恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-2	2024-03-27 17:23:00	2024-03-27 17:25:30	150 秒

魔盾分数

5.525

可疑的

文件详细信息

文件名	reg.dll
文件大小	2912256 字节
文件类型	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	9f929229741ffd656e226356b78eb0d6
SHA1	ea99a205e033d0e0fea31c4d55b2dd9a41d0918f
SHA256	471db67bd9d62d4108f326b2b2e351c9a2ec472dfcbbb781a63f4de98f8d7226
SHA512	7caaa80dbcffbaccfc48322c2959d5b097f171bba39e84d8b8fb0032cb7d46e9e57bcec49109fe7f5e342573f7e4538fe530886105ba177138e0e17e9a8f7f30
CRC32	64214872
Ssdeep	49152:JIS2i+YsBxyxcpoFyvinH49XsBdbsmUHu6xw/Xr4+wlzDdPFjH2aaDxNdP6jOShu:aR63QU498jsmUHu6WTjwl/dPFanzp6jI
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x10000000
入口地址	0x10b44e40
声明校验值	0x00000000
实际校验值	0x002d0192
最低操作系统版本要求	6.0
编译时间	2024-03-13 21:22:42
载入哈希	5e5ac8ab7be27ac2d1c548e5589378b6
导出DLL库名称	dm72319.dll

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
	0x00001000	0x00019000	0x0000e000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.79
	0x0001a000	0x0000d000	0x00006000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.98
	0x00027000	0x00002000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	2.08
	0x00029000	0x00001000	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
	0x0002a000	0x00002000	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	6.30
.rsrc	0x0002c000	0x00001000	0x00001000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.44
	0x0002d000	0x0089f000	0x00033000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.99
.data	0x008cc000	0x0027b000	0x0027b000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.98

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_MANIFEST	0x0002c058	0x00000091	LANG_ENGLISH	SUBLANG_ENGLISH_US	4.89	XML 1.0 document text

导入

库: kernel32.dll:

• 0x108cf104 GetModuleHandleA

• 0x108cf108 GetProcAddress

• 0x108cf10c ExitProcess

• 0x108cf110 LoadLibraryA

库: user32.dll:

• 0x108cf118 MessageBoxA

库: advapi32.dll:

• 0x108cf120 RegCloseKey

库: oleaut32.dll:

• 0x108cf128 SysFreeString

库: gdi32.dll:

• 0x108cf130 CreateFontA

库: shell32.dll:

• 0x108cf138 ShellExecuteA

库: version.dll:

• 0x108cf140 GetFileVersionInfoA

导出

序列	地址	名称
100	0x10002aa0	Go

.rsrc
.data
A4kXk
.HpC{

没有防病毒引擎扫描信息!

进程树

rundll32.exe id: 2640

搜索
rundll32.exe (2640)

rundll32.exe, PID: 2640, 上一级进程 PID: 2296

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49158	23.219.38.35	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	50785	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49158	23.219.38.35	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	50785	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 18.236 seconds )

12.995 Suricata
1.972 Static
1.371 NetworkAnalysis
1.047 TargetInfo
0.44 BehaviorAnalysis
0.363 peid
0.023 AnalysisInfo
0.012 Strings
0.009 config_decoder
0.004 Memory

Signatures ( 1.616 seconds )

1.413 proprietary_url_bl
0.021 antiav_detectreg
0.018 api_spamming
0.014 stealth_timeout
0.013 stealth_decoy_document
0.01 antiemu_wine_func
0.01 kovter_behavior
0.01 infostealer_ftp
0.01 proprietary_domain_bl
0.009 infostealer_browser_password
0.007 antiav_detectfile
0.006 infostealer_im
0.005 anomaly_persistence_autorun
0.005 geodo_banking_trojan
0.005 infostealer_bitcoin
0.004 antianalysis_detectreg
0.004 infostealer_mail
0.004 ransomware_extensions
0.004 ransomware_files
0.003 antivm_vbox_files
0.003 disables_browser_warn
0.003 network_http
0.002 tinba_behavior
0.002 mimics_filetime
0.002 injection_createremotethread
0.002 reads_self
0.002 browser_security
0.001 bootkit
0.001 rat_nanocore
0.001 antiav_avast_libs
0.001 stealth_file
0.001 betabot_behavior
0.001 antisandbox_sunbelt_libs
0.001 kibex_behavior
0.001 antivm_generic_disk
0.001 cerber_behavior
0.001 injection_runpe
0.001 virus
0.001 hancitor_behavior
0.001 antidbg_devices
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 modify_proxy
0.001 disables_system_restore
0.001 proprietary_malicious_drop_executable_file_to_temp_folder
0.001 proprietary_bad_drop
0.001 network_cnc_http
0.001 stealth_modify_uac_prompt

Reporting ( 0.621 seconds )

0.566 ReportHTMLSummary
0.055 Malheur


Task ID	743132
Mongo ID	6603e6497e769a7997a59ae1
Cuckoo release	1.4-Maldun