分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2021-04-08 23:43:41 2021-04-08 23:44:13 32 秒

魔盾分数

1.25

正常的

文件详细信息

文件名 dllhst3g.exe
文件大小 4608 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 05497210be004cd87ed3b22e8b36498d
SHA1 dab5970f6e6ec1e09efdf8c9732525f38e28e430
SHA256 4e617253927f438228e526c80ffc8e118ed114559854401447bf69cf99f50771
SHA512 7ca00e85a23a7fb87301f72e1e35d9bc4960b9e9870a737a76867bf30c6ec9fac9c225700cc9823e5be91b36fea3ca59b10ac367e00e95915e8af01bdd5dba0d
CRC32 03817E9F
Ssdeep 48:Sy5/gUc+4H+ZEwjyO7RZk+1epMlpQVn2KTuq1IZWmr2kH8H5WwG:Lohbw2OFZk+1epMkIKTuIEWdkH8ZWw
Yara
样本下载 提交漏报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com A 172.232.44.9
CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net
A 172.232.44.32

摘要

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

PE 信息

初始地址 0x01000000
入口地址 0x01001221
声明校验值 0x00002295
实际校验值 0x00002295
最低操作系统版本要求 5.1
PDB路径 dllhst3g.pdb
编译时间 2001-08-18 04:48:53
载入哈希 4daa50fb1bfde898cf3800cd964c91dc

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000006e8 0x00000800 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 5.56
.data 0x00002000 0x00000020 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.02
.rsrc 0x00003000 0x000003d8 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.27

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_VERSION 0x00003060 0x00000378 LANG_ENGLISH SUBLANG_ENGLISH_US 3.51 data

导入

库: msvcrt.dll:
0x1001020 __setusermatherr
0x1001024 _adjust_fdiv
0x1001028 __p__commode
0x100102c __p__fmode
0x1001030 _initterm
0x1001034 _controlfp
0x1001038 _except_handler3
0x100103c __getmainargs
0x1001040 _acmdln
0x1001044 exit
0x1001048 _cexit
0x100104c _XcptFilter
0x1001050 _exit
0x1001054 __set_app_type
0x1001058 _c_exit
库: KERNEL32.dll:
0x1001000 GetModuleHandleA
0x1001004 lstrcmpiA
0x1001008 MultiByteToWideChar
0x100100c GetCurrentProcess
0x1001010 TerminateProcess
0x1001014 lstrlenA
0x1001018 GetStartupInfoA
库: ole32.dll:
0x1001060 CoRegisterSurrogateEx
0x1001064 CoInitializeEx
0x1001068 CLSIDFromString
0x100106c CoUninitialize

.text
`.data
.rsrc
msvcrt.dll
KERNEL32.dll
ole32.dll
/ProcessID
dllhst3g.pdb
_c_exit
_exit
_XcptFilter
_cexit
_acmdln
__getmainargs
_initterm
__setusermatherr
_adjust_fdiv
__p__commode
__p__fmode
__set_app_type
msvcrt.dll
_controlfp
_except_handler3
lstrlenA
TerminateProcess
GetCurrentProcess
MultiByteToWideChar
lstrcmpiA
GetModuleHandleA
GetStartupInfoA
KERNEL32.dll
CoUninitialize
CoRegisterSurrogateEx
CoInitializeEx
CLSIDFromString
ole32.dll
VS_VERSION_INFO
StringFileInfo
040904B0
CompanyName
Microsoft Corporation
FileDescription
COM Surrogate
FileVersion
5.1.2600.0 (XPClient.010817-1148)
InternalName
dllhst3g.exe
LegalCopyright
Microsoft Corporation. All rights reserved.
OriginalFilename
dllhst3g.exe
ProductName
Operating System
ProductVersion
5.1.2600.0
VarFileInfo
Translation
没有防病毒引擎扫描信息!

进程树


dllhst3g.exe, PID: 2480, 上一级进程 PID: 2152

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 172.232.44.32 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com A 172.232.44.9
CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net
A 172.232.44.32

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 172.232.44.32 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 16.8 seconds )

  • 11.744 Suricata
  • 3.102 VirusTotal
  • 0.866 NetworkAnalysis
  • 0.369 Static
  • 0.345 peid
  • 0.343 TargetInfo
  • 0.017 AnalysisInfo
  • 0.01 BehaviorAnalysis
  • 0.004 Memory

Signatures ( 1.475 seconds )

  • 1.392 md_url_bl
  • 0.012 antiav_detectreg
  • 0.011 md_domain_bl
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.002 network_torgateway
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.53 seconds )

  • 0.528 ReportHTMLSummary
  • 0.002 Malheur
Task ID 628818
Mongo ID 606f24e77e769a06aaeb2567
Cuckoo release 1.4-Maldun