分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2019-01-22 02:13:51 2019-01-22 02:16:26 155 秒

魔盾分数

10.0

Ptsecurity病毒

文件详细信息

文件名 ytmd.exe
文件大小 25088 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 33d9b1744eeaf4a54b0b34c4e7818a52
SHA1 6faa63ac01e2a9fd0b587ca237e2b60199598794
SHA256 407ef8026d93b555ba3c2bd1fe941c6359f30714cb671e1f51d236cc487675c6
SHA512 d3e086ab3a7e16fd20227d1731c4e7d3d714d6131051524ddffe0e5e8ab8f85bee52f863e6aae84118dd8ea63a78910e1d94d3670e80d667e741592023779010
CRC32 798D7877
Ssdeep 384:zsNpvXJMLbDqV2IGGKiEWBAWklalz3u9YqlivFz6V/jJjjdQFZLnqa:zgpaLN2fBAhlad3SY3hStGTq
Yara 登录查看Yara规则
样本下载 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
139.196.209.127 中国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
ip.yototoo.com A 139.196.209.127

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x0040f450
声明校验值 0x00000000
实际校验值 0x0000c8b6
最低操作系统版本要求 4.0
编译时间 2015-03-25 10:30:26
载入哈希 3373d1b2b40da2c0ce319c59ccaf75c5

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
PrivateBuild
LegalTrademarks
Comments
ProductName
SpecialBuild
ProductVersion
FileDescription
OriginalFilename
Translation

PEiD 规则

[u'UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser']

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x0000a000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x0000b000 0x00005000 0x00004600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.88
.rsrc 0x00010000 0x00002000 0x00001800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.34

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_RCDATA 0x0000a200 0x00002000 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None

导入

库: KERNEL32.DLL:
0x411690 LoadLibraryA
0x411694 GetProcAddress
0x411698 VirtualProtect
0x41169c VirtualAlloc
0x4116a0 VirtualFree
0x4116a4 ExitProcess
库: ADVAPI32.dll:
0x4116ac OpenServiceA
库: iphlpapi.dll:
0x4116b4 GetIfTable
库: MSVCRT.dll:
0x4116bc free
库: SHELL32.dll:
0x4116c4 ShellExecuteA
库: SHLWAPI.dll:
0x4116cc SHDeleteKeyA
库: USER32.dll:
0x4116d4 wsprintfA
库: WS2_32.dll:
0x4116dc htons

.rsrc
tp://w
Poosy
*8A:\
8$8*+
KERNEL32.DLL
ADVAPI32.dll
iphlpapi.dll
MSVCRT.dll
SHELL32.dll
SHLWAPI.dll
USER32.dll
WS2_32.dll
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
OpenServiceA
GetIfTable
ShellExecuteA
SHDeleteKeyA
wsprintfA
VS_VERSION_INFO
StringFileInfo
080404b0
Comments
CompanyName
yetaimei
FileDescription
yetaimei.com
FileVersion
1, 2, 2, 1536
InternalName
yetaimei
LegalCopyright
yetaimei.com
LegalTrademarks
OriginalFilename
PrivateBuild
ProductName
yetaimei
ProductVersion
1, 2, 2, 1536
SpecialBuild
VarFileInfo
Translation
没有防病毒引擎扫描信息!

进程树


ytmd.exe, PID: 2440, 上一级进程 PID: 2296
services.exe, PID: 428, 上一级进程 PID: 332
meguwo.exe, PID: 2576, 上一级进程 PID: 428
cmd.exe, PID: 2680, 上一级进程 PID: 2440
mscorsvw.exe, PID: 2360, 上一级进程 PID: 428
mscorsvw.exe, PID: 708, 上一级进程 PID: 428

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
139.196.209.127 中国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49172 139.196.209.127 ip.yototoo.com 2017

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 62233 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
ip.yototoo.com A 139.196.209.127

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49172 139.196.209.127 ip.yototoo.com 2017

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 62233 192.168.122.1 53

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

Timestamp Source IP Source Port Destination IP Destination Port Protocol SID Signature Category
2019-01-22 02:14:41.206729+0800 192.168.122.201 49172 139.196.209.127 2017 TCP 2025135 ET TROJAN [PTsecurity] Botnet Nitol.B Checkin A Network Trojan was detected

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 meguwo.exe
相关文件
C:\Windows\meguwo.exe
文件大小 25088 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 33d9b1744eeaf4a54b0b34c4e7818a52
SHA1 6faa63ac01e2a9fd0b587ca237e2b60199598794
SHA256 407ef8026d93b555ba3c2bd1fe941c6359f30714cb671e1f51d236cc487675c6
CRC32 798D7877
Ssdeep 384:zsNpvXJMLbDqV2IGGKiEWBAWklalz3u9YqlivFz6V/jJjjdQFZLnqa:zgpaLN2fBAhlad3SY3hStGTq
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 33.34 seconds )

  • 16.02 Suricata
  • 9.703 NetworkAnalysis
  • 4.095 VirusTotal
  • 1.511 BehaviorAnalysis
  • 0.719 Static
  • 0.513 TargetInfo
  • 0.504 peid
  • 0.18 AnalysisInfo
  • 0.066 Dropped
  • 0.017 Memory
  • 0.007 ProcessMemory
  • 0.005 Strings

Signatures ( 1.31 seconds )

  • 0.477 md_bad_drop
  • 0.115 antiav_detectreg
  • 0.068 api_spamming
  • 0.057 stealth_timeout
  • 0.049 stealth_decoy_document
  • 0.043 infostealer_ftp
  • 0.036 md_domain_bl
  • 0.031 md_url_bl
  • 0.028 antivm_vbox_libs
  • 0.024 infostealer_im
  • 0.017 ransomware_extensions
  • 0.015 kovter_behavior
  • 0.014 exec_crash
  • 0.014 infostealer_mail
  • 0.013 antiemu_wine_func
  • 0.012 mimics_filetime
  • 0.012 infostealer_browser_password
  • 0.011 reads_self
  • 0.011 antivm_generic_disk
  • 0.011 virus
  • 0.01 stealth_file
  • 0.01 antivm_generic_scsi
  • 0.01 antiav_detectfile
  • 0.009 bootkit
  • 0.009 antiav_avast_libs
  • 0.009 antisandbox_sunbelt_libs
  • 0.009 anomaly_persistence_autorun
  • 0.008 antivm_vmware_libs
  • 0.008 shifu_behavior
  • 0.008 hancitor_behavior
  • 0.008 ransomware_files
  • 0.007 antisandbox_sboxie_libs
  • 0.007 antiav_bitdefender_libs
  • 0.007 infostealer_bitcoin
  • 0.006 antivm_generic_services
  • 0.006 kibex_behavior
  • 0.006 anormaly_invoke_kills
  • 0.006 antivm_xen_keys
  • 0.006 geodo_banking_trojan
  • 0.005 betabot_behavior
  • 0.005 antivm_parallels_keys
  • 0.005 darkcomet_regkeys
  • 0.005 network_torgateway
  • 0.005 recon_fingerprint
  • 0.004 injection_createremotethread
  • 0.004 cerber_behavior
  • 0.004 antivm_generic_diskreg
  • 0.004 antivm_vbox_files
  • 0.004 disables_browser_warn
  • 0.003 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 kelihos_behavior
  • 0.002 stealth_network
  • 0.002 injection_runpe
  • 0.002 antisandbox_productid
  • 0.002 antivm_xen_keys
  • 0.002 antivm_hyperv_keys
  • 0.002 antivm_vbox_acpi
  • 0.002 antivm_vbox_keys
  • 0.002 antivm_vmware_keys
  • 0.002 antivm_vpc_keys
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 packer_armadillo_regkey
  • 0.001 network_tor
  • 0.001 network_anomaly
  • 0.001 dridex_behavior
  • 0.001 antisandbox_sleep
  • 0.001 ursnif_behavior
  • 0.001 kazybot_behavior
  • 0.001 dead_connect
  • 0.001 bypass_firewall
  • 0.001 antivm_generic_bios
  • 0.001 antivm_generic_cpu
  • 0.001 antivm_generic_system
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 maldun_blacklist
  • 0.001 mimics_extension
  • 0.001 office_security
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_programs
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt
  • 0.001 stealth_modify_security_center_warnings

Reporting ( 1.736 seconds )

  • 1.39 ReportHTMLSummary
  • 0.346 Malheur
Task ID 234131
Mongo ID 5c460cac2f8f2e05c05a21a4
Cuckoo release 1.4-Maldun