分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2020-11-30 10:28:34 2020-11-30 10:30:42 128 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 AdHunter.exe
文件大小 6961664 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 58537b557c1e3909592f8d5f2789bf82
SHA1 ac53c725ea4bfc8ead3a8a4d8d205e3d5d333ac5
SHA256 0b79cf8edbab1aff6eeb6ee6ea1cf5e3f45b62a08c858678df899a16f18595b5
SHA512 d553d3f6dc1d560452aceac172eb153ed997c8931bb65f8479aacd07e795dfe16d16e19077605436439719999fbac40bc0d814c1ec3a87ec3efe9a4fe8ce352c
CRC32 72A87AB0
Ssdeep 98304:LgyXBmFee0TR+5vojug9Ljhj1cWk79wX1KJCDmlWAKXjXU9ahSmPdMbfXpt/UWc4:LgyXmgmyLjhj1ew5DGKXk2ba3Oa
Yara 登录查看Yara规则
样本下载 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net
A 23.211.14.171
A 23.211.14.185

摘要

登录查看详细行为信息

PE 信息

初始地址 0x140000000
入口地址 0x1406218ac
声明校验值 0x006a920c
实际校验值 0x006a920c
最低操作系统版本要求 5.2
编译时间 2020-10-16 16:23:42
载入哈希 da35d6362dd89520cec66a360ddcd46d
图标
图标精确哈希值 7517ba1ddaee8397ae6adf759448e103
图标相似性哈希值 13ac8a8c827d687cf8e3bf370f7bd75a

版本信息

LegalCopyright
FileVersion
CompanyName
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000bc6e3 0x000bc800 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 5.88
.rdata 0x000be000 0x0003d8d4 0x0003da00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.14
.data 0x000fc000 0x00008ed4 0x00007600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.77
.pdata 0x00105000 0x0000f8a0 0x0000fa00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.84
SelfSec 0x00115000 0x00000104 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.11
.vmp0 0x00116000 0x005016fd 0x00501800 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.73
.vmp1 0x00618000 0x00085a1c 0x00085c00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.89
.reloc 0x0069e000 0x00001da8 0x00001e00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.47
.rsrc 0x006a0000 0x00008f6f 0x00009000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.88

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x006a83f0 0x00000468 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 5.49 GLS_BINARY_LSB_FIRST
RT_ICON 0x006a83f0 0x00000468 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 5.49 GLS_BINARY_LSB_FIRST
RT_ICON 0x006a83f0 0x00000468 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 5.49 GLS_BINARY_LSB_FIRST
RT_ICON 0x006a83f0 0x00000468 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 5.49 GLS_BINARY_LSB_FIRST
RT_ICON 0x006a83f0 0x00000468 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 5.49 GLS_BINARY_LSB_FIRST
RT_GROUP_ICON 0x006a8858 0x0000004c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 2.80 MS Windows icon resource - 5 icons, 64x64
RT_VERSION 0x006a88a8 0x00000250 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 3.98 data
RT_MANIFEST 0x006a8af8 0x00000477 LANG_ENGLISH SUBLANG_ENGLISH_US 5.07 ASCII text, with CRLF line terminators

导入

库: mfc90u.dll:
0x140622000 None
库: MSVCR90.dll:
库: KERNEL32.dll:
0x140622020 GetVersionExW
库: USER32.dll:
0x140622030 SetWindowRgn
库: GDI32.dll:
0x140622040 SelectClipRgn
库: ADVAPI32.dll:
0x140622050 RegSetValueExW
库: SHELL32.dll:
0x140622060 ShellExecuteW
库: SHLWAPI.dll:
0x140622070 PathFileExistsW
库: ole32.dll:
0x140622080 OleLockRunning
库: OLEAUT32.dll:
0x140622090 GetErrorInfo
库: MSVCP90.dll:
库: WINHTTP.dll:
0x1406220b0 WinHttpConnect
库: dbghelp.dll:
0x1406220c0 MiniDumpWriteDump
库: IPHLPAPI.DLL:
0x1406220d0 GetAdaptersInfo
库: VERSION.dll:
0x1406220e0 VerQueryValueW
库: WININET.dll:
0x1406220f0 InternetOpenW
库: PSAPI.DLL:
0x140622100 GetModuleFileNameExW
库: WS2_32.dll:
0x140622110 connect
库: COMCTL32.dll:
0x140622120 _TrackMouseEvent
库: WTSAPI32.dll:
0x140622130 WTSSendMessageW
库: KERNEL32.dll:
0x140622140 LoadLibraryA
库: USER32.dll:
0x140622150 CharUpperBuffW
库: ADVAPI32.dll:
0x140622160 RegQueryValueExA
库: KERNEL32.dll:
0x140622170 LocalAlloc
0x140622178 GetCurrentProcess
0x140622180 GetCurrentThread
0x140622188 LocalFree
0x140622190 GetModuleFileNameW
0x140622198 GetProcessAffinityMask
0x1406221a0 SetProcessAffinityMask
0x1406221a8 SetThreadAffinityMask
0x1406221b0 Sleep
0x1406221b8 ExitProcess
0x1406221c0 GetLastError
0x1406221c8 FreeLibrary
0x1406221d0 LoadLibraryA
0x1406221d8 GetModuleHandleA
库: ADVAPI32.dll:
0x1406221e8 OpenSCManagerW
0x1406221f0 EnumServicesStatusExW
0x1406221f8 OpenServiceW
0x140622200 QueryServiceConfigW
0x140622208 CloseServiceHandle

.text
`.rdata
@.data
.pdata
@SelfSec
.vmp0
`.vmp1
`.reloc
@.rsrc
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
Bkav 未发现病毒 20201128
Elastic 未发现病毒 20201030
MicroWorld-eScan 未发现病毒 20201129
CMC 未发现病毒 20201129
CAT-QuickHeal 未发现病毒 20201129
McAfee 未发现病毒 20201129
Malwarebytes 未发现病毒 20201129
Zillya 未发现病毒 20201127
SUPERAntiSpyware 未发现病毒 20201127
Sangfor 未发现病毒 20201125
K7AntiVirus 未发现病毒 20201129
Alibaba 未发现病毒 20190527
K7GW 未发现病毒 20201129
Cybereason malicious.5ea4bf 20190616
Arcabit 未发现病毒 20201130
BitDefenderTheta 未发现病毒 20201125
Cyren 未发现病毒 20201130
Symantec 未发现病毒 20201129
TotalDefense 未发现病毒 20201129
Baidu 未发现病毒 20190318
TrendMicro-HouseCall 未发现病毒 20201129
Paloalto 未发现病毒 20201130
ClamAV 未发现病毒 20201129
Kaspersky HEUR:Trojan.Win64.Agent.gen 20201130
BitDefender 未发现病毒 20201129
NANO-Antivirus 未发现病毒 20201129
ViRobot 未发现病毒 20201129
APEX Malicious 20201128
Tencent 未发现病毒 20201130
Ad-Aware 未发现病毒 20201129
TACHYON 未发现病毒 20201128
Emsisoft 未发现病毒 20201129
Comodo 未发现病毒 20201129
F-Secure Heuristic.HEUR/AGEN.1123093 20201130
DrWeb 未发现病毒 20201129
VIPRE 未发现病毒 20201129
TrendMicro 未发现病毒 20201129
McAfee-GW-Edition 未发现病毒 20201129
FireEye Generic.mg.58537b557c1e3909 20201129
Sophos ML/PE-A 20201129
Ikarus Trojan.Agent 20201129
Jiangmin 未发现病毒 20201129
MaxSecure 未发现病毒 20201128
Avira HEUR/AGEN.1123093 20201129
Antiy-AVL 未发现病毒 20201129
Kingsoft 未发现病毒 20201130
Gridinsoft Trojan.Heur!.02014423 20201130
Microsoft 未发现病毒 20201130
AegisLab 未发现病毒 20201130
ZoneAlarm HEUR:Trojan.Win64.Agent.gen 20201129
GData 未发现病毒 20201130
Cynet Malicious (score: 85) 20201129
AhnLab-V3 未发现病毒 20201129
Acronis 未发现病毒 20201023
VBA32 未发现病毒 20201127
ALYac 未发现病毒 20201130
MAX 未发现病毒 20201130
Cylance Unsafe 20201130
Avast 未发现病毒 20201129
Zoner 未发现病毒 20201129
ESET-NOD32 未发现病毒 20201129
Rising 未发现病毒 20201128
Yandex 未发现病毒 20201129
SentinelOne 未发现病毒 20201129
eGambit 未发现病毒 20201130
Fortinet W64/Agent.A!tr 20201130
Webroot 未发现病毒 20201130
AVG 未发现病毒 20201129
Panda 未发现病毒 20201129
CrowdStrike 未发现病毒 20190702
Qihoo-360 未发现病毒 20201130

进程树


AdHunter.exe, PID: 2328, 上一级进程 PID: 2176

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 23.211.14.171 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net
A 23.211.14.171
A 23.211.14.185

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 23.211.14.171 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 19.615 seconds )

  • 11.292 Suricata
  • 4.4 Static
  • 1.562 TargetInfo
  • 1.17 VirusTotal
  • 0.762 NetworkAnalysis
  • 0.375 peid
  • 0.017 AnalysisInfo
  • 0.017 config_decoder
  • 0.012 Strings
  • 0.006 BehaviorAnalysis
  • 0.002 Memory

Signatures ( 1.502 seconds )

  • 1.39 md_url_bl
  • 0.016 antiav_detectreg
  • 0.012 md_domain_bl
  • 0.009 antiav_detectfile
  • 0.007 infostealer_ftp
  • 0.005 anomaly_persistence_autorun
  • 0.005 geodo_banking_trojan
  • 0.005 infostealer_bitcoin
  • 0.005 infostealer_im
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 antianalysis_detectreg
  • 0.003 antivm_vbox_files
  • 0.003 disables_browser_warn
  • 0.003 infostealer_mail
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 network_torgateway
  • 0.001 network_tor
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 maldun_network_blacklist
  • 0.001 network_cnc_http

Reporting ( 0.585 seconds )

  • 0.584 ReportHTMLSummary
  • 0.001 Malheur
Task ID 592499
Mongo ID 5fc4596d7e769a09e4a4d85b
Cuckoo release 1.4-Maldun