比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2024-04-25 18:29:30 2024-04-25 18:30:44 74 秒

魔盾分数

0.375

正常的

文件详细信息

文件名 WindTerm_2.5.0.zip ==> WindTerm.exe
文件大小 1279 字节
文件类型 ASCII text, with CRLF line terminators
MD5 6f2ee5b6772b7be18f8621cfb2781f82
SHA1 7a1214f9a2be5c02ff222c8cb134f8a0458638c1
SHA256 000f4eabefc4d61ccead47d5bac68540665e7470747fa35425b007ef9080fad8
SHA512 b1a2a6e22808126a74d4a85c1accbde97536b1dd368eef4a326701582ec4d420dd9c5ddf1c17b89289712afa97b38ef405a8cd5e5bf410d1531033add1c98511
CRC32 09236D05
Ssdeep 24:Bj+L4GmVLXgO6VhQ4kvpVoWL4qwGuoa1BhBu1sIJGR4GmV2HQ64UyU:p8DmVzg32ThVoWL4qwGurDXuTkDmVsz3
Yara 登录查看Yara规则
找不到该样本 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 美国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
watson.microsoft.com 未知 A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

摘要

登录查看详细行为信息
没有可用的静态分析.
w2?<~
t2|v2z
($%H=
K(jFe
没有防病毒引擎扫描信息!

进程树

cmd.exe, PID: 2964, 上一级进程 PID: 2408
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 美国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 23.209.84.72 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53
192.168.122.201 65178 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
watson.microsoft.com 未知 A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 23.209.84.72 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53
192.168.122.201 65178 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 WindTerm.exe
相关文件
C:\Users\test\AppData\Local\Temp\zip-tmp\WindTerm.exe
文件大小 1279 字节
文件类型 ASCII text, with CRLF line terminators
MD5 6f2ee5b6772b7be18f8621cfb2781f82
SHA1 7a1214f9a2be5c02ff222c8cb134f8a0458638c1
SHA256 000f4eabefc4d61ccead47d5bac68540665e7470747fa35425b007ef9080fad8
CRC32 09236D05
Ssdeep 24:Bj+L4GmVLXgO6VhQ4kvpVoWL4qwGuoa1BhBu1sIJGR4GmV2HQ64UyU:p8DmVzg32ThVoWL4qwGurDXuTkDmVsz3
魔盾安全分析结果 0.1分析时间:2022-08-12 12:04:51查看分析报告
下载提交魔盾安全分析显示文本 
:: Copyright (c) 2012 Martin Ridgers
:: License: http://opensource.org/licenses/MIT

@echo off
set clink_profile_arg=
set clink_quiet_arg=

:: Mimic cmd.exe's behaviour when starting from the start menu.
if /i "%1"=="startmenu" (
    cd /d "%userprofile%"
    shift /1
)

:: Check for the --profile option.
if /i "%1"=="--profile" (
    set clink_profile_arg=--profile "%~2"
    shift /1
    shift /1
)

:: Check for the --quiet option.
if /i "%1"=="--quiet" (
    set clink_quiet_arg= --quiet
    shift /1
)

:: If the .bat is run without any arguments, then start a cmd.exe instance.
if "%1"=="" (
    call :launch
    goto :end
)

:: Pass through to appropriate loader.
if /i "%processor_architecture%"=="x86" (
        "%~dp0\clink_x86.exe" %*
) else if /i "%processor_architecture%"=="amd64" (
    if defined processor_architew6432 (
        "%~dp0\clink_x86.exe" %*
    ) else (
        "%~dp0\clink_x64.exe" %*
    )
)

:end
set clink_profile_arg=
set clink_quiet_arg=
goto :eof

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:launch
setlocal
set WT_PROFILE_ID=
set WT_SESSION=
start "Clink" cmd.exe /s /k ""%~dpnx0" inject %clink_profile_arg%%clink_quiet_arg%"
endlocal
exit /b 0
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 23.036 seconds )

  • 11.851 NetworkAnalysis
  • 10.843 Suricata
  • 0.271 TargetInfo
  • 0.026 AnalysisInfo
  • 0.017 Strings
  • 0.016 Dropped
  • 0.008 BehaviorAnalysis
  • 0.003 Memory
  • 0.001 Static

Signatures ( 1.487 seconds )

  • 1.382 proprietary_url_bl
  • 0.012 antiav_detectreg
  • 0.01 anomaly_persistence_autorun
  • 0.01 proprietary_domain_bl
  • 0.006 infostealer_ftp
  • 0.005 tinba_behavior
  • 0.005 antiav_detectfile
  • 0.005 geodo_banking_trojan
  • 0.004 antivm_vbox_files
  • 0.004 infostealer_im
  • 0.004 network_http
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.002 rat_nanocore
  • 0.002 anomaly_persistence_bootexecute
  • 0.002 ransomware_message
  • 0.002 cerber_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.002 proprietary_bad_drop
  • 0.002 network_torgateway
  • 0.001 hawkeye_behavior
  • 0.001 betabot_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 network_cnc_http

Reporting ( 0.534 seconds )

  • 0.491 ReportHTMLSummary
  • 0.043 Malheur
Task ID 744311
Mongo ID 662a311c7e769a5b68bf30f4
Cuckoo release 1.4-Maldun