恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp02-2	2023-06-07 21:14:08	2023-06-07 21:16:18	130 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	测试.vmp.exe
文件大小	6717440 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	000f98ec2c41f9e2801c88b97bf9e0d6
SHA1	0f32e9be77595e9ae5e3f025fec89f6e716d9c45
SHA256	acf4d760acd2eb4e55d7cf700fd9fe06c211b0e4f74c5145c5afe27831131d24
SHA512	747ed72bb7fdd284c1ef51011262ee1f86de5a00a17d36da40ec42e27d3be6edff793d31ad9e16d44039c120064c380d2e7a8a5bb963096e13ae5b585f3e766b
CRC32	50D691F2
Ssdeep	196608:0KVoGVFqDdU4K5N0lA7/5SGdXVPEOcbi79Cd:0KVRV4nK5N0lA7RrXdE8Cd
Yara	登录查看Yara规则
	找不到该样本提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00f56c95
声明校验值	0x00000000
实际校验值	0x00670f18
最低操作系统版本要求	5.0
编译时间	2023-06-07 21:03:15
载入哈希	69f0aa63c36a3d4ed5a5360da6b0a23a

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000ecd2a	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.rdata	0x000ee000	0x0001e8ca	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.data	0x0010d000	0x0006e3ea	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.vmp0	0x0017c000	0x003f752d	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.vmp1	0x00574000	0x00664540	0x00665000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.96
.rsrc	0x00bd9000	0x00001559	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	2.91

导入

库: kernel32.dll:

• 0xee4000 GetVersion

• 0xee4004 GetVersionExA

库: user32.dll:

• 0xee400c ModifyMenuA

库: advapi32.dll:

• 0xee4014 RegOpenKeyExA

库: gdi32.dll:

• 0xee401c ScaleWindowExtEx

库: winspool.drv:

• 0xee4024 DocumentPropertiesA

库: comctl32.dll:

• 0xee402c None

库: shlwapi.dll:

• 0xee4034 PathFileExistsA

库: WINMM.dll:

• 0xee403c waveOutClose

库: WS2_32.dll:

• 0xee4044 getpeername

库: VERSION.dll:

• 0xee404c GetFileVersionInfoA

库: kernel32.dll:

• 0xee4054 GetVersion

• 0xee4058 GetVersionExA

库: user32.dll:

• 0xee4060 DestroyCursor

库: gdi32.dll:

• 0xee4068 LineTo

库: winspool.drv:

• 0xee4070 ClosePrinter

库: advapi32.dll:

• 0xee4078 RegCloseKey

库: SHELL32.dll:

• 0xee4080 SHGetSpecialFolderPathA

库: ole32.dll:

• 0xee4088 OleUninitialize

库: OLEAUT32.dll:

• 0xee4090 UnRegisterTypeLib

库: comctl32.dll:

• 0xee4098 ImageList_Destroy

库: comdlg32.dll:

• 0xee40a0 GetFileTitleA

库: WTSAPI32.dll:

• 0xee40a8 WTSSendMessageW

库: kernel32.dll:

• 0xee40b0 VirtualQuery

库: user32.dll:

• 0xee40b8 GetProcessWindowStation

库: kernel32.dll:

• 0xee40c0 LocalAlloc

• 0xee40c4 LocalFree

• 0xee40c8 GetModuleFileNameW

• 0xee40cc GetProcessAffinityMask

• 0xee40d0 SetProcessAffinityMask

• 0xee40d4 SetThreadAffinityMask

• 0xee40d8 Sleep

• 0xee40dc ExitProcess

• 0xee40e0 FreeLibrary

• 0xee40e4 LoadLibraryA

• 0xee40e8 GetModuleHandleA

• 0xee40ec GetProcAddress

库: user32.dll:

• 0xee40f4 GetProcessWindowStation

• 0xee40f8 GetUserObjectInformationW

.text
`.rdata
@.data
.vmp0
`.vmp1
`.rsrc
Ah+s`8
gdi32.dll
-F-L>>
!?^;N
qn.L\Sd4

没有防病毒引擎扫描信息!

进程树

______.vmp.exe id: 2656

搜索
______.vmp.exe (2656)

______.vmp.exe, PID: 2656, 上一级进程 PID: 2332

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49157	23.219.38.64	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	60917	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49157	23.219.38.64	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	60917	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 28.524 seconds )

12.767 Static
10.724 Suricata
2.255 VirusTotal
1.409 TargetInfo
0.946 NetworkAnalysis
0.355 peid
0.027 BehaviorAnalysis
0.018 config_decoder
0.011 Strings
0.01 AnalysisInfo
0.002 Memory

Signatures ( 1.423 seconds )

1.346 md_url_bl
0.011 antiav_detectreg
0.008 md_domain_bl
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.005 infostealer_ftp
0.004 geodo_banking_trojan
0.004 ransomware_files
0.003 infostealer_bitcoin
0.003 infostealer_im
0.003 network_http
0.003 ransomware_extensions
0.002 tinba_behavior
0.002 antianalysis_detectreg
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 infostealer_mail
0.001 stealth_decoy_document
0.001 rat_nanocore
0.001 api_spamming
0.001 betabot_behavior
0.001 cerber_behavior
0.001 stealth_timeout
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http

Reporting ( 0.644 seconds )

0.612 ReportHTMLSummary
0.032 Malheur


Task ID	721980
Mongo ID	6480834ddc327b4796064fce
Cuckoo release	1.4-Maldun