魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2021-09-22 10:32:31 2021-09-22 10:32:31 0 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2021-09-22 10:32:31 2021-09-22 10:32:31
魔盾分数

1.75

正常的

文件详细信息

文件名 峡谷-独家-无限视距.exe
文件大小 2453504 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
CRC32 8F8313BE
MD5 d405342f48913d1d19508cf2beb9a2ca
SHA1 85dc85bd2389659b5386c7e212c1ca3bc13486cb
SHA256 8290e65b199dcfacdc6978f79829d0dd53ca419fb10bcebe410f212beca87576
SHA512 328f64212fafbab39769e55581cb1b32d8b5cfcdefc6423809ac921607e59199b9c53dfa4d5d3f320c5cc5ab3f4486dbb5d12bae02d7b559d769b270b646e5b2
Ssdeep 49152:qqSBSoFPDubzQJSGW+5qvn63S0a5Vu4ja7G:CBSo96bziP263+5djz
PEiD 无匹配
Yara
  • create_process (Detection function for creating a new process)
  • win_registry (Detected system registries modification function)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • IsPacked (Detected Entropy signature)
  • HasRichSignature (Detected Rich Signature)
VirusTotal VirusTotal查询失败

特征

二进制文件可能包含加密或压缩数据
section: name: .hd1, entropy: 7.99, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x00244000, virtual_size: 0x00243780
魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x0074f823
声明校验值 0x00000000
实际校验值 0x00259725
最低操作系统版本要求 5.0
编译时间 2021-09-21 19:16:25
载入哈希 4f8391d50c372b7c1b50bcaa17a09bf5
导出DLL库名称 \x37\x39\x31

版本信息

LegalCopyright: \u4f5c\u8005\u7248\u6743\u6240\u6709 \u8bf7\u5c0a\u91cd\u5e76\u4f7f\u7528\u6b63\u7248
FileVersion: 1.0.0.0
Comments: \u672c\u7a0b\u5e8f\u4f7f\u7528\u6613\u8bed\u8a00\u7f16\u5199(http://www.eyuyan.com)
ProductName: \u6613\u8bed\u8a00\u7a0b\u5e8f
ProductVersion: 1.0.0.0
FileDescription: \u6613\u8bed\u8a00\u7a0b\u5e8f
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0008468e 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x00086000 0x0002a23a 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x000b1000 0x0003a0ea 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.hd0 0x000ec000 0x001f2560 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.hd1 0x002df000 0x00243780 0x00244000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.99
.rsrc 0x00523000 0x0001128d 0x00012000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.44

导入

库 WINMM.dll:
0x911000 - midiStreamOut
库 WS2_32.dll:
0x911008 - WSAAsyncSelect
库 KERNEL32.dll:
0x911010 - GetVersion
0x911014 - GetVersionExA
库 USER32.dll:
0x91101c - IsIconic
库 GDI32.dll:
0x911024 - GetViewportExtEx
库 WINSPOOL.DRV:
0x91102c - OpenPrinterA
库 ADVAPI32.dll:
0x911034 - RegOpenKeyExA
库 SHELL32.dll:
0x91103c - ShellExecuteA
库 ole32.dll:
0x911044 - CLSIDFromString
库 OLEAUT32.dll:
0x91104c - LoadTypeLib
库 COMCTL32.dll:
0x911054 - None
库 comdlg32.dll:
0x91105c - ChooseColorA
库 WTSAPI32.dll:
0x911064 - WTSSendMessageW
库 KERNEL32.dll:
0x91106c - GetCurrentProcess
库 USER32.dll:
0x911074 - CharUpperBuffW
库 ADVAPI32.dll:
0x91107c - RegQueryValueExA
库 KERNEL32.dll:
0x911084 - LocalAlloc
0x911088 - GetCurrentProcess
0x91108c - GetCurrentThread
0x911090 - LocalFree
0x911094 - GetModuleFileNameW
0x911098 - GetProcessAffinityMask
0x91109c - SetProcessAffinityMask
0x9110a0 - SetThreadAffinityMask
0x9110a4 - Sleep
0x9110a8 - ExitProcess
0x9110ac - GetLastError
0x9110b0 - FreeLibrary
0x9110b4 - LoadLibraryA
0x9110b8 - GetModuleHandleA
0x9110bc - GetProcAddress
库 ADVAPI32.dll:
0x9110c4 - OpenSCManagerW
0x9110c8 - EnumServicesStatusExW
0x9110cc - OpenServiceW
0x9110d0 - QueryServiceConfigW
0x9110d4 - CloseServiceHandle

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息