f476b429fe1fda5931e704fb5ddcf012
Summary
| Architecture |
IMAGE_FILE_MACHINE_I386
|
|---|---|
| Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
| Compilation Date | 2018-Sep-30 18:01:44 |
| Debug artifacts |
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb
|
Plugin Output
| Info | Matching compiler(s): | Microsoft Visual C++ 6.0 - 8.0 |
| Suspicious | Strings found in the binary may indicate undesirable behavior: |
May have dropper capabilities:
|
| Info | Cryptographic algorithms detected in the binary: |
Uses constants related to SHA1
Uses constants related to SHA256 |
| Info | The PE contains common functions which appear in legitimate applications. |
[!] The program may be hiding some of its imports:
|
| Malicious | The file contains overlay data. |
338149 bytes of data starting at offset 0x3e800.
The file contains a 7-Zip compressed file after the PE data. |
| Malicious | VirusTotal score: 42/71 (Scanned on 2019-02-06 16:08:57) |
MicroWorld-eScan:
Trojan.GenericKD.40961228
CAT-QuickHeal: TrojanDropper.Dapato ALYac: Trojan.GenericKD.40961228 K7GW: Trojan ( 005121fb1 ) K7AntiVirus: Trojan ( 005121fb1 ) Invincea: heuristic Cyren: W32/Trojan.GIPL-2608 Symantec: Trojan.Gen.2 TrendMicro-HouseCall: TROJ_GEN.R011C0PAG19 Avast: Win32:Trojan-gen Kaspersky: Trojan-Dropper.Win32.Dapato.pler BitDefender: Trojan.GenericKD.40961228 NANO-Antivirus: Trojan.Win32.Inject3.fmdreg Paloalto: generic.ml Tencent: Win32.Trojan-dropper.Dapato.Ecju Ad-Aware: Trojan.GenericKD.40961228 Emsisoft: Trojan.GenericKD.40961228 (B) Comodo: Malware@#18ysfon3tyilx DrWeb: Trojan.Inject3.12100 VIPRE: Trojan.Win32.Generic!BT TrendMicro: TROJ_GEN.R011C0PAG19 McAfee-GW-Edition: BehavesLike.Win32.Backdoor.hc Fortinet: W32/Dapato.AZM!tr Endgame: malicious (moderate confidence) Arcabit: Trojan.Generic.D27104CC ViRobot: Trojan.Win32.Z.Agent.594149 ZoneAlarm: Trojan-Dropper.Win32.Dapato.pler Microsoft: Trojan:Win32/Skeeyah.A!bit Sophos: Mal/Generic-S AhnLab-V3: Malware/Win32.Generic.C2984189 Acronis: suspicious McAfee: RDN/Generic.grp MAX: malware (ai score=100) VBA32: Trojan.PowerShell.Leivion Cylance: Unsafe ESET-NOD32: MSIL/Agent.AZM Yandex: Trojan.Reconyc! GData: Trojan.GenericKD.40961228 AVG: Win32:Trojan-gen Panda: Trj/CI.A CrowdStrike: malicious_confidence_90% (W) Qihoo-360: Win32/Trojan.Dropper.540 |
Hashes
DOS Header
| e_magic | MZ |
|---|---|
| e_cblp | 0x90 |
| e_cp | 0x3 |
| e_crlc | 0 |
| e_cparhdr | 0x4 |
| e_minalloc | 0 |
| e_maxalloc | 0xffff |
| e_ss | 0 |
| e_sp | 0xb8 |
| e_csum | 0 |
| e_ip | 0 |
| e_cs | 0 |
| e_ovno | 0 |
| e_oemid | 0 |
| e_oeminfo | 0 |
| e_lfanew | 0x120 |
PE Header
| Signature | PE |
|---|---|
| Machine |
IMAGE_FILE_MACHINE_I386
|
| NumberofSections | 6 |
| TimeDateStamp | 2018-Sep-30 18:01:44 |
| PointerToSymbolTable | 0 |
| NumberOfSymbols | 0 |
| SizeOfOptionalHeader | 0xe0 |
| Characteristics |
IMAGE_FILE_32BIT_MACHINE
IMAGE_FILE_EXECUTABLE_IMAGE
|
Image Optional Header
| Magic | PE32 |
|---|---|
| LinkerVersion | 14.0 |
| SizeOfCode | 0x2ea00 |
| SizeOfInitializedData | 0xfa00 |
| SizeOfUninitializedData | 0 |
| AddressOfEntryPoint | 0x0001D549 (Section: .text) |
| BaseOfCode | 0x1000 |
| BaseOfData | 0x30000 |
| ImageBase | 0x400000 |
| SectionAlignment | 0x1000 |
| FileAlignment | 0x200 |
| OperatingSystemVersion | 5.1 |
| ImageVersion | 0.0 |
| SubsystemVersion | 5.1 |
| Win32VersionValue | 0 |
| SizeOfImage | 0x61000 |
| SizeOfHeaders | 0x400 |
| Checksum | 0x9b140 |
| Subsystem |
IMAGE_SUBSYSTEM_WINDOWS_GUI
|
| DllCharacteristics |
IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE
IMAGE_DLLCHARACTERISTICS_NX_COMPAT
IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE
|
| SizeofStackReserve | 0x100000 |
| SizeofStackCommit | 0x1000 |
| SizeofHeapReserve | 0x100000 |
| SizeofHeapCommit | 0x1000 |
| LoaderFlags | 0 |
| NumberOfRvaAndSizes | 16 |
.text
.rdata
.data
.gfids
.rsrc
.reloc
Imports
| KERNEL32.dll |
GetLastError
SetLastError GetCurrentProcess DeviceIoControl SetFileTime CloseHandle CreateDirectoryW RemoveDirectoryW CreateFileW DeleteFileW CreateHardLinkW GetShortPathNameW GetLongPathNameW MoveFileW GetFileType GetStdHandle WriteFile ReadFile FlushFileBuffers SetEndOfFile SetFilePointer SetFileAttributesW GetFileAttributesW FindClose FindFirstFileW FindNextFileW GetVersionExW GetCurrentDirectoryW GetFullPathNameW FoldStringW GetModuleFileNameW GetModuleHandleW FindResourceW FreeLibrary GetProcAddress GetCurrentProcessId ExitProcess SetThreadExecutionState Sleep LoadLibraryW GetSystemDirectoryW CompareStringW AllocConsole FreeConsole AttachConsole WriteConsoleW GetProcessAffinityMask CreateThread SetThreadPriority InitializeCriticalSection EnterCriticalSection LeaveCriticalSection DeleteCriticalSection SetEvent ResetEvent ReleaseSemaphore WaitForSingleObject CreateEventW CreateSemaphoreW GetSystemTime SystemTimeToTzSpecificLocalTime TzSpecificLocalTimeToSystemTime SystemTimeToFileTime FileTimeToLocalFileTime LocalFileTimeToFileTime FileTimeToSystemTime GetCPInfo IsDBCSLeadByte MultiByteToWideChar WideCharToMultiByte GlobalAlloc GetTickCount LockResource GlobalLock GlobalUnlock GlobalFree LoadResource SizeofResource SetCurrentDirectoryW GetExitCodeProcess GetLocalTime MapViewOfFile UnmapViewOfFile CreateFileMappingW OpenFileMappingW GetCommandLineW SetEnvironmentVariableW ExpandEnvironmentStringsW GetTempPathW MoveFileExW GetLocaleInfoW GetTimeFormatW GetDateFormatW GetNumberFormatW SetFilePointerEx GetConsoleMode GetConsoleCP HeapSize SetStdHandle GetProcessHeap RaiseException GetSystemInfo VirtualProtect VirtualQuery LoadLibraryExA IsProcessorFeaturePresent IsDebuggerPresent UnhandledExceptionFilter SetUnhandledExceptionFilter GetStartupInfoW QueryPerformanceCounter GetCurrentThreadId GetSystemTimeAsFileTime InitializeSListHead TerminateProcess RtlUnwind EncodePointer InitializeCriticalSectionAndSpinCount TlsAlloc TlsGetValue TlsSetValue TlsFree LoadLibraryExW QueryPerformanceFrequency GetModuleHandleExW GetModuleFileNameA GetACP HeapFree HeapAlloc HeapReAlloc GetStringTypeW LCMapStringW FindFirstFileExA FindNextFileA IsValidCodePage GetOEMCP GetCommandLineA GetEnvironmentStringsW FreeEnvironmentStringsW DecodePointer |
|---|---|
| gdiplus.dll |
GdiplusShutdown
GdiplusStartup GdipCreateHBITMAPFromBitmap GdipCreateBitmapFromStreamICM GdipCreateBitmapFromStream GdipDisposeImage GdipCloneImage GdipFree GdipAlloc |
| USER32.dll (delay-loaded) |
WaitForInputIdle
IsWindowVisible DialogBoxParamW EndDialog SetDlgItemTextW GetDlgItemTextW PostMessageW SetFocus SetForegroundWindow GetSysColor LoadBitmapW LoadIconW DestroyIcon IsDialogMessageW wvsprintfW GetClassNameW FindWindowExW MessageBoxW ReleaseDC GetDC SendMessageW LoadCursorW CopyRect MapWindowPoints UpdateWindow DestroyWindow IsWindow CreateWindowExW RegisterClassExW DefWindowProcW PeekMessageW DispatchMessageW TranslateMessage GetMessageW CharUpperW OemToCharBuffA LoadStringW GetWindow SetProcessDefaultLayout SetWindowLongW GetWindowLongW GetWindowRect GetClientRect GetWindowTextW GetSystemMetrics SetWindowPos GetParent SetWindowTextW EnableWindow GetDlgItem SendDlgItemMessageW ShowWindow |
Delayed Imports
| Attributes | 0x1 |
|---|---|
| Name | USER32.dll |
| ModuleHandle | 0x59930 |
| DelayImportAddressTable | 0x3aa80 |
| DelayImportNameTable | 0x383f4 |
| BoundDelayImportTable | 0x38b18 |
| UnloadDelayImportTable | 0 |
| TimeStamp | 1970-Jan-01 00:00:00 |
1
ASKNEXTVOL
GETPASSWORD1
LICENSEDLG
RENAMEDLG
REPLACEFILEDLG
STARTDLG
7
8
9
10
11
12
13
14
15
16
32512
1 (#2)
String Table contents
| Выберите папку для извлечения |
| Извлечение %s |
| Пропуск %s |
| Неожиданный конец архива |
| Повреждён заголовок файла "%s" |
| Обнаружен повреждённый заголовок |
| Повреждён главный заголовок архива |
| Повреждён заголовок комментария архива |
| Повреждён комментарий архива |
| Недостаточно памяти |
| Неизвестный метод в %s |
| Невозможно открыть %s |
| Невозможно создать %s |
| Невозможно создать папку %s |
| Ошибка контрольной суммы в зашифрованном файле %s. Файл повреждён или указан неверный пароль. |
| Ошибка контрольной суммы в %s |
| Ошибка контрольной суммы сжатых данных в %s |
| Ошибка записи файла %s (возможно, нет места на диске) |
| Ошибка чтения файла %s |
| Ошибка закрытия файла |
| Отсутствует необходимый том |
| Архив повреждён или имеет неизвестный формат |
| Извлечение из %s |
| Следующий том |
| Повреждён заголовок архива |
| Закрыть |
| Ошибка |
| Ошибки при выполнении операции. |
| См. окно с информацией |
| байт |
| изменён |
| папка недоступна |
| Некоторые файлы не были созданы. |
| Закройте все программы, перезагрузите Windows и повторите установку |
| Некоторые инсталляционные файлы повреждены. |
| Загрузите новую копию и повторите установку |
| Все файлы |
| <ul><li>Нажмите кнопку <b><i>Установить</i></b>, чтобы начать извлечение.</li><br><br> |
| <ul><li>Нажмите кнопку <b><i>Извлечь</i></b>, чтобы начать извлечение.</li><br><br> |
| <li>Кнопка <b><i>Обзор</i></b> позволяет выбрать папку назначения |
| в дереве папок. Имя папки также можно ввести |
| вручную.</li><br><br> |
| <li>Если папки назначения не существует, то она будет |
| создана автоматически до начала процесса извлечения.</li></ul> |
| Архив повреждён |
| Извлечение файлов в папку %s |
| Извлечение файлов во временную папку |
| Извлечь |
| Ход извлечения |
| Максимум символов в пути и имени файла: %d |
| Неизвестный метод шифрования в %s |
| Указан неверный пароль. |
| Невозможно скопировать %s в %s. |
| Невозможно создать символическую ссылку %s |
| Невозможно создать жёсткую ссылку %s |
| Сначала нужно распаковать целевой объект ссылки |
| Попробуйте запустить этот самораспаковывающийся архив от имени администратора |
| Приостановить |
| Продолжить |
| Предупреждение о безопасности |
| Удалите %s из папки %s. Пока это не будет сделано, запускать %s небезопасно. |
Version Info
IMAGE_DEBUG_TYPE_CODEVIEW
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Sep-30 18:01:44 |
| Version | 0.0 |
| SizeofData | 81 |
| AddressOfRawData | 0x37128 |
| PointerToRawData | 0x35f28 |
| Referenced File | D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb |
IMAGE_DEBUG_TYPE_VC_FEATURE
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Sep-30 18:01:44 |
| Version | 0.0 |
| SizeofData | 20 |
| AddressOfRawData | 0x3717c |
| PointerToRawData | 0x35f7c |
IMAGE_DEBUG_TYPE_POGO
| Characteristics |
0
|
|---|---|
| TimeDateStamp | 2018-Sep-30 18:01:44 |
| Version | 0.0 |
| SizeofData | 944 |
| AddressOfRawData | 0x37190 |
| PointerToRawData | 0x35f90 |
TLS Callbacks
Load Configuration
| Size | 0x5c |
|---|---|
| TimeDateStamp | 1970-Jan-01 00:00:00 |
| Version | 0.0 |
| GlobalFlagsClear | (EMPTY) |
| GlobalFlagsSet | (EMPTY) |
| CriticalSectionDefaultTimeout | 0 |
| DeCommitFreeBlockThreshold | 0 |
| DeCommitTotalFreeThreshold | 0 |
| LockPrefixTable | 0 |
| MaximumAllocationSize | 0 |
| VirtualMemoryThreshold | 0 |
| ProcessAffinityMask | 0 |
| ProcessHeapFlags | (EMPTY) |
| CSDVersion | 0 |
| Reserved1 | 0 |
| EditList | 0 |
| SecurityCookie | 0x43a1c8 |
| SEHandlerTable | 0x437090 |
| SEHandlerCount | 38 |
RICH Header
| XOR Key | 0xea77ed6 |
|---|---|
| Unmarked objects | 0 |
| 241 (40116) | 13 |
| 243 (40116) | 140 |
| 242 (40116) | 24 |
| 199 (41118) | 1 |
| ASM objects (VS2015 UPD3 build 24123) | 22 |
| C objects (VS2015 UPD3 build 24123) | 19 |
| C++ objects (VS2015 UPD3 build 24123) | 44 |
| C objects (VS2008 SP1 build 30729) | 10 |
| Imports (VS2008 SP1 build 30729) | 5 |
| Total imports | 267 |
| C++ objects (VS2015 UPD3.1 build 24215) | 48 |
| Exports (VS2015 UPD3.1 build 24215) | 1 |
| Resource objects (VS2015 UPD3 build 24210) | 1 |
| Linker (VS2015 UPD3.1 build 24215) | 1 |