恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-1	2024-04-26 17:54:46	2024-04-26 17:55:29	43 秒

魔盾分数

3.025

可疑的

文件详细信息

文件名	KISServer.exe
文件大小	5709824 字节
文件类型	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	2bdfcfe09bda041eac1c58d326cc4b77
SHA1	6178600845bb6a7e0d626b4a0a9a684ac1e409d8
SHA256	1af7b54513d0f193d4d1d53fa4a459fa61917ed9ed3f7acf10dadc393d86c39c
SHA512	988f93d3796d899850aad01fc80d1817a381cc26d6c1aa07ec615bf2b380b1c358d95d494f4682cd14369a96331f193f625052738a073aed0512f98f386e5cf9
CRC32	54FDB11E
Ssdeep	98304:dqroxsBe71ERHE5UdtdsC2C09L6y80kFIYdfgs5IXz1YLvy:+ts71ERH9d1r09+y89IYIxC
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00aa0b3c
声明校验值	0x0057343f
实际校验值	0x0057343f
最低操作系统版本要求	5.0
编译时间	2021-11-16 16:47:06
载入哈希	9e74e122ff6daeab4a92610375b6871d
图标
图标精确哈希值	258e516ea97b9b92b12ac06647966706
图标相似性哈希值	029bdc6afb2fb229206a7aefed976fdb
导出DLL库名称	MZ\x90

版本信息

Translation
InternalName
FileVersion
CompanyName
ProductName
ProductVersion
FileDescription
OriginalFilename

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x001e02d4	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.data	0x001e2000	0x00007bf8	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.virbox	0x001ea000	0x0005472b	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.vdata0	0x0023f000	0x00001200	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	0.00
.vdata1	0x00241000	0x000026a8	0x00000000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.00
.dat0	0x00244000	0x00344237	0x00000000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	0.00
.dat1	0x00589000	0x0056e890	0x0056f000	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	7.96
.rsrc	0x00af8000	0x00001e3c	0x00002000	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ	5.69

资源

名称	偏移量	大小	语言	子语言	熵(Entropy)	文件类型
RT_ICON	0x00af9730	0x00000468	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.31	GLS_BINARY_LSB_FIRST
RT_ICON	0x00af9730	0x00000468	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.31	GLS_BINARY_LSB_FIRST
RT_ICON	0x00af9730	0x00000468	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.31	GLS_BINARY_LSB_FIRST
RT_ICON	0x00af9730	0x00000468	LANG_NEUTRAL	SUBLANG_NEUTRAL	5.31	GLS_BINARY_LSB_FIRST
RT_GROUP_ICON	0x00af9b98	0x0000003e	LANG_NEUTRAL	SUBLANG_NEUTRAL	3.08	MS Windows icon resource - 4 icons, 24x24
RT_VERSION	0x00af9bd8	0x00000264	LANG_ENGLISH	SUBLANG_ENGLISH_US	3.21	data

导入

库: MSVBVM60.DLL:

• 0xec3000 EVENT_SINK_GetIDsOfNames

库: WTSAPI32.dll:

• 0xec3008 WTSSendMessageW

库: KERNEL32.dll:

• 0xec3010 VirtualQuery

库: USER32.dll:

• 0xec3018 GetProcessWindowStation

库: KERNEL32.dll:

• 0xec3020 LocalAlloc

• 0xec3024 LocalFree

• 0xec3028 GetModuleFileNameW

• 0xec302c GetProcessAffinityMask

• 0xec3030 SetProcessAffinityMask

• 0xec3034 SetThreadAffinityMask

• 0xec3038 Sleep

• 0xec303c ExitProcess

• 0xec3040 FreeLibrary

• 0xec3044 LoadLibraryA

• 0xec3048 GetModuleHandleA

• 0xec304c GetProcAddress

库: USER32.dll:

• 0xec3054 GetProcessWindowStation

• 0xec3058 GetUserObjectInformationW

.text
`.data
.virbox
`.vdata0
@.vdata1
.dat0
`.dat1
`.rsrc
MSVBVM60.DLL
Qr?1f
,'[U!
FreeLibrary
f_pA&q
RE:'a'

没有防病毒引擎扫描信息!

进程树

KISServer.exe id: 2604

搜索
KISServer.exe (2604)

KISServer.exe, PID: 2604, 上一级进程 PID: 2264

缺省注册表文件系统网络进程线程服务设备同步加密浏览器全部

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	184.50.27.11	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.201	49160	184.50.27.11	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.201	59401	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 19.274 seconds )

12.161 Suricata
3.52 Static
1.757 NetworkAnalysis
1.34 TargetInfo
0.395 peid
0.058 BehaviorAnalysis
0.018 config_decoder
0.012 Strings
0.011 AnalysisInfo
0.002 Memory

Signatures ( 1.448 seconds )

1.326 proprietary_url_bl
0.019 antiav_detectreg
0.011 antiav_detectfile
0.008 infostealer_ftp
0.008 proprietary_domain_bl
0.006 anomaly_persistence_autorun
0.004 tinba_behavior
0.004 rat_nanocore
0.004 antianalysis_detectreg
0.004 geodo_banking_trojan
0.004 infostealer_bitcoin
0.004 infostealer_im
0.004 ransomware_extensions
0.004 ransomware_files
0.003 api_spamming
0.003 infostealer_mail
0.003 network_http
0.002 stealth_decoy_document
0.002 kibex_behavior
0.002 cerber_behavior
0.002 stealth_timeout
0.002 antivm_vbox_files
0.002 disables_browser_warn
0.002 proprietary_bad_drop
0.001 network_tor
0.001 betabot_behavior
0.001 ursnif_behavior
0.001 kazybot_behavior
0.001 shifu_behavior
0.001 bypass_firewall
0.001 antivm_parallels_keys
0.001 antivm_xen_keys
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 browser_security
0.001 modify_proxy
0.001 proprietary_malicious_drop_executable_file_to_temp_folder
0.001 network_cnc_http

Reporting ( 0.565 seconds )

0.509 ReportHTMLSummary
0.056 Malheur


Task ID	744350
Mongo ID	662b7a547e769a5b6bbf3159
Cuckoo release	1.4-Maldun