分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-3 2021-04-08 23:06:53 2021-04-08 23:09:01 128 秒

魔盾分数

1.25

正常的

文件详细信息

文件名 YR_qwq.exe
文件大小 6150024 字节
文件类型 PE32+ executable (console) x86-64, for MS Windows
MD5 4a9861083bbbcdaf13eee4f0209f54e4
SHA1 f426f186bf27ef6619cf1d0e7117581df6123b2e
SHA256 49143208449632437d613ac82f4dca134373b724841e555467de7b94f035d891
SHA512 86eac9c6dccb7b2f49d12c7ca4fcfeff3a3a11090c705e56b85bd9312c988686e46880ab64e05d293b503a0297ed0add0b1ec6b0c91b6f09d593484db87e90d5
CRC32 4B275779
Ssdeep 24576:G+bpGd3nbPrr9Zjfg5+49Ff80ebhmrovouZ:G+bpGd3nbPrr9Zjfj4Tf8nbhmrovouZ
Yara
  • Detected a 64bit PE sample
  • Detected a console program sample
样本下载 提交漏报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net.0.1.cn.akamaitech.net
A 104.99.238.35
A 104.99.238.33

摘要

PE 信息

初始地址 0x00400000
入口地址 0x004014f0
声明校验值 0x005dfd1d
实际校验值 0x005dfd1d
最低操作系统版本要求 4.0
编译时间 2021-04-08 19:02:14
载入哈希 89eb5a494b18a69805f4e66a6484a794

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00002138 0x00002200 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_16BYTES 6.07
.data 0x00004000 0x000002f0 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_32BYTES 1.12
.rdata 0x00005000 0x0058cb20 0x0058cc00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_32BYTES 3.87
.pdata 0x00592000 0x00000270 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES 2.90
.xdata 0x00593000 0x00000208 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES 2.50
.bss 0x00594000 0x00000980 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_32BYTES 0.00
.idata 0x00595000 0x000007ec 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES 4.27
.CRT 0x00596000 0x00000068 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES 0.27
.tls 0x00597000 0x00000010 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES 0.00
.rsrc 0x00598000 0x000004e8 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES 4.78
/4 0x00599000 0x000004a0 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_16BYTES 1.43
/19 0x0059a000 0x00038e9e 0x00039000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 6.03
/31 0x005d3000 0x000026e4 0x00002800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 4.60
/45 0x005d6000 0x000035fb 0x00003600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 5.58
/57 0x005da000 0x00000a38 0x00000c00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_8BYTES 3.76
/70 0x005db000 0x000007c1 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 4.89
/81 0x005dc000 0x00002fb9 0x00003000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 2.21
/92 0x005df000 0x000004d0 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_1BYTES 1.34

覆盖

偏移量 0x005d5000
大小 0x00008788

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_MANIFEST 0x00598058 0x0000048f LANG_NEUTRAL SUBLANG_NEUTRAL 5.14 XML 1.0 document, ASCII text

导入

库: KERNEL32.dll:
0x995204 GetCurrentProcess
0x99520c GetCurrentProcessId
0x995214 GetCurrentThreadId
0x99521c GetLastError
0x995224 GetStartupInfoA
0x995234 GetTickCount
0x995254 RtlAddFunctionTable
0x99525c RtlCaptureContext
0x99526c RtlVirtualUnwind
0x99527c Sleep
0x995284 TerminateProcess
0x99528c TlsGetValue
0x99529c VirtualAlloc
0x9952a4 VirtualProtect
0x9952ac VirtualQuery
库: msvcrt.dll:
0x9952c4 __getmainargs
0x9952cc __initenv
0x9952d4 __iob_func
0x9952dc __lconv_init
0x9952e4 __set_app_type
0x9952ec __setusermatherr
0x9952f4 _acmdln
0x9952fc _amsg_exit
0x995304 _cexit
0x99530c _fmode
0x995314 _initterm
0x99531c _onexit
0x995324 abort
0x99532c calloc
0x995334 exit
0x99533c fprintf
0x995344 free
0x99534c fwrite
0x995354 malloc
0x99535c memcpy
0x995364 memset
0x99536c signal
0x995374 sscanf
0x99537c strchr
0x995384 strlen
0x99538c strncmp
0x995394 strstr
0x99539c vfprintf

.text
P`.data
.rdata
`@.pdata
0@.xdata
0@.bss
.idata
.rsrc
PB/19
@B/70
PHc=S'Y
(;5w#Y
没有防病毒引擎扫描信息!

进程树


YR_qwq.exe, PID: 2552, 上一级进程 PID: 2228

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.203 49158 104.99.238.33 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.203 64327 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net.0.1.cn.akamaitech.net
A 104.99.238.35
A 104.99.238.33

TCP

源地址 源端口 目标地址 目标端口
192.168.122.203 49158 104.99.238.33 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.203 64327 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 35.751 seconds )

  • 16.859 Strings
  • 11.37 Suricata
  • 3.65 Static
  • 1.645 VirusTotal
  • 1.075 TargetInfo
  • 0.752 NetworkAnalysis
  • 0.37 peid
  • 0.013 config_decoder
  • 0.011 AnalysisInfo
  • 0.004 BehaviorAnalysis
  • 0.002 Memory

Signatures ( 1.444 seconds )

  • 1.364 md_url_bl
  • 0.011 antiav_detectreg
  • 0.011 md_domain_bl
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.002 network_torgateway
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.489 seconds )

  • 0.488 ReportHTMLSummary
  • 0.001 Malheur
Task ID 628810
Mongo ID 606f1cbe7e769a06aaeb2542
Cuckoo release 1.4-Maldun