比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2024-03-27 16:43:41 2024-03-27 16:44:32 51 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 setup查询名单_6013.exe
文件大小 721792 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 377d00f0bb133a6415ce7e94208dfe33
SHA1 656b839cab1bdc7691a465551ed5cf42f15c3134
SHA256 a46f5b1f41ec592fb1dff1fa413d42389d463644d6059a3abb1c721da674cd82
SHA512 2719743251c2c57cd914f65961f63dc38586f377c82a12994d7530522ca9f54b4047ce00c9f0282e9482f16b4e5bc8c67af3481bdc113dfc7fa896a4b473ac59
CRC32 1040D118
Ssdeep 12288:9MSAsW4M7oeBM/FcccQqR0mGfUyCcR4TAPCNvSmurqV7V2L:IZ7XMtlcQCW9CcfmurW70L
Yara 登录查看Yara规则
找不到该样本 提交误报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
152.195.38.76 美国

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
cacerts.digicert.com CNAME fp2e7a.wpc.2be4.phicdn.net
CNAME fp2e7a.wpc.phicdn.net
A 152.195.38.76

摘要

登录查看详细行为信息

PE 信息

初始地址 0x140000000
入口地址 0x1400f8ce8
声明校验值 0x00000000
实际校验值 0x000b2937
最低操作系统版本要求 5.2
编译时间 2024-03-21 21:15:36
载入哈希 5cd32662644b1a1517a29bd9fbaf6101
图标
图标精确哈希值 f851536d8642eb81a4eb2fdc1dba3641
图标相似性哈希值 7c9ba2bdd2a8c45d5149ee6b6821ea21

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
None Mon Feb 21 10:36:15 2022
WinVerifyTrust returned error 0x80096010
证书链 Certificate Chain 1
发行给 DigiCert Trusted Root G4
发行人 DigiCert Trusted Root G4
有效期 Fri Jan 15 200000 2038
SHA1 哈希 ddfb16cd4931c973a2037d3fc83a4d7d775d05e4
证书链 Certificate Chain 2
发行给 DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
发行人 DigiCert Trusted Root G4
有效期 Tue Apr 29 075959 2036
SHA1 哈希 7b0f360b775f76c94a12ca48445aa2d2a875701c
证书链 Certificate Chain 3
发行给 Hugh Bailey
发行人 DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
有效期 Fri Aug 16 075959 2024
SHA1 哈希 4c400f6b3a5e3c72c3f80d3ef296c26713e14303
证书链 Timestamp Chain 1
发行给 DigiCert Assured ID Root CA
发行人 DigiCert Assured ID Root CA
有效期 Mon Nov 10 080000 2031
SHA1 哈希 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43
证书链 Timestamp Chain 2
发行给 DigiCert SHA2 Assured ID Timestamping CA
发行人 DigiCert Assured ID Root CA
有效期 Tue Jan 07 200000 2031
SHA1 哈希 3ba63a6e4841355772debef9cdcf4d5af353a297
证书链 Timestamp Chain 3
发行给 DigiCert Timestamp 2021
发行人 DigiCert SHA2 Assured ID Timestamping CA
有效期 Mon Jan 06 080000 2031
SHA1 哈希 e1d782a8e191beef6bca1691b5aab494a6249bf3

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0001ed22 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x00020000 0x000079aa 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x00028000 0x000039a0 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.pdata 0x0002c000 0x00001f44 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.vdata 0x0002e000 0x00000536 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.vdata 0x0002f000 0x00009000 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.text 0x00038000 0x000a8550 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.data 0x000e1000 0x000096d8 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.text 0x000eb000 0x000a4b30 0x000a4c00 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.76
.data 0x00190000 0x000002b8 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 2.32
.reloc 0x00191000 0x00000048 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.90
.rsrc 0x00192000 0x00008f54 0x00009000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.74

覆盖

偏移量 0x000ae600
大小 0x00001d80

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x00196388 0x0000485d LANG_ENGLISH SUBLANG_ENGLISH_US 7.97 PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced
RT_ICON 0x00196388 0x0000485d LANG_ENGLISH SUBLANG_ENGLISH_US 7.97 PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced
RT_ICON 0x00196388 0x0000485d LANG_ENGLISH SUBLANG_ENGLISH_US 7.97 PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced
RT_ICON 0x00196388 0x0000485d LANG_ENGLISH SUBLANG_ENGLISH_US 7.97 PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced
RT_ICON 0x00196388 0x0000485d LANG_ENGLISH SUBLANG_ENGLISH_US 7.97 PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced
RT_GROUP_ICON 0x0019ac25 0x0000004c LANG_ENGLISH SUBLANG_ENGLISH_US 2.63 MS Windows icon resource - 5 icons, 16x16
RT_VERSION 0x0019acb1 0x000002a0 LANG_ENGLISH SUBLANG_ENGLISH_US 3.32 data

导入

库: WININET.dll:
0x140190290 InternetCloseHandle
库: GDI32.dll:
0x140190298 EnumFontsW
库: USER32.dll:
0x1401902a0 GetDC
库: KERNEL32.dll:
0x1401902a8 CreateFileW
.text
`.rdata
@.data
.pdata
@.vdata
@.vdata
@.text
`.data
.text
`.data
.reloc
B.rsrc
HcD$`Lc]
1.3.1
3Q\V|skY
*G+N[W
h/C0j
没有防病毒引擎扫描信息!

进程树

setup_____________6013.exe, PID: 2868, 上一级进程 PID: 2328
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
152.195.38.76 美国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49159 152.195.38.76 cacerts.digicert.com 80
192.168.122.201 49158 23.206.188.19 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
cacerts.digicert.com CNAME fp2e7a.wpc.2be4.phicdn.net
CNAME fp2e7a.wpc.phicdn.net
A 152.195.38.76

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49159 152.195.38.76 cacerts.digicert.com 80
192.168.122.201 49158 23.206.188.19 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 56270 192.168.122.1 53
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache
URL专业沙箱检测 -> http://cacerts.digicert.com/DigiCertTrustedRootG4.crt 
GET /DigiCertTrustedRootG4.crt HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Microsoft-CryptoAPI/6.1
Host: cacerts.digicert.com

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 22.442 seconds )

  • 13.076 Suricata
  • 7.697 NetworkAnalysis
  • 0.765 Static
  • 0.45 TargetInfo
  • 0.314 peid
  • 0.114 BehaviorAnalysis
  • 0.012 Strings
  • 0.01 AnalysisInfo
  • 0.002 Memory
  • 0.002 config_decoder

Signatures ( 4.199 seconds )

  • 2.546 network_http
  • 1.521 proprietary_url_bl
  • 0.016 antiav_detectreg
  • 0.011 proprietary_domain_bl
  • 0.007 api_spamming
  • 0.006 anomaly_persistence_autorun
  • 0.006 stealth_timeout
  • 0.006 antiav_detectfile
  • 0.006 infostealer_ftp
  • 0.005 stealth_decoy_document
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_bitcoin
  • 0.004 infostealer_im
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 antiemu_wine_func
  • 0.003 infostealer_browser_password
  • 0.003 kovter_behavior
  • 0.003 antianalysis_detectreg
  • 0.003 antivm_vbox_files
  • 0.003 infostealer_mail
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 antiav_avast_libs
  • 0.002 antisandbox_sunbelt_libs
  • 0.002 browser_security
  • 0.002 disables_browser_warn
  • 0.002 network_torgateway
  • 0.001 betabot_behavior
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 kibex_behavior
  • 0.001 cerber_behavior
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 modify_proxy
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 proprietary_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.535 seconds )

  • 0.533 ReportHTMLSummary
  • 0.002 Malheur
Task ID 743124
Mongo ID 6603dcc87e769a7996a5a8a2
Cuckoo release 1.4-Maldun