恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp02-1	2022-09-24 18:56:04	2022-09-24 18:58:12	128 秒

魔盾分数

4.925

可疑的

文件详细信息

文件名	WT-JS.exe
文件大小	3036160 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5	a918dbcad090082680956c1419311904
SHA1	2bdeacc0506d90745f3ba6479605b63d24625e4b
SHA256	a0a18ed014f4f5a944500c1d272b6b5d14b80e8f4789d03431bed1c05fee470d
SHA512	731b7aa1b56e7e1da4c759cea8d5041258fd6e45fd62ff614cfc9e4d03a0307a6a058f16ac4998da2bb3a66eda49cd2042518cc15f3ca44b7ed152518bb38121
CRC32	D57DE117
Ssdeep	49152:uxSRRFbtWVuAfZHF5jpNc7mGsq5tVfjQOvIVN3vJYZoH38HIPahYlIgRl2qWA1lR:gSXFR2fpbumqjV8xVQWMHIugRvll8Y
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	103.8.220.72	中国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
bbs.125.la	未知	A 103.8.220.55 A 103.8.220.72

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00aaa2e0
声明校验值	0x00000000
实际校验值	0x002f3bd6
最低操作系统版本要求	4.0
编译时间	2022-08-17 20:49:16
载入哈希	6ab9d29c1376050255b46ecb739c60b6

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
UPX0	0x00001000	0x003e3000	0x00000000	IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
UPX1	0x003e4000	0x002c7000	0x002c7000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	8.00
.rsrc	0x006ab000	0x0001e000	0x0001e000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	5.00

导入

库: ADVAPI32.dll:

• 0xac8d78 RegCloseKey

库: AVIFIL32.dll:

• 0xac8d80 AVIStreamInfoA

库: COMCTL32.dll:

• 0xac8d88 None

库: comdlg32.dll:

• 0xac8d90 ChooseFontA

库: GDI32.dll:

• 0xac8d98 PatBlt

库: KERNEL32.DLL:

• 0xac8da0 LoadLibraryA

• 0xac8da4 ExitProcess

• 0xac8da8 GetProcAddress

• 0xac8dac VirtualProtect

库: MSVFW32.dll:

• 0xac8db4 DrawDibDraw

库: ole32.dll:

• 0xac8dbc OleRun

库: OLEAUT32.dll:

• 0xac8dc4 SafeArrayDestroy

库: SHELL32.dll:

• 0xac8dcc DragFinish

库: USER32.dll:

• 0xac8dd4 GetDC

库: WINMM.dll:

• 0xac8ddc PlaySoundA

库: WINSPOOL.DRV:

• 0xac8de4 OpenPrinterA

库: WS2_32.dll:

• 0xac8dec inet_ntoa

.rsrc
HQqt6
-;<aI
*ESBOb
?TUx9
H=}?>
2`|D 
mi$]W
#\/8='

没有防病毒引擎扫描信息!

进程树

WT-JS.exe id: 2560

搜索
WT-JS.exe (2560)

WT-JS.exe, PID: 2560, 上一级进程 PID: 2180

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	103.8.220.72	中国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49161	103.8.220.72 bbs.125.la	443
192.168.122.201	49160	23.192.228.78	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	57526	192.168.122.1	53
192.168.122.201	63246	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
bbs.125.la	未知	A 103.8.220.55 A 103.8.220.72

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49161	103.8.220.72 bbs.125.la	443
192.168.122.201	49160	23.192.228.78	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	57526	192.168.122.1	53
192.168.122.201	63246	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

Timestamp	Source IP	Source Port	Destination IP	Destination Port	Version	Issuer	Subject	Fingerprint
2022-09-24 18:56:25.883617+0800	192.168.122.201	49161	103.8.220.72	443	TLSv1	C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Encryption Everywhere DV TLS CA - G1	CN=bbs.125.la	93:aa:34:f0:80:eb:96:13:60:d8:8b:d3:09:c4:66:17:e8:c2:93:7d

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 33.645 seconds )

11.641 NetworkAnalysis
10.605 Suricata
7.193 Static
2.021 BehaviorAnalysis
1.072 VirusTotal
0.753 TargetInfo
0.331 peid
0.011 Strings
0.009 AnalysisInfo
0.007 config_decoder
0.002 Memory

Signatures ( 2.003 seconds )

1.355 md_url_bl
0.124 api_spamming
0.106 stealth_decoy_document
0.102 stealth_timeout
0.048 antiav_detectreg
0.018 infostealer_ftp
0.017 kovter_behavior
0.016 antiemu_wine_func
0.015 infostealer_browser_password
0.012 antivm_vbox_libs
0.011 antidbg_windows
0.011 infostealer_im
0.01 antianalysis_detectreg
0.01 md_domain_bl
0.007 antivm_generic_scsi
0.007 exec_crash
0.007 antiav_detectfile
0.006 antivm_generic_services
0.006 anomaly_persistence_autorun
0.006 infostealer_mail
0.005 antisandbox_sunbelt_libs
0.005 anormaly_invoke_kills
0.005 geodo_banking_trojan
0.005 infostealer_bitcoin
0.005 ransomware_extensions
0.004 antiav_avast_libs
0.004 mimics_filetime
0.004 ransomware_files
0.003 bootkit
0.003 stealth_file
0.003 antivm_vmware_libs
0.003 maldun_anomaly_massive_file_ops
0.003 reads_self
0.003 antisandbox_sboxie_libs
0.003 antiav_bitdefender_libs
0.003 antivm_generic_disk
0.003 virus
0.003 antivm_vbox_files
0.003 network_http
0.002 tinba_behavior
0.002 rat_nanocore
0.002 antivm_vbox_window
0.002 betabot_behavior
0.002 kibex_behavior
0.002 antisandbox_script_timer
0.002 antivm_parallels_keys
0.002 antivm_xen_keys
0.002 disables_browser_warn
0.002 darkcomet_regkeys
0.002 network_torgateway
0.001 infostealer_browser
0.001 injection_createremotethread
0.001 shifu_behavior
0.001 cerber_behavior
0.001 hancitor_behavior
0.001 antidbg_devices
0.001 antivm_generic_diskreg
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http
0.001 recon_fingerprint
0.001 stealth_modify_uac_prompt

Reporting ( 0.61 seconds )

0.605 ReportHTMLSummary
0.005 Malheur


Task ID	710627
Mongo ID	632ee2f8dc327b8d442c8cba
Cuckoo release	1.4-Maldun