Neconfirmat 977073.crdownload Stealer Vidar - Звіт скану

Оновлено 1 year ago

Перевірено Malaware Check

Neconfirmat 977073.crdownload

Технічний аналіз

Ім'я файлу	Neconfirmat 977073.crdownload
Тип файлу	PE32+ executable (GUI) x86-64, for MS Windows
Версія сканера	1.0.172.174
Версія бази даних	2024-04-20 02:00:25 UTC

⚠

Spy.Win64.Vidar.tr

Сімейство шкідливого ПЗ: Vidar

Vidar є викрадачем інформації, який націлений як на особисті дані, так і на активи криптовалют. Працює через кейлогінг, вилучення даних та націлювання на гаманці криптовалют. Шкідливе ПЗ мовчки збирає цінну інформацію та може отримувати доступ до цифрових гаманців для переказу криптовалюти на контрольовані зловмисниками рахунки.

N/A

Рівень виявлення

4,539,272

Розмір файлу (байти)

2024-04-20

Дата аналізу

Сканувати інший файл

Ідентифікація файлу

Тип хешу	Значення	Дія
MD5	1a1c728fc6d1eb46d64dff3858488b42
SHA1	008194eb6a429096a745d205cc6eff2d05d709cf
SHA256	3c67ddeb2426bfd91144dd8ca4ec06ee20578105514ad629c830e194bfd65893
SHA512	b9e0095010c8e53bc7b8bc7e2b97e10da7a0cd4443758a44d82c7ffd7cc1e49b575fe3a5be832c02ac67d194ec45f97614c944ed731c819225088ca4230a4857
ImpHash	5842498648e6235b14c52019b9eb5c2b

PE-аналіз

Основна інформація

▼

Іконка	Хеш: 879c398be168801c7b1be4dcec09fdea Нечіткий: bf8b8a189605e51fbb680609ba2b00fd dHash: f8c4d4c8c8c4c0c1
Базова адреса	`0x140000000`
Точка входу	`0x14028d8b4`
Час компіляції	2023-02-03 19:53:27
Контрольна сума	0x00457869 (Фактична: 0x00457869)
Версія ОС	6.0
Підписи PEiD	`PE32+ executable (GUI) x86-64, for MS Windows`
Шлях PDB	`D:\Rizonesoft\Develop\Notepad3\Bin\Release_x64_v143\Notepad3.pdb`
Цифровий підпис	The expected hash does not match the digest in SpcInfo
Імпорти	12 бібліотек
Експорти	14 функцій
Ресурси	130 Ресурси
Секції	7 Секції

Інформація про версію

▼

Comments	Notepad3
FileDescription	Notepad3
InternalName	Notepad3
ProductName	Notepad3
CompanyName	© Rizonesoft
FileVersion	6.23.203.2
ProductVersion	6.23.203.2
LegalCopyright	Copyright © 2008-2023 Rizonesoft
OriginalFilename	Notepad3.exe
Translation	0x0409 0x04b0

PE-секції

▼

Назва	Віртуальна адреса	Віртуальний розмір	Фізичний розмір	Ентропія	Характеристики	MD5
`.text`	`0x00001000`	3,030,998 bytes	3,031,040 bytes	6.56 (Стиснуто)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`9B7BFC7FDACBBB819AF50C21A53278FD`
`.data`	`0x002e5000`	669,568 bytes	582,656 bytes	1.22 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`84130D4C56E1F27461F11BC25665720A`
`.pdata`	`0x00389000`	76,428 bytes	76,800 bytes	6.22 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`B3D674AFA034B2EC84A16CF6A3EEC2C2`
`.idata`	`0x0039c000`	18,836 bytes	18,944 bytes	4.87 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`F6E70D2D992F45650F9AA25FA553F89D`
`_RDATA`	`0x003a1000`	348 bytes	512 bytes	5.19 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`D7C278B64106389B67723546CD60DA12`
`.rsrc`	`0x003a2000`	799,608 bytes	799,744 bytes	5.05 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`D9E9B25262A2FE4C0E334D43BD16031C`
`.reloc`	`0x00466000`	17,528 bytes	17,920 bytes	5.42 (Нормально)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ`	`6B57BA00900B00F28A489179AFF455EF`

Попередження аналізу ентропії

1 секція(ї) з підвищеною ентропією (≥6.5) - можливе стиснення

Аналіз ресурсів

▼

Всього ресурсів: 130 (792,784 байтів)

Тип ресурсу	Кількість	Загальний розмір	Відсоток
RT_CURSOR	1	308 байтів	0%
RT_BITMAP	12	418,208 байтів	52.8%
RT_ICON	13	255,089 байтів	32.2%
RT_MENU	2	16,918 байтів	2.1%
RT_DIALOG	39	27,326 байтів	3.4%
RT_STRING	53	49,254 байтів	6.2%
RT_ACCELERATOR	3	1,736 байтів	0.2%
RT_RCDATA	1	20,279 байтів	2.6%
RT_GROUP_CURSOR	1	20 байтів	0%
RT_GROUP_ICON	3	200 байтів	0%
RT_VERSION	1	776 байтів	0.1%
RT_MANIFEST	1	2,670 байтів	0.3%

Аналіз ланцюга сертифікатів

▼

Немає цифрових підписів

Цей файл не має цифрового підпису.

Наслідки для безпеки:

Неможливо перевірити особу видавця
Підвищений ризик безпеки при запуску цього файлу
Може викликати попередження безпеки на деяких системах

⚠ Цей файл не має цифрового підпису або ланцюг сертифікатів не може бути перевірений.
Будьте обережні при запуску непідписаних файлів з невідомих джерел.

Статус перевірки сертифіката

The expected hash does not match the digest in SpcInfo

Рекомендація: Перевірте джерело файлу та переконайтеся, що він походить від надійного видавця.

Видалення Spy.Win64.Vidar.tr

Gridinsoft має можливість виявляти та видаляти Spy.Win64.Vidar.tr без подальшого втручання користувача.

Завантажити Anti-Malware

Інструкції з видалення

Виконайте ці кроки, щоб повністю видалити загрозу з вашої системи

Почніть з завантаження Gridinsoft Anti-Malware на ваш комп'ютер.
Двічі клацніть на файлі gsam-uk-install.exe і дотримуйтесь інструкцій на екрані для встановлення програми.
Після завершення встановлення Gridinsoft Anti-Malware, програма відкриється на екрані сканування.
Натисніть кнопку "Стандартне сканування", щоб почати сканування вашого комп'ютера на наявність загроз.
Після завершення процесу сканування натисніть "Очистити зараз", щоб видалити всі виявлені загрози.
Якщо буде запропоновано, перезавантажте систему, щоб завершити процес видалення та переконатися, що всі загрози усунено.

Важливо: Перед початком

Від'єднайтеся від інтернету, щоб запобігти поширенню шкідливого ПЗ або завантаженню додаткових загроз. Запустіть сканування в безпечному режимі для кращого виявлення та видалення стійких загроз.

Залишити коментар

Поділіться своїми думками або спостереженнями щодо цього файлу. Чи погоджуєтесь ви з нашим висновком?

* Ваш відгук може вплинути на наш рейтинг. Ваша електронна адреса залишиться конфіденційною і буде використана лише для зв'язку з вами за необхідності.

Ваша оцінка для

5 4 3 2 1