Uploaded_file Trojan CobaltStrike Malware-Analyse

Aktualisiert 2 years ago

Geprüft von Malware Check

uploaded_file

Technische Analyse

Dateiname	uploaded_file
Dateityp	PE32+ executable (GUI) x86-64, for MS Windows
Scanner-Version	1.0.138.174
Datenbankversion	2023-09-10 23:01:43 UTC

⚠

Trojan.Win64.CobaltStrike.bot

Malware-Familie: CobaltStrike

Cobalt Strike ist ein Penetrationstesting-Framework, das den Beacon-Agent für Systemkontrolle einsetzt. Obwohl für legitime Sicherheitstests entwickelt, bietet es Befehlsausführung, Keylogging, Dateiübertragung, Privilegienerweiterung und laterale Bewegungsfähigkeiten. Das Tool arbeitet im Speicher, um festplattenbasierte Erkennung zu vermeiden und unterstützt mehrere Kommunikationsprotokolle.

N/A

Erkennungsrate

11,810,948

Dateigröße (Bytes)

2023-09-11

Analysedatum

Weitere Datei scannen

Dateiidentifikation

Hash-Typ	Wert	Aktion
MD5	964eeda03f4939d3eff1e45b91ec7e95
SHA1	08f51656b95ddd46897f49fcc1d4df63ff02ff48
SHA256	38e521776834af49ce316afbfa35ed493baf2aa14eaf2cd30bc917154734daef
SHA512	5c93f5d752ea1ae2a61e94a35432e594d7ee65eadf7cd2d9728a5a78c763e8a7a83d6c4e484b5a62fdcb8979b55e10e6e5368e7e0469e462e060974c2484e353
ImpHash	66c3b0658aee8083a055771d8886e0ab

PE-Analyse

Grundlegende Informationen

▼

Symbol	Hash: 99f8909119f22355b3423d4cad169539 Unscharf: c5a2ab820da81f9db77abd76bbd9764e dHash: c6c2ccc4f4e0e0f8
Bildbasis	`0x140000000`
Einstiegspunkt	`0x1401b5cc8`
Kompilierungszeit	2023-09-08 01:17:01
Prüfsumme	0x00b52388 (Tatsächlich: 0x00b52388)
OS-Version	5.2
PEiD-Signaturen	`PE32+ executable (GUI) x86-64, for MS Windows`
Digitale Signatur	The PE file does not contain a certificate table.
Importe	9 Bibliotheken USER32, COMCTL32, KERNEL32, ADVAPI32, GDI32, IPHLPAPI, msvcrt, PSAPI, SHELL32
Exporte	0 Funktionen
Ressourcen	9 Ressourcen
Abschnitte	5 Abschnitte

PE-Abschnitte

▼

Name	Virtuelle Adresse	Virtuelle Größe	Rohgröße	Entropie	Eigenschaften	MD5
`.text`	`0x00001000`	401,408 bytes	145,920 bytes	8.00 (Gepackt/Verschlüsselt)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`DBFF4434017588700B0EDE0F7209341C`
`.sedata`	`0x00063000`	1,400,832 bytes	1,400,832 bytes	7.61 (Gepackt/Verschlüsselt)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`F5CAAE93E379FC210F434E132E9F1BAA`
`.idata`	`0x001b9000`	4,096 bytes	1,024 bytes	2.94 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`67786FD542DA271930437F71F18CBD8F`
`.rsrc`	`0x001ba000`	65,536 bytes	62,976 bytes	7.53 (Gepackt/Verschlüsselt)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`3E86772F326D107ED076F4049E4F540E`
`.sedata`	`0x001ca000`	4,096 bytes	4,096 bytes	7.98 (Gepackt/Verschlüsselt)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`708001CB8BC514428AEBDBE7A9EA04FF`

Entropie-Analyse-Warnung

4 Abschnitt(e) mit hoher Entropie (≥7.5) erkannt - mögliche Packung/Verschlüsselung

Ressourcenanalyse

▼

Gesamtressourcen: 9 (62,098 Bytes)

Ressourcentyp	Anzahl	Gesamtgröße	Prozentsatz
RT_ICON	7	60,572 Bytes	97.5%
RT_GROUP_ICON	1	104 Bytes	0.2%
RT_MANIFEST	1	1,422 Bytes	2.3%

Zertifikatsketten-Analyse

▼

Keine digitalen Signaturen

Diese Datei ist nicht digital signiert.

Sicherheitsauswirkungen:

Kann die Identität des Herausgebers nicht verifizieren
Erhöhtes Sicherheitsrisiko beim Ausführen dieser Datei
Kann Sicherheitswarnungen auf einigen Systemen auslösen

⚠ Diese Datei hat entweder keine digitale Signatur oder die Zertifikatskette konnte nicht verifiziert werden.
Seien Sie vorsichtig beim Ausführen unsignierter Dateien aus unbekannten Quellen.

Zertifikat-Verifizierungsstatus

The PE file does not contain a certificate table.

Empfehlung: Überprüfen Sie die Dateiquelle und stellen Sie sicher, dass sie von einem vertrauenswürdigen Herausgeber stammt.

Trojan.Win64.CobaltStrike.bot Entfernung

Gridinsoft hat die Fähigkeit, Trojan.Win64.CobaltStrike.bot zu identifizieren und ohne weitere Benutzereingriffe zu entfernen.

Anti-Malware herunterladen

Entfernungsanweisungen

Befolgen Sie diese Schritte, um die Bedrohung vollständig von Ihrem System zu entfernen

Beginnen Sie mit dem Herunterladen von Gridinsoft Anti-Malware auf Ihren Computer.
Doppelklicken Sie auf die Datei gsam-de-install.exe und folgen Sie den Anweisungen auf dem Bildschirm, um das Programm zu installieren.
Nach Abschluss der Installation von Gridinsoft Anti-Malware öffnet sich das Programm auf dem Scan-Bildschirm.
Klicken Sie auf die Schaltfläche "Standard-Scan", um mit dem Scannen Ihres Computers nach Bedrohungen zu beginnen.
Nachdem der Scanvorgang abgeschlossen ist, klicken Sie auf "Jetzt bereinigen", um alle erkannten Bedrohungen zu entfernen.
Wenn Sie dazu aufgefordert werden, starten Sie Ihr System neu, um den Entfernungsprozess abzuschließen und sicherzustellen, dass alle Bedrohungen beseitigt wurden.

Wichtig: Bevor Sie beginnen

Trennen Sie die Internetverbindung, um zu verhindern, dass sich die Malware ausbreitet oder zusätzliche Bedrohungen herunterlädt. Führen Sie den Scan im abgesicherten Modus durch, um hartnäckige Bedrohungen besser zu erkennen und zu entfernen.

Kommentar hinterlassen

Teilen Sie Ihre Gedanken oder Erkenntnisse zu dieser Datei. Stimmen Sie mit unserer Schlussfolgerung überein?

Ihr Feedback könnte unsere Bewertung beeinflussen. Ihre E-Mail bleibt vertraulich und wird nur verwendet, um Sie bei Bedarf zu kontaktieren.

Ihre Bewertung für

5 4 3 2 1