恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-hpdapp01-2	2018-07-18 08:30:09	2018-07-18 08:31:39	90 秒

错误信息: Task #170839: Analysis failed: Function raised an error: Unable to execute the initial process, analysis aborted.
请联系 support@maldun.com 取得帮助!

魔盾分数

6.3

Filerepmetagen病毒

文件详细信息

文件名	1.sys
文件大小	12144 字节
文件类型	PE32+ executable (native) x86-64, for MS Windows
MD5	dad20e4603919391341db0d925c901db
SHA1	7bc9eb4e384860955415b95c1e1c18ad099e7b96
SHA256	e0d319c43a12f927d0630056aeef89d654d550bd1f2a9d096c30565f72fcefa8
SHA512	380af0b3ec63f41aec4c94f1030a584a8a73bc0f5f9bc70849211012e0a254ac3478b52ab92a1be3e4cefb2809695d345d48e33194e7242e5b3bc57b8498f00c
CRC32	59C8D2DD
Ssdeep	192:qUW6VaGwODiSl9TYhhKG53+ebCfjpQpkqs1I5ZgjlNc:RW6VarOTlXG5JbCN1M6j0
Yara	登录查看Yara规则
	样本下载提交误报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x140000000
入口地址	0x140001184
声明校验值	0x000061d9
实际校验值	0x000061d9
最低操作系统版本要求	10.0
PDB路径	C:\Users\Administrator\Desktop\CallBack\x64\Release\CallBack.pdb
编译时间	2018-06-21 10:39:07
载入哈希	2b5d3e4e257c9e284b2fcad1436c0f79

微软证书验证 (Sign Tool)

SHA1	时间戳	有效性	错误
f3338b89fba2d0899b68076a2c915ac5072e4142	None	否	WinVerifyTrust returned error 0x800B010C

证书链	Certificate Chain 1
发行给	Class 3 Public Primary Certification Authority
发行人	Class 3 Public Primary Certification Authority
有效期	Wed Aug 02 075959 2028
SHA1 哈希	742c3192e607e424eb4549542be1bbc53e6174e2

证书链	Certificate Chain 2
发行给	VeriSign Class 3 Code Signing 2009-2 CA
发行人	Class 3 Public Primary Certification Authority
有效期	Tue May 21 075959 2019
SHA1 哈希	12d4872bc3ef019e7e0b6f132480ae29db5b1ca3

证书链	Certificate Chain 3
发行给	Xtreaming Technology Inc.
发行人	VeriSign Class 3 Code Signing 2009-2 CA
有效期	Thu Feb 23 075959 2012
SHA1 哈希	09ededdcbdb0c03c850f1d29920e412348120c8d

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x00000709	0x00000800	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	5.58
.rdata	0x00002000	0x000004a0	0x00000600	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	2.99
.data	0x00003000	0x00000f38	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.61
.pdata	0x00004000	0x000000b4	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	1.50
.gfids	0x00005000	0x00000004	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	0.02
INIT	0x00006000	0x00000206	0x00000400	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	2.97
.reloc	0x00007000	0x00000028	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ	0.43

导入

库: ntoskrnl.exe:

• 0x140002028 ObGetFilterVersion

• 0x140002030 RtlCopyUnicodeString

• 0x140002038 ObUnRegisterCallbacks

• 0x140002040 ObRegisterCallbacks

• 0x140002048 DbgPrint

• 0x140002050 PsProcessType

• 0x140002058 RtlInitUnicodeString

库: WDFLDR.SYS:

• 0x140002000 WdfVersionBindClass

• 0x140002008 WdfVersionBind

• 0x140002010 WdfVersionUnbind

• 0x140002018 WdfVersionUnbindClass

.text
h.rdata
H.data
.pdata
H.gfids
HINIT
b.reloc
By:QQ1114135188
 By:QQ1114135188
 By:QQ1114135188
C:\Users\Administrator\Desktop\CallBack\x64\Release\CallBack.pdb
.text
.text$mn
.text$mn$00
.text$mn$21
.text$s
.idata$5
.00cfg
.rdata
.rdata$zzzdbg
.xdata
.data
.kmdfclassbind$a
.kmdfclassbind$c
.kmdfclassbind$d
.kmdftypeinit$a
.kmdftypeinit$c
.pdata
.gfids$y
.idata$2
.idata$3
.idata$4
.idata$6
RtlInitUnicodeString
DbgPrint
ObRegisterCallbacks
ObUnRegisterCallbacks
ObGetFilterVersion
PsProcessType
ntoskrnl.exe
RtlCopyUnicodeString
WdfVersionUnbind
WdfVersionBind
WdfVersionBindClass
WdfVersionUnbindClass
WDFLDR.SYS
25444
KmdfLibrary

防病毒引擎/厂商	病毒名/规则匹配	病毒库日期
Bkav	未发现病毒	20180713
MicroWorld-eScan	未发现病毒	20180716
CMC	未发现病毒	20180714
CAT-QuickHeal	未发现病毒	20180714
McAfee	未发现病毒	20180716
Malwarebytes	未发现病毒	20180716
VIPRE	未发现病毒	20180716
TheHacker	未发现病毒	20180716
K7GW	未发现病毒	20180715
K7AntiVirus	未发现病毒	20180716
TrendMicro	未发现病毒	20180716
Baidu	未发现病毒	20180716
Babable	未发现病毒	20180406
F-Prot	未发现病毒	20180716
Symantec	未发现病毒	20180715
TotalDefense	未发现病毒	20180715
TrendMicro-HouseCall	Suspicious_GEN.F47V0705	20180716
Paloalto	未发现病毒	20180716
ClamAV	未发现病毒	20180715
Kaspersky	未发现病毒	20180716
BitDefender	未发现病毒	20180716
NANO-Antivirus	未发现病毒	20180716
ViRobot	未发现病毒	20180715
AegisLab	未发现病毒	20180716
Tencent	Win32.Rootkit.Malware.Vdnp	20180716
Ad-Aware	未发现病毒	20180716
Sophos	未发现病毒	20180716
Comodo	未发现病毒	20180716
F-Secure	未发现病毒	20180716
DrWeb	Trojan.BtcMine.1580	20180716
Zillya	未发现病毒	20180713
Invincea	未发现病毒	20180601
McAfee-GW-Edition	未发现病毒	20180715
Fortinet	未发现病毒	20180716
Emsisoft	未发现病毒	20180716
Ikarus	未发现病毒	20180715
Cyren	未发现病毒	20180716
Jiangmin	未发现病毒	20180715
Webroot	未发现病毒	20180716
Avira	未发现病毒	20180715
MAX	未发现病毒	20180716
Antiy-AVL	未发现病毒	20180716
Kingsoft	未发现病毒	20180716
Endgame	未发现病毒	20180711
Arcabit	未发现病毒	20180716
SUPERAntiSpyware	未发现病毒	20180715
ZoneAlarm	未发现病毒	20180716
Avast-Mobile	未发现病毒	20180716
Microsoft	未发现病毒	20180716
AhnLab-V3	未发现病毒	20180715
ALYac	未发现病毒	20180716
AVware	未发现病毒	20180716
TACHYON	未发现病毒	20180716
VBA32	未发现病毒	20180713
Cylance	未发现病毒	20180716
Panda	未发现病毒	20180715
Zoner	未发现病毒	20180715
ESET-NOD32	未发现病毒	20180716
Rising	未发现病毒	20180716
Yandex	未发现病毒	20180713
SentinelOne	未发现病毒	20180701
eGambit	未发现病毒	20180716
GData	未发现病毒	20180716
AVG	FileRepMetagen [Malware]	20180716
Cybereason	未发现病毒	20180225
Avast	FileRepMetagen [Malware]	20180716
CrowdStrike	未发现病毒	20180530
Qihoo-360	未发现病毒	20180716

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49158	23.35.171.27	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	54592	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49158	23.35.171.27	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	54592	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuWLMe9tuvPMXynxDWECEGVSJuGyLhjhWQ8phawi51w%3D	GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuWLMe9tuvPMXynxDWECEGVSJuGyLhjhWQ8phawi51w%3D HTTP/1.1 Connection: Keep-Alive Accept: / User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.verisign.com
URL专业沙箱检测 -> http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSpuCE3aK3GivZPzGQJ6L5BRyZofwQUl9BrqCZwyKE%2FlB8ILcQ1m6ShHvICEBHqm0ftxTV3NA%2BhThR%2BkTI%3D	GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBSpuCE3aK3GivZPzGQJ6L5BRyZofwQUl9BrqCZwyKE%2FlB8ILcQ1m6ShHvICEBHqm0ftxTV3NA%2BhThR%2BkTI%3D HTTP/1.1 Connection: Keep-Alive Accept: / User-Agent: Microsoft-CryptoAPI/6.1 Host: ocsp.verisign.com

URI

HTTP数据

URL专业沙箱检测 -> http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuWLMe9tuvPMXynxDWECEGVSJuGyLhjhWQ8phawi51w%3D

GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuWLMe9tuvPMXynxDWECEGVSJuGyLhjhWQ8phawi51w%3D HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: ocsp.verisign.com

URL专业沙箱检测 -> http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSpuCE3aK3GivZPzGQJ6L5BRyZofwQUl9BrqCZwyKE%2FlB8ILcQ1m6ShHvICEBHqm0ftxTV3NA%2BhThR%2BkTI%3D

GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBSpuCE3aK3GivZPzGQJ6L5BRyZofwQUl9BrqCZwyKE%2FlB8ILcQ1m6ShHvICEBHqm0ftxTV3NA%2BhThR%2BkTI%3D HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: ocsp.verisign.com

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 16.746 seconds )

12.273 Suricata
1.348 VirusTotal
0.983 TargetInfo
0.66 NetworkAnalysis
0.568 Static
0.45 AnalysisInfo
0.441 peid
0.016 Debug
0.003 Memory
0.002 BehaviorAnalysis
0.002 Strings

Signatures ( 2.403 seconds )

2.096 md_url_bl
0.178 md_bad_drop
0.018 antiav_detectreg
0.01 persistence_autorun
0.008 antiav_detectfile
0.008 infostealer_ftp
0.008 md_domain_bl
0.006 geodo_banking_trojan
0.006 ransomware_files
0.005 infostealer_bitcoin
0.005 infostealer_im
0.005 ransomware_extensions
0.004 tinba_behavior
0.004 antianalysis_detectreg
0.004 disables_browser_warn
0.004 network_http
0.003 rat_nanocore
0.003 cerber_behavior
0.003 antivm_vbox_files
0.003 infostealer_mail
0.002 betabot_behavior
0.002 modify_proxy
0.002 browser_security
0.001 network_tor
0.001 kazybot_behavior
0.001 kibex_behavior
0.001 shifu_behavior
0.001 ursnif_behavior
0.001 antianalysis_detectfile
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 disables_system_restore
0.001 disables_windows_defender
0.001 modify_uac_prompt
0.001 network_cnc_http

Reporting ( 0.827 seconds )

0.591 ReportHTMLSummary
0.236 Malheur


Task ID	170839
Mongo ID	5b4e8a812e063307d73396b6
Cuckoo release	1.4-Maldun