恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2022-09-24 16:15:26	2022-09-24 16:17:39	133 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	Jbrja.exe
文件大小	1637888 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	5798ab057ddaf1d094b6a442498aa4fd
SHA1	66495bc476f6a1d57f7c185d407855a1b2de31df
SHA256	a8a190a5bbf22006b4cd620168151031df1589ded2e5c3c7885babf405668b59
SHA512	f283c6a0b43a643bd038eefdc5128c865f692155b747dbb9c3f856107982bbc201632e7bc13586dc927db33579462b548733646c685a0522e894f1da8f32b6a8
CRC32	0C02D1B6
Ssdeep	49152:fhDK4Fwj7E4FMaOSHgWuumcWozN4A3EiGBWY:p1qE4FM8H3nH3Ei
Yara	登录查看Yara规则
	找不到该样本提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	107.148.33.37	美国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
ck.winrmb.cc	未知	A 107.148.33.37

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x004779c1
声明校验值	0x001443f9
实际校验值	0x001934ed
最低操作系统版本要求	4.0
编译时间	2021-08-07 00:38:04
载入哈希	5e5ac8ab7be27ac2d1c548e5589378b6
图标
图标精确哈希值	f48fd507ef59db7e9fe95c7c17c5f155
图标相似性哈希值	3d0d14bfbff073451dd7234e7f413fa6

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
	0x00001000	0x0013d000	0x0008a200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	8.00
	0x0013e000	0x00004000	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.rsrc	0x00142000	0x00004000	0x00003800	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.01
	0x00146000	0x0027e000	0x0002ba00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	8.00
.data\x00Th	0x003c4000	0x000d7000	0x000d6600	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.99

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00144f38	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.68	GLS_BINARY_LSB_FIRST
RT_ICON	0x00144f38	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.68	GLS_BINARY_LSB_FIRST
RT_ICON	0x00144f38	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.68	GLS_BINARY_LSB_FIRST
RT_ICON	0x00144f38	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.68	GLS_BINARY_LSB_FIRST
RT_ICON	0x00144f38	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.68	GLS_BINARY_LSB_FIRST
RT_GROUP_ICON	0x001453d0	0x00000022	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.31	MS Windows icon resource - 2 icons, 32x32
RT_GROUP_ICON	0x001453d0	0x00000022	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.31	MS Windows icon resource - 2 icons, 32x32
RT_MANIFEST	0x001453f4	0x0000028b	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.06	XML 1.0 document text

导入

库: kernel32.dll:

• 0x7c40a0 GetModuleHandleA

• 0x7c40a4 GetProcAddress

• 0x7c40a8 ExitProcess

• 0x7c40ac LoadLibraryA

库: user32.dll:

• 0x7c40b4 MessageBoxA

库: advapi32.dll:

• 0x7c40bc RegCloseKey

库: oleaut32.dll:

• 0x7c40c4 SysFreeString

库: gdi32.dll:

• 0x7c40cc CreateFontA

库: shell32.dll:

• 0x7c40d4 ShellExecuteA

库: version.dll:

• 0x7c40dc GetFileVersionInfoA

.rsrc
.data
,IjIN
ei=Ae.
}l!#'
ONK20

没有防病毒引擎扫描信息!

进程树

Jbrja.exe id: 2580
- cmd.exe id: 3044
  - PING.EXE id: 2384
services.exe id: 432
- Jbrja.exe id: 2944
  - Jbrja.exe id: 3052
- taskhost.exe id: 2176
- mscorsvw.exe id: 2584

Jbrja.exe, PID: 2580, 上一级进程 PID: 2260

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 432, 上一级进程 PID: 344

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

Jbrja.exe, PID: 2944, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

Jbrja.exe, PID: 3052, 上一级进程 PID: 2944

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

cmd.exe, PID: 3044, 上一级进程 PID: 2580

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

PING.EXE, PID: 2384, 上一级进程 PID: 3044

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

taskhost.exe, PID: 2176, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 2584, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 2332, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	107.148.33.37	美国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49167	107.148.33.37 ck.winrmb.cc	50055
192.168.122.201	49160	23.192.228.89	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
ck.winrmb.cc	未知	A 107.148.33.37

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49167	107.148.33.37 ck.winrmb.cc	50055
192.168.122.201	49160	23.192.228.89	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 29.634 seconds )

12.135 NetworkAnalysis
11.268 Suricata
3.076 BehaviorAnalysis
1.249 Static
0.943 VirusTotal
0.59 TargetInfo
0.336 peid
0.014 AnalysisInfo
0.014 Strings
0.007 config_decoder
0.002 Memory

Signatures ( 2.73 seconds )

1.504 md_url_bl
0.184 api_spamming
0.146 stealth_decoy_document
0.145 stealth_timeout
0.063 antiav_detectreg
0.056 kovter_behavior
0.055 injection_createremotethread
0.054 antiemu_wine_func
0.046 infostealer_browser_password
0.032 injection_runpe
0.026 bootkit
0.025 infostealer_ftp
0.022 mimics_filetime
0.021 process_interest
0.021 reads_self
0.019 vawtrak_behavior
0.019 virus
0.018 antivm_generic_disk
0.017 stealth_file
0.016 antisandbox_sleep
0.015 hancitor_behavior
0.014 infostealer_im
0.013 process_needed
0.012 antianalysis_detectreg
0.011 md_domain_bl
0.01 antiav_avast_libs
0.01 antisandbox_sunbelt_libs
0.01 shifu_behavior
0.008 antisandbox_sboxie_libs
0.008 antiav_bitdefender_libs
0.008 antiav_detectfile
0.008 infostealer_mail
0.007 anomaly_persistence_autorun
0.007 antivm_generic_scsi
0.006 geodo_banking_trojan
0.005 antivm_vbox_libs
0.005 infostealer_bitcoin
0.004 antivm_generic_services
0.004 injection_explorer
0.004 ransomware_extensions
0.004 ransomware_files
0.003 betabot_behavior
0.003 kibex_behavior
0.003 exec_crash
0.003 anormaly_invoke_kills
0.003 antivm_parallels_keys
0.003 antivm_vbox_files
0.003 antivm_xen_keys
0.003 darkcomet_regkeys
0.003 network_http
0.002 tinba_behavior
0.002 rat_nanocore
0.002 maldun_anomaly_massive_file_ops
0.002 cerber_behavior
0.002 antivm_generic_diskreg
0.002 browser_security
0.002 disables_browser_warn
0.002 network_torgateway
0.002 recon_fingerprint
0.001 hawkeye_behavior
0.001 network_tor
0.001 infostealer_browser
0.001 antivm_vmware_libs
0.001 sets_autoconfig_url
0.001 kazybot_behavior
0.001 bypass_firewall
0.001 antisandbox_productid
0.001 antivm_xen_keys
0.001 antivm_hyperv_keys
0.001 antivm_vbox_acpi
0.001 antivm_vbox_keys
0.001 antivm_vmware_keys
0.001 antivm_vpc_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 maldun_anomaly_invoke_vb_vba
0.001 md_bad_drop
0.001 network_cnc_http
0.001 packer_armadillo_regkey

Reporting ( 0.62 seconds )

0.612 ReportHTMLSummary
0.008 Malheur


Task ID	710618
Mongo ID	632ebd517e769a059ce16797
Cuckoo release	1.4-Maldun