魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2021-09-26 12:43:03 2021-09-26 12:43:03 0 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2021-09-26 12:43:03 2021-09-26 12:43:03
魔盾分数

2.75

可疑的

文件详细信息

文件名 Vatione.exe
文件大小 631752 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
CRC32 0D5E504A
MD5 78ff7706fd5a2246a72e3beac4de51f7
SHA1 bd4248a09c8018979137e137287f8a0507e81413
SHA256 42bde8898fad91428d102c2be8ad1fc907e4e73f73d203b6b2039f49e4c5dd04
SHA512 0307ee37a6c605b36ec4884820b4aada4e1112e33060fd760d1777d1f849aac7209635a41dd17c3a8b2a7f8900ea38cebc83ac7bcf7ea66c1f93435b1bcc5b7b
Ssdeep 12288:W4Y27Bce6Ovcw9sSoS9VSz8OEK2YD1bO1o04pYdEabzBshq975nTCneZwK6oSn:VfBce6vwFoS90F72yxO1o04pY2ap28n2
PEiD 无匹配
Yara
  • screenshot (Detected take screenshot function)
  • create_process (Detection function for creating a new process)
  • win_registry (Detected system registries modification function)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • IsPacked (Detected Entropy signature)
  • HasOverlay (Detected Overlay signature)
  • HasDigitalSignature (Detected Digital Signature)
  • HasRichSignature (Detected Rich Signature)
  • with_urls (Detected the presence of an or several urls)
  • UPXv20MarkusLaszloReiser ()
  • UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser ()
  • UPX (Detected UPX. Commonly used by RAT!)
VirusTotal VirusTotal查询失败

特征

二进制文件可能包含加密或压缩数据
section: name: UPX1, entropy: 8.00, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00095600, virtual_size: 0x00096000
魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
Warning: Detected UPX. Commonly used by RAT!
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x000bd000

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x00552830
声明校验值 0x0009e5ae
实际校验值 0x0009e5ae
最低操作系统版本要求 6.0
编译时间 2021-09-26 12:36:19
载入哈希 064f92145b272df1789cd1ca1bf0bbc7

版本信息

LegalCopyright: Copyright (C) Vatione 2021 All Rights Reserved.
FileVersion: 20.21.9.25
CompanyName: Vatione
Comments: Vatione QQ Binding Mobile Phone Number Query.
ProductName: Vatione
ProductVersion: 20.21.9.25
FileDescription: Vatione QQ Binding Mobile Phone Number Query.
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x000bd000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
UPX1 0x000be000 0x00096000 0x00095600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 8.00
.rsrc 0x00154000 0x00003000 0x00002200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.43

导入

库 ADVAPI32.dll:
0x555fac - RegCloseKey
库 COMCTL32.dll:
0x555fb4 - None
库 comdlg32.dll:
0x555fbc - ChooseFontA
库 GDI32.dll:
0x555fc4 - PatBlt
库 KERNEL32.DLL:
0x555fcc - LoadLibraryA
0x555fd0 - ExitProcess
0x555fd4 - GetProcAddress
0x555fd8 - VirtualProtect
库 ole32.dll:
0x555fe0 - OleRun
库 OLEAUT32.dll:
0x555fe8 - RegisterTypeLib
库 SHELL32.dll:
0x555ff0 - ShellExecuteA
库 USER32.dll:
0x555ff8 - GetDC
库 WINMM.dll:
0x556000 - waveOutOpen
库 WINSPOOL.DRV:
0x556008 - ClosePrinter
库 WS2_32.dll:
0x556010 - WSACleanup

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息