恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2021-04-09 00:11:12	2021-04-09 00:13:21	129 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	黑旗刀距V4.9.exe
文件大小	2418342 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5	82e5b6b6556cd382e017311e82b6b9be
SHA1	d0f35e9b0db1927f90e6551e2b8fb346263973d8
SHA256	8726862f81e9d8753e0161bb06b55c2806d79fea666eb88921cca92d331c3f4a
SHA512	e2e9f4a0913fd99b4308ac6ff043c23f7522fa79554576d1ec202823c6f6c050d102e7395fda5e444ee948b60ad4ff725b043b4bf0ab21c5f81b47d4a9ba0012
CRC32	AD212D12
Ssdeep	49152:MRCV8ZCSi5tnSUDVsNBaZ7RkjiyPSeVges+YUPN1964sd:MMa0SsSUDV+uR6fSeVYiL965
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net CNAME a1983.dscd.akamai.net A 104.91.68.171 A 104.91.68.217

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00e27fa0
声明校验值	0x00000000
实际校验值	0x00255015
最低操作系统版本要求	4.0
编译时间	1992-06-20 06:22:17
载入哈希	e253f8ec0371c0d6a5b2b4676e8c61c6
图标
图标精确哈希值	c34938dca18202f9d3b78542d92a2ced
图标相似性哈希值	175a356ef27fb27c8789a242efd28857

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
UPX0	0x00001000	0x00a19000	0x00000000	IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
UPX1	0x00a1a000	0x0000f000	0x0000e200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.85
.rsrc	0x00a29000	0x00002000	0x00001c00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.59

覆盖

偏移量	0x00010200
大小	0x0023e4a6

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00a247a0	0x00000128	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.20	data
RT_ICON	0x00a247a0	0x00000128	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.20	data
RT_ICON	0x00a247a0	0x00000128	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.20	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_STRING	0x00a2563c	0x000002a0	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.51	data
RT_RCDATA	0x00a25908	0x00000108	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.16	data
RT_RCDATA	0x00a25908	0x00000108	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.16	data
RT_RCDATA	0x00a25908	0x00000108	LANG_NEUTRAL	SUBLANG_NEUTRAL	7.16	data
RT_GROUP_ICON	0x00a25a38	0x00000014	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.32	data
RT_GROUP_ICON	0x00a25a38	0x00000014	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.32	data
RT_GROUP_ICON	0x00a25a38	0x00000014	LANG_NEUTRAL	SUBLANG_NEUTRAL	4.32	data
RT_MANIFEST	0x00a2a4d8	0x0000053e	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	4.92	XML 1.0 document, ASCII text, with CRLF line terminators

导入

库: advapi32.dll:

• 0xe2aaa4 RegCloseKey

库: gdi32.dll:

• 0xe2aaac TextOutA

库: KERNEL32.DLL:

• 0xe2aab4 LoadLibraryA

• 0xe2aab8 ExitProcess

• 0xe2aabc GetProcAddress

• 0xe2aac0 VirtualProtect

库: oleaut32.dll:

• 0xe2aac8 VariantCopy

库: shell32.dll:

• 0xe2aad0 ShellExecuteA

库: user32.dll:

• 0xe2aad8 EndPaint

.rsrc
el32.dll
 $(MWN
m8;Z~
str`/!?Cy
%s:\ 
wW4vC
advapi32.dll
gdi32.dll
KERNEL32.DLL
oleaut32.dll
shell32.dll
user32.dll
RegCloseKey
TextOutA
ExitProcess
GetProcAddress
LoadLibraryA
VirtualProtect
VariantCopy
ShellExecuteA
EndPaint
0072C1DCEE
csrss.exe
Ejc1{

没有防病毒引擎扫描信息!

进程树

____________V4.9.exe id: 2448
- csrss.exe id: 2668
services.exe id: 432
- svchost.exe id: 2972
  - WerFault.exe id: 3068
- taskhost.exe id: 1384
- mscorsvw.exe id: 1460

____________V4.9.exe, PID: 2448, 上一级进程 PID: 2152

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

csrss.exe, PID: 2668, 上一级进程 PID: 2448

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 432, 上一级进程 PID: 344

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

svchost.exe, PID: 2972, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

WerFault.exe, PID: 3068, 上一级进程 PID: 2972

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

taskhost.exe, PID: 1384, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 1460, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 760, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49162	104.91.68.217 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net CNAME a1983.dscd.akamai.net A 104.91.68.171 A 104.91.68.217

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49162	104.91.68.217 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 20.667 seconds )

11.966 Suricata
3.821 BehaviorAnalysis
1.388 Static
1.373 VirusTotal
0.934 NetworkAnalysis
0.7 TargetInfo
0.45 peid
0.011 AnalysisInfo
0.011 config_decoder
0.011 Strings
0.002 Memory

Signatures ( 3.69 seconds )

1.581 md_url_bl
0.451 antiav_detectreg
0.193 api_spamming
0.166 stealth_timeout
0.149 stealth_decoy_document
0.142 infostealer_ftp
0.106 injection_createremotethread
0.084 antianalysis_detectreg
0.082 infostealer_im
0.061 injection_runpe
0.051 injection_explorer
0.044 infostealer_mail
0.043 antivm_generic_scsi
0.03 virus
0.023 antivm_parallels_keys
0.023 darkcomet_regkeys
0.021 kibex_behavior
0.021 antivm_xen_keys
0.02 recon_fingerprint
0.018 geodo_banking_trojan
0.017 mimics_filetime
0.015 betabot_behavior
0.015 reads_self
0.014 antivm_generic_services
0.014 antivm_generic_diskreg
0.013 antivm_generic_disk
0.013 anormaly_invoke_kills
0.012 stealth_file
0.012 antiav_detectfile
0.012 antisandbox_productid
0.012 md_domain_bl
0.011 bootkit
0.009 shifu_behavior
0.008 hancitor_behavior
0.008 infostealer_bitcoin
0.008 recon_programs
0.007 antiemu_wine_func
0.007 anomaly_persistence_autorun
0.007 infostealer_browser_password
0.007 kovter_behavior
0.007 bypass_firewall
0.007 antivm_xen_keys
0.007 antivm_hyperv_keys
0.007 antivm_vbox_acpi
0.007 antivm_vbox_keys
0.007 antivm_vmware_keys
0.007 antivm_vpc_keys
0.007 maldun_anomaly_invoke_vb_vba
0.007 packer_armadillo_regkey
0.006 antivm_generic_bios
0.006 antivm_generic_cpu
0.006 antivm_generic_system
0.005 antidbg_windows
0.005 antivm_vbox_files
0.005 ransomware_extensions
0.005 ransomware_files
0.004 antivm_vbox_libs
0.004 network_http
0.003 maldun_anomaly_massive_file_ops
0.003 cerber_behavior
0.002 tinba_behavior
0.002 rat_nanocore
0.002 antiav_avast_libs
0.002 antisandbox_sunbelt_libs
0.002 antidbg_devices
0.002 bot_drive
0.002 disables_browser_warn
0.002 md_bad_drop
0.002 network_cnc_http
0.002 network_torgateway
0.001 hawkeye_behavior
0.001 network_tor
0.001 infostealer_browser
0.001 maldun_malicious_write_executeable_under_temp_to_regrun
0.001 dridex_behavior
0.001 rat_luminosity
0.001 antivm_vmware_libs
0.001 maldun_anomaly_write_exe_and_obsfucate_extension
0.001 antivm_vbox_window
0.001 kazybot_behavior
0.001 antisandbox_sboxie_libs
0.001 antiav_bitdefender_libs
0.001 maldun_anomaly_write_exe_and_dll_under_winroot_run
0.001 exec_crash
0.001 antianalysis_detectfile
0.001 antivm_vmware_files
0.001 antiemu_wine_reg
0.001 bot_drive2
0.001 browser_addon
0.001 browser_security
0.001 modify_proxy
0.001 codelux_behavior
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 rat_pcclient
0.001 stealth_modify_uac_prompt

Reporting ( 0.752 seconds )

0.72 ReportHTMLSummary
0.032 Malheur


Task ID	628822
Mongo ID	606f2bce7e769a06adeb3857
Cuckoo release	1.4-Maldun