分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-2 2023-01-27 16:03:17 2023-01-27 16:04:11 54 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 Apex单版自瞄.zip ==> Apex.exe
文件大小 2088960 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 4488289b0f0e5c20fdf2ab040b97dde2
SHA1 499e0ad7ea584f71dc1bc093980f23a2bef1270c
SHA256 e20db1d26d825f515e54c0dc250da8ff4af05625edc64da66d63e22181b2d5ce
SHA512 f9884e6e5aa4dc88c52781d23931acf0afda13fe8ed1271e931577c55f9b61442adb07c7c2e873f9de3a4884e59738b531cde2f9271a6f9721399212b1a634a3
CRC32 B03A3FE2
Ssdeep 24576:81b2Xh3BXV4WBsZJ1zXsRxPOJzjurq2uXlz7hdUnKwYVUh3oXBrniGq7pztiG:8opBXzsZoRUJfgUVz7Mn0a3oXB0
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
14.215.158.24 中国
183.3.226.29 中国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
jq.qq.com 未知 A 14.215.158.24
qm.qq.com 未知 A 183.3.226.29

摘要

登录查看详细行为信息
没有信息显示.
`#QHG
Mt;V,
f[|ZU
g];A5I30
P}-NQ
没有防病毒引擎扫描信息!

进程树


cmd.exe, PID: 2680, 上一级进程 PID: 2296
Apex.exe, PID: 2804, 上一级进程 PID: 2680
i1d8l2jm.exe, PID: 2872, 上一级进程 PID: 2804

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
14.215.158.24 中国
183.3.226.29 中国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49162 14.215.158.24 jq.qq.com 443
192.168.122.202 49163 183.3.226.29 qm.qq.com 80
192.168.122.202 49164 183.3.226.29 qm.qq.com 443
192.168.122.202 49159 23.192.228.27 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 50785 192.168.122.1 53
192.168.122.202 57208 192.168.122.1 53
192.168.122.202 62960 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
jq.qq.com 未知 A 14.215.158.24
qm.qq.com 未知 A 183.3.226.29

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49162 14.215.158.24 jq.qq.com 443
192.168.122.202 49163 183.3.226.29 qm.qq.com 80
192.168.122.202 49164 183.3.226.29 qm.qq.com 443
192.168.122.202 49159 23.192.228.27 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 50785 192.168.122.1 53
192.168.122.202 57208 192.168.122.1 53
192.168.122.202 62960 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

URL专业沙箱检测 -> http://qm.qq.com/cgi-bin/qm/qr?k=qRqrj51RAQpEfB6pXUQZRR1uQcU3AA78&authKey=909NLTBUx6DbRGE9z3GfjPaTMyeEjQnLlQ%2FVshKGGyAgWFOJa5o79p%2BUTobm6edd&noverify=0&group_code=537071796
GET /cgi-bin/qm/qr?k=qRqrj51RAQpEfB6pXUQZRR1uQcU3AA78&authKey=909NLTBUx6DbRGE9z3GfjPaTMyeEjQnLlQ%2FVshKGGyAgWFOJa5o79p%2BUTobm6edd&noverify=0&group_code=537071796 HTTP/1.1
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Accept-Encoding: gzip, deflate
Host: qm.qq.com
Connection: Keep-Alive

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

Timestamp Source IP Source Port Destination IP Destination Port Version Issuer Subject Fingerprint
2023-01-27 16:03:41.188899+0800 192.168.122.202 49162 14.215.158.24 443 TLS 1.2 C=US, O=DigiCert Inc, CN=DigiCert Secure Site CN CA G3 C=CN, ST=Guangdong Province, L=Shenzhen, O=Shenzhen Tencent Computer Systems Company Limited, CN=jq.qq.com ee:58:ad:0b:bb:a2:32:bd:0f:78:d1:fa:ef:e8:fe:10:c5:45:ad:6d
2023-01-27 16:03:41.886184+0800 192.168.122.202 49164 183.3.226.29 443 TLS 1.2 C=US, O=DigiCert Inc, CN=DigiCert Secure Site CN CA G3 C=CN, ST=Guangdong Province, L=Shenzhen, O=Shenzhen Tencent Computer Systems Company Limited, CN=qqweb.qq.com 32:2e:a4:b5:15:0a:38:34:57:90:8c:b6:27:0c:a2:33:b8:7b:16:9e

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 Apex.exe
相关文件
C:\Users\test\AppData\Local\Temp\zip-tmp\Apex.exe
文件大小 2088960 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 4488289b0f0e5c20fdf2ab040b97dde2
SHA1 499e0ad7ea584f71dc1bc093980f23a2bef1270c
SHA256 e20db1d26d825f515e54c0dc250da8ff4af05625edc64da66d63e22181b2d5ce
CRC32 B03A3FE2
Ssdeep 24576:81b2Xh3BXV4WBsZJ1zXsRxPOJzjurq2uXlz7hdUnKwYVUh3oXBrniGq7pztiG:8opBXzsZoRUJfgUVz7Mn0a3oXB0
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 29.392 seconds )

  • 12.055 NetworkAnalysis
  • 10.535 Suricata
  • 4.435 VirusTotal
  • 1.293 BehaviorAnalysis
  • 0.964 TargetInfo
  • 0.084 Dropped
  • 0.012 Strings
  • 0.011 AnalysisInfo
  • 0.002 Memory
  • 0.001 Static

Signatures ( 36.621 seconds )

  • 33.341 network_http
  • 1.997 md_url_bl
  • 0.375 antiav_detectreg
  • 0.123 infostealer_ftp
  • 0.075 antianalysis_detectreg
  • 0.068 api_spamming
  • 0.068 infostealer_im
  • 0.057 stealth_decoy_document
  • 0.056 stealth_timeout
  • 0.04 infostealer_mail
  • 0.035 antivm_generic_scsi
  • 0.018 kibex_behavior
  • 0.018 antivm_parallels_keys
  • 0.018 antivm_xen_keys
  • 0.017 geodo_banking_trojan
  • 0.017 darkcomet_regkeys
  • 0.016 recon_fingerprint
  • 0.013 betabot_behavior
  • 0.013 kovter_behavior
  • 0.013 antivm_generic_diskreg
  • 0.011 antiemu_wine_func
  • 0.011 infostealer_browser_password
  • 0.011 md_domain_bl
  • 0.01 antisandbox_productid
  • 0.009 antivm_generic_services
  • 0.008 anormaly_invoke_kills
  • 0.008 antiav_detectfile
  • 0.007 mimics_filetime
  • 0.006 reads_self
  • 0.006 anomaly_persistence_autorun
  • 0.006 bypass_firewall
  • 0.006 antivm_xen_keys
  • 0.006 antivm_hyperv_keys
  • 0.006 antivm_vbox_acpi
  • 0.006 antivm_vbox_keys
  • 0.006 antivm_vmware_keys
  • 0.006 antivm_vpc_keys
  • 0.006 infostealer_bitcoin
  • 0.006 maldun_anomaly_invoke_vb_vba
  • 0.006 packer_armadillo_regkey
  • 0.005 bootkit
  • 0.005 stealth_file
  • 0.005 antivm_generic_disk
  • 0.005 virus
  • 0.005 antivm_generic_bios
  • 0.005 antivm_generic_cpu
  • 0.005 antivm_generic_system
  • 0.005 recon_programs
  • 0.004 antivm_vbox_files
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 hancitor_behavior
  • 0.003 disables_browser_warn
  • 0.002 tinba_behavior
  • 0.002 antivm_vbox_libs
  • 0.002 rat_nanocore
  • 0.002 maldun_anomaly_massive_file_ops
  • 0.002 injection_createremotethread
  • 0.002 antidbg_windows
  • 0.002 browser_security
  • 0.002 network_torgateway
  • 0.001 network_tor
  • 0.001 antiav_avast_libs
  • 0.001 maldun_malicious_write_executeable_under_temp_to_regrun
  • 0.001 maldun_anomaly_write_exe_and_obsfucate_extension
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 shifu_behavior
  • 0.001 maldun_anomaly_write_exe_and_dll_under_winroot_run
  • 0.001 exec_crash
  • 0.001 cerber_behavior
  • 0.001 injection_runpe
  • 0.001 antidbg_devices
  • 0.001 antiemu_wine_reg
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http
  • 0.001 rat_pcclient
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.56 seconds )

  • 0.536 ReportHTMLSummary
  • 0.024 Malheur
Task ID 717086
Mongo ID 63d385d57e769a7a55f43049
Cuckoo release 1.4-Maldun