分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2022-07-04 17:10:30 2022-07-04 17:11:04 34 秒

魔盾分数

1.3985

Phishing病毒

文件详细信息

文件名 Microsoft_激活_v1.5.zip ==> ReadMe.html
文件大小 112 字节
文件类型 HTML document, ASCII text
MD5 46ef585d1745bced13e715ac23f5e6e6
SHA1 f44bb742719aec709c2326cf95f10d086c69fe60
SHA256 c0eba972a71990512b3f46cf6c0d1d18960732ead7b18561bfdea54cf9fb3569
SHA512 f34015a4286bd267f9f4e2c02ee6922e7957c0c2f0bf168c1956f9dadf9e186b8215ba0908089bac7cd02bbad1b705ebd13eb5021b9317e07483a29bdcacf61e
CRC32 A4CFA7DC
Ssdeep 3:qVv2AiHjJMzVJu+1zWNVY1zqJMXz/xyJ2boBxb:qFGMRJVCNO51da2boBxb
Yara 登录查看Yara规则
找不到该样本 提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.21.81.149 未知 美国
202.61.244.190 未知 澳大利亚

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
windowsaddict.ml 未知 A 104.21.81.149
A 172.67.162.61
massgrave.dev 未知 A 202.61.244.190

摘要

登录查看详细行为信息
没有可用的静态分析.
tTJ>3E
^d~g{
Z}<P5j
%@$c]_`e
没有防病毒引擎扫描信息!

进程树


iexplore.exe, PID: 2620, 上一级进程 PID: 2192

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
104.21.81.149 未知 美国
202.61.244.190 未知 澳大利亚

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49161 104.21.81.149 windowsaddict.ml 443
192.168.122.201 49160 184.28.235.176 80
192.168.122.201 49162 202.61.244.190 massgrave.dev 443
192.168.122.201 49163 202.61.244.190 massgrave.dev 443
192.168.122.201 49164 202.61.244.190 massgrave.dev 443

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53
192.168.122.201 59906 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
windowsaddict.ml 未知 A 104.21.81.149
A 172.67.162.61
massgrave.dev 未知 A 202.61.244.190

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49161 104.21.81.149 windowsaddict.ml 443
192.168.122.201 49160 184.28.235.176 80
192.168.122.201 49162 202.61.244.190 massgrave.dev 443
192.168.122.201 49163 202.61.244.190 massgrave.dev 443
192.168.122.201 49164 202.61.244.190 massgrave.dev 443

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53
192.168.122.201 59906 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

Timestamp Source IP Source Port Destination IP Destination Port Version Issuer Subject Fingerprint
2022-07-04 17:10:54.749203+0800 192.168.122.201 49161 104.21.81.149 443 TLS 1.2 C=US, O=Cloudflare, Inc., CN=Cloudflare Inc ECC CA-3 C=US, ST=California, L=San Francisco, O=Cloudflare, Inc., CN=sni.cloudflaressl.com bb:a8:4f:ad:12:8f:fb:e1:68:7d:df:33:23:09:01:2e:07:12:bb:de

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
文件名 ReadMe.html
相关文件
C:\Users\test\AppData\Local\Temp\zip-tmp\ReadMe.html
文件大小 112 字节
文件类型 HTML document, ASCII text
MD5 46ef585d1745bced13e715ac23f5e6e6
SHA1 f44bb742719aec709c2326cf95f10d086c69fe60
SHA256 c0eba972a71990512b3f46cf6c0d1d18960732ead7b18561bfdea54cf9fb3569
CRC32 A4CFA7DC
Ssdeep 3:qVv2AiHjJMzVJu+1zWNVY1zqJMXz/xyJ2boBxb:qFGMRJVCNO51da2boBxb
Yara
下载提交魔盾安全分析显示文本
<html>
<meta http-equiv="refresh" content="0; url=https://windowsaddict.ml/readme-mas-root-folder.html">
</html>
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 32.523 seconds )

  • 20.49 NetworkAnalysis
  • 10.494 Suricata
  • 1.03 VirusTotal
  • 0.252 TargetInfo
  • 0.23 Dropped
  • 0.011 Strings
  • 0.01 AnalysisInfo
  • 0.003 BehaviorAnalysis
  • 0.002 Memory
  • 0.001 Static

Signatures ( 80.238 seconds )

  • 78.608 maldun_html_file_phishing
  • 1.547 md_url_bl
  • 0.013 md_domain_bl
  • 0.011 antiav_detectreg
  • 0.005 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.002 network_cnc_http
  • 0.002 network_torgateway
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder
  • 0.001 md_bad_drop

Reporting ( 0.447 seconds )

  • 0.447 ReportHTMLSummary
Task ID 697906
Mongo ID 62c2af247e769a4b3a205d7d
Cuckoo release 1.4-Maldun