魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2024-04-25 21:16:32 2024-04-25 21:17:21 49 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp03-1 win7-sp1-x64-shaapp03-1 KVM 2024-04-25 21:16:33 2024-04-25 21:17:22
魔盾分数

10.0

恶意的

文件详细信息

文件名 pp.zip
文件大小 98328 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
CRC32 465D2545
MD5 eec9115f8e5b1e4c825680b013dbe09e
SHA1 a286461276ff049caac768000aaa008e30664cd6
SHA256 1316319b6b332c4654861f655c6e663a46638c1e222e6d535a22c2f1c5423d35
SHA512 21ead461cb3aa93e6f1282f0229838b8df4efb7c0ddd8e4941f9627f0550300f650a40be8aed8b16c6c552099b0996da345a7548040254a533feefb7abc7bc0b
Ssdeep 1536:rFsQhIxHHWMpdPa5wiE21M8kJIGFvb1Cwr/x3shyhY:rFNSwMpdCq/IM8uIGfh/x3sSY
PEiD 无匹配
Yara
  • with_urls (Detected the presence of an or several urls)
  • IsPE64 (Detected a 64bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • HasOverlay (Detected Overlay signature)
  • HasDebugData (Detected Debug Data)
  • HasRichSignature (Detected Rich Signature)
  • DebuggerTiming__PerformanceCounter ()
  • anti_dbg (Detected self protection if being debugged)
VirusTotal VirusTotal查询失败

特征

IP地址信誉系统
Greylist: 104.208.16.93
专有的Yara检测结果 - 普通
可疑的样本异常终止
检测到样本尝试模糊或欺骗文件类型

运行截图

网络分析

访问主机记录

直接访问 IP地址 国家名
104.208.16.93 United States

域名解析

域名 响应
watson.microsoft.com A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP连接

IP地址 端口
23.209.84.72 80

UDP连接

IP地址 端口
192.168.122.1 53
192.168.122.1 53

HTTP请求

URL HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

静态分析

投放文件

pythonwc.exe

文件名 pythonwc.exe
相关文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\pythonwc.exe
文件大小 98328 bytes
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 eec9115f8e5b1e4c825680b013dbe09e
SHA1 a286461276ff049caac768000aaa008e30664cd6
SHA256 1316319b6b332c4654861f655c6e663a46638c1e222e6d535a22c2f1c5423d35
SHA512 21ead461cb3aa93e6f1282f0229838b8df4efb7c0ddd8e4941f9627f0550300f650a40be8aed8b16c6c552099b0996da345a7548040254a533feefb7abc7bc0b
Ssdeep 1536:rFsQhIxHHWMpdPa5wiE21M8kJIGFvb1Cwr/x3shyhY:rFNSwMpdCq/IM8uIGfh/x3sSY
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

cmd.exe PID: 2624, 上一级进程 PID: 2264

pythonwc.exe PID: 2804, 上一级进程 PID: 2624

访问的文件
  • C:\Users\test\AppData\Local\Temp\python.bin
  • C:\Users\test\AppData\Local\Temp
  • C:\Users\test\AppData\Local\Temp\zip-tmp\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\sysnative\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\system\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\api-ms-win-core-file-l2-1-1.DLL
  • C:\Users\test\AppData\Local\Temp\api-ms-win-core-file-l2-1-1.DLL
  • C:\ProgramData\Oracle\Java\javapath\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\sysnative\wbem\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\sysnative\WindowsPowerShell\v1.0\api-ms-win-core-file-l2-1-1.DLL
  • C:\Program Files (x86)\WinRAR\api-ms-win-core-file-l2-1-1.DLL
  • C:\Windows\sysnative\tzres.dll
  • C:\Users\test\AppData\Local\Temp\zip-tmp\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\sysnative\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\system\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Users\test\AppData\Local\Temp\api-ms-win-appmodel-runtime-l1-1-1.DLL
读取的文件
  • C:\Users\test\AppData\Local\Temp\python.bin
  • C:\Windows\sysnative\tzres.dll
  • C:\Users\test\AppData\Local\Temp\api-ms-win-appmodel-runtime-l1-1-1.DLL
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting\WMR
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\WMR\Disable
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\WMR\Disable
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析
  • kernel32.dll.FlsGetValue
  • kernel32.dll.AreFileApisANSI
  • kernel32.dll.GetFileInformationByHandleEx
  • api-ms-win-appmodel-runtime-l1-1-1.dll.GetCurrentPackageId