魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2023-06-07 21:14:08 | 2023-06-07 21:16:18 | 130 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-2 | win7-sp1-x64-shaapp02-2 | KVM | 2023-06-07 21:14:09 | 2023-06-07 21:16:19 |
| 魔盾分数 |
|---|
10.0恶意的 |
文件详细信息
| 文件名 | 测试.vmp.exe |
|---|---|
| 文件大小 | 6717440 字节 |
| 文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
| CRC32 | 50D691F2 |
| MD5 | 000f98ec2c41f9e2801c88b97bf9e0d6 |
| SHA1 | 0f32e9be77595e9ae5e3f025fec89f6e716d9c45 |
| SHA256 | acf4d760acd2eb4e55d7cf700fd9fe06c211b0e4f74c5145c5afe27831131d24 |
| SHA512 | 747ed72bb7fdd284c1ef51011262ee1f86de5a00a17d36da40ec42e27d3be6edff793d31ad9e16d44039c120064c380d2e7a8a5bb963096e13ae5b585f3e766b |
| Ssdeep | 196608:0KVoGVFqDdU4K5N0lA7/5SGdXVPEOcbi79Cd:0KVRV4nK5N0lA7RrXdE8Cd |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
创建RWX内存
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.96, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x00665000, virtual_size: 0x00664540
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', 'virtual_address': '0x0017c000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x003f752d', 'characteristics_raw': '0x60000060'}
尝试阻止沙箱线程以防止恶意行为被记录
检测到样本尝试模糊或欺骗文件类型
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.219.38.64 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x00f56c95 |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x00670f18 |
| 最低操作系统版本要求 | 5.0 |
| 编译时间 | 2023-06-07 21:03:15 |
| 载入哈希 | 69f0aa63c36a3d4ed5a5360da6b0a23a |
版本信息
| LegalCopyright: | \u4f5c\u8005\u7248\u6743\u6240\u6709 \u8bf7\u5c0a\u91cd\u5e76\u4f7f\u7528\u6b63\u7248 |
| FileVersion: | 1.0.0.0 |
| Comments: | \u672c\u7a0b\u5e8f\u4f7f\u7528\u6613\u8bed\u8a00\u7f16\u5199(http://www.eyuyan.com) |
| ProductName: | \u6613\u8bed\u8a00\u7a0b\u5e8f |
| ProductVersion: | 1.0.0.0 |
| FileDescription: | \u6613\u8bed\u8a00\u7a0b\u5e8f |
| Translation: | 0x0804 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x000ecd2a | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .rdata | 0x000ee000 | 0x0001e8ca | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x0010d000 | 0x0006e3ea | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .vmp0 | 0x0017c000 | 0x003f752d | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .vmp1 | 0x00574000 | 0x00664540 | 0x00665000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.96 |
| .rsrc | 0x00bd9000 | 0x00001559 | 0x00002000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 2.91 |
导入
库 kernel32.dll:
• 0xee4000 - GetVersion
• 0xee4004 - GetVersionExA
库 user32.dll:
• 0xee400c - ModifyMenuA
库 advapi32.dll:
• 0xee4014 - RegOpenKeyExA
库 gdi32.dll:
• 0xee401c - ScaleWindowExtEx
库 winspool.drv:
• 0xee4024 - DocumentPropertiesA
库 comctl32.dll:
• 0xee402c - None
库 shlwapi.dll:
• 0xee4034 - PathFileExistsA
库 WINMM.dll:
• 0xee403c - waveOutClose
库 WS2_32.dll:
• 0xee4044 - getpeername
库 VERSION.dll:
• 0xee404c - GetFileVersionInfoA
库 kernel32.dll:
• 0xee4054 - GetVersion
• 0xee4058 - GetVersionExA
库 user32.dll:
• 0xee4060 - DestroyCursor
库 gdi32.dll:
• 0xee4068 - LineTo
库 winspool.drv:
• 0xee4070 - ClosePrinter
库 advapi32.dll:
• 0xee4078 - RegCloseKey
库 SHELL32.dll:
• 0xee4080 - SHGetSpecialFolderPathA
库 ole32.dll:
• 0xee4088 - OleUninitialize
库 OLEAUT32.dll:
• 0xee4090 - UnRegisterTypeLib
库 comctl32.dll:
• 0xee4098 - ImageList_Destroy
库 comdlg32.dll:
• 0xee40a0 - GetFileTitleA
库 WTSAPI32.dll:
• 0xee40a8 - WTSSendMessageW
库 kernel32.dll:
• 0xee40b0 - VirtualQuery
库 user32.dll:
• 0xee40b8 - GetProcessWindowStation
库 kernel32.dll:
• 0xee40c0 - LocalAlloc
• 0xee40c4 - LocalFree
• 0xee40c8 - GetModuleFileNameW
• 0xee40cc - GetProcessAffinityMask
• 0xee40d0 - SetProcessAffinityMask
• 0xee40d4 - SetThreadAffinityMask
• 0xee40d8 - Sleep
• 0xee40dc - ExitProcess
• 0xee40e0 - FreeLibrary
• 0xee40e4 - LoadLibraryA
• 0xee40e8 - GetModuleHandleA
• 0xee40ec - GetProcAddress
库 user32.dll:
• 0xee40f4 - GetProcessWindowStation
• 0xee40f8 - GetUserObjectInformationW
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
______.vmp.exe PID: 2656, 上一级进程 PID: 2332
访问的文件
- C:\Windows\Globalization\Sorting\sortdefault.nls
读取的文件
- C:\Windows\Globalization\Sorting\sortdefault.nls
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
- kernel32.dll.FlsAlloc
- kernel32.dll.FlsGetValue
- kernel32.dll.FlsSetValue
- kernel32.dll.FlsFree
- kernel32.dll.IsProcessorFeaturePresent
- cryptbase.dll.SystemFunction036
- kernel32.dll.SortGetHandle
- kernel32.dll.SortCloseHandle
- kernel32.dll.VirtualProtectEx