比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2019-06-20 03:43:59 2019-06-20 03:46:58 179 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 CF-灵动透视自瞄.exe
文件大小 8224545 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 a8a130d235bd58e2115618ec2f85d1b6
SHA1 fef34b63d9224edbc30313479fce244bbd0ead33
SHA256 4c9c935e0a860e590e22a6d3cbe8d96cae5272f2e4e7bb773b720786eccc12ef
SHA512 a2bb0d23906d315ea05cf1f4cf0859188c7abaed2c6f0b5254f80d7467fce6c4bba8ec522230828653a58d16043f940ba4134e52a0546cdf1c85a6b1e635fbab
CRC32 60D61F0A
Ssdeep 196608:qyk7Rw7sSulxiUbejxqzdcVjllvvjiCsWOnaUO52qfNgH/b:KisSulTbsAhIjfjiRnaUQ2qfNgD
Yara 登录查看Yara规则
样本下载 提交误报
登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
201.24.159.221 巴西
85.17.167.196 荷兰
88.248.141.201 土耳其

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00418ca0
声明校验值 0x00000000
实际校验值 0x007de169
最低操作系统版本要求 4.0
编译时间 2009-11-06 14:21:39
载入哈希 575ea90c069471216fa3adaba586119e

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x0000f000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00010000 0x00009000 0x00009000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.88
.rsrc 0x00019000 0x00015000 0x00015000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.89

覆盖

偏移量 0x0001e400
大小 0x007b9b21

导入

库: KERNEL32.DLL:
0x41b6a0 LoadLibraryA
0x41b6a4 GetProcAddress
0x41b6a8 VirtualProtect
0x41b6ac ExitProcess
库: SHELL32.dll:
0x41b6b4 ShellExecuteA
$BN}"DNRich|"DN
.rsrc
ba[}+
c^Oat1
KERNEL32.DLL
SHELL32.dll
LoadLibraryA
GetProcAddress
VirtualProtect
ExitProcess
ShellExecuteA
xX\H*
GyoTx
没有防病毒引擎扫描信息!

进程树

CF-__________________.exe, PID: 2644, 上一级进程 PID: 2296
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
201.24.159.221 巴西
85.17.167.196 荷兰
88.248.141.201 土耳其

TCP

无TCP连接纪录.

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59259 201.24.159.221 8590
192.168.122.201 59258 85.17.167.196 9832
192.168.122.201 59260 88.248.141.201 6018

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59259 201.24.159.221 8590
192.168.122.201 59258 85.17.167.196 9832
192.168.122.201 59260 88.248.141.201 6018

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

源地址 目标地址 ICMP类型 数据
81.17.33.109 192.168.122.201 3

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 48.197 seconds )

  • 19.318 Static
  • 15.546 Suricata
  • 9.52 TargetInfo
  • 1.408 VirusTotal
  • 1.377 NetworkAnalysis
  • 0.462 BehaviorAnalysis
  • 0.44 peid
  • 0.085 AnalysisInfo
  • 0.023 config_decoder
  • 0.015 Strings
  • 0.003 Memory

Signatures ( 0.386 seconds )

  • 0.052 antiav_detectreg
  • 0.023 infostealer_ftp
  • 0.021 api_spamming
  • 0.021 md_domain_bl
  • 0.02 md_url_bl
  • 0.017 stealth_timeout
  • 0.015 stealth_decoy_document
  • 0.014 anomaly_persistence_autorun
  • 0.013 infostealer_im
  • 0.01 antianalysis_detectreg
  • 0.009 antiav_detectfile
  • 0.007 infostealer_mail
  • 0.007 ransomware_extensions
  • 0.007 ransomware_files
  • 0.006 infostealer_bitcoin
  • 0.005 antivm_generic_scsi
  • 0.005 disables_browser_warn
  • 0.004 ransomware_dmalocker
  • 0.004 mimics_filetime
  • 0.004 sets_autoconfig_url
  • 0.004 kovter_behavior
  • 0.004 antivm_vbox_files
  • 0.004 geodo_banking_trojan
  • 0.003 tinba_behavior
  • 0.003 antiemu_wine_func
  • 0.003 bootkit
  • 0.003 dridex_behavior
  • 0.003 stealth_file
  • 0.003 anomaly_persistence_bootexecute
  • 0.003 anomaly_reset_winsock
  • 0.003 kelihos_behavior
  • 0.003 betabot_behavior
  • 0.003 reads_self
  • 0.003 kibex_behavior
  • 0.003 antivm_generic_disk
  • 0.003 infostealer_browser_password
  • 0.003 vawtrak_behavior
  • 0.003 virus
  • 0.003 antivm_xen_keys
  • 0.003 browser_security
  • 0.003 md_bad_drop
  • 0.002 banker_prinimalka
  • 0.002 rat_nanocore
  • 0.002 antivm_generic_services
  • 0.002 creates_largekey
  • 0.002 anormaly_invoke_kills
  • 0.002 cerber_behavior
  • 0.002 injection_runpe
  • 0.002 pony_behavior
  • 0.002 hancitor_behavior
  • 0.002 antivm_parallels_keys
  • 0.002 browser_addon
  • 0.002 modify_proxy
  • 0.002 darkcomet_regkeys
  • 0.002 recon_fingerprint
  • 0.001 network_tor
  • 0.001 antivm_vbox_libs
  • 0.001 injection_createremotethread
  • 0.001 ursnif_behavior
  • 0.001 shifu_behavior
  • 0.001 exec_crash
  • 0.001 maldun_suspicious
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antisandbox_productid
  • 0.001 antivm_generic_diskreg
  • 0.001 antivm_xen_keys
  • 0.001 antivm_vbox_acpi
  • 0.001 antivm_vmware_keys
  • 0.001 antivm_vpc_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 malicious_drop_executable_file_to_temp_folder
  • 0.001 office_security
  • 0.001 packer_armadillo_regkey
  • 0.001 ransomware_radamant
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt

Reporting ( 1.128 seconds )

  • 0.858 ReportHTMLSummary
  • 0.27 Malheur
Task ID 312247
Mongo ID 5d0a916e2f8f2e42515e2d5c
Cuckoo release 1.4-Maldun