魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2022-01-29 15:44:57 2022-01-29 15:44:59 2 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2022-01-29 15:44:58 2022-01-29 15:44:59
魔盾分数

2.4

可疑的

文件详细信息

文件名 支付宝集福工具.exe
文件大小 17351168 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
CRC32 13578A63
MD5 dffe6e34209cb19ebe720c457a06edd6
SHA1 5851b96dd37e24799a1eaf17778beb322d714a8b
SHA256 9ec7316691b56ba703c70b624c6ef4cde47c14a881b4607fddf4a30a3234f01d
SHA512 5a45653f9d1ac1b893c629604e0aa3dd32922c3b1824cea6e6c2f44b7aceb73c8b115772862dc47e12a594095186361cea8aa782f9a0594b939c562282d8b2d5
Ssdeep 393216:34bE4rgyzGhTN9T7YtJXeeZyCefHFSSLyZHH:34b9R4j/SJXIdxyZHH
PEiD 无匹配
Yara
  • screenshot (Detected take screenshot function)
  • create_process (Detection function for creating a new process)
  • win_registry (Detected system registries modification function)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • IsPacked (Detected Entropy signature)
  • HasRichSignature (Detected Rich Signature)
  • with_urls (Detected the presence of an or several urls)
  • UPXv20MarkusLaszloReiser ()
  • UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser ()
  • UPX (Detected UPX. Commonly used by RAT!)
VirusTotal VirusTotal查询失败

特征

魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
Warning: Detected UPX. Commonly used by RAT!
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x005e1000

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x01a55930
声明校验值 0x00000000
实际校验值 0x0108dd85
最低操作系统版本要求 4.0
编译时间 2017-01-22 23:33:31
载入哈希 b3eaedec011bf17685f809a078c26d6b

版本信息

LegalCopyright: \u652f\u4ed8\u5b9d\u96c6\u798f\u5de5\u5177
FileVersion: 1.0.0.0
CompanyName: \u652f\u4ed8\u5b9d\u96c6\u798f\u5de5\u5177
Comments: \u652f\u4ed8\u5b9d\u96c6\u798f\u5de5\u5177
ProductName: \u652f\u4ed8\u5b9d\u96c6\u798f\u5de5\u5177
ProductVersion: 1.0.0.0
FileDescription: \u652f\u4ed8\u5b9d\u96c6\u798f\u5de5\u5177
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
UPX0 0x00001000 0x005e1000 0x00000000 IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.rsrc 0x01656000 0x00019000 0x00018200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 6.22

导入

库 KERNEL32.DLL:
0x1a6df90 - LoadLibraryA
0x1a6df94 - GetProcAddress
0x1a6df98 - VirtualProtect
0x1a6df9c - VirtualAlloc
0x1a6dfa0 - VirtualFree
0x1a6dfa4 - ExitProcess
库 advapi32.dll:
0x1a6dfac - RegCloseKey
库 COMCTL32.dll:
0x1a6dfb4 - None
库 comdlg32.dll:
0x1a6dfbc - ChooseColorA
库 gdi32.dll:
0x1a6dfc4 - SaveDC
库 gdiplus.dll:
0x1a6dfcc - GdipDeletePen
库 imm32.dll:
0x1a6dfd4 - ImmGetContext
库 ole32.dll:
0x1a6dfdc - OleInitialize
库 OLEAUT32.dll:
0x1a6dfe4 - LoadTypeLib
库 shell32.dll:
0x1a6dfec - ShellExecuteA
库 shlwapi.dll:
0x1a6dff4 - PathFileExistsA
库 USER32.dll:
0x1a6dffc - GetDC
库 winmm.dll:
0x1a6e004 - PlaySoundA
库 winspool.drv:
0x1a6e00c - OpenPrinterA
库 WS2_32.dll:
0x1a6e014 - accept

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

无信息
访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息