分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-hpdapp01-1 | 2018-03-23 19:22:36 | 2018-03-23 19:25:09 | 153 秒 |
文件名 | SWIFT_COPY.doc |
---|---|
文件大小 | 12317 字节 |
文件类型 | Rich Text Format data, unknown version |
MD5 | ccf16b46b0cf2543953bc5bef3a730e7 |
SHA1 | 97c29e8771e4c46cbc26ac92d7cfa551795d13fc |
SHA256 | 7595a1ee77a50bf6c0d774dbc130f6877f28272b43cd46695312f8b44579359f |
SHA512 | 50aaf97289d72d3faf76da49653fb7b3f6b2e0f7e3c41a7dfa4b19ade23acce9fbed5f12b4e6c4803d921ded870fdf8a8be0c51d21fe4d0b9a63c9c3f0221299 |
CRC32 | 1CB69B59 |
Ssdeep | 192:W4zgZ0pexcVf26bbRfLdQ4IdzKJczZvB1GTnCufTKqLRNUXHrY3eM:w+ecu6petdzBZvBATnCRONUXLaeM |
Yara | 登录查看Yara规则 |
样本下载 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 46.36.38.31 | 未知 | 捷克 |
域名 | 安全评级 | 响应 |
---|---|---|
lisgroup.info | A 46.36.38.31 |
防病毒引擎/厂商 | 病毒名/规则匹配 | 病毒库日期 |
---|---|---|
Bkav | 未发现病毒 | 20180322 |
TotalDefense | 未发现病毒 | 20180322 |
MicroWorld-eScan | 未发现病毒 | 20180322 |
nProtect | 未发现病毒 | 20180322 |
CMC | 未发现病毒 | 20180322 |
CAT-QuickHeal | 未发现病毒 | 20180322 |
McAfee | 未发现病毒 | 20180322 |
Malwarebytes | 未发现病毒 | 20180322 |
VIPRE | 未发现病毒 | 20180322 |
TheHacker | 未发现病毒 | 20180319 |
K7GW | 未发现病毒 | 20180322 |
K7AntiVirus | 未发现病毒 | 20180322 |
Baidu | 未发现病毒 | 20180322 |
F-Prot | 未发现病毒 | 20180322 |
Symantec | Trojan.Mdropper | 20180322 |
ESET-NOD32 | 未发现病毒 | 20180322 |
TrendMicro-HouseCall | Suspicious_GEN.F47V0322 | 20180322 |
Avast | Win32:ShellCode [Expl] | 20180322 |
ClamAV | 未发现病毒 | 20180322 |
Kaspersky | HEUR:Exploit.MSOffice.Generic | 20180322 |
BitDefender | 未发现病毒 | 20180322 |
NANO-Antivirus | Exploit.Rtf.Heuristic-rtf.dinbqn | 20180322 |
ViRobot | 未发现病毒 | 20180322 |
AegisLab | Exploit.Msoffice.Generic!c | 20180322 |
Rising | 未发现病毒 | 20180322 |
Ad-Aware | 未发现病毒 | 20180322 |
Sophos | 未发现病毒 | 20180322 |
Comodo | 未发现病毒 | 20180322 |
F-Secure | Exploit:W97M/CVE-2017-0199.B | 20180322 |
DrWeb | 未发现病毒 | 20180322 |
Zillya | 未发现病毒 | 20180322 |
TrendMicro | 未发现病毒 | 20180322 |
McAfee-GW-Edition | 未发现病毒 | 20180322 |
Emsisoft | 未发现病毒 | 20180322 |
Cyren | 未发现病毒 | 20180322 |
Jiangmin | 未发现病毒 | 20180322 |
Webroot | 未发现病毒 | 20180322 |
Avira | EXP/W97M.Agent.yfprv | 20180322 |
Fortinet | MSOffice/CVE_2017_1182.B!exploit | 20180322 |
Antiy-AVL | 未发现病毒 | 20180322 |
Kingsoft | 未发现病毒 | 20180322 |
Arcabit | 未发现病毒 | 20180322 |
SUPERAntiSpyware | 未发现病毒 | 20180322 |
ZoneAlarm | HEUR:Exploit.MSOffice.Generic | 20180322 |
Avast-Mobile | 未发现病毒 | 20180322 |
Microsoft | 未发现病毒 | 20180322 |
AhnLab-V3 | RTF/Shellcode | 20180322 |
VBA32 | 未发现病毒 | 20180322 |
AVware | 未发现病毒 | 20180322 |
MAX | 未发现病毒 | 20180322 |
WhiteArmor | 未发现病毒 | 20180223 |
Zoner | Probably RTFBadVersion | 20180322 |
Tencent | 未发现病毒 | 20180322 |
Yandex | 未发现病毒 | 20180322 |
Ikarus | Exploit.CVE-2017-0199 | 20180322 |
GData | 未发现病毒 | 20180322 |
AVG | Win32:ShellCode [Expl] | 20180322 |
Panda | 未发现病毒 | 20180321 |
Qihoo-360 | Win32/Trojan.bf3 | 20180322 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 46.36.38.31 | 未知 | 捷克 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49161 | 46.36.38.31 lisgroup.info | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 64412 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
lisgroup.info | A 46.36.38.31 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49161 | 46.36.38.31 lisgroup.info | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 64412 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://lisgroup.info/Test/fmv.exe | GET /Test/fmv.exe HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: lisgroup.info Connection: Keep-Alive |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Protocol | SID | Signature | Category |
---|---|---|---|---|---|---|---|---|
2018-03-23 19:23:19.816740+0800 | 192.168.122.201 | 49161 | 46.36.38.31 | 80 | TCP | 2019714 | ET CURRENT_EVENTS Terse alphanumeric executable downloader high likelihood of being hostile | Potentially Bad Traffic |
2018-03-23 19:23:20.891132+0800 | 46.36.38.31 | 80 | 192.168.122.201 | 49161 | TCP | 2018959 | ET POLICY PE EXE or DLL Windows file download HTTP | Potential Corporate Privacy Violation |
No TLS
No Suricata HTTP
文件名 | ~$Normal.dotm |
---|---|
相关文件 |
C:\Users\test\AppData\Roaming\Microsoft\Templates\~$Normal.dotm
C:\Users\test\AppData\Local\Temp\~$IFT_COPY.doc
|
文件大小 | 162 字节 |
文件类型 | data |
MD5 | 8d150ed9620113ff64c13327741815fb |
SHA1 | 19e68586080f5cafa61df9fd6ef61fa46e3826ed |
SHA256 | 00ee6bd28b260ef260929541dc74eb2f5f02217e5e09c2848c2487ba51bdd882 |
CRC32 | F757348B |
Ssdeep | 3:TDllrR9L7kjItTRbzcll6/l/3/:nllrXpThcl4/3/ |
下载 提交魔盾安全分析 |
文件名 | Normal.dotm |
---|---|
相关文件 |
C:\Users\test\AppData\Roaming\Microsoft\Templates\Normal.dotm
|
文件大小 | 21096 字节 |
文件类型 | Microsoft Word 2007+ |
MD5 | cd88f09472ec5a7f5fd022c261d20bf7 |
SHA1 | 26a4984ae3a6424530f800ce42505df7246ba4e9 |
SHA256 | fbc97b00c88b2d1b889095a7eecbfc69a522c5484d6cebc64673239ccb048f7d |
CRC32 | 33737C58 |
Ssdeep | 384:PjlzfI/PKs/8owQPabxqIQ6U0D1pka2oVYP7q2j/IF7PMW3mlcJLEDpPWVY:RAP8zgINU0DPe7XEPMWWeJLEt7 |
下载 提交魔盾安全分析 |
文件名 | ~WRS{1C0357D0-B3EB-4A30-8C15-4EDF70E3B947}.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{1C0357D0-B3EB-4A30-8C15-4EDF70E3B947}.tmp
|
文件大小 | 1024 字节 |
文件类型 | data |
MD5 | 5d4d94ee7e06bbb0af9584119797b23a |
SHA1 | dbb111419c704f116efa8e72471dd83e86e49677 |
SHA256 | 4826c0d860af884d3343ca6460b0006a7a2ce7dbccc4d743208585d997cc5fd1 |
CRC32 | 23C03491 |
Ssdeep | 3:ol3lYdn:4Wn |
魔盾安全分析结果 | 2.0 分析时间:2016-11-30 03:08:12 查看分析报告 |
下载 提交魔盾安全分析 |
文件名 | SWIFT_COPY.doc |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\SWIFT_COPY.doc
|
文件大小 | 12317 字节 |
文件类型 | Rich Text Format data, unknown version |
MD5 | ccf16b46b0cf2543953bc5bef3a730e7 |
SHA1 | 97c29e8771e4c46cbc26ac92d7cfa551795d13fc |
SHA256 | 7595a1ee77a50bf6c0d774dbc130f6877f28272b43cd46695312f8b44579359f |
CRC32 | 1CB69B59 |
Ssdeep | 192:W4zgZ0pexcVf26bbRfLdQ4IdzKJczZvB1GTnCufTKqLRNUXHrY3eM:w+ecu6petdzBZvBATnCRONUXLaeM |
Yara |
|
下载 提交魔盾安全分析 |
文件名 | ~WRF{26BBCCA6-44D7-40F4-BE46-8E1D66ECFD05}.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{26BBCCA6-44D7-40F4-BE46-8E1D66ECFD05}.tmp
|
文件大小 | 16384 字节 |
文件类型 | Composite Document File V2 Document, Cannot read section info |
MD5 | 7c45c9586e2afa8f78092469d2fb64a2 |
SHA1 | efed138b0b0fab71cfbe4f79433e008f8c654e38 |
SHA256 | 777f6dce916e9646710d81a50080db898a08e717dd58c5560d6a1fce3fff71ea |
CRC32 | 34555A54 |
Ssdeep | 48:rI4J83bvBiP/drWpPiJjzfCXulneTwobvqbyDj:24P/N9RFmGbU |
下载 提交魔盾安全分析 |
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 141194 |
---|---|
Mongo ID | 5ab4e4432e063313f8143337 |
Cuckoo release | 1.4-Maldun |