魔盾安全分析报告

分析类型	开始时间	结束时间	持续时间	分析引擎版本
FILE	2024-04-26 09:38:53	2024-04-26 09:39:31	38 秒	1.4-Maldun

虚拟机机器名	标签	虚拟机管理	开机时间	关机时间
win7-sp1-x64-shaapp02-1	win7-sp1-x64-shaapp02-1	KVM	2024-04-26 09:38:56	2024-04-26 09:39:33

魔盾分数
2.2 可疑的

文件详细信息

文件名	2.exe
文件大小	16882176 字节
文件类型	PE32+ executable (GUI) x86-64, for MS Windows
CRC32	F028CA14
MD5	ebf0533fd683b5525920bb4d48777527
SHA1	7191300e170ec2b4d96cd4a3a7d4edc29af6c635
SHA256	54d3b6c95136f8bfad966584220c11c2f69e54d30a93ad54bff38d01089999df
SHA512	beb33076b2c802d6e527f27e066e18aa0cb07a077b2f54593c07dd257f15a2c244e89e6582e518400e747f35d7cdb2df8f1eb2061818e1ef07ffdde153317b0d
Ssdeep	393216:EF/BxgwMS0FIajxVKpeyjWmFN3RPmWQhrhgvZxt2:I/HxMS0hVKpe/mPQWQh2vZz2
PEiD	无匹配
Yara	create_process (Detection function for creating a new process) Proprietary_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files) IsPE64 (Detected a 64bit PE sample) IsWindowsGUI (Detected a Windows GUI sample) IsPacked (Detected Entropy signature)
VirusTotal	VirusTotal查询失败

特征

专有的Yara规则检测结果 - 安全告警

Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files

异常的二进制特征

anomaly: Entrypoint of binary is located outside of any mapped sections

运行截图

无运行截图

网络分析

TCP连接

IP地址	端口
184.29.57.226	80

UDP连接

IP地址	端口
192.168.122.1	53

HTTP请求

URL	HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

静态分析

PE 信息

初始地址	0x140000000
入口地址	0x1419ed232
声明校验值	0x00000000
实际校验值	0x0101cef6
最低操作系统版本要求	6.0
编译时间	2024-04-22 15:24:07
载入哈希	194de925f2ef428157aba30bd36dbb7b

PE数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x00275035	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.rdata	0x00277000	0x0015360c	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.data	0x003cb000	0x00020090	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.pdata	0x003ec000	0x0001e264	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.data0	0x0040b000	0x009c7f78	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.data1	0x00dd3000	0x00001a48	0x00001c00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.24
.rsrc	0x01ddc000	0x000116fd	0x00011800	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	6.72

导入

库 KERNEL32.dll:

• 0x140dd3000 - DuplicateHandle

库 MSVCP140.dll:

• 0x140dd3010 - ?_Random_device@std@@YAIXZ

库 VCRUNTIME140_1.dll:

• 0x140dd3020 - __CxxFrameHandler4

库 VCRUNTIME140.dll:

• 0x140dd3030 - __std_terminate

库 api-ms-win-crt-runtime-l1-1-0.dll:

• 0x140dd3040 - _register_onexit_function

库 api-ms-win-crt-string-l1-1-0.dll:

• 0x140dd3050 - strncmp

库 api-ms-win-crt-heap-l1-1-0.dll:

• 0x140dd3060 - calloc

库 api-ms-win-crt-convert-l1-1-0.dll:

• 0x140dd3070 - strtoll

库 api-ms-win-crt-utility-l1-1-0.dll:

• 0x140dd3080 - rand

库 api-ms-win-crt-math-l1-1-0.dll:

• 0x140dd3090 - _dclass

库 api-ms-win-crt-stdio-l1-1-0.dll:

• 0x140dd30a0 - _set_fmode

库 api-ms-win-crt-locale-l1-1-0.dll:

• 0x140dd30b0 - _configthreadlocale

库 api-ms-win-crt-time-l1-1-0.dll:

• 0x140dd30c0 - _mktime64

库 IMM32.dll:

• 0x140dd30d0 - ImmGetContext

库 USER32.dll:

• 0x140dd30e0 - CharNextW

库 GDI32.dll:

• 0x140dd30f0 - DeleteDC

库 ADVAPI32.dll:

• 0x140dd3100 - RegSetValueExW

库 SHELL32.dll:

• 0x140dd3110 - ShellExecuteW

库 ole32.dll:

• 0x140dd3120 - OleInitialize

库 OLEAUT32.dll:

• 0x140dd3130 - VariantInit

库 SHLWAPI.dll:

• 0x140dd3140 - StrToIntExW

库 MSIMG32.dll:

• 0x140dd3150 - GradientFill

库 api-ms-win-crt-filesystem-l1-1-0.dll:

• 0x140dd3160 - _stat64i32

库 WS2_32.dll:

• 0x140dd3170 - WSAStartup

库 CRYPT32.dll:

• 0x140dd3180 - CertFreeCertificateContext

库 bcrypt.dll:

• 0x140dd3190 - BCryptGenRandom

库 WINMM.dll:

• 0x140dd31a0 - timeGetDevCaps

库 api-ms-win-crt-multibyte-l1-1-0.dll:

• 0x140dd31b0 - _ismbcspace

库 api-ms-win-crt-environment-l1-1-0.dll:

• 0x140dd31c0 - getenv

库 KERNEL32.dll:

• 0x140dd31d0 - GetSystemTimeAsFileTime

库 KERNEL32.dll:

• 0x140dd31e0 - HeapAlloc

• 0x140dd31e8 - HeapFree

• 0x140dd31f0 - ExitProcess

• 0x140dd31f8 - LoadLibraryA

• 0x140dd3200 - GetModuleHandleA

• 0x140dd3208 - GetProcAddress

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息

执行的命令 无信息

创建的服务 无信息

启动的服务 无信息

进程

无信息

访问的文件 无信息

读取的文件 无信息

修改的文件 无信息

删除的文件 无信息

注册表键 无信息

读取的注册表键 无信息

修改的注册表键 无信息

删除的注册表键 无信息

API解析 无信息

魔盾安全分析报告

2.2

可疑的

文件详细信息

特征

运行截图

网络分析

TCP连接

UDP连接

HTTP请求

静态分析

PE 信息

PE数据组成

导入

投放文件

行为分析

进程