分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-shaapp02-1 | 2024-04-19 10:20:07 | 2024-04-19 10:22:27 | 140 秒 |
文件名 | SVIP极速.exe |
---|---|
文件大小 | 11720885 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 34755796f68f3a89e6ee4bdb681c7a5e |
SHA1 | 1c55a2b9a2e428da3c9eb67c4fb8c9cede03ee80 |
SHA256 | 58ff2b269025cb6edad0f9df9814a6fd28ea9aaf32cb495292d5a54acf6551f1 |
SHA512 | 7e6c4e50a7484f2321f1a6ff9df2aa56445dddea25f13d73480e7bbac5d0db1602b2e9b2c78bbb807f12e85d64eff7f9e7a45a538bb462858af85feb4d467d1e |
CRC32 | 000E7BDA |
Ssdeep | 196608:HcA49Oq5nVYAfzeuVB5jA4+p6RNAr0Tb1AcQiBI/ac8e7mObBs6pr92c5U:HY/FzeuVB5kUDOqgdu8tU |
Yara | 登录查看Yara规则 |
找不到该样本 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 114.80.30.41 | 中国 | |
否 | 172.247.44.245 | 美国 |
域名 | 安全评级 | 响应 |
---|---|---|
zh-hans.ipshu.com | 未知 |
A 114.80.30.41 CNAME zh-hans.ipshu.com.cname4450.yjs-cdn.com CNAME zh-hans.ipshu.com.a.bdydns.com CNAME opencdnka.jomodns.com |
gf.mspoint.xyz | A 172.247.44.245 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x00495d56 |
声明校验值 | 0x00000000 |
实际校验值 | 0x00b2f413 |
最低操作系统版本要求 | 4.0 |
编译时间 | 2020-04-20 16:27:23 |
载入哈希 | 48865db6b12ce71fbf2f83a8a6542ad8 |
导出DLL库名称 | \x38\x3667\x37\x36\x34\x31\x31\x31 |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
.text | 0x00001000 | 0x000a4cab | 0x000a4e00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.69 |
.rdata | 0x000a6000 | 0x0001859b | 0x00018600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 5.63 |
.data | 0x000bf000 | 0x00004758 | 0x00001c00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 4.44 |
flag_dat | 0x000c4000 | 0x00000013 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.11 |
.rsrc | 0x000c5000 | 0x0008aaac | 0x0008ac00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.62 |
偏移量 | 0x0014faac |
大小 | 0x009dde09 |
序列 | 地址 | 名称 |
---|---|---|
1 | 0x485ae9 | LoadEnvi |
2 | 0x4049bd | MemoryCompare |
3 | 0x40499e | MemoryCopy |
4 | 0x4049e4 | MemorySet |
5 | 0x404aeb | WndProc1 |
6 | 0x4027a6 | WndProc1_ |
7 | 0x404af0 | WndProc2 |
8 | 0x4027c1 | WndProc2_ |
9 | 0x404af5 | WndProc3 |
10 | 0x4027dc | WndProc3_ |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
否 | 114.80.30.41 | 中国 | |
否 | 172.247.44.245 | 美国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49158 | 104.124.1.137 | 80 |
192.168.122.201 | 49165 | 114.80.30.41 zh-hans.ipshu.com | 443 |
192.168.122.201 | 49168 | 172.247.44.245 gf.mspoint.xyz | 8810 |
192.168.122.201 | 49169 | 172.247.44.245 gf.mspoint.xyz | 8810 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 53118 | 192.168.122.1 | 53 |
192.168.122.201 | 57526 | 192.168.122.1 | 53 |
192.168.122.201 | 63246 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
zh-hans.ipshu.com | 未知 |
A 114.80.30.41 CNAME zh-hans.ipshu.com.cname4450.yjs-cdn.com CNAME zh-hans.ipshu.com.a.bdydns.com CNAME opencdnka.jomodns.com |
gf.mspoint.xyz | A 172.247.44.245 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49158 | 104.124.1.137 | 80 |
192.168.122.201 | 49165 | 114.80.30.41 zh-hans.ipshu.com | 443 |
192.168.122.201 | 49168 | 172.247.44.245 gf.mspoint.xyz | 8810 |
192.168.122.201 | 49169 | 172.247.44.245 gf.mspoint.xyz | 8810 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 53118 | 192.168.122.1 | 53 |
192.168.122.201 | 57526 | 192.168.122.1 | 53 |
192.168.122.201 | 63246 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
URL专业沙箱检测 -> http://gf.mspoint.xyz:8810/ping | GET /ping HTTP/1.1 Connection: Keep-Alive Accept: */* Accept-Language: zh-cn Referer: http://gf.mspoint.xyz:8810/ping User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: gf.mspoint.xyz:8810 |
URL专业沙箱检测 -> http://gf.mspoint.xyz:8810/api/user/ws?ExeID=65f2b02642698bcbe5b89e9d&DevID=847be10a6cd4095c01b741d62c23f1b8&IP=114.80.207.43 | GET /api/user/ws?ExeID=65f2b02642698bcbe5b89e9d&DevID=847be10a6cd4095c01b741d62c23f1b8&IP=114.80.207.43 HTTP/1.1 Host: gf.mspoint.xyz:8810 Connection: Upgrade Upgrade: websocket Sec-WebSocket-Version: 13 Sec-WebSocket-Key: P4WeKuLT9z6xKVaeQqXksg== User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36 Edg/100.0.1185.36 |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
无警报
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Version | Issuer | Subject | Fingerprint |
---|---|---|---|---|---|---|---|---|
2024-04-19 10:20:55.068254+0800 | 192.168.122.201 | 49165 | 114.80.30.41 | 443 | TLSv1 | C=CN, O=TrustAsia Technologies, Inc., CN=TrustAsia RSA DV TLS CA G2 | CN=zh-hans.ipshu.com | 31:e3:be:86:80:47:ae:10:46:e9:f3:46:d3:92:cf:7d:5a:6c:2b:52 |
No Suricata HTTP
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 744111 |
---|---|
Mongo ID | 6621d5eedc327b65446233c5 |
Cuckoo release | 1.4-Maldun |