分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-hpdapp01-1 | 2019-01-22 02:13:51 | 2019-01-22 02:16:26 | 155 秒 |
文件名 | ytmd.exe |
---|---|
文件大小 | 25088 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed |
MD5 | 33d9b1744eeaf4a54b0b34c4e7818a52 |
SHA1 | 6faa63ac01e2a9fd0b587ca237e2b60199598794 |
SHA256 | 407ef8026d93b555ba3c2bd1fe941c6359f30714cb671e1f51d236cc487675c6 |
SHA512 | d3e086ab3a7e16fd20227d1731c4e7d3d714d6131051524ddffe0e5e8ab8f85bee52f863e6aae84118dd8ea63a78910e1d94d3670e80d667e741592023779010 |
CRC32 | 798D7877 |
Ssdeep | 384:zsNpvXJMLbDqV2IGGKiEWBAWklalz3u9YqlivFz6V/jJjjdQFZLnqa:zgpaLN2fBAhlad3SY3hStGTq |
Yara | 登录查看Yara规则 |
样本下载 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 139.196.209.127 | 中国 |
域名 | 安全评级 | 响应 |
---|---|---|
ip.yototoo.com | A 139.196.209.127 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x0040f450 |
声明校验值 | 0x00000000 |
实际校验值 | 0x0000c8b6 |
最低操作系统版本要求 | 4.0 |
编译时间 | 2015-03-25 10:30:26 |
载入哈希 | 3373d1b2b40da2c0ce319c59ccaf75c5 |
LegalCopyright | |
---|---|
InternalName | |
FileVersion | |
CompanyName | |
PrivateBuild | |
LegalTrademarks | |
Comments | |
ProductName | |
SpecialBuild | |
ProductVersion | |
FileDescription | |
OriginalFilename | |
Translation |
[u'UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser'] |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
UPX0 | 0x00001000 | 0x0000a000 | 0x00000000 | IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
UPX1 | 0x0000b000 | 0x00005000 | 0x00004600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.88 |
.rsrc | 0x00010000 | 0x00002000 | 0x00001800 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 5.34 |
名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
---|---|---|---|---|---|---|
RT_RCDATA | 0x0000a200 | 0x00002000 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 139.196.209.127 | 中国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49172 | 139.196.209.127 ip.yototoo.com | 2017 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 62233 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
ip.yototoo.com | A 139.196.209.127 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49172 | 139.196.209.127 ip.yototoo.com | 2017 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 62233 | 192.168.122.1 | 53 |
未发现HTTP请求.
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Protocol | SID | Signature | Category |
---|---|---|---|---|---|---|---|---|
2019-01-22 02:14:41.206729+0800 | 192.168.122.201 | 49172 | 139.196.209.127 | 2017 | TCP | 2025135 | ET TROJAN [PTsecurity] Botnet Nitol.B Checkin | A Network Trojan was detected |
No TLS
No Suricata HTTP
文件名 | meguwo.exe |
---|---|
相关文件 |
C:\Windows\meguwo.exe
|
文件大小 | 25088 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed |
MD5 | 33d9b1744eeaf4a54b0b34c4e7818a52 |
SHA1 | 6faa63ac01e2a9fd0b587ca237e2b60199598794 |
SHA256 | 407ef8026d93b555ba3c2bd1fe941c6359f30714cb671e1f51d236cc487675c6 |
CRC32 | 798D7877 |
Ssdeep | 384:zsNpvXJMLbDqV2IGGKiEWBAWklalz3u9YqlivFz6V/jJjjdQFZLnqa:zgpaLN2fBAhlad3SY3hStGTq |
下载 提交魔盾安全分析 |
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 234131 |
---|---|
Mongo ID | 5c460cac2f8f2e05c05a21a4 |
Cuckoo release | 1.4-Maldun |