恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-hpdapp01-1	2018-03-23 19:22:36	2018-03-23 19:25:09	153 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	SWIFT_COPY.doc
文件大小	12317 字节
文件类型	Rich Text Format data, unknown version
MD5	ccf16b46b0cf2543953bc5bef3a730e7
SHA1	97c29e8771e4c46cbc26ac92d7cfa551795d13fc
SHA256	7595a1ee77a50bf6c0d774dbc130f6877f28272b43cd46695312f8b44579359f
SHA512	50aaf97289d72d3faf76da49653fb7b3f6b2e0f7e3c41a7dfa4b19ade23acce9fbed5f12b4e6c4803d921ded870fdf8a8be0c51d21fe4d0b9a63c9c3f0221299
CRC32	1CB69B59
Ssdeep	192:W4zgZ0pexcVf26bbRfLdQ4IdzKJczZvB1GTnCufTKqLRNUXHrY3eM:w+ecu6petdzBZvBATnCRONUXLaeM
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	46.36.38.31	未知	捷克

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
lisgroup.info	A 46.36.38.31

摘要

登录查看详细行为信息

没有可用的静态分析.

防病毒引擎/厂商	病毒名/规则匹配	病毒库日期
Bkav	未发现病毒	20180322
TotalDefense	未发现病毒	20180322
MicroWorld-eScan	未发现病毒	20180322
nProtect	未发现病毒	20180322
CMC	未发现病毒	20180322
CAT-QuickHeal	未发现病毒	20180322
McAfee	未发现病毒	20180322
Malwarebytes	未发现病毒	20180322
VIPRE	未发现病毒	20180322
TheHacker	未发现病毒	20180319
K7GW	未发现病毒	20180322
K7AntiVirus	未发现病毒	20180322
Baidu	未发现病毒	20180322
F-Prot	未发现病毒	20180322
Symantec	Trojan.Mdropper	20180322
ESET-NOD32	未发现病毒	20180322
TrendMicro-HouseCall	Suspicious_GEN.F47V0322	20180322
Avast	Win32:ShellCode [Expl]	20180322
ClamAV	未发现病毒	20180322
Kaspersky	HEUR:Exploit.MSOffice.Generic	20180322
BitDefender	未发现病毒	20180322
NANO-Antivirus	Exploit.Rtf.Heuristic-rtf.dinbqn	20180322
ViRobot	未发现病毒	20180322
AegisLab	Exploit.Msoffice.Generic!c	20180322
Rising	未发现病毒	20180322
Ad-Aware	未发现病毒	20180322
Sophos	未发现病毒	20180322
Comodo	未发现病毒	20180322
F-Secure	Exploit:W97M/CVE-2017-0199.B	20180322
DrWeb	未发现病毒	20180322
Zillya	未发现病毒	20180322
TrendMicro	未发现病毒	20180322
McAfee-GW-Edition	未发现病毒	20180322
Emsisoft	未发现病毒	20180322
Cyren	未发现病毒	20180322
Jiangmin	未发现病毒	20180322
Webroot	未发现病毒	20180322
Avira	EXP/W97M.Agent.yfprv	20180322
Fortinet	MSOffice/CVE_2017_1182.B!exploit	20180322
Antiy-AVL	未发现病毒	20180322
Kingsoft	未发现病毒	20180322
Arcabit	未发现病毒	20180322
SUPERAntiSpyware	未发现病毒	20180322
ZoneAlarm	HEUR:Exploit.MSOffice.Generic	20180322
Avast-Mobile	未发现病毒	20180322
Microsoft	未发现病毒	20180322
AhnLab-V3	RTF/Shellcode	20180322
VBA32	未发现病毒	20180322
AVware	未发现病毒	20180322
MAX	未发现病毒	20180322
WhiteArmor	未发现病毒	20180223
Zoner	Probably RTFBadVersion	20180322
Tencent	未发现病毒	20180322
Yandex	未发现病毒	20180322
Ikarus	Exploit.CVE-2017-0199	20180322
GData	未发现病毒	20180322
AVG	Win32:ShellCode [Expl]	20180322
Panda	未发现病毒	20180321
Qihoo-360	Win32/Trojan.bf3	20180322

进程树

WINWORD.EXE id: 112

搜索
WINWORD.EXE (112)

WINWORD.EXE, PID: 112, 上一级进程 PID: 1152

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	46.36.38.31	未知	捷克

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49161	46.36.38.31 lisgroup.info	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	64412	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
lisgroup.info	A 46.36.38.31

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49161	46.36.38.31 lisgroup.info	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	64412	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://lisgroup.info/Test/fmv.exe	GET /Test/fmv.exe HTTP/1.1 Accept: / Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: lisgroup.info Connection: Keep-Alive

URI

HTTP数据

URL专业沙箱检测 -> http://lisgroup.info/Test/fmv.exe

GET /Test/fmv.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: lisgroup.info
Connection: Keep-Alive

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

Timestamp	Source IP	Source Port	Destination IP	Destination Port	Protocol	SID	Signature	Category
2018-03-23 19:23:19.816740+0800	192.168.122.201	49161	46.36.38.31	80	TCP	2019714	ET CURRENT_EVENTS Terse alphanumeric executable downloader high likelihood of being hostile	Potentially Bad Traffic
2018-03-23 19:23:20.891132+0800	46.36.38.31	80	192.168.122.201	49161	TCP	2018959	ET POLICY PE EXE or DLL Windows file download HTTP	Potential Corporate Privacy Violation

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

文件名	~$Normal.dotm
相关文件	C:\Users\test\AppData\Roaming\Microsoft\Templates\~$Normal.dotm C:\Users\test\AppData\Local\Temp\~$IFT_COPY.doc
文件大小	162 字节
文件类型	data
MD5	8d150ed9620113ff64c13327741815fb
SHA1	19e68586080f5cafa61df9fd6ef61fa46e3826ed
SHA256	00ee6bd28b260ef260929541dc74eb2f5f02217e5e09c2848c2487ba51bdd882
CRC32	F757348B
Ssdeep	3:TDllrR9L7kjItTRbzcll6/l/3/:nllrXpThcl4/3/
	下载提交魔盾安全分析

文件名	Normal.dotm
相关文件	C:\Users\test\AppData\Roaming\Microsoft\Templates\Normal.dotm
文件大小	21096 字节
文件类型	Microsoft Word 2007+
MD5	cd88f09472ec5a7f5fd022c261d20bf7
SHA1	26a4984ae3a6424530f800ce42505df7246ba4e9
SHA256	fbc97b00c88b2d1b889095a7eecbfc69a522c5484d6cebc64673239ccb048f7d
CRC32	33737C58
Ssdeep	384:PjlzfI/PKs/8owQPabxqIQ6U0D1pka2oVYP7q2j/IF7PMW3mlcJLEDpPWVY:RAP8zgINU0DPe7XEPMWWeJLEt7
	下载提交魔盾安全分析

文件名	~WRS{1C0357D0-B3EB-4A30-8C15-4EDF70E3B947}.tmp
相关文件	C:\Users\test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{1C0357D0-B3EB-4A30-8C15-4EDF70E3B947}.tmp
文件大小	1024 字节
文件类型	data
MD5	5d4d94ee7e06bbb0af9584119797b23a
SHA1	dbb111419c704f116efa8e72471dd83e86e49677
SHA256	4826c0d860af884d3343ca6460b0006a7a2ce7dbccc4d743208585d997cc5fd1
CRC32	23C03491
Ssdeep	3:ol3lYdn:4Wn
魔盾安全分析结果	2.0 分析时间：2016-11-30 03:08:12 查看分析报告
	下载提交魔盾安全分析

文件名	SWIFT_COPY.doc
相关文件	C:\Users\test\AppData\Local\Temp\SWIFT_COPY.doc
文件大小	12317 字节
文件类型	Rich Text Format data, unknown version
MD5	ccf16b46b0cf2543953bc5bef3a730e7
SHA1	97c29e8771e4c46cbc26ac92d7cfa551795d13fc
SHA256	7595a1ee77a50bf6c0d774dbc130f6877f28272b43cd46695312f8b44579359f
CRC32	1CB69B59
Ssdeep	192:W4zgZ0pexcVf26bbRfLdQ4IdzKJczZvB1GTnCufTKqLRNUXHrY3eM:w+ecu6petdzBZvBATnCRONUXLaeM
Yara	Rule to detect the no presence of any attachment Rule to detect the no presence of any image Rule to detect the no presence of any url
	下载提交魔盾安全分析

文件名	~WRF{26BBCCA6-44D7-40F4-BE46-8E1D66ECFD05}.tmp
相关文件	C:\Users\test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{26BBCCA6-44D7-40F4-BE46-8E1D66ECFD05}.tmp
文件大小	16384 字节
文件类型	Composite Document File V2 Document, Cannot read section info
MD5	7c45c9586e2afa8f78092469d2fb64a2
SHA1	efed138b0b0fab71cfbe4f79433e008f8c654e38
SHA256	777f6dce916e9646710d81a50080db898a08e717dd58c5560d6a1fce3fff71ea
CRC32	34555A54
Ssdeep	48:rI4J83bvBiP/drWpPiJjzfCXulneTwobvqbyDj:24P/N9RFmGbU
	下载提交魔盾安全分析

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 37.603 seconds )

15.506 NetworkAnalysis
11.98 Suricata
3.726 Dropped
3.657 TargetInfo
1.218 VirusTotal
1.035 Strings
0.274 AnalysisInfo
0.163 BehaviorAnalysis
0.04 Debug
0.003 Memory
0.001 Static

Signatures ( 2.689 seconds )

2.023 md_url_bl
0.409 md_bad_drop
0.047 antiav_detectreg
0.018 infostealer_ftp
0.015 stealth_file
0.015 md_domain_bl
0.011 infostealer_im
0.01 antianalysis_detectreg
0.008 persistence_autorun
0.008 antiav_detectfile
0.008 geodo_banking_trojan
0.007 stealth_timeout
0.007 infostealer_mail
0.007 ransomware_files
0.006 decoy_document
0.006 infostealer_bitcoin
0.006 ransomware_extensions
0.005 api_spamming
0.005 antivm_generic_scsi
0.004 antivm_vbox_files
0.004 disables_browser_warn
0.004 office_martian_children
0.003 rat_nanocore
0.003 tinba_behavior
0.003 betabot_behavior
0.003 antivm_parallels_keys
0.003 network_http
0.003 network_torgateway
0.002 antivm_generic_services
0.002 kibex_behavior
0.002 cerber_behavior
0.002 antivm_xen_keys
0.002 bot_drive
0.002 modify_proxy
0.002 browser_security
0.002 darkcomet_regkeys
0.001 antiemu_wine_func
0.001 hawkeye_behavior
0.001 network_tor
0.001 mimics_filetime
0.001 shifu_behavior
0.001 antivm_generic_disk
0.001 ursnif_behavior
0.001 virus
0.001 antianalysis_detectfile
0.001 antidbg_devices
0.001 antisandbox_productid
0.001 antivm_generic_diskreg
0.001 banker_zeus_mutex
0.001 bot_drive2
0.001 browser_addon
0.001 bypass_firewall
0.001 disables_system_restore
0.001 disables_windows_defender
0.001 modify_uac_prompt
0.001 network_cnc_http
0.001 recon_fingerprint
0.001 stealth_hide_notifications

Reporting ( 0.0 seconds )


Task ID	141194
Mongo ID	5ab4e4432e063313f8143337
Cuckoo release	1.4-Maldun