比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2020-09-25 18:21:10 2020-09-25 18:23:37 147 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 2、国产远程利器ToDesk​.rar ==> ToDesk.exe
文件大小 3751800 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 f5187a4abe17de8912b979cd1f2f09cb
SHA1 15cb52032a31dbe5ed02a89ee787f60a80e27192
SHA256 89b7ff1acae881b776beb246217b9fca4199b6301778fa4da83b04e8689c0600
SHA512 c6a11c31e809ec7e1e1691edf62c98fa27fc76e51ac1864c81151cdf6ed4c51de279e33823f2dee0be5b31135f2ed5e0a48f53ae956583c5032f2093d5e7cf4f
CRC32 C3460AA7
Ssdeep 98304:LTXayQ8QthiwEWWAUIBQBbyPCt1Zht5ezKYUB/ufcq774:/48GhiwPw+QBGK7ZeKYOQ774
Yara 登录查看Yara规则
样本下载 提交误报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
A 184.28.188.184
A 184.28.188.195

摘要

登录查看详细行为信息
没有信息显示.
DD"gU
`f#Dv)&
没有防病毒引擎扫描信息!

进程树

cmd.exe, PID: 2812, 上一级进程 PID: 2184
ToDesk.exe, PID: 2876, 上一级进程 PID: 2812
instdrv.exe, PID: 1880, 上一级进程 PID: 2876
MirrInst64.exe, PID: 2292, 上一级进程 PID: 1880
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 184.28.188.195 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63282 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
A 184.28.188.184
A 184.28.188.195

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 184.28.188.195 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63282 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 ToDesk.exe
相关文件
C:\Users\test\AppData\Local\Temp\rar-tmp\ToDesk.exe
文件大小 3751800 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 f5187a4abe17de8912b979cd1f2f09cb
SHA1 15cb52032a31dbe5ed02a89ee787f60a80e27192
SHA256 89b7ff1acae881b776beb246217b9fca4199b6301778fa4da83b04e8689c0600
CRC32 C3460AA7
Ssdeep 98304:LTXayQ8QthiwEWWAUIBQBbyPCt1Zht5ezKYUB/ufcq774:/48GhiwPw+QBGK7ZeKYOQ774
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 22.958 seconds )

  • 15.461 Suricata
  • 2.767 VirusTotal
  • 2.177 BehaviorAnalysis
  • 1.238 TargetInfo
  • 0.94 NetworkAnalysis
  • 0.212 Dropped
  • 0.134 AnalysisInfo
  • 0.025 Strings
  • 0.003 Memory
  • 0.001 Static

Signatures ( 2.838 seconds )

  • 1.851 md_url_bl
  • 0.101 api_spamming
  • 0.083 stealth_timeout
  • 0.071 stealth_decoy_document
  • 0.058 mimics_filetime
  • 0.053 antiav_detectreg
  • 0.048 reads_self
  • 0.042 stealth_file
  • 0.038 bootkit
  • 0.035 virus
  • 0.028 antivm_generic_disk
  • 0.024 md_domain_bl
  • 0.023 infostealer_ftp
  • 0.017 hancitor_behavior
  • 0.017 antiav_detectfile
  • 0.016 injection_createremotethread
  • 0.014 infostealer_browser
  • 0.014 infostealer_im
  • 0.012 infostealer_bitcoin
  • 0.011 maldun_anomaly_massive_file_ops
  • 0.011 antianalysis_detectreg
  • 0.01 maldun_malicious_write_executeable_under_temp_to_regrun
  • 0.01 maldun_anomaly_write_exe_and_obsfucate_extension
  • 0.01 injection_runpe
  • 0.009 ipc_namedpipe
  • 0.009 anomaly_persistence_autorun
  • 0.009 ransomware_extensions
  • 0.008 infostealer_browser_password
  • 0.008 securityxploded_modules
  • 0.008 infostealer_mail
  • 0.008 ransomware_files
  • 0.007 injection_explorer
  • 0.007 sets_autoconfig_url
  • 0.007 antivm_vbox_files
  • 0.007 geodo_banking_trojan
  • 0.006 stack_pivot
  • 0.006 ransomware_message
  • 0.006 kovter_behavior
  • 0.005 antivm_generic_services
  • 0.005 antivm_generic_scsi
  • 0.004 antivm_vbox_libs
  • 0.004 antisandbox_sleep
  • 0.004 maldun_anomaly_write_exe_and_dll_under_winroot_run
  • 0.004 anormaly_invoke_kills
  • 0.004 disables_wfp
  • 0.004 disables_browser_warn
  • 0.004 network_http
  • 0.003 tinba_behavior
  • 0.003 antiemu_wine_func
  • 0.003 hawkeye_behavior
  • 0.003 rat_nanocore
  • 0.003 disables_spdy
  • 0.003 rat_luminosity
  • 0.003 betabot_behavior
  • 0.003 kibex_behavior
  • 0.003 h1n1_behavior
  • 0.003 antivm_parallels_keys
  • 0.003 antivm_xen_keys
  • 0.003 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.003 network_torgateway
  • 0.002 network_tor
  • 0.002 antiav_avast_libs
  • 0.002 office_dl_write_exe
  • 0.002 office_write_exe
  • 0.002 antisandbox_sunbelt_libs
  • 0.002 shifu_behavior
  • 0.002 exec_crash
  • 0.002 cerber_behavior
  • 0.002 antidbg_devices
  • 0.002 antivm_generic_diskreg
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 darkcomet_regkeys
  • 0.002 md_bad_drop
  • 0.002 network_cnc_http
  • 0.002 rat_pcclient
  • 0.001 antivm_vmware_libs
  • 0.001 ursnif_behavior
  • 0.001 kazybot_behavior
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 encrypted_ioc
  • 0.001 antidbg_windows
  • 0.001 bypass_firewall
  • 0.001 antianalysis_detectfile
  • 0.001 antisandbox_productid
  • 0.001 antivm_hyperv_keys
  • 0.001 antivm_vbox_keys
  • 0.001 antivm_vmware_files
  • 0.001 antivm_vmware_keys
  • 0.001 antivm_vpc_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 codelux_behavior
  • 0.001 malicous_targeted_flame
  • 0.001 maldun_anomaly_invoke_vb_vba
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.993 seconds )

  • 0.953 ReportHTMLSummary
  • 0.04 Malheur
Task ID 577677
Mongo ID 5f6dc55d2f8f2e0ab652cf23
Cuckoo release 1.4-Maldun