比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp02-1 2022-09-24 22:41:53 2022-09-24 22:42:20 27 秒

魔盾分数

1.35

正常的

文件详细信息

文件名 TASLogin.exe
文件大小 583080 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 3ec7d3fc775eb1f272747a1a7aedbc32
SHA1 e263305550a7115c927e337c8da296baaa4c51b9
SHA256 35e3843ea394cadd2b946aeeeaf47c377801c00083520aa92137bc3f90452a61
SHA512 4d3bc8a84374cf357590fcdc54b91a59a8fc81d795112cd71221fdd863df9638cd372fd1e4a3af5ddbad3d1ed7c5b997cd88e1b750c2a77e201cc6133047fc52
CRC32 0A336E0C
Ssdeep 6144:AGvoieZN4bGLeUayj8r0mHegM5MA5jrzMAchapCpv81bA1hnSW0THw8EPgdfWo:Roi0s4enrDXge/+Q8XdfWo
Yara 登录查看Yara规则
找不到该样本 提交漏报
登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x004ecd4e
声明校验值 0x0009a45d
实际校验值 0x0009a45d
最低操作系统版本要求 5.1
PDB路径 D:\Workspace\p-2ed35f15174943f6b676502b51f53d81\Output\TASLogin.pdb
编译时间 2022-05-23 16:50:26
载入哈希 25538053878f3098020a0651be7be354

版本信息

LegalCopyright
InternalName
FileVersion
ProductName
ProductVersion
FileDescription
Translation

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
d270dbe1070dc3709e95b10aaa3398b121daeb6e None
证书链 Certificate Chain 1
发行给 DigiCert Assured ID Root CA
发行人 DigiCert Assured ID Root CA
有效期 Mon Nov 10 080000 2031
SHA1 哈希 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43
证书链 Certificate Chain 2
发行给 DigiCert Assured ID Code Signing CA-1
发行人 DigiCert Assured ID Root CA
有效期 Tue Feb 10 200000 2026
SHA1 哈希 409aa4a74a0cda7c0fee6bd0bb8823d16b5f1875
证书链 Certificate Chain 3
发行给 Tencent Technology(Shenzhen) Company Limited
发行人 DigiCert Assured ID Code Signing CA-1
有效期 Fri Feb 23 075959 2024
SHA1 哈希 b550768bc5f6fd1ad4943b10fe4e6edd1a8571e3

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.wegame 0x00001000 0x00048f59 0x0001f600 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 8.00
.wegame 0x0004a000 0x00030336 0x00030400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.96
.wegame 0x0007b000 0x0000285c 0x00001a00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.08
.wegame 0x0007e000 0x0000011c 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.58
.wegame 0x0007f000 0x00000009 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.02
.wegame 0x00080000 0x0000bea8 0x0000c000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.27
.tvm0 0x0008c000 0x00056000 0x00020a00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 8.00
.wegame 0x000e2000 0x00003000 0x00002000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 7.96
.wegame 0x000e5000 0x00007d54 0x00007e00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.98

导入

库: TASLoginBase.dll:
0x4ecd00 None
.wegame
`.wegame
@.wegame
.wegame
@.wegame
.wegame
@.tvm0
`.wegame
B.wegame
uOASC
2~=LwN
6h:KQ
r6D/i
Unknown exception
bad allocation
atlthunk.dll
AtlThunk_AllocateData
没有防病毒引擎扫描信息!
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.199.177 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63246 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.199.177 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63246 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 16.435 seconds )

  • 10.817 Suricata
  • 2.251 VirusTotal
  • 1.405 Static
  • 1.047 NetworkAnalysis
  • 0.564 TargetInfo
  • 0.324 peid
  • 0.011 AnalysisInfo
  • 0.011 Strings
  • 0.002 BehaviorAnalysis
  • 0.002 Memory
  • 0.001 config_decoder

Signatures ( 1.466 seconds )

  • 1.392 md_url_bl
  • 0.011 antiav_detectreg
  • 0.008 md_domain_bl
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 network_http
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.481 seconds )

  • 0.481 ReportHTMLSummary
Task ID 710645
Mongo ID 632f176bdc327b8d432c905c
Cuckoo release 1.4-Maldun