恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2022-05-27 18:31:54	2022-05-27 18:34:05	131 秒

魔盾分数

1.5125

正常的

文件详细信息

文件名	binayf
文件大小	91056 字节
文件类型	ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, stripped
MD5	377d3c15e06e40315e113222eeff30a8
SHA1	cf38f4c884993a7ca768d23f3604e659d5e5534d
SHA256	77a0f3e114a8003f657569c3e2d7633c25fcf42b4efe45fe03d398a0c7a5fa91
SHA512	c04f92d4303ebf62ca25ea5c6ee3c493f618047136f455a071efe55faf73383468584328680d1a43dac7f9542d0cec31bccb9bbfb6d143ec1a82b01f1bfa9e81
CRC32	72E80D71
Ssdeep	1536:qmjgRnUaCZmybSCJTl9b2+0zMO7fWDx/GBQbJcbBIaU+P9NlW37b1l:zgRnUaCAyb59V0zMnDhiQVcbBIaRPpWn
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.208.16.93	美国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

摘要

登录查看详细行为信息

没有可用的静态分析.

/lib64/ld-linux-x86-64.so.2
libc.so.6
strcasestr
socket
fflush
strcpy
htonl
readdir
htons
execv
srand
fopen
strncmp
ftruncate
connect
getpwuid
closedir
inet_ntoa
signal
strncpy
__stack_chk_fail
select
mkdir
realloc
clock
_exit
popen
getpid
strdup
chmod
rewind
strtok
fgets
getppid
strlen
prctl
getaddrinfo
memset
strstr
__errno_location
fseek
chdir
memcmp
getsockopt
shutdown
strtok_r
memcpy
fclose
malloc
strcat
umask
realpath
remove
opendir
bzero
getenv
recvfrom
ioctl
system
getuid
readlink
fscanf
fileno
pclose
gethostname
fwrite
fread
gettimeofday
waitpid
fprintf
fdopen
sleep
__cxa_finalize
freeaddrinfo
fcntl
uname
access
strcmp
__libc_start_main
ntohs
snprintf
__xstat
GLIBC_2.3
GLIBC_2.4
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
t$HdH34%(
t$XdH34%(
t$XdH34%(
t$HdH34%(
dH34%(
dH34%(
dH34%(
%s/%s
%s/%s
/bin/sh
exec 
;*3$"
.shstrtab
.interp
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.dynamic
.data
.arcsec

没有防病毒引擎扫描信息!

进程树

cmd.exe id: 2588
- rundll32.exe id: 2320
  - mspaint.exe id: 2780
services.exe id: 432
- svchost.exe id: 3056

cmd.exe, PID: 2588, 上一级进程 PID: 2256

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 432, 上一级进程 PID: 344

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

svchost.exe, PID: 3056, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

rundll32.exe, PID: 2320, 上一级进程 PID: 2588

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mspaint.exe, PID: 2780, 上一级进程 PID: 2320

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	104.208.16.93	美国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.45.112.66	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.45.112.66	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 19.352 seconds )

11.464 Suricata
4.879 BehaviorAnalysis
2.724 NetworkAnalysis
0.262 TargetInfo
0.012 AnalysisInfo
0.008 Strings
0.002 Memory
0.001 Static

Signatures ( 3.921 seconds )

1.355 md_url_bl
0.548 antiav_detectreg
0.23 api_spamming
0.195 stealth_decoy_document
0.186 stealth_timeout
0.183 infostealer_ftp
0.111 antianalysis_detectreg
0.105 infostealer_im
0.083 antivm_generic_scsi
0.058 infostealer_mail
0.049 mimics_filetime
0.044 reads_self
0.041 virus
0.039 stealth_file
0.039 antivm_generic_disk
0.033 bootkit
0.032 hancitor_behavior
0.031 shifu_behavior
0.03 antivm_generic_services
0.03 kibex_behavior
0.028 antivm_xen_keys
0.028 geodo_banking_trojan
0.028 darkcomet_regkeys
0.027 anormaly_invoke_kills
0.025 antivm_parallels_keys
0.024 recon_fingerprint
0.021 betabot_behavior
0.018 antivm_generic_diskreg
0.016 antisandbox_productid
0.013 antiav_detectfile
0.011 antivm_vmware_keys
0.011 md_domain_bl
0.01 maldun_anomaly_massive_file_ops
0.01 anomaly_persistence_autorun
0.009 antivm_xen_keys
0.009 antivm_hyperv_keys
0.009 antivm_vbox_acpi
0.009 antivm_vbox_keys
0.009 antivm_vpc_keys
0.009 infostealer_bitcoin
0.009 maldun_anomaly_invoke_vb_vba
0.009 packer_armadillo_regkey
0.008 bypass_firewall
0.008 antivm_generic_bios
0.008 antivm_generic_cpu
0.008 antivm_generic_system
0.008 recon_programs
0.006 injection_createremotethread
0.005 stack_pivot
0.005 maldun_malicious_write_executeable_under_temp_to_regrun
0.005 kovter_behavior
0.005 antivm_vbox_files
0.005 disables_browser_warn
0.004 antiemu_wine_func
0.004 maldun_anomaly_write_exe_and_obsfucate_extension
0.004 maldun_anomaly_write_exe_and_dll_under_winroot_run
0.004 infostealer_browser_password
0.004 injection_runpe
0.004 ransomware_extensions
0.004 ransomware_files
0.003 rat_luminosity
0.003 antidbg_windows
0.003 network_http
0.002 tinba_behavior
0.002 maldun_anomaly_terminated_process
0.002 antivm_vbox_libs
0.002 anomaly_persistence_bootexecute
0.002 injection_explorer
0.002 exec_crash
0.002 antidbg_devices
0.002 antiemu_wine_reg
0.002 browser_security
0.002 network_torgateway
0.001 hawkeye_behavior
0.001 network_tor
0.001 rat_nanocore
0.001 antiav_avast_libs
0.001 infostealer_browser
0.001 dridex_behavior
0.001 anomaly_reset_winsock
0.001 creates_largekey
0.001 kazybot_behavior
0.001 antisandbox_sunbelt_libs
0.001 antisandbox_sboxie_libs
0.001 antiav_bitdefender_libs
0.001 ransomeware_modifies_desktop_wallpaper
0.001 cerber_behavior
0.001 h1n1_behavior
0.001 antianalysis_detectfile
0.001 antivm_vmware_files
0.001 banker_cridex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 modify_proxy
0.001 disables_system_restore
0.001 codelux_behavior
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http
0.001 rat_pcclient
0.001 stealth_modify_uac_prompt

Reporting ( 0.89 seconds )

0.588 ReportHTMLSummary
0.302 Malheur


Task ID	692546
Mongo ID	6290a9697e769a0b450224ce
Cuckoo release	1.4-Maldun