分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-2 2022-01-29 16:21:36 2022-01-29 16:23:45 129 秒

魔盾分数

2.9

可疑的

文件详细信息

文件名 wz_zp_protected.dll
文件大小 1343488 字节
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5 99d5a928ef374f3a900daed785c21c4e
SHA1 bfa9771dff51864436c052e6ee0e1bc9acbd77cb
SHA256 1a221be503e5595a5e75b9e6b38e96e0f474125af714140c7d168c70e52ab185
SHA512 af242a7c39a9eb7fdbd96b51dc2ec2060140e5e9716bd5b00e3f4a399d0e9176d6c916a661cecbb4b0a1359febc0733951a0fdaa778fe8c35474139841885cd7
CRC32 FF6C62FA
Ssdeep 24576:5bxRF6gjhdwz2AoJ5s1oSB43+et/NVIQb6O1CIQcJETrP:5b3ggjhKu+lB4bpDIQB77I
Yara 登录查看Yara规则
找不到该样本 提交漏报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x10000000
入口地址 0x103fdaa4
声明校验值 0x000762ad
实际校验值 0x00148c0f
最低操作系统版本要求 4.0
编译时间 2022-01-29 16:05:04
载入哈希 897e5fd46b008902238aab2b4dbe58f1
导出DLL库名称 wz_zp.dll

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
0x00001000 0x00056000 0x00021000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.96
0x00057000 0x00007000 0x00002000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.52
0x0005e000 0x0002b000 0x00005000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.72
0x00089000 0x0000a000 0x00004000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.81
0x00093000 0x0027f000 0x0002c000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.99
.data 0x00312000 0x000ef000 0x000ef000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.98

导入

库: kernel32.dll:
0x103121d0 GetModuleHandleA
0x103121d4 GetProcAddress
0x103121d8 ExitProcess
0x103121dc LoadLibraryA
库: user32.dll:
0x103121e4 MessageBoxA
库: advapi32.dll:
0x103121ec RegCloseKey
库: oleaut32.dll:
0x103121f4 SysFreeString
库: gdi32.dll:
0x103121fc CreateFontA
库: shell32.dll:
0x10312204 ShellExecuteA
库: version.dll:
0x1031220c GetFileVersionInfoA
库: iphlpapi.dll:
0x10312214 GetAdaptersInfo
库: SHLWAPI.dll:
0x1031221c PathFileExistsA
库: WS2_32.dll:
0x10312224 gethostbyname
库: ole32.dll:
0x1031222c CLSIDFromString
库: PSAPI.DLL:
0x10312234 GetMappedFileNameA
库: gdiplus.dll:
0x1031223c GdipDisposeImage
库: oledlg.dll:
0x10312244 None
库: WINSPOOL.DRV:
0x1031224c DocumentPropertiesA
库: COMCTL32.dll:
0x10312254 None

导出

序列 地址 名称
1 0x100232b2 Init
2 0x100232be wzAudioCreate
.data
|,<is
x^$47
)c$r*
`HlK5(
7R_)w
:t*Ga
没有防病毒引擎扫描信息!

进程树


rundll32.exe, PID: 2692, 上一级进程 PID: 2292

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49160 23.63.74.41 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 50785 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49160 23.63.74.41 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 50785 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 23.585 seconds )

  • 10.788 Suricata
  • 10.306 NetworkAnalysis
  • 1.157 Static
  • 0.514 BehaviorAnalysis
  • 0.47 TargetInfo
  • 0.323 peid
  • 0.012 AnalysisInfo
  • 0.011 Strings
  • 0.002 Memory
  • 0.002 config_decoder

Signatures ( 1.989 seconds )

  • 1.592 md_url_bl
  • 0.048 antiav_detectreg
  • 0.032 api_spamming
  • 0.029 anomaly_persistence_autorun
  • 0.024 stealth_timeout
  • 0.023 stealth_decoy_document
  • 0.021 infostealer_ftp
  • 0.014 kovter_behavior
  • 0.013 antiemu_wine_func
  • 0.012 infostealer_browser_password
  • 0.01 disables_browser_warn
  • 0.01 infostealer_im
  • 0.009 antianalysis_detectreg
  • 0.009 md_domain_bl
  • 0.007 antiav_detectfile
  • 0.007 infostealer_mail
  • 0.005 ransomware_dmalocker
  • 0.005 sets_autoconfig_url
  • 0.005 geodo_banking_trojan
  • 0.005 browser_security
  • 0.005 modify_proxy
  • 0.004 anomaly_persistence_bootexecute
  • 0.004 anomaly_reset_winsock
  • 0.004 vawtrak_behavior
  • 0.004 disables_system_restore
  • 0.004 infostealer_bitcoin
  • 0.004 network_http
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 tinba_behavior
  • 0.003 banker_prinimalka
  • 0.003 kelihos_behavior
  • 0.003 creates_largekey
  • 0.003 cerber_behavior
  • 0.003 pony_behavior
  • 0.003 antivm_vbox_files
  • 0.003 browser_addon
  • 0.003 disables_windows_defender
  • 0.002 rat_nanocore
  • 0.002 injection_createremotethread
  • 0.002 betabot_behavior
  • 0.002 kibex_behavior
  • 0.002 antivm_parallels_keys
  • 0.002 antivm_xen_keys
  • 0.002 darkcomet_regkeys
  • 0.002 md_bad_drop
  • 0.002 office_security
  • 0.002 stealth_modify_uac_prompt
  • 0.001 bootkit
  • 0.001 antiav_avast_libs
  • 0.001 mimics_filetime
  • 0.001 stealth_file
  • 0.001 reads_self
  • 0.001 ursnif_behavior
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 ransomeware_modifies_desktop_wallpaper
  • 0.001 antivm_generic_disk
  • 0.001 injection_runpe
  • 0.001 virus
  • 0.001 antidbg_devices
  • 0.001 antivm_generic_diskreg
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 disables_windowsupdate
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 network_cnc_http
  • 0.001 ransomware_radamant
  • 0.001 rat_spynet
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_security_center_warnings

Reporting ( 0.579 seconds )

  • 0.536 ReportHTMLSummary
  • 0.043 Malheur
Task ID 675375
Mongo ID 61f4f9b87e769a11525d84ef
Cuckoo release 1.4-Maldun