分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-3 2018-11-19 19:26:44 2018-11-19 19:29:01 137 秒

魔盾分数

1.15

正常的

文件详细信息

文件名 麦香.exe
文件大小 1222144 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
MD5 404837567bbc9bcd753679904c9b087d
SHA1 e8d1fef4d5acd7bf8986b29a827baed1fde373d9
SHA256 3bc3974bf3ede48e160233cface3ac1d89901f69b1fbc815c735745e1749adb7
SHA512 4b5db5b32094bde51c6df3720df4c8ce8e93f3651a30912f25967f331188cb6465753ae0f8ecec49d9e7f733c49c4a5c64dd3359fcfd3d24f28ff01b770af16f
CRC32 3B80CCDB
Ssdeep 24576:iQPlm06gPJ+JW0xWJz9Oqp1nmajP/NAwU9FqBGUF0kf9RzL2Ypo8r5:iQPg0cX89O21dPhOFFkf9RzLTpo8r5
Yara 登录查看Yara规则
样本下载 提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x005112bf
声明校验值 0x00000000
实际校验值 0x00135f36
最低操作系统版本要求 6.0
编译时间 2011-11-16 14:39:31
载入哈希 8fbf48f7d2f80f063aa963e9b20373a4

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00002570 0x00002600 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.82
.rdata 0x00004000 0x000014c6 0x00001600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.02
.data 0x00006000 0x00000520 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.28
.gfids 0x00007000 0x00000020 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.16
.HZT0 0x00008000 0x000e99e2 0x000e9a00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.34
.HZT1 0x000f2000 0x0003c1a0 0x0003c200 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.23
.rsrc 0x0012f000 0x000004e1 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.76

导入

库: KERNEL32.dll:
0x504000 ReadFile
库: ADVAPI32.dll:
库: VCRUNTIME140.dll:
0x504010 memset
库: api-ms-win-crt-stdio-l1-1-0.dll:
库: api-ms-win-crt-runtime-l1-1-0.dll:
0x504020 __p___argv
库: api-ms-win-crt-string-l1-1-0.dll:
0x504028 strcat_s
库: api-ms-win-crt-math-l1-1-0.dll:
0x504030 __setusermatherr
库: api-ms-win-crt-locale-l1-1-0.dll:
0x504038 _configthreadlocale
库: api-ms-win-crt-heap-l1-1-0.dll:
0x504040 _set_new_mode
库: KERNEL32.dll:
0x504048 LocalAlloc
0x50404c GetCurrentProcess
0x504050 GetCurrentThread
0x504054 LocalFree
0x504058 GetModuleFileNameW
0x504068 Sleep
0x50406c ExitProcess
0x504070 GetLastError
0x504074 FreeLibrary
0x504078 LoadLibraryA
0x50407c GetModuleHandleA
0x504080 GetProcAddress
库: ADVAPI32.dll:
0x504088 OpenSCManagerW
0x504090 OpenServiceW
0x504094 QueryServiceConfigW
0x504098 CloseServiceHandle

.text
`.rdata
@.data
.gfids
@.HZT0
`.HZT1
`.rsrc
PhPB@
Vh<D@
u&h<c@
WhHc@
ZvX@Rk##
ntdll.dll
user32.dll
win32u.dll
GDI32.dll
NtDelayExecution
NtOpenProcess
NtClose
NtResumeThread
NtTerminateProcess
cInterface_
UserName=
&UserPwd=
&Mac=
&Ver=4.7&Mac=
GetCountdown__
&UserName=
&Version=4.7
C:\Plugin.dll
DllEntry5
StatusCode=
TCLS\TenProtect\TP\TPHelper\TPHelper.exe
Client.dll
InitDLL
CheckOD
KileMe
BlueScreen
BreakPoint
Interface
LimitMultipleOpen
RandomRestart
GetAnnouncement
GetMachineCode
OutDLL
DllEntry_1
Territory
ver=4.7
main___3
m)r6S
@ntdll.dll
user32.dll
win32u.dll
GDI32.dll
SeDebugPrivilege
TPHelper.exe
net_daemon.exe
没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 19.911 seconds )

  • 11.992 Suricata
  • 3.901 Static
  • 1.661 TargetInfo
  • 1.487 VirusTotal
  • 0.422 peid
  • 0.334 NetworkAnalysis
  • 0.048 AnalysisInfo
  • 0.042 Debug
  • 0.015 Strings
  • 0.004 config_decoder
  • 0.003 Memory
  • 0.002 BehaviorAnalysis

Signatures ( 0.266 seconds )

  • 0.149 md_bad_drop
  • 0.016 antiav_detectreg
  • 0.014 md_url_bl
  • 0.011 md_domain_bl
  • 0.007 anomaly_persistence_autorun
  • 0.007 antiav_detectfile
  • 0.007 infostealer_ftp
  • 0.006 ransomware_files
  • 0.005 infostealer_im
  • 0.005 ransomware_extensions
  • 0.004 infostealer_bitcoin
  • 0.003 tinba_behavior
  • 0.003 antivm_vbox_files
  • 0.003 disables_browser_warn
  • 0.003 infostealer_mail
  • 0.002 rat_nanocore
  • 0.002 cerber_behavior
  • 0.002 geodo_banking_trojan
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.001 betabot_behavior
  • 0.001 ursnif_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.373 seconds )

  • 0.373 Malheur
Task ID 215084
Mongo ID 5bf29e972e06334ae06c8977
Cuckoo release 1.4-Maldun