Trojan CobaltStrike - Звіт скану
| Онлайн-сканер вірусів | v.1.0.138.174 |
| Версія БД: | 2023-09-12 12:04:41 |
Trojan.Win64.CobaltStrike.bot
Cobalt Strike - це платний інструмент для пенетраційного тестування, який використовується професіоналами з безпеки для розгортання агента під назвою 'Beacon' на системі цільової атаки. Beacon надає різні функції оператору, включаючи виконання команд, логування натискань клавіш, передачу файлів, SOCKS-проксі, підняття привілеїв, mimikatz, сканування портів та боковий рух. Beacon працює в пам'яті і не зберігається на диску, завантажуючись у пам'ять процесу після використання вразливостей або виконання завантажувача для кодування shellcode, уникнувши зберігання на диску. Він підтримує комунікацію і стадіювання через кілька протоколів, включаючи HTTP, HTTPS, DNS, SMB з іменованими каналами та обидві прямі та зворотні TCP-з'єднання, з можливістю ланцюгування. Крім того, Cobalt Strike включає в себе набір засобів Artifact Kit для створення завантажувачів shellcode.
| Перевірено | 2023-09-12 13:24:58 |
| MD5 | 791221dc928aac8ba1f386e8f14e1003 |
| SHA1 | e6a5956b9548a7f797ea9f153ce8d7f7cdd09a4c |
| SHA256 | 67075d91ffc50bc02bde4e68038648232b2efdd567de02f03d319833e1fe1994 |
| SHA512 | 771931099f095d3e85c9771a8542a5ab0d39d856b90380e597a36ea56478d14ec6fa6cb924d377fa8cb2e04796cc721279bc1425f5d7e55ce9bba3bf20daad49 |
| Imphash | c5640c7a22008f949f9bc94a27623f95 |
| File Size | 5544686 bytes |
Видалення Trojan.Win64.CobaltStrike.bot
Gridinsoft має можливість виявляти та видаляти Trojan.Win64.CobaltStrike.bot без подальшого втручання користувача.
- Спочатку завантажте Gridinsoft Anti-Malware на свій комп'ютер.
- Подвійно клацніть по файлу gsam-uk-install.exe і слідуйте інструкціям на екрані для встановлення програми.
- Після завершення установки Gridinsoft Anti-Malware програма відкриється на екрані сканування.
- Клацніть кнопку "Стандартне".
- Після завершення процесу сканування клацніть "Очистити" для видалення виявлених загроз.
- Якщо вас попросять, перезавантажте систему, щоб завершити процес видалення.
Інформація про файл (PE)
 |
99f8909119f22355b3423d4cad169539 c5a2ab820da81f9db77abd76bbd9764e c6c2ccc4f4e0e0f8 |
| Image Base: | 0x140000000 |
| Entry Point: | 0x14000a8c8 |
| Compilation: | 2023-09-12 06:21:47 |
| Checksum: | 0x005500b3 (Actual: 0x005500b3) |
| OS Version: | 5.2 |
| PEiD: | PE32+ executable (GUI) x86-64, for MS Windows |
| Sign: | The PE file does not contain a certificate table. |
| Sections: | 7 |
| Imports: | USER32, COMCTL32, KERNEL32, ADVAPI32, GDI32, |
| Exports: | 0 |
| Resources: | 9 |
Секції
| Назва | Віртуальна Адреса | Віртуальний Розмір | Реальний Розмір | MD5 | Ентропія |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x000235d0 | 0x00023600 | 050ad070d74c0ab2baca6ee9c3b61b5d | 6.47 |
| .rdata | 0x00025000 | 0x00011898 | 0x00011a00 | 63654e9513aedb42dfb00f4eff869e8b | 5.71 |
| .data | 0x00037000 | 0x00010398 | 0x00000c00 | b88590ca230f956ba7b5bffcbee69475 | 1.86 |
| .pdata | 0x00048000 | 0x00001de8 | 0x00001e00 | 626ab1518bc3687e03dacd39bbfde649 | 5.39 |
| _RDATA | 0x0004a000 | 0x000000f4 | 0x00000200 | 3fa4bb815d2865eb13ca6b140ccf210f | 1.96 |
| .rsrc | 0x0004b000 | 0x0000f4a0 | 0x0000f600 | 2784d91522dc6ad4eda29c0cce594c90 | 7.56 |
| .reloc | 0x0005b000 | 0x00000748 | 0x00000800 | ab10229e6319ea5b4dde9f2a80ec60f0 | 5.22 |
