分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2021-11-20 23:55:13 2021-11-20 23:57:22 129 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 [fuliba2021.net]AliShareTool.exe
文件大小 4621328 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 841d89d79e876a1e25c3458982f7894c
SHA1 5763b1ba1d14bc633dd2749a922823c9fb602c1b
SHA256 9232b005fe5b6099cc7a2f5ee87a8177461336061cd166234b6f52364c79611f
SHA512 da9bc22005d18d9f83dc2f93c7bc886647e2eda1b0856cc7c138ce21b3a3d83229b6abd1a1bfeeb6b985cccd5b11907ff3fea0084dfec6f57e483c86b8516122
CRC32 B4796434
Ssdeep 49152:dLwqhBbpAlSoR0mF9zewpXWzr9t1WrX3I89DegjMxWUoXg2wTsiHSeuZHexxsLAi:BvbpAR0PwhWcrnIaD/mWUoFKjSBZpAan
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00d33058
声明校验值 0x00472596
实际校验值 0x00472596
最低操作系统版本要求 5.0
编译时间 2021-07-11 13:34:16
载入哈希 e46189f8f572f55106286c2c102d2dc9
图标
图标精确哈希值 4191d38292a000af2c57a1fc0c335ce4
图标相似性哈希值 49bacc2ee0d521d7dde848295facd699
导出DLL库名称 AliShareTool.exe

版本信息

LegalCopyright
FileVersion
ProductName
ProgramID
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
0x00001000 0x002981c8 0x000ed7c8 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.98
0x0029a000 0x00001cfc 0x00000fd1 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.91
0x0029c000 0x0000a150 0x00005a87 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.94
0x002a7000 0x00026abc 0x00000000 IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
0x002ce000 0x00007bde 0x00000850 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.29
0x002d6000 0x00000a6a 0x000003a5 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.73
0x002d7000 0x0000009e 0x00000080 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.36
0x002d8000 0x00000048 0x00000000 IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
0x002d9000 0x0000005d 0x00000057 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.20
0x002da000 0x00038ef8 0x0002053f IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 7.97
0x00313000 0x000ef000 0x00033bc6 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.97
.exports 0x00402000 0x00001000 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 1.96
.imports 0x00403000 0x00001000 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 3.63
.tls 0x00404000 0x00001000 0x00000200 IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.14
.rsrc 0x00405000 0x00019200 0x00019200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.33
.themida 0x0041f000 0x00514000 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.boot 0x00933000 0x00304c00 0x00304c00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.94
.reloc 0x00c38000 0x00001000 0x00000010 IMAGE_SCN_MEM_READ 2.35

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x0041d274 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.15 GLS_BINARY_LSB_FIRST
RT_ICON 0x0041d274 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.15 GLS_BINARY_LSB_FIRST
RT_ICON 0x0041d274 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.15 GLS_BINARY_LSB_FIRST
RT_ICON 0x0041d274 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.15 GLS_BINARY_LSB_FIRST
RT_ICON 0x0041d274 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.15 GLS_BINARY_LSB_FIRST
RT_GROUP_ICON 0x0041d6ec 0x0000004c LANG_ENGLISH SUBLANG_ENGLISH_US 2.80 MS Windows icon resource - 5 icons, 128x128
RT_VERSION 0x0041d748 0x00000254 LANG_ENGLISH SUBLANG_ENGLISH_US 3.25 data
RT_MANIFEST 0x0041d9ac 0x0000069f LANG_ENGLISH SUBLANG_ENGLISH_US 5.27 XML 1.0 document, ASCII text, with CRLF, LF line terminators

导入

库: kernel32.dll:
0x8032fc GetModuleHandleA
库: shlwapi.dll:
0x803304 PathCombineW
库: wininet.dll:
0x80330c InternetCloseHandle
库: winspool.drv:
0x803314 DocumentPropertiesW
库: comctl32.dll:
库: shell32.dll:
0x803324 DragQueryFileW
库: user32.dll:
0x80332c CopyImage
库: version.dll:
库: oleaut32.dll:
0x80333c SafeArrayPutElement
库: advapi32.dll:
0x803344 RegSetValueExW
库: netapi32.dll:
0x80334c NetWkstaGetInfo
库: msvcrt.dll:
0x803354 memcpy
库: gdiplus.dll:
0x80335c GdipFillEllipseI
库: ole32.dll:
0x803364 IsEqualGUID
库: gdi32.dll:
0x80336c Pie

导出

序列 地址 名称
3 0x464768 TMethodImplementationIntercept
2 0x410d18 __dbk_fcall_wrapper
1 0x6aa63c dbkFCallWrapperAddr
@ H
]
B
@.exports
@.imports
.rsrc
@.themida
.boot
`.reloc
t%sSC
1[b.sJk
没有防病毒引擎扫描信息!

进程树


_fuliba2021.net_AliShareTool.exe, PID: 2592, 上一级进程 PID: 2252

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.52.59 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.52.59 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 20.503 seconds )

  • 12.159 Suricata
  • 3.091 Static
  • 1.856 NetworkAnalysis
  • 1.657 TargetInfo
  • 1.303 BehaviorAnalysis
  • 0.38 peid
  • 0.029 config_decoder
  • 0.014 AnalysisInfo
  • 0.012 Strings
  • 0.002 Memory

Signatures ( 1.749 seconds )

  • 1.373 md_url_bl
  • 0.094 api_spamming
  • 0.085 stealth_decoy_document
  • 0.076 stealth_timeout
  • 0.02 antiav_detectreg
  • 0.01 md_domain_bl
  • 0.008 infostealer_ftp
  • 0.007 antiav_detectfile
  • 0.007 geodo_banking_trojan
  • 0.005 anomaly_persistence_autorun
  • 0.005 antidbg_windows
  • 0.005 infostealer_im
  • 0.004 antianalysis_detectreg
  • 0.004 infostealer_bitcoin
  • 0.004 infostealer_mail
  • 0.004 ransomware_files
  • 0.003 antivm_vbox_files
  • 0.003 network_http
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 antiemu_wine_func
  • 0.002 kovter_behavior
  • 0.002 modify_proxy
  • 0.002 disables_browser_warn
  • 0.002 md_bad_drop
  • 0.001 rat_nanocore
  • 0.001 packer_themida
  • 0.001 antisandbox_sleep
  • 0.001 antivm_vbox_window
  • 0.001 betabot_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 infostealer_browser_password
  • 0.001 cerber_behavior
  • 0.001 antisandbox_script_timer
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 network_cnc_http

Reporting ( 0.6 seconds )

  • 0.594 ReportHTMLSummary
  • 0.006 Malheur
Task ID 665704
Mongo ID 61991b017e769a1fb43ab52b
Cuckoo release 1.4-Maldun