魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2023-01-26 18:28:50 2023-01-26 18:29:44 54 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp03-1 win7-sp1-x64-shaapp03-1 KVM 2023-01-26 18:28:51 2023-01-26 18:29:46
魔盾分数

10.0

恶意的

文件详细信息

文件名 迅雷PE提取版.zip
文件大小 91000 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
CRC32 2B576310
MD5 3a03e08fc9e1a333258afdac3b90d42a
SHA1 0d5a8c970aa8e92cb61e378f01133e0ad32d190c
SHA256 ec563056b29f30581dad4be970048f38d0ff00f60b5a47556df5f492888c4f84
SHA512 6f4b086c3c3435f7f6de97e09260ca4938c67138de7b65f3de4083c593eba3d4fff8ea0db3b2c36f1b2eab966c49da8305fa2475fd5887deb2534300546df001
Ssdeep 1536:HoSNWYDU659NscS1a81p3XJS7u61JJgUWC9dTqVEprtfx8QLfX9nfeuXHlwF99pD:x0yPmuXOB2I9imF7oOdAcmjSonN0
PEiD 无匹配
Yara
  • with_urls (Detected the presence of an or several urls)
  • IsPE32 (Detected a 32bit PE sample)
  • IsConsole (Detected a console program sample)
  • HasOverlay (Detected Overlay signature)
  • HasDigitalSignature (Detected Digital Signature)
  • HasDebugData (Detected Debug Data)
  • HasRichSignature (Detected Rich Signature)
  • DebuggerTiming__PerformanceCounter ()
  • DebuggerTiming__Ticks (Detected timing ticks function)
  • anti_dbg (Detected self protection if being debugged)
  • win_mutex (Create or check mutex)
  • create_process (Detection function for creating a new process)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
VirusTotal VirusTotal链接
VirusTotal扫描时间: 2019-09-22 08:02:51
扫描结果: 0/68

特征

魔盾wping.org IP地址信誉系统
Greylist: 104.208.16.93
魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
检测到样本尝试模糊或欺骗文件类型

运行截图

网络分析

访问主机记录

直接访问 IP地址 国家名
104.208.16.93 United States

域名解析

域名 响应
watson.microsoft.com A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP连接

IP地址 端口
23.200.74.26 80

UDP连接

IP地址 端口
192.168.122.1 53
192.168.122.1 53

HTTP请求

URL HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

静态分析

投放文件

DownloadSDKServer.exe

文件名 DownloadSDKServer.exe
相关文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\DownloadSDKServer.exe
文件大小 91000 bytes
文件类型 PE32 executable (console) Intel 80386, for MS Windows
MD5 3a03e08fc9e1a333258afdac3b90d42a
SHA1 0d5a8c970aa8e92cb61e378f01133e0ad32d190c
SHA256 ec563056b29f30581dad4be970048f38d0ff00f60b5a47556df5f492888c4f84
SHA512 6f4b086c3c3435f7f6de97e09260ca4938c67138de7b65f3de4083c593eba3d4fff8ea0db3b2c36f1b2eab966c49da8305fa2475fd5887deb2534300546df001
Ssdeep 1536:HoSNWYDU659NscS1a81p3XJS7u61JJgUWC9dTqVEprtfx8QLfX9nfeuXHlwF99pD:x0yPmuXOB2I9imF7oOdAcmjSonN0
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

cmd.exe PID: 2728, 上一级进程 PID: 2268

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息