比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp02-2 2024-04-26 14:28:39 2024-04-26 14:29:46 67 秒

魔盾分数

10.0

危险的

文件详细信息

文件名 A J 2.0.0.3.vmp.exe
文件大小 22093824 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
MD5 a01c635488f1edd2b0f5347bba576a11
SHA1 a32dbe949ccbcf1427f4d75ebe2bedfc08c405f0
SHA256 a8e5c763933b6ab44830a05178649933947e08ba11fb307fef24f413b29257db
SHA512 3d70c09b1dc9577722511907df450950f515f75405329055660fbbadac8044f8a3b9b955ddeb72da55376b779a7bf81b40e87c86fb52ea465e5c1261611cd284
CRC32 CF43D4B4
Ssdeep 393216:UXCnsep0GU75Ku2Jbl8ZUb24/UJdEEOLF54HQcYkGENiTgD0VI0:UXCsepjU75Ku2Yq2DWLFDk3TAVF
Yara 登录查看Yara规则
找不到该样本 提交误报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
120.24.220.183 中国

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址 0x00400000
入口地址 0x02be927f
声明校验值 0x00000000
最低操作系统版本要求 5.0
编译时间 2024-04-25 23:07:43
载入哈希 59d1b96b4f18f77e9d5590e349c4d60b

版本信息

LegalCopyright
FileVersion
Comments
ProductName
ProductVersion
FileDescription
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000f1f06 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x000f3000 0x013917c8 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x01485000 0x000523ca 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.Nn3 0x014d8000 0x0068e865 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.:T- 0x01b67000 0x00000a8c 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.22
.TIX 0x01b68000 0x0150ea10 0x0150f000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 7.99
.rsrc 0x03077000 0x00000ecd 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.65

导入

库: WINMM.dll:
0x1f67000 midiStreamOut
库: WS2_32.dll:
0x1f67008 WSACleanup
库: KERNEL32.dll:
0x1f67010 GetVersion
0x1f67014 GetVersionExA
库: USER32.dll:
0x1f6701c SetWindowRgn
库: GDI32.dll:
0x1f67024 GetViewportExtEx
库: WINSPOOL.DRV:
0x1f6702c OpenPrinterA
库: ADVAPI32.dll:
0x1f67034 RegQueryValueExA
库: SHELL32.dll:
0x1f6703c Shell_NotifyIconA
库: ole32.dll:
0x1f67044 CLSIDFromProgID
库: OLEAUT32.dll:
0x1f6704c UnRegisterTypeLib
库: COMCTL32.dll:
0x1f67054 None
库: comdlg32.dll:
0x1f6705c ChooseColorA
库: KERNEL32.dll:
库: KERNEL32.dll:
0x1f6706c HeapAlloc
0x1f67070 HeapFree
0x1f67074 ExitProcess
0x1f67078 GetModuleHandleA
0x1f6707c LoadLibraryA
0x1f67080 GetProcAddress
.text
`.rdata
@.data
`.:T-
`.rsrc
\`fzqQ
Of3T$
Br;=mK+
没有防病毒引擎扫描信息!

进程树

A J 2.0.0.3.vmp.exe, PID: 2696, 上一级进程 PID: 2332
cmd.exe, PID: 1768, 上一级进程 PID: 2696
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

直接 IP 安全评级 地理位置
120.24.220.183 中国

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49162 120.24.220.183 7486
192.168.122.202 49157 23.199.47.133 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 60917 192.168.122.1 53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址 源端口 目标地址 目标端口
192.168.122.202 49162 120.24.220.183 7486
192.168.122.202 49157 23.199.47.133 80

UDP

源地址 源端口 目标地址 目标端口
192.168.122.202 60917 192.168.122.1 53

HTTP 请求

URI HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache
URL专业沙箱检测 -> http://120.24.220.183:7486/myauth/soft/init 
POST /myauth/soft/init HTTP/1.1
Connection: Keep-Alive
Content-Type: application/json
Accept: */*
Referer: http://120.24.220.183:7486/myauth/soft/init
User-Agent: MyAuth
Content-Length: 210
Host: 120.24.220.183:7486

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 58.66 seconds )

  • 35.909 Static
  • 10.701 Suricata
  • 4.503 TargetInfo
  • 3.922 AnalysisInfo
  • 3.063 NetworkAnalysis
  • 0.256 peid
  • 0.152 BehaviorAnalysis
  • 0.137 config_decoder
  • 0.015 Strings
  • 0.002 Memory

Signatures ( 39.602 seconds )

  • 37.983 network_http
  • 1.478 proprietary_url_bl
  • 0.023 antiav_detectreg
  • 0.009 infostealer_ftp
  • 0.008 api_spamming
  • 0.007 proprietary_domain_bl
  • 0.006 stealth_decoy_document
  • 0.006 anomaly_persistence_autorun
  • 0.006 stealth_timeout
  • 0.006 antiav_detectfile
  • 0.005 infostealer_im
  • 0.004 antivm_vbox_libs
  • 0.004 antianalysis_detectreg
  • 0.004 geodo_banking_trojan
  • 0.004 infostealer_bitcoin
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_mail
  • 0.002 tinba_behavior
  • 0.002 rat_nanocore
  • 0.002 exec_crash
  • 0.002 antivm_vbox_files
  • 0.002 disables_browser_warn
  • 0.001 antiemu_wine_func
  • 0.001 antiav_avast_libs
  • 0.001 mimics_filetime
  • 0.001 stealth_file
  • 0.001 antivm_vmware_libs
  • 0.001 proprietary_anomaly_massive_file_ops
  • 0.001 betabot_behavior
  • 0.001 reads_self
  • 0.001 antisandbox_sunbelt_libs
  • 0.001 antisandbox_sboxie_libs
  • 0.001 antiav_bitdefender_libs
  • 0.001 kibex_behavior
  • 0.001 antivm_generic_scsi
  • 0.001 antivm_generic_disk
  • 0.001 infostealer_browser_password
  • 0.001 cerber_behavior
  • 0.001 virus
  • 0.001 kovter_behavior
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 disables_system_restore
  • 0.001 proprietary_malicious_drop_executable_file_to_temp_folder
  • 0.001 proprietary_bad_drop
  • 0.001 network_cnc_http

Reporting ( 0.538 seconds )

  • 0.531 ReportHTMLSummary
  • 0.007 Malheur
Task ID 744336
Mongo ID 662b4a64dc327b93ae415ad5
Cuckoo release 1.4-Maldun