分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp01-1 2018-10-12 19:38:58 2018-10-12 19:39:32 34 秒

魔盾分数

1.4

正常的

文件详细信息

文件名 雷神过检测 v1.5(修复部分用户无法与模拟器链接,优化卡顿问题).exe
文件大小 15396864 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 6290cfd73b34b57959c5152daffb3516
SHA1 2876e362f27c99ac5cb9a522529aaed31e70e60a
SHA256 76be1475f7224a20f776b85cb2ad5de654024f0213eb1729cf0b9257fccc744e
SHA512 c0b52697465e82ea6ca4846b07af2f2490e237d2433630979630c0e3704e4762c66eb69e57cc2958ea131cfd0419c54cd2275fcc77b8464596614bb5b6eff51c
CRC32 26329250
Ssdeep 393216:NWAoTMljt/THHm5nATHBjUgquB6qHlVkT:zoTMDTnm5ATH2gG
Yara
  • create_process - Create a new process
  • win_registry - Affect system registries
  • without_attachments - Detected no presence of any attachment
  • without_images - Detected no presence of any image
  • without_urls - Detected no presence of any url
  • IsPE32 - Detected 32bit PE signature
  • IsWindowsGUI -
  • IsPacked - Detected Entropy signature
样本下载

特征低危险等级 中危险等级 高危险等级

魔盾安全Yara规则检测结果 - 普通
Warning: Create a new process
Warning: Affect system registries
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected no presence of any url
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.99, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x00ea9000, virtual_size: 0x00ea8b10
可执行文件可能使用VMProtect打包
section: {u'name': u'.vmp0', u'characteristics': u'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', u'virtual_address': u'0x009d4000', u'size_of_data': u'0x00000000', u'entropy': u'0.00', u'virtual_size': u'0x00343680', u'characteristics_raw': u'0x60000060'}

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

PE 信息

初始地址 0x00400000
入口地址 0x01f55e53
声明校验值 0x00000000
最低操作系统版本要求 5.0
编译时间 2018-10-10 20:26:15
载入哈希 a160b11eeeb892fae2742b0e3d90e17e

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0007c736 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x0007e000 0x0092bdce 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x009aa000 0x00029ae8 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.vmp0 0x009d4000 0x00343680 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.vmp1 0x00d18000 0x00ea8b10 0x00ea9000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.99
.rsrc 0x01bc1000 0x00004c8d 0x00005000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.84

导入

库: KERNEL32.dll:
0x1c03000 GetVersionExA
0x1c03004 GetVersion
库: USER32.dll:
0x1c0300c WaitForInputIdle
库: GDI32.dll:
0x1c03014 GetClipRgn
库: WINMM.dll:
0x1c0301c midiStreamRestart
库: WINSPOOL.DRV:
0x1c03024 ClosePrinter
库: ADVAPI32.dll:
0x1c0302c RegCloseKey
库: SHELL32.dll:
0x1c03034 ShellExecuteA
库: ole32.dll:
0x1c0303c OleUninitialize
库: OLEAUT32.dll:
0x1c03044 UnRegisterTypeLib
库: COMCTL32.dll:
0x1c0304c ImageList_Destroy
库: WS2_32.dll:
0x1c03054 recv
库: comdlg32.dll:
0x1c0305c GetFileTitleA
库: WTSAPI32.dll:
0x1c03064 WTSSendMessageW
库: KERNEL32.dll:
0x1c0306c VirtualQuery
库: USER32.dll:
库: KERNEL32.dll:
0x1c0307c LocalAlloc
0x1c03080 LocalFree
0x1c03084 GetModuleFileNameW
0x1c03090 SetThreadAffinityMask
0x1c03094 Sleep
0x1c03098 ExitProcess
0x1c0309c FreeLibrary
0x1c030a0 LoadLibraryA
0x1c030a4 GetModuleHandleA
0x1c030a8 GetProcAddress
库: USER32.dll:

.text
`.rdata
@.data
.vmp0
`.vmp1
`.rsrc
SHELL32.dll
OLEAUT32.dll
WINSPOOL.DRV
nN>&p
没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载
暂时还没有评论。

Processing ( 58.106 seconds )

  • 36.391 Static
  • 17.315 TargetInfo
  • 1.841 VirusTotal
  • 1.834 AnalysisInfo
  • 0.589 peid
  • 0.066 config_decoder
  • 0.047 Debug
  • 0.015 Strings
  • 0.005 Memory
  • 0.003 BehaviorAnalysis

Signatures ( 0.438 seconds )

  • 0.277 md_bad_drop
  • 0.023 md_url_bl
  • 0.019 antiav_detectreg
  • 0.014 md_domain_bl
  • 0.01 persistence_autorun
  • 0.008 antiav_detectfile
  • 0.008 infostealer_ftp
  • 0.008 ransomware_files
  • 0.007 ransomware_extensions
  • 0.005 infostealer_bitcoin
  • 0.005 infostealer_im
  • 0.004 tinba_behavior
  • 0.004 antianalysis_detectreg
  • 0.004 disables_browser_warn
  • 0.003 rat_nanocore
  • 0.003 cerber_behavior
  • 0.003 antivm_vbox_files
  • 0.003 geodo_banking_trojan
  • 0.003 infostealer_mail
  • 0.002 betabot_behavior
  • 0.002 modify_proxy
  • 0.002 browser_security
  • 0.001 network_tor
  • 0.001 kazybot_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 ursnif_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 modify_security_center_warnings
  • 0.001 modify_uac_prompt
  • 0.001 office_security
  • 0.001 rat_spynet
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications

Reporting ( 0.295 seconds )

  • 0.295 Malheur
Task ID 195849
Mongo ID 5bc088372e0633559a1af5d1
Cuckoo release 1.4-Maldun