魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2019-11-18 19:42:17 2019-11-18 19:42:52 35 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-2 win7-sp1-x64-hpdapp01-2 KVM 2019-11-18 19:42:20 2019-11-18 19:42:53
魔盾分数

2.45

可疑的

文件详细信息

文件名 QMCommon.dll
文件大小 28672 字节
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
CRC32 35ABC13E
MD5 e421e1fc0419df53bc76a5cb11cadf45
SHA1 971ffa9ed3cc10968da085f6598ecfd48c8624f0
SHA256 92febf3e7ac27c5c5ea9225450eb5a73d91a9277f3900d1c3394249124de6a22
SHA512 3195443f396db731876f08ad1e0b0da788ca894feaf5800ac68e9dc98c52fc904655b8f26b3f90d4af91490bfca73f92147ee313e6b50cc6a803d763ced35338
Ssdeep 192:Kk2ovdK1An79Np0c5teN5BXpIjd5qvaZghpUnA:K9+IAqPpIjd5qva+hiA
PEiD 无匹配
Yara
  • create_process (Detection function for creating a new process)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsDLL (Detect a DLL sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • HasRichSignature (Detected Rich Signature)
VirusTotal 无此文件扫描结果

特征

创建RWX内存
魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x10000000
入口地址 0x10001090
声明校验值 0x00000000
实际校验值 0x000073fd
最低操作系统版本要求 4.0
编译时间 2019-11-18 19:41:44
载入哈希 eff31027176294886bac2e7c77e7caa2
导出DLL库名称 \x38\x3767\x31\x31\x31\x31\x31\x34\x31\x31\x31

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000022c7 0x00003000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 5.17
.rdata 0x00004000 0x0000018e 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.65
.data 0x00005000 0x000006b0 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 2.45
.reloc 0x00006000 0x00000192 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.68

导入

库 KERNEL32.dll:
0x10004000 - GetProcessHeap
0x10004004 - ExitProcess
0x10004008 - CloseHandle
0x1000400c - WaitForSingleObject
0x10004010 - CreateProcessA
0x10004014 - GetStartupInfoA
库 USER32.dll:
0x1000401c - wsprintfA
0x10004020 - MessageBoxA

导出

序列 地址 名称
1 0x10001065 QMCommon
2 0x10001059

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令
  • C:\Program Files\Common Files\360safe.exe
创建的服务 无信息
启动的服务 无信息

进程

rundll32.exe PID: 2464, 上一级进程 PID: 2332

访问的文件
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.123.Manifest
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.124.Manifest
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.2.Manifest
  • C:\Windows\SysWOW64\rundll32.exe
读取的文件
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.123.Manifest
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.124.Manifest
  • C:\Users\test\AppData\Local\Temp\QMCommon.dll.2.Manifest
  • C:\Windows\SysWOW64\rundll32.exe
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SideBySide
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\QMCommon.dll
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\QMCommon.dll
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析
  • qmcommon.dll.#1