恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp01-1	2018-03-24 10:28:12	2018-03-24 10:30:34	142 秒

魔盾分数

0.0

正常的

文件详细信息

文件名	browser-helper.exe
文件大小	5557888 字节
文件类型	PE32 executable (console) Intel 80386 (stripped to external PDB), for MS Windows
MD5	0d52e83d9afc1168139be096ac4a3543
SHA1	7dbba0307a3dc89ac96039819cd6446c6d6b8b26
SHA256	b4130f1a7dd2ff8adadea57d90965eec270b679711a04628b4a410e00376d09d
SHA512	07a0fa17829bbde439247a4451a9693b715d60424db27e0a186b6daac553783b254464b693c1fd10dff83d05e831e8e07054d4e205ea11d4e290f6f89142fb47
CRC32	6A0DAFAB
Ssdeep	49152:aHEKrxXyMaKRdUTRgYYkNzTmsWPzhVzpsqiTWLfSTVv5MXCuiB2FtXQVLlx85xWr:eXyMazGYp8s4d+qbLfSWCP2GLX3j7
Yara	登录查看Yara规则
	样本下载提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.16.92.188	美国
否	117.18.237.29	亚洲太平洋地区

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
crt.comodoca.com	A 104.16.92.188 CNAME crt.comodoca.com.cdn.cloudflare.net A 104.16.90.188 A 104.16.91.188 A 104.16.93.188 A 104.16.89.188
ocsp.digicert.com	CNAME cs9.wac.phicdn.net A 117.18.237.29

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x0044b060
声明校验值	0x005564c4
实际校验值	0x005564c4
最低操作系统版本要求	4.0
编译时间	1970-01-01 08:00:00
载入哈希	f4cc01c5888458a51fcb49aa4355a29d

微软证书验证 (Sign Tool)

SHA1	时间戳	有效性	错误
None	Wed Feb 07 16:44:30 2018	是	无

证书链	Certificate Chain 1
发行给	AddTrust External CA Root
发行人	AddTrust External CA Root
有效期	Sat May 30 184838 2020
SHA1 哈希	02faf3e291435468607857694df5e45b68851868

证书链	Certificate Chain 2
发行给	COMODO RSA Certification Authority
发行人	AddTrust External CA Root
有效期	Sat May 30 184838 2020
SHA1 哈希	f5ad0bcc1ad56cd150725b1c866c30ad92ef21b0

证书链	Certificate Chain 3
发行给	COMODO RSA Code Signing CA
发行人	COMODO RSA Certification Authority
有效期	Tue May 09 075959 2028
SHA1 哈希	b69e752bbe88b4458200a7c0f4f5b3cce6f35b47

证书链	Certificate Chain 4
发行给	Express Vpn LLC
发行人	COMODO RSA Code Signing CA
有效期	Thu Jan 21 075959 2021
SHA1 哈希	bb0304c1ff6dc0384701dd88363c2f1a1d5c8aeb

证书链	Timestamp Chain 1
发行给	UTN-USERFirst-Object
发行人	UTN-USERFirst-Object
有效期	Wed Jul 10 024036 2019
SHA1 哈希	e12dfb4b41d7d9c32b30514bac1d81d8385e2d46

证书链	Timestamp Chain 2
发行给	COMODO SHA-256 Time Stamping Signer
发行人	UTN-USERFirst-Object
有效期	Wed Jul 10 024036 2019
SHA1 哈希	36527d4fa26a68f9eb4596f1d99abb2c0ea76dfa

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x0050f0d9	0x0050f200	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	6.26
.data	0x00511000	0x00052840	0x0003ba00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	5.24
.idata	0x00564000	0x000003d2	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.56
.symtab	0x00565000	0x00000004	0x00000200	IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ	0.02

覆盖

偏移量	0x0054b600
大小	0x00001880

导入

库: winmm.dll:

• 0x911000 timeBeginPeriod

库: ws2_32.dll:

• 0x911008 WSAGetOverlappedResult

库: kernel32.dll:

• 0x911010 WriteFile

• 0x911014 WriteConsoleW

• 0x911018 WaitForSingleObject

• 0x91101c VirtualFree

• 0x911020 VirtualAlloc

• 0x911024 SwitchToThread

• 0x911028 SuspendThread

• 0x91102c SetWaitableTimer

• 0x911030 SetUnhandledExceptionFilter

• 0x911034 SetThreadPriority

• 0x911038 SetProcessPriorityBoost

• 0x91103c SetEvent

• 0x911040 SetErrorMode

• 0x911044 SetConsoleCtrlHandler

• 0x911048 ResumeThread

• 0x91104c LoadLibraryA

• 0x911050 LoadLibraryW

• 0x911054 GetThreadContext

• 0x911058 GetSystemInfo

• 0x91105c GetStdHandle

• 0x911060 GetQueuedCompletionStatus

• 0x911064 GetProcessAffinityMask

• 0x911068 GetProcAddress

• 0x91106c GetEnvironmentStringsW

• 0x911070 GetConsoleMode

• 0x911074 FreeEnvironmentStringsW

• 0x911078 ExitProcess

• 0x91107c DuplicateHandle

• 0x911080 CreateWaitableTimerA

• 0x911084 CreateThread

• 0x911088 CreateIoCompletionPort

• 0x91108c CreateEventA

• 0x911090 CloseHandle

• 0x911094 AddVectoredExceptionHandler

.text
`.data
.idata
.symtab

防病毒引擎/厂商	病毒名/规则匹配	病毒库日期
Bkav	未发现病毒	20180306
MicroWorld-eScan	未发现病毒	20180307
nProtect	未发现病毒	20180307
CMC	未发现病毒	20180306
CAT-QuickHeal	未发现病毒	20180306
ALYac	未发现病毒	20180306
Cylance	Unsafe	20180307
VIPRE	未发现病毒	20180306
TheHacker	未发现病毒	20180305
K7GW	未发现病毒	20180307
K7AntiVirus	未发现病毒	20180306
Invincea	未发现病毒	20180121
Baidu	未发现病毒	20180305
F-Prot	未发现病毒	20180306
Symantec	未发现病毒	20180306
TotalDefense	未发现病毒	20180306
TrendMicro-HouseCall	未发现病毒	20180307
Avast	未发现病毒	20180306
ClamAV	未发现病毒	20180306
GData	未发现病毒	20180306
Kaspersky	未发现病毒	20180306
BitDefender	未发现病毒	20180306
NANO-Antivirus	未发现病毒	20180307
ViRobot	未发现病毒	20180306
AegisLab	未发现病毒	20180307
Tencent	未发现病毒	20180307
Endgame	未发现病毒	20180303
Emsisoft	未发现病毒	20180306
Comodo	未发现病毒	20180306
F-Secure	未发现病毒	20180306
DrWeb	未发现病毒	20180306
Zillya	未发现病毒	20180306
TrendMicro	未发现病毒	20180307
McAfee-GW-Edition	未发现病毒	20180307
Sophos	未发现病毒	20180307
SentinelOne	未发现病毒	20180225
Cyren	未发现病毒	20180306
Jiangmin	未发现病毒	20180307
Webroot	未发现病毒	20180307
Avira	未发现病毒	20180306
Antiy-AVL	未发现病毒	20180307
Kingsoft	未发现病毒	20180307
Arcabit	未发现病毒	20180306
SUPERAntiSpyware	未发现病毒	20180306
ZoneAlarm	未发现病毒	20180306
Avast-Mobile	未发现病毒	20180306
Microsoft	未发现病毒	20180307
AhnLab-V3	未发现病毒	20180306
McAfee	未发现病毒	20180307
AVware	未发现病毒	20180306
MAX	未发现病毒	20180307
VBA32	未发现病毒	20180306
Malwarebytes	未发现病毒	20180306
WhiteArmor	未发现病毒	20180223
Panda	未发现病毒	20180306
Zoner	未发现病毒	20180306
ESET-NOD32	未发现病毒	20180306
Rising	未发现病毒	20180306
Yandex	未发现病毒	20180306
Ikarus	未发现病毒	20180306
eGambit	未发现病毒	20180307
Fortinet	未发现病毒	20180306
Ad-Aware	未发现病毒	20180307
AVG	未发现病毒	20180306
Cybereason	未发现病毒	20180225
Paloalto	未发现病毒	20180307
CrowdStrike	未发现病毒	20170201
Qihoo-360	未发现病毒	20180307

进程树

browser-helper.exe id: 1908

搜索
browser-helper.exe (1908)

browser-helper.exe, PID: 1908, 上一级进程 PID: 300

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.16.92.188	美国
否	117.18.237.29	亚洲太平洋地区

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49159	104.16.92.188 crt.comodoca.com	80
192.168.122.201	49169	117.18.237.29 ocsp.digicert.com	80
192.168.122.201	49160	178.255.83.1	80
192.168.122.201	49161	178.255.83.1	80
192.168.122.201	49162	178.255.83.1	80
192.168.122.201	49168	65.200.22.9	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	51023	192.168.122.1	53
192.168.122.201	51070	192.168.122.1	53
192.168.122.201	52576	192.168.122.1	53
192.168.122.201	59795	192.168.122.1	53
192.168.122.201	64810	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
crt.comodoca.com	A 104.16.92.188 CNAME crt.comodoca.com.cdn.cloudflare.net A 104.16.90.188 A 104.16.91.188 A 104.16.93.188 A 104.16.89.188
ocsp.digicert.com	CNAME cs9.wac.phicdn.net A 117.18.237.29

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49159	104.16.92.188 crt.comodoca.com	80
192.168.122.201	49169	117.18.237.29 ocsp.digicert.com	80
192.168.122.201	49160	178.255.83.1	80
192.168.122.201	49161	178.255.83.1	80
192.168.122.201	49162	178.255.83.1	80
192.168.122.201	49168	65.200.22.9	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	51023	192.168.122.1	53
192.168.122.201	51070	192.168.122.1	53
192.168.122.201	52576	192.168.122.1	53
192.168.122.201	59795	192.168.122.1	53
192.168.122.201	64810	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://crt.comodoca.com/COMODORSAAddTrustCA.crt	GET /COMODORSAAddTrustCA.crt HTTP/1.1 Connection: Keep-Alive Accept: / User-Agent: Microsoft-CryptoAPI/6.1 Host: crt.comodoca.com
URL专业沙箱检测 -> http://ocsp.usertrust.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR8sWZUnKvbRO5iJhat9GV793rVlAQUrb2YejS0Jvf6xCZU7wO94CTLVBoCECdm7lbrSfOOq9dwovyE3iI%3D	GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBR8sWZUnKvbRO5iJhat9GV793rVlAQUrb2YejS0Jvf6xCZU7wO94CTLVBoCECdm7lbrSfOOq9dwovyE3iI%3D HTTP/1.1 Cache-Control: max-age = 462303 Connection: Keep-Alive Accept: / If-Modified-Since: Tue, 30 May 2017 14:10:49 GMT User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.usertrust.com
URL专业沙箱检测 -> http://ocsp.comodoca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCEC58h8wOk0pS%2FpT9HLfNNK8%3D	GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCEC58h8wOk0pS%2FpT9HLfNNK8%3D HTTP/1.1 Connection: Keep-Alive Accept: / User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.comodoca.com
URL专业沙箱检测 -> http://ocsp.comodoca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBSSdxXdG447ymkRNPVViULv3rkBzQQUKZFg%2F4pN%2Buv5pmq4z%2FnmS71JzhICEQDjB%2Fbx%2BsdCPmwAM2qUEFsX	GET /MFIwUDBOMEwwSjAJBgUrDgMCGgUABBSSdxXdG447ymkRNPVViULv3rkBzQQUKZFg%2F4pN%2Buv5pmq4z%2FnmS71JzhICEQDjB%2Fbx%2BsdCPmwAM2qUEFsX HTTP/1.1 Connection: Keep-Alive Accept: / User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.comodoca.com
URL专业沙箱检测 -> http://crl.microsoft.com/pki/crl/products/tspca.crl	GET /pki/crl/products/tspca.crl HTTP/1.1 Cache-Control: max-age = 900 Connection: Keep-Alive Accept: / If-Modified-Since: Sat, 24 May 2014 05:04:54 GMT If-None-Match: "8ab194b3d77cf1:0" User-Agent: Microsoft-CryptoAPI/6.1 Host: crl.microsoft.com
URL专业沙箱检测 -> http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAi4elAbvpzaLRZNPjlRv1U%3D	GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAi4elAbvpzaLRZNPjlRv1U%3D HTTP/1.1 Cache-Control: max-age = 172800 Connection: Keep-Alive Accept: / If-Modified-Since: Sat, 02 Sep 2017 10:30:03 GMT If-None-Match: "59aa882b-1d7" User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.digicert.com

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 21.536 seconds )

7.492 Suricata
5.608 TargetInfo
3.355 NetworkAnalysis
3.197 Static
1.256 VirusTotal
0.352 peid
0.187 AnalysisInfo
0.066 BehaviorAnalysis
0.009 config_decoder
0.009 Strings
0.003 Memory
0.002 Debug

Signatures ( 1.55 seconds )

1.436 md_url_bl
0.015 antiav_detectreg
0.013 md_domain_bl
0.007 persistence_autorun
0.007 antiav_detectfile
0.006 infostealer_ftp
0.005 geodo_banking_trojan
0.005 md_bad_drop
0.004 infostealer_bitcoin
0.004 infostealer_im
0.004 ransomware_files
0.003 tinba_behavior
0.003 antianalysis_detectreg
0.003 disables_browser_warn
0.003 network_http
0.003 ransomware_extensions
0.002 rat_nanocore
0.002 api_spamming
0.002 cerber_behavior
0.002 stealth_timeout
0.002 antivm_vbox_files
0.002 browser_security
0.002 infostealer_mail
0.002 network_torgateway
0.001 network_tor
0.001 betabot_behavior
0.001 kibex_behavior
0.001 shifu_behavior
0.001 ursnif_behavior
0.001 decoy_document
0.001 antianalysis_detectfile
0.001 antivm_parallels_keys
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 modify_proxy

Reporting ( 0.391 seconds )

0.373 ReportHTMLSummary
0.018 Malheur


Task ID	141548
Mongo ID	5ab5b863bb7d5768472f991d
Cuckoo release	1.4-Maldun