分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-shaapp03-1 | 2022-05-27 21:49:52 | 2022-05-27 21:52:03 | 131 秒 |
文件名 | King-解决菲律宾可疑软件.exe |
---|---|
文件大小 | 1462272 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | e6df84e198301d0c307872ebb577d2c3 |
SHA1 | 212ee81b0eeebc698d592f8bfb2cde98132f6bb0 |
SHA256 | 779df0f174cf84e0943cffaa155818fae69959c4bcddcb1a2542ee00a1988719 |
SHA512 | 8c10a49968cdcd4dedc82512f1d13c15c7d5014e9fd80f578f18b78487fa979a6209198fa8454ea250936d504d40cc6a9271c02eff56b4b0fed46b9a2720f43f |
CRC32 | 62B47A8B |
Ssdeep | 24576:bmtteI6vRY9+/y/mjeMzrX8f4OHesTEp6kfjKil9xFmuUtyG5LN3DvrM5E0DPE12:AIaGDXY4OHj26kfepVtyClDEfDPiBE |
Yara | 登录查看Yara规则 |
找不到该样本 提交漏报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 61.147.221.204 | 中国 | |
否 | 65.55.186.118 | 美国 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x005e2196 |
声明校验值 | 0x00170afc |
实际校验值 | 0x00170afc |
最低操作系统版本要求 | 4.0 |
编译时间 | 2022-05-27 19:45:54 |
载入哈希 | a289ab1ed1447c82100b9c807237d505 |
图标 | |
图标精确哈希值 | 51ebc1647098978eaea0d44559121401 |
图标相似性哈希值 | 8ad4a1d62fb59618b9065dd3dcb1b05c |
LegalCopyright | |
---|---|
FileVersion | |
Comments | |
ProductName | |
ProductVersion | |
FileDescription | |
Translation |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
.text | 0x00001000 | 0x000eb000 | 0x00068000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 8.00 |
.sedata | 0x000ec000 | 0x000f8000 | 0x000f8000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.54 |
.idata | 0x001e4000 | 0x00001000 | 0x00001000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 1.33 |
.rsrc | 0x001e5000 | 0x00002000 | 0x00002000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 4.77 |
.sedata | 0x001e7000 | 0x00001000 | 0x00001000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.98 |
名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
---|---|---|---|---|---|---|
RT_ICON | 0x001e5600 | 0x000010a8 | LANG_NEUTRAL | SUBLANG_NEUTRAL | 5.77 | data |
RT_ICON | 0x001e5600 | 0x000010a8 | LANG_NEUTRAL | SUBLANG_NEUTRAL | 5.77 | data |
RT_ICON | 0x001e5600 | 0x000010a8 | LANG_NEUTRAL | SUBLANG_NEUTRAL | 5.77 | data |
RT_GROUP_ICON | 0x001e66ec | 0x00000014 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 2.02 | MS Windows icon resource - 1 icon, 16x16, 16 colors |
RT_GROUP_ICON | 0x001e66ec | 0x00000014 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 2.02 | MS Windows icon resource - 1 icon, 16x16, 16 colors |
RT_GROUP_ICON | 0x001e66ec | 0x00000014 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 2.02 | MS Windows icon resource - 1 icon, 16x16, 16 colors |
RT_VERSION | 0x001e6700 | 0x00000240 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 3.83 | data |
RT_MANIFEST | 0x001e6940 | 0x000001cd | LANG_NEUTRAL | SUBLANG_NEUTRAL | 5.08 | XML 1.0 document, ASCII text, with very long lines, with no line terminators |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 61.147.221.204 | 中国 | |
否 | 65.55.186.118 | 美国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49160 | 23.223.196.72 | 80 |
192.168.122.201 | 49166 | 61.147.221.204 www.microsoft.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 52179 | 192.168.122.1 | 53 |
192.168.122.201 | 56270 | 192.168.122.1 | 53 |
192.168.122.201 | 59401 | 192.168.122.1 | 53 |
192.168.122.201 | 60465 | 192.168.122.1 | 53 |
192.168.122.201 | 65179 | 192.168.122.1 | 53 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49160 | 23.223.196.72 | 80 |
192.168.122.201 | 49166 | 61.147.221.204 www.microsoft.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 52179 | 192.168.122.1 | 53 |
192.168.122.201 | 56270 | 192.168.122.1 | 53 |
192.168.122.201 | 59401 | 192.168.122.1 | 53 |
192.168.122.201 | 60465 | 192.168.122.1 | 53 |
192.168.122.201 | 65179 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
URL专业沙箱检测 -> http://www.microsoft.com/ | GET / HTTP/1.1 Host: www.microsoft.com Connection: Close |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
无警报
No TLS
No Suricata HTTP
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 692576 |
---|---|
Mongo ID | 6290d7d37e769a0b45022618 |
Cuckoo release | 1.4-Maldun |