分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2022-07-05 13:32:02 2022-07-05 13:32:38 36 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 Downloader.vmp.exe
文件大小 4256256 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 78c756603851dc8461187f7ae53e7ce5
SHA1 10df79936b3fdc43ec63e1430bd7e6deff6e5dbd
SHA256 927e7683c6de88f8587475075258357e7d158cb66aeee7a555aac36527bddeb7
SHA512 b0a2ce909cafe69f718c17dd40c9992776a18b559dde0895a9071c17081e14dbbcb01c8d3c990d312b630b53ef425ba1ae42d76e40efe9660fcac9ed29c238c9
CRC32 E1A015F8
Ssdeep 98304:yan5pYq/sLHXel4NNxh1oubll0meRYYZL/OWuzs8:dgqICCfjv0BRFy
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00aab0e0
声明校验值 0x00000000
实际校验值 0x00417bf3
最低操作系统版本要求 6.0
编译时间 2022-07-05 10:31:34
载入哈希 8bdbe59a318e29c3368d4abc73508cf6

版本信息

LegalCopyright
ProductVersion
FileDescription
FileVersion
CompanyName
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00073e17 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x00075000 0x00016cc0 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x0008c000 0x000033fc 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.data0 0x00090000 0x0023ee75 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.data1 0x002cf000 0x0040e750 0x0040e800 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.92
.rsrc 0x006de000 0x000004bc 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.91

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_VERSION 0x006de0a0 0x000001f8 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 3.37 data
RT_MANIFEST 0x006de298 0x00000224 LANG_ENGLISH SUBLANG_ENGLISH_US 5.04 XML 1.0 document, UTF-8 Unicode (with BOM) text, with very long lines, with CRLF line terminators

导入

库: SHELL32.dll:
库: USER32.dll:
0xa24008 wsprintfA
库: WLDAP32.dll:
0xa24010 None
库: WS2_32.dll:
0xa24018 recv
库: ADVAPI32.dll:
库: CRYPT32.dll:
0xa24028 PFXImportCertStore
库: Normaliz.dll:
0xa24030 IdnToAscii
库: VERSION.dll:
0xa24038 GetFileVersionInfoA
库: IPHLPAPI.DLL:
0xa24040 GetAdaptersInfo
库: KERNEL32.dll:
0xa24048 LCMapStringW
库: WTSAPI32.dll:
0xa24050 WTSSendMessageW
库: KERNEL32.dll:
0xa24058 VirtualQuery
库: USER32.dll:
库: KERNEL32.dll:
0xa24068 LocalAlloc
0xa2406c LocalFree
0xa24070 GetModuleFileNameW
0xa24080 Sleep
0xa24084 ExitProcess
0xa24088 FreeLibrary
0xa2408c LoadLibraryA
0xa24090 GetModuleHandleA
0xa24094 GetProcAddress
库: USER32.dll:

.text
`.rdata
@.data
.data0
`.data1
`.rsrc
75M5h
*n>DXnh*
^wP2Y
-F5U
wsprintfA
GetModuleHandleA
O{OCZ
没有防病毒引擎扫描信息!

进程树


Downloader.vmp.exe, PID: 2540, 上一级进程 PID: 2248

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 125.56.201.106 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 125.56.201.106 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 16.684 seconds )

  • 10.375 Suricata
  • 2.542 Static
  • 1.329 VirusTotal
  • 1.045 NetworkAnalysis
  • 0.947 TargetInfo
  • 0.353 peid
  • 0.056 BehaviorAnalysis
  • 0.013 AnalysisInfo
  • 0.011 config_decoder
  • 0.011 Strings
  • 0.002 Memory

Signatures ( 1.368 seconds )

  • 1.272 md_url_bl
  • 0.018 antiav_detectreg
  • 0.007 infostealer_ftp
  • 0.007 md_domain_bl
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.004 antianalysis_detectreg
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_im
  • 0.004 ransomware_files
  • 0.003 api_spamming
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_mail
  • 0.003 network_http
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 stealth_decoy_document
  • 0.002 stealth_timeout
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 kibex_behavior
  • 0.001 cerber_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.454 seconds )

  • 0.453 ReportHTMLSummary
  • 0.001 Malheur
Task ID 698003
Mongo ID 62c3cd147e769a0d6d18e90f
Cuckoo release 1.4-Maldun