分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-hpdapp01-1 | 2018-07-20 21:53:03 | 2018-07-20 21:55:43 | 160 秒 |
文件名 | wpltbbrp_001.exe |
---|---|
文件大小 | 391874 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 44c6661ff5829967791b25ecf3225bff |
SHA1 | ef6356ffb1231e390aefce8baa1807e3390b9e53 |
SHA256 | cca7a5ed812ff5bce6da0c35b0ff7df7e5bd203517a0d23a1c057fcbab141a6a |
SHA512 | 153ff04436209f71e9a641f57114fc12f6198f7927be1b9a1003a399a647e37ee17757cb347bd3a6c9f8f9cf3e03df5dfd133248465ac73ea844fec19b1c22ed |
CRC32 | D2CF83CE |
Ssdeep | 6144:0rojxP226Xk+DRLgFFFrFFFFNQPpT0+Bz1LS7NgxX6FLv7MGCuyxnI7hDelJ/6CK:njxP226X7DINQhrbK5YpuQI7YlJCH/2u |
Yara | 登录查看Yara规则 |
样本下载 提交漏报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 104.24.123.66 | 美国 | |
否 | 216.250.99.5 | 美国 |
域名 | 安全评级 | 响应 |
---|---|---|
update.wpltbbrp.com |
A 104.24.122.66 A 104.24.123.66 |
|
tj.wpltbbrp.com | A 216.250.99.5 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x00409c14 |
声明校验值 | 0x00000000 |
实际校验值 | 0x00063714 |
最低操作系统版本要求 | 1.0 |
编译时间 | 1992-06-20 06:22:17 |
载入哈希 | 884310b1928934402ea6fec1dbd3cf5e |
LegalCopyright | |
---|---|
FileVersion | |
CompanyName | |
Comments | |
ProductName | |
ProductVersion | |
FileDescription | |
Translation |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
CODE | 0x00001000 | 0x00009338 | 0x00009400 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.56 |
DATA | 0x0000b000 | 0x0000024c | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 2.75 |
BSS | 0x0000c000 | 0x00000e50 | 0x00000000 | IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
.idata | 0x0000d000 | 0x00000950 | 0x00000a00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 4.43 |
.tls | 0x0000e000 | 0x00000008 | 0x00000000 | IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
.rdata | 0x0000f000 | 0x00000018 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ | 0.20 |
.reloc | 0x00010000 | 0x000008b0 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ | 0.00 |
.rsrc | 0x00011000 | 0x00011fe0 | 0x00012000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ | 6.37 |
偏移量 | 0x00022fe0 |
大小 | 0x0003cae2 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 104.24.123.66 | 美国 | |
否 | 216.250.99.5 | 美国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49161 | 104.24.123.66 update.wpltbbrp.com | 80 |
192.168.122.201 | 49162 | 104.24.123.66 update.wpltbbrp.com | 80 |
192.168.122.201 | 49163 | 216.250.99.5 tj.wpltbbrp.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 57651 | 192.168.122.1 | 53 |
192.168.122.201 | 65281 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
update.wpltbbrp.com |
A 104.24.122.66 A 104.24.123.66 |
|
tj.wpltbbrp.com | A 216.250.99.5 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49161 | 104.24.123.66 update.wpltbbrp.com | 80 |
192.168.122.201 | 49162 | 104.24.123.66 update.wpltbbrp.com | 80 |
192.168.122.201 | 49163 | 216.250.99.5 tj.wpltbbrp.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 57651 | 192.168.122.1 | 53 |
192.168.122.201 | 65281 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://update.wpltbbrp.com/m/wpltbbrp_001tj.php | GET /m/wpltbbrp_001tj.php HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: update.wpltbbrp.com Connection: Keep-Alive |
URL专业沙箱检测 -> http://update.wpltbbrp.com/m/wpltbbrp_001tj.php | GET /m/wpltbbrp_001tj.php HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: update.wpltbbrp.com Connection: Keep-Alive Cookie: __cfduid=d6a3ead12bbb1ddfe57d584a97d433bf51532094823 |
URL专业沙箱检测 -> http://tj.wpltbbrp.com/tongji.php?uid=wpltbbrp_001&mac=52:54:00:8A:47:09&pid=2116&mid=best | GET /tongji.php?uid=wpltbbrp_001&mac=52:54:00:8A:47:09&pid=2116&mid=best HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: tj.wpltbbrp.com Connection: Keep-Alive Cookie: __cfduid=d6a3ead12bbb1ddfe57d584a97d433bf51532094823 |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
无警报
No TLS
No Suricata HTTP
文件名 | RunTongJi.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\is-4N7BU.tmp\RunTongJi.tmp
|
文件大小 | 12 字节 |
文件类型 | UTF-8 Unicode (with BOM) text, with no line terminators |
MD5 | 2dc133967ef6f92c4bc49a39c9230232 |
SHA1 | 2f46b65cc2d88445839f2804caa01b4eda05bb66 |
SHA256 | 8bf5b058836ff8056986407ce250cdb296f39863ada5ffb9872a22dddeac9a78 |
CRC32 | 0893C630 |
Ssdeep | 3:tDB:xB |
下载 提交魔盾安全分析 |
文件名 | _setup64.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\is-4N7BU.tmp\_isetup\_setup64.tmp
|
文件大小 | 6144 字节 |
文件类型 | PE32+ executable (console) x86-64, for MS Windows |
MD5 | 4ff75f505fddcc6a9ae62216446205d9 |
SHA1 | efe32d504ce72f32e92dcf01aa2752b04d81a342 |
SHA256 | a4c86fc4836ac728d7bd96e7915090fd59521a9e74f1d06ef8e5a47c8695fd81 |
CRC32 | B1C5F7C5 |
Ssdeep | 96:sfkcXegaJ/ZAYNzcld1xaX12pS5SKvkc:sfJEVYlvxaX12EF |
下载 提交魔盾安全分析 |
文件名 | _shfoldr.dll |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\is-4N7BU.tmp\_isetup\_shfoldr.dll
|
文件大小 | 23312 字节 |
文件类型 | PE32 executable (DLL) (GUI) Intel 80386 (stripped to external PDB), for MS Windows |
MD5 | 92dc6ef532fbb4a5c3201469a5b5eb63 |
SHA1 | 3e89ff837147c16b4e41c30d6c796374e0b8e62c |
SHA256 | 9884e9d1b4f8a873ccbd81f8ad0ae257776d2348d027d811a56475e028360d87 |
CRC32 | AE2C3EC2 |
Ssdeep | 384:+Vm08QoKkiWZ76UJuP71W55iWHHoSHigH2euwsHTGHVb+VHHmnH+aHjHqLHxmoq1:2m08QotiCjJuPGw4 |
魔盾安全分析结果 | 1.5 分析时间:2016-11-12 22:58:52 查看分析报告 |
下载 提交魔盾安全分析 |
文件名 | wpltbbrp_001.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\is-B7TLC.tmp\wpltbbrp_001.tmp
|
文件大小 | 804352 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 6d5d165ca8232e47a65cffec91a3f513 |
SHA1 | 6dec8950d1ef4fdb4f216cdb5b2575bb2333158d |
SHA256 | 1eb9127e5071c23f7a60f4341b7af605541cba086ce88911b9dee64a1bb8c69c |
CRC32 | 378B3FEC |
Ssdeep | 24576:mSyVUEDFrP537rzHaA6Dv+EDTEh/P/+x32PnWDExl9L:mphrP537rzHaA6Dcmx32PrH |
下载 提交魔盾安全分析 |
文件名 | _RegDLL.tmp |
---|---|
相关文件 |
C:\Users\test\AppData\Local\Temp\is-4N7BU.tmp\_isetup\_RegDLL.tmp
|
文件大小 | 4096 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 0ee914c6f0bb93996c75941e1ad629c6 |
SHA1 | 12e2cb05506ee3e82046c41510f39a258a5e5549 |
SHA256 | 4dc09bac0613590f1fac8771d18af5be25a1e1cb8fdbf4031aa364f3057e74a2 |
CRC32 | 2748B2DA |
Ssdeep | 48:ivuz1hEU3FR/pmqBl8/QMCBaquEMx5BC+SS4k+bkguj0KHc:bz1eEFNcqBC/Qrex5iSKDkc |
下载 提交魔盾安全分析 |
文件名 | test@wpltbbrp[1].txt |
---|---|
相关文件 |
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@wpltbbrp[1].txt
|
文件大小 | 114 字节 |
文件类型 | ASCII text |
MD5 | ce9d67992c836228d8e4916a68b339bc |
SHA1 | 52c2a4815aaba8463d602a64103d862ec9ebfa37 |
SHA256 | 99b7e393001c69509bf7dc8c1eb7f99dfea1cdfdebb7d22d5f834b44fcb7df88 |
CRC32 | CE088446 |
Ssdeep | 3:GmM/DUXHshSUShyoS1leX0jXU7acOF6VWVvPvn:XM/IcY4P2XIX5rX |
下载 提交魔盾安全分析 显示文本 | |
__cfduid d6a3ead12bbb1ddfe57d584a97d433bf51532094823 wpltbbrp.com/ 9216 2330217856 30752514 1643001120 30655030 * |
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 171274 |
---|---|
Mongo ID | 5b51ea102e063307d733977e |
Cuckoo release | 1.4-Maldun |