恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp02-1	2022-08-08 12:32:20	2022-08-08 12:34:31	131 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	和平精英.exe
文件大小	1818624 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	aa3bab545067c08772c84d1b7253629c
SHA1	624b8c1bc72a643d9e31d57b0c2bce9279a0950c
SHA256	352422ec453bd56f0e1b03c5e1a17d2dd7a279ce7d9d00a4594f9d8014cc9d25
SHA512	d15479b36297908e0320c67bbe1572d16e6358f09da087cbaec6640551cdf9bd163d3bfd36361378d661e269fcca66656bf291fe68d79c3c11e1c5ded0d7c8c8
CRC32	49DE6416
Ssdeep	49152:c73DG7zw6Xm5DUF6SEA2ln6Pk/06zlE6L9p9csmhAP:wDsneDUFnE/6Pkwu9p6zhAP
Yara	登录查看Yara规则
	找不到该样本提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00696f40
声明校验值	0x001c3ef0
实际校验值	0x001c3ef0
最低操作系统版本要求	4.0
编译时间	2022-08-08 12:29:16
载入哈希	bec74fb8ca603e190d2c4567d1a9a29f

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x0019c000	0x000a5000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	8.00
.text	0x0019d000	0x000fc000	0x000fc000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.47
.idata	0x00299000	0x00001000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	1.33
.rsrc	0x0029a000	0x00018000	0x00018000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	2.27
.text	0x002b2000	0x00001000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	7.98

导入

库: WINMM.dll:

• 0x6992bc midiStreamOut

库: WS2_32.dll:

• 0x6992c8 WSACleanup

库: KERNEL32.dll:

• 0x6992d4 GetTimeZoneInformation

库: USER32.dll:

• 0x6992e0 IsZoomed

库: GDI32.dll:

• 0x6992ec LineTo

库: WINSPOOL.DRV:

• 0x6992f8 OpenPrinterA

库: ADVAPI32.dll:

• 0x699304 RegOpenKeyExA

库: SHELL32.dll:

• 0x699310 DragFinish

库: ole32.dll:

• 0x69931c CLSIDFromString

库: OLEAUT32.dll:

• 0x699328 LoadTypeLib

库: COMCTL32.dll:

• 0x699334 ImageList_Add

库: comdlg32.dll:

• 0x699340 ChooseColorA

库: MSVCRT.dll:

• 0x69934c strncpy

库: IPHLPAPI.DLL:

• 0x699358 GetInterfaceInfo

库: PSAPI.DLL:

• 0x699364 GetMappedFileNameW

.text
.text
.idata
.rsrc
.text
R4jGt;
RK,~_
q[H"d
:?sio,
h& Ex"ZW
{.g*|
(k1IG<^
su9uQI4+f

没有防病毒引擎扫描信息!

进程树

____________.exe id: 2568
- rundll32.exe id: 2956
- rundll32.exe id: 2804
services.exe id: 424
- mscorsvw.exe id: 2216
- mscorsvw.exe id: 2724

____________.exe, PID: 2568, 上一级进程 PID: 2184

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 424, 上一级进程 PID: 328

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

rundll32.exe, PID: 2956, 上一级进程 PID: 2568

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

rundll32.exe, PID: 2804, 上一级进程 PID: 2568

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 2216, 上一级进程 PID: 424

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 2724, 上一级进程 PID: 424

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49162	42.99.140.168	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	63246	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49162	42.99.140.168	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	63246	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 20.763 seconds )

10.556 Suricata
3.815 Static
2.696 VirusTotal
1.752 BehaviorAnalysis
1.046 NetworkAnalysis
0.556 TargetInfo
0.314 peid
0.012 Strings
0.009 AnalysisInfo
0.005 config_decoder
0.002 Memory

Signatures ( 2.194 seconds )

1.359 md_url_bl
0.095 antiav_detectreg
0.094 api_spamming
0.075 stealth_timeout
0.072 stealth_decoy_document
0.037 infostealer_ftp
0.032 kovter_behavior
0.03 antiemu_wine_func
0.03 infostealer_browser_password
0.024 mimics_filetime
0.021 infostealer_im
0.02 reads_self
0.019 antianalysis_detectreg
0.018 antivm_generic_scsi
0.017 antivm_generic_disk
0.017 virus
0.016 stealth_file
0.015 bootkit
0.013 darkcomet_regkeys
0.011 hancitor_behavior
0.011 infostealer_mail
0.01 antiav_detectfile
0.009 antivm_generic_services
0.009 shifu_behavior
0.009 anormaly_invoke_kills
0.009 md_domain_bl
0.007 infostealer_browser
0.007 geodo_banking_trojan
0.007 infostealer_bitcoin
0.006 anomaly_persistence_autorun
0.005 kibex_behavior
0.005 antivm_xen_keys
0.004 injection_createremotethread
0.004 betabot_behavior
0.004 antivm_parallels_keys
0.004 antivm_vbox_files
0.004 ransomware_extensions
0.004 ransomware_files
0.003 maldun_anomaly_massive_file_ops
0.003 antivm_generic_diskreg
0.003 network_http
0.003 recon_fingerprint
0.002 tinba_behavior
0.002 antiav_avast_libs
0.002 antisandbox_sunbelt_libs
0.002 ipc_namedpipe
0.002 injection_runpe
0.002 antisandbox_productid
0.002 disables_browser_warn
0.001 network_tor
0.001 antivm_vbox_libs
0.001 rat_nanocore
0.001 maldun_malicious_write_executeable_under_temp_to_regrun
0.001 maldun_anomaly_write_exe_and_obsfucate_extension
0.001 antisandbox_sboxie_libs
0.001 antiav_bitdefender_libs
0.001 maldun_anomaly_write_exe_and_dll_under_winroot_run
0.001 exec_crash
0.001 cerber_behavior
0.001 bypass_firewall
0.001 antidbg_devices
0.001 antivm_generic_bios
0.001 antivm_generic_cpu
0.001 antivm_generic_system
0.001 antivm_xen_keys
0.001 antivm_hyperv_keys
0.001 antivm_vbox_acpi
0.001 antivm_vbox_keys
0.001 antivm_vmware_keys
0.001 antivm_vpc_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 malicous_targeted_flame
0.001 maldun_anomaly_invoke_vb_vba
0.001 md_bad_drop
0.001 network_cnc_http
0.001 packer_armadillo_regkey
0.001 rat_pcclient
0.001 recon_programs
0.001 stealth_modify_uac_prompt

Reporting ( 0.61 seconds )

0.595 ReportHTMLSummary
0.015 Malheur


Task ID	703100
Mongo ID	62f0927edc327b2efb346ccf
Cuckoo release	1.4-Maldun