魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2020-09-25 19:53:55 2020-09-25 19:53:57 2 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2020-09-25 19:53:57 2020-09-25 19:53:57
魔盾分数

3.2

可疑的

文件详细信息

文件名 狗哥专属.exe
文件大小 18239488 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
CRC32 EC62D0B4
MD5 f76bd8fe9e083558b0d1e059fe9d3cd9
SHA1 64e780e38ad3362d10d05e42a9f2616b3497c0f9
SHA256 5615cea012308253a0f7ddb7a98621a5e17938b82368a6cd44fbaa4ecf140a60
SHA512 af87a96878e0088e415624b3084124e8599d98ea1819e8308c6da6aa503d4305f67ab383b02ab7a4c485b0f431065979d55f7877b7fde753a6d6fe5f228552ef
Ssdeep 393216:NhjZacg7tnvgsS7PKGCrCEhDB3A76frKk9zOf1lTP:NhN8nvU7ithDB30YOtlTP
PEiD 无匹配
Yara
  • create_process (Detection function for creating a new process)
  • win_registry (Detected system registries modification function)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsConsole (Detected a console program sample)
  • IsPacked (Detected Entropy signature)
VirusTotal VirusTotal查询失败

特征

魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', 'virtual_address': '0x00cf9000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x0031b747', 'characteristics_raw': '0x60000060'}
异常的二进制特征
anomaly: Entrypoint of binary is located outside of any mapped sections

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x021841b6
声明校验值 0x00000000
实际校验值 0x01168036
最低操作系统版本要求 5.0
编译时间 2020-09-25 19:10:32
载入哈希 41307e5abe57c3213f9768ad7dd8186e

版本信息

LegalCopyright: by\uff1a\u72d7\u54e5 \u4fb5\u6743\u5fc5\u5220\u3002
FileVersion: 1.0.0.0
CompanyName: \u72d7\u54e5
Comments: \u514d\u8d39
ProductName: \u514d\u8d39
ProductVersion: 1.0.0.0
FileDescription: \u514d\u8d39
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0007aa56 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.rdata 0x0007c000 0x00c51f04 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x00cce000 0x0002aaa8 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.vmp0 0x00cf9000 0x0031b747 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rsrc 0x02177000 0x00001a95 0x00002000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.84

导入

库 KERNEL32.dll:
0x1527000 - GetVersionExA
0x1527004 - GetVersion
库 USER32.dll:
0x152700c - RegisterClassA
库 GDI32.dll:
0x1527014 - SelectClipRgn
库 WINMM.dll:
0x152701c - midiStreamRestart
库 WINSPOOL.DRV:
0x1527024 - ClosePrinter
库 ADVAPI32.dll:
0x152702c - RegCloseKey
库 SHELL32.dll:
0x1527034 - ShellExecuteA
库 ole32.dll:
0x152703c - OleInitialize
库 OLEAUT32.dll:
0x1527044 - UnRegisterTypeLib
库 COMCTL32.dll:
0x152704c - ImageList_Destroy
库 WS2_32.dll:
0x1527054 - recvfrom
库 comdlg32.dll:
0x152705c - GetFileTitleA
库 WTSAPI32.dll:
0x1527064 - WTSSendMessageW
库 KERNEL32.dll:
0x152706c - VirtualQuery
库 USER32.dll:
0x1527074 - GetProcessWindowStation
库 KERNEL32.dll:
0x152707c - LocalAlloc
0x1527080 - LocalFree
0x1527084 - GetModuleFileNameW
0x1527088 - GetProcessAffinityMask
0x152708c - SetProcessAffinityMask
0x1527090 - SetThreadAffinityMask
0x1527094 - Sleep
0x1527098 - ExitProcess
0x152709c - FreeLibrary
0x15270a0 - LoadLibraryA
0x15270a4 - GetModuleHandleA
0x15270a8 - GetProcAddress
库 USER32.dll:
0x15270b0 - GetProcessWindowStation
0x15270b4 - GetUserObjectInformationW

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息