恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-hpdapp01-2	2018-11-19 19:26:37	2018-11-19 19:30:45	248 秒

魔盾分数

0.6

正常的

文件详细信息

文件名	麦香3.3(1).rar
文件大小	3695111 字节
文件类型	RAR archive data, v1d, os: Win32
MD5	4c7a1d3f586cae30658017a67aa420c2
SHA1	a55155bf89d65aace56947d10952451a9881bb8f
SHA256	3413217225efeac2fb3ac44f784bb7426c4d19aef0fbadc3e0b1e3c2a40d6ff4
SHA512	9f870f03dca39cfc76bbe2d7614471d5e759cef3c1d59061b7b1022e683fcf229ca5d7c1faf810086141f4ddc2d42279db5ba935a01bc8c4d7d1a4f66a5e5136
CRC32	B2F90BE1
Ssdeep	98304:xkhdwj93rq7un+nku+A0T5cTzLDEFsacnQzo2QpGgSKN:er8Kun+nku5A5kLYlz2IGN
Yara	登录查看Yara规则
	样本下载提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	183.131.212.50	未知	中国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
w.eydata.net	A 183.131.212.50

摘要

登录查看详细行为信息

没有可用的静态分析.

\Client.dll
b/e\yj_
Jnc^G

没有防病毒引擎扫描信息!

进程树

麦香.exe id: 2544
- 麦香.exe id: 2608
  - 麦香.exe id: 2672
    - 麦香.exe id: 2736
      - 麦香.exe id: 2800
        
        麦香.exe id: 2864
        
        麦香.exe id: 2928
        
        麦香.exe id: 2992
        
        麦香.exe id: 3056
        
        麦香.exe id: 216
        
        麦香.exe id: 512
        
        麦香.exe id: 964
        
        麦香.exe id: 1192
        
        麦香.exe id: 2428
        
        cmd.exe id: 2484

麦香.exe, PID: 2468, 上一级进程 PID: 2292

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2544, 上一级进程 PID: 2468

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2608, 上一级进程 PID: 2544

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2672, 上一级进程 PID: 2608

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2736, 上一级进程 PID: 2672

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2800, 上一级进程 PID: 2736

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2864, 上一级进程 PID: 2800

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2928, 上一级进程 PID: 2864

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2992, 上一级进程 PID: 2928

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 3056, 上一级进程 PID: 2992

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 216, 上一级进程 PID: 3056

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 512, 上一级进程 PID: 216

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 964, 上一级进程 PID: 512

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 1192, 上一级进程 PID: 964

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

麦香.exe, PID: 2428, 上一级进程 PID: 1192

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

cmd.exe, PID: 2484, 上一级进程 PID: 2428

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	183.131.212.50	未知	中国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49175	183.131.212.50 w.eydata.net	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	51869	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
w.eydata.net	A 183.131.212.50

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49175	183.131.212.50 w.eydata.net	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	51869	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://w.eydata.net/b75631aac05b571c	POST /b75631aac05b571c HTTP/1.1 Accept: / Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: w.eydata.net Content-Length: 7 Cache-Control: no-cache ver=4.7

URI

HTTP数据

URL专业沙箱检测 -> http://w.eydata.net/b75631aac05b571c

POST /b75631aac05b571c HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: w.eydata.net
Content-Length: 7
Cache-Control: no-cache

ver=4.7

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 31.158 seconds )

12.826 NetworkAnalysis
11.909 Suricata
4.343 TargetInfo
1.352 VirusTotal
0.571 BehaviorAnalysis
0.071 AnalysisInfo
0.057 Debug
0.023 Strings
0.004 Memory
0.002 Static

Signatures ( 2.376 seconds )

1.923 md_url_bl
0.147 md_bad_drop
0.029 api_spamming
0.024 stealth_timeout
0.021 md_domain_bl
0.02 stealth_decoy_document
0.019 antiav_detectreg
0.016 injection_createremotethread
0.011 injection_runpe
0.009 infostealer_ftp
0.008 antiav_detectfile
0.007 process_interest
0.007 anomaly_persistence_autorun
0.006 stack_pivot
0.006 infostealer_im
0.006 ransomware_files
0.005 antisandbox_sunbelt_libs
0.005 vawtrak_behavior
0.005 geodo_banking_trojan
0.005 infostealer_bitcoin
0.005 network_http
0.005 ransomware_extensions
0.004 antiav_avast_libs
0.004 mimics_filetime
0.004 reads_self
0.004 infostealer_mail
0.003 tinba_behavior
0.003 bootkit
0.003 stealth_file
0.003 antisandbox_sboxie_libs
0.003 antiav_bitdefender_libs
0.003 antivm_generic_disk
0.003 virus
0.003 kovter_behavior
0.003 process_needed
0.003 antivm_vbox_files
0.003 disables_browser_warn
0.003 network_torgateway
0.002 antiemu_wine_func
0.002 rat_nanocore
0.002 injection_explorer
0.002 infostealer_browser_password
0.002 cerber_behavior
0.002 hancitor_behavior
0.002 browser_security
0.002 modify_proxy
0.001 hawkeye_behavior
0.001 network_tor
0.001 infostealer_browser
0.001 betabot_behavior
0.001 ursnif_behavior
0.001 dyre_behavior
0.001 kibex_behavior
0.001 shifu_behavior
0.001 h1n1_behavior
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 disables_system_restore
0.001 disables_windows_defender
0.001 network_cnc_http
0.001 stealth_modify_uac_prompt

Reporting ( 0.394 seconds )

0.394 Malheur


Task ID	215083
Mongo ID	5bf29f102e06334ae16c8c8b
Cuckoo release	1.4-Maldun