分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp02-1 2024-11-30 22:02:31 2024-11-30 22:05:03 152 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 1732719683371862.zip ==> WindowsCOIDEAKeyboardSetup.exe
文件大小 15729619 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 e48a7c16d4e7a935ff8f173a59192b3a
SHA1 beedd24e69f9ed42b9bae0b7cdb84fdb09dcb21c
SHA256 b0be320e0288a1b733bf9cb731b3c54a8a2b2ecb682cbf23285bd71cbd2ef610
SHA512 2014aafa116abadfe6830a0ee0464baa3e6787a57e1e755604630178df85880f8c7ccf47819b8ac183e1f7ad1a64dbdd01b6c2c5a62aa9e753c49cb2a8ca0900
CRC32 3686A4C6
Ssdeep 393216:ZGpUxXiXVzQ9n9x3vxoPrRIsySd3ACCTZu4pIGlXD9AYjrj:ZGpIY6fZoACCdbtz9A+3
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 未知 美国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
watson.microsoft.com A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

摘要

登录查看详细行为信息
没有信息显示.
qD*]R
H?$_g
x.D}.
没有防病毒引擎扫描信息!

进程树


cmd.exe, PID: 2760, 上一级进程 PID: 2300
WindowsCOIDEAKeyboardSetup.exe, PID: 2892, 上一级进程 PID: 2760
WindowsCOIDEAKeyboardSetup.tmp, PID: 2988, 上一级进程 PID: 2892

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 未知 美国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 23.218.239.157 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63246 192.168.122.1 53
192.168.122.201 63472 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
watson.microsoft.com A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49157 23.218.239.157 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 63246 192.168.122.1 53
192.168.122.201 63472 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 WindowsCOIDEAKeyboardSetup.exe
相关文件
C:\Users\test\AppData\Local\Temp\zip-tmp\WindowsCOIDEAKeyboardSetup.exe
文件大小 15729619 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 e48a7c16d4e7a935ff8f173a59192b3a
SHA1 beedd24e69f9ed42b9bae0b7cdb84fdb09dcb21c
SHA256 b0be320e0288a1b733bf9cb731b3c54a8a2b2ecb682cbf23285bd71cbd2ef610
CRC32 3686A4C6
Ssdeep 393216:ZGpUxXiXVzQ9n9x3vxoPrRIsySd3ACCTZu4pIGlXD9AYjrj:ZGpIY6fZoACCdbtz9A+3
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 30.497 seconds )

  • 12.426 NetworkAnalysis
  • 11.853 Suricata
  • 3.105 TargetInfo
  • 2.437 BehaviorAnalysis
  • 0.63 Dropped
  • 0.024 AnalysisInfo
  • 0.011 Strings
  • 0.009 Static
  • 0.002 Memory

Signatures ( 2.948 seconds )

  • 1.394 proprietary_url_bl
  • 0.144 reads_self
  • 0.142 antivm_generic_disk
  • 0.141 api_spamming
  • 0.141 virus
  • 0.137 mimics_filetime
  • 0.123 stealth_file
  • 0.116 bootkit
  • 0.108 stealth_timeout
  • 0.094 stealth_decoy_document
  • 0.081 proprietary_anomaly_massive_file_ops
  • 0.046 hancitor_behavior
  • 0.03 rat_luminosity
  • 0.029 proprietary_malicious_write_executeable_under_temp_to_regrun
  • 0.024 proprietary_anomaly_terminated_process
  • 0.024 antiav_detectreg
  • 0.023 proprietary_anomaly_write_exe_and_dll_under_winroot_run
  • 0.022 proprietary_anomaly_write_exe_and_obsfucate_extension
  • 0.01 infostealer_ftp
  • 0.01 proprietary_domain_bl
  • 0.007 antiav_detectfile
  • 0.006 anomaly_persistence_autorun
  • 0.006 infostealer_im
  • 0.005 antianalysis_detectreg
  • 0.005 infostealer_bitcoin
  • 0.004 antiemu_wine_func
  • 0.004 infostealer_browser_password
  • 0.004 antidbg_windows
  • 0.004 kovter_behavior
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_mail
  • 0.004 network_http
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 antivm_vbox_files
  • 0.003 disables_browser_warn
  • 0.002 tinba_behavior
  • 0.002 antivm_vbox_libs
  • 0.002 rat_nanocore
  • 0.002 antivm_generic_scsi
  • 0.002 proprietary_bad_drop
  • 0.002 network_torgateway
  • 0.001 antiav_avast_libs
  • 0.001 antivm_generic_services
  • 0.001 antivm_vbox_window
  • 0.001 betabot_behavior
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 exec_crash
  • 0.001 anormaly_invoke_kills
  • 0.001 cerber_behavior
  • 0.001 antidbg_devices
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 disables_system_restore
  • 0.001 darkcomet_regkeys
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 proprietary_anomaly_mismatch_mime_extension
  • 0.001 proprietary_ip_reputation
  • 0.001 network_cnc_http

Reporting ( 0.591 seconds )

  • 0.54 ReportHTMLSummary
  • 0.051 Malheur
Task ID 764220
Mongo ID 674b1bc8dc327b16b8727e17
Cuckoo release 1.4-Maldun