Trojan CobaltStrike - Звіт скану
| Онлайн-сканер вірусів | v.1.0.138.174 |
| Версія БД: | 2023-09-10 20:01:43 |
Trojan.Win64.CobaltStrike.bot
Cobalt Strike - це платний інструмент для пенетраційного тестування, який використовується професіоналами з безпеки для розгортання агента під назвою 'Beacon' на системі цільової атаки. Beacon надає різні функції оператору, включаючи виконання команд, логування натискань клавіш, передачу файлів, SOCKS-проксі, підняття привілеїв, mimikatz, сканування портів та боковий рух. Beacon працює в пам'яті і не зберігається на диску, завантажуючись у пам'ять процесу після використання вразливостей або виконання завантажувача для кодування shellcode, уникнувши зберігання на диску. Він підтримує комунікацію і стадіювання через кілька протоколів, включаючи HTTP, HTTPS, DNS, SMB з іменованими каналами та обидві прямі та зворотні TCP-з'єднання, з можливістю ланцюгування. Крім того, Cobalt Strike включає в себе набір засобів Artifact Kit для створення завантажувачів shellcode.
| Перевірено | 2023-09-10 21:00:40 |
| MD5 | 964eeda03f4939d3eff1e45b91ec7e95 |
| SHA1 | 08f51656b95ddd46897f49fcc1d4df63ff02ff48 |
| SHA256 | 38e521776834af49ce316afbfa35ed493baf2aa14eaf2cd30bc917154734daef |
| SHA512 | 5c93f5d752ea1ae2a61e94a35432e594d7ee65eadf7cd2d9728a5a78c763e8a7a83d6c4e484b5a62fdcb8979b55e10e6e5368e7e0469e462e060974c2484e353 |
| Imphash | 66c3b0658aee8083a055771d8886e0ab |
| File Size | 11810948 bytes |
Видалення Trojan.Win64.CobaltStrike.bot
Gridinsoft має можливість виявляти та видаляти Trojan.Win64.CobaltStrike.bot без подальшого втручання користувача.
- Спочатку завантажте Gridinsoft Anti-Malware на свій комп'ютер.
- Подвійно клацніть по файлу gsam-uk-install.exe і слідуйте інструкціям на екрані для встановлення програми.
- Після завершення установки Gridinsoft Anti-Malware програма відкриється на екрані сканування.
- Клацніть кнопку "Стандартне".
- Після завершення процесу сканування клацніть "Очистити" для видалення виявлених загроз.
- Якщо вас попросять, перезавантажте систему, щоб завершити процес видалення.
Інформація про файл (PE)
 |
99f8909119f22355b3423d4cad169539 c5a2ab820da81f9db77abd76bbd9764e c6c2ccc4f4e0e0f8 |
| Image Base: | 0x140000000 |
| Entry Point: | 0x1401b5cc8 |
| Compilation: | 2023-09-08 01:17:01 |
| Checksum: | 0x00b52388 (Actual: 0x00b52388) |
| OS Version: | 5.2 |
| PEiD: | PE32+ executable (GUI) x86-64, for MS Windows |
| Sign: | The PE file does not contain a certificate table. |
| Sections: | 5 |
| Imports: | USER32, COMCTL32, KERNEL32, ADVAPI32, GDI32, IPHLPAPI, msvcrt, PSAPI, SHELL32, |
| Exports: | 0 |
| Resources: | 9 |
Секції
| Назва | Віртуальна Адреса | Віртуальний Розмір | Реальний Розмір | MD5 | Ентропія |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00062000 | 0x00023a00 | dbff4434017588700b0ede0f7209341c | 8.00 |
| .sedata | 0x00063000 | 0x00156000 | 0x00156000 | f5caae93e379fc210f434e132e9f1baa | 7.61 |
| .idata | 0x001b9000 | 0x00001000 | 0x00000400 | 67786fd542da271930437f71f18cbd8f | 2.94 |
| .rsrc | 0x001ba000 | 0x00010000 | 0x0000f600 | 3e86772f326d107ed076f4049e4f540e | 7.53 |
| .sedata | 0x001ca000 | 0x00001000 | 0x00001000 | 708001cb8bc514428aebdbe7a9ea04ff | 7.98 |
