VirSCAN VirSCAN

1, Podés SUBIR cualquier archivo de hasta 20MB.
2, VirSCAN soporta descompresión Rar/Zip de hasta 20 archivos.
3, VirSCAN puede escanear archivos comprimidos con la contraseña 'infected' o 'virus'.

Idioma
Carga del Servidor
Server Load

Información del archivo
Calificación de seguridad:81
Lista de comportamiento
Información básica
MD5:32efd03a28f09224d47db9813c9351d0
Tipo de archivo:EXE
Compañía de producción:Hermit
Versión:1.0.1.5---1.0.1.5
Información de shell o compilador:COMPILER:Upack 0.3.9 beta2s -> Dwing [Overlay]
Información de subarchivo:upack0.34_49a75393dumpFile / b185a7bdb3a342b938cb3f06678c4245 / EXE
Comportamiento clave
Descripción del comportamiento:设置特殊文件夹属性
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\IETldCache
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0x970f9342, EDX = 0x000000b9
EAX = 0x970f938e, EDX = 0x000000b9
EAX = 0x970f93da, EDX = 0x000000b9
EAX = 0x15960e10, EDX = 0x000000ba
EAX = 0x15960e5c, EDX = 0x000000ba
EAX = 0x15960ea8, EDX = 0x000000ba
EAX = 0x15960ef4, EDX = 0x000000ba
Comportamiento del proceso
Descripción del comportamiento:创建本地线程
Detalles:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2620, ThreadID = 2656, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2620, ThreadID = 2828, StartAddress = 7C947EBB, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2620, ThreadID = 2832, StartAddress = 7C930230, Parameter = 00000000
Comportamiento del archivo
Descripción del comportamiento:创建文件
Detalles:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_dcff734b-bc3f-43cb-8911-9b5d467629cf
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
Descripción del comportamiento:创建可执行文件
Detalles:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
Descripción del comportamiento:查找文件
Detalles:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_*
FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\WINDOWS\system32\Ras\*.pbk
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
Descripción del comportamiento:重命名文件
Detalles:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[32efd03a28f09224d47db9813c9351d0]
Descripción del comportamiento:设置特殊文件夹属性
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\IETldCache
Descripción del comportamiento:修改文件内容
Detalles:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_dcff734b-bc3f-43cb-8911-9b5d467629cf ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> Offset = 0
Comportamiento de la red
Descripción del comportamiento:连接指定站点
Detalles:InternetConnectA: ServerName = 20****cn, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
Descripción del comportamiento:打开HTTP连接
Detalles:InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0), hSession = 0x00cc0004
Descripción del comportamiento:建立到一个指定的套接字连接
Detalles:URL: 20****cn, IP: **.133.40.**:80, SOCKET = 0x00000338
Descripción del comportamiento:读取网络文件
Detalles:hFile = 0x00cc000c, BytesToRead =102400, BytesRead = 102400.
Descripción del comportamiento:发送HTTP包
Detalles:GET /api/checkVersion?id=2ceda52db69c4315a9047d35d17d1e50&version=2.6 HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Accept: */* Host: 20****cn Cache-Control: no-cache
Descripción del comportamiento:打开HTTP请求
Detalles:HttpOpenRequestA: 20****cn:80/api/checkversion?id=2ceda52db69c4315a9047d35d17d1e50&version=2.6, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x84000000
Descripción del comportamiento:按名称获取主机地址
Detalles:GetAddrInfoW: 20****cn
Comportamiento del registro
Descripción del comportamiento:修改注册表
Detalles:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
Descripción del comportamiento:删除注册表键值
Detalles:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
Otro comportamiento
Descripción del comportamiento:创建互斥体
Detalles:RasPbFile
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
Local\c:!documents and settings!administrator!ietldcache!
MSCTF.Shared.MUTEX.IOH
Descripción del comportamiento:创建事件对象
Detalles:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
Descripción del comportamiento:打开互斥体
Detalles:RasPbFile
ShimCacheMutex
Local\_!MSFTHISTORY!_
Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Local\c:!documents and settings!administrator!cookies!
Local\c:!documents and settings!administrator!local settings!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
Local\!IETld!Mutex
Local\c:!documents and settings!administrator!ietldcache!
Descripción del comportamiento:查找指定窗口
Detalles:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
Descripción del comportamiento:窗口信息
Detalles:Pid = 2620, Hwnd=0x103e4, Text = 确定, ClassName = Button.
Pid = 2620, Hwnd=0x103e8, Text = 运行时出错! 错误代码:1 错误信息:数组成员引用下标超出定义范围 , ClassName = Static.
Pid = 2620, Hwnd=0x403da, Text = 错误, ClassName = #32770.
Descripción del comportamiento:打开事件
Detalles:HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
\INSTALLATION_SECURITY_HOLD
Global\crypt32LogoffEvent
Global\SvcctrlStartEvent_A3752DX
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
Descripción del comportamiento:可执行文件签名信息
Detalles:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe(签名验证: 未通过)
Descripción del comportamiento:隐藏指定窗口
Detalles:[Window,Class] = [资源类,Button]
[Window,Class] = [属性类,Button]
[Window,Class] = [其他类,Button]
[Window,Class] = [变量,Button]
[Window,Class] = [使用说明: 1:输入变量.例:udg_wjjf 全局例:udg_Time_S[1] 2.长度没有则不填 3.确定.后面提示提成后即可(需要变动数据才能保存),Afx:400000:b:10011:1900015:0]
[Window,Class] = [物品:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [单位:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [,Edit]
[Window,Class] = [按钮,Button]
[Window,Class] = [哈希碰撞,Button]
[Window,Class] = [自定义,Button]
[Window,Class] = [ 说明: 资源类快捷键:F3;属性类快捷键:F4;呼出隐藏:HOME键 其他按键: 弱怪:Shift+A 无敌:Shift+Z 取消无敌Shift+X 商城:Shift+E 瞬移:P键 F5:War3Lua存档 控制单位:F6 无CD:F7 全屏秒杀:F8 全图:End 临时解除黑名单限制,需要在加载画面开启 哈希碰撞目前仅为测试版,如有问题请及时反馈.,Afx:400000:b:10011:1900015:0]
[Window,Class] = [一键商城,Button]
[Window,Class] = [War3Lua,Button]
[Window,Class] = [--内置参数调用说明: CallApiPlayer=CallApi("GetLocalPlayer","i") Player=GetLocalPlayer() Level=DzAPI_Map_GetMapLevel(Player) --调用例子1 DzAPI_Map_StoreIntege(Player,"YDGD",888888)--元旦糕点 --调用例子2 CallApi("DzAPI_Map_StoreIntege","s",CallApiPlaye
Descripción del comportamiento:可执行文件MD5
Detalles:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> 32efd03a28f09224d47db9813c9351d0
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0x970f9342, EDX = 0x000000b9
EAX = 0x970f938e, EDX = 0x000000b9
EAX = 0x970f93da, EDX = 0x000000b9
EAX = 0x15960e10, EDX = 0x000000ba
EAX = 0x15960e5c, EDX = 0x000000ba
EAX = 0x15960ea8, EDX = 0x000000ba
EAX = 0x15960ef4, EDX = 0x000000ba
Ejecutar captura de pantalla
VirSCAN

Acerca de VirSCAN | Política de Privacidad | Contactanos | Enlace amigable | Ayudá a VirSCAN
Traducido por Marcelo Ois Lagarde, Argentina
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号