魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2019-08-10 12:03:24 2019-08-10 12:05:44 140 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-1 win7-sp1-x64-hpdapp01-1 KVM 2019-08-10 12:03:27 2019-08-10 12:05:47
魔盾分数

4.1

可疑的

文件详细信息

文件名 XXJL.zip
文件大小 391680 字节
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows, UPX compressed
CRC32 DD857904
MD5 e119a135956c194530a52564f220b718
SHA1 e4f20b603a078a4d65e376af7d1dcf91db19dc2e
SHA256 c91bdba802323d309c955295432a9b61ccf4b66705be225b348dd1b03ea6db6a
SHA512 47fba37374f9ba57e0926ee251ce129a5444239b29e99444611b7e574e5138b5f1dc78ba023f3920003908f9ca99047021248439d7cb34b9a8605ce496791b07
Ssdeep 6144:CR8amq5CYiLGfqVWwwa+XZCoJwoUvseoUg42kp1iFcuzgFYXsCt30Eeus2:6Hx5CL+qAOo/Ioa2cu0ytEEen
PEiD 无匹配
Yara
  • IsPE32 (Detected 32bit PE signature)
  • IsDLL (Detect DLL signature)
  • IsWindowsGUI ()
  • IsPacked (Detected Entropy signature)
  • HasRichSignature (Detected Rich Signature)
  • create_process (Create a new process)
  • screenshot (Detected take screenshot function)
  • win_registry (Affect system registries)
  • Maldun_Anomoly_Combined_Activities_7 (Detects malicious behaviors from a small size app)
  • without_attachments (Detected no presence of any attachment)
  • without_images (Detected no presence of any image)
  • without_urls (Detected no presence of any url)
  • UPX (Detected UPX. Commonly used by RAT!)
  • UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser ()
VirusTotal 无此文件扫描结果

特征

魔盾安全Yara规则检测结果 - 安全告警
Informational: Detected Entropy signature
Informational: Detected Rich Signature
Warning: Create a new process
Warning: Detected take screenshot function
Warning: Affect system registries
Critical: Detects malicious behaviors from a small size app
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected no presence of any url
Warning: Detected UPX. Commonly used by RAT!
Informational: UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser
生成一个自己的复制文件
copy: C:\Users\test\AppData\Local\Temp\zip-tmp\\xe6\x96\xb0\xe5\xbb\xba\xe6\x96\x87\xe4\xbb\xb6\xe5\xa4\xb9\x2fTenBount.dll

运行截图

网络分析

无信息

静态分析

投放文件

TenBount.dll

文件名 TenBount.dll
相关文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\\xe6\x96\xb0\xe5\xbb\xba\xe6\x96\x87\xe4\xbb\xb6\xe5\xa4\xb9\x2fTenBount.dll
文件大小 391680 bytes
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows, UPX compressed
MD5 e119a135956c194530a52564f220b718
SHA1 e4f20b603a078a4d65e376af7d1dcf91db19dc2e
SHA256 c91bdba802323d309c955295432a9b61ccf4b66705be225b348dd1b03ea6db6a
SHA512 47fba37374f9ba57e0926ee251ce129a5444239b29e99444611b7e574e5138b5f1dc78ba023f3920003908f9ca99047021248439d7cb34b9a8605ce496791b07
Ssdeep 6144:CR8amq5CYiLGfqVWwwa+XZCoJwoUvseoUg42kp1iFcuzgFYXsCt30Eeus2:6Hx5CL+qAOo/Ioa2cu0ytEEen
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

rundll32.exe PID: 2696, 上一级进程 PID: 2296

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键 无信息
读取的注册表键 无信息
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息