多許可證折扣報價

更改區域

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 汉语 漢語 한국어
威脅數據庫 惡意軟體 米米卡茨

米米卡茨

惡意軟體GoldSparrow
翻譯為:

儘管Mimikatz可以通過破壞Windows操作系統中確定的功能來使攻擊者訪問計算機,但它沒有被歸類為高風險工具。當計算機受到Mimikatz攻擊時,其控制器可以將DLL注入隨機進程,導出安全證書,從Windows恢復純文本密碼,禁用某些登錄名和安全服務,擦除某些特權並逃避一些組策略設置。

如果您懷疑Mimikatz可能感染了您的計算機,則有一種簡單的檢查方法:使用專用的掃描儀,因為它可以檢測並刪除Mimikatz。但是,如果您沒有受到感染,並希望採取措施避免感染,則可以實施一些策略,例如檢查來自未知發件人的電子郵件的來源和可靠性,在共享文件時要謹慎,不要共享給其他人。有關即時通訊工具的大量信息,這些信息可以防止無數問題,包括被更嚴重的威脅所感染。

分析报告

一般信息

Family Name: Trojan.Mimikatz
Signature status: No Signature

Known Samples

MD5: 11ecb568da9cd1ff8d060914e85ff4bf
SHA1: 8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4
SHA256: B2F9055DFD172B1C11BA01C121D3C37F27B3E48827D4562659796F8D4DFD4DF6
文件大小: 1.19 MB, 1185280 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have resources
  • File doesn't have security information
  • File has exports table
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
Show More
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Traits

  • CryptUnprotectData
  • dll
  • HighEntropy
  • ntdll
  • VirtualQueryEx
  • WriteProcessMemory
  • x86

Block Information

Total Blocks: 3,727
Potentially Malicious Blocks: 232
Whitelisted Blocks: 2,255
Unknown Blocks: 1,240

Visual Map

x x ? ? ? ? 0 1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? 0 ? 0 0 0 ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? 0 ? ? x 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? x 0 ? ? ? 0 ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? x 0 x x 0 x 0 x 0 ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? 0 ? ? 0 ? ? 0 ? ? ? 0 0 0 ? ? ? ? ? ? 0 ? ? 0 ? ? ? 0 ? ? 0 0 0 0 0 0 0 ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? x ? ? ? ? ? ? ? ? ? ? ? x ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? ? ? 0 ? ? ? ? ? ? ? x 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? ? ? ? ? ? ? ? ? ? ? 0 0 0 ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x x 0 ? 0 ? 0 ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 0 0 0 ? ? ? 0 1 0 x x 0 0 0 ? x x 0 x 0 ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? 0 0 ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x x ? 0 ? ? ? ? 0 0 ? ? ? 0 ? 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? 0 ? ? ? ? ? x 0 ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? 0 ? ? ? 0 ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? 0 ? ? 0 ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 ? 0 ? 0 ? ? ? ? ? ? ? 0 ? ? x ? ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? ? ? x 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 ? 0 0 0 0 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 0 0 0 0 0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x ? x x x ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? x x ? ? ? ? x 0 ? ? 0 ? ? ? ? ? ? 0 x 0 ? ? ? ? 0 0 ? ? ? ? ? ? ? ? x ? 0 0 ? 0 0 ? 0 x 0 ? ? 0 0 0 ? 0 0 0 0 x ? 0 ? ? ? ? ? ? 0 ? ? ? ? ? ? ? ? ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x x 0 0 ? ? 0 ? 0 x 0 0 0 1 1 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 ? 0 x 0 0 ? ? 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 1 ? 0 0 0 ? 0 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 x ? x 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 x x 0 0 0 0 x x 0 0 0 0 x ? 0 0 ? ? 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 x 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 0 0 0 x x 0 0 1 0 0 ? 0 0 0 1 0 0 0 0 0 0 ? x 0 0 0 ? 0 0 0 0 ? ? 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 1 1 0 0 ? 0 0 0 0 0 x ? 0 0 0 0 0 0 1 x 0 1 1 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 x 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 ? 0 0 ? ? ? ? 0 ? ? 0 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 x 0 0 0 0 2 0 0 0 0 ? 0 0 0 0 0 0 ? 0 ? 0 0 0 0 ? 0 0 ? ? 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 ? ? ? 0 0 x 0 0 x 0 0 ? ? 0 0 0 0 ? ? 0 ? 0 ? x ? ? 0 0 0 0 0 x 0 0 1 x 0 0 0 0 0 0 ? ? ? ? 0 0 0 0 ? 0 0 0 0 0 ? 0 0 0 0 0 0 x 0 ? 0 ? x 0 0 0 0 ? ? ? ? 0 0 0 ? 0 1 1 0 0 ? 0 0 0 0 0 0 0 ? 0 ? 0 ? ? 0 0 0 0 0 x ? ? 0 0 ? 0 0 0 0 ? ? 0 ? 0 0 0 ? 0 0 x ? 0 ? 0 0 0 x 0 0 ? 0 0 0 0 0 x 0 0 0 ? 0 ? 0 ? 0 ? ? ? 0 0 0 0 0 ? 0 0 ? x 0 ? 0 0 0 0 0 0 0 0 0 ? ? ? 0 ? 0 0 0 0 ? 0 ? ? ? 0 ? 0 x ? 0 0 0 0 0 0 0 0 0 ? 0 ? 0 0 ? ? ? 0 x 0 0 0 0 x 0 0 0 0 0 0 0 ? ? 0 0 0 0 ? ? 0 0 0 x 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 0 0 0 0 0 0 x 0 0 ? ? 0 0 ? 0 ? ? 0 0 0 x 0 0 ? 0 x ? ? 0 0 0 ? 0 0 0 ? 0 0 0 x x ? 0 0 0 0 0 0 0 0 0 x 0 0 0 0 0 0 0 0 0 0 0 ? 0 0 0 x 0 0 x 0 0 0 ? ? 0 ? 0 0 0 ? 0 0 0 x 0 0 x ? 0 x x 0 0 0 0 x 0 0 0 0 x 0 ? 0 0 ? 0 ? ? ? ? ? 0 x x 0 0 x 0 0 ? 0 0 0 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 x 0 0 0 0 0 0 0 0 ? x ? 0 0 ? 0 0 0 x ? ? 0 0 0 0 0 0 ? 0 0 0 0 0 0 0 0 ?
... Data truncated
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtClose
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtProtectVirtualMemory
Show More
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWriteFile
  • ntdll.dll!NtWriteVirtualMemory
  • win32u.dll!NtUserGetKeyboardLayout
  • win32u.dll!NtUserGetThreadState
Process Shell Execute
  • CreateProcess
Anti Debug
  • NtQuerySystemInformation

Shell Command Execution

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4_0001185280.,LiQMAxHB

熱門

您的郵箱版本將停止使用騙局

網路釣魚, 垃圾郵件
網路詐騙者不斷開發新伎倆來欺騙用戶並竊取寶貴資料。 「您的信箱版本將停用」騙局就是一個例子,這是一種網路釣魚活動,旨在從毫無戒心的受害者那裡獲取登入憑證。網路安全專家警告說,這些詐欺資訊與任何合法公司、組織或服務提供者均無關聯。 偽裝成服務警報的欺騙性電子郵件 詐騙始於一封精心設計的電子郵件,偽裝成來自信譽良好的電子郵件服務提供者。該郵件警告收件人,他們的郵箱版本即將停用,如果不迅速採取行動,他們的電子郵件帳戶將被停用或關閉。該郵件通常提及服務協議或隱私權政策的變更,並帶有一個標有「繼續使用新版本」的按鈕。 雖然這些資訊乍看之下很真實,但其實完全是捏造的。詐騙者的目的是煽動恐慌和緊迫感,迫使用戶毫不猶豫地點擊惡意連結。 陷阱:詐騙登入頁面 當受害者點擊該按鈕時,他們會被重新導向到一個與合法登入頁面完美模仿的虛假 Gmail...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
53,893
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...

Discord 卡在灰色屏幕上

問題
40,886
有時,在使用 Discord 應用程序時,用戶可能會卡在灰色屏幕上。在流式傳輸或簡單地加載應用程序時可能會出現此問題。如果您遇到這種情況並且想知道如何解決它,請嘗試以下解決方案。 在屏幕模式之間切換 如果原因是視覺故障而不是更嚴重的問題,從一種屏幕模式切換到另一種屏幕模式,例如啟用全屏模式或較小的屏幕選項,可以解決問題。按鍵盤上的 Ctrl+A 看看它是否有任何效果。 刪除 Discord...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
39,560
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...