比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2017-12-15 22:26:30 2017-12-15 22:29:07 157 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 lantern-installer.exe
文件大小 4756992 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 42c52cc322fb9c85f39c086abd445197
SHA1 aa149dde12cffd6a05a1905f254435995f212863
SHA256 5a36141b5b6c4d5a5460e61123337b801c3b6b34c4bd933bd5a9bab119d9c9d2
SHA512 ac3bfcbc8861350907d99c29c62a5960cc20fc48c6eb642bf5f12ee60ffd9269766b3416a0435023fcd73014fe06daee7391d01a4e8dff5a5397535a434a3095
CRC32 2678D0C8
Ssdeep 98304:zVjSZwfKjH6Tbim4zGgTmBiDM463zG4O/zVsGyXgJ+JwFbA6dRGcBOpOqyMFslg0:zVEr12JYBAuOLyMFFPb6XjwU6GPH5
Yara 登录查看Yara规则
样本下载 提交误报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x008f1dc0
声明校验值 0x00000000
实际校验值 0x0048f259
最低操作系统版本要求 4.0
编译时间 2017-12-15 22:09:34
载入哈希 9ea58b1dc0494eae07763749dd51fa2e

PEiD 规则

[u'UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser']

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x000c9000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x000ca000 0x00428000 0x00428000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.62
.rsrc 0x004f2000 0x00062000 0x00061200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.76

导入

库: ADVAPI32.dll:
0x952fa4 RegOpenKeyA
库: AVIFIL32.dll:
0x952fac AVIStreamInfoA
库: COMCTL32.dll:
0x952fb4 None
库: comdlg32.dll:
0x952fbc ChooseColorA
库: GDI32.dll:
0x952fc4 PatBlt
库: KERNEL32.DLL:
0x952fcc LoadLibraryA
0x952fd0 ExitProcess
0x952fd4 GetProcAddress
0x952fd8 VirtualProtect
库: MSVFW32.dll:
0x952fe0 DrawDibDraw
库: ole32.dll:
0x952fe8 OleInitialize
库: OLEAUT32.dll:
0x952ff0 LoadTypeLib
库: SHELL32.dll:
0x952ff8 ShellExecuteA
库: USER32.dll:
0x953000 GetDC
库: WINMM.dll:
0x953008 PlaySoundA
库: WINSPOOL.DRV:
0x953010 OpenPrinterA
库: WS2_32.dll:
0x953018 inet_ntoa
.rsrc
de in China
program!
;UHello ,world!
~/0.j
8`}<j
;)$wj
W Bw=T$
Nl2,e
PVqV'
>j23T
}'h
HpPQ3
rE5`
.=s>Q
\ARH.
PC0d`
lUhwW
:SSP<^@RQj
8l4Wj
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
Bkav 未发现病毒 20171215
MicroWorld-eScan Gen:Variant.Graftor.443015 20171215
nProtect 未发现病毒 20171215
CMC 未发现病毒 20171215
CAT-QuickHeal 未发现病毒 20171215
McAfee 未发现病毒 20171215
Cylance Unsafe 20171215
Zillya 未发现病毒 20171214
SUPERAntiSpyware 未发现病毒 20171215
K7AntiVirus 未发现病毒 20171215
K7GW 未发现病毒 20171214
TheHacker 未发现病毒 20171210
Invincea heuristic 20170914
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9762 20171215
F-Prot 未发现病毒 20171215
Symantec 未发现病毒 20171215
ESET-NOD32 a variant of Win32/MBRlock.AX 20171215
TrendMicro-HouseCall 未发现病毒 20171215
Avast 未发现病毒 20171215
ClamAV Win.Trojan.Generic-6260335-1 20171215
Kaspersky 未发现病毒 20171215
BitDefender Gen:Variant.Graftor.443015 20171215
NANO-Antivirus 未发现病毒 20171215
Paloalto 未发现病毒 20171215
ViRobot 未发现病毒 20171215
Tencent 未发现病毒 20171215
Ad-Aware Gen:Variant.Graftor.443015 20171215
Sophos 未发现病毒 20171215
Comodo TrojWare.Win32.Agent.OSCF 20171215
F-Secure Gen:Variant.Graftor.443015 20171215
DrWeb 未发现病毒 20171215
VIPRE 未发现病毒 20171215
TrendMicro 未发现病毒 20171215
McAfee-GW-Edition BehavesLike.Win32.Generic.rc 20171215
Emsisoft Gen:Variant.Graftor.443015 (B) 20171215
SentinelOne 未发现病毒 20171207
Cyren 未发现病毒 20171215
Jiangmin 未发现病毒 20171215
Webroot 未发现病毒 20171215
Avira 未发现病毒 20171215
Fortinet 未发现病毒 20171215
Antiy-AVL 未发现病毒 20171215
Kingsoft 未发现病毒 20171215
Endgame malicious (moderate confidence) 20171130
Arcabit Trojan.Graftor.D6C287 20171215
AegisLab 未发现病毒 20171215
ZoneAlarm 未发现病毒 20171215
Avast-Mobile 未发现病毒 20171215
Microsoft 未发现病毒 20171215
AhnLab-V3 Malware/Win32.Generic.C2115913 20171215
ALYac Gen:Variant.Graftor.443015 20171215
AVware 未发现病毒 20171215
MAX malware (ai score=80) 20171215
VBA32 未发现病毒 20171215
Malwarebytes 未发现病毒 20171215
WhiteArmor 未发现病毒 20171204
Zoner 未发现病毒 20171215
Rising 未发现病毒 20171215
Yandex 未发现病毒 20171214
Ikarus 未发现病毒 20171215
eGambit Unsafe.AI_Score_95% 20171215
GData Win32.Trojan.FlyStudio.F 20171215
AVG 未发现病毒 20171215
Cybereason malicious.1b8fb7 20171103
Panda 未发现病毒 20171215
CrowdStrike malicious_confidence_100% (D) 20171016
Qihoo-360 未发现病毒 20171215

进程树

lantern-installer.exe, PID: 112, 上一级进程 PID: 1152
cmd.exe, PID: 2080, 上一级进程 PID: 112
wscript.exe, PID: 2052, 上一级进程 PID: 112
reg.exe, PID: 2148, 上一级进程 PID: 112
vssadmin.exe, PID: 2204, 上一级进程 PID: 2080
WMIC.exe, PID: 2388, 上一级进程 PID: 2080
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 XiaoBa.lnk
相关文件
C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XiaoBa.lnk
文件大小 976 字节
文件类型 MS Windows shortcut, Item id list present, Points to a file or directory, Has Relative path, Archive, ctime=Wed Dec 6 07:01:32 2017, mtime=Wed Dec 6 07:01:32 2017, atime=Wed Dec 6 07:01:32 2017, length=4756992, window=hide
MD5 f12e654751e8022ecf9715789dc8df74
SHA1 5a7e34ad877c996bbdef6075c54d153162931c8e
SHA256 f311b31e54263619bab9adc79b96f5c5f9d1de78e3cde54cf0b7912a4abc887d
CRC32 C4F72F9A
Ssdeep 12:8yWCsk64c0CrXJWESR+/15KTPwA+tl4QtHM2mAjAo210tKXo1CM2Fawua4t2YZq/:89PkHxEXYRHEfZtHMUAF10uoUW6qhIp
下载提交魔盾安全分析
文件名 XiaoBa.mp3
相关文件
C:\Users\test\AppData\Local\Temp\XiaoBa.mp3
文件大小 3341477 字节
文件类型 Audio file with ID3 version 2.3.0, contains: MPEG ADTS, layer III, v1, 128 kbps, 44.1 kHz, JntStereo
MD5 45b365668db56fe92d1d93b710874b11
SHA1 fc57e06f53a646a499a9483815862eb43f52a7a1
SHA256 7bd9bb0aadcdd82d139a4f287fb66716df039dd5f3da6aeb94ce56e67f9abcd1
CRC32 318114D6
Ssdeep 49152:6D4a/KphSK6QUO4V2iH5hQ6jGTuSIu2mIW5ux2E6qipSSevxvhatkC2GG5O:68PhXO2Wz6TvIYIW06qi4tv3C2Gi
下载提交魔盾安全分析
文件名 AutoRunApp.vbs
相关文件
C:\Users\test\AppData\Local\Temp\AutoRunApp.vbs
文件大小 659 字节
文件类型 ISO-8859 text, with CRLF line terminators
MD5 1904b2158f92a4b47743e3503cc8fab3
SHA1 619d3e2ac439adf66e1ce0b2ac9953561c4a52c6
SHA256 abafc17e90cbf65d8b16ae82fb0ddba3cff26d875121b4580c159d683bfada8c
CRC32 68B87E64
Ssdeep 12:UUhMees4c6XoZ5HhcVKxMFDu9t8aVvCqRSUz3uEt+tqR7wbfK:UkqmHhc+rLCqZuEgYofK
Yara
  • Rule to detect the no presence of any attachment
  • Rule to detect the no presence of any image
  • Rule to detect the no presence of any url
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 63.222 seconds )

  • 24.249 BehaviorAnalysis
  • 15.325 Static
  • 12.462 Suricata
  • 7.179 TargetInfo
  • 2.04 VirusTotal
  • 1.114 Dropped
  • 0.483 peid
  • 0.245 NetworkAnalysis
  • 0.05 AnalysisInfo
  • 0.042 Debug
  • 0.017 Strings
  • 0.013 config_decoder
  • 0.003 Memory

Signatures ( 7.529 seconds )

  • 1.104 stealth_timeout
  • 0.874 antivm_generic_scsi
  • 0.87 api_spamming
  • 0.741 antiav_detectreg
  • 0.699 decoy_document
  • 0.569 antivm_generic_services
  • 0.232 infostealer_ftp
  • 0.226 md_bad_drop
  • 0.161 antivm_generic_disk
  • 0.143 antianalysis_detectreg
  • 0.132 mimics_filetime
  • 0.127 infostealer_im
  • 0.126 stealth_file
  • 0.116 virus
  • 0.11 reads_self
  • 0.108 injection_createremotethread
  • 0.106 process_interest
  • 0.091 bootkit
  • 0.088 hancitor_behavior
  • 0.078 injection_runpe
  • 0.071 infostealer_mail
  • 0.069 vawtrak_behavior
  • 0.05 process_needed
  • 0.035 kibex_behavior
  • 0.034 darkcomet_regkeys
  • 0.033 antivm_parallels_keys
  • 0.033 antivm_xen_keys
  • 0.028 recon_fingerprint
  • 0.026 betabot_behavior
  • 0.025 geodo_banking_trojan
  • 0.022 antivm_generic_diskreg
  • 0.022 md_url_bl
  • 0.02 antidbg_windows
  • 0.019 antisandbox_productid
  • 0.017 antiav_detectfile
  • 0.014 packer_armadillo_regkey
  • 0.013 persistence_autorun
  • 0.013 md_domain_bl
  • 0.012 antiemu_wine_func
  • 0.012 antivm_vbox_keys
  • 0.012 antivm_vmware_keys
  • 0.012 bypass_firewall
  • 0.011 antivm_xen_keys
  • 0.011 antivm_hyperv_keys
  • 0.011 antivm_vbox_acpi
  • 0.011 antivm_vpc_keys
  • 0.011 infostealer_bitcoin
  • 0.01 kovter_behavior
  • 0.009 shifu_behavior
  • 0.009 infostealer_browser_password
  • 0.009 antivm_generic_bios
  • 0.009 antivm_generic_cpu
  • 0.009 antivm_generic_system
  • 0.009 recon_programs
  • 0.008 antivm_vbox_files
  • 0.007 ransomware_extensions
  • 0.007 ransomware_files
  • 0.006 antivm_vbox_libs
  • 0.005 antiav_avast_libs
  • 0.004 rat_nanocore
  • 0.004 tinba_behavior
  • 0.004 packer_themida
  • 0.004 antivm_vbox_window
  • 0.004 disables_browser_warn
  • 0.003 infostealer_browser
  • 0.003 antisandbox_sunbelt_libs
  • 0.003 antiav_bitdefender_libs
  • 0.003 exec_crash
  • 0.003 cerber_behavior
  • 0.003 antisandbox_script_timer
  • 0.003 browser_security
  • 0.002 network_tor
  • 0.002 injection_explorer
  • 0.002 browser_needed
  • 0.002 modifies_desktop_wallpaper
  • 0.002 antisandbox_sboxie_libs
  • 0.002 antidbg_devices
  • 0.002 antiemu_wine_reg
  • 0.002 modify_proxy
  • 0.002 modify_uac_prompt
  • 0.002 rat_pcclient
  • 0.001 hawkeye_behavior
  • 0.001 persistence_bootexecute
  • 0.001 rat_luminosity
  • 0.001 antivm_vmware_libs
  • 0.001 kazybot_behavior
  • 0.001 ipc_namedpipe
  • 0.001 ursnif_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antivm_vmware_files
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 codelux_behavior
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 mimics_extension
  • 0.001 modify_security_center_warnings
  • 0.001 network_tor_service
  • 0.001 office_security
  • 0.001 rat_spynet
  • 0.001 stealth_hide_notifications
  • 0.001 targeted_flame

Reporting ( 3.024 seconds )

  • 2.309 ReportHTMLSummary
  • 0.715 Malheur
Task ID 122639
Mongo ID 5a33dce62e06334c2826a015
Cuckoo release 1.4-Maldun