魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2022-07-04 13:40:56 2022-07-04 13:41:43 47 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2022-07-04 13:40:57 2022-07-04 13:41:43
魔盾分数

4.592

可疑的

文件详细信息

文件名 _SolidSQUAD_.zip
文件大小 97792 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
CRC32 4F6DC04C
MD5 40ad52111e2997dc064e000dc32ecee3
SHA1 c233c9da67421734d5aa153ed729c9f2b65a7cf7
SHA256 5357844c0f6ca3154ca7f1ea552410738c9bfe92cdc81bfdfdf47f3c06da25ad
SHA512 2e6737da7f2fdac09daf5594d2bac215e1e8cd0121699dc36a5762f01fbf5c767b3d1e13726c7001dfa980b04c6180f2f32bbff16023185b73a0d880840b8ca3
Ssdeep 1536:sNpz/FLoOsSGItywYm6+nbvQYSiFOyUkBN3uLww2wylY2u:sPrFLngXNyOaPBkkFwylY
PEiD 无匹配
Yara
  • DebuggerTiming__PerformanceCounter ()
  • DebuggerTiming__Ticks (Detected timing ticks function)
  • DebuggerException__SetConsoleCtrl ()
  • anti_dbg (Detected self protection if being debugged)
  • escalate_priv (Detected escalate priviledges function)
  • win_registry (Detected system registries modification function)
  • change_win_registry (Change registries to affect system)
  • win_token (Affect system token)
  • win_files_operation (Affect private profile)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsConsole (Detected a console program sample)
  • HasRichSignature (Detected Rich Signature)
VirusTotal VirusTotal查询失败

特征

魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
检测到样本尝试模糊或欺骗文件类型

运行截图

网络分析

访问主机记录

直接访问 IP地址 国家名
13.89.179.12 United States

域名解析

域名 响应
watson.microsoft.com CNAME onedsblobprdcus17.centralus.cloudapp.azure.com
A 13.89.179.12
CNAME legacywatson.trafficmanager.net

TCP连接

IP地址 端口
23.59.190.8 80

UDP连接

IP地址 端口
192.168.122.1 53
192.168.122.1 53

HTTP请求

URL HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

静态分析

投放文件

installs.exe

文件名 installs.exe
相关文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\installs.exe
文件大小 97792 bytes
文件类型 PE32 executable (console) Intel 80386, for MS Windows
MD5 40ad52111e2997dc064e000dc32ecee3
SHA1 c233c9da67421734d5aa153ed729c9f2b65a7cf7
SHA256 5357844c0f6ca3154ca7f1ea552410738c9bfe92cdc81bfdfdf47f3c06da25ad
SHA512 2e6737da7f2fdac09daf5594d2bac215e1e8cd0121699dc36a5762f01fbf5c767b3d1e13726c7001dfa980b04c6180f2f32bbff16023185b73a0d880840b8ca3
Ssdeep 1536:sNpz/FLoOsSGItywYm6+nbvQYSiFOyUkBN3uLww2wylY2u:sPrFLngXNyOaPBkkFwylY
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

cmd.exe PID: 2668, 上一级进程 PID: 2180

installs.exe PID: 2760, 上一级进程 PID: 2668

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析
  • kernel32.dll.FlsAlloc
  • kernel32.dll.FlsGetValue
  • kernel32.dll.FlsSetValue
  • kernel32.dll.FlsFree