Medellin_a64.exe Trojan CobaltStrike Análisis

Actualizado 1 year ago

Verificado por Malware Check

medellin_a64.exe

Análisis Técnico

Nombre del Archivo	medellin_a64.exe
Tipo de Archivo	PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows
Versión del Escáner	1.0.168.174
Versión de la Base de Datos	2024-03-02 00:00:14 UTC

⚠

Trojan.Win64.CobaltStrike.tr

Familia de malware: CobaltStrike

Cobalt Strike es un framework de pruebas de penetración que despliega el agente Beacon para control del sistema. Aunque diseñado para pruebas de seguridad legítimas, proporciona ejecución de comandos, keylogging, transferencia de archivos, escalación de privilegios y capacidades de movimiento lateral. La herramienta opera en memoria para evitar detección basada en disco y soporta múltiples protocolos de comunicación.

N/A

Tasa de Detección

19,456

Tamaño del Archivo (bytes)

2024-03-02

Fecha de Análisis

Escanear Otro Archivo

Identificación del Archivo

Tipo de Hash	Valor	Acción
MD5	02e9c672ea01108f756a99fce1565d13
SHA1	3bb4fa1d09facebca7020a6ea106349bfe3cd732
SHA256	e537a0e18d56805e3c516ad561030e78cc85164df51ee9a0d4df0f51d83c6806
SHA512	0c3d987bea551145ee1f0b215163dd30ac4f80747cefc4435b9bf745a0bd6692cd547dfcf0e744aa40ad2f42b6ae39fdda41965dba228d3305d7977e55c94bce
ImpHash	147442e63270e287ed57d33257638324

Análisis PE

Información Básica

▼

Base de Imagen	`0x00400000`
Punto de Entrada	`0x004014c0`
Tiempo de Compilación	1970-01-01 00:00:00
Suma de Verificación	0x0000969b (Real: 0x0000969b)
Versión del SO	4.0
Firmas PEiD	`PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows`
Firma Digital	The PE file does not contain a certificate table.
Importaciones	2 bibliotecas KERNEL32, msvcrt
Exportaciones	0 funciones
Recursos	0 Recursos
Secciones	9 Secciones

Secciones PE

▼

Nombre	Dirección Virtual	Tamaño Virtual	Tamaño Bruto	Entropía	Características	MD5
`.text`	`0x00001000`	8,360 bytes	8,704 bytes	5.92 (Normal)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_16BYTES`	`3040BA596609D0F7BA50AC030468B13E`
`.data`	`0x00004000`	1,264 bytes	1,536 bytes	5.82 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE\|IMAGE_SCN_ALIGN_32BYTES`	`609326129F49CDC37213AE90BDFEF8B0`
`.rdata`	`0x00005000`	2,320 bytes	2,560 bytes	4.47 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_32BYTES`	`B02C91451E7ABAD85F4A5BBE48FD6333`
`.pdata`	`0x00006000`	696 bytes	1,024 bytes	2.97 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_4BYTES`	`AD5EC754CF0E204A3A3C39436081F3BC`
`.xdata`	`0x00007000`	568 bytes	1,024 bytes	2.63 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_ALIGN_4BYTES`	`6CE9E303FB86766D702ECB2B174CF348`
`.bss`	`0x00008000`	2,512 bytes	0 bytes	0.00 (Normal)	`IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE\|IMAGE_SCN_ALIGN_32BYTES`	`D41D8CD98F00B204E9800998ECF8427E`
`.idata`	`0x00009000`	2,264 bytes	2,560 bytes	3.71 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE\|IMAGE_SCN_ALIGN_4BYTES`	`EC8DEDB62953693CF02784F71F75D547`
`.CRT`	`0x0000a000`	104 bytes	512 bytes	0.27 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE\|IMAGE_SCN_ALIGN_8BYTES`	`52D79E9AECF5D5C3145D3EC54AA197A8`
`.tls`	`0x0000b000`	16 bytes	512 bytes	0.00 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE\|IMAGE_SCN_ALIGN_8BYTES`	`BF619EAC0CDF3F68D496EA9344137E8B`

Análisis de la Cadena de Certificados

▼

Sin Firmas Digitales

Este archivo no está firmado digitalmente.

Implicaciones de Seguridad:

No se puede verificar la identidad del editor
Mayor riesgo de seguridad al ejecutar este archivo
Puede activar advertencias de seguridad en algunos sistemas

⚠ Este archivo carece de firma digital o la cadena de certificados no pudo ser verificada.
Tenga precaución al ejecutar archivos sin firmar de fuentes desconocidas.

Estado de Verificación del Certificado

The PE file does not contain a certificate table.

Recomendación: Verifique la fuente del archivo y asegúrese de que provenga de un editor confiable.

Eliminación de Trojan.Win64.CobaltStrike.tr

Gridinsoft tiene la capacidad de identificar y eliminar Trojan.Win64.CobaltStrike.tr sin requerir intervención adicional del usuario.

Descargar Anti-Malware

Instrucciones de Eliminación

Siga estos pasos para eliminar completamente la amenaza de su sistema

Comience descargando Gridinsoft Anti-Malware en su computadora.
Haga doble clic en el archivo gsam-es-install.exe y siga las instrucciones en pantalla para instalar el programa.
Una vez completada la instalación de Gridinsoft Anti-Malware, el programa se abrirá en la pantalla de escaneo.
Haga clic en el botón "Escaneo Estándar" para comenzar a escanear su computadora en busca de amenazas.
Después de que termine el proceso de escaneo, haga clic en "Limpiar Ahora" para eliminar cualquier amenaza detectada.
Si se le solicita, reinicie su sistema para completar el proceso de eliminación y asegurarse de que todas las amenazas sean eliminadas.

Importante: Antes de Comenzar

Desconéctese de Internet para evitar que el malware se propague o descargue amenazas adicionales. Ejecute el escaneo en Modo Seguro para una mejor detección y eliminación de amenazas persistentes.

Dejar un Comentario

Comparta sus pensamientos o ideas sobre este archivo. ¿Está de acuerdo con nuestra conclusión?

* Sus comentarios podrían influir en nuestra calificación, y tenga la seguridad de que su correo electrónico permanecerá confidencial y solo se utilizará para comunicarnos con usted si es necesario.

Su Puntuación para

5 4 3 2 1