恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2020-09-25 21:16:39	2020-09-25 21:17:12	33 秒

魔盾分数

2.6

可疑的

文件详细信息

文件名	sys.exe
文件大小	12652544 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	b03e80039d84d4c3cd6d417657aa077f
SHA1	9762f9e6fecccfbcee870c0c055ddfee1cd72482
SHA256	ec206d24c9f6a2148ab1e32caa0cfc4ebbcbf8dafb158b60bed79de990e7d748
SHA512	d32a78954d9b5d16c5dccee1660c6cfd4b46b7f43756d97247e0c04517b7637492beec81aa67980196783dfde160be1960c906c39f748929ce9e128cc2d46098
CRC32	3E957E30
Ssdeep	196608:zGma+oKofFKtUPhl1TxITWO/bjUTarLQ3wc8oq8qbh7ZTcpV+hTPQuc3dTSdc/az:h4KUPhyTWWjarynHFZBdW9/SHOvC
Yara	登录查看Yara规则
	样本下载提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net CNAME a1983.dscd.akamai.net A 23.220.203.48 A 23.220.203.58

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00f3fa3e
声明校验值	0x00000000
实际校验值	0x00c14108
最低操作系统版本要求	5.0
编译时间	2020-09-25 21:06:15
载入哈希	832894b292150837f110888e49f69d6d
图标
图标精确哈希值	639a7ebad5a1924c785211128bfcdf11
图标相似性哈希值	b1f926583092a192a67265033adc2d95
导出DLL库名称	MZ\x90

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000775ce	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.rdata	0x00079000	0x00009008	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.data	0x00083000	0x00687b5e	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.vmp0	0x0070b000	0x003bca17	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.vmp1	0x00ac8000	0x00c0ab50	0x00c0b000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.99
.rsrc	0x016d3000	0x000040e6	0x00005000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.83

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x016d67e0	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	6.17	GLS_BINARY_LSB_FIRST
RT_ICON	0x016d67e0	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	6.17	GLS_BINARY_LSB_FIRST
RT_ICON	0x016d67e0	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	6.17	GLS_BINARY_LSB_FIRST
RT_GROUP_ICON	0x016d6c48	0x00000030	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.46	MS Windows icon resource - 3 icons, 48x48
RT_VERSION	0x016d6c78	0x00000264	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	3.60	data
RT_MANIFEST	0x016d6edc	0x0000020a	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.15	XML 1.0 document, ASCII text, with CRLF line terminators

导入

库: KERNEL32.dll:

• 0x19f1000 GetVersionExA

• 0x19f1004 GetVersion

库: USER32.dll:

• 0x19f100c CreateDialogParamW

库: SHELL32.dll:

• 0x19f1014 CommandLineToArgvW

库: ole32.dll:

• 0x19f101c OleIsCurrentClipboard

库: SHLWAPI.dll:

• 0x19f1024 PathRemoveFileSpecW

库: GDI32.dll:

• 0x19f102c SaveDC

库: COMCTL32.dll:

• 0x19f1034 None

库: WININET.dll:

• 0x19f103c InternetTimeToSystemTime

库: OLEAUT32.dll:

• 0x19f1044 SafeArrayAccessData

库: gdiplus.dll:

• 0x19f104c GdipDrawPath

库: WINHTTP.dll:

• 0x19f1054 WinHttpCheckPlatform

库: MSIMG32.dll:

• 0x19f105c AlphaBlend

库: ATL.DLL:

• 0x19f1064 None

库: iphlpapi.dll:

• 0x19f106c GetAdaptersInfo

库: ADVAPI32.dll:

• 0x19f1074 RegCloseKey

库: WINSPOOL.DRV:

• 0x19f107c OpenPrinterA

库: oledlg.dll:

• 0x19f1084 None

库: WTSAPI32.dll:

• 0x19f108c WTSSendMessageW

库: KERNEL32.dll:

• 0x19f1094 VirtualQuery

库: USER32.dll:

• 0x19f109c GetUserObjectInformationW

库: KERNEL32.dll:

• 0x19f10a4 LocalAlloc

• 0x19f10a8 LocalFree

• 0x19f10ac GetModuleFileNameW

• 0x19f10b0 GetProcessAffinityMask

• 0x19f10b4 SetProcessAffinityMask

• 0x19f10b8 SetThreadAffinityMask

• 0x19f10bc Sleep

• 0x19f10c0 ExitProcess

• 0x19f10c4 FreeLibrary

• 0x19f10c8 LoadLibraryA

• 0x19f10cc GetModuleHandleA

• 0x19f10d0 GetProcAddress

库: USER32.dll:

• 0x19f10d8 GetProcessWindowStation

• 0x19f10dc GetUserObjectInformationW

.text
`.rdata
@.data
.vmp0
`.vmp1
`.rsrc
GdipDrawPath
3HdX;2d]
YG?K-

没有防病毒引擎扫描信息!

进程树

sys.exe id: 2324

搜索
sys.exe (2324)

sys.exe, PID: 2324, 上一级进程 PID: 2184

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.220.203.48 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net CNAME a1983.dscd.akamai.net A 23.220.203.48 A 23.220.203.58

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.220.203.48 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 22.965 seconds )

10.631 Suricata
6.744 Static
2.328 TargetInfo
2.064 VirusTotal
0.749 NetworkAnalysis
0.322 peid
0.067 BehaviorAnalysis
0.038 config_decoder
0.011 Strings
0.009 AnalysisInfo
0.002 Memory

Signatures ( 1.411 seconds )

1.3 md_url_bl
0.022 antiav_detectreg
0.01 md_domain_bl
0.008 infostealer_ftp
0.006 antiav_detectfile
0.006 infostealer_im
0.005 anomaly_persistence_autorun
0.004 geodo_banking_trojan
0.004 ransomware_files
0.003 api_spamming
0.003 antianalysis_detectreg
0.003 browser_security
0.003 infostealer_bitcoin
0.003 infostealer_mail
0.003 network_http
0.003 ransomware_extensions
0.002 tinba_behavior
0.002 stealth_decoy_document
0.002 stealth_timeout
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 network_torgateway
0.001 rat_nanocore
0.001 betabot_behavior
0.001 kibex_behavior
0.001 cerber_behavior
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http
0.001 stealth_modify_uac_prompt

Reporting ( 0.485 seconds )

0.483 ReportHTMLSummary
0.002 Malheur


Task ID	577693
Mongo ID	5f6dedf47e769a53d1c22efd
Cuckoo release	1.4-Maldun