魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2021-04-22 03:07:16 | 2021-04-22 03:09:23 | 127 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp03-1 | win7-sp1-x64-shaapp03-1 | KVM | 2021-04-22 03:07:17 | 2021-04-22 03:09:25 |
| 魔盾分数 |
|---|
1.95正常的 |
文件详细信息
| 文件名 | ti_agent.exe |
|---|---|
| 文件大小 | 3659248 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| CRC32 | EA84DF2C |
| MD5 | dac2b9a529ab3fe4c5530e277f5cb567 |
| SHA1 | abcafc5065f5e8001b7d58f5d32be1b55a50c68a |
| SHA256 | a0f601e564eaed7c8d88be5e04207e56cf5f2ddb7551694e4ef817c9c2db8856 |
| SHA512 | e386009a942412d98019d69361bfb1c814ab3a68d1ff1d3496e8c729d8e3a49a2006747d61def6516f2ca5ffa0f7f7220684856f1ce9fde2279d97698ce03832 |
| Ssdeep | 98304:qQGRdD1gSH8odUztalbyYbvhm5loBpenRtfxNDrq:W7rH8eUzgJyeJNBpenP2 |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
创建RWX内存
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .data, entropy: 8.00, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00365c00, virtual_size: 0x00365fc8
检测到网络活动但没有显示在API日志中
ip: 23.211.14.171
domain: acroipm.adobe.com
运行截图
网络分析
域名解析
| 域名 | 响应 |
|---|---|
| acroipm.adobe.com |
CNAME acroipm.adobe.com.edgesuite.net
CNAME a1983.dscd.akamai.net A 23.211.14.171 A 23.211.14.185 |
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.211.14.185 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x140002e20 |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x0037e4d9 |
| 最低操作系统版本要求 | 6.0 |
| 编译时间 | 2021-04-19 17:59:28 |
| 载入哈希 | 0ad1b1e3ac1c3e91f8bf85d4ab03f164 |
| 图标 |  |
| 图标精确哈希值 | af4e8935d4d9be5619171333e0e5e594 |
| 图标相似性哈希值 | 352504e08c56e957cb6622d1b50243d0 |
版本信息
| LegalCopyright: | Copyright (C) 1999-2021 Tencent. All Rights Reserved |
| FileVersion: | 9.4.5.27743 |
| CompanyName: | Tencent |
| ProductName: | \xe8\xe8QQ |
| ProductVersion: | 9.4.5.27743 |
| FileDescription: | \xe8\xe8QQ |
| Translation: | 0x0804 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00002602 | 0x00002800 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.20 |
| .rdata | 0x00004000 | 0x000004b4 | 0x00000600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 3.19 |
| .data | 0x00005000 | 0x00365fc8 | 0x00365c00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 8.00 |
| .pdata | 0x0036b000 | 0x00000090 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 1.25 |
| .rsrc | 0x0036c000 | 0x00010c98 | 0x00010e00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 2.98 |
| .reloc | 0x0037d000 | 0x00000018 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 0.29 |
覆盖
| 偏移量: | 0x0037a000 |
| 大小: | 0x000035f0 |
资源
| 名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
|---|---|---|---|---|---|---|
| AFX_DIALOG_LAYOUT | 0x0036c1e0 | 0x00000002 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | data |
| RT_ICON | 0x0036c1e8 | 0x00010828 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 2.96 | dBase III DBT, version number 0, next free block index 40 |
| RT_DIALOG | 0x0036c1a0 | 0x00000040 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 2.37 | data |
| RT_GROUP_ICON | 0x0037ca10 | 0x00000014 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 1.98 | MS Windows icon resource - 1 icon, 128x128 |
| RT_VERSION | 0x0037ca28 | 0x00000270 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.55 | data |
导入
库 KERNEL32.dll:
• 0x140004010 - WaitForSingleObject
• 0x140004018 - HeapCreate
• 0x140004020 - GetModuleHandleW
• 0x140004028 - CreateEventW
• 0x140004030 - TerminateProcess
• 0x140004038 - GetCurrentProcess
• 0x140004040 - SetUnhandledExceptionFilter
• 0x140004048 - HeapAlloc
• 0x140004050 - HeapDestroy
• 0x140004058 - RtlCaptureContext
• 0x140004060 - RtlLookupFunctionEntry
• 0x140004068 - RtlVirtualUnwind
• 0x140004070 - UnhandledExceptionFilter
• 0x140004078 - IsProcessorFeaturePresent
库 USER32.dll:
• 0x140004088 - DialogBoxParamW
库 COMCTL32.dll:
• 0x140004000 - None
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
ti_agent.exe PID: 2512, 上一级进程 PID: 2172
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
读取的注册表键
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息