恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp01-1	2018-05-22 09:50:42	2018-05-22 09:53:47	185 秒

魔盾分数

10.0

Flystud病毒

文件详细信息

文件名	呵呵.exe
文件大小	1406141 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	ea7720b912d4639194862f879866599c
SHA1	cb960d5c0045d71f6d34e436b9fbb969af9a56da
SHA256	9e445717457cb9b7270146ee6b232d626ad0128e8f5e276b2c72b56e50c0566a
SHA512	e3220240f187ade4653a644428654aa2f86431edfce21371f8693da5a9a41e2f528780127cd57452da478373a343ce824a027562db245b75610b6ee637e549ab
CRC32	8DFD0BC9
Ssdeep	24576:WRzvKanA7vlt+0fuU1YwnwuayvetCypSk3YqpPurUBMgaWBYe582Jmpcn:WRbKEA7nNXJwuays/l3Y6meMgBz5HJsY
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00401311
声明校验值	0x00000000
实际校验值	0x0015ed7f
最低操作系统版本要求	4.0
编译时间	1972-12-25 13:33:23
载入哈希	9165ea3e914e03bda3346f13edbd6ccd
图标
图标精确哈希值	31287fd193131dde9ae75b219a80ae68
图标相似性哈希值	df87b05c827a6e59ab42321ed8c31d99

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000051ec	0x00006000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	6.89
.rdata	0x00007000	0x00000a4a	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	3.58
.data	0x00008000	0x00001f58	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.37
.data	0x0000a000	0x00022000	0x00022000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.78
.rsrc	0x0002c000	0x000045b0	0x00005000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	4.05

覆盖

偏移量	0x00031000
大小	0x001264bd

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00030108	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.87	GLS_BINARY_LSB_FIRST
RT_ICON	0x00030108	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.87	GLS_BINARY_LSB_FIRST
RT_ICON	0x00030108	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.87	GLS_BINARY_LSB_FIRST
RT_ICON	0x00030108	0x00000468	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	5.87	GLS_BINARY_LSB_FIRST
RT_GROUP_ICON	0x00030570	0x0000003e	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.62	MS Windows icon resource - 4 icons, 48x48

导入

库: KERNEL32.dll:

• 0x407000 GetProcAddress

• 0x407004 LoadLibraryA

• 0x407008 CloseHandle

• 0x40700c WriteFile

• 0x407010 CreateDirectoryA

• 0x407014 GetTempPathA

• 0x407018 ReadFile

• 0x40701c SetFilePointer

• 0x407020 CreateFileA

• 0x407024 GetModuleFileNameA

• 0x407028 GetStringTypeA

• 0x40702c LCMapStringW

• 0x407030 LCMapStringA

• 0x407034 HeapAlloc

• 0x407038 HeapFree

• 0x40703c GetModuleHandleA

• 0x407040 GetStartupInfoA

• 0x407044 GetCommandLineA

• 0x407048 GetVersion

• 0x40704c ExitProcess

• 0x407050 HeapDestroy

• 0x407054 HeapCreate

• 0x407058 VirtualFree

• 0x40705c VirtualAlloc

• 0x407060 HeapReAlloc

• 0x407064 TerminateProcess

• 0x407068 GetCurrentProcess

• 0x40706c UnhandledExceptionFilter

• 0x407070 FreeEnvironmentStringsA

• 0x407074 FreeEnvironmentStringsW

• 0x407078 WideCharToMultiByte

• 0x40707c GetEnvironmentStrings

• 0x407080 GetEnvironmentStringsW

• 0x407084 SetHandleCount

• 0x407088 GetStdHandle

• 0x40708c GetFileType

• 0x407090 RtlUnwind

• 0x407094 GetCPInfo

• 0x407098 GetACP

• 0x40709c GetOEMCP

• 0x4070a0 MultiByteToWideChar

• 0x4070a4 GetStringTypeW

库: USER32.dll:

• 0x4070ac MessageBoxA

• 0x4070b0 wsprintfA

.text
.rdata
@.data
.data
.rsrc
runtime error 
Microsoft Visual C++ Runtime Library
Program: 
<program name unknown>
GetLastActivePopup
GetActiveWindow
MessageBoxA
user32.dll
GetProcAddress
LoadLibraryA
CloseHandle
WriteFile
CreateDirectoryA
GetTempPathA
ReadFile
SetFilePointer
CreateFileA
GetModuleFileNameA
KERNEL32.dll
MessageBoxA
wsprintfA
USER32.dll
HeapAlloc
HeapFree
GetModuleHandleA
GetStartupInfoA
GetCommandLineA
GetVersion
ExitProcess
HeapDestroy
HeapCreate
VirtualFree
VirtualAlloc
HeapReAlloc
TerminateProcess
GetCurrentProcess
UnhandledExceptionFilter
FreeEnvironmentStringsA
FreeEnvironmentStringsW
WideCharToMultiByte
GetEnvironmentStrings
GetEnvironmentStringsW
SetHandleCount
GetStdHandle
GetFileType
RtlUnwind
GetCPInfo
GetACP
GetOEMCP
MultiByteToWideChar
LCMapStringA
LCMapStringW
GetStringTypeA
GetStringTypeW
WM$lBk
+1R7/
b~Ol0
31</0(P

防病毒引擎/厂商	病毒名/规则匹配	病毒库日期
McAfee+Artemis	W32/Autorun.worm.ev	20090716
nProtect	Trojan-Dropper/W32.FlyStudio.1406141	20090716
CAT-QuickHeal	Win32.Trojan-Dropper.Flystud.ko.5.Pack	20090716
McAfee	W32/Autorun.worm.ev	20090716
K7AntiVirus	Trojan-Dropper.Win32.Flystud.ko	20090716
TheHacker	Trojan/Dropper.Flystud.ko	20090715
VirusBuster	Backdoor.FlyAgent.YL	20090716
NOD32	Win32/FlyStudio.NJN	20090716
F-Prot	W32/Nuj.A.gen!Eldorado	20090716
a-squared	Trojan.Peed!IK	20090716
Norman	W32/Lineage.CAZA	20090716
Avast	未发现病毒	20090716
eSafe	Win32.TRDropper	20090716
ClamAV	未发现病毒	20090716
BitDefender	GenPack:Backdoor.Generic.195769	20090716
Comodo	TrojWare.Win32.TrojanDropper.Flystud.ko	20090716
F-Secure	未发现病毒	20090716
DrWeb	Win32.HLLW.Autoruner.4360	20090716
AntiVir	TR/Dropper.Gen	20090716
TrendMicro	TROJ_DROPPER.OLL	20090716
McAfee-GW-Edition	Trojan.Dropper.Gen	20090716
Sophos	Mal/EncPk-GF	20090716
eTrust-Vet	未发现病毒	20090715
Authentium	W32/Nuj.A.gen!Eldorado	20090716
Jiangmin	TrojanDropper.Flystud.ov	20090716
Antiy-AVL	未发现病毒	20090716
Symantec	未发现病毒	20090716
Microsoft	Backdoor:Win32/FlyAgent.F	20090716
ViRobot	未发现病毒	20090716
Prevx	未发现病毒	20090716
GData	GenPack:Backdoor.Generic.195769	20090716
AhnLab-V3	Dropper/Flystud.1406141	20090716
VBA32	Trojan-Dropper.Win32.Flystud.ko	20090715
Sunbelt	Trojan.Peed.Gen	20090716
PCTools	未发现病毒	20090716
Rising	Worm.Win32.Agent.ade	20090716
Ikarus	Trojan.Peed	20090716
Fortinet	W32/Flystud.KO!tr	20090716
AVG	未发现病毒	20090716
Panda	Bck/Wutau.B	20090716

进程树

______.exe id: 1760
- explorer.exe id: 1104
- 0C9172.EXE id: 1812
  - explorer.exe id: 2136
  - 0C9172.EXE id: 2224
    - explorer.exe id: 2384
    - 0C9172.EXE id: 2472
      - explorer.exe id: 2604
      - 0C9172.EXE id: 2704
        
        explorer.exe id: 2840
        
        0C9172.EXE id: 2944
        
        explorer.exe id: 2060
        
        0C9172.EXE id: 2180
        
        explorer.exe id: 2436
        
        0C9172.EXE id: 2668
        
        explorer.exe id: 3012
        
        0C9172.EXE id: 2192
        
        explorer.exe id: 2864
        
        0C9172.EXE id: 1756
        
        explorer.exe id: 2988
        
        0C9172.EXE id: 2796
        
        explorer.exe id: 2948
        
        0C9172.EXE id: 3144
        
        explorer.exe id: 3288
        
        0C9172.EXE id: 3376
        
        explorer.exe id: 3520
        
        0C9172.EXE id: 3604
        
        explorer.exe id: 3752
        
        0C9172.EXE id: 3832
        
        explorer.exe id: 3984
        
        0C9172.EXE id: 4056
        
        explorer.exe id: 3260
        
        0C9172.EXE id: 3436
        
        explorer.exe id: 3580
        
        0C9172.EXE id: 3784
        
        explorer.exe id: 3076
        
        0C9172.EXE id: 3108
        
        explorer.exe id: 3564
        
        0C9172.EXE id: 3744
        
        explorer.exe id: 4048
        
        0C9172.EXE id: 3200
        
        explorer.exe id: 3540
        
        0C9172.EXE id: 3488
        
        explorer.exe id: 4228
        
        0C9172.EXE id: 4308
        
        explorer.exe id: 4464
        
        0C9172.EXE id: 4548
        
        explorer.exe id: 4692
        
        0C9172.EXE id: 4776
        
        explorer.exe id: 4928
        
        0C9172.EXE id: 5012
        
        explorer.exe id: 3576
        
        0C9172.EXE id: 4260
        
        explorer.exe id: 3836
        
        0C9172.EXE id: 4672
        
        explorer.exe id: 4916
        
        0C9172.EXE id: 4968
        
        explorer.exe id: 4252
        
        0C9172.EXE id: 4520
        
        explorer.exe id: 3592
        
        0C9172.EXE id: 5108
        
        explorer.exe id: 4956
        
        0C9172.EXE id: 3556
        
        explorer.exe id: 4224
        
        0C9172.EXE id: 5148
        
        explorer.exe id: 5296
        
        0C9172.EXE id: 5376
        
        explorer.exe id: 5528
        
        0C9172.EXE id: 5600
        
        explorer.exe id: 5756
        
        0C9172.EXE id: 5836
        
        explorer.exe id: 5988
        
        0C9172.EXE id: 6064
        
        explorer.exe id: 4900
        
        0C9172.EXE id: 5336
        
        explorer.exe id: 5588
        
        0C9172.EXE id: 5772
        
        explorer.exe id: 5500
        
        0C9172.EXE id: 6120
        
        explorer.exe id: 5592
        
        0C9172.EXE id: 5532
        
        explorer.exe id: 5992
        
        0C9172.EXE id: 5552
        
        explorer.exe id: 5568
        
        0C9172.EXE id: 4868
        
        explorer.exe id: 6248
        
        0C9172.EXE id: 6332
        
        explorer.exe id: 6480
        
        0C9172.EXE id: 6568
        
        explorer.exe id: 6728
        
        0C9172.EXE id: 6848
        
        explorer.exe id: 6996
        
        0C9172.EXE id: 7088
        
        explorer.exe id: 6232
        
        0C9172.EXE id: 6412
        
        explorer.exe id: 6528
        
        0C9172.EXE id: 5744
        
        explorer.exe id: 7036
        
        0C9172.EXE id: 6208
        
        explorer.exe id: 6960

______.exe, PID: 1760, 上一级进程 PID: 1872

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 1104, 上一级进程 PID: 1760

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 1812, 上一级进程 PID: 1760

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2136, 上一级进程 PID: 1812

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2224, 上一级进程 PID: 1812

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2384, 上一级进程 PID: 2224

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2472, 上一级进程 PID: 2224

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2604, 上一级进程 PID: 2472

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2704, 上一级进程 PID: 2472

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2840, 上一级进程 PID: 2704

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2944, 上一级进程 PID: 2704

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2060, 上一级进程 PID: 2944

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2180, 上一级进程 PID: 2944

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2436, 上一级进程 PID: 2180

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2668, 上一级进程 PID: 2180

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3012, 上一级进程 PID: 2668

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2192, 上一级进程 PID: 2668

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2864, 上一级进程 PID: 2192

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 1756, 上一级进程 PID: 2192

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2988, 上一级进程 PID: 1756

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 2796, 上一级进程 PID: 1756

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 2948, 上一级进程 PID: 2796

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3144, 上一级进程 PID: 2796

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3288, 上一级进程 PID: 3144

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3376, 上一级进程 PID: 3144

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3520, 上一级进程 PID: 3376

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3604, 上一级进程 PID: 3376

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3752, 上一级进程 PID: 3604

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3832, 上一级进程 PID: 3604

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3984, 上一级进程 PID: 3832

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4056, 上一级进程 PID: 3832

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3260, 上一级进程 PID: 4056

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3436, 上一级进程 PID: 4056

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3580, 上一级进程 PID: 3436

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3784, 上一级进程 PID: 3436

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3076, 上一级进程 PID: 3784

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3108, 上一级进程 PID: 3784

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3564, 上一级进程 PID: 3108

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3744, 上一级进程 PID: 3108

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4048, 上一级进程 PID: 3744

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3200, 上一级进程 PID: 3744

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3540, 上一级进程 PID: 3200

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3488, 上一级进程 PID: 3200

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4228, 上一级进程 PID: 3488

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4308, 上一级进程 PID: 3488

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4464, 上一级进程 PID: 4308

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4548, 上一级进程 PID: 4308

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4692, 上一级进程 PID: 4548

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4776, 上一级进程 PID: 4548

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4928, 上一级进程 PID: 4776

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5012, 上一级进程 PID: 4776

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3576, 上一级进程 PID: 5012

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4260, 上一级进程 PID: 5012

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3836, 上一级进程 PID: 4260

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4672, 上一级进程 PID: 4260

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4916, 上一级进程 PID: 4672

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4968, 上一级进程 PID: 4672

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4252, 上一级进程 PID: 4968

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4520, 上一级进程 PID: 4968

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 3592, 上一级进程 PID: 4520

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5108, 上一级进程 PID: 4520

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4956, 上一级进程 PID: 5108

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 3556, 上一级进程 PID: 5108

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4224, 上一级进程 PID: 3556

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5148, 上一级进程 PID: 3556

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5296, 上一级进程 PID: 5148

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5376, 上一级进程 PID: 5148

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5528, 上一级进程 PID: 5376

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5600, 上一级进程 PID: 5376

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5756, 上一级进程 PID: 5600

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5836, 上一级进程 PID: 5600

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5988, 上一级进程 PID: 5836

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6064, 上一级进程 PID: 5836

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 4900, 上一级进程 PID: 6064

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5336, 上一级进程 PID: 6064

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5588, 上一级进程 PID: 5336

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5772, 上一级进程 PID: 5336

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5500, 上一级进程 PID: 5772

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6120, 上一级进程 PID: 5772

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5592, 上一级进程 PID: 6120

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5532, 上一级进程 PID: 6120

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5992, 上一级进程 PID: 5532

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5552, 上一级进程 PID: 5532

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 5568, 上一级进程 PID: 5552

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 4868, 上一级进程 PID: 5552

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6248, 上一级进程 PID: 4868

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6332, 上一级进程 PID: 4868

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6480, 上一级进程 PID: 6332

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6568, 上一级进程 PID: 6332

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6728, 上一级进程 PID: 6568

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6848, 上一级进程 PID: 6568

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6996, 上一级进程 PID: 6848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 7088, 上一级进程 PID: 6848

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6232, 上一级进程 PID: 7088

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6412, 上一级进程 PID: 7088

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6528, 上一级进程 PID: 6412

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 5744, 上一级进程 PID: 6412

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 7036, 上一级进程 PID: 5744

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

0C9172.EXE, PID: 6208, 上一级进程 PID: 5744

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

explorer.exe, PID: 6960, 上一级进程 PID: 6208

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

文件名	HtmlView.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\HtmlView.fne
文件大小	217088 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	9938d2db66b20b99da0bdd08cd8fc633
SHA1	8abff94fb024af3f650719375d4f9dc0b4a23473
SHA256	6ebfe13b33de91170401249161dd6dec5f07e327301082031498027188335376
CRC32	2D9555A0
Ssdeep	6144:NOscSVWVQ2mjO3RUYDMG/8h4Xnh7J24L:Q28y2OSUYDH8G7FL
	下载提交魔盾安全分析

文件名	eAPI.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\eAPI.fne
文件大小	323584 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	5ba3df4bf8606b391e0b4acdd5b946a4
SHA1	16a56b484ac4cd8aebdb37df7d234d495802c77f
SHA256	a8cd690ad8c8964c277314d9f1d4895ff5ad63a844a36bd28ba62969f522f692
CRC32	B3C18830
Ssdeep	6144:FX92rauhSAaprULRoFkRFe/DVlElvK238:F92mtAGrwR/F2D8vK2s
	下载提交魔盾安全分析

文件名	spec.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\spec.fne
文件大小	73728 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	4a9f0fd277dba821c2721ca76e1e4d60
SHA1	496bea28eeb16ec9d9985e99d7513d089c565a9a
SHA256	117d8cc6719e48274769144ef3071bba5c6312de547b883aac772766b0700594
CRC32	8F54E800
Ssdeep	768:4bQp5nhjhCT0F+i26njUKOgFblHbInaBr57+/V/h2nojIKgddYLZYCaOiUkdqsd2:IQzRFl26mgtlHbInsQNKojhaPUsqy41
	下载提交魔盾安全分析

文件名	cnvpe.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\cnvpe.fne
文件大小	61440 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	c6cb9de1521cca7b6b801bfd2fc51960
SHA1	3b65e3b7e1fd9dc9ab96116de85f80a1709c15da
SHA256	f144c33ded923ad1d9ce29286dc38a57939e314a0d5a34afcfd3c93dce4fe7f6
CRC32	ED2F4021
Ssdeep	1536:c6idiv9JMqfnD5wv7ErkegiLTNKBfp8onT7:a6PfnD/rtgiVKBfp8onT7
	下载提交魔盾安全分析

文件名	0C9172.EXE
相关文件	C:\Windows\System32\28F0A8\0C9172.EXE
文件大小	1406141 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	ea7720b912d4639194862f879866599c
SHA1	cb960d5c0045d71f6d34e436b9fbb969af9a56da
SHA256	9e445717457cb9b7270146ee6b232d626ad0128e8f5e276b2c72b56e50c0566a
CRC32	8DFD0BC9
Ssdeep	24576:WRzvKanA7vlt+0fuU1YwnwuayvetCypSk3YqpPurUBMgaWBYe582Jmpcn:WRbKEA7nNXJwuays/l3Y6meMgBz5HJsY
	下载提交魔盾安全分析

文件名	dp1.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\dp1.fne
文件大小	114688 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	b3a19ca2f36524e2f7392293282532df
SHA1	99ddf3b06ecc3a6bce50dd8324eb48de8987f34b
SHA256	7c18670de6c6a9a79ba506122f831e3a1a8b5826c00444d0f04fa948d4023147
CRC32	BFF324DD
Ssdeep	3072:OMrDaAq69Os4tQvuR0ipF0Wr+dRnfNsFok:OMrO09OQi0JfN
	下载提交魔盾安全分析

文件名	shell.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\shell.fne
文件大小	40960 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	6bbf91fff8edc12430da7aed53db0ed4
SHA1	5dd96bbfc7f185a1bc0cf37307725dada3f68dfb
SHA256	440a9409580f76128cda3756d3dfa64c9d459cd08a4ec4ea856c23fe6cca3af0
CRC32	BEBEF04B
Ssdeep	768:5zhhXtNPWrEy9BEuEdLG17q5lgvfzc3FjLoAF1QiP+nvsi6:dXtFWgy9BpEdG17qLifwxoANWvN
	下载提交魔盾安全分析

文件名	internet.fne
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\internet.fne
文件大小	184320 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	765bb7b831a59b644c9dc7ea683b2f94
SHA1	d9bec9d828b2566c907f833659311ce8034ca594
SHA256	54b93408cdffe5d4aa9203f7f69796201be1818f4c6d133f90a6b39dc0f2c8d4
CRC32	086A1EEF
Ssdeep	3072:TwMy3d7LWPAjVtdVj0U2osXXd8Jd823NxFbM/n9/6ok8T+KtvMYDQa7eY:T5gd7CiXjfsXtO823N3M/nn+KtvMYcai
	下载提交魔盾安全分析

文件名	krnln.fnr
相关文件	C:\Users\test\AppData\Local\Temp\E_N4\krnln.fnr
文件大小	1101824 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	5761e2894bd4c3c1e1dc689baaa3dc1e
SHA1	3e3b81af43feb5bb05b03eca1a1d91694029e1a0
SHA256	98833d4762a2fd7481a846fb7f37bb6ecae788d0f7a1ec1797f3481c634c6c14
CRC32	20CD427E
Ssdeep	12288:xn4b4UtMGJV/u9Ojra8pmdzRTl75R5bydXNEC6Zp3kir+vbADLq/fyRuua7pGlHE:x18fm9O3Q5ylNEPH3EvOfRnawV/RX5k
	下载提交魔盾安全分析

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 30.938 seconds )

11.673 VirusTotal
9.126 Suricata
6.21 BehaviorAnalysis
2.052 TargetInfo
0.974 Static
0.339 peid
0.222 NetworkAnalysis
0.186 AnalysisInfo
0.141 Dropped
0.01 Strings
0.002 Debug
0.002 config_decoder
0.001 Memory

Signatures ( 2.29 seconds )

0.304 stealth_timeout
0.217 api_spamming
0.198 decoy_document
0.19 antivm_generic_disk
0.142 mimics_filetime
0.128 stealth_file
0.124 virus
0.123 antivm_generic_scsi
0.12 bootkit
0.114 reads_self
0.067 hancitor_behavior
0.047 antivm_generic_services
0.043 antidbg_windows
0.031 antivm_vbox_libs
0.03 injection_createremotethread
0.03 antiav_detectreg
0.027 md_bad_drop
0.025 antiemu_wine_func
0.024 injection_runpe
0.024 kovter_behavior
0.019 infostealer_browser_password
0.017 antiav_avast_libs
0.015 injection_rwx
0.014 exec_crash
0.012 rat_luminosity
0.012 antisandbox_sunbelt_libs
0.012 infostealer_ftp
0.01 antisandbox_sboxie_libs
0.01 md_url_bl
0.009 injection_explorer
0.009 antiav_bitdefender_libs
0.008 antivm_vbox_window
0.008 h1n1_behavior
0.008 infostealer_im
0.007 antivm_vmware_libs
0.007 antiav_detectfile
0.006 antianalysis_detectreg
0.005 hawkeye_behavior
0.005 shifu_behavior
0.005 persistence_autorun
0.005 antisandbox_script_timer
0.005 infostealer_bitcoin
0.004 infostealer_browser
0.004 infostealer_mail
0.004 md_domain_bl
0.004 ransomware_extensions
0.004 ransomware_files
0.003 sets_autoconfig_url
0.003 antisandbox_mouse_hook
0.003 kibex_behavior
0.003 vawtrak_behavior
0.003 securityxploded_modules
0.003 antivm_vbox_files
0.002 tinba_behavior
0.002 ransomware_message
0.002 betabot_behavior
0.002 Locky_behavior
0.002 ipc_namedpipe
0.002 infostealer_keylog
0.002 geodo_banking_trojan
0.002 disables_browser_warn
0.002 dropper
0.001 rat_nanocore
0.001 disables_spdy
0.001 antisandbox_sleep
0.001 modifies_desktop_wallpaper
0.001 stealth_window
0.001 antivm_vmware_events
0.001 disables_wfp
0.001 cerber_behavior
0.001 antidbg_devices
0.001 antivm_generic_diskreg
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 modify_proxy
0.001 browser_security
0.001 darkcomet_regkeys
0.001 recon_fingerprint

Reporting ( 0.43 seconds )

0.421 ReportHTMLSummary
0.009 Malheur


Task ID	162414
Mongo ID	5b03785cbb7d5744fdff4378
Cuckoo release	1.4-Maldun