比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2021-09-22 14:56:54 2021-09-22 14:57:26 32 秒

魔盾分数

3.6853125

可疑的

文件详细信息

文件名 星际争霸 人口无限Mod.exe
文件大小 55545 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 c99ec030f7735b5951cd16de88dc8791
SHA1 76e0d3d365e3e1db88adb41fa05971689f27da69
SHA256 4bf5f9e229b749f1715ebe022e3c6d3619f7e6760d5c713860cd04993728d431
SHA512 b8057970eaa56b2cdc2d788805c38577e05f03047da597057527a17d6500917aae95ab93465cea1d3b465a692718f7d36b3f3812f66d65998961fb8b664f45ee
CRC32 422A0210
Ssdeep 768:dHadl8KOyHpKG9I/cWsyqAgg4J0pMziUo78RCu+Cc2BkmrBYhyLorAI9iJ:ZQ8KOg5G//syqFg4J0FUo7RuOfALomJ
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
23.72.90.7 美国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
A 23.72.90.16
A 23.72.90.7

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00402d5c
声明校验值 0x00000000
实际校验值 0x0000df5c
最低操作系统版本要求 4.0
编译时间 2002-05-26 07:31:07
载入哈希 21519d4d241afc64aa3561f3cf9e105d
图标
图标精确哈希值 0b1bd0e25b70f1e930c6728cd281077c
图标相似性哈希值 351f63b5cff50bf952d3969d18d99694

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00001eec 0x00002000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.18
.rdata 0x00003000 0x000006fc 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.65
.data 0x00004000 0x000115bc 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.00
.rsrc 0x00016000 0x000007f0 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.14

覆盖

偏移量 0x00003a00
大小 0x00009ef9

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
BIN 0x000163f0 0x00000400 LANG_ENGLISH SUBLANG_ENGLISH_US 7.82 data
RT_ICON 0x000160f0 0x000002e8 LANG_ENGLISH SUBLANG_ENGLISH_US 3.05 data
RT_GROUP_ICON 0x000163d8 0x00000014 LANG_ENGLISH SUBLANG_ENGLISH_US 2.16 MS Windows icon resource - 1 icon, 32x32, 16 colors

导入

库: KERNEL32.dll:
0x403010 UnmapViewOfFile
0x403014 lstrcpynA
0x403018 GetModuleFileNameA
0x40301c MapViewOfFile
0x403020 CreateFileMappingA
0x403024 CreateProcessA
0x403028 lstrcpyA
0x40302c lstrcatA
0x403030 GetFileSize
0x403034 CreateFileA
0x403038 ExitProcess
0x40303c WriteFile
0x403040 lstrlenA
0x403044 SetThreadContext
0x403048 WriteProcessMemory
0x40304c WaitForSingleObject
0x403050 ResumeThread
0x403054 GetModuleHandleA
0x403068 DeleteFileA
0x40306c SizeofResource
0x403070 LockResource
0x403074 LoadResource
0x403078 FindResourceA
0x40307c SetEndOfFile
0x403080 GetTempFileNameA
0x403084 TerminateProcess
0x403088 CloseHandle
0x40308c GetThreadContext
0x403090 LoadLibraryA
0x403094 GetTempPathA
0x403098 GetStartupInfoA
库: USER32.dll:
0x4030fc MessageBoxA
0x403100 wsprintfA
库: ADVAPI32.dll:
0x403000 RegCloseKey
0x403004 RegQueryValueExA
0x403008 RegOpenKeyA
库: SHLWAPI.dll:
0x4030e8 PathIsDirectoryA
0x4030ec PathAddBackslashA
0x4030f0 PathFileExistsA
0x4030f4 PathRemoveFileSpecA
库: MSVCRT.dll:
0x4030a0 _XcptFilter
0x4030a4 exit
0x4030a8 _acmdln
0x4030ac _controlfp
0x4030b0 ??3@YAXPAX@Z
0x4030b4 ??2@YAPAXI@Z
0x4030b8 malloc
0x4030bc free
0x4030c0 _exit
0x4030c4 _except_handler3
0x4030c8 __setusermatherr
0x4030cc __getmainargs
0x4030d0 _initterm
0x4030d4 __p__fmode
0x4030d8 _adjust_fdiv
0x4030dc __p__commode
0x4030e0 __set_app_type
.text
`.rdata
@.data
.rsrc
jBhh@@
SUVWPhdE@
Qh(A@
RPh A@
PQh\A@
jBh\D@
jCh\D@
jDh\D@
jEh\D@
MPQDRAFT_%08x_SECTION
Hydroxypropyl Methylcellulose
TerminateProcess
CloseHandle
UnmapViewOfFile
WaitForSingleObject
ResumeThread
lstrcpynA
GetModuleFileNameA
MapViewOfFile
CreateFileMappingA
CreateProcessA
lstrcpyA
lstrcatA
GetFileSize
CreateFileA
ExitProcess
WriteFile
lstrlenA
SetThreadContext
WriteProcessMemory
LoadLibraryA
GetThreadContext
GetModuleHandleA
LeaveCriticalSection
EnterCriticalSection
InitializeCriticalSection
DeleteCriticalSection
DeleteFileA
SizeofResource
LockResource
LoadResource
FindResourceA
SetEndOfFile
GetTempFileNameA
GetTempPathA
KERNEL32.dll
wsprintfA
MessageBoxA
USER32.dll
RegCloseKey
RegQueryValueExA
RegOpenKeyA
ADVAPI32.dll
PathRemoveFileSpecA
PathIsDirectoryA
PathFileExistsA
PathAddBackslashA
SHLWAPI.dll
??3@YAXPAX@Z
??2@YAPAXI@Z
malloc
MSVCRT.dll
_exit
_XcptFilter
_acmdln
__getmainargs
_initterm
__setusermatherr
_adjust_fdiv
__p__commode
__p__fmode
__set_app_type
_except_handler3
_controlfp
GetStartupInfoA
lplpszMPQNames[iCurMPQs]
lpAuxModules
lplpszMPQNames
lpszDLLPath
lpszTargetPath
C:\My Programs\C\MPQDraft\Common.cpp
lpszGameValue
lpszGameKey
lpszFilePath
lpszFileName
Unable to perform the patch. This SEMPQ is corrupted.
The patch was unsuccessful.
"%s" %s
Unable to locate %s to patch.
Self-Executing MPQ
lpdwDataSize
lplpStubData
C:\My Programs\C\MPQDraft\Stub\MPQStub.cpp
lpStubData
hEFSFile
pAuxModules
lpszDLLFileName
Assertion Failure
(The application will now close)
C:\My Programs\C\Common\QCrypt.cpp
dwLength
lpvBuffer
dwStrength >= CYK_MIN_KEY_STRENGTH || dwStrength <= CYK_MAX_KEY_STRENGTH
lpCYKKey
dwPassSize > 0 && dwPassSize <= CYK_MAX_PASS_LENGTH
lpszPassword
lpDLLFileName
lpProcessInformation->hThread != INVALID_HANDLE_VALUE
lpProcessInformation->hProcess != INVALID_HANDLE_VALUE
lpProcessInformation
C:\My Programs\C\Common\QInjectDLL.cpp
C:\My Programs\C\Common\QResource.cpp
lpdwResSize
lpvResData
lpszResType
lpszResName
lpszOutFileName
dwFileSize
lpbyFileData
lpdwFileSize
lplpvFileData
Embedded
lpdwFileID
lpdwComponentID
Compressed by Petite (c)1999 Ian Luck.
.petite
ERROR!
Corrupt Data!
ExitProcess
LoadLibraryA
GetProcAddress
VirtualProtect
GlobalAlloc
MessageBoxA
wsprintfA
KERNEL32.dll
USER32.dll
MSVCRT.dll
没有防病毒引擎扫描信息!

进程树

____________ ____________Mod.exe, PID: 2468, 上一级进程 PID: 2160
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
23.72.90.7 美国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.72.90.7 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
acroipm.adobe.com CNAME a1983.dscd.akamai.net
CNAME acroipm.adobe.com.edgesuite.net
A 23.72.90.16
A 23.72.90.7

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.72.90.7 acroipm.adobe.com 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 15.532 seconds )

  • 11.997 Suricata
  • 2.26 NetworkAnalysis
  • 0.631 Static
  • 0.312 peid
  • 0.259 TargetInfo
  • 0.056 BehaviorAnalysis
  • 0.01 AnalysisInfo
  • 0.005 Strings
  • 0.002 Memory

Signatures ( 1.421 seconds )

  • 1.312 md_url_bl
  • 0.02 antiav_detectreg
  • 0.01 md_domain_bl
  • 0.008 infostealer_ftp
  • 0.006 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_im
  • 0.004 antianalysis_detectreg
  • 0.004 geodo_banking_trojan
  • 0.004 network_http
  • 0.004 ransomware_files
  • 0.003 api_spamming
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_mail
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 stealth_decoy_document
  • 0.002 rat_nanocore
  • 0.002 stealth_timeout
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 network_torgateway
  • 0.001 betabot_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 cerber_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.466 seconds )

  • 0.465 ReportHTMLSummary
  • 0.001 Malheur
Task ID 656459
Mongo ID 614ad3f27e769a4de3ef2972
Cuckoo release 1.4-Maldun