分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-shaapp03-1 | 2023-09-06 11:42:36 | 2023-09-06 11:44:51 | 135 秒 |
文件名 | -服务端.exe |
---|---|
文件大小 | 2831326 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | af090e363e79628671faf1b0a98587aa |
SHA1 | a331bdb7770bf09346444e7cb6fbd03ca69dfc9b |
SHA256 | 3f2d6c9827e4532876c5efc69f4d6f7ffd51a6958515887daae51a94133733f3 |
SHA512 | 9b667be4c606b18c5ff2bba8c5c9730e225c08d458ed677d4944642632040071e2c94f03a66a244550e1224d61d99f283fc2994803501a40e03a8981946ea1f9 |
CRC32 | D5E4BE74 |
Ssdeep | 49152:gmCSDU+UUzxovO1+fDBgah1iMKZ+Ps+j2MQQWvPD15w9K9M0PCL8F4hUBAX9Q40Q:gmCAU+UUzx0OCDBbOZ+kHHhq9NLL8e08 |
Yara | 登录查看Yara规则 |
找不到该样本 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 154.213.17.158 | 未知 | 未知 |
是 | 47.100.240.250 | 未知 | 中国 |
否 | 8.210.0.21 | 未知 | 美国 |
域名 | 安全评级 | 响应 |
---|---|---|
www.tooyk.com | 未知 | A 8.210.0.21 |
yt6.tooyk.com | 未知 | A 154.213.17.158 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x0041e1f9 |
声明校验值 | 0x00000000 |
实际校验值 | 0x002b4cd4 |
最低操作系统版本要求 | 5.1 |
PDB路径 | D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb |
编译时间 | 2020-03-26 18:02:47 |
载入哈希 | fcf1390e9ce472c7270447fc5c61a0c1 |
图标 | |
图标精确哈希值 | bb92481785a1d000c7a31f0118946826 |
图标相似性哈希值 | 621c7e7e37ef77debdba9d67e77c002c |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
.text | 0x00001000 | 0x00030581 | 0x00030600 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.70 |
.rdata | 0x00032000 | 0x0000a332 | 0x0000a400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 5.24 |
.data | 0x0003d000 | 0x000238b0 | 0x00001200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 3.84 |
.gfids | 0x00061000 | 0x000000e8 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 2.12 |
.rsrc | 0x00062000 | 0x000125a0 | 0x00012600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 6.94 |
.reloc | 0x00075000 | 0x0000210c | 0x00002200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 6.61 |
偏移量 | 0x00050a00 |
大小 | 0x002629de |
名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
---|---|---|---|---|---|---|
PNG | 0x0006321c | 0x000015a9 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 7.80 | PNG image data, 186 x 604, 8-bit/color RGB, non-interlaced |
PNG | 0x0006321c | 0x000015a9 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 7.80 | PNG image data, 186 x 604, 8-bit/color RGB, non-interlaced |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_ICON | 0x00072a78 | 0x00000468 | LANG_NEUTRAL | SUBLANG_DEFAULT | 5.40 | GLS_BINARY_LSB_FIRST |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_DIALOG | 0x0007354c | 0x000001ce | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.86 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_STRING | 0x00073e60 | 0x0000006a | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 4.29 | data |
RT_GROUP_ICON | 0x00073ecc | 0x00000092 | LANG_NEUTRAL | SUBLANG_DEFAULT | 2.87 | MS Windows icon resource - 10 icons, 48x48, 16 colors |
RT_MANIFEST | 0x00073f60 | 0x00000640 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 5.23 | XML 1.0 document, ASCII text, with CRLF line terminators |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 154.213.17.158 | 未知 | 未知 |
是 | 47.100.240.250 | 未知 | 中国 |
否 | 8.210.0.21 | 未知 | 美国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49189 | 154.213.17.158 yt6.tooyk.com | 4900 |
192.168.122.201 | 49212 | 154.213.17.158 yt6.tooyk.com | 4900 |
192.168.122.201 | 49160 | 42.99.140.168 | 80 |
192.168.122.201 | 49163 | 8.210.0.21 www.tooyk.com | 80 |
192.168.122.201 | 49174 | 8.210.0.21 www.tooyk.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 52207 | 192.168.122.1 | 53 |
192.168.122.201 | 56270 | 192.168.122.1 | 53 |
192.168.122.201 | 59401 | 192.168.122.1 | 53 |
192.168.122.201 | 59906 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
www.tooyk.com | 未知 | A 8.210.0.21 |
yt6.tooyk.com | 未知 | A 154.213.17.158 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49189 | 154.213.17.158 yt6.tooyk.com | 4900 |
192.168.122.201 | 49212 | 154.213.17.158 yt6.tooyk.com | 4900 |
192.168.122.201 | 49160 | 42.99.140.168 | 80 |
192.168.122.201 | 49163 | 8.210.0.21 www.tooyk.com | 80 |
192.168.122.201 | 49174 | 8.210.0.21 www.tooyk.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 52207 | 192.168.122.1 | 53 |
192.168.122.201 | 56270 | 192.168.122.1 | 53 |
192.168.122.201 | 59401 | 192.168.122.1 | 53 |
192.168.122.201 | 59906 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
URL专业沙箱检测 -> http://www.tooyk.com/onekey.dat | GET /onekey.dat HTTP/1.1 User-Agent: AutoIt Host: www.tooyk.com Cache-Control: no-cache |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Protocol | SID | Signature | Category |
---|---|---|---|---|---|---|---|---|
2023-09-06 11:43:17.789105+0800 | 192.168.122.201 | 49174 | 8.210.0.21 | 80 | TCP | 2008350 | ET POLICY Autoit Windows Automation tool User-Agent in HTTP Request - Possibly Hostile | Potential Corporate Privacy Violation |
2023-09-06 11:43:09.827181+0800 | 192.168.122.201 | 49163 | 8.210.0.21 | 80 | TCP | 2008350 | ET POLICY Autoit Windows Automation tool User-Agent in HTTP Request - Possibly Hostile | Potential Corporate Privacy Violation |
No TLS
No Suricata HTTP
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 726855 |
---|---|
Mongo ID | 64f7f6177e769a37b71ab864 |
Cuckoo release | 1.4-Maldun |