分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-shaapp02-2 | 2022-08-19 14:21:41 | 2022-08-19 14:22:30 | 49 秒 |
文件名 | 杏雨梨云启动维护系统.exe |
---|---|
文件大小 | 4386872 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | f887c1ce1e4b260d5a82e3e1e91b55e9 |
SHA1 | 81a9931e61b367a4550ef11bc5e514fa85f8f429 |
SHA256 | 70f557edd49712e17b2996547bd24df1a9e83ae142969d1cc1a554ed75a916a9 |
SHA512 | 077ee14963b9b53f29a441e09aa35294a674b82aa4bd2426dd64f87dbcc024585641842e74bb7d54c82da358ae68c08ad200225a0406374a789c13b0cfb1e57c |
CRC32 | 0C70510D |
Ssdeep | 98304:5TYbInQVB80dOZO9mVOeoKmR/AvpdwdLI9j:5cb2gOg9O6aB6 |
Yara | 登录查看Yara规则 |
找不到该样本 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 207.246.127.148 | 美国 |
域名 | 安全评级 | 响应 |
---|---|---|
cacerts.pki.jemmylovejenny.tk | 未知 | A 207.246.127.148 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x004204f7 |
声明校验值 | 0x0043266a |
实际校验值 | 0x0043266a |
最低操作系统版本要求 | 5.1 |
编译时间 | 2022-05-25 08:14:23 |
载入哈希 | 0b768923437678ce375719e30b21693e |
LegalCopyright | |
---|---|
FileVersion | |
CompanyName | |
Comments | |
ProductName | |
ProductVersion | |
FileDescription | |
Translation |
SHA1 | 时间戳 | 有效性 | 错误 |
---|---|---|---|
None | Sat May 28 20:00:00 2022 | A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. |
证书链 | Certificate Chain 1 |
发行给 | Free |
发行人 | Free |
有效期 | Sun Jan 01 075959 2040 |
SHA1 哈希 | 70bcaa261ddcae65b363e653f6498aa5c803d91b |
证书链 | Timestamp Chain 1 |
发行给 | JemmyLoveJenny SHA1 TimeStamping Services CA |
发行人 | JemmyLoveJenny EV Root CA |
有效期 | Fri Jan 01 075959 2100 |
SHA1 哈希 | 09149d789e4465d01ef8314372e994c4d1181ae6 |
证书链 | Timestamp Chain 2 |
发行给 | Fake TimeStamp Responder |
发行人 | JemmyLoveJenny SHA1 TimeStamping Services CA |
有效期 | Fri Jan 01 075959 2100 |
SHA1 哈希 | 8179d6dde6d8fe7248aaeed1c2287ba6e2de4cfb |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
.text | 0x00001000 | 0x0009aa37 | 0x0009ac00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.67 |
.rdata | 0x0009c000 | 0x0002fb92 | 0x0002fc00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 5.69 |
.data | 0x000cc000 | 0x0000705c | 0x00004800 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.58 |
.rsrc | 0x000d4000 | 0x00357119 | 0x00357200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.48 |
.reloc | 0x0042c000 | 0x000075cc | 0x00007600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 6.80 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 207.246.127.148 | 美国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.202 | 49159 | 207.246.127.148 cacerts.pki.jemmylovejenny.tk | 80 |
192.168.122.202 | 49157 | 23.202.50.136 | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.202 | 60917 | 192.168.122.1 | 53 |
192.168.122.202 | 63030 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
cacerts.pki.jemmylovejenny.tk | 未知 | A 207.246.127.148 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.202 | 49159 | 207.246.127.148 cacerts.pki.jemmylovejenny.tk | 80 |
192.168.122.202 | 49157 | 23.202.50.136 | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.202 | 60917 | 192.168.122.1 | 53 |
192.168.122.202 | 63030 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
URL专业沙箱检测 -> http://cacerts.pki.jemmylovejenny.tk/EVRootCA.crt | GET /EVRootCA.crt HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: Microsoft-CryptoAPI/6.1 Host: cacerts.pki.jemmylovejenny.tk |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Protocol | SID | Signature | Category |
---|---|---|---|---|---|---|---|---|
2022-08-19 14:22:14.930997+0800 | 192.168.122.202 | 49159 | 207.246.127.148 | 80 | TCP | 2012810 | ET POLICY HTTP Request to a *.tk domain | Potentially Bad Traffic |
No TLS
No Suricata HTTP
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 704765 |
---|---|
Mongo ID | 62ff2c70dc327beba5e01eb0 |
Cuckoo release | 1.4-Maldun |