分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2024-11-30 11:20:06 2024-11-30 11:22:30 144 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 1.76祥云传奇[微端]新.exe
文件大小 24925528 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 ed580c4eefae73848d3f5bf5439634c9
SHA1 741b187fac27f99ccb21ad98d4fea93dc11565d4
SHA256 28366f063b9c209c183a61fe0698022893cf175d6c8ac519e4a3eedb7544c412
SHA512 b48d17383dd5b2d8d5d59a615abfc464a0663ad12428890a9ff08e2e30c705c3bc27694efada04733bd7b01f71eb61529ee2344175b73ec1e399736cbed27605
CRC32 A62CA4D1
Ssdeep 393216:GMIsEm0iTEBtZI7o8Py0kX/03/p6XjqSeO3chJRfU/zteEHsRy7xikeXdMs8GKV/:GMIsZ0iTENI7py1mcXjyOcT0zteEMRyt
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00a10000
入口地址 0x01aa456e
声明校验值 0x00000000
实际校验值 0x017cfff2
最低操作系统版本要求 5.0
编译时间 1992-06-20 06:22:17
载入哈希 4f6774311893958cf7e3eb0c2b019923
图标
图标精确哈希值 a67cbc0c5fd17d64e99c64cdf509d3fa
图标相似性哈希值 2ec680c1a03da3b2b55d8d2528583893

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
CODE 0x00001000 0x0014c704 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
DATA 0x0014e000 0x00015500 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
BSS 0x00164000 0x00002829 0x00000000 IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.idata 0x00167000 0x000034d2 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.tls 0x0016b000 0x00000034 0x00000000 IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.rdata 0x0016c000 0x00000018 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ 0.00
.vmp0 0x0016d000 0x00012758 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.vmp1 0x00180000 0x001e3000 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.NewSec 0x00363000 0x00a00000 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.vmp2 0x00d63000 0x0009b660 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.vmp0 0x00dff000 0x00289df8 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.vmp1 0x01089000 0x005c3c49 0x005c3e00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.85
.rsrc 0x0164d000 0x00000722 0x00000800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.54

覆盖

偏移量 0x005c4c00
大小 0x01200958

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x0164d0fc 0x000002e8 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 3.05 data
RT_GROUP_ICON 0x0164d3e4 0x00000014 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 1.83 MS Windows icon resource - 1 icon, 32x32, 16 colors
RT_MANIFEST 0x0164d3f8 0x0000032a LANG_NEUTRAL SUBLANG_NEUTRAL 4.95 XML 1.0 document, ASCII text, with CRLF line terminators

导入

库: kernel32.dll:
0x1d470d8 GlobalAlloc
库: user32.dll:
0x1d470e0 GetMessagePos
库: advapi32.dll:
0x1d470e8 RegSetValueExA
库: oleaut32.dll:
0x1d470f0 GetActiveObject
库: mpr.dll:
0x1d470f8 WNetGetConnectionA
库: version.dll:
0x1d47100 GetFileVersionInfoA
库: gdi32.dll:
0x1d47108 GetWindowOrgEx
库: ole32.dll:
0x1d47110 OleInitialize
库: comctl32.dll:
0x1d47118 ImageList_Destroy
库: shell32.dll:
0x1d47120 SHGetMalloc
库: wininet.dll:
库: comdlg32.dll:
0x1d47130 GetOpenFileNameA
库: winmm.dll:
0x1d47138 timeGetTime
库: wsock32.dll:
0x1d47140 socket
库: gdiplus.dll:
0x1d47148 GdipGetImageHeight
库: kernel32.dll:
0x1d47150 GetModuleFileNameW
库: kernel32.dll:
0x1d47158 GetModuleHandleA
0x1d4715c LoadLibraryA
0x1d47160 LocalAlloc
0x1d47164 LocalFree
0x1d47168 GetModuleFileNameA
0x1d4716c ExitProcess

`DATA
.idata
.rdata
P.vmp0
@.vmp1
@.NewSec
.vmp2
`.vmp0
.vmp1
.rsrc
winmm.dll
ExitProcess
version.dll
comdlg32.dll
OleInitialize
RegSetValueExA
9D!\
GetWindowOrgEx
>"3~"
GetModuleHandleA
LocalAlloc
Ekernel32.dll
GetModuleFileNameA
WNetGetConnectionA
v =t
GetModuleFileNameW
_ ole32.dll
gdiplus.dll
comctl32.dll
kVB\U%
没有防病毒引擎扫描信息!

进程树


1.76_______________________.exe, PID: 2656, 上一级进程 PID: 2288

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 95.101.27.207 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 95.101.27.207 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 35.58 seconds )

  • 15.358 Suricata
  • 12.221 Static
  • 6.144 TargetInfo
  • 0.953 NetworkAnalysis
  • 0.6 peid
  • 0.176 BehaviorAnalysis
  • 0.059 config_decoder
  • 0.055 AnalysisInfo
  • 0.012 Strings
  • 0.002 Memory

Signatures ( 1.76 seconds )

  • 1.554 proprietary_url_bl
  • 0.021 antiav_detectreg
  • 0.011 anomaly_persistence_autorun
  • 0.011 infostealer_ftp
  • 0.011 infostealer_im
  • 0.011 proprietary_domain_bl
  • 0.01 api_spamming
  • 0.008 stealth_decoy_document
  • 0.008 stealth_timeout
  • 0.008 geodo_banking_trojan
  • 0.007 antiav_detectfile
  • 0.006 infostealer_bitcoin
  • 0.005 disables_browser_warn
  • 0.005 ransomware_extensions
  • 0.005 ransomware_files
  • 0.004 antianalysis_detectreg
  • 0.004 infostealer_mail
  • 0.004 network_http
  • 0.003 tinba_behavior
  • 0.003 betabot_behavior
  • 0.003 antidbg_windows
  • 0.003 antivm_vbox_files
  • 0.003 browser_security
  • 0.003 modify_proxy
  • 0.002 antiemu_wine_func
  • 0.002 rat_nanocore
  • 0.002 mimics_filetime
  • 0.002 reads_self
  • 0.002 antivm_generic_scsi
  • 0.002 infostealer_browser_password
  • 0.002 cerber_behavior
  • 0.002 kovter_behavior
  • 0.002 antivm_xen_keys
  • 0.002 bot_drive
  • 0.002 bot_drive2
  • 0.002 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.002 proprietary_bad_drop
  • 0.001 bootkit
  • 0.001 dridex_behavior
  • 0.001 stealth_file
  • 0.001 anomaly_persistence_bootexecute
  • 0.001 antivm_generic_services
  • 0.001 kibex_behavior
  • 0.001 antivm_generic_disk
  • 0.001 virus
  • 0.001 bypass_firewall
  • 0.001 antidbg_devices
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_vmware_files
  • 0.001 banker_zeus_mutex
  • 0.001 bot_athenahttp
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 codelux_behavior
  • 0.001 darkcomet_regkeys
  • 0.001 malicous_targeted_flame
  • 0.001 proprietary_anomaly_mismatch_mime_extension
  • 0.001 network_cnc_http
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.732 seconds )

  • 0.677 ReportHTMLSummary
  • 0.055 Malheur
Task ID 764088
Mongo ID 674a85237e769a640142f490
Cuckoo release 1.4-Maldun