魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2019-11-18 16:21:46 2019-11-18 16:22:09 23 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-1 win7-sp1-x64-hpdapp01-1 KVM 2019-11-18 16:21:49 2019-11-18 16:22:10
魔盾分数

9.8

恶意的

文件详细信息

文件名 二维码制作工具 v1.0.exe
文件大小 63488 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
CRC32 EA2414A2
MD5 ab31762fce6225a87288d36ef373301f
SHA1 fdc7b88c727591a7404c1b01ffaf6c2c2ce8a16e
SHA256 4a6d93d362401500032d54712e7332c04ee6476e98d021e6bcf6c6ecc95fc633
SHA512 89717c9e08901c4d66252d68444e2baf43f4c9df592d03fffec8728fe7b0a6496414d296f67b4ef16e86b90cdc53212b59344187a7d593f0f95f8337f32e2c3a
Ssdeep 1536:0y7Otz4mOE2dRXQ1EQmFWdtFCvDgUP1aJ:0yOz4BXzQKQm4Y7PgJ
PEiD 无匹配
Yara
  • screenshot (Detected take screenshot function)
  • with_images (Detected the presence of an or several images)
  • UPX (Detected UPX. Commonly used by RAT!)
  • UPXv20MarkusLaszloReiser ()
  • UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser ()
  • UPX290LZMAMarkusOberhumerLaszloMolnarJohnReiser ()
  • upx_1_00_to_1_07 (UPX 1.00 to 1.07)
  • upx_3 (UPX 3.X)
  • IsPE32 (Detected a 32bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • IsPacked (Detected Entropy signature)
  • HasRichSignature (Detected Rich Signature)
VirusTotal VirusTotal链接
VirusTotal扫描时间: 2013-05-27 04:29:02
扫描结果: 2/47

特征

魔盾安全Yara检测结果 - 普通
Warning: Detected UPX. Commonly used by RAT!
二进制文件可能包含加密或压缩数据
section: name: UPX1, entropy: 7.89, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00009400, virtual_size: 0x0000a000
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x00015000
文件已被至少一个VirusTotal上的反病毒引擎检测为病毒
TheHacker: Posible_Worm32
Symantec: WS.Reputation.1
检测到样本尝试模糊或欺骗文件类型

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x0041f0f0
声明校验值 0x00000000
实际校验值 0x0000fbad
最低操作系统版本要求 4.0
编译时间 2013-01-15 20:30:13
载入哈希 6d2b631b828db666e156aedfb11142ff

版本信息

LegalCopyright: TODO: (c) <Company name>. All rights reserved.
InternalName: QR Code.exe
FileVersion: 1.0.0.1
CompanyName: TODO: <Company name>
ProductName: TODO: <Product name>
ProductVersion: 1.0.0.1
FileDescription: TODO: <File description>
OriginalFilename: QR Code.exe
Translation: 0x0409 0x04e4

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x00015000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x00016000 0x0000a000 0x00009400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.89
.rsrc 0x00020000 0x00006000 0x00006000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.12

导入

库 KERNEL32.DLL:
0x425e2c - LoadLibraryA
0x425e30 - GetProcAddress
0x425e34 - VirtualProtect
0x425e38 - ExitProcess
库 COMCTL32.dll:
0x425e40 - InitCommonControlsEx
库 GDI32.dll:
0x425e48 - BitBlt
库 MFC80.DLL:
0x425e50 - None
库 MSVCP80.dll:
0x425e58 - ??1?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@XZ
库 MSVCR80.dll:
0x425e60 - exit
库 USER32.dll:
0x425e68 - GetDC

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息