魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2021-06-18 16:47:28 | 2021-06-18 16:47:28 | 0 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2021-06-18 16:47:28 | 2021-06-18 16:47:28 |
| 魔盾分数 |
|---|
2.75可疑的 |
文件详细信息
| 文件名 | cjlnkciii.exe |
|---|---|
| 文件大小 | 308736 字节 |
| 文件类型 | PE32 executable (console) Intel 80386, for MS Windows |
| CRC32 | C896CF44 |
| MD5 | 3ff0e5e21d022aaf3c3d18e4791f5f2b |
| SHA1 | 97506543f2ce3dd5d80bb0ba67dd946d04d6f673 |
| SHA256 | d49bca5ecf4b5488e48e6d33edc850f3810d9b24eb6808446e224683061589c3 |
| SHA512 | 2e227401bc25b0c5050863ee12b1e53fb85b944aec266a38fa2df28237d636cb90afc4622a567704cd0e09cc22927d074995d9e242c0871246bb24a2ef15a440 |
| Ssdeep | 6144:27505SMg/jU/tzdzd47pZP8NTsZVCsBX/DtWaBqLGMJaMIL/pNQjI:K50sF7IdB47UsZVCWX/4aGGMCYjI |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.96, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0004b000, virtual_size: 0x0004af68
魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE', 'virtual_address': '0x00013000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x0002e836', 'characteristics_raw': '0xe0000060'}
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x0044b4fa |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x0005a1e8 |
| 最低操作系统版本要求 | 1.0 |
| 编译时间 | 1992-06-20 06:22:17 |
| 载入哈希 | b07b9909f941ecd69e95c541b57355bf |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| CODE | 0x00001000 | 0x0000c97c | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| DATA | 0x0000e000 | 0x00000440 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| BSS | 0x0000f000 | 0x000006d5 | 0x00000000 | IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .idata | 0x00010000 | 0x00000a0a | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .tls | 0x00011000 | 0x0000000c | 0x00000000 | IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .rdata | 0x00012000 | 0x00000018 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ | 0.00 |
| .vmp0 | 0x00013000 | 0x0002e836 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .vmp1 | 0x00042000 | 0x0004af68 | 0x0004b000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.96 |
| .rsrc | 0x0008d000 | 0x00000fcc | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_SHARED|IMAGE_SCN_MEM_READ | 2.59 |
资源
| 名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
|---|---|---|---|---|---|---|
| RT_RCDATA | 0x0008defc | 0x000000d0 | LANG_NEUTRAL | SUBLANG_NEUTRAL | 0.00 | None |
| RT_RCDATA | 0x0008defc | 0x000000d0 | LANG_NEUTRAL | SUBLANG_NEUTRAL | 0.00 | None |
导入
库 kernel32.dll:
• 0x44e000 - GetVersionExA
• 0x44e004 - FreeLibrary
库 user32.dll:
• 0x44e00c - DestroyWindow
库 advapi32.dll:
• 0x44e014 - RegOpenKeyExA
库 oleaut32.dll:
• 0x44e01c - VariantCopyInd
库 shell32.dll:
• 0x44e024 - ShellExecuteA
库 wsock32.dll:
• 0x44e02c - ntohs
库 kernel32.dll:
• 0x44e034 - GetModuleFileNameW
库 kernel32.dll:
• 0x44e03c - GetModuleHandleA
• 0x44e040 - LoadLibraryA
• 0x44e044 - LocalAlloc
• 0x44e048 - LocalFree
• 0x44e04c - GetModuleFileNameA
• 0x44e050 - ExitProcess
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息