分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2020-01-18 19:27:41 2020-01-18 19:30:40 179 秒

魔盾分数

5.65

可疑的

文件详细信息

文件名 神枪手全功能版[Ver 2].exe
文件大小 29806592 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 a3551451cd9b2c02fb5a7cc7d909040b
SHA1 717e0c526fe660232131db362821bf974c472029
SHA256 ee8dc089d981f589d9311d98482110a97c0ea73d5a413b3afb013fb1d7f94f5e
SHA512 cb8617ff56c5170760b19f3b58fdb662c2f0a2537fbf29670f49581ee25258326de83b46d3d4d19382d94928ab050fc1102a7e86863def74bf02d645628f5214
CRC32 EAA406B9
Ssdeep 786432:mXmTLUG2utdsnZYGXAHbRcRQ6VvNSkqBG5AEBd3F0QMl6:UUpNmniGwHbb6VvXWmdGQd
Yara 登录查看Yara规则
样本下载 提交漏报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
host.qqlite.online 未知 A 183.131.85.47

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x050651e5
声明校验值 0x00000000
最低操作系统版本要求 5.0
编译时间 2019-10-25 10:25:11
载入哈希 bb6db04b0f23c05e848d71f99d6462c4
导出DLL库名称 \x37\x39\x31

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000eef7a 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x000f0000 0x029cba92 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x02abc000 0x0004580a 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
LG0 0x02b02000 0x0060cb27 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
LG1 0x0310f000 0x01c45c50 0x01c46000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 8.00
.rsrc 0x04d55000 0x00025b95 0x00026000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.05

导入

库: WINMM.dll:
0x5084000 midiStreamOut
库: WS2_32.dll:
0x5084008 WSACleanup
库: KERNEL32.dll:
0x5084010 GetVersion
0x5084014 GetVersionExA
库: USER32.dll:
0x508401c SetFocus
库: GDI32.dll:
0x5084024 GetViewportExtEx
库: WINSPOOL.DRV:
0x508402c OpenPrinterA
库: ADVAPI32.dll:
0x5084034 RegQueryValueExA
库: SHELL32.dll:
库: ole32.dll:
0x5084044 CLSIDFromString
库: OLEAUT32.dll:
0x508404c LoadTypeLib
库: COMCTL32.dll:
0x5084054 None
库: comdlg32.dll:
0x508405c ChooseColorA
库: WTSAPI32.dll:
0x5084064 WTSSendMessageW
库: KERNEL32.dll:
0x508406c VirtualQuery
库: USER32.dll:
库: KERNEL32.dll:
0x508407c LocalAlloc
0x5084080 LocalFree
0x5084084 GetModuleFileNameW
0x5084090 SetThreadAffinityMask
0x5084094 Sleep
0x5084098 ExitProcess
0x508409c FreeLibrary
0x50840a0 LoadLibraryA
0x50840a4 GetModuleHandleA
0x50840a8 GetProcAddress
库: USER32.dll:

.text
`.rdata
@.data
`.rsrc
Nu4-<1
wZ$+G<
Nu/fB1
Sua5D,
<P(*
=783?5P
没有防病毒引擎扫描信息!

进程树


______________________Ver 2_.exe, PID: 2628, 上一级进程 PID: 2352

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49161 183.131.85.47 host.qqlite.online 8666

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 64912 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
host.qqlite.online 未知 A 183.131.85.47

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49161 183.131.85.47 host.qqlite.online 8666

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 64912 192.168.122.1 53

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 78.335 seconds )

  • 41.363 Static
  • 15.584 Suricata
  • 10.562 NetworkAnalysis
  • 7.486 TargetInfo
  • 2.009 VirusTotal
  • 0.504 peid
  • 0.364 BehaviorAnalysis
  • 0.303 config_decoder
  • 0.142 AnalysisInfo
  • 0.015 Strings
  • 0.003 Memory

Signatures ( 0.292 seconds )

  • 0.03 antiav_detectreg
  • 0.022 md_domain_bl
  • 0.019 api_spamming
  • 0.019 md_url_bl
  • 0.015 stealth_file
  • 0.015 stealth_timeout
  • 0.014 stealth_decoy_document
  • 0.013 infostealer_ftp
  • 0.009 antiav_detectfile
  • 0.008 infostealer_im
  • 0.007 anomaly_persistence_autorun
  • 0.007 antidbg_windows
  • 0.007 ransomware_extensions
  • 0.007 ransomware_files
  • 0.006 antianalysis_detectreg
  • 0.006 infostealer_bitcoin
  • 0.005 infostealer_mail
  • 0.004 antivm_vbox_files
  • 0.004 network_torgateway
  • 0.003 tinba_behavior
  • 0.003 antiemu_wine_func
  • 0.003 infostealer_browser_password
  • 0.003 kovter_behavior
  • 0.003 geodo_banking_trojan
  • 0.003 disables_browser_warn
  • 0.002 antivm_vbox_libs
  • 0.002 rat_nanocore
  • 0.002 injection_createremotethread
  • 0.002 betabot_behavior
  • 0.002 kibex_behavior
  • 0.002 cerber_behavior
  • 0.002 antivm_parallels_keys
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 md_bad_drop
  • 0.001 network_tor
  • 0.001 bootkit
  • 0.001 antiav_avast_libs
  • 0.001 mimics_filetime
  • 0.001 dridex_behavior
  • 0.001 maldun_anomaly_massive_file_ops
  • 0.001 antivm_vbox_window
  • 0.001 reads_self
  • 0.001 ursnif_behavior
  • 0.001 kazybot_behavior
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 antivm_generic_scsi
  • 0.001 shifu_behavior
  • 0.001 exec_crash
  • 0.001 antivm_generic_disk
  • 0.001 injection_runpe
  • 0.001 virus
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antivm_generic_diskreg
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 darkcomet_regkeys
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 office_security
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt

Reporting ( 1.198 seconds )

  • 0.959 ReportHTMLSummary
  • 0.239 Malheur
Task ID 488337
Mongo ID 5e22ecd62f8f2e4bf8636a8b
Cuckoo release 1.4-Maldun