比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-app02-1 2017-03-12 13:06:26 2017-03-12 13:08:50 144 秒

魔盾分数

2.8

可疑的

文件详细信息

文件名 Scan_2014-12-13.exe
文件大小 4587520 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 b4fbee6dbe9b6b070719c5e0f880fa17
SHA1 fd651c2eb52c95dbc00850c9f55418ad519435f2
SHA256 4c8ee2a7f1ad84664a98472a3303cbf33b8372e3fa9565a98bf0e1326fe24b2d
SHA512 31ce7022f310cd67237cf305d1b9cece6a8bd3499feac4ddf629e1456bcbc9c7b8a68bd3bd96b25b20a8b9bf8dac634e73e8c0d7031f1036c73700b8ce031b92
CRC32 2F0EB7A7
Ssdeep 98304:bB+oNnrLWoFRNVsXmedCGGB/15p2inZDaGHlr1UG/mfWaTM1F01QDgi5anc:bBdnf5sWedCLB/BNaGFn+KF0ihX
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x004414f0
声明校验值 0x00000000
实际校验值 0x0046af71
最低操作系统版本要求 5.0
编译时间 2013-03-24 06:26:55
载入哈希 01b1c9ea1a29292053e19bce0321e74c
图标
图标精确哈希值 bf4cf4f33e0f7f62183061ded3b40f61
图标相似性哈希值 31a196d4a248f0b94087d8df5f569c92

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

PEiD 规则

[u'UPX 2.93 - 3.00 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser']

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x00030000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00031000 0x00012000 0x00011200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.98
.rsrc 0x00043000 0x00012000 0x00011200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.21

覆盖

偏移量 0x00022800
大小 0x0043d800

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_ICON 0x00053888 0x00000468 LANG_NEUTRAL SUBLANG_NEUTRAL 6.39 GLS_BINARY_LSB_FIRST
RT_GROUP_ICON 0x00053d28 0x00000068 LANG_NEUTRAL SUBLANG_NEUTRAL 2.72 MS Windows icon resource - 7 icons, 48x48
RT_GROUP_ICON 0x00053d28 0x00000068 LANG_NEUTRAL SUBLANG_NEUTRAL 2.72 MS Windows icon resource - 7 icons, 48x48
RT_VERSION 0x00053d94 0x000002c0 LANG_NEUTRAL SUBLANG_NEUTRAL 3.40 data

导入

库: KERNEL32.DLL:
0x4540a4 LoadLibraryA
0x4540a8 GetProcAddress
0x4540ac VirtualProtect
0x4540b0 VirtualAlloc
0x4540b4 VirtualFree
0x4540b8 ExitProcess
库: USER32.dll:
0x4540c0 MessageBoxA
库: WS2_32.dll:
0x4540c8 ntohl
.rsrc
|)==F
f-ae2
KERNEL32.DLL
USER32.dll
WS2_32.dll
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
MessageBoxA
zc6\ks_
wA6 h
I5p+w
RZ}JIq9I
4 J*~
`{"v2
wQeJ]
*ESfh<
OQVSr
gh6gx
Yvl"Z
wFPBLwFu
IW+5N
{OWkif
vv9hL
~F,:G
d@.anqQ
cVx;X6yw
yK]f0
DdJHd
/&yXN
=-3stQ%6
1Mq@`
/N=>~!
aftPfp
|\ZN:
+wzoy\
En!~_f3
-0[[:
D5ME~M
\*<2P
(Y>5i
GM?kG%,K
#rvezb
:{NBQ
o%yz"
:P+XV
Pv*?w
vFD_:
VYur:
J.l^
J I :L
IJ Z'd
C7Z[Ulp
.t!G=
b0O&
p9(@bX
jbkG,;
c5ldgtTP
yr#\[@Z]
-\N`;
wd:at\
-O.yxM^
QyiY8
}Kz7.L
bZAvh
(HC7>
I2T8h
A}-!'
/jW1_@
FEoSf
!%Z)'
#Sx,E
XIer1T
@M_ZG
05<+"
ou6;vM
i89lA( @
u^Oa9
IQ;dSQ
L7dhU
p+vAl
"2z9)U
~V2,C
Vf/OQ
+@"nm
5''52
4tS&`#
h_asS46
hqvb\
Bh@H
C=jru
aSX&A
V;J^#
'wf%b;
ZF>\P
hhTn{
Xu6^&
<9kN,
kg72 h
BR5"C
E-S[.L
|SFr/
0I~`9
vmN)z
Mcj_,
8v5}bc=t
l]r*8
{fut?
!"B`c[
7JC?[
;FVt-
LDU8Ne0j
cd6mhEI+
oZ(/=X
(aA"Ag
)U;v/
R(+'1
R"X`w
>t;v7N
YKc'#'O!
%{95
a*Cd4
!&\PG
[/`C^
Z\k'M
~\--C
xD8'!46
A\:t0
IV$zh
,ZaCzj
l*LDe}
;H&\+XH
,Vus([t
z h~J#
$&T$2
#UU}V
g'9i;ZZ~t
Zg:Q4P
VS_VERSION_INFO
StringFileInfo
040904b0
CompanyName
Igor Pavlov
FileDescription
7-Zip File Manager
FileVersion
InternalName
LegalCopyright
Copyright (c) 1999-2010 Igor Pavlov
OriginalFilename
7zFM.exe
ProductName
7-Zip
ProductVersion
VarFileInfo
Translation
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
MicroWorld-eScan 未发现病毒 20170312
nProtect 未发现病毒 20170312
CMC 未发现病毒 20170311
CAT-QuickHeal 未发现病毒 20170311
McAfee 未发现病毒 20170312
Malwarebytes 未发现病毒 20170312
VIPRE 未发现病毒 20170312
SUPERAntiSpyware 未发现病毒 20170311
CrowdStrike 未发现病毒 20170130
K7GW 未发现病毒 20170311
K7AntiVirus 未发现病毒 20170312
Baidu 未发现病毒 20170311
F-Prot 未发现病毒 20170312
Symantec 未发现病毒 20170311
TotalDefense 未发现病毒 20170311
TrendMicro-HouseCall 未发现病毒 20170312
Paloalto 未发现病毒 20170312
ClamAV 未发现病毒 20170311
Kaspersky 未发现病毒 20170312
BitDefender 未发现病毒 20170312
NANO-Antivirus 未发现病毒 20170312
ViRobot 未发现病毒 20170311
Avast 未发现病毒 20170312
Tencent 未发现病毒 20170312
Ad-Aware 未发现病毒 20170312
Emsisoft 未发现病毒 20170312
Comodo 未发现病毒 20170312
F-Secure 未发现病毒 20170312
DrWeb 未发现病毒 20170312
Zillya 未发现病毒 20170310
Invincea 未发现病毒 20170203
McAfee-GW-Edition 未发现病毒 20170312
TheHacker 未发现病毒 20170311
Cyren 未发现病毒 20170312
Jiangmin 未发现病毒 20170312
Webroot 未发现病毒 20170312
Avira 未发现病毒 20170311
Antiy-AVL 未发现病毒 20170312
Kingsoft 未发现病毒 20170312
Microsoft 未发现病毒 20170312
Endgame malicious (moderate confidence) 20170222
Arcabit 未发现病毒 20170312
AegisLab 未发现病毒 20170312
ZoneAlarm 未发现病毒 20170312
GData 未发现病毒 20170312
Sophos 未发现病毒 20170312
AhnLab-V3 未发现病毒 20170311
ALYac 未发现病毒 20170311
AVware 未发现病毒 20170312
VBA32 未发现病毒 20170310
Zoner 未发现病毒 20170312
ESET-NOD32 未发现病毒 20170311
Rising 未发现病毒 20170312
Yandex 未发现病毒 20170311
Ikarus 未发现病毒 20170311
Fortinet 未发现病毒 20170311
AVG 未发现病毒 20170312
Panda 未发现病毒 20170311
Qihoo-360 HEUR/QVM18.1.0000.Malware.Gen 20170312

进程树

Scan_2014-12-13.exe, PID: 2408, 上一级进程 PID: 2260
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 6.638 seconds )

  • 3.066 Static
  • 1.59 VirusTotal
  • 0.563 Strings
  • 0.56 TargetInfo
  • 0.507 peid
  • 0.124 AnalysisInfo
  • 0.116 BehaviorAnalysis
  • 0.082 Debug
  • 0.015 config_decoder
  • 0.01 NetworkAnalysis
  • 0.005 Memory

Signatures ( 0.573 seconds )

  • 0.434 md_bad_drop
  • 0.027 antiav_detectreg
  • 0.011 infostealer_ftp
  • 0.009 ransomware_files
  • 0.008 persistence_autorun
  • 0.008 antiav_detectfile
  • 0.007 infostealer_im
  • 0.006 antianalysis_detectreg
  • 0.005 infostealer_bitcoin
  • 0.005 infostealer_mail
  • 0.004 stealth_timeout
  • 0.004 disables_browser_warn
  • 0.003 tinba_behavior
  • 0.003 antivm_vbox_files
  • 0.003 geodo_banking_trojan
  • 0.002 antiemu_wine_func
  • 0.002 betabot_behavior
  • 0.002 bot_drive
  • 0.002 modify_proxy
  • 0.002 browser_security
  • 0.002 modifies_certs
  • 0.002 modify_uac_prompt
  • 0.001 network_tor
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 vawtrak_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antivm_generic_diskreg
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 darkcomet_regkeys
  • 0.001 disables_system_restore
  • 0.001 mimics_extension
  • 0.001 modify_security_center_warnings
  • 0.001 office_security
  • 0.001 ransomware_extensions
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 targeted_flame

Reporting ( 6.3 seconds )

  • 5.575 ReportPDF
  • 0.724 ReportHTMLSummary
  • 0.001 Malheur
Task ID 84540
Mongo ID 58c4d7f00d98266a82d0e27f
Cuckoo release 1.4-Maldun