恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2022-05-27 21:49:52	2022-05-27 21:52:03	131 秒

魔盾分数

3.5686875

可疑的

文件详细信息

文件名	King-解决菲律宾可疑软件.exe
文件大小	1462272 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	e6df84e198301d0c307872ebb577d2c3
SHA1	212ee81b0eeebc698d592f8bfb2cde98132f6bb0
SHA256	779df0f174cf84e0943cffaa155818fae69959c4bcddcb1a2542ee00a1988719
SHA512	8c10a49968cdcd4dedc82512f1d13c15c7d5014e9fd80f578f18b78487fa979a6209198fa8454ea250936d504d40cc6a9271c02eff56b4b0fed46b9a2720f43f
CRC32	62B47A8B
Ssdeep	24576:bmtteI6vRY9+/y/mjeMzrX8f4OHesTEp6kfjKil9xFmuUtyG5LN3DvrM5E0DPE12:AIaGDXY4OHj26kfepVtyClDEfDPiBE
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	61.147.221.204	中国
否	65.55.186.118	美国

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
browse.tvdownload.microsoft.com	CNAME browse.windowsmedia.com.akadns.net A 65.55.186.118
www.microsoft.com	CNAME www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net CNAME e13678.ca2.s.tl88.net CNAME www.microsoft.com-c-3.edgekey.net A 61.147.221.204
sqm.microsoft.com	CNAME sqmfe.glbdns2.microsoft.com NXDOMAIN

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x005e2196
声明校验值	0x00170afc
实际校验值	0x00170afc
最低操作系统版本要求	4.0
编译时间	2022-05-27 19:45:54
载入哈希	a289ab1ed1447c82100b9c807237d505
图标
图标精确哈希值	51ebc1647098978eaea0d44559121401
图标相似性哈希值	8ad4a1d62fb59618b9065dd3dcb1b05c

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x000eb000	0x00068000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	8.00
.sedata	0x000ec000	0x000f8000	0x000f8000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.54
.idata	0x001e4000	0x00001000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	1.33
.rsrc	0x001e5000	0x00002000	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	4.77
.sedata	0x001e7000	0x00001000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	7.98

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x001e5600	0x000010a8	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.77	data
RT_ICON	0x001e5600	0x000010a8	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.77	data
RT_ICON	0x001e5600	0x000010a8	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.77	data
RT_GROUP_ICON	0x001e66ec	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_GROUP_ICON	0x001e66ec	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_GROUP_ICON	0x001e66ec	0x00000014	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	2.02	MS Windows icon resource - 1 icon, 16x16, 16 colors
RT_VERSION	0x001e6700	0x00000240	LANG_CHINESE	SUBLANG_CHINESE_SIMPLIFIED	3.83	data
RT_MANIFEST	0x001e6940	0x000001cd	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.08	XML 1.0 document, ASCII text, with very long lines, with no line terminators

导入

库: KERNEL32.dll:

• 0x5e42bb FreeEnvironmentStringsA

库: USER32.dll:

• 0x5e42c7 LoadIconA

库: GDI32.dll:

• 0x5e42d3 GetTextMetricsA

库: WINMM.dll:

• 0x5e42df waveOutRestart

库: WINSPOOL.DRV:

• 0x5e42eb OpenPrinterA

库: ADVAPI32.dll:

• 0x5e42f7 RegDeleteKeyA

库: SHELL32.dll:

• 0x5e4303 ShellExecuteA

库: ole32.dll:

• 0x5e430f CLSIDFromString

库: OLEAUT32.dll:

• 0x5e431b UnRegisterTypeLib

库: COMCTL32.dll:

• 0x5e4327 None

库: WS2_32.dll:

• 0x5e4333 inet_ntoa

库: comdlg32.dll:

• 0x5e433f ChooseColorA

库: MSVCRT.dll:

• 0x5e434b strncpy

库: IPHLPAPI.DLL:

• 0x5e4357 GetInterfaceInfo

库: PSAPI.DLL:

• 0x5e4363 GetMappedFileNameW

.text
.sedata
.idata
.rsrc
.sedata
ft}iR
l|{+N7
O?|=u
/-9E:
%d{]}

没有防病毒引擎扫描信息!

进程树

King-___________________________.exe id: 2536

搜索
King-___________________________.exe (2536)

King-___________________________.exe, PID: 2536, 上一级进程 PID: 2200

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级	地理位置
否	61.147.221.204	中国
否	65.55.186.118	美国

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.223.196.72	80
192.168.122.201	49166	61.147.221.204 www.microsoft.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	52179	192.168.122.1	53
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	60465	192.168.122.1	53
192.168.122.201	65179	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
browse.tvdownload.microsoft.com	CNAME browse.windowsmedia.com.akadns.net A 65.55.186.118
www.microsoft.com	CNAME www.microsoft.com-c-3.edgekey.net.globalredir.akadns.net CNAME e13678.ca2.s.tl88.net CNAME www.microsoft.com-c-3.edgekey.net A 61.147.221.204
sqm.microsoft.com	CNAME sqmfe.glbdns2.microsoft.com NXDOMAIN

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.223.196.72	80
192.168.122.201	49166	61.147.221.204 www.microsoft.com	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	52179	192.168.122.1	53
192.168.122.201	56270	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	60465	192.168.122.1	53
192.168.122.201	65179	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache
URL专业沙箱检测 -> http://www.microsoft.com/	GET / HTTP/1.1 Host: www.microsoft.com Connection: Close

URI

HTTP数据

URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip

GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

URL专业沙箱检测 -> http://www.microsoft.com/

GET / HTTP/1.1
Host: www.microsoft.com
Connection: Close

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 19.792 seconds )

10.883 Suricata
3.543 NetworkAnalysis
2.817 VirusTotal
1.114 Static
0.6 BehaviorAnalysis
0.507 TargetInfo
0.3 peid
0.011 AnalysisInfo
0.011 Strings
0.003 Memory
0.003 config_decoder

Signatures ( 41.424 seconds )

39.795 network_http
1.37 md_url_bl
0.031 api_spamming
0.029 kovter_behavior
0.027 antiemu_wine_func
0.024 infostealer_browser_password
0.023 stealth_timeout
0.022 stealth_decoy_document
0.019 antiav_detectreg
0.016 md_domain_bl
0.008 infostealer_ftp
0.005 anomaly_persistence_autorun
0.005 antiav_detectfile
0.005 infostealer_im
0.004 antianalysis_detectreg
0.004 geodo_banking_trojan
0.004 ransomware_extensions
0.004 ransomware_files
0.003 infostealer_bitcoin
0.003 infostealer_mail
0.002 tinba_behavior
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 network_torgateway
0.001 rat_nanocore
0.001 antiav_avast_libs
0.001 betabot_behavior
0.001 antisandbox_sunbelt_libs
0.001 kibex_behavior
0.001 cerber_behavior
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 maldun_malicious_drop_executable_file_to_temp_folder
0.001 md_bad_drop
0.001 network_cnc_http

Reporting ( 0.547 seconds )

0.543 ReportHTMLSummary
0.004 Malheur


Task ID	692576
Mongo ID	6290d7d37e769a0b45022618
Cuckoo release	1.4-Maldun