比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp02-1 2021-09-22 02:01:10 2021-09-22 02:01:12 2 秒

魔盾分数

0.4

正常的

文件详细信息

文件名 S2t271roUf.exe
文件大小 3688456 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 a726f8ec77e0fab71fd35bbcea88a965
SHA1 abed20d452569a617268c7ef517387ae45a36221
SHA256 316052d749091264d7f14187c3e5ce8a9639bcbf012284c8db3b809786431e22
SHA512 87158b776267970bc434d33ee569d0f6adb06a6e743ff0a6e0a5fadd2d71fa3b9b4bf8c1fcab8a631ae3e140288fe712fe9cb4e1dcb6e30a68d3bb076bd0d5b4
CRC32 126067CB
Ssdeep 98304:IocJpQUAYX253kyb56ApAfaUxa/DqBB5zWZ:g0KC3tEAOa/DU56Z
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00aa3001
声明校验值 0x00000000
实际校验值 0x00392d49
最低操作系统版本要求 4.0
编译时间 2021-09-20 01:32:45
载入哈希 75c24e60de984fd1e632cea8a1f36f44

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PEiD 规则

[u'ASProtect V2.X DLL -> Alexey Solodovnikov']
[u'ASPack v2.12 -> Alexey Solodovnikov']
[u'ASPack v2.12 -> Alexey Solodovnikov']

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000b6000 0x0004ce00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 8.00
.rdata 0x000b7000 0x00573000 0x00320600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 8.00
.data 0x0062a000 0x00069000 0x00006c00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.98
.rsrc 0x00693000 0x00010000 0x00000c00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.00
.aspack 0x006a3000 0x00010000 0x0000f800 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.92
.adata 0x006b3000 0x00001000 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00

覆盖

偏移量 0x00384800
大小 0x00000008

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_DIALOG 0x006a1bc8 0x000000ea LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x006a1cdc 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x006a1cdc 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x006a1cdc 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None

导入

库: kernel32.dll:
0xaa3fb8 GetProcAddress
0xaa3fbc GetModuleHandleA
0xaa3fc0 LoadLibraryA
库: winmm.dll:
0xaa41ce midiStreamOut
库: ws2_32.dll:
0xaa41d6 WSAAsyncSelect
库: rasapi32.dll:
0xaa41de RasHangUpA
库: user32.dll:
库: gdi32.dll:
0xaa41ee ExtSelectClipRgn
库: winspool.drv:
0xaa41f6 OpenPrinterA
库: advapi32.dll:
0xaa41fe RegOpenKeyExA
库: shell32.dll:
0xaa4206 Shell_NotifyIconA
库: ole32.dll:
0xaa420e OleRun
库: oleaut32.dll:
0xaa4216 UnRegisterTypeLib
库: comctl32.dll:
0xaa421e None
库: wininet.dll:
库: comdlg32.dll:
0xaa422e ChooseColorA
.text
.rdata
.data
.rsrc
.aspack
.adata
3.bX1!
-E(>8
没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 8.474 seconds )

  • 7.146 Static
  • 0.89 TargetInfo
  • 0.371 peid
  • 0.038 AnalysisInfo
  • 0.013 config_decoder
  • 0.012 Strings
  • 0.002 BehaviorAnalysis
  • 0.002 Memory

Signatures ( 0.09 seconds )

  • 0.017 md_url_bl
  • 0.011 antiav_detectreg
  • 0.008 md_domain_bl
  • 0.006 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.005 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 cerber_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.001 betabot_behavior
  • 0.001 kibex_behavior
  • 0.001 geodo_banking_trojan
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop

Reporting ( 0.484 seconds )

  • 0.475 ReportHTMLSummary
  • 0.009 Malheur
Task ID 656368
Mongo ID 614a1dffdc327b127a4db099
Cuckoo release 1.4-Maldun