เรายังคงบทความชุดของเราเกี่ยวกับการวิเคราะห์มัลแวร์ต่อไป ใน
Agent Tesla เป็นซอฟต์แวร์สอดแนมแบบโมดูลาร์ที่เผยแพร่โดยใช้โมเดลมัลแวร์ในรูปแบบบริการภายใต้หน้ากากของผลิตภัณฑ์คีย์ล็อกเกอร์ที่ถูกกฎหมาย เจ้าหน้าที่ Tesla สามารถแยกและส่งข้อมูลประจำตัวผู้ใช้จากเบราว์เซอร์ ไคลเอนต์อีเมล และไคลเอนต์ FTP ไปยังเซิร์ฟเวอร์ไปยังผู้โจมตี บันทึกข้อมูลคลิปบอร์ด และจับภาพหน้าจอของอุปกรณ์ ในขณะที่วิเคราะห์ เว็บไซต์อย่างเป็นทางการของนักพัฒนาไม่สามารถใช้งานได้
ไฟล์การกำหนดค่า
ตารางด้านล่างแสดงรายการฟังก์ชันการทำงานที่ใช้กับตัวอย่างที่คุณใช้:
ลักษณะ | มูลค่า |
การตั้งค่าสถานะการใช้งาน KeyLogger | จริง |
การตั้งค่าสถานะการใช้งาน ScreenLogger | เท็จ |
ช่วงเวลาการส่งบันทึก KeyLogger เป็นนาที | 20 |
ช่วงเวลาการส่งบันทึก ScreenLogger เป็นนาที | 20 |
ธงการจัดการคีย์ Backspace เท็จ – การบันทึกเท่านั้น จริง – ลบคีย์ก่อนหน้า | เท็จ |
ประเภทซีเอ็นซี ตัวเลือก: smtp, เว็บพาเนล, ftp | SMTP |
การตั้งค่าสถานะการเปิดใช้งานเธรดสำหรับการยกเลิกกระบวนการจากรายการ “%filter_list%” | เท็จ |
UAC ปิดการใช้งานแฟล็ก | เท็จ |
ตัวจัดการงานปิดใช้งานการตั้งค่าสถานะ | เท็จ |
CMD ปิดการใช้งานแฟล็ก | เท็จ |
เรียกใช้การตั้งค่าสถานะปิดการใช้งานหน้าต่าง | เท็จ |
Registry Viewer ปิดการใช้งานการตั้งค่าสถานะ | เท็จ |
ปิดใช้งานการตั้งค่าสถานะจุดคืนค่าระบบ | จริง |
แผงควบคุมปิดใช้งานการตั้งค่าสถานะ | เท็จ |
MSCONFIG ปิดใช้งานการตั้งค่าสถานะ | เท็จ |
ตั้งค่าสถานะเพื่อปิดใช้งานเมนูบริบทใน Explorer | เท็จ |
ปักธง | เท็จ |
เส้นทางสำหรับการคัดลอกโมดูลหลักเมื่อปักหมุดเข้ากับระบบ | %โฟลเดอร์เริ่มต้น% %insfolder%%insname% |
ตั้งค่าสถานะสำหรับการตั้งค่าคุณลักษณะ "ระบบ" และ "ซ่อน" สำหรับโมดูลหลักที่กำหนดให้กับระบบ | เท็จ |
ตั้งค่าสถานะเพื่อทำการรีสตาร์ทเมื่อปักหมุดอยู่กับระบบ | เท็จ |
ตั้งค่าสถานะสำหรับการย้ายโมดูลหลักไปยังโฟลเดอร์ชั่วคราว | เท็จ |
ธงบายพาส UAC | เท็จ |
รูปแบบวันที่และเวลาสำหรับการบันทึก | ปปปป-ดด-วว HH:mm:ss |
ตั้งค่าสถานะการใช้ตัวกรองโปรแกรมสำหรับ KeyLogger | จริง |
ประเภทของการกรองโปรแกรม 1 – ชื่อโปรแกรมถูกค้นหาในชื่อหน้าต่าง 2 – ชื่อโปรแกรมถูกค้นหาในชื่อกระบวนการของหน้าต่าง |
1 |
ตัวกรองโปรแกรม | "เฟสบุ๊ค" "ทวิตเตอร์" "จีเมล" "อินสตาแกรม" "ภาพยนตร์" "สไกป์" "สื่อลามก" "สับ" "วอทส์แอพ" "ความไม่ลงรอยกัน" |
การติดตั้งโมดูลหลักเข้ากับระบบ
หากตั้งค่าสถานะที่สอดคล้องกัน โมดูลหลักจะถูกคัดลอกไปยังเส้นทางที่ระบุในการกำหนดค่าเป็นเส้นทางที่จะกำหนดให้กับระบบ
ไฟล์จะได้รับแอตทริบิวต์ "ซ่อน" และ "ระบบ" ทั้งนี้ขึ้นอยู่กับค่าจากการกำหนดค่า
การทำงานอัตโนมัติมีให้โดยสาขารีจิสทรีสองแห่ง:
- ซอฟต์แวร์ HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
เนื่องจาก bootloader แทรกเข้าไปในกระบวนการ RegAsmการตั้งค่าสถานะถาวรสำหรับโมดูลหลักทำให้เกิดผลลัพธ์ที่น่าสนใจทีเดียว แทนที่จะคัดลอกตัวเอง มัลแวร์จะแนบไฟล์ต้นฉบับเข้ากับระบบ RegAsm.exeขณะทำการฉีดยา
ปฏิสัมพันธ์กับซีแอนด์ซี
ไม่ว่าจะใช้วิธีใดก็ตาม การสื่อสารเครือข่ายเริ่มต้นด้วยการรับ IP ภายนอกของเหยื่อโดยใช้ทรัพยากร
ข้อมูลต่อไปนี้จะอธิบายวิธีการโต้ตอบเครือข่ายที่นำเสนอในซอฟต์แวร์
เว็บพาเนล
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล HTTP มัลแวร์ดำเนินการคำขอ POST ด้วยส่วนหัวต่อไปนี้:
- ตัวแทนผู้ใช้: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- การเชื่อมต่อ: Keep-Alive
- ประเภทเนื้อหา: application/x-www-form-urlencoded
ที่อยู่เซิร์ฟเวอร์ถูกระบุโดยค่า %โพสต์URL%. ข้อความที่เข้ารหัสจะถูกส่งไปในพารามิเตอร์ « p ». กลไกการเข้ารหัสอธิบายไว้ในส่วนนี้ "อัลกอริทึมการเข้ารหัส" (วิธีที่ 2).
ข้อความที่ส่งมีลักษณะดังนี้:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
พารามิเตอร์ ชนิด ระบุประเภทข้อความ:
ฮาวิด — แฮช MD5 จะถูกบันทึกจากค่าของหมายเลขซีเรียลของเมนบอร์ดและรหัสโปรเซสเซอร์ ส่วนใหญ่มักจะใช้เป็นรหัสผู้ใช้
เวลา — ทำหน้าที่ส่งเวลาและวันที่ปัจจุบัน
ชื่อพีซี - กำหนดให้เป็น /.
ข้อมูลบันทึก — บันทึกข้อมูล
เมื่อส่งรหัสผ่าน ข้อความจะมีลักษณะดังนี้:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
ต่อไปนี้เป็นคำอธิบายข้อมูลที่ถูกขโมยในรูปแบบ nclient[]={0}nlink[]={1}ชื่อผู้ใช้[]={2}npassword[]={3}.
SMTP
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล SMTP จดหมายที่ส่งอยู่ในรูปแบบ HTML พารามิเตอร์ ร่างกาย ดูเหมือนกับ:
ส่วนหัวของจดหมายมีรูปแบบทั่วไป: / . เนื้อหาของจดหมายตลอดจนไฟล์แนบจะไม่ได้รับการเข้ารหัส
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล FTP ไฟล์ที่มีชื่อจะถูกโอนไปยังเซิร์ฟเวอร์ที่ระบุ _-_.html. เนื้อหาของไฟล์ไม่ได้ถูกเข้ารหัส
อัลกอริธึมการเข้ารหัส
กรณีนี้ใช้วิธีการเข้ารหัสต่อไปนี้:
วิธี 1
วิธีการนี้ใช้ในการเข้ารหัสสตริงในโมดูลหลัก อัลกอริธึมที่ใช้ในการเข้ารหัสคือ AES.
ข้อมูลเข้าเป็นเลขฐานสิบหกหลัก ทำการเปลี่ยนแปลงต่อไปนี้:
ฉ(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
ค่าผลลัพธ์คือดัชนีสำหรับอาร์เรย์ข้อมูลที่ฝังอยู่
แต่ละองค์ประกอบอาร์เรย์เป็นลำดับ DWORD. เมื่อนำมารวมกัน DWORD ได้รับอาร์เรย์ของไบต์: 32 ไบต์แรกเป็นคีย์การเข้ารหัส ตามด้วยเวกเตอร์การเริ่มต้น 16 ไบต์ และไบต์ที่เหลือเป็นข้อมูลที่เข้ารหัส
วิธี 2
อัลกอริทึมที่ใช้ 3DES ในโหมด ECB ด้วยการเติมในไบต์ทั้งหมด (พีเคซีเอส7).
คีย์ถูกระบุโดยพารามิเตอร์ %คีย์ URL%อย่างไรก็ตาม การเข้ารหัสจะใช้แฮช MD5
ฟังก์ชั่นที่เป็นอันตราย
ตัวอย่างที่อยู่ระหว่างการศึกษาใช้โปรแกรมต่อไปนี้เพื่อปรับใช้ฟังก์ชันที่เป็นอันตราย:
KeyLogger
หากมีการตั้งค่าสถานะมัลแวร์ที่เกี่ยวข้องโดยใช้ฟังก์ชัน WinAPI ตั้งค่า WindowsHookEx กำหนดตัวจัดการของตัวเองสำหรับเหตุการณ์การกดปุ่มบนคีย์บอร์ด ฟังก์ชันตัวจัดการเริ่มต้นด้วยการเรียกชื่อหน้าต่างที่ใช้งานอยู่
หากตั้งค่าสถานะการกรองแอปพลิเคชัน การกรองจะดำเนินการขึ้นอยู่กับประเภทที่ระบุ:
- ค้นหาชื่อโปรแกรมในชื่อหน้าต่าง
- ชื่อโปรแกรมจะถูกค้นหาในชื่อกระบวนการของหน้าต่าง
ถัดไป บันทึกจะถูกเพิ่มลงในบันทึกพร้อมข้อมูลเกี่ยวกับหน้าต่างที่ใช้งานอยู่ในรูปแบบ:
จากนั้นข้อมูลเกี่ยวกับการกดปุ่มจะถูกบันทึก:
สำคัญ | บันทึก |
Backspace | ขึ้นอยู่กับแฟล็กการประมวลผลคีย์ Backspace: False - {BACK} จริง – ลบคีย์ก่อนหน้า |
แคปล็อค | {แคปล็อค} |
ESC | {ESC} |
PageUp | {เพจอัพ} |
ลง | &ดาร์; |
ลบ | {เดล} |
" | " |
F5 | {F5} |
& | @ |
F10 | {F10} |
TAB | {แท็บ} |
< | < |
> | > |
ช่องว่าง | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+แท็บ} |
END | {จบ} |
F4 | {F4} |
F2 | {F2} |
CTRL | {CTRL} |
F6 | {F6} |
ขวา | → |
Up | ➠ |
F1 | {F1} |
ซ้าย | (ลาร์; |
PageDown | {เลื่อนหน้าลง} |
สิ่งที่ใส่เข้าไป | {แทรก} |
ชนะ | {ชนะ} |
NumLock | {ล็อคหมายเลข} |
F11 | {F11} |
F3 | {F3} |
หน้าหลัก | {บ้าน} |
ENTER | {เข้า} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
กุญแจอื่นๆ | อักขระเป็นตัวพิมพ์ใหญ่หรือตัวพิมพ์เล็ก ขึ้นอยู่กับตำแหน่งของปุ่ม CapsLock และ Shift |
ตามความถี่ที่กำหนด บันทึกที่รวบรวมจะถูกส่งไปยังเซิร์ฟเวอร์ หากการถ่ายโอนไม่สำเร็จ บันทึกจะถูกบันทึกลงในไฟล์ %อุณหภูมิ%log.tmp ในรูปแบบ:
เมื่อตัวจับเวลาเริ่มทำงาน ไฟล์จะถูกโอนไปยังเซิร์ฟเวอร์
ScreenLogger
ตามความถี่ที่กำหนด มัลแวร์จะสร้างภาพหน้าจอในรูปแบบ Jpeg ด้วยความหมาย คุณภาพ เท่ากับ 50 และบันทึกลงในไฟล์ %APPDATA %.jpg. หลังจากถ่ายโอน ไฟล์จะถูกลบ
คลิปบอร์ดLogger
หากมีการตั้งค่าสถานะที่เหมาะสม ระบบจะทำการแทนที่ข้อความที่ดักไว้ตามตารางด้านล่าง
หลังจากนั้น ข้อความจะถูกแทรกลงในบันทึก:
รหัสผ่านขโมย
มัลแวร์สามารถดาวน์โหลดรหัสผ่านจากแอปพลิเคชันต่อไปนี้:
เบราว์เซอร์ | โปรแกรมรับส่งเมล | ไคลเอนต์ FTP |
Chrome | Outlook | FileZilla |
Firefox | ธันเดอร์เบิร์ด | WS_FTP |
IE/ขอบ | ฟ็อกซ์เมล | WinSCP |
Safari | จดหมายโอเปร่า | CoreFTP |
เบราเซอร์ Opera | IncrediMail | FTP นาวิเกเตอร์ |
Yandex | โพโคเมล | FlashFXP |
ประชา | Eudora | SmartFTP |
ChromePlus | ค้างคาว | ผู้บัญชาการ FTP |
โครเมียม | ตู้ไปรษณีย์ | |
ไฟฉาย | ClawsMail | |
7Star | ||
Amigo | ||
เบรฟซอฟต์แวร์ | ลูกค้าแจ๊บเบอร์ | ไคลเอนต์ VPN |
CentBrowser | ปอนด์/ตารางนิ้ว+ | เปิด VPN |
เจดีย์ | ||
ค็อคค | ||
เบราว์เซอร์องค์ประกอบ | ดาวน์โหลดตัวจัดการ | |
มหากาพย์ความเป็นส่วนตัวเบราว์เซอร์ Epic | Internet Download Manager ฟรี | |
โคเมตะ | JDownloader | |
orbitum | ||
ดาวเทียมของรัสเซีย | ||
ยูคอสมีเดีย | ||
Vivaldi | ||
SeaMonkey | ||
แห่เบราว์เซอร์ | ||
เบราว์เซอร์ UC | ||
เหยี่ยวดำ | ||
ไซเบอร์ฟ็อกซ์ | ||
K-Meleon | ||
ไอซ์แคท | ||
Icedragon | ||
เพลมูน | ||
จิ้งจอกน้ำ | ||
เบราว์เซอร์ฟอลคอน |
การตอบโต้ต่อการวิเคราะห์แบบไดนามิก
- การใช้ฟังก์ชัน นอนหลับ. ช่วยให้คุณข้ามแซนด์บ็อกซ์บางอันได้โดยการหมดเวลา
- ทำลายด้าย โซน.ตัวระบุ. ช่วยให้คุณซ่อนข้อเท็จจริงของการดาวน์โหลดไฟล์จากอินเทอร์เน็ต
- ในพารามิเตอร์ %filter_list% ระบุรายการกระบวนการที่มัลแวร์จะยุติในช่วงเวลาหนึ่งวินาที
- การปลด ยูเอซี
- ปิดการใช้งานตัวจัดการงาน
- การปลด CMD
- ปิดการใช้งานหน้าต่าง "วิ่ง"
- ปิดการใช้งานแผงควบคุม
- ปิดการใช้งานเครื่องมือ RegEdit
- ปิดการใช้งานจุดคืนค่าระบบ
- ปิดการใช้งานเมนูบริบทใน Explorer
- การปลด MSCONFIG
- บายพาส UAC:
คุณสมบัติที่ไม่ใช้งานของโมดูลหลัก
ในระหว่างการวิเคราะห์โมดูลหลัก มีการระบุฟังก์ชันที่รับผิดชอบในการแพร่กระจายผ่านเครือข่ายและการติดตามตำแหน่งของเมาส์
หนอน
เหตุการณ์สำหรับการเชื่อมต่อสื่อแบบถอดได้จะถูกตรวจสอบในเธรดแยกต่างหาก เมื่อเชื่อมต่อแล้ว มัลแวร์ที่มีชื่อนี้จะถูกคัดลอกไปยังรากของระบบไฟล์ scr.exeหลังจากนั้นจะค้นหาไฟล์ที่มีนามสกุล LNK. ทีมงานทุกคน LNK เปลี่ยนเป็น cmd.exe /c start scr.exe&start & exit.
แต่ละไดเร็กทอรีที่รูทของสื่อจะได้รับแอ็ตทริบิวต์ "ที่ซ่อนอยู่" และไฟล์จะถูกสร้างขึ้นโดยมีนามสกุล LNK ด้วยชื่อของไดเร็กทอรีที่ซ่อนอยู่และคำสั่ง cmd.exe /c start scr.exe&explorer /root,"%CD%" & ออก.
เมาส์ติดตาม
วิธีการสกัดกั้นจะคล้ายกับวิธีการที่ใช้กับคีย์บอร์ด ฟังก์ชั่นนี้ยังอยู่ระหว่างการพัฒนา
กิจกรรมไฟล์
เส้นทาง | ลักษณะ |
%อุณหภูมิ%temp.tmp | ประกอบด้วยตัวนับสำหรับความพยายามในการเลี่ยงผ่าน UAC |
%โฟลเดอร์เริ่มต้น%%insfolder%%insname% | เส้นทางที่จะกำหนดให้กับระบบ HPE |
%Temp%tmpG{เวลาปัจจุบันเป็นมิลลิวินาที}.tmp | เส้นทางสำหรับการสำรองข้อมูลโมดูลหลัก |
%ชั่วคราว%log.tmp | ไฟล์บันทึก |
%AppData%{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.jpeg | จอ |
C:UsersPublic{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.vbs | พาธไปยังไฟล์ vbs ที่ bootloader สามารถใช้เพื่อแนบกับระบบ |
%Temp%{ชื่อโฟลเดอร์ที่กำหนดเอง}{ชื่อไฟล์} | เส้นทางที่ bootloader ใช้เพื่อแนบตัวเองเข้ากับระบบ |
โปรไฟล์ผู้โจมตี
ด้วยข้อมูลการตรวจสอบความถูกต้องแบบฮาร์ดโค้ด เราจึงสามารถเข้าถึงศูนย์บัญชาการได้
สิ่งนี้ทำให้เราสามารถระบุอีเมลฉบับสุดท้ายของผู้โจมตีได้:
junaid[.]ใน***@gmail[.]com.
ชื่อโดเมนของศูนย์บัญชาการได้รับการลงทะเบียนกับเมลแล้ว sg***@gmail[.]com.
ข้อสรุป
ในระหว่างการวิเคราะห์โดยละเอียดของมัลแวร์ที่ใช้ในการโจมตี เราสามารถสร้างฟังก์ชันการทำงานและรับรายการตัวบ่งชี้การประนีประนอมที่สมบูรณ์ที่สุดที่เกี่ยวข้องกับกรณีนี้ การทำความเข้าใจกลไกของการโต้ตอบกับเครือข่ายมัลแวร์ทำให้สามารถให้คำแนะนำในการปรับการทำงานของเครื่องมือรักษาความปลอดภัยข้อมูล รวมถึงเขียนกฎ IDS ที่เสถียร
อันตรายหลัก ตัวแทนTesla เช่นเดียวกับ DataStealer ตรงที่ไม่จำเป็นต้องคอมมิตกับระบบหรือรอให้คำสั่งควบคุมทำงาน เมื่ออยู่บนเครื่องแล้ว เครื่องจะเริ่มรวบรวมข้อมูลส่วนตัวและถ่ายโอนไปยัง CnC ทันที พฤติกรรมก้าวร้าวนี้มีความคล้ายคลึงกับพฤติกรรมของแรนซัมแวร์ในบางแง่ โดยมีข้อแตกต่างเพียงอย่างเดียวคือพฤติกรรมหลังไม่จำเป็นต้องเชื่อมต่อเครือข่ายด้วยซ้ำ หากคุณพบกลุ่มนี้ หลังจากทำความสะอาดระบบที่ติดไวรัสจากมัลแวร์แล้ว คุณควรเปลี่ยนรหัสผ่านทั้งหมดที่สามารถบันทึกลงในแอปพลิเคชันใดแอปพลิเคชันหนึ่งที่ระบุไว้ข้างต้นได้อย่างแน่นอน
มองไปข้างหน้าสมมติว่าผู้โจมตีส่ง ตัวแทนTeslaบูตโหลดเดอร์เริ่มต้นมีการเปลี่ยนแปลงบ่อยมาก วิธีนี้ช่วยให้คุณไม่มีใครสังเกตเห็นจากเครื่องสแกนแบบคงที่และเครื่องวิเคราะห์การศึกษาพฤติกรรมในขณะที่ถูกโจมตี และแนวโน้มของครอบครัวนี้ที่จะเริ่มกิจกรรมทันทีทำให้การตรวจสอบระบบไม่มีประโยชน์ วิธีที่ดีที่สุดในการต่อสู้กับ AgentTesla คือการวิเคราะห์เบื้องต้นในแซนด์บ็อกซ์
ในบทความที่สามของชุดนี้ เราจะดูที่โปรแกรมโหลดบูตอื่นๆ ที่ใช้ ตัวแทนTeslaและศึกษาขั้นตอนการเปิดกล่องกึ่งอัตโนมัติด้วย ไม่ควรพลาด!
กัญชา
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ซีแอนด์ซี
URL |
sina-c0m[.]ไอซียู |
smtp[.]sina-c0m[.]icu |
เร็กคีย์
รีจิสทรี |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{ชื่อสคริปต์} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
มิวเท็กซ์
ไม่มีตัวชี้วัด
ไฟล์
กิจกรรมไฟล์ |
%อุณหภูมิ%temp.tmp |
%โฟลเดอร์เริ่มต้น%%insfolder%%insname% |
%Temp%tmpG{เวลาปัจจุบันเป็นมิลลิวินาที}.tmp |
%ชั่วคราว%log.tmp |
%AppData%{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.jpeg |
C:UsersPublic{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.vbs |
%Temp%{ชื่อโฟลเดอร์ที่กำหนดเอง}{ชื่อไฟล์} |
ข้อมูลตัวอย่าง
Name | ไม่ทราบ |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
ชนิดภาพเขียน | พีอี (.NET) |
ขนาด | 327680 |
ชื่อเดิม | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
ประทับวันที่ | 01.07.2019 |
ผู้รวบรวม | VB.NET |
Name | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
ชนิดภาพเขียน | พีอี (.NET DLL) |
ขนาด | 16896 |
ชื่อเดิม | IELibrary.dll |
ประทับวันที่ | 11.10.2016 |
ผู้รวบรวม | ไมโครซอฟต์ ลิงค์เกอร์ (48.0*) |
ที่มา: will.com