分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2022-07-04 16:00:35 2022-07-04 16:02:49 134 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 d_safe_2.1.6.5.zip ==> D_Safe_Manage.exe
文件大小 6027576 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 0fbe47bf825f546318dad989e689a9a7
SHA1 bc35414ea6b2c4df4581aef710ce02d5cd4bd07f
SHA256 e9876f391beba768208a45bcc4ae3d14527d79ef9b6b9638727e9f77ea6c7fc3
SHA512 c4c3bad77591ddd4660e57b4d6437d1f7600752664a76ad3cdbe2cd5d406fb64a5ac00fc932b48dc73641066e4f540699800e13b78c6a9373f8be3edd71c4fd4
CRC32 EAF6E537
Ssdeep 49152:Yfq8igHXGoSl05tzY5puW1YmwhRXiZPj6Pga2OS/f8JHOMDUf5wTQ8IkTnOapn1:YfNimVDbZTyZmIa2VXDMDUxMIhap1
Yara 登录查看Yara规则
找不到该样本 提交误报

登录查看威胁特征

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 美国
118.126.82.32 未知 中国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
updata.d99net.net 未知 A 118.126.82.32
watson.microsoft.com 未知 A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

摘要

登录查看详细行为信息
没有信息显示.
t9'hr6
Pi*ao
INjo\
#`P=[
WTQFv
没有防病毒引擎扫描信息!

进程树


cmd.exe, PID: 2676, 上一级进程 PID: 2196
D_Safe_Manage.exe, PID: 2820, 上一级进程 PID: 2676

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.208.16.93 美国
118.126.82.32 未知 中国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 118.126.82.32 updata.d99net.net 80
192.168.122.201 49160 208.185.115.99 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 53125 192.168.122.1 53
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
updata.d99net.net 未知 A 118.126.82.32
watson.microsoft.com 未知 A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49162 118.126.82.32 updata.d99net.net 80
192.168.122.201 49160 208.185.115.99 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 53125 192.168.122.1 53
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

URL专业沙箱检测 -> http://updata.d99net.net/d_safe_up/d_safe_up_info.txt?soft_ver=v2.1.6.5&rule_ver=2&ws_lib_ver=18
GET /d_safe_up/d_safe_up_info.txt?soft_ver=v2.1.6.5&rule_ver=2&ws_lib_ver=18 HTTP/1.1
User-Agent: Internet Explorer 6.0
Host: updata.d99net.net
Cache-Control: no-cache

URL专业沙箱检测 -> http://updata.d99net.net/d_safe_up/new.zip
GET /d_safe_up/new.zip HTTP/1.1
User-Agent: D_SAFE_UP
Host: updata.d99net.net
Cache-Control: no-cache
Cookie: _d_id=60b84d109401ba57a4096bcb0c0d6e

URL专业沙箱检测 -> http://updata.d99net.net/d_safe_up/ws_lib/ws_lib_7BBB399B9DB1.zip
GET /d_safe_up/ws_lib/ws_lib_7BBB399B9DB1.zip HTTP/1.1
User-Agent: D_SAFE_UP
Host: updata.d99net.net
Cache-Control: no-cache
Cookie: _d_id=606349d9f09cd9bc2509a8120c0d6e

URL专业沙箱检测 -> http://updata.d99net.net/d_safe_up/rule_lib/rule_B7E936A53324.zip
GET /d_safe_up/rule_lib/rule_B7E936A53324.zip HTTP/1.1
User-Agent: D_SAFE_UP
Host: updata.d99net.net
Cache-Control: no-cache
Cookie: _d_id=60ba4dd34dbca2487209a8120c0d6e

URL专业沙箱检测 -> http://updata.d99net.net/d_safe_up/d_safe_crc.zip
GET /d_safe_up/d_safe_crc.zip HTTP/1.1
User-Agent: D_SAFE_UP
Host: updata.d99net.net
Cache-Control: no-cache
Cookie: _d_id=60ba4dd34dbca2487209a8120c0d6e

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

Timestamp Source IP Source Port Destination IP Destination Port Protocol SID Signature Category
2022-07-04 16:01:06.944769+0800 192.168.122.201 49162 118.126.82.32 80 TCP 2007860 ET MALWARE User-Agent (Internet Explorer 6.0) - Possible Trojan Downloader A Network Trojan was detected

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 D_Safe_Manage.exe
相关文件
C:\Users\test\AppData\Local\Temp\zip-tmp\D_Safe_Manage.exe
文件大小 6027576 字节
文件类型 PE32 executable (GUI) Intel 80386, for MS Windows
MD5 0fbe47bf825f546318dad989e689a9a7
SHA1 bc35414ea6b2c4df4581aef710ce02d5cd4bd07f
SHA256 e9876f391beba768208a45bcc4ae3d14527d79ef9b6b9638727e9f77ea6c7fc3
CRC32 EAF6E537
Ssdeep 49152:Yfq8igHXGoSl05tzY5puW1YmwhRXiZPj6Pga2OS/f8JHOMDUf5wTQ8IkTnOapn1:YfNimVDbZTyZmIa2VXDMDUxMIhap1
下载提交魔盾安全分析
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 35.43 seconds )

  • 20.678 NetworkAnalysis
  • 10.662 Suricata
  • 1.772 VirusTotal
  • 1.285 TargetInfo
  • 0.776 BehaviorAnalysis
  • 0.232 Dropped
  • 0.011 Strings
  • 0.01 AnalysisInfo
  • 0.002 Memory
  • 0.002 Static

Signatures ( 45.75 seconds )

  • 43.929 network_http
  • 1.465 md_url_bl
  • 0.042 api_spamming
  • 0.037 antidbg_windows
  • 0.035 stealth_timeout
  • 0.034 stealth_decoy_document
  • 0.025 antiav_detectreg
  • 0.012 md_domain_bl
  • 0.011 infostealer_ftp
  • 0.009 ransomware_files
  • 0.008 antivm_vbox_window
  • 0.008 ransomware_extensions
  • 0.007 antiav_detectfile
  • 0.007 infostealer_im
  • 0.006 antivm_generic_scsi
  • 0.005 anomaly_persistence_autorun
  • 0.005 antisandbox_script_timer
  • 0.005 antianalysis_detectreg
  • 0.005 infostealer_bitcoin
  • 0.004 webmail_phish
  • 0.004 antivm_generic_services
  • 0.004 anormaly_invoke_kills
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_mail
  • 0.004 network_torgateway
  • 0.003 ransomeware_modifies_desktop_wallpaper
  • 0.003 kovter_behavior
  • 0.003 antivm_vbox_files
  • 0.002 tinba_behavior
  • 0.002 antiemu_wine_func
  • 0.002 network_document_http
  • 0.002 mimics_filetime
  • 0.002 stealth_network
  • 0.002 betabot_behavior
  • 0.002 reads_self
  • 0.002 network_execute_http
  • 0.002 generic_phish
  • 0.002 infostealer_browser_password
  • 0.002 secure_login_phish
  • 0.002 bot_drive
  • 0.002 disables_browser_warn
  • 0.001 hawkeye_behavior
  • 0.001 network_tor
  • 0.001 antivm_vbox_libs
  • 0.001 bootkit
  • 0.001 rat_nanocore
  • 0.001 wscript_downloader_http
  • 0.001 office_dl_write_exe
  • 0.001 stealth_file
  • 0.001 injection_createremotethread
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 antivm_generic_disk
  • 0.001 cerber_behavior
  • 0.001 virus
  • 0.001 hancitor_behavior
  • 0.001 antidbg_devices
  • 0.001 antivm_generic_diskreg
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 darkcomet_regkeys
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop
  • 0.001 network_cnc_http
  • 0.001 office_security
  • 0.001 ransomware_radamant
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt
  • 0.001 stealth_modify_security_center_warnings

Reporting ( 0.567 seconds )

  • 0.563 ReportHTMLSummary
  • 0.004 Malheur
Task ID 697885
Mongo ID 62c29f097e769a4b3a205b37
Cuckoo release 1.4-Maldun