分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp02-1 2021-01-07 19:15:05 2021-01-07 19:15:05 0 秒

魔盾分数

2.75

可疑的

文件详细信息

文件名 奉天多功能辅助.exe
文件大小 406016 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 d67e3015aea7c6264411de3f37ed871d
SHA1 0a3529f865225c409466389ee4d4ec9b179b566b
SHA256 ea6708630ec7bad71f2f05ec611cf583471a6da28d227fd59ffa27b5895cbae2
SHA512 f2eec11595bdf178dd5426d72d118cc5052c7b6696cdf03dc84f111daa6ffecd2ea611c79e584c248b93f4c3030e7c7dc52f199bff35fee680ca864540aaf4c0
CRC32 8098C2A0
Ssdeep 12288:x6gU2amX5aeg8lvij3J7z2J1/SgjtgcbL6WbMVlyoS:x6gfdXweBleqJ9gcxgb
Yara
  • Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
  • Detected UPX. Commonly used by RAT!
样本下载 提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

PE 信息

初始地址 0x00400000
入口地址 0x00575270
声明校验值 0x00000000
实际校验值 0x0006c197
最低操作系统版本要求 4.0
编译时间 2021-01-07 19:08:57
载入哈希 34cbc70e5e389753c782123008901524

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x00114000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00115000 0x00061000 0x00061000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 8.00
.rsrc 0x00176000 0x00002000 0x00001e00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.07

导入

库: ADVAPI32.dll:
0x577bfc RegCloseKey
库: COMCTL32.dll:
0x577c04 None
库: comdlg32.dll:
0x577c0c ChooseColorA
库: GDI32.dll:
0x577c14 Escape
库: KERNEL32.DLL:
0x577c1c LoadLibraryA
0x577c20 ExitProcess
0x577c24 GetProcAddress
0x577c28 VirtualProtect
库: ole32.dll:
0x577c30 OleRun
库: OLEAUT32.dll:
0x577c38 VariantCopy
库: RASAPI32.dll:
0x577c40 RasHangUpA
库: SHELL32.dll:
0x577c48 ShellExecuteA
库: USER32.dll:
0x577c50 GetDC
库: WININET.dll:
0x577c58 InternetOpenA
库: WINMM.dll:
0x577c60 waveOutOpen
库: WINSPOOL.DRV:
0x577c68 OpenPrinterA
库: WS2_32.dll:
0x577c70 recvfrom

.rsrc
Zc\T8
&%P0E
H\&5lb
rGy,|xXt=
0=jN@
没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 3.029 seconds )

  • 1.246 Static
  • 1.042 VirusTotal
  • 0.402 peid
  • 0.312 TargetInfo
  • 0.011 Strings
  • 0.01 AnalysisInfo
  • 0.003 Memory
  • 0.002 BehaviorAnalysis
  • 0.001 config_decoder

Signatures ( 0.077 seconds )

  • 0.012 antiav_detectreg
  • 0.009 md_url_bl
  • 0.008 md_domain_bl
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.001 cerber_behavior
  • 0.001 geodo_banking_trojan
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop

Reporting ( 0.489 seconds )

  • 0.452 ReportHTMLSummary
  • 0.037 Malheur
Task ID 612243
Mongo ID 5ff6ed43dc327b77dedb782f
Cuckoo release 1.4-Maldun