分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp03-1 2017-12-15 20:12:00 2017-12-15 20:14:26 146 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 fd5d49ef96facbecf46f625fca0fa16da2cdb85f67f0053db5eb51f617be12a6
文件大小 1607680 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 3edec580845d7ab85fa893afb391fbfb
SHA1 7f6f48c9fb0e8ab8dae274430e9fd4f7e166ad7c
SHA256 fd5d49ef96facbecf46f625fca0fa16da2cdb85f67f0053db5eb51f617be12a6
SHA512 edb87114244e4e569515271f7b4bceae9d9aee30f050e68387110124c6f78af781cdd97c57ae27e2d0dfd94408db9959f8cfdd9b6369c53199bbe2f080e515a6
CRC32 D1D5F516
Ssdeep 24576:JkBi7xaP/HHsRn49iWMWQ89uh9xVCjZrR6mwESF9lvE3G+ne9MDvyxoZu:pgcF4g29MxUP6lvl90Xu
Yara 登录查看Yara规则
样本下载 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x0041415f
声明校验值 0x00000000
实际校验值 0x0018d655
最低操作系统版本要求 5.1
编译时间 2016-11-29 15:33:13
载入哈希 1b84a4a4f89d8f45e0392a49b1b9e126
图标
图标精确哈希值 dce4f534231da9f6466692da63b15437
图标相似性哈希值 f040508e8938ab75e43873764e8fe09b

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0002ea3b 0x0002ec00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.54
.rdata 0x00030000 0x0000bbf8 0x0000bc00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.77
.data 0x0003c000 0x0000452c 0x00001c00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 3.98
.rsrc 0x00041000 0x00149640 0x00149800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.67
.reloc 0x0018b000 0x00002778 0x00002800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 6.58

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ICON 0x00189fd0 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 6.12 GLS_BINARY_LSB_FIRST
RT_ACCELERATOR 0x0014dd30 0x00000008 LANG_ENGLISH SUBLANG_ENGLISH_US 2.00 data
RT_RCDATA 0x000eef30 0x0005ee00 LANG_ENGLISH SUBLANG_ENGLISH_US 5.65 PE32+ executable (DLL) (GUI) x86-64, for MS Windows
RT_RCDATA 0x000eef30 0x0005ee00 LANG_ENGLISH SUBLANG_ENGLISH_US 5.65 PE32+ executable (DLL) (GUI) x86-64, for MS Windows
RT_GROUP_ICON 0x0018a438 0x00000084 LANG_ENGLISH SUBLANG_ENGLISH_US 3.05 MS Windows icon resource - 9 icons, 256x256
RT_MANIFEST 0x0018a4c0 0x0000017d LANG_ENGLISH SUBLANG_ENGLISH_US 4.91 XML 1.0 document text

导入

库: KERNEL32.dll:
0x43002c GetCurrentProcess
0x430030 GetFileAttributesA
0x430034 SetDllDirectoryA
0x430038 CreateProcessA
0x43003c ReadFile
0x430040 FindFirstFileA
0x430044 GetLastError
0x430048 FindNextFileA
0x43004c GetModuleHandleA
0x430050 CloseHandle
0x430054 LoadLibraryW
0x430058 GetVersionExA
0x43005c FindResourceA
0x430060 FindFirstFileW
0x430064 SetFilePointer
0x430068 PeekNamedPipe
0x43006c FreeLibrary
0x430070 LoadResource
0x430074 CreateDirectoryW
0x43007c WaitForSingleObject
0x430080 GetModuleHandleW
0x430084 GetTickCount
0x430088 WriteFile
0x430090 WideCharToMultiByte
0x430094 TerminateThread
0x430098 Sleep
0x43009c SizeofResource
0x4300a8 GetModuleFileNameW
0x4300ac GetSystemDirectoryA
0x4300b0 CreateFileW
0x4300b4 lstrlenW
0x4300bc FindClose
0x4300c0 GetLocalTime
0x4300c8 LockResource
0x4300d0 CreatePipe
0x4300d4 FindNextFileW
0x4300dc DeleteFileW
0x4300e0 GetCurrentProcessId
0x4300e4 CreateThread
0x4300e8 GetComputerNameA
0x4300ec CreateFileA
0x4300f0 SetEndOfFile
0x4300f4 WriteConsoleW
0x4300f8 SetStdHandle
0x4300fc OutputDebugStringW
0x430100 LoadLibraryExW
0x430104 HeapReAlloc
0x430108 GetConsoleCP
0x43010c FlushFileBuffers
0x430110 ReadConsoleW
0x430114 GetConsoleMode
0x430118 SetFilePointerEx
0x43011c HeapSize
0x430120 GetOEMCP
0x430124 GetACP
0x430128 IsValidCodePage
0x43013c GetModuleFileNameA
0x430140 GetFileType
0x430144 GetStdHandle
0x430148 GetProcessHeap
0x43014c GetModuleHandleExW
0x430150 ExitProcess
0x430154 GetCurrentThreadId
0x430158 EnumSystemLocalesW
0x43015c GetUserDefaultLCID
0x430160 IsValidLocale
0x430168 DeleteFileA
0x43016c GetTempPathA
0x430170 LoadLibraryA
0x430174 GetTempFileNameA
0x430178 CopyFileA
0x43017c GetProcAddress
0x430180 MultiByteToWideChar
0x430188 GetLocaleInfoW
0x43018c LCMapStringW
0x430190 GetStartupInfoW
0x430194 TlsFree
0x430198 TlsSetValue
0x43019c TlsGetValue
0x4301a0 TlsAlloc
0x4301a4 TerminateProcess
0x4301b0 SetDllDirectoryW
0x4301b4 EncodePointer
0x4301b8 DecodePointer
0x4301bc GetStringTypeW
0x4301c0 GetCommandLineA
0x4301c4 HeapAlloc
0x4301c8 HeapFree
0x4301cc IsDebuggerPresent
0x4301d4 RaiseException
0x4301d8 RtlUnwind
0x4301dc GetCPInfo
0x4301e8 SetLastError
库: USER32.dll:
0x4301f8 RegisterClassA
0x430200 SetClipboardViewer
0x430204 OpenClipboard
0x430208 ToUnicodeEx
0x43020c DispatchMessageA
0x430214 DefWindowProcA
0x43021c CreateWindowExA
0x430220 GetKeyNameTextW
0x430224 GetKeyState
0x430228 CharUpperA
0x43022c DestroyWindow
0x430230 CloseClipboard
0x430234 SetTimer
0x430238 RegisterClassExA
0x43023c PostQuitMessage
0x430240 GetRawInputData
0x430244 SendNotifyMessageA
0x430248 KillTimer
0x43024c GetMessageA
0x430250 SendMessageA
0x430254 TranslateMessage
0x430258 GetKeyboardState
0x43025c GetForegroundWindow
0x430260 GetGUIThreadInfo
0x430264 GetKeyboardLayout
0x430268 SetWindowLongA
0x43026c CharLowerA
0x430270 GetWindowLongA
0x430274 GetClipboardData
0x430278 GetWindowTextW
库: ADVAPI32.dll:
0x430000 RegOpenKeyExA
0x430004 CredEnumerateA
0x430008 RegSetValueExA
0x43000c RegCloseKey
0x430010 CredFree
0x430014 RegCreateKeyExA
库: CRYPT32.dll:
0x43001c CryptUnprotectData
库: SHLWAPI.dll:
0x4301f0 StrChrNW
库: WININET.dll:
0x430280 HttpQueryInfoA
0x430284 InternetConnectA
0x430288 InternetCrackUrlA
0x43028c InternetReadFile
0x430290 InternetSetOptionA
0x430294 HttpOpenRequestA
0x430298 HttpSendRequestA
0x43029c InternetOpenA
0x4302a0 InternetCloseHandle
库: urlmon.dll:
库: IPHLPAPI.DLL:
0x430024 GetAdaptersInfo

.text
`.rdata
@.data
.rsrc
@.reloc
Ph<jC
Ph<jC
Ph<jC
jNhpjC
7htkC
PWhlmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
PhtmC
GPhtmC
Ph<jC
SWh\oC
VhtkC
VhtkC
jXh@pC
j hXrC
WQPhxuC
j^hXxC
jWh8yC
D$(Qh
w$htPC
=\OC
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
Bkav 未发现病毒 20171208
MicroWorld-eScan Trojan.GenericKD.6291367 20171211
nProtect 未发现病毒 20171211
CMC 未发现病毒 20171211
CAT-QuickHeal 未发现病毒 20171209
McAfee 未发现病毒 20171211
Cylance Unsafe 20171211
VIPRE 未发现病毒 20171211
AegisLab Troj.Gen!c 20171211
TheHacker 未发现病毒 20171210
K7GW 未发现病毒 20171211
K7AntiVirus 未发现病毒 20171211
Arcabit Trojan.Generic.D5FFFA7 20171211
TrendMicro 未发现病毒 20171211
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9996 20171209
F-Prot 未发现病毒 20171211
Symantec Trojan.Gen.8!cloud 20171211
ESET-NOD32 未发现病毒 20171211
TrendMicro-HouseCall Suspicious_GEN.F47V1206 20171211
Paloalto 未发现病毒 20171211
ClamAV 未发现病毒 20171211
Kaspersky Trojan-PSW.Win32.Agent.aqbn 20171211
BitDefender Trojan.GenericKD.6291367 20171211
NANO-Antivirus 未发现病毒 20171211
SUPERAntiSpyware 未发现病毒 20171211
Rising 未发现病毒 20171211
Ad-Aware Trojan.GenericKD.6291367 20171211
Emsisoft Trojan.GenericKD.6291367 (B) 20171211
Comodo 未发现病毒 20171211
F-Secure Trojan.GenericKD.6291367 20171211
DrWeb 未发现病毒 20171211
Zillya 未发现病毒 20171209
Invincea heuristic 20170914
McAfee-GW-Edition 未发现病毒 20171211
Sophos 未发现病毒 20171211
Ikarus Trojan-PSW.Win32.Agent 20171210
Cyren 未发现病毒 20171211
Jiangmin 未发现病毒 20171211
Webroot 未发现病毒 20171211
Avira 未发现病毒 20171211
Antiy-AVL 未发现病毒 20171211
Kingsoft 未发现病毒 20171211
Microsoft 未发现病毒 20171211
Endgame 未发现病毒 20171130
ViRobot 未发现病毒 20171211
ZoneAlarm Trojan-PSW.Win32.Agent.aqbn 20171211
Avast-Mobile 未发现病毒 20171210
GData Trojan.GenericKD.6291367 20171211
AhnLab-V3 未发现病毒 20171211
ALYac 未发现病毒 20171210
AVware 未发现病毒 20171211
MAX malware (ai score=82) 20171211
VBA32 未发现病毒 20171208
Malwarebytes 未发现病毒 20171211
WhiteArmor 未发现病毒 20171204
Panda 未发现病毒 20171210
Zoner 未发现病毒 20171211
Tencent 未发现病毒 20171211
Yandex 未发现病毒 20171208
SentinelOne 未发现病毒 20171207
eGambit 未发现病毒 20171211
Fortinet 未发现病毒 20171211
AVG 未发现病毒 20171211
Cybereason malicious.9fb0e8 20171103
Avast 未发现病毒 20171211
CrowdStrike malicious_confidence_90% (W) 20171016
Qihoo-360 Win32/Trojan.PSW.dba 20171211

进程树


fd5d49ef96facbecf46f625fca0fa16da2cdb85f67f0053db5eb51f617be12a6.exe, PID: 2036, 上一级进程 PID: 272
tasklist.exe, PID: 1664, 上一级进程 PID: 2036

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 s.dll
相关文件
C:\Users\test\AppData\Local\Mozilla\Service\s.dll
文件大小 711680 字节
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5 0d4f0ac0e5ab51206dd4e1e3eadf5edd
SHA1 697b93d8f05017e123936acb2f3acb29bbc5e4f2
SHA256 85c5f49206fd46492223a0635071891998ea9aaab5e5e730ba822015e7a3e149
CRC32 F60F6B2B
Ssdeep 12288:6/OrQHn/MBR+E492qwb1qpQg5J5OhNGQ+sg95IhRf+lMGgV94jZrALRmKTxvm:6/HHsRn49iWMWQ89uh9xVCjZrR6m
下载提交魔盾安全分析
文件名 F.dll
相关文件
C:\Users\test\AppData\Local\Mozilla\Service\F.dll
文件大小 388608 字节
文件类型 PE32+ executable (DLL) (GUI) x86-64, for MS Windows
MD5 6dca5649679fc7ce121c5983badcd244
SHA1 0b72029463878b16b9297dc57f030809d5f4fed4
SHA256 2060da10d075c6d8b04953f5b2283c62c8c6e2230975289b2b2164505cf9f59b
CRC32 B95E0E81
Ssdeep 6144:z0Vyut6SF9Fx1xhEvTkfM0FAFTuQOYgcMAY9jvHzDHfTzGuC5Evi1nU9iDApvIhg:AVRt6SF9lvE3MT+n
下载提交魔盾安全分析
文件名 Pid
相关文件
C:\Users\test\AppData\Local\Mozilla\Service\L\Pid
文件大小 3047 字节
文件类型 ISO-8859 text, with CRLF line terminators
MD5 335d2bea77fac894ba233523ce2aaf1a
SHA1 d954824a1ad2329bf45b3d78e716f6fed74ce5a0
SHA256 812338176f2f7de10e74982211344de8c4904fb28c1933c59a037db04e7c4fa6
CRC32 6800766A
Ssdeep 48:hEt2JVvvOmVpV5A5dzKbiq9AjsrTgwI22pmTn4Jw4Pje:hU2JV3ZVpV5A5dzKbiq9QsrTgwI22pmT
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 14.228 seconds )

  • 7.388 Suricata
  • 2.175 TargetInfo
  • 1.962 VirusTotal
  • 1.834 Static
  • 0.303 peid
  • 0.22 NetworkAnalysis
  • 0.15 BehaviorAnalysis
  • 0.092 Dropped
  • 0.051 AnalysisInfo
  • 0.038 Debug
  • 0.01 Strings
  • 0.003 config_decoder
  • 0.002 Memory

Signatures ( 0.347 seconds )

  • 0.147 md_bad_drop
  • 0.022 md_url_bl
  • 0.02 antiav_detectreg
  • 0.012 md_domain_bl
  • 0.008 infostealer_ftp
  • 0.008 ransomware_files
  • 0.007 api_spamming
  • 0.007 stealth_timeout
  • 0.007 ransomware_extensions
  • 0.006 persistence_autorun
  • 0.006 virus
  • 0.006 antiav_detectfile
  • 0.005 bootkit
  • 0.005 decoy_document
  • 0.005 infostealer_im
  • 0.004 ransomware_message
  • 0.004 securityxploded_modules
  • 0.004 antianalysis_detectreg
  • 0.004 infostealer_bitcoin
  • 0.003 sets_autoconfig_url
  • 0.003 ipc_namedpipe
  • 0.003 disables_wfp
  • 0.003 antivm_vbox_files
  • 0.003 bot_drive
  • 0.003 disables_browser_warn
  • 0.003 infostealer_mail
  • 0.002 office_dl_write_exe
  • 0.002 rat_nanocore
  • 0.002 disables_spdy
  • 0.002 tinba_behavior
  • 0.002 geodo_banking_trojan
  • 0.002 browser_security
  • 0.001 antiemu_wine_func
  • 0.001 office_write_exe
  • 0.001 reads_self
  • 0.001 betabot_behavior
  • 0.001 mimics_filetime
  • 0.001 stealth_file
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 antivm_generic_disk
  • 0.001 infostealer_browser_password
  • 0.001 vawtrak_behavior
  • 0.001 cerber_behavior
  • 0.001 kovter_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 modify_proxy
  • 0.001 modify_security_center_warnings
  • 0.001 modify_uac_prompt
  • 0.001 office_security
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications

Reporting ( 0.955 seconds )

  • 0.538 ReportHTMLSummary
  • 0.417 Malheur
Task ID 122635
Mongo ID 5a33bcb5a093ef4c8fb5a8e6
Cuckoo release 1.4-Maldun