddress() is mislukt bij functie %s. Mogelijke reden: er wordt een incorrecte versie van advpack.dll gebruikt. |
Voor de installatie is Windows 95 of Windows NT vereist |
Kan de map %s niet maken. |
U hebt %s kB schijfruimte nodig op station %s om het programma te installeren. Het wordt aanbevolen de benodigde schijfruimte vrij te maken voordat u verdergaat. |
Wilt u toch doorgaan? |
Fout bij het ophalen van Windows-map |
NT wordt afgesloten: OpenProcessToken-fout. |
NT wordt afgesloten: AdjustTokenPrivileges-fout. |
NT wordt afgesloten: ExitWindowsEx-fout. |
Het uitpakken van het bestand is mislukt. Waarschijnlijk door gebrek aan geheugen (te weinig schijfruimte voor wisselbestand) of beschadigd CAB-bestand. |
Het installatieprogramma kan de volumegegevens voor station (%s) niet ophalen. |
Systeembericht: %s. |
Setup kan geen station vinden met %s kB vrije schijfruimte voor de installatie van het programma. Maak schijfruimte vrij en probeer het opnieuw. |
Het installatieprogramma is beschadigd. Neem contact op met de verkoper van deze toepassing. |
Syntaxisfout in de opdrachtregeloptie. Typ Command /? voor Help. |
Opdrachtregelopties: |
/Q - geheel of gedeeltelijk zonder prompt |
/T:<volledig pad> - tijdelijke werkmap voor het uitpakken opgeven |
/C - alleen bestanden uitpakken naar werkmap (dient gecombineerd te worden met |
de optie /T), |
/C:<opdracht> - installatieopdracht van gebruiker. |
De instellingen worden pas van kracht als de computer opnieuw wordt opgestart. |
Wilt u de computer nu opnieuw opstarten? |
Er wordt al een exemplaar van het pakket %s op de computer uitgevoerd. Wilt u een extra exemplaar starten? |
Kan het bestand %s niet vinden. |
U hebt geen administratorbevoegdheden op deze computer. Sommige installaties kunnen alleen juist worden uitgevoerd door een systeembeheerder. |
De map %s bestaat niet. Wilt u deze map maken? |
Het pakket %s is al op het systeem geïnstalleerd. U kunt slechts één exemplaar tegelijkertijd gebruiken. |
Het pakket %s is niet compatibel met de Windows-versie die u gebruikt. |
Het pakket %s is niet compatibel met de versie van het bestand %s op de computer. |
Characteristics |
0
|
---|---|
TimeDateStamp | 2094-Aug-19 14:35:19 |
Version | 0.0 |
SizeofData | 37 |
AddressOfRawData | 0x9abc |
PointerToRawData | 0x9abc |
Referenced File | wextract.pdb |
Characteristics |
0
|
---|---|
TimeDateStamp | 2094-Aug-19 14:35:19 |
Version | 0.0 |
SizeofData | 516 |
AddressOfRawData | 0x9ae4 |
PointerToRawData | 0x9ae4 |
Characteristics |
0
|
---|---|
TimeDateStamp | 2094-Aug-19 14:35:19 |
Version | 0.0 |
SizeofData | 36 |
AddressOfRawData | 0x9ce8 |
PointerToRawData | 0x9ce8 |
Size | 0x138 |
---|---|
TimeDateStamp | 1970-Jan-01 00:00:00 |
Version | 0.0 |
GlobalFlagsClear | (EMPTY) |
GlobalFlagsSet | (EMPTY) |
CriticalSectionDefaultTimeout | 0 |
DeCommitFreeBlockThreshold | 0 |
DeCommitTotalFreeThreshold | 0 |
LockPrefixTable | 0 |
MaximumAllocationSize | 0 |
VirtualMemoryThreshold | 0 |
ProcessAffinityMask | 0 |
ProcessHeapFlags | (EMPTY) |
CSDVersion | 0 |
Reserved1 | 0 |
EditList | 0 |
SecurityCookie | 0x14000c008 |
GuardCFCheckFunctionPointer | 5368747624 |
GuardCFDispatchFunctionPointer | 0 |
GuardCFFunctionTable | 0 |
GuardCFFunctionCount | 0 |
GuardFlags | (EMPTY) |
CodeIntegrity.Flags | 0 |
CodeIntegrity.Catalog | 0 |
CodeIntegrity.CatalogOffset | 0 |
CodeIntegrity.Reserved | 0 |
GuardAddressTakenIatEntryTable | 0 |
GuardAddressTakenIatEntryCount | 0 |
GuardLongJumpTargetTable | 0 |
GuardLongJumpTargetCount | 0 |
XOR Key | 0x3483d1d4 |
---|---|
Unmarked objects | 0 |
C++ objects (29395) | 1 |
ASM objects (29395) | 3 |
C objects (29395) | 19 |
Imports (29395) | 17 |
Total imports | 160 |
C objects (LTCG) (29395) | 10 |
Resource objects (29395) | 1 |
Linker (29395) | 1 |