恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2020-09-14 23:07:10	2020-09-14 23:09:21	131 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	海豚轰死你.exe
文件大小	15314944 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	4d551b29cb5c447354a1d9b644e16205
SHA1	0f1a06dedd68e53c1b3b26d5b224671d87df0737
SHA256	0f782120d9a8b06e90d982352af6034e95c5d532a53d5f7a2cbfec3f07218b4b
SHA512	cc4f403401a93312fc8ec7932c33dd7dd60d22caba923b993dc3143d32d39a9f7b91e4916d6ad6688b52bbea98420c5e97f113319eea84e9eaa55d8c9bc45928
CRC32	A6812FB5
Ssdeep	196608:+GRcB0Gi7xTsoATRf8nONFR/CM69fKZjRQVrHTPHkbszbr9cT/:a0GUxeinSFR/T6ZKFRSzPHkieD
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net A 125.56.201.138 CNAME a1983.dscd.akamai.net A 23.32.248.8

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x0112627b
声明校验值	0x00000000
实际校验值	0x00ea7a73
最低操作系统版本要求	5.0
编译时间	2020-07-08 14:22:45
载入哈希	45c7ebea18f4d3cec379390db60527ad
图标
图标精确哈希值	95144fda7ebfb87afe3872f0af1c77e7
图标相似性哈希值	3956442f35fb7fd15a70bfd8ebabae7f
导出DLL库名称	MZ\x90

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x003083f6	0x00309000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	6.27
.rdata	0x0030a000	0x003a51c6	0x003a6000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	7.78
.data	0x006b0000	0x0009ed88	0x00066000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	5.49
gYSGHq0	0x0074f000	0x00581ba3	0x00582000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.87
gYSGHq1	0x00cd1000	0x001ff420	0x00200000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.65
.rsrc	0x00ed1000	0x00002f2d	0x00003000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	4.56

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00ed161c	0x000024e8	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.60	data
RT_ICON	0x00ed161c	0x000024e8	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.60	data
RT_ICON	0x00ed161c	0x000024e8	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.60	data
RT_GROUP_ICON	0x00ed3b2c	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_GROUP_ICON	0x00ed3b2c	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_GROUP_ICON	0x00ed3b2c	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_VERSION	0x00ed3b40	0x00000220	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	3.52	data
RT_MANIFEST	0x00ed3d60	0x000001cd	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.08	XML 1.0 document, ASCII text, with very long lines, with no line terminators

导入

库: kernel32.dll:

• 0x11e2000 GetVersion

• 0x11e2004 GetVersionExA

库: user32.dll:

• 0x11e200c ShowWindow

库: gdi32.dll:

• 0x11e2014 SelectObject

库: gdiplus.dll:

• 0x11e201c GdipCreateFromHDC

库: ole32.dll:

• 0x11e2024 OleUninitialize

库: imm32.dll:

• 0x11e202c ImmSetCompositionWindow

库: shell32.dll:

• 0x11e2034 ShellExecuteA

库: shlwapi.dll:

• 0x11e203c PathFileExistsA

库: winmm.dll:

• 0x11e2044 PlaySoundA

库: kernel32.dll:

• 0x11e204c GetVersionExA

• 0x11e2050 GetVersion

库: user32.dll:

• 0x11e2058 LoadBitmapA

库: gdi32.dll:

• 0x11e2060 TextOutA

库: winmm.dll:

• 0x11e2068 midiStreamOut

库: WINSPOOL.DRV:

• 0x11e2070 DocumentPropertiesA

库: ADVAPI32.dll:

• 0x11e2078 RegCloseKey

库: shell32.dll:

• 0x11e2080 ShellExecuteA

库: OLEAUT32.dll:

• 0x11e2088 LoadTypeLib

库: COMCTL32.dll:

• 0x11e2090 None

库: WS2_32.dll:

• 0x11e2098 inet_ntoa

库: comdlg32.dll:

• 0x11e20a0 GetFileTitleA

库: WTSAPI32.dll:

• 0x11e20a8 WTSSendMessageW

库: kernel32.dll:

• 0x11e20b0 VirtualQuery

库: user32.dll:

• 0x11e20b8 GetUserObjectInformationW

库: kernel32.dll:

• 0x11e20c0 LocalAlloc

• 0x11e20c4 LocalFree

• 0x11e20c8 GetModuleFileNameW

• 0x11e20cc GetProcessAffinityMask

• 0x11e20d0 SetProcessAffinityMask

• 0x11e20d4 SetThreadAffinityMask

• 0x11e20d8 Sleep

• 0x11e20dc ExitProcess

• 0x11e20e0 FreeLibrary

• 0x11e20e4 LoadLibraryA

• 0x11e20e8 GetModuleHandleA

• 0x11e20ec GetProcAddress

库: user32.dll:

• 0x11e20f4 GetProcessWindowStation

• 0x11e20f8 GetUserObjectInformationW

.text
`.rdata
@.data
gYSGHq0
`gYSGHq1
`.rsrc
2(<r{=
Y(kGZ
}(j]:;
!ZkYK&
ok_QC

没有防病毒引擎扫描信息!

进程树

_______________.exe id: 2384

搜索
_______________.exe (2384)

_______________.exe, PID: 2384, 上一级进程 PID: 2188

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.32.248.8 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net A 125.56.201.138 CNAME a1983.dscd.akamai.net A 23.32.248.8

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.32.248.8 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 25.508 seconds )

10.701 Suricata
7.959 Static
2.768 TargetInfo
2.535 BehaviorAnalysis
0.765 NetworkAnalysis
0.377 VirusTotal
0.328 peid
0.048 config_decoder
0.013 Strings
0.012 AnalysisInfo
0.002 Memory

Signatures ( 1.863 seconds )

1.264 md_url_bl
0.17 api_spamming
0.151 stealth_decoy_document
0.136 stealth_timeout
0.014 antiav_detectreg
0.013 injection_createremotethread
0.01 md_domain_bl
0.008 injection_runpe
0.006 antivm_vbox_libs
0.006 infostealer_ftp
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.004 geodo_banking_trojan
0.004 infostealer_bitcoin
0.004 infostealer_im
0.004 ransomware_files
0.003 antiav_avast_libs
0.003 antisandbox_sunbelt_libs
0.003 exec_crash
0.003 antianalysis_detectreg
0.003 network_http
0.003 ransomware_extensions
0.002 tinba_behavior
0.002 maldun_anomaly_massive_file_ops
0.002 antisandbox_sboxie_libs
0.002 antiav_bitdefender_libs
0.002 antidbg_windows
0.002 kovter_behavior
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 infostealer_mail
0.002 network_torgateway
0.001 antiemu_wine_func
0.001 bootkit
0.001 rat_nanocore
0.001 mimics_filetime
0.001 stealth_file
0.001 antivm_vmware_libs
0.001 betabot_behavior
0.001 reads_self
0.001 kibex_behavior
0.001 antivm_generic_disk
0.001 infostealer_browser_password
0.001 cerber_behavior
0.001 virus
0.001 antivm_parallels_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http

Reporting ( 0.536 seconds )

0.527 ReportHTMLSummary
0.009 Malheur


Task ID	574793
Mongo ID	5f5f87c67e769a34f506fbdc
Cuckoo release	1.4-Maldun