恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2021-09-22 15:57:01	2021-09-22 15:59:09	128 秒

魔盾分数

7.4333125

危险的

文件详细信息

文件名	安妮.exe
文件大小	7122944 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	59616bc5bb0da803058f5abe02e8e139
SHA1	24406bd90949e3b5970568269e33b1663316c9da
SHA256	31e5bd163008a9b3db0af3655308c25dcab75f76e726bf02ef899960c78b56c3
SHA512	55d3560da2973271d37be334122dda4ebc2b2bf95fb6de9fa6efe6ed171cd461f067e176113bbdb726ae3e544397ddf9981c73bda1dd3b6a9d9af55daab91eda
CRC32	F2445604
Ssdeep	196608:FyErMHNHq4mxVEaJlfjl26TGKhrxmQFydl10Ci66:gEKA4cj30676Qol10A
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.91.68.27	美国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME a1983.dscd.akamai.net CNAME acroipm.adobe.com.edgesuite.net A 104.91.68.27 A 104.91.68.75

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00cc984a
声明校验值	0x006d2c79
实际校验值	0x006d2c79
最低操作系统版本要求	5.0
编译时间	2021-08-12 13:23:00
载入哈希	4bf101810afeacb199010cf5f5502a7d

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000b19ba	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.rdata	0x000b3000	0x0023f1ae	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.data	0x002f3000	0x0002abe8	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.vmp0	0x0031e000	0x002e77d4	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.vmp1	0x00606000	0x006c8ea0	0x006c9000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.97
.rsrc	0x00ccf000	0x00000225	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	1.12

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_MANIFEST	0x00ccf058	0x000001cd	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.08	XML 1.0 document, ASCII text, with very long lines, with no line terminators

导入

库: KERNEL32.dll:

• 0x1096000 GetVersionExA

• 0x1096004 GetVersion

库: USER32.dll:

• 0x109600c RegisterClassA

库: GDI32.dll:

• 0x1096014 SelectClipRgn

库: WINMM.dll:

• 0x109601c midiStreamRestart

库: WINSPOOL.DRV:

• 0x1096024 ClosePrinter

库: ADVAPI32.dll:

• 0x109602c RegCloseKey

库: SHELL32.dll:

• 0x1096034 ShellExecuteA

库: ole32.dll:

• 0x109603c OleInitialize

库: OLEAUT32.dll:

• 0x1096044 UnRegisterTypeLib

库: COMCTL32.dll:

• 0x109604c ImageList_Destroy

库: WS2_32.dll:

• 0x1096054 recvfrom

库: comdlg32.dll:

• 0x109605c GetFileTitleA

库: WTSAPI32.dll:

• 0x1096064 WTSSendMessageW

库: KERNEL32.dll:

• 0x109606c VirtualQuery

库: USER32.dll:

• 0x1096074 GetUserObjectInformationW

库: KERNEL32.dll:

• 0x109607c LocalAlloc

• 0x1096080 LocalFree

• 0x1096084 GetModuleFileNameW

• 0x1096088 GetProcessAffinityMask

• 0x109608c SetProcessAffinityMask

• 0x1096090 SetThreadAffinityMask

• 0x1096094 Sleep

• 0x1096098 ExitProcess

• 0x109609c FreeLibrary

• 0x10960a0 LoadLibraryA

• 0x10960a4 GetModuleHandleA

• 0x10960a8 GetProcAddress

库: USER32.dll:

• 0x10960b0 GetProcessWindowStation

• 0x10960b4 GetUserObjectInformationW

.text
`.rdata
@.data
.vmp0
`.vmp1
`.rsrc
GetVersionExA
Sleep
 V+ST
I)DFW

没有防病毒引擎扫描信息!

进程树

______.exe id: 2480

搜索
______.exe (2480)

______.exe, PID: 2480, 上一级进程 PID: 2236

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.91.68.27	美国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	104.91.68.27 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
acroipm.adobe.com	CNAME a1983.dscd.akamai.net CNAME acroipm.adobe.com.edgesuite.net A 104.91.68.27 A 104.91.68.75

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	104.91.68.27 acroipm.adobe.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 20.023 seconds )

10.607 Suricata
4.04 Static
1.973 NetworkAnalysis
1.614 BehaviorAnalysis
1.438 TargetInfo
0.31 peid
0.017 config_decoder
0.011 AnalysisInfo
0.011 Strings
0.002 Memory

Signatures ( 2.1 seconds )

1.309 md_url_bl
0.114 process_interest
0.111 api_spamming
0.106 injection_createremotethread
0.082 stealth_timeout
0.072 stealth_decoy_document
0.07 vawtrak_behavior
0.069 injection_runpe
0.051 process_needed
0.019 antiav_detectreg
0.01 md_domain_bl
0.008 infostealer_ftp
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.005 infostealer_im
0.004 antianalysis_detectreg
0.004 geodo_banking_trojan
0.004 ransomware_files
0.003 mimics_filetime
0.003 reads_self
0.003 infostealer_bitcoin
0.003 infostealer_mail
0.003 network_http
0.003 ransomware_extensions
0.002 tinba_behavior
0.002 bootkit
0.002 stealth_file
0.002 antisandbox_sleep
0.002 antivm_generic_disk
0.002 virus
0.002 hancitor_behavior
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 network_torgateway
0.001 rat_nanocore
0.001 betabot_behavior
0.001 kibex_behavior
0.001 cerber_behavior
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http
0.001 stealth_modify_uac_prompt

Reporting ( 0.492 seconds )

0.49 ReportHTMLSummary
0.002 Malheur


Task ID	656466
Mongo ID	614ae26f7e769a4de3ef2a04
Cuckoo release	1.4-Maldun