魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2019-07-21 14:59:33 | 2019-07-21 15:00:32 | 59 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-hpdapp01-1 | win7-sp1-x64-hpdapp01-1 | KVM | 2019-07-21 14:59:38 | 2019-07-21 15:00:34 |
| 魔盾分数 |
|---|
9.4恶意的 |
文件详细信息
| 文件名 | QTranslate.6.7.3.zip |
|---|---|
| 文件大小 | 1113319 字节 |
| 文件类型 | Zip archive data, at least v2.0 to extract |
| CRC32 | 48BEC3C3 |
| MD5 | 993e67a06a0e25c2a0b81e50e6cd626d |
| SHA1 | c7f71cfef5831730925b50dcfb0889ab6912a2a4 |
| SHA256 | 6ba92d1a7c5d00e96f86fd9fedac39ffbbef788ee0aad1a10e82981100150010 |
| SHA512 | e3454394bce7f30fa0854683c493b98707af36daf9823a3ea46d26af8b96dc96dc18343a1b8267206ed7bc39300b0f962f449f59ea0a5bfea0e52c2c4db5ea76 |
| Ssdeep | 24576:7MZbR7OwK3t17mdrCOgZzK+fOcQaGr6Kw2I8y7zEm4mMsD:+7A3t178FiK+o1r6Kwt8e40 |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal |
VirusTotal链接 VirusTotal扫描时间: 2019-07-21 05:31:09 扫描结果: 1/61 |
特征
通过进程尝试延迟分析任务
Process: wscript.exe tried to sleep 60 seconds, actually delayed analysis time by 0 seconds
魔盾安全Yara检测结果 - 普通
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected no presence of any url
文件已被至少一个VirusTotal上的反病毒引擎检测为病毒
Jiangmin: Trojan.Generic.dmotx
运行截图
网络分析
静态分析
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
wscript.exe PID: 2700, 上一级进程 PID: 2296
访问的文件
- C:\Users\test\AppData\Local\Temp\zip-tmp\QTranslate.6.7.3\Plugins\History\Csv.js
读取的文件
- C:\Users\test\AppData\Local\Temp\zip-tmp\QTranslate.6.7.3\Plugins\History\Csv.js
修改的文件
无信息
删除的文件
无信息
注册表键
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Option
- HKEY_CURRENT_USER\Software\Classes
- HKEY_CURRENT_USER\Software\Classes\Interface\{00000134-0000-0000-C000-000000000046}
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32\(Default)
- HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Extensions
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Extensions\RemoteRpcDll
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE
- HKEY_LOCAL_MACHINE\Software\Microsoft\SQMClient\Windows\DisabledProcesses\
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledProcesses\DA0C75D6
- HKEY_LOCAL_MACHINE\Software\Microsoft\SQMClient\Windows\DisabledSessions\
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledSessions\MachineThrottling
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledSessions\GlobalSession
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32\(Default)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Extensions\RemoteRpcDll
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledProcesses\DA0C75D6
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledSessions\MachineThrottling
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQMClient\Windows\DisabledSessions\GlobalSession
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键
无信息
删除的注册表键
无信息
API解析
- advapi32.dll.SaferIdentifyLevel
- advapi32.dll.SaferComputeTokenFromLevel
- advapi32.dll.SaferCloseLevel
- cryptsp.dll.CryptAcquireContextW
- cryptsp.dll.CryptGenRandom
- rpcrtremote.dll.I_RpcExtInitializeExtensionPoint
- advapi32.dll.UnregisterTraceGuids
- oleaut32.dll.#500
- cryptsp.dll.CryptReleaseContext