恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp01-1	2017-12-15 11:07:46	2017-12-15 11:10:53	187 秒

魔盾分数

10.0

Autorun病毒

文件详细信息

文件名	RECYCLER.exe_
文件大小	1221923 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	366ff3830bf635594da70fefb13ddbb3
SHA1	421ae492f1b76f03a608c860515d7c8f3a246781
SHA256	be84905f084711bdd9dfb9965bd1b47b382bcc427d3f092696796807b312cbd0
SHA512	34d3be59ffefd4dba6a76dee21a363d1a24a9c40f3380aff2991733daf97d93dc1afae863ea6dac8b57525bc11c70ce62cbf7e209a34b20bec093c4d426fe4f5
CRC32	6FBB1DC1
Ssdeep	24576:CD+VzUu1KNWKIu1JfJZc9TNowNbpqhaKp0tUilYq2DLq:u+5Uu1WIwxVopqh10tx2Xq
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x0040136a
声明校验值	0x001346fe
实际校验值	0x001346fe
最低操作系统版本要求	4.0
编译时间	1972-12-25 13:33:23
载入哈希	9165ea3e914e03bda3346f13edbd6ccd
图标
图标精确哈希值	3fac314695184b546842efbb6babc4d9
图标相似性哈希值	83be7baeee9d10e23086447dcea1db66

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000051ec	0x00006000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	6.97
.rdata	0x00007000	0x00000a4a	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	3.58
.data	0x00008000	0x00001f58	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.64
.data	0x0000a000	0x0000d000	0x0000d000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	6.82
.rsrc	0x00017000	0x000024f0	0x00003000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	3.62

覆盖

偏移量	0x0001a000
大小	0x00110523

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00018608	0x00000ea8	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	4.29	data
RT_ICON	0x00018608	0x00000ea8	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	4.29	data
RT_ICON	0x00018608	0x00000ea8	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	4.29	data
RT_ICON	0x00018608	0x00000ea8	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	4.29	data
RT_GROUP_ICON	0x000194b0	0x0000003e	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.74	MS Windows icon resource - 4 icons, 16x16

导入

库: KERNEL32.dll:

• 0x407000 GetProcAddress

• 0x407004 LoadLibraryA

• 0x407008 CloseHandle

• 0x40700c WriteFile

• 0x407010 CreateDirectoryA

• 0x407014 GetTempPathA

• 0x407018 ReadFile

• 0x40701c SetFilePointer

• 0x407020 CreateFileA

• 0x407024 GetModuleFileNameA

• 0x407028 GetStringTypeA

• 0x40702c LCMapStringW

• 0x407030 LCMapStringA

• 0x407034 HeapAlloc

• 0x407038 HeapFree

• 0x40703c GetModuleHandleA

• 0x407040 GetStartupInfoA

• 0x407044 GetCommandLineA

• 0x407048 GetVersion

• 0x40704c ExitProcess

• 0x407050 HeapDestroy

• 0x407054 HeapCreate

• 0x407058 VirtualFree

• 0x40705c VirtualAlloc

• 0x407060 HeapReAlloc

• 0x407064 TerminateProcess

• 0x407068 GetCurrentProcess

• 0x40706c UnhandledExceptionFilter

• 0x407070 FreeEnvironmentStringsA

• 0x407074 FreeEnvironmentStringsW

• 0x407078 WideCharToMultiByte

• 0x40707c GetEnvironmentStrings

• 0x407080 GetEnvironmentStringsW

• 0x407084 SetHandleCount

• 0x407088 GetStdHandle

• 0x40708c GetFileType

• 0x407090 RtlUnwind

• 0x407094 GetCPInfo

• 0x407098 GetACP

• 0x40709c GetOEMCP

• 0x4070a0 MultiByteToWideChar

• 0x4070a4 GetStringTypeW

库: USER32.dll:

• 0x4070ac MessageBoxA

• 0x4070b0 wsprintfA

.text
.rdata
.data
.data
.rsrc
rdata
runtime error 
Microsoft Visual C++ Runtime Library
Program: 
<program name unknown>
GetLastActivePopup
GetActiveWindow
MessageBoxA
user32.dll
GetProcAddress
LoadLibraryA
CloseHandle
WriteFile
CreateDirectoryA
GetTempPathA
ReadFile
SetFilePointer
CreateFileA
GetModuleFileNameA
KERNEL32.dll
MessageBoxA
wsprintfA
USER32.dll
HeapAlloc
HeapFree
GetModuleHandleA
GetStartupInfoA
GetCommandLineA
GetVersion
ExitProcess
HeapDestroy
HeapCreate
VirtualFree
VirtualAlloc
HeapReAlloc
TerminateProcess
GetCurrentProcess
UnhandledExceptionFilter
FreeEnvironmentStringsA
FreeEnvironmentStringsW
WideCharToMultiByte
GetEnvironmentStrings
GetEnvironmentStringsW
SetHandleCount
GetStdHandle
GetFileType
RtlUnwind
GetCPInfo
GetACP
GetOEMCP
MultiByteToWideChar
LCMapStringA
LCMapStringW
GetStringTypeA
GetStringTypeW
33333
oz{||||||||||||||||||||||||||y3
owuxxxxxxxxxxxxxxxxxxxxxxxxxxy3
oopqrrrrrrrrrrrrrrrrrrrrrrrrrr<n3
kklmEEEEEEEEEEEEEEEEEEEEEEEEEE<n3
fiiiiiiiiiiiiiiiiiiiiiiiiii<jU
fAAAAAAAAAAAAAAAAAAAAAAAAAA<gh3
dAAAAAAAAAAAAAAAAAAAAAAAAAA<eK3

防病毒引擎/厂商	病毒名/规则匹配	病毒库日期
Bkav	W32.FlyStudioTn.Heur	20131219
MicroWorld-eScan	Win32.Worm.Autorun.VE	20131219
nProtect	未发现病毒	20131219
CMC	未发现病毒	20131217
CAT-QuickHeal	Backdoor.FlyAgent.F	20131218
McAfee	W32/Autorun.worm.bx	20131219
Malwarebytes	未发现病毒	20131219
TheHacker	未发现病毒	20131219
K7GW	Backdoor ( 04c544dc1 )	20131219
K7AntiVirus	Riskware ( 2c53ce810 )	20131219
NANO-Antivirus	未发现病毒	20131219
F-Prot	<W32/Nuj.A.gen!Eldorado	20131219
Symantec	Packed.Generic.244	20131219
Norman	FlyAgent.CX	20131219
TotalDefense	Win32/Nuj.B!generic	20131219
TrendMicro-HouseCall	WORM_AUTORUN.SMW	20131219
Avast	Win32:EvilEPL [Cryp]	20131219
ClamAV	Worm.FlyStudio-22	20131219
Kaspersky	Trojan-Downloader.Win32.FlyStudio.il	20131219
BitDefender	Win32.Worm.Autorun.VE	20131211
Agnitum	Backdoor.FlyAgent!DKj8hwwixD4	20131217
ViRobot	未发现病毒	20131219
ByteHero	未发现病毒	20130613
Ad-Aware	Win32.Worm.Autorun.VE	20131211
Emsisoft	Win32.Worm.Autorun.VE (B)	20131219
Comodo	未发现病毒	20131219
F-Secure	Trojan-Dropper:W32/Peed.gen!A	20131219
DrWeb	Trojan.Siggen3.62001	20131219
VIPRE	Trojan.Win32.Autorun.dm (v)	20131219
AntiVir	TR/Dropper.Gen	20131219
TrendMicro	WORM_AUTORUN.SMW	20131219
McAfee-GW-Edition	W32/Autorun.worm.bx	20131219
Sophos	Mal/EncPk-NB	20131219
Jiangmin	TrojanDownloader.FlyStudio.kb	20131219
Antiy-AVL	Trojan/Win32.FlyStudio	20131219
Kingsoft	Win32.Troj.EncodeFk.ak.(kcloud)	20130829
Microsoft	Backdoor:Win32/FlyAgent.F	20131219
SUPERAntiSpyware	Trojan.Agent/Gen-XPFraud	20131219
GData	Win32.Worm.Autorun.VE	20131219
Commtouch	W32/Nuj.A.gen!Eldorado	20131219
AhnLab-V3	Win32/Flystudio.worm.Gen	20131219
VBA32	未发现病毒	20131219
Baidu-International	未发现病毒	20131213
ESET-NOD32	Win32/Packed.FlyStudio.O.Gen	20131219
Rising	PE:Trojan.Win32.Generic.12CD8397!315458455	20131218
Ikarus	Virus.Win32.Sality	20131219
Fortinet	W32/PckdFlyStudio.gen	20131219
AVG	Win32/Heur	20131219
Panda	Trj/Genetic.gen	20131219

进程树

RECYCLER.exe_ id: 2032
- explorer.exe id: 2044
- 5848E2.EXE id: 1560
  - explorer.exe id: 2128
  - 5848E2.EXE id: 2204
    - explorer.exe id: 2352
    - 5848E2.EXE id: 2460
      - explorer.exe id: 2592
      - 5848E2.EXE id: 2684
        
        explorer.exe id: 2812
        
        5848E2.EXE id: 2936
        
        explorer.exe id: 2080
        
        5848E2.EXE id: 2160
        
        explorer.exe id: 2456
        
        5848E2.EXE id: 2732
        
        explorer.exe id: 2908
        
        5848E2.EXE id: 1156
        
        explorer.exe id: 2876
        
        5848E2.EXE id: 2548
        
        explorer.exe id: 2728
        
        5848E2.EXE id: 1868
        
        explorer.exe id: 3152
        
        5848E2.EXE id: 3228
        
        explorer.exe id: 3372
        
        5848E2.EXE id: 3448
        
        explorer.exe id: 3604
        
        5848E2.EXE id: 3676
        
        explorer.exe id: 3832
        
        5848E2.EXE id: 3904
        
        explorer.exe id: 4056
        
        5848E2.EXE id: 2060
        
        explorer.exe id: 1668
        
        5848E2.EXE id: 3512
        
        explorer.exe id: 3644
        
        5848E2.EXE id: 3852
        
        explorer.exe id: 3332
        
        5848E2.EXE id: 2848
        
        explorer.exe id: 3752
        
        5848E2.EXE id: 3680
        
        explorer.exe id: 2100
        
        5848E2.EXE id: 3768
        
        explorer.exe id: 3908
        
        5848E2.EXE id: 4088
        
        explorer.exe id: 4212
        
        5848E2.EXE id: 4292
        
        explorer.exe id: 4436
        
        5848E2.EXE id: 4508
        
        explorer.exe id: 4664
        
        5848E2.EXE id: 4736
        
        explorer.exe id: 4892
        
        5848E2.EXE id: 4964
        
        explorer.exe id: 4112
        
        5848E2.EXE id: 3328
        
        explorer.exe id: 4428
        
        5848E2.EXE id: 4492
        
        explorer.exe id: 4168
        
        5848E2.EXE id: 5052
        
        explorer.exe id: 3656
        
        5848E2.EXE id: 4556
        
        explorer.exe id: 3404
        
        5848E2.EXE id: 4008
        
        explorer.exe id: 4944
        
        5848E2.EXE id: 5100
        
        explorer.exe id: 4724
        
        5848E2.EXE id: 5180
        
        explorer.exe id: 5328
        
        5848E2.EXE id: 5404
        
        explorer.exe id: 5556
        
        5848E2.EXE id: 5632
        
        explorer.exe id: 5780
        
        5848E2.EXE id: 5852
        
        explorer.exe id: 6008
        
        5848E2.EXE id: 6080
        
        explorer.exe id: 5156
        
        5848E2.EXE id: 4912
        
        explorer.exe id: 4960
        
        5848E2.EXE id: 5804
        
        explorer.exe id: 6060
        
        5848E2.EXE id: 5540
        
        explorer.exe id: 4512
        
        5848E2.EXE id: 5620
        
        explorer.exe id: 5752
        
        5848E2.EXE id: 6084
        
        explorer.exe id: 3728
        
        5848E2.EXE id: 5552
        
        explorer.exe id: 6280
        
        5848E2.EXE id: 6380
        
        explorer.exe id: 6540
        
        5848E2.EXE id: 6620
        
        explorer.exe id: 6768
        
        5848E2.EXE id: 6848
        
        explorer.exe id: 6996
        
        5848E2.EXE id: 7076
        
        explorer.exe id: 6188
        
        5848E2.EXE id: 6436
        
        explorer.exe id: 6600
        
        5848E2.EXE id: 6804
        
        explorer.exe id: 6524
        
        5848E2.EXE id: 7064
        
        explorer.exe id: 6664

RECYCLER.exe_, PID: 2032, 上一级进程 PID: 300

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2044, 上一级进程 PID: 2032

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 1560, 上一级进程 PID: 2032

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2128, 上一级进程 PID: 1560

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2204, 上一级进程 PID: 1560

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2352, 上一级进程 PID: 2204

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2460, 上一级进程 PID: 2204

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2592, 上一级进程 PID: 2460

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2684, 上一级进程 PID: 2460

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2812, 上一级进程 PID: 2684

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2936, 上一级进程 PID: 2684

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2080, 上一级进程 PID: 2936

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2160, 上一级进程 PID: 2936

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2456, 上一级进程 PID: 2160

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2732, 上一级进程 PID: 2160

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2908, 上一级进程 PID: 2732

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 1156, 上一级进程 PID: 2732

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2876, 上一级进程 PID: 1156

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2548, 上一级进程 PID: 1156

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2728, 上一级进程 PID: 2548

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 1868, 上一级进程 PID: 2548

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3152, 上一级进程 PID: 1868

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3228, 上一级进程 PID: 1868

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3372, 上一级进程 PID: 3228

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3448, 上一级进程 PID: 3228

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3604, 上一级进程 PID: 3448

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3676, 上一级进程 PID: 3448

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3832, 上一级进程 PID: 3676

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3904, 上一级进程 PID: 3676

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4056, 上一级进程 PID: 3904

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2060, 上一级进程 PID: 3904

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 1668, 上一级进程 PID: 2060

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3512, 上一级进程 PID: 2060

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3644, 上一级进程 PID: 3512

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3852, 上一级进程 PID: 3512

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3332, 上一级进程 PID: 3852

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 2848, 上一级进程 PID: 3852

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3752, 上一级进程 PID: 2848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3680, 上一级进程 PID: 2848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2100, 上一级进程 PID: 3680

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3768, 上一级进程 PID: 3680

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3908, 上一级进程 PID: 3768

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4088, 上一级进程 PID: 3768

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4212, 上一级进程 PID: 4088

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4292, 上一级进程 PID: 4088

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4436, 上一级进程 PID: 4292

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4508, 上一级进程 PID: 4292

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4664, 上一级进程 PID: 4508

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4736, 上一级进程 PID: 4508

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4892, 上一级进程 PID: 4736

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4964, 上一级进程 PID: 4736

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4112, 上一级进程 PID: 4964

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 3328, 上一级进程 PID: 4964

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4428, 上一级进程 PID: 3328

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4492, 上一级进程 PID: 3328

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4168, 上一级进程 PID: 4492

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5052, 上一级进程 PID: 4492

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3656, 上一级进程 PID: 5052

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4556, 上一级进程 PID: 5052

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3404, 上一级进程 PID: 4556

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4008, 上一级进程 PID: 4556

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4944, 上一级进程 PID: 4008

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5100, 上一级进程 PID: 4008

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4724, 上一级进程 PID: 5100

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5180, 上一级进程 PID: 5100

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5328, 上一级进程 PID: 5180

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5404, 上一级进程 PID: 5180

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5556, 上一级进程 PID: 5404

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5632, 上一级进程 PID: 5404

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5780, 上一级进程 PID: 5632

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5852, 上一级进程 PID: 5632

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6008, 上一级进程 PID: 5852

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6080, 上一级进程 PID: 5852

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5156, 上一级进程 PID: 6080

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 4912, 上一级进程 PID: 6080

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4960, 上一级进程 PID: 4912

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5804, 上一级进程 PID: 4912

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6060, 上一级进程 PID: 5804

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5540, 上一级进程 PID: 5804

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4512, 上一级进程 PID: 5540

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5620, 上一级进程 PID: 5540

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5752, 上一级进程 PID: 5620

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6084, 上一级进程 PID: 5620

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3728, 上一级进程 PID: 6084

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 5552, 上一级进程 PID: 6084

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6280, 上一级进程 PID: 5552

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6380, 上一级进程 PID: 5552

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6540, 上一级进程 PID: 6380

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6620, 上一级进程 PID: 6380

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6768, 上一级进程 PID: 6620

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6848, 上一级进程 PID: 6620

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6996, 上一级进程 PID: 6848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 7076, 上一级进程 PID: 6848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6188, 上一级进程 PID: 7076

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6436, 上一级进程 PID: 7076

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6600, 上一级进程 PID: 6436

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 6804, 上一级进程 PID: 6436

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6524, 上一级进程 PID: 6804

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

5848E2.EXE, PID: 7064, 上一级进程 PID: 6804

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6664, 上一级进程 PID: 7064

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

文件名	eAPI.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\eAPI.fne
文件大小	339968 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	1127360c56d642fb68f745256486b3df
SHA1	5749caddcf9724c636f14fd0794e63827596d584
SHA256	c0e82e5656920b636b9a31f6ca0339f0f761fe6a81de31af2a6ffbd7c8ebd62d
CRC32	802339C0
Ssdeep	6144:BMjWXfuD3+Ct7ml+eM/SZMj9xYOlnBo+Wy3avFmsVj9:BMinCBBDaZ69Bz0vND
	下载提交魔盾安全分析

文件名	dp1.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\dp1.fne
文件大小	126976 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	61a15938ed30f4aa8ad36c8135da989f
SHA1	d6b67e856309218a1411b34089999ec678826854
SHA256	2b41dc58887e07c43be0a15e9e0f46d7c860f2e11156559038d9c92318224c20
CRC32	B16C913D
Ssdeep	3072:oB5SvycAhCs4+YRNoJPpTVgINIsM51oXOm:obi5ANeRNoJRTVgINI3iOm
	下载提交魔盾安全分析

文件名	krnln.fnr
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\krnln.fnr
文件大小	1101824 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	003a1a9fb9b4d448a0f99650b530c3e4
SHA1	aa511a314f8c1650801850723bd88f22d758a29b
SHA256	b988ef547f838b9b7b8b4e4ff605329598f86e2999b3adaaee8e7f75b8da5dfd
CRC32	92D6163E
Ssdeep	24576:t/kdFuDVK2rAAaUHH6ACygojV/sfIK0m:t/uN2vaG6/ygoh
	下载提交魔盾安全分析

文件名	HtmlView.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\HtmlView.fne
文件大小	217088 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	1ea5ccdc2e2713772dbe59cbf66c3af7
SHA1	4b6ccfd6d517507252d7c417ee06e1f0b135035d
SHA256	873d169ce1f6191035c33de2068f68ebd9a25c5e7a4dd5d4495ca89239cfa177
CRC32	F49208D0
Ssdeep	3072:qveEGwDVIqJgDIVzdlyrIowuZku8BGfdP+jcmNrW65uxIoPNH3fnPK0rEa6Ni2:2eEGwD1gDOzSFZQkfdP7JXK0rEc2
	下载提交魔盾安全分析

文件名	5848E2.EXE
相关文件	C:\Windows\System32\911B41\5848E2.EXE
文件大小	1221923 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	366ff3830bf635594da70fefb13ddbb3
SHA1	421ae492f1b76f03a608c860515d7c8f3a246781
SHA256	be84905f084711bdd9dfb9965bd1b47b382bcc427d3f092696796807b312cbd0
CRC32	6FBB1DC1
Ssdeep	24576:CD+VzUu1KNWKIu1JfJZc9TNowNbpqhaKp0tUilYq2DLq:u+5Uu1WIwxVopqh10tx2Xq
	下载提交魔盾安全分析

文件名	internet.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\internet.fne
文件大小	184320 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	eafbb920055c2490c24a5ed73ecd3508
SHA1	f2f4992275210c3947cab8893d4e10af2b0b8314
SHA256	60ba233990c3e6340093a8c60b66554f88e2a24378a5403d2b83fce67e53abbe
CRC32	8D5FEE81
Ssdeep	3072:Z0zFETNf56uLafW0bVTlCho2VWafegOlW7Ng/6ok8TsXHHEpFazSp:sFETZhLULVxC+afegOk7Ny2eFO
	下载提交魔盾安全分析

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 21.174 seconds )

9.007 Suricata
7.22 BehaviorAnalysis
1.691 TargetInfo
1.575 VirusTotal
0.95 Static
0.361 peid
0.219 NetworkAnalysis
0.122 Dropped
0.016 AnalysisInfo
0.009 Strings
0.002 Debug
0.001 Memory
0.001 config_decoder

Signatures ( 2.744 seconds )

0.367 stealth_timeout
0.269 api_spamming
0.25 decoy_document
0.196 antivm_generic_disk
0.152 mimics_filetime
0.149 antivm_generic_scsi
0.143 virus
0.129 bootkit
0.129 reads_self
0.129 stealth_file
0.082 hancitor_behavior
0.06 antivm_generic_services
0.055 antidbg_windows
0.05 antivm_vbox_libs
0.047 injection_createremotethread
0.038 injection_runpe
0.037 antiemu_wine_func
0.035 kovter_behavior
0.035 antiav_detectreg
0.028 infostealer_browser_password
0.026 antiav_avast_libs
0.024 injection_rwx
0.022 exec_crash
0.021 antisandbox_sunbelt_libs
0.016 injection_explorer
0.016 antiav_bitdefender_libs
0.015 antisandbox_sboxie_libs
0.015 infostealer_ftp
0.014 h1n1_behavior
0.012 antivm_vmware_libs
0.011 md_url_bl
0.01 rat_luminosity
0.01 antivm_vbox_window
0.009 antiav_detectfile
0.009 infostealer_im
0.008 md_bad_drop
0.007 hawkeye_behavior
0.007 antianalysis_detectreg
0.006 shifu_behavior
0.006 persistence_autorun
0.006 antisandbox_script_timer
0.006 infostealer_bitcoin
0.005 infostealer_mail
0.005 md_domain_bl
0.005 ransomware_files
0.004 antisandbox_mouse_hook
0.004 kibex_behavior
0.004 vawtrak_behavior
0.004 antivm_vbox_files
0.004 ransomware_extensions
0.003 infostealer_browser
0.003 betabot_behavior
0.003 infostealer_keylog
0.003 geodo_banking_trojan
0.003 disables_browser_warn
0.002 rat_nanocore
0.002 tinba_behavior
0.002 Locky_behavior
0.002 antivm_parallels_keys
0.002 browser_security
0.002 dropper
0.001 powershell_command
0.001 network_tor
0.001 bcdedit_command
0.001 antisandbox_sleep
0.001 sets_autoconfig_url
0.001 modifies_desktop_wallpaper
0.001 dead_link
0.001 debugs_self
0.001 ipc_namedpipe
0.001 stealth_window
0.001 antivm_vmware_events
0.001 cerber_behavior
0.001 securityxploded_modules
0.001 antidbg_devices
0.001 antisandbox_productid
0.001 antivm_generic_diskreg
0.001 antivm_xen_keys
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 modify_proxy
0.001 darkcomet_regkeys
0.001 modify_uac_prompt
0.001 rat_pcclient
0.001 recon_fingerprint

Reporting ( 0.645 seconds )

0.61 ReportHTMLSummary
0.035 Malheur


Task ID	122588
Mongo ID	5a333d65bb7d5720df1291ba
Cuckoo release	1.4-Maldun