恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2024-04-19 14:19:44	2024-04-19 14:21:58	134 秒

魔盾分数

10.0

危险的

文件详细信息

文件名	800PCS - Copy.zip ==> 800PCS.exe
文件大小	1159176 字节
文件类型	PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
MD5	f011e60bee187494e6c6fe2b9ec58c44
SHA1	645676a67db7fd199c8f32dd4bc9230b3f819809
SHA256	133fe04fb0b71f3a1964b2ba5329fee71e9920d7a4f2839b25b95b1f5b58bc4a
SHA512	dc0b4bbb81d69734d06e998c60aebc7c472baf5a06e4004a1e0bee811dd06422f02c93eefdaf8f38832b2958ad5a710202f1b919bf0bce42cb397fb4c65c2e2e
CRC32	D6323388
Ssdeep	24576:bfSkjO9blOmNjVY5BOqrEDpjq9TUKmAGE5lZP9YVAVy8s/DWIM:DolNjCYq4dW9TUKmAGcZPxo8s/St
Yara	登录查看Yara规则
	找不到该样本提交误报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级
否	104.208.16.93	美国
否	178.237.33.50	荷兰
是	91.92.120.138	保加利亚

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	未知	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com
geoplugin.net	未知	A 178.237.33.50

摘要

登录查看详细行为信息

没有信息显示.

无信息.

^m* -
S|%-M`
8_yVr
Gl_$E

没有防病毒引擎扫描信息!

进程树

800PCS.exe id: 2772
- 800PCS.exe id: 3036
  - 800PCS.exe id: 2948
  - 800PCS.exe id: 2680
  - 800PCS.exe id: 2340
services.exe id: 432
- mscorsvw.exe id: 1804
- mscorsvw.exe id: 2816

cmd.exe, PID: 2644, 上一级进程 PID: 2256

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

800PCS.exe, PID: 2772, 上一级进程 PID: 2644

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

800PCS.exe, PID: 3036, 上一级进程 PID: 2772

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

800PCS.exe, PID: 2948, 上一级进程 PID: 3036

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

800PCS.exe, PID: 2680, 上一级进程 PID: 3036

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

800PCS.exe, PID: 2340, 上一级进程 PID: 3036

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

services.exe, PID: 432, 上一级进程 PID: 344

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 1804, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

mscorsvw.exe, PID: 2816, 上一级进程 PID: 432

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接	IP	安全评级
否	104.208.16.93	美国
否	178.237.33.50	荷兰
是	91.92.120.138	保加利亚

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49181	178.237.33.50 geoplugin.net	80
192.168.122.201	49160	23.48.32.11	80
192.168.122.201	49177	91.92.120.138	2405
192.168.122.201	49179	91.92.120.138	2405
192.168.122.201	49180	91.92.120.138	2405

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	53125	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

域名	安全评级	响应
watson.microsoft.com	未知	A 104.208.16.93 CNAME legacywatson.trafficmanager.net CNAME onedsblobprdcus07.centralus.cloudapp.azure.com
geoplugin.net	未知	A 178.237.33.50

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49181	178.237.33.50 geoplugin.net	80
192.168.122.201	49160	23.48.32.11	80
192.168.122.201	49177	91.92.120.138	2405
192.168.122.201	49179	91.92.120.138	2405
192.168.122.201	49180	91.92.120.138	2405

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	53125	192.168.122.1	53
192.168.122.201	59401	192.168.122.1	53
192.168.122.201	65178	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache
URL专业沙箱检测 -> http://geoplugin.net/json.gp	GET /json.gp HTTP/1.1 Host: geoplugin.net Cache-Control: no-cache

URI

HTTP数据

URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip

GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

URL专业沙箱检测 -> http://geoplugin.net/json.gp

GET /json.gp HTTP/1.1
Host: geoplugin.net
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

文件名	800PCS.exe
相关文件	C:\Users\test\AppData\Local\Temp\zip-tmp\800PCS.exe
文件大小	1159176 字节
文件类型	PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
MD5	f011e60bee187494e6c6fe2b9ec58c44
SHA1	645676a67db7fd199c8f32dd4bc9230b3f819809
SHA256	133fe04fb0b71f3a1964b2ba5329fee71e9920d7a4f2839b25b95b1f5b58bc4a
CRC32	D6323388
Ssdeep	24576:bfSkjO9blOmNjVY5BOqrEDpjq9TUKmAGE5lZP9YVAVy8s/DWIM:DolNjCYq4dW9TUKmAGcZPxo8s/St
	下载提交魔盾安全分析

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 33.35 seconds )

20.246 NetworkAnalysis
10.906 Suricata
1.667 BehaviorAnalysis
0.454 TargetInfo
0.048 Dropped
0.014 AnalysisInfo
0.012 Strings
0.002 Memory
0.001 Static

Signatures ( 48.881 seconds )

46.556 network_http
1.389 proprietary_url_bl
0.097 api_spamming
0.08 stealth_timeout
0.074 stealth_decoy_document
0.074 antiav_detectreg
0.036 infostealer_ftp
0.034 stealth_file
0.028 antiav_detectfile
0.027 infostealer_im
0.024 mimics_filetime
0.024 reads_self
0.021 hawkeye_behavior
0.021 infostealer_browser_password
0.02 kovter_behavior
0.019 antiemu_wine_func
0.019 infostealer_bitcoin
0.017 virus
0.016 bootkit
0.016 antivm_generic_disk
0.015 antianalysis_detectreg
0.015 proprietary_domain_bl
0.013 infostealer_browser
0.013 infostealer_mail
0.012 antivm_vbox_files
0.011 dridex_behavior
0.011 antivm_generic_scsi
0.011 hancitor_behavior
0.01 anomaly_persistence_autorun
0.009 injection_createremotethread
0.009 shifu_behavior
0.008 antivm_generic_services
0.007 proprietary_anomaly_massive_file_ops
0.007 geodo_banking_trojan
0.006 anormaly_invoke_kills
0.006 ransomware_files
0.005 betabot_behavior
0.005 dead_connect
0.005 antidbg_devices
0.005 ransomware_extensions
0.004 antivm_vbox_libs
0.004 antiav_avast_libs
0.004 antivm_xen_keys
0.003 network_tor
0.003 stealth_network
0.003 antisandbox_sunbelt_libs
0.003 antisandbox_sboxie_libs
0.003 ipc_namedpipe
0.003 kibex_behavior
0.003 exec_crash
0.003 antivm_generic_diskreg
0.003 antivm_parallels_keys
0.003 darkcomet_regkeys
0.003 rat_pcclient
0.002 tinba_behavior
0.002 rat_nanocore
0.002 injection_explorer
0.002 kazybot_behavior
0.002 antiav_bitdefender_libs
0.002 injection_runpe
0.002 antivm_vmware_files
0.002 disables_browser_warn
0.002 codelux_behavior
0.002 network_cnc_http
0.002 network_torgateway
0.002 recon_fingerprint
0.001 proprietary_anomaly_terminated_process
0.001 proprietary_anomaly_write_exe_and_obsfucate_extension
0.001 proprietary_anomaly_write_exe_and_dll_under_winroot_run
0.001 rat_luminosity
0.001 antivm_vmware_libs
0.001 proprietary_malicious_write_executeable_under_temp_to_regrun
0.001 sets_autoconfig_url
0.001 vawtrak_behavior
0.001 cerber_behavior
0.001 h1n1_behavior
0.001 bypass_firewall
0.001 sniffer_winpcap
0.001 antianalysis_detectfile
0.001 antisandbox_productid
0.001 antivm_xen_keys
0.001 antivm_hyperv_keys
0.001 antivm_vbox_acpi
0.001 antivm_vbox_keys
0.001 antivm_vmware_keys
0.001 antivm_vpc_files
0.001 antivm_vpc_keys
0.001 banker_cridex
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 malicous_targeted_flame
0.001 proprietary_malicious_drop_executable_file_to_temp_folder
0.001 proprietary_anomaly_invoke_vb_vba
0.001 proprietary_bad_drop
0.001 network_tor_service
0.001 office_security
0.001 packer_armadillo_regkey
0.001 stealth_hiddenreg
0.001 stealth_hide_notifications
0.001 stealth_modify_uac_prompt

Reporting ( 0.703 seconds )

0.617 ReportHTMLSummary
0.086 Malheur


Task ID	744118
Mongo ID	66220e0c7e769a7c1a16e8f3
Cuckoo release	1.4-Maldun