恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2024-04-23 12:53:44	2024-04-23 12:54:24	40 秒

魔盾分数

4.325

可疑的

文件详细信息

文件名	wSfA.exe
文件大小	487920 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
MD5	d9756af45286abc7dde30afa8ef81953
SHA1	aee521b6b058d279976e67a8a9dafebe56417de4
SHA256	3d25d42330f76c1e9f260e939d4fc88584c29a899715c30e1740f97cdf41b2ac
SHA512	95dd3f7f1313657719eaaaf44b276c79d4b1d096ffe3446bb0237b4d3c35f80aaeebd5fd82d7664dc67025ae7d5b27abafbd5c0879e24fd6e7f2b6c9ff579f7c
CRC32	63DE6247
Ssdeep	12288:HNrhTLpMP+R+QDCfA832AtBYmz6af0F7Z1QVjSvPJIN8:HthTiP+ffCfB5Lf0F7Z1EKPeN8
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00535f10
声明校验值	0x0007af91
实际校验值	0x0008522e
最低操作系统版本要求	4.0
编译时间	2015-03-03 21:33:13
载入哈希	91c9c82d5da6c673b4454be0c166d822
图标
图标精确哈希值	bff9f695820d28a69bf69a5cb59e69c0
图标相似性哈希值	bfdc46b012e829cacdf4d9810bd03184

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
PrivateBuild
LegalTrademarks
Comments
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

微软证书验证 (Sign Tool)

SHA1	时间戳	有效性	错误
2d9e7def63df39e4a5bdcb2f0e76d305b613cacb	Thu Mar 24 21:30:52 2022	否	WinVerifyTrust returned error 0x800B010A

证书链	Certificate Chain 1
发行给	Sectigo Public Code Signing Root R46
发行人	AAA Certificate Services
有效期	Mon Jan 01 075959 2029
SHA1 哈希	329b78a5c9ebc2043242de90ce1b7c6b1ba6c692

证书链	Certificate Chain 2
发行给	Sectigo Public Code Signing CA R36
发行人	Sectigo Public Code Signing Root R46
有效期	Sat Mar 22 075959 2036
SHA1 哈希	0bc5e76773d2e44fc9903d4dfefe451553bbec4a

证书链	Certificate Chain 3
发行给	Slitherine Software UK Ltd.
发行人	Sectigo Public Code Signing CA R36
有效期	Wed Aug 03 075959 2022
SHA1 哈希	afc55df253f7c2f20e794c78ef16dac114fd9a90

证书链	Timestamp Chain 1
发行给	DigiCert Assured ID Root CA
发行人	DigiCert Assured ID Root CA
有效期	Mon Nov 10 080000 2031
SHA1 哈希	0563b8630d62d75abbc8ab1e4bdfb5a899b24d43

证书链	Timestamp Chain 2
发行给	DigiCert SHA2 Assured ID Timestamping CA
发行人	DigiCert Assured ID Root CA
有效期	Tue Jan 07 200000 2031
SHA1 哈希	3ba63a6e4841355772debef9cdcf4d5af353a297

证书链	Timestamp Chain 3
发行给	DigiCert Timestamp 2021
发行人	DigiCert SHA2 Assured ID Timestamping CA
有效期	Mon Jan 06 080000 2031
SHA1 哈希	e1d782a8e191beef6bca1691b5aab494a6249bf3

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
UPX0	0x00001000	0x000c8000	0x00000000	IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
UPX1	0x000c9000	0x0006e000	0x0006d200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	7.92
.rsrc	0x00137000	0x00008000	0x00007a00	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	5.53

覆盖

偏移量	0x00075000
大小	0x000021f0

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_CURSOR	0x001289e4	0x000000b4	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.44	data
RT_CURSOR	0x001289e4	0x000000b4	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.44	data
RT_BITMAP	0x001292a0	0x00000144	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.95	data
RT_BITMAP	0x001292a0	0x00000144	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.95	data
RT_BITMAP	0x001292a0	0x00000144	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.95	data
RT_BITMAP	0x001292a0	0x00000144	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.95	data
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_ICON	0x0013d654	0x00000468	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.48	GLS_BINARY_LSB_FIRST
RT_MENU	0x0012f5cc	0x00000056	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.12	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_DIALOG	0x0012fcac	0x000000e8	LANG_ENGLISH	SUBLANG_ENGLISH_US	6.99	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_STRING	0x00131378	0x0000002c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.12	data
RT_GROUP_CURSOR	0x001313a4	0x00000022	LANG_ENGLISH	SUBLANG_ENGLISH_US	4.91	data
RT_GROUP_ICON	0x0013dac0	0x00000084	LANG_ENGLISH	SUBLANG_ENGLISH_US	2.89	MS Windows icon resource - 9 icons, 48x48, 16 colors
RT_VERSION	0x0013db48	0x00000490	LANG_ENGLISH	SUBLANG_ENGLISH_US	3.43	data
RT_MANIFEST	0x0013dfdc	0x0000058c	LANG_ENGLISH	SUBLANG_ENGLISH_US	5.37	XML 1.0 document, ASCII text, with CRLF line terminators

导入

库: KERNEL32.DLL:

• 0x53e6d0 LoadLibraryA

• 0x53e6d4 GetProcAddress

• 0x53e6d8 VirtualProtect

• 0x53e6dc VirtualAlloc

• 0x53e6e0 VirtualFree

• 0x53e6e4 ExitProcess

库: ADVAPI32.dll:

• 0x53e6ec FreeSid

库: COMCTL32.dll:

• 0x53e6f4 None

库: comdlg32.dll:

• 0x53e6fc GetFileTitleA

库: GDI32.dll:

• 0x53e704 SaveDC

库: NETAPI32.dll:

• 0x53e70c Netbios

库: ole32.dll:

• 0x53e714 CoInitialize

库: OLEAUT32.dll:

• 0x53e71c RegisterTypeLib

库: oledlg.dll:

• 0x53e724 None

库: OLEPRO32.DLL:

• 0x53e72c None

库: SHELL32.dll:

• 0x53e734 DragFinish

库: urlmon.dll:

• 0x53e73c URLDownloadToFileA

库: USER32.dll:

• 0x53e744 GetDC

库: VERSION.dll:

• 0x53e74c VerQueryValueA

库: WININET.dll:

• 0x53e754 FtpOpenFileA

库: WINMM.dll:

• 0x53e75c timeGetTime

库: WINSPOOL.DRV:

• 0x53e764 OpenPrinterA

.rsrc
"7G7`{l
402wt
j|T\T

没有防病毒引擎扫描信息!

进程树

wSfA.exe id: 2628

搜索
wSfA.exe (2628)

wSfA.exe, PID: 2628, 上一级进程 PID: 2312

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.220.73.38	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	23.220.73.38	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 13.966 seconds )

11.093 Suricata
1.254 NetworkAnalysis
0.71 Static
0.359 TargetInfo
0.33 peid
0.191 BehaviorAnalysis
0.015 AnalysisInfo
0.011 Strings
0.002 Memory
0.001 config_decoder

Signatures ( 1.523 seconds )

1.369 proprietary_url_bl
0.02 antiav_detectreg
0.01 api_spamming
0.008 antiav_detectfile
0.008 infostealer_ftp
0.008 proprietary_domain_bl
0.007 stealth_decoy_document
0.007 stealth_timeout
0.006 antiemu_wine_func
0.006 anomaly_persistence_autorun
0.006 kovter_behavior
0.005 infostealer_browser_password
0.005 infostealer_im
0.005 ransomware_extensions
0.004 antianalysis_detectreg
0.004 geodo_banking_trojan
0.004 infostealer_bitcoin
0.004 ransomware_files
0.003 rat_nanocore
0.003 infostealer_mail
0.003 network_http
0.002 tinba_behavior
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.001 network_tor
0.001 bootkit
0.001 mimics_filetime
0.001 stealth_file
0.001 betabot_behavior
0.001 reads_self
0.001 ursnif_behavior
0.001 kibex_behavior
0.001 antivm_generic_scsi
0.001 antivm_generic_disk
0.001 cerber_behavior
0.001 virus
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_security
0.001 modify_proxy
0.001 disables_system_restore
0.001 proprietary_malicious_drop_executable_file_to_temp_folder
0.001 proprietary_bad_drop
0.001 network_cnc_http

Reporting ( 0.516 seconds )

0.472 ReportHTMLSummary
0.044 Malheur


Task ID	744234
Mongo ID	66273f417e769a1b238efbd5
Cuckoo release	1.4-Maldun