恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-hpdapp01-1	2020-07-05 22:58:11	2020-07-05 22:58:52	41 秒

魔盾分数

1.4

正常的

文件详细信息

文件名	cmd_use_hy.exe
文件大小	15872 字节
文件类型	PE32 executable (console) Intel 80386, for MS Windows
MD5	be57f39b14b04426798d6e4104628051
SHA1	32fed5416c0bdb3e9fbea0002a6bc36fc898c26c
SHA256	a242d2c224aa0b87449f128d2a2faa01abc9f83617b896f9f93c662f27b28c68
SHA512	7abc46c71da5003fb37234898eb95aa8ea029bb3f80c2a39f38750dbbb934b796a3b300fde024bb99c285b19b4e0e2120e382c4b0587c654f040e2b7d550a6bf
CRC32	954B2F47
Ssdeep	192:iQd71GFWnVZJw/34HQLjiZSS8DISIL0CHdbdlRKY4z98y/ghf5nnnnnnM:/d7gmg4H2jOSkL0CHlXcz9yha
Yara	登录查看Yara规则
	样本下载提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00401000
声明校验值	0x00000000
实际校验值	0x0000dd74
最低操作系统版本要求	4.0
编译时间	2020-05-01 21:38:03
载入哈希	7230136de673bddc6454fb7f72274109

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x00002434	0x00002600	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	6.05
.rdata	0x00004000	0x0000048e	0x00000600	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	3.85
.data	0x00005000	0x0000cb1c	0x00000a00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	5.59
.rsrc	0x00012000	0x00000298	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	4.20

导入

库: KERNEL32.dll:

• 0x40400c ExitProcess

• 0x404010 HeapAlloc

• 0x404014 HeapReAlloc

• 0x404018 HeapFree

• 0x40401c IsBadReadPtr

• 0x404020 LocalFree

• 0x404024 WideCharToMultiByte

• 0x404028 GetModuleHandleA

• 0x40402c WriteFile

• 0x404030 GetStdHandle

• 0x404034 FreeLibrary

• 0x404038 GetProcAddress

• 0x40403c LoadLibraryA

• 0x404040 GetProcessHeap

• 0x404044 WTSGetActiveConsoleSessionId

• 0x404048 GetCommandLineW

库: WTSAPI32.dll:

• 0x404098 WTSQueryUserToken

• 0x40409c WTSSendMessageA

库: ADVAPI32.dll:

• 0x404000 CreateProcessAsUserA

• 0x404004 DuplicateTokenEx

库: USERENV.dll:

• 0x40408c CreateEnvironmentBlock

• 0x404090 DestroyEnvironmentBlock

库: MSVCRT.dll:

• 0x404050 memmove

• 0x404054 malloc

• 0x404058 _ftol

• 0x40405c modf

• 0x404060 ??3@YAXPAX@Z

• 0x404064 free

• 0x404068 sprintf

• 0x40406c strchr

• 0x404070 atoi

库: USER32.dll:

• 0x404080 wsprintfA

• 0x404084 MessageBoxA

库: SHELL32.dll:

• 0x404078 CommandLineToArgvW

.text
`.rdata
@.data
.rsrc
RPh(V@
$h$V@
8`}<j
Qh4V@
$h$V@
WTSGetActiveConsoleSessionId
GetProcessHeap
GetModuleHandleA
ExitProcess
HeapAlloc
HeapReAlloc
HeapFree
IsBadReadPtr
LocalFree
WideCharToMultiByte
GetCommandLineW
WriteFile
GetStdHandle
FreeLibrary
GetProcAddress
LoadLibraryA
KERNEL32.dll
WTSSendMessageA
WTSQueryUserToken
WTSAPI32.dll
DuplicateTokenEx
CreateProcessAsUserA
ADVAPI32.dll
CreateEnvironmentBlock
DestroyEnvironmentBlock
USERENV.dll
??3@YAXPAX@Z
sprintf
strchr
memmove
malloc
_ftol
MSVCRT.dll
MessageBoxA
wsprintfA
USER32.dll
CommandLineToArgvW
SHELL32.dll
ERROR:Please input something.
WTSQueryUserToken failed
DuplicateTokenEx failed
CreateEnvironmentBlock failed
Kernel32.dll
wtsapi32.dll
advapi32.dll
userenv.dll
Advapi32.dll
kernel32
WTSGetActiveConsoleSessionId
WTSSendMessageA
WTSQueryUserToken
DuplicateTokenEx
CreateEnvironmentBlock
CreateProcessAsUserA
GetLastError
CloseHandle
DestroyEnvironmentBlock
error
:%d,%d
%I64d
DLL ERROR
O(uckHr
VS_VERSION_INFO
StringFileInfo
080404B0
FileVersion
1.0.0.0
FileDescription
ProductName
ProductVersion
1.0.0.0
LegalCopyright
Comments
(http://www.eyuyan.com)
VarFileInfo
Translation

没有防病毒引擎扫描信息!

进程树

cmd_use_hy.exe id: 2704

搜索
cmd_use_hy.exe (2704)

cmd_use_hy.exe, PID: 2704, 上一级进程 PID: 2340

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 20.596 seconds )

15.498 Suricata
2.988 VirusTotal
0.745 Static
0.524 peid
0.357 NetworkAnalysis
0.331 TargetInfo
0.129 AnalysisInfo
0.015 BehaviorAnalysis
0.005 Memory
0.004 Strings

Signatures ( 0.135 seconds )

0.017 md_domain_bl
0.017 md_url_bl
0.016 antiav_detectreg
0.007 anomaly_persistence_autorun
0.007 antiav_detectfile
0.007 infostealer_ftp
0.006 ransomware_files
0.005 infostealer_im
0.005 ransomware_extensions
0.004 antianalysis_detectreg
0.004 infostealer_bitcoin
0.003 tinba_behavior
0.003 antivm_vbox_files
0.003 disables_browser_warn
0.003 infostealer_mail
0.002 rat_nanocore
0.002 cerber_behavior
0.002 geodo_banking_trojan
0.002 bot_drive
0.002 browser_security
0.002 modify_proxy
0.002 md_bad_drop
0.001 betabot_behavior
0.001 ursnif_behavior
0.001 kibex_behavior
0.001 shifu_behavior
0.001 antianalysis_detectfile
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 banker_zeus_mutex
0.001 bot_drive2
0.001 browser_addon
0.001 disables_system_restore
0.001 disables_windows_defender
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 stealth_modify_uac_prompt

Reporting ( 1.087 seconds )

0.867 ReportHTMLSummary
0.22 Malheur


Task ID	557768
Mongo ID	5f01eac92f8f2e386566324a
Cuckoo release	1.4-Maldun