恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2022-07-27 10:56:06	2022-07-27 10:59:09	183 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	yuci.exe
文件大小	386048 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	cf2f50f38e9c81ee3615c4563b513346
SHA1	4548101f0eba05cfacf26681d5b35ecfa33b9371
SHA256	c3716928c278cadc764572ace3157c4a33af75ffef7c6dae57a2e6d4e207be26
SHA512	8c0df861b2a3dd2fa72525cd289dadbc5d0fd24003e9b2291b774981fc5334f0f1149ac4025142e6b0a1df235ded57fa5dc8bf794209b869e4ce4e3682fba625
CRC32	62D9E4A1
Ssdeep	6144:bYrjz6wmPuD78neE6DpQLQNIzXpWR/6QwvcjFuJtuzvdwkj17nc:qmkD4eE6DqfXpWB6QwEjEzuzNR
Yara	登录查看Yara规则
	找不到该样本提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	43.248.201.133	中国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
318871430su.e1.luyouxia.net	未知	CNAME e1.luyouxia.net A 43.248.201.133

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00459f98
声明校验值	0x00068871
实际校验值	0x000681c9
最低操作系统版本要求	4.0
编译时间	2020-11-23 21:03:56
载入哈希	19d4e66d725c89ba6712b82bebc8196d
导出DLL库名称	Install.exe

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.data	0x00001000	0x0005da15	0x0005dc00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.89
.rsrc	0x0005f000	0x000002f0	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	4.31

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_MANIFEST	0x0005f060	0x0000028b	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.06	XML 1.0 document text

导入

库: KERNEL32.dll:

• 0x401000 GetProcAddress

• 0x401004 GetModuleHandleA

• 0x401008 GetStartupInfoA

• 0x40100c GetCommandLineA

• 0x401010 GetVersion

• 0x401014 ExitProcess

• 0x401018 TerminateProcess

• 0x40101c GetCurrentProcess

• 0x401020 UnhandledExceptionFilter

• 0x401024 GetModuleFileNameA

• 0x401028 FreeEnvironmentStringsA

• 0x40102c FreeEnvironmentStringsW

• 0x401030 WideCharToMultiByte

• 0x401034 GetEnvironmentStrings

• 0x401038 GetEnvironmentStringsW

• 0x40103c SetHandleCount

• 0x401040 GetStdHandle

• 0x401044 GetFileType

• 0x401048 GetCurrentThreadId

• 0x40104c TlsSetValue

• 0x401050 TlsAlloc

• 0x401054 SetLastError

• 0x401058 TlsGetValue

• 0x40105c GetLastError

• 0x401060 GetEnvironmentVariableA

• 0x401064 GetVersionExA

• 0x401068 HeapDestroy

• 0x40106c HeapCreate

• 0x401070 VirtualFree

• 0x401074 HeapFree

• 0x401078 RtlUnwind

• 0x40107c WriteFile

• 0x401080 InitializeCriticalSection

• 0x401084 EnterCriticalSection

• 0x401088 LeaveCriticalSection

• 0x40108c GetCPInfo

• 0x401090 GetACP

• 0x401094 GetOEMCP

• 0x401098 HeapAlloc

• 0x40109c VirtualAlloc

• 0x4010a0 HeapReAlloc

• 0x4010a4 LoadLibraryA

• 0x4010a8 MultiByteToWideChar

• 0x4010ac LCMapStringA

• 0x4010b0 LCMapStringW

• 0x4010b4 GetStringTypeA

• 0x4010b8 GetStringTypeW

• 0x4010bc InterlockedDecrement

• 0x4010c0 InterlockedIncrement

导出

序列	地址	名称
1	0x459f3f	Loader

.data
.rsrc
m{J:1$
6jsiY
TM&eA

没有防病毒引擎扫描信息!

进程树

yuci.exe id: 2544
- cmd.exe id: 2936
  - PING.EXE id: 2240
services.exe id: 432
- Micsrcoftd.exe id: 2820
  - Micsrcoftd.exe id: 2960

yuci.exe, PID: 2544, 上一级进程 PID: 2196

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 432, 上一级进程 PID: 344

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

Micsrcoftd.exe, PID: 2820, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

cmd.exe, PID: 2936, 上一级进程 PID: 2544

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

Micsrcoftd.exe, PID: 2960, 上一级进程 PID: 2820

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

PING.EXE, PID: 2240, 上一级进程 PID: 2936

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	43.248.201.133	中国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.204.147.34	80
192.168.122.201	49155	43.248.201.133 318871430su.e1.luyouxia.net	21162
192.168.122.201	49166	43.248.201.133 318871430su.e1.luyouxia.net	21162
192.168.122.201	49171	43.248.201.133 318871430su.e1.luyouxia.net	21162

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59071	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
318871430su.e1.luyouxia.net	未知	CNAME e1.luyouxia.net A 43.248.201.133

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.204.147.34	80
192.168.122.201	49155	43.248.201.133 318871430su.e1.luyouxia.net	21162
192.168.122.201	49166	43.248.201.133 318871430su.e1.luyouxia.net	21162
192.168.122.201	49171	43.248.201.133 318871430su.e1.luyouxia.net	21162

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59071	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 25.789 seconds )

11.537 NetworkAnalysis
10.843 Suricata
1.079 VirusTotal
0.882 BehaviorAnalysis
0.649 Static
0.431 peid
0.334 TargetInfo
0.019 AnalysisInfo
0.012 Strings
0.002 Memory
0.001 config_decoder

Signatures ( 1.845 seconds )

1.312 md_url_bl
0.097 antiav_detectreg
0.048 api_spamming
0.035 stealth_decoy_document
0.034 infostealer_ftp
0.028 stealth_timeout
0.02 infostealer_im
0.018 shifu_behavior
0.018 kovter_behavior
0.018 antianalysis_detectreg
0.017 antiemu_wine_func
0.015 infostealer_browser_password
0.011 infostealer_mail
0.011 md_domain_bl
0.009 antiav_detectfile
0.007 kibex_behavior
0.007 geodo_banking_trojan
0.006 antiav_avast_libs
0.006 betabot_behavior
0.006 antisandbox_sunbelt_libs
0.006 anomaly_persistence_autorun
0.005 mimics_filetime
0.005 antivm_xen_keys
0.005 darkcomet_regkeys
0.004 stealth_file
0.004 reads_self
0.004 antisandbox_sboxie_libs
0.004 antiav_bitdefender_libs
0.004 antivm_generic_disk
0.004 virus
0.004 antivm_generic_diskreg
0.004 infostealer_bitcoin
0.004 ransomware_extensions
0.004 ransomware_files
0.004 recon_fingerprint
0.003 antivm_vbox_libs
0.003 bootkit
0.003 hancitor_behavior
0.003 antisandbox_productid
0.003 antivm_parallels_keys
0.003 network_http
0.002 tinba_behavior
0.002 rat_nanocore
0.002 exec_crash
0.002 cerber_behavior
0.002 antivm_hyperv_keys
0.002 antivm_vbox_files
0.002 antivm_vpc_keys
0.002 disables_browser_warn
0.002 md_bad_drop
0.002 network_torgateway
0.001 antivm_vmware_libs
0.001 antivm_generic_scsi
0.001 bypass_firewall
0.001 antivm_generic_bios
0.001 antivm_generic_cpu
0.001 antivm_generic_system
0.001 antivm_xen_keys
0.001 antivm_vbox_acpi
0.001 antivm_vbox_keys
0.001 antivm_vmware_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 maldun_anomaly_invoke_vb_vba
0.001 network_cnc_http
0.001 packer_armadillo_regkey
0.001 recon_programs

Reporting ( 0.595 seconds )

0.582 ReportHTMLSummary
0.013 Malheur


Task ID	701039
Mongo ID	62e0aa247e769a72a69ff0ad
Cuckoo release	1.4-Maldun