恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2022-08-19 18:01:16	2022-08-19 18:02:05	49 秒

魔盾分数

0.675

正常的

文件详细信息

文件名	ExcelAPIUpdateTool (2).zip ==> background.js
文件大小	1513 字节
文件类型	UTF-8 Unicode text
MD5	e60a2db7c4ad1cdf22b3f4efe577053d
SHA1	ed738519292acf1bc69e12d9d3a643ed09ec61c2
SHA256	b0a2b40f4dbbe771e78dd82f7fd9930f80dbd40ebf0fda925960374406da72ec
SHA512	4ce039d8fa720c99794d4d441f63176c77fb72ae22cb11078b3161d2ad49b1115cbb680dff59dba6cfb0223c495a47501483eb478ccd6d13ba2833263a203750
CRC32	63298A03
Ssdeep	24:4MTL+zZkIbEcR6M46S81Axgi5x+Ei5OJ3FTqKF3y0YEduMOMWPnr5vdB:4Me+I3I8Ygij3FTq30YEDO9v
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.208.16.93	美国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	未知	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

摘要

登录查看详细行为信息

没有可用的静态分析.

1Zm9$
?F?[F
_N6d$H
GNF0x
{,qcX

没有防病毒引擎扫描信息!

进程树

wscript.exe id: 2732

搜索
wscript.exe (2732)

wscript.exe, PID: 2732, 上一级进程 PID: 2252

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.208.16.93	美国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	172.232.44.9	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	未知	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	172.232.44.9	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

文件名	background.js
相关文件	C:\Users\test\AppData\Local\Temp\zip-tmp\background.js
文件大小	1513 字节
文件类型	UTF-8 Unicode text
MD5	e60a2db7c4ad1cdf22b3f4efe577053d
SHA1	ed738519292acf1bc69e12d9d3a643ed09ec61c2
SHA256	b0a2b40f4dbbe771e78dd82f7fd9930f80dbd40ebf0fda925960374406da72ec
CRC32	63298A03
Ssdeep	24:4MTL+zZkIbEcR6M46S81Axgi5x+Ei5OJ3FTqKF3y0YEduMOMWPnr5vdB:4Me+I3I8Ygij3FTq30YEDO9v
Yara
	下载提交魔盾安全分析显示文本
//-------------------- \xe5\x8f\xb3\xe9\x94\xae\xe8\x8f\x9c\xe5\x8d\x95\xe6\xbc\x94\xe7\xa4\xba ------------------------// chrome.contextMenus.create({ id: 'baidu-search', title: "\xe6\x8f\x90\xe4\xba\xa4\xe8\x87\xb3\xe6\x9c\x8d\xe5\x8a\xa1\xe5\x99\xa8", onclick: function(params){ sendMessageToContentScript({cmd:'posttoserver', size: 42}, function(response){}); } }); function sendMessageToContentScript(message, callback) { getCurrentTabId((tabId) => { chrome.tabs.sendMessage(tabId, message, function(response) { if(callback) callback(response); }); }); } // \xe7\x9b\x91\xe5\x90\xac\xe6\x9d\xa5\xe8\x87\xaacontent-script\xe7\x9a\x84\xe6\xb6\x88\xe6\x81\xaf chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) { //alert('\xe6\x94\xb6\xe5\x88\xb0\xe6\x9d\xa5\xe8\x87\xaacontent-script\xe7\x9a\x84\xe6\xb6\x88\xe6\x81\xaf\xef\xbc\x9a'); //\xe5\x88\xa0\xe9\x99\xa4\xe5\xa4\x9a\xe4\xbd\x99\xe7\x9a\x84\xe6\xa0\x87\xe7\xad\xbe\xe9\xa1\xb5 chrome.tabs.query({'active': false}, function(tabs) { //url = tabs[0].url; var i; for(i=1;i<tabs.length;i++){ chrome.tabs.remove(tabs[i].id); } }); //sendResponse('\xe6\x88\x91\xe6\x98\xaf\xe5\x90\x8e\xe5\x8f\xb0\xef\xbc\x8c\xe6\x88\x91\xe5\xb7\xb2\xe6\x94\xb6\xe5\x88\xb0\xe4\xbd\xa0\xe7\x9a\x84\xe6\xb6\x88\xe6\x81\xaf\xef\xbc\x9a' + JSON.stringify(request)); }); $('#test_cors').click((e) => { $.get('https://www.baidu.com', function(html){ console.log( html); alert('\xe8\xb7\xa8\xe5\x9f\x9f\xe8\xb0\x83\xe7\x94\xa8\xe6\x88\x90\xe5\x8a\x9f\xef\xbc\x81'); }); }); // \xe8\x8e\xb7\xe5\x8f\x96\xe5\xbd\x93\xe5\x89\x8d\xe9\x80\x89\xe9\xa1\xb9\xe5\x8d\xa1ID function getCurrentTabId(callback) { chrome.tabs.query({active: true, currentWindow: true}, function(tabs) { if(callback) callback(tabs.length ? tabs[0].id: null); }); } // \xe5\xbd\x93\xe5\x89\x8d\xe6\xa0\x87\xe7\xad\xbe\xe6\x89\x93\xe5\xbc\x80\xe6\x9f\x90\xe4\xb8\xaa\xe9\x93\xbe\xe6\x8e\xa5 function openUrlCurrentTab(url) { getCurrentTabId(tabId => { chrome.tabs.update(tabId, {url: url}); }) } // \xe6\x96\xb0\xe6\xa0\x87\xe7\xad\xbe\xe6\x89\x93\xe5\xbc\x80\xe6\x9f\x90\xe4\xb8\xaa\xe9\x93\xbe\xe6\x8e\xa5 function openUrlNewTab(url) { chrome.tabs.create({url: url}); }

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 24.5 seconds )

11.462 NetworkAnalysis
10.564 Suricata
1.903 VirusTotal
0.265 TargetInfo
0.253 Dropped
0.018 AnalysisInfo
0.016 BehaviorAnalysis
0.012 Strings
0.005 Static
0.002 Memory

Signatures ( 1.438 seconds )

1.357 md_url_bl
0.012 antiav_detectreg
0.01 md_domain_bl
0.006 infostealer_ftp
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.004 geodo_banking_trojan
0.004 ransomware_files
0.003 infostealer_bitcoin
0.003 infostealer_im
0.003 network_http
0.003 ransomware_extensions
0.002 tinba_behavior
0.002 antianalysis_detectreg
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 infostealer_mail
0.002 network_torgateway
0.001 rat_nanocore
0.001 betabot_behavior
0.001 cerber_behavior
0.001 antivm_parallels_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http

Reporting ( 0.47 seconds )

0.469 ReportHTMLSummary
0.001 Malheur


Task ID	704834
Mongo ID	62ff5fc17e769a11a70e4621
Cuckoo release	1.4-Maldun