比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2019-09-16 18:02:57 2019-09-16 18:03:28 31 秒

魔盾分数

1.4

正常的

文件详细信息

文件名 JCR2.0.exe
文件大小 20344 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows, UPX compressed
MD5 1f8847f6a86ea904ede5950b2a47ea19
SHA1 e94da64be1ae10a14683de96b2442f8dc4e8f2d3
SHA256 f51111a700682e3dee3917869968713eaca40e63b422581d1c39bb4ff38cd5b3
SHA512 eabf9144ca9ef8a60d02eb3c5c896f3cd16d20ee7dfca0396c436704a05595b0cac6b5798f0bbabb3cb477e008aa470972c50b6988649180006a5a0ac6821459
CRC32 3E3DCA41
Ssdeep 384:bJ7o81p+Ru+9vVvcqGnmoL8XdCf3APT3GgojLOaNJawcudoD7UJ0KI7C9r:F7PuI+vvtIf3APzALfnbcuyD7Uiu
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x0041ac00
声明校验值 0x0000c520
实际校验值 0x0000c520
最低操作系统版本要求 4.0
编译时间 2019-09-16 18:00:35
载入哈希 cc2cd7c519f974a7e24c78ebd4d6400c

版本信息

LegalCopyright
FileVersion
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PEiD 规则

[u'UPX 2.93 - 3.00 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser']

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
5bb01ff39499ad7ca86162d6d6680543d45b4060 Mon Sep 16 18:01:59 2019
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
证书链 Certificate Chain 1
发行给 DishuJavaIDE
发行人 DishuJavaIDE
有效期 Tue Jan 01 000000 2030
SHA1 哈希 2c02a606c0dd26a05e476013a65b60c898853c86
证书链 Timestamp Chain 1
发行给 GlobalSign Root CA
发行人 GlobalSign Root CA
有效期 Fri Jan 28 200000 2028
SHA1 哈希 b1bc968bd4f49d622aa89a81f2150152a41d829c
证书链 Timestamp Chain 2
发行给 GlobalSign Timestamping CA - G2
发行人 GlobalSign Root CA
有效期 Fri Jan 28 200000 2028
SHA1 哈希 c0e49d2d7d90a5cd427f02d9125694d5d6ec5b71
证书链 Timestamp Chain 3
发行给 GlobalSign TSA for MS Authenticode - G2
发行人 GlobalSign Timestamping CA - G2
有效期 Thu Jun 24 080000 2027
SHA1 哈希 63b82fab61f583909695050b00249c502933ec79

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x00017000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00018000 0x00004000 0x00003800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.84
.rsrc 0x0001c000 0x00001000 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 3.61

导入

库: KERNEL32.DLL:
0x41c2f4 LoadLibraryA
0x41c2f8 GetProcAddress
0x41c2fc VirtualProtect
0x41c300 VirtualAlloc
0x41c304 VirtualFree
0x41c308 ExitProcess
库: MSVCRT.dll:
0x41c310 modf
库: SHLWAPI.dll:
0x41c318 PathFindFileNameA
库: USER32.dll:
0x41c320 wsprintfA
.rsrc
KERNEL32.DLL
MSVCRT.dll
SHLWAPI.dll
USER32.dll
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
PathFindFileNameA
wsprintfA
VS_VERSION_INFO
StringFileInfo
080404B0
FileVersion
1.0.0.0
FileDescription
ProductName
ProductVersion
1.0.0.0
CompanyName
LegalCopyright
Comments
VarFileInfo
Translation
没有防病毒引擎扫描信息!

进程树

JCR2.0.exe, PID: 2484, 上一级进程 PID: 2332
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 18.901 seconds )

  • 15.607 Suricata
  • 1.223 VirusTotal
  • 0.736 Static
  • 0.574 peid
  • 0.355 NetworkAnalysis
  • 0.328 TargetInfo
  • 0.045 AnalysisInfo
  • 0.026 BehaviorAnalysis
  • 0.004 Strings
  • 0.003 Memory

Signatures ( 0.16 seconds )

  • 0.024 md_url_bl
  • 0.017 antiav_detectreg
  • 0.016 md_domain_bl
  • 0.009 anomaly_persistence_autorun
  • 0.009 ransomware_files
  • 0.008 infostealer_ftp
  • 0.008 ransomware_extensions
  • 0.007 antiav_detectfile
  • 0.005 infostealer_im
  • 0.004 infostealer_bitcoin
  • 0.003 tinba_behavior
  • 0.003 antianalysis_detectreg
  • 0.003 antivm_vbox_files
  • 0.003 disables_browser_warn
  • 0.003 infostealer_mail
  • 0.002 rat_nanocore
  • 0.002 betabot_behavior
  • 0.002 cerber_behavior
  • 0.002 geodo_banking_trojan
  • 0.002 bot_drive
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.002 md_bad_drop
  • 0.001 api_spamming
  • 0.001 ursnif_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 mimics_extension
  • 0.001 office_security
  • 0.001 ransomware_radamant
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt
  • 0.001 stealth_modify_security_center_warnings

Reporting ( 0.781 seconds )

  • 0.78 ReportHTMLSummary
  • 0.001 Malheur
Task ID 374063
Mongo ID 5d7f5e0c2f8f2e3c61bb5df8
Cuckoo release 1.4-Maldun