恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp02-1	2021-10-08 15:45:48	2021-10-08 15:45:48	0 秒

魔盾分数

1.4

正常的

文件详细信息

文件名	SECOPatcher.dll
文件大小	6656 字节
文件类型	PE32+ executable (DLL) (GUI) x86-64, for MS Windows
MD5	5c5dc1d8085a9df4cc44f5f39630297d
SHA1	5f82a6b89bccaf37849b943c99b49fac204f7450
SHA256	a6b7bcc8e941a7aafb8c077dc4b17344a965e7e0da0f012d24f27b982434850e
SHA512	9e9029ded4cfda70a229b88ca0088b53703dfa8ac8bc88da8a8a8c8e8080f87e610d4f42900a8d7619bf87cb95c887557dbe3054fd6663a24f07f00f074d9ba1
CRC32	90D91A46
Ssdeep	96:G9lk4Roy4A+WJAHOSmTsz7TRHWfUwtdkS6hJTZNZ6tkG:G9aHy4A+WJEOSmAPT6VdkS6hJTZr6t
Yara	登录查看Yara规则
	样本下载提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x180000000
入口地址	0x180001644
声明校验值	0x00000000
实际校验值	0x00002906
最低操作系统版本要求	6.0
PDB路径	W:\SECOPatcher\temp\Release\x64\SECOPatcher\SECOPatcher.pdb
编译时间	2018-08-20 05:04:30
载入哈希	cc5cdf739669e47df365e01612fa8797
导出DLL库名称	\x38\x3667\x37\x38\x39\x31\x39\x31\x31\x31\x34\x31\x31\x31

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000006f2	0x00000800	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	5.40
.rdata	0x00002000	0x00000972	0x00000a00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	4.32
.data	0x00003000	0x00000040	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.39
.reloc	0x00004000	0x00000014	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ	0.23

导入

库: msvcrt.dll:

• 0x1800020f8 _stricmp

• 0x180002100 _wcsicmp

• 0x180002108 wcslen

• 0x180002110 wcsstr

• 0x180002118 wcsrchr

库: KERNEL32.dll:

• 0x180002000 SuspendThread

• 0x180002008 Thread32Next

• 0x180002010 Thread32First

• 0x180002018 Process32NextW

• 0x180002020 Process32FirstW

• 0x180002028 CreateToolhelp32Snapshot

• 0x180002030 DebugActiveProcessStop

• 0x180002038 CloseHandle

• 0x180002040 GetLastError

• 0x180002048 SetLastError

• 0x180002050 WaitForSingleObject

• 0x180002058 Sleep

• 0x180002060 GetCurrentProcess

• 0x180002068 ExitProcess

• 0x180002070 GetExitCodeProcess

• 0x180002078 CreateRemoteThread

• 0x180002080 OpenThread

• 0x180002088 GetExitCodeThread

• 0x180002090 GetModuleHandleA

• 0x180002098 ResumeThread

• 0x1800020a0 CreateProcessW

• 0x1800020a8 GetStartupInfoW

• 0x1800020b0 OpenProcess

• 0x1800020b8 VirtualProtect

• 0x1800020c0 VirtualAllocEx

• 0x1800020c8 VirtualFreeEx

• 0x1800020d0 WriteProcessMemory

• 0x1800020d8 DisableThreadLibraryCalls

• 0x1800020e0 GetModuleFileNameW

• 0x1800020e8 GetProcAddress

导出

序列	地址	名称
1	0x1800011a4	InitHook
2	0x18000143c	PatcherMainW

.text
`.rdata
@.data
.reloc
kernel32.dll
LoadLibraryW
rpcrt4.dll
RpcStringBindingComposeW
W:\SECOPatcher\temp\Release\x64\SECOPatcher\SECOPatcher.pdb
.text$mn
.idata$5
.pdata
.rdata
.rdata$zzzdbg
.xdata
.edata
.idata$2
.idata$3
.idata$4
.idata$6
.data
SECOPatcher.dll
InitHook
PatcherMainW
wcsrchr
wcsstr
wcslen
_wcsicmp
_stricmp
msvcrt.dll
DebugActiveProcessStop
CloseHandle
GetLastError
SetLastError
WaitForSingleObject
Sleep
GetCurrentProcess
ExitProcess
GetExitCodeProcess
CreateRemoteThread
OpenThread
GetExitCodeThread
SuspendThread
ResumeThread
CreateProcessW
GetStartupInfoW
OpenProcess
VirtualProtect
VirtualAllocEx
VirtualFreeEx
WriteProcessMemory
DisableThreadLibraryCalls
GetModuleFileNameW
GetModuleHandleA
GetProcAddress
CreateToolhelp32Snapshot
Process32FirstW
Process32NextW
Thread32First
Thread32Next
KERNEL32.dll
OSPPOBJS.DLL
SPPOBJS.DLL
ncacn_ip_tcp
127.0.0.1
rundll32.exe
SppExtComObj.exe
sppsvc.exe
SECOPatcher.dll

没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 0.996 seconds )

0.424 Static
0.319 peid
0.238 TargetInfo
0.01 AnalysisInfo
0.003 Memory
0.002 BehaviorAnalysis

Signatures ( 0.081 seconds )

0.012 antiav_detectreg
0.009 md_url_bl
0.008 md_domain_bl
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.005 infostealer_ftp
0.004 ransomware_extensions
0.004 ransomware_files
0.003 infostealer_bitcoin
0.003 infostealer_im
0.002 tinba_behavior
0.002 antianalysis_detectreg
0.002 antivm_vbox_files
0.002 geodo_banking_trojan
0.002 disables_browser_warn
0.002 infostealer_mail
0.001 rat_nanocore
0.001 betabot_behavior
0.001 shifu_behavior
0.001 cerber_behavior
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 stealth_modify_uac_prompt

Reporting ( 0.5 seconds )

0.461 ReportHTMLSummary
0.039 Malheur


Task ID	658606
Mongo ID	615ff738dc327b2270805abc
Cuckoo release	1.4-Maldun