في هذا الجزء سيتم استخدام الادوات التالية:

PEstudio, Die, Resource Hacker

أولا: بإستخدام أداة PEstudio

أدناه تجدون الهاش المخصص للبرنامج الخبيث:

MD5 : 3F4A16B29F2F0532B7CE3E7656799125

SHA1 : 61B25D11392172E587D8DA3045812A66C3385451

تم معرفة نوع الملف وهو ملف تنفيذي exe واصداره هو 32bit

الجدير بالذكر انه تاريخ التجميع (Compiler date) الخاص بالملف هو 23 فبراير الساعه الواحدة صباحا ولكن كما نعرف انه لا يمكن الاعتماد على هذا التاريخ

ثانيا: تم استخدام أداة DetectItEasy 

بشكل مبدئي يتم ملاحظه ان البرنامج ليس مضغوط ولكن بعد الاطلاع على الentropy الخاص بالملف يتضح الآتي:

• قسم ال rsrc بالملف يُمثل الجزء الأكبر من البرنامج.

• من المهم ملاحظه انه قيمة الentropy عالية. للعلم: الentropy تمثل العشوائيه (randomness) في الملف نفسه بالتالي اذا ارتفع الى 7 او اعلى بالتالي يمكن الاشتباه به

 لذلك يتم الاشتباه بهذا الجزء كما هو موضح بالصوره أدناه

هذا جذب الانتباه لرؤيه هذا الجزء باستخدام برنامج Resource hacker واتضح من خلاله انه يحتوي على 4 ملفات والواضح انها عباره عن برامج تنفيذية بسبب وجود المُعرف الخاص للملف MZ 

 عند البحث على مُعرف البرنامج (file signature) الموجود وهو 535A تم التعرف على انه szdd وهو عباره عن ملف مضغوط. 

ايضا تم ملاحظه ان الentropy الخاص بجزء overlay مرتفع . للعلم : overlay هو عباره عن جزء يتم كتابته في نهايه البرنامج وغالبا يحتوي على شهادات مصدقة رقميًا أو بيانات خاصة بالبرنامج الخبيث.

عند الاطلاع عليه تم ملاحظه ان الجزء هذا مضغوط كما هو موضح ادناه

وعند الاطلاع على هذا الجزء تم التأكد بوجود معلومات الخاصه بالشهاده المصدقة رقميًا من قبل Hermetica

ثالثا: عند العوده لبرنامج PEstudio

عند رؤيه المكتبات المستخدمه نلاحظ وجود lz32.dll وهي غالبا متعلقه بفتح الملفات المضغوطه مثل الملفات التي تم رؤيتها مسبقا في الموارد المستخدمه للبرنامج 

عند الاطلاع على الSTRINGS للبرنامج تم ملاحظه الآتي:

• انشاء, بدء, تعديل, وحذف خدمه بسبب وجود CreateService DeleteService ChangeServiceConfig OpenSCManager OpenService StartService 

• وجود الملفات الخاصه بنظام NTFS مثل $LogFile, $Bitmap