比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2024-04-22 23:13:02 2024-04-22 23:13:42 40 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 FLiNGTrainer_Portable_1.0.0.exe
文件大小 16131584 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 52454b1705cdc0b2f47fc48ab67a74b1
SHA1 51a693a3a16ad01394ed4dff8018d2f0265225ef
SHA256 52fa31d2b4be43c751ea24acf11f2471a3b5ae58c9adf413fba51b0fef1cbfe6
SHA512 7577c70dc2e0da08c50c6ae2adafec976ef1ed5effe841513475086db3ec2e90362606db144a9e84647c6cb7c2db4c992d59c9d36a0d1cf6f22db4323a616e48
CRC32 BA9C5734
Ssdeep 98304:6HruQGZjqla0OZvHWS/T4KW+gTWELNNwmmXDCM3jT0vC+UcDzYNQL:6eZka0OvHWbKW+CBmzCMTT0BUaYiL
Yara 登录查看Yara规则
找不到该样本 提交误报
登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x00472ea0
声明校验值 0x00000000
实际校验值 0x00f6ea13
最低操作系统版本要求 6.1
编译时间 1970-01-01 08:00:00
载入哈希 c2d457ad8ac36fc9f18d45bffcd450c2
图标
图标精确哈希值 f15682b93f093d610c24b06c6f982ca9
图标相似性哈希值 3b5d3c7d207e37dceeedd301e35e2e58

版本信息

LegalCopyright
CompanyName
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00656280 0x00656400 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.14
.rdata 0x00658000 0x00804b00 0x00804c00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.04
.data 0x00e5d000 0x00139d00 0x000a9000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.44
.pdata 0x00f97000 0x0002a1a4 0x0002a200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 5.63
.xdata 0x00fc2000 0x000000b4 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 1.78
.idata 0x00fc3000 0x00000554 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.05
.reloc 0x00fc4000 0x00022126 0x00022200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 5.44
.symtab 0x00fe7000 0x00000004 0x00000200 IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.02
.rsrc 0x00fe8000 0x00011178 0x00011200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.83

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_ICON 0x00fe8130 0x00010828 LANG_NEUTRAL SUBLANG_NEUTRAL 0.54 dBase III DBT, version number 0, next free block index 40
RT_GROUP_ICON 0x00ff8958 0x00000014 LANG_NEUTRAL SUBLANG_NEUTRAL 1.98 MS Windows icon resource - 1 icon, 128x128
RT_VERSION 0x00ff8970 0x0000024c LANG_NEUTRAL SUBLANG_NEUTRAL 3.91 data
RT_MANIFEST 0x00ff8bc0 0x000005b4 LANG_ENGLISH SUBLANG_ENGLISH_US 5.25 XML 1.0 document, ASCII text

导入

库: kernel32.dll:
0x125e620 WriteFile
0x125e628 WriteConsoleW
0x125e630 WerSetFlags
0x125e638 WerGetFlags
0x125e648 WaitForSingleObject
0x125e650 VirtualQuery
0x125e658 VirtualFree
0x125e660 VirtualAlloc
0x125e668 TlsAlloc
0x125e670 SwitchToThread
0x125e678 SuspendThread
0x125e680 SetWaitableTimer
0x125e690 SetEvent
0x125e698 SetErrorMode
0x125e6a0 SetConsoleCtrlHandler
0x125e6a8 RtlVirtualUnwind
0x125e6b8 ResumeThread
0x125e6d0 LoadLibraryW
0x125e6d8 LoadLibraryExW
0x125e6e0 SetThreadContext
0x125e6e8 GetThreadContext
0x125e6f0 GetSystemInfo
0x125e6f8 GetSystemDirectoryA
0x125e700 GetStdHandle
0x125e718 GetProcAddress
0x125e720 GetErrorMode
0x125e730 GetCurrentThreadId
0x125e738 GetConsoleMode
0x125e748 ExitProcess
0x125e750 DuplicateHandle
0x125e760 CreateThread
0x125e770 CreateFileA
0x125e778 CreateEventA
0x125e780 CloseHandle
.text
`.rdata
@.data
.pdata
@.xdata
@.idata
.reloc
B.symtab
B.rsrc
没有防病毒引擎扫描信息!

进程树

FLiNGTrainer_Portable_1.0.0.exe, PID: 2684, 上一级进程 PID: 2324
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 23.222.27.20 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.201 49158 23.222.27.20 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.201 59401 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 35.425 seconds )

  • 11.769 Static
  • 10.907 Suricata
  • 5.552 VirusTotal
  • 4.349 TargetInfo
  • 2.256 NetworkAnalysis
  • 0.504 peid
  • 0.056 config_decoder
  • 0.012 AnalysisInfo
  • 0.011 Strings
  • 0.007 BehaviorAnalysis
  • 0.002 Memory

Signatures ( 1.497 seconds )

  • 1.415 proprietary_url_bl
  • 0.012 antiav_detectreg
  • 0.008 proprietary_domain_bl
  • 0.006 anomaly_persistence_autorun
  • 0.005 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_im
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 network_http
  • 0.002 tinba_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 browser_security
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 modify_proxy
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 proprietary_bad_drop
  • 0.001 network_cnc_http
  • 0.001 stealth_modify_uac_prompt

Reporting ( 0.489 seconds )

  • 0.483 ReportHTMLSummary
  • 0.006 Malheur
Task ID 744223
Mongo ID 66267edb7e769a7eca4b4e61
Cuckoo release 1.4-Maldun