Gridinsoft Logo

Rapport d'analyse de wuauclt.exe (Windows Modules Installer Worker)

Mis à jour 1 year ago
Vérifié par Malware Check
wuauclt.exe

Analyse technique

Nom du fichier wuauclt.exe
Type de fichier
Win32 EXE
Octets magiques PE32+ executable for MS Windows (console) Mono/.Net assembly
Hachage SSDEEP
196608:W1QKjDOnfEgQWsZSonfCwav0IvJkyvlcnUoGDjHRh9tuFREkf9NCq8:WgfpQ17nfvav9Jl9cUBRh8Tf94q8
Version du scanner 1.0.167.174
Version de la base de données 2024-02-22 21:00:14 UTC

Fichier suspect détecté

Détecté par 44 moteurs de sécurité - prudence requise

Ce fichier nécessite une vérification supplémentaire pour détecter d'éventuelles menaces. En fonction des indicateurs suspects, nous l'ajouterons bientôt à notre base de données de virus.
63%
Taux de détection
12,992,440
Taille du fichier (octets)
44/70
Moteurs détectés
2024-02-22
Date d'analyse

Scanner un autre fichier

Identification du fichier

Type de hachage Valeur Action
MD5
ab0c7aeebe3a71f2324615c12306648e
SHA1
f3bb425509f881ac7da10980f44d5fc16241949c
SHA256
bdd7c041d93290c529464f17895a2fcb37a87ba4e08abafe4325e9eeebed4227
SHA512
8a9eac4f24960f7123b5cc8cc78b64c875be321a5a8d8c6cc375936b7100111241b747abbb2709db455ed19eb0827130a533ecb757efee8260a9ae87130c4db5
ImpHash
9899b6042bb52067ae3b0d0ebfd1b2ed

Moteurs de sécurité avec détections (44 sur 70)

Lionic
Trojan.Win32.Miner.4!c Malicious
AVG
FileRepMalware Malicious
Elastic
malicious (high confidence) Malicious
DrWeb
Tool.BtcMine.2548 Malicious
Malwarebytes
Trojan.BitCoinMiner Malicious
Sangfor
Trojan.Win64.XMR.Miner Malicious
Cybereason
malicious.509f88 Malicious
Symantec
ML.Attribute.HighConfidence Malicious
ESET-NOD32
Win64/CoinMiner.AEW Malicious
Cynet
Malicious (score: 100) Malicious
APEX
Malicious Malicious
Paloalto
generic.ml Malicious
ClamAV
Win.Coinminer.Generic-7151250-0 Malicious
Kaspersky
HEUR:Trojan.Win32.Miner.gen Malicious
Alibaba
Trojan:Win64/CoinMiner.5f8aff29 Malicious
Rising
HackTool.CoinMiner!8.F154 (TFE:5:GRT5r7usHCJ) Malicious
Sophos
Generic Reputation PUA (PUA) Malicious
F-Secure
Heuristic.HEUR/AGEN.1249459 Malicious
Zillya
Trojan.Miner.Win32.12742 Malicious
TrendMicro
TROJ_GEN.R007C0DIG21 Malicious
McAfee-GW-Edition
Artemis!Trojan Malicious
FireEye
Generic.mg.ab0c7aeebe3a71f2 Malicious
Ikarus
Trojan.Win64.Vmprotect Malicious
GData
Win32.Malware.Coinminer.48USP9 Malicious
Jiangmin
Trojan.Miner.pgu Malicious
Webroot
W32.Malware.Gen Malicious
Avira
HEUR/AGEN.1249459 Malicious
Antiy-AVL
GrayWare/Win64.CoinMiner.xmr Malicious
Arcabit
Application.CoinMiner Malicious
ZoneAlarm
not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen Malicious
Microsoft
Trojan:Win64/CoinMiner.XD Malicious
Google
Detected Malicious
AhnLab-V3
Trojan/Win.Miner.C4462870 Malicious
McAfee
Artemis!AB0C7AEEBE3A Malicious
VBA32
Trojan.Miner Malicious
Cylance
Unsafe Malicious
Panda
Trj/CI.A Malicious
TrendMicro-HouseCall
TROJ_GEN.R007C0DIG21 Malicious
Tencent
Risktool.Win64.Bitminer.16000063 Malicious
Yandex
Trojan.Miner!9NnososCYSY Malicious
SentinelOne
Static AI - Suspicious PE Malicious
Fortinet
Riskware/CoinMiner Malicious
Avast
FileRepMalware Malicious
CrowdStrike
win/malicious_confidence_100% (W) Malicious
26 moteurs n'ont signalé aucune menace - Seuls les moteurs avec détections sont affichés pour plus de clarté

Analyse PE

Informations de base

Base d'image 0x00400000
Point d'entrée 0x0114967e
Heure de compilation 2021-04-23 12:58:08
Somme de contrôle 0x00c6628a (Réel: 0x00c6628a)
Version OS 5.2
Signatures PEiD PE32+ executable (console) x86-64 (stripped to external PDB), for MS Windows
Signature numérique Chain verification from CN=Microsoft Corporation, O=Microsoft Corporation, C=US (serial:1, sha1:e1f40bacc4610a5fc3dee1315dfb2eb6e9084c53) failed: The X.509 certificate provided is self-signed - "Common Name: Microsoft Corporation, Organization: Microsoft Corporation, Country: US"
Importations 10 bibliothèques
ADVAPI32, CRYPT32, IPHLPAPI, KERNEL32, msvcrt, SHELL32, USER32, USERENV, WS2_32, WTSAPI32
Exportations 0 fonctions
Ressources 2 Ressources
Sections 12 Sections

Informations de version

CompanyName Microsoft Corporation
FileDescription Windows Modules Installer Worker
FileVersion 10.0.17134.136 (WinBuild.160101.0800)
InternalName TiWorker.exe
LegalCopyright © Microsoft Corporation. All rights reserved.
OriginalFilename TiWorker.exe
ProductName Microsoft® Windows® Operating System
ProductVersion 10.0.17134.136
Translation 0x0409 0x04b0

Sections PE

Nom Adresse virtuelle Taille virtuelle Taille brute Entropie Caractéristiques MD5
.text 0x00001000 5,528,696 bytes 5,529,600 bytes 6.46 (Normal) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4096BYTES C7D5C19625CF9B6DF731CFD59E64C3A4
.data 0x00547000 65,952 bytes 66,048 bytes 3.12 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_64BYTES 4C71F02332C7284926A7D3AC66AEA1D9
.rdata 0x00558000 1,154,176 bytes 1,154,560 bytes 5.96 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_64BYTES CD924F8FC9FC99E870DDB5CB45026A6B
.pdata 0x00672000 184,860 bytes 185,344 bytes 7.99 (Compressé/Chiffré) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES B559D6476B4A5DF6B9AE8B56C0514B6F
.xdata 0x006a0000 229,796 bytes 229,888 bytes 5.04 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_8BYTES 76C0AE2A27527C827D6E00B8DC70C8AF
.bss 0x006d9000 3,292,512 bytes 0 bytes 0.00 (Normal) IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_64BYTES D41D8CD98F00B204E9800998ECF8427E
.idata 0x009fd000 17,824 bytes 17,920 bytes 7.63 (Compressé/Chiffré) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES E84468D0B0F4EC7EC091897373C991DD
.CRT 0x00a02000 112 bytes 512 bytes 0.32 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES 19BF54D721A05C0DE5DF188DBD4BA896
.tls 0x00a03000 16 bytes 512 bytes 0.00 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES BF619EAC0CDF3F68D496EA9344137E8B
.datam0 0x00a04000 3,211,236 bytes 3,211,264 bytes 7.62 (Compressé/Chiffré) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 35A4C2416AA3CD94149DEAE51388F313
.datam1 0x00d14000 2,578,836 bytes 2,578,944 bytes 7.57 (Compressé/Chiffré) IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 965AC7B40F9E72EC2AD0F765C0385EB8
.rsrc 0x00f8a000 2,271 bytes 2,560 bytes 4.44 (Normal) IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES 284E86010C9BE54539171FC3876D6E97
Alerte d'analyse d'entropie

4 section(s) avec entropie élevée (≥7.5) détectée(s) - compression/chiffrement possible

Analyse des ressources

Total des ressources: 2 (2,111 octets)
Type de ressource Nombre Taille totale Pourcentage
RT_VERSION 1 944 octets
44.7%
RT_MANIFEST 1 1,167 octets
55.3%

Analyse de la chaîne de certificats

Certificat Information
Produit Microsoft® Windows® Operating System
Description Windows Modules Installer Worker
Version du fichier 10.0.17134.136 (WinBuild.160101.0800)
Nom original TiWorker.exe
Date de signature 02:48 PM 05/07/2021 (1503 jours)
Statut de vérification A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Signataires Microsoft Corporation
Nom interne TiWorker.exe
Copyright © Microsoft Corporation. All rights reserved.
Résumé de la chaîne de certificats
DigiCert Timestamp 2021 #1 Principal
Période de validité: 2021-01-01 00:00:00 → 2031-01-06 00:00:00
Algorithme de signature: sha256RSA
Numéro de série: 0D 42 4A E0 BE 3A 88 FF 60 40 21 CE 14 00 F0 DD
Microsoft Corporation #2 Chaîne
Période de validité: 2019-04-14 22:00:57 → 2022-04-13 22:00:57
Algorithme de signature: sha256RSA
Numéro de série: 01
DigiCert SHA2 Assured ID Timestamping CA #3 Chaîne
Période de validité: 2016-01-07 12:00:00 → 2031-01-07 12:00:00
Algorithme de signature: sha256RSA
Numéro de série: 0A A1 25 D6 D6 32 1B 7E 41 E4 05 DA 36 97 C2 15
Symantec SHA256 TimeStamping CA #4 Chaîne
Période de validité: 2016-01-12 00:00:00 → 2031-01-11 23:59:59
Algorithme de signature: sha256RSA
Numéro de série: 7B 05 B1 D4 49 68 51 44 F7 C9 89 D2 9C 19 9D 12
Symantec SHA256 TimeStamping Signer - G3 #5 Chaîne
Période de validité: 2017-12-23 00:00:00 → 2029-03-22 23:59:59
Algorithme de signature: sha256RSA
Numéro de série: 7B D4 E5 AF BA CC 07 3F A1 01 23 04 22 41 4D 12

✓ Ce fichier a été signé numériquement et la chaîne de certificats a été vérifiée.

  • La signature garantit l'intégrité et l'authenticité du fichier de l'éditeur.
  • L'horodatage prouve quand la signature a été appliquée.
Statut de vérification du certificat

Chain verification from CN=Microsoft Corporation, O=Microsoft Corporation, C=US (serial:1, sha1:e1f40bacc4610a5fc3dee1315dfb2eb6e9084c53) failed: The X.509 certificate provided is self-signed - "Common Name: Microsoft Corporation, Organization: Microsoft Corporation, Country: US"

Recommandation: Vérifiez la source du fichier et assurez-vous qu'il provient d'un éditeur de confiance.

Rappelez-vous : ceci est le résultat de l'analyseur de virus en ligne

Gridinsoft Anti-Malware dispose d'un moteur d'analyse de virus beaucoup plus puissant. Nous vous recommandons de l'utiliser pour un diagnostic plus précis des systèmes infectés. Ce bref guide vous aidera à installer notre produit phare pour des diagnostics plus précis :

Télécharger Anti-Malware

Protégez votre système

Ce fichier semble propre, mais la maintenance régulière de la sécurité est importante

  1. Analyses régulières : Effectuez des analyses système hebdomadaires pour détecter les nouvelles menaces avant qu'elles ne puissent causer des dommages.
  2. Gardez les logiciels à jour : Assurez-vous que votre système d'exploitation et toutes les applications disposent des derniers correctifs de sécurité.
  3. Navigation sécurisée : Évitez les sites Web suspects et ne téléchargez jamais de logiciels provenant de sources non fiables.
  4. Sécurité des e-mails : Soyez prudent avec les pièces jointes et les liens des e-mails, même provenant de contacts connus.
Protection proactive
44 moteurs antivirus ont détecté des menaces potentielles. Il pourrait s'agir d'un faux positif, en particulier pour les outils système ou les logiciels compressés. Vérifiez la source du fichier et vérifiez s'il est signé numériquement par un éditeur de confiance.

Laisser un commentaire

Partagez vos réflexions ou vos idées sur ce fichier. Êtes-vous d'accord avec notre conclusion ?

* Vos commentaires pourraient influencer notre évaluation. Votre e-mail restera confidentiel et ne sera utilisé que pour vous contacter si nécessaire.
Votre note pour

Gridinsoft Anti-Malware

Débarrassez votre PC de tout type de malwares

GridinSoft Anti-Malware vous aidera à protéger votre ordinateur contre les logiciels espions, les chevaux de Troie, les portes dérobées, les rootkits. Il nettoie votre système des modules publicitaires agaçants et d'autres éléments malveillants développés par des pirates.

Anti-Malware Maintenant Obtenir
Gridinsoft Anti-Malware