比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2020-01-18 20:11:37 2020-01-18 20:12:38 61 秒

魔盾分数

1.875

正常的

文件详细信息

文件名 mcupdate.exe
文件大小 4324864 字节
文件类型 PE32 executable (console) Intel 80386 (stripped to external PDB), for MS Windows
MD5 b798c839176984528bd8868a0a19a43b
SHA1 36da7beed9eb66bb8d9b25f0fcdeb1785cea649e
SHA256 5ffd42e05eaa904cafed9d93ace869f18da46bb186f729043d9a98f12143866c
SHA512 09bf4b47bdc0ddf50438b80f7299ca557f896e4f20a3b2e44a7983c3d7f0e5171ff08bff04f44d83649984c2f22e174267a30a1383351d35e09578d11f491d67
CRC32 35395128
Ssdeep 49152:WdvnvQnPlHeEQmH1ek//Dr7tzmL4fEgshptfjkEVZMHLquAb7/i:WlnvQn0EQKp5zmSEgIbe+/i
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
mcenjoy.cn A 23.249.16.37

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00450c60
声明校验值 0x00000000
实际校验值 0x0042f0b3
最低操作系统版本要求 6.1
编译时间 1970-01-01 08:00:00
载入哈希 1cd364a9e949d5ecebd6c614e64bc545

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x001de009 0x001de200 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.07
.rdata 0x001e0000 0x00208d2b 0x00208e00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.77
.data 0x003e9000 0x0004f438 0x00038400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.11
.idata 0x00439000 0x00000330 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.08
.symtab 0x0043a000 0x00000004 0x00000200 IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.02

导入

库: kernel32.dll:
0x7e9020 WriteFile
0x7e9024 WriteConsoleW
0x7e902c WaitForSingleObject
0x7e9030 VirtualQuery
0x7e9034 VirtualFree
0x7e9038 VirtualAlloc
0x7e903c SwitchToThread
0x7e9040 SetWaitableTimer
0x7e904c SetEvent
0x7e9050 SetErrorMode
0x7e9058 LoadLibraryA
0x7e905c LoadLibraryW
0x7e9060 GetSystemInfo
0x7e9064 GetSystemDirectoryA
0x7e9068 GetStdHandle
0x7e9074 GetProcAddress
0x7e907c GetConsoleMode
0x7e9084 ExitProcess
0x7e9088 DuplicateHandle
0x7e908c CreateThread
0x7e9094 CreateEventA
0x7e9098 CloseHandle
.text
`.rdata
@.data
.idata
.symtab
没有防病毒引擎扫描信息!

进程树

mcupdate.exe, PID: 2648, 上一级进程 PID: 2332
taskkill.exe, PID: 2800, 上一级进程 PID: 2648
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 23.249.16.37 mcenjoy.cn 443

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 64912 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
mcenjoy.cn A 23.249.16.37

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 23.249.16.37 mcenjoy.cn 443

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 64912 192.168.122.1 53

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 33.673 seconds )

  • 15.533 Suricata
  • 11.766 Static
  • 2.486 NetworkAnalysis
  • 1.378 VirusTotal
  • 1.295 TargetInfo
  • 0.682 BehaviorAnalysis
  • 0.446 peid
  • 0.058 AnalysisInfo
  • 0.015 Strings
  • 0.011 config_decoder
  • 0.003 Memory

Signatures ( 0.441 seconds )

  • 0.074 antiav_detectreg
  • 0.032 api_spamming
  • 0.028 infostealer_ftp
  • 0.027 stealth_timeout
  • 0.025 stealth_decoy_document
  • 0.02 md_domain_bl
  • 0.019 md_url_bl
  • 0.016 infostealer_im
  • 0.015 antianalysis_detectreg
  • 0.01 antiav_detectfile
  • 0.01 infostealer_mail
  • 0.008 antidbg_windows
  • 0.008 ransomware_files
  • 0.007 anomaly_persistence_autorun
  • 0.007 antivm_generic_scsi
  • 0.007 infostealer_bitcoin
  • 0.006 antivm_generic_services
  • 0.006 ransomware_extensions
  • 0.005 anormaly_invoke_kills
  • 0.005 geodo_banking_trojan
  • 0.004 kibex_behavior
  • 0.004 antivm_parallels_keys
  • 0.004 antivm_vbox_files
  • 0.004 antivm_xen_keys
  • 0.004 network_torgateway
  • 0.003 tinba_behavior
  • 0.003 bootkit
  • 0.003 mimics_filetime
  • 0.003 stealth_file
  • 0.003 betabot_behavior
  • 0.003 reads_self
  • 0.003 antivm_generic_disk
  • 0.003 virus
  • 0.003 disables_browser_warn
  • 0.003 darkcomet_regkeys
  • 0.002 rat_nanocore
  • 0.002 antivm_vbox_window
  • 0.002 shifu_behavior
  • 0.002 cerber_behavior
  • 0.002 kovter_behavior
  • 0.002 hancitor_behavior
  • 0.002 antivm_generic_diskreg
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 md_bad_drop
  • 0.001 antiemu_wine_func
  • 0.001 network_tor
  • 0.001 antivm_vbox_libs
  • 0.001 maldun_anomaly_massive_file_ops
  • 0.001 injection_explorer
  • 0.001 browser_needed
  • 0.001 ursnif_behavior
  • 0.001 exec_crash
  • 0.001 infostealer_browser_password
  • 0.001 antisandbox_script_timer
  • 0.001 bypass_firewall
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antisandbox_productid
  • 0.001 antivm_xen_keys
  • 0.001 antivm_hyperv_keys
  • 0.001 antivm_vbox_acpi
  • 0.001 antivm_vbox_keys
  • 0.001 antivm_vmware_keys
  • 0.001 antivm_vpc_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 maldun_anormaly_invoke_vb_vba
  • 0.001 maldun_network_blacklist
  • 0.001 office_security
  • 0.001 packer_armadillo_regkey
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_modify_uac_prompt

Reporting ( 1.19 seconds )

  • 0.819 ReportHTMLSummary
  • 0.371 Malheur
Task ID 488341
Mongo ID 5e22f6662f8f2e4bea6369e4
Cuckoo release 1.4-Maldun