魔盾安全分析报告

分析类型	开始时间	结束时间	持续时间	分析引擎版本
FILE	2021-05-11 14:16:20	2021-05-11 14:17:01	41 秒	1.4-Maldun

虚拟机机器名	标签	虚拟机管理	开机时间	关机时间
win7-sp1-x64-shaapp03-1	win7-sp1-x64-shaapp03-1	KVM	2021-05-11 14:16:20	2021-05-11 14:17:02

魔盾分数
6.4 恶意的

文件详细信息

文件名	_SolidSQUAD_.7z
文件大小	97792 字节
文件类型	PE32 executable (console) Intel 80386, for MS Windows
CRC32	4F6DC04C
MD5	40ad52111e2997dc064e000dc32ecee3
SHA1	c233c9da67421734d5aa153ed729c9f2b65a7cf7
SHA256	5357844c0f6ca3154ca7f1ea552410738c9bfe92cdc81bfdfdf47f3c06da25ad
SHA512	2e6737da7f2fdac09daf5594d2bac215e1e8cd0121699dc36a5762f01fbf5c767b3d1e13726c7001dfa980b04c6180f2f32bbff16023185b73a0d880840b8ca3
Ssdeep	1536:sNpz/FLoOsSGItywYm6+nbvQYSiFOyUkBN3uLww2wylY2u:sPrFLngXNyOaPBkkFwylY
PEiD	无匹配
Yara	IsPE32 (Detected a 32bit PE sample) IsConsole (Detected a console program sample) HasRichSignature (Detected Rich Signature) DebuggerTiming__PerformanceCounter () DebuggerTiming__Ticks (Detected timing ticks function) DebuggerException__SetConsoleCtrl () anti_dbg (Detected self protection if being debugged) escalate_priv (Detected escalate priviledges function) win_registry (Detected system registries modification function) change_win_registry (Change registries to affect system) win_token (Affect system token) win_files_operation (Affect private profile) Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
VirusTotal	VirusTotal查询失败

特征

魔盾安全Yara规则检测结果 - 安全告警

Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files

检测到样本尝试模糊或欺骗文件类型

运行截图

网络分析

域名解析

域名	响应
acroipm.adobe.com	CNAME acroipm.adobe.com.edgesuite.net A 184.28.81.214 CNAME a1983.dscd.akamai.net A 184.28.81.229
watson.microsoft.com	CNAME blobcollector.events.data.trafficmanager.net CNAME skypedataprdcoleus15.cloudapp.net A 40.88.32.150

TCP连接

IP地址	端口
184.28.81.214	80

UDP连接

IP地址	端口
192.168.122.1	53
192.168.122.1	53

HTTP请求

URL	HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

静态分析

投放文件

installs.exe

文件名	installs.exe
相关文件	C:\Users\test\AppData\Local\Temp\7z-tmp\installs.exe
文件大小	97792 bytes
文件类型	PE32 executable (console) Intel 80386, for MS Windows
MD5	40ad52111e2997dc064e000dc32ecee3
SHA1	c233c9da67421734d5aa153ed729c9f2b65a7cf7
SHA256	5357844c0f6ca3154ca7f1ea552410738c9bfe92cdc81bfdfdf47f3c06da25ad
SHA512	2e6737da7f2fdac09daf5594d2bac215e1e8cd0121699dc36a5762f01fbf5c767b3d1e13726c7001dfa980b04c6180f2f32bbff16023185b73a0d880840b8ca3
Ssdeep	1536:sNpz/FLoOsSGItywYm6+nbvQYSiFOyUkBN3uLww2wylY2u:sPrFLngXNyOaPBkkFwylY
VirusTotal	搜索相关分析

行为分析

互斥量(Mutexes) 无信息

执行的命令 无信息

创建的服务 无信息

启动的服务 无信息

进程

cmd.exe PID: 2556, 上一级进程 PID: 2156

installs.exe PID: 2760, 上一级进程 PID: 2556

访问的文件 无信息

读取的文件 无信息

修改的文件 无信息

删除的文件 无信息

注册表键

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

读取的注册表键

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

修改的注册表键 无信息

删除的注册表键 无信息

API解析

kernel32.dll.FlsAlloc
kernel32.dll.FlsGetValue
kernel32.dll.FlsSetValue
kernel32.dll.FlsFree