魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2024-04-25 21:50:46 2024-04-25 21:51:42 56 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-shaapp02-1 win7-sp1-x64-shaapp02-1 KVM 2024-04-25 21:50:46 2024-04-25 21:51:44
魔盾分数

10.0

恶意的

文件详细信息

文件名 alivirus.zip
文件大小 9058192 字节
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
CRC32 A2F42DC6
MD5 9940a0c1484288fff1d6a7bce1dd9561
SHA1 65e8f06f73a391586c3c475cdef10288e6bc9386
SHA256 544ed85205c3c0a2b26c03963fef5423206cf0209085b804714cd2e9a973e4ee
SHA512 f7d9d186b9bb2d753edaaad939daa35422648b413e6ee8bbff5577afbb56e39f21abf0953c65a6fa4966a4948c1389b9fa15e4db52919a510786b8f4b8d8f791
Ssdeep 24576:0Bqt4w6eHFLFA9F6JPiFcbeVCShWNDKf+idZWCQYJS8Nn72dT9INofiALF9eECnq:wU4w6eHFLFA94JPiFcbIbIZ
PEiD 无匹配
Yara
  • vmdetect (Possibly employs anti-virtualization techniques)
  • screenshot (Detected take screenshot function)
  • create_process (Detection function for creating a new process)
  • win_hook (Detected hook table access function)
  • Proprietary_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE64 (Detected a 64bit PE sample)
  • IsWindowsGUI (Detected a Windows GUI sample)
  • HasOverlay (Detected Overlay signature)
  • HasDigitalSignature (Detected Digital Signature)
  • with_urls (Detected the presence of an or several urls)
VirusTotal VirusTotal查询失败

特征

IP地址信誉系统
Greylist: 104.208.16.93
专有的Yara规则检测结果 - 安全告警
Informational: Possibly employs anti-virtualization techniques
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
检测到样本尝试模糊或欺骗文件类型

运行截图

网络分析

访问主机记录

直接访问 IP地址 国家名
104.208.16.93 United States

域名解析

域名 响应
watson.microsoft.com A 104.208.16.93
CNAME legacywatson.trafficmanager.net
CNAME onedsblobprdcus07.centralus.cloudapp.azure.com

TCP连接

IP地址 端口
23.15.196.139 80

UDP连接

IP地址 端口
192.168.122.1 53
192.168.122.1 53

HTTP请求

URL HTTP数据
http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip 
GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1
Accept: */*
If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT
User-Agent: IPM
Host: acroipm.adobe.com
Connection: Keep-Alive
Cache-Control: no-cache

静态分析

投放文件

JD20244__TalentAlibabainc.exe

文件名 JD20244__TalentAlibabainc.exe
相关文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\JD20244__TalentAlibabainc.exe
文件大小 9058192 bytes
文件类型 PE32+ executable (GUI) x86-64, for MS Windows
MD5 9940a0c1484288fff1d6a7bce1dd9561
SHA1 65e8f06f73a391586c3c475cdef10288e6bc9386
SHA256 544ed85205c3c0a2b26c03963fef5423206cf0209085b804714cd2e9a973e4ee
SHA512 f7d9d186b9bb2d753edaaad939daa35422648b413e6ee8bbff5577afbb56e39f21abf0953c65a6fa4966a4948c1389b9fa15e4db52919a510786b8f4b8d8f791
Ssdeep 24576:0Bqt4w6eHFLFA9F6JPiFcbeVCShWNDKf+idZWCQYJS8Nn72dT9INofiALF9eECnq:wU4w6eHFLFA94JPiFcbIbIZ
VirusTotal 搜索相关分析

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

cmd.exe PID: 2632, 上一级进程 PID: 2236

JD20244__TalentAlibabainc.exe PID: 2808, 上一级进程 PID: 2632

访问的文件
  • C:\Users\test\AppData\Local\Temp\zip-tmp\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\sysnative\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\system\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Windows\api-ms-win-appmodel-runtime-l1-1-1.DLL
  • C:\Users\test\AppData\Local\Temp\api-ms-win-appmodel-runtime-l1-1-1.DLL
读取的文件
  • C:\Users\test\AppData\Local\Temp\api-ms-win-appmodel-runtime-l1-1-1.DLL
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析
  • api-ms-win-appmodel-runtime-l1-1-1.dll.GetCurrentPackageId