魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2019-06-25 23:33:52 2019-06-25 23:36:13 141 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-1 win7-sp1-x64-hpdapp01-1 KVM 2019-06-25 23:33:58 2019-06-25 23:36:15
魔盾分数

2.17

可疑的

文件详细信息

文件名 Mopzip小助手.rar
文件大小 2721258 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
CRC32 82385C09
MD5 b61ffb05df33a1335ca7b9f85fd7e94d
SHA1 4a82590cc5ce7fbf9c5d6222dad998b25ca49932
SHA256 a78d3902b364502f40a6e144257c611678bb2f8f6cf647dbea9d3e9c1254860f
SHA512 2891382c16ceb208eb3eb7eb9f0f92c6886c7edc9c33fe70ce5f071dd365c448cb4c461e868980cd660a5f3277a065c6a55ff00d5fc7909d4e97fbf80197788f
Ssdeep 49152:yzZjRXgi+9/v9fjoQGGzXW/DCeu5wZebfgxQnpSokbVgXK71scqKqyUKV:cdRXgPX9fjIGXcDCefecCcbGa71scqK/
PEiD 无匹配
Yara
  • IsPE32 (Detected 32bit PE signature)
  • IsWindowsGUI ()
  • IsPacked (Detected Entropy signature)
  • HasOverlay (Detected Overlay signature)
  • HasRichSignature (Detected Rich Signature)
  • without_attachments (Detected no presence of any attachment)
  • without_images (Detected no presence of any image)
  • without_urls (Detected no presence of any url)
VirusTotal 无此文件扫描结果

特征

魔盾安全Yara检测结果 - 普通
Informational: Detected Entropy signature
Informational: Detected Overlay signature
Informational: Detected Rich Signature
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected no presence of any url
检测到网络活动但没有显示在API日志中
country_name: China
ip: 122.246.6.183
inaddrarpa:
hostname: www.92jh.cn
score: unknown
ip: 122.246.6.183
domain: www.92jh.cn
生成一个自己的复制文件
copy: C:\Users\test\AppData\Local\Temp\rar-tmp\Mopzip\xe5\xb0\x8f\xe5\x8a\xa9\xe6\x89\x8b.exe

运行截图

网络分析

访问主机记录

直接访问 IP地址 国家名
122.246.6.183 China

域名解析

域名 响应
www.92jh.cn CNAME 1858898.dispatch.spcdntip.com
A 122.246.6.183
A 122.228.0.250
CNAME www.92jh.cn.cdn.dnsv1.com

TCP连接

IP地址 端口
122.246.6.183 443

UDP连接

IP地址 端口
192.168.122.1 53

静态分析

投放文件

Mopzip\xd0\xa1\xd6\xfa\xca\xd6.exe

文件名 Mopzip\xd0\xa1\xd6\xfa\xca\xd6.exe
相关文件
  • C:\Users\test\AppData\Local\Temp\rar-tmp\Mopzip\xe5\xb0\x8f\xe5\x8a\xa9\xe6\x89\x8b.exe
文件大小 2721258 bytes
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 b61ffb05df33a1335ca7b9f85fd7e94d
SHA1 4a82590cc5ce7fbf9c5d6222dad998b25ca49932
SHA256 a78d3902b364502f40a6e144257c611678bb2f8f6cf647dbea9d3e9c1254860f
SHA512 2891382c16ceb208eb3eb7eb9f0f92c6886c7edc9c33fe70ce5f071dd365c448cb4c461e868980cd660a5f3277a065c6a55ff00d5fc7909d4e97fbf80197788f
Ssdeep 49152:yzZjRXgi+9/v9fjoQGGzXW/DCeu5wZebfgxQnpSokbVgXK71scqKqyUKV:cdRXgPX9fjIGXcDCefecCcbGa71scqK/
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

Mopzip小助手.exe PID: 3028, 上一级进程 PID: 2296

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息