分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2022-05-27 21:43:10 2022-05-27 21:43:50 40 秒

魔盾分数

2.9

可疑的

文件详细信息

文件名 Game.exe
文件大小 2917196 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 27b8c2878f760b7d73435f61ffbed676
SHA1 44533cada79c3b5d9223277bc7c0394f3b661ae8
SHA256 9f6d3182d66d9a23d57ad70661818315292a25853050580800591ae66b0e1ee9
SHA512 89253c80fc6b1ea1b163a90d63da7da8333d3ea0c69dd853dbefd6e887b75ed572a134541df2a8fd8b04ef6aa5984e5a9054b19f0383b785c45292a9fad8f891
CRC32 591687BE
Ssdeep 49152:wgQJRpouTUWceK9vAAnJ1gLdDpZrUKYTsnk4tRghZc+cHUW7of/47cugzTHOMJxa:SJDoIULAo8nZrUolghZcBHwf/47c3zzW
Yara 登录查看Yara规则
找不到该样本 提交漏报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00586757
声明校验值 0x002d7446
实际校验值 0x002d7446
最低操作系统版本要求 4.0
编译时间 2012-10-29 15:43:01
载入哈希 5c8ca774ce6385c891ed05bb34b0537c
图标
图标精确哈希值 af9eecc3081f31b705b3948a5bdaabc1
图标相似性哈希值 ba8a0e51c0e5e92b3109a43eaaa05dc7

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000c1000 0x00031000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_LNK_INFO|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 8.00
.sedata 0x000c2000 0x000c6000 0x000c6000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.85
.idata 0x00188000 0x00001000 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 1.13
.rsrc 0x00189000 0x00005000 0x00005000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.14
.sedata 0x0018e000 0x00001000 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 7.98

覆盖

偏移量 0x000ff000
大小 0x001c934c

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x0018d108 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.55 GLS_BINARY_LSB_FIRST
RT_ICON 0x0018d108 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.55 GLS_BINARY_LSB_FIRST
RT_ICON 0x0018d108 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.55 GLS_BINARY_LSB_FIRST
RT_ICON 0x0018d108 0x00000468 LANG_ENGLISH SUBLANG_ENGLISH_US 5.55 GLS_BINARY_LSB_FIRST
RT_GROUP_ICON 0x0018d570 0x00000014 LANG_ENGLISH SUBLANG_ENGLISH_US 1.83 MS Windows icon resource - 1 icon, 48x48

导入

库: KERNEL32.dll:
0x58824a CreateThread
库: USER32.dll:
0x588256 TranslateMessage
库: ole32.dll:
0x588262 CoCreateInstance
库: OLEAUT32.dll:
0x58826e SafeArrayGetDim
库: SHELL32.dll:
库: WININET.dll:
0x588286 HttpQueryInfoA
库: ADVAPI32.dll:
0x588292 CryptReleaseContext
库: WS2_32.dll:
0x58829e sendto
库: PSAPI.DLL:
库: SHLWAPI.dll:
0x5882b6 PathFileExistsA
库: MSVCRT.dll:
0x5882c2 strncpy
库: IPHLPAPI.DLL:
0x5882ce GetInterfaceInfo

.text
.sedata
.idata
.rsrc
.sedata
(.P`,
ocCH0
]mg/Kr
R:1kg
XsQD<gV
^I9"I
没有防病毒引擎扫描信息!

进程树


Game.exe, PID: 2632, 上一级进程 PID: 2276

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.196.65 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49160 23.223.196.65 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 22.007 seconds )

  • 11.178 Suricata
  • 6.334 VirusTotal
  • 1.488 Static
  • 1.347 NetworkAnalysis
  • 0.746 TargetInfo
  • 0.58 BehaviorAnalysis
  • 0.305 peid
  • 0.011 AnalysisInfo
  • 0.011 Strings
  • 0.005 config_decoder
  • 0.002 Memory

Signatures ( 1.632 seconds )

  • 1.367 md_url_bl
  • 0.031 api_spamming
  • 0.031 kovter_behavior
  • 0.028 antiemu_wine_func
  • 0.026 infostealer_browser_password
  • 0.025 stealth_timeout
  • 0.023 stealth_decoy_document
  • 0.018 antiav_detectreg
  • 0.01 md_domain_bl
  • 0.008 infostealer_ftp
  • 0.006 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_im
  • 0.004 antianalysis_detectreg
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_mail
  • 0.003 network_http
  • 0.003 ransomware_extensions
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.001 network_tor
  • 0.001 antiav_avast_libs
  • 0.001 mimics_filetime
  • 0.001 betabot_behavior
  • 0.001 ursnif_behavior
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 kibex_behavior
  • 0.001 cerber_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.562 seconds )

  • 0.504 ReportHTMLSummary
  • 0.058 Malheur
Task ID 692575
Mongo ID 6290d5ba7e769a0b43022136
Cuckoo release 1.4-Maldun