VirSCAN VirSCAN

1, Podés SUBIR cualquier archivo de hasta 20MB.
2, VirSCAN soporta descompresión Rar/Zip de hasta 20 archivos.
3, VirSCAN puede escanear archivos comprimidos con la contraseña 'infected' o 'virus'.

Idioma
Carga del Servidor
Server Load

Información del archivo
Calificación de seguridad:40
Lista de comportamiento
Información básica
MD5:53831527dc49ce5bf7eb0937870ab120
Tipo de archivo:EXE
Compañía de producción:
Versión:0.0.0.0
Información de shell o compilador:PACKER:PE+(64)
Comportamiento clave
Descripción del comportamiento:跨进程写入数据
Detalles:TargetProcess = calc.exe, WriteAddress = 0x000001EE68290000, Size = 0x002c4000
TargetProcess = calc.exe, WriteAddress = 0x00000017C0C52000, Size = 0x00000248
Descripción del comportamiento:设置线程上下文
Detalles:C:\Users\Administrator\AppData\Local\%temp%\****.exe
Descripción del comportamiento:设置启动项
Detalles:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\calc.lnk
Comportamiento del proceso
Descripción del comportamiento:隐藏窗口创建进程
Detalles:ImagePath = C:\Windows\System32\%temp%\****.exe, CmdLine = %temp%\**** --machinereadable -- C:/07c18980de59b70b44f118fe7e28dc64_TagFile.txt
Descripción del comportamiento:创建进程
Detalles:[0x000009ac]ImagePath = C:\Windows\System32\calc.exe, CmdLine = -o pooleu.xmrminingpool.net:2222 -u 46XtjyN7vtB96vUnrtqY4GYmuEJWdEng4cTsbijtA1D4bBsKiXiU7d5HWVJPb9Gs68djnMjofRx7LPanVpTGYRDn9VpZ8Y9 -p 1CpuActive64 --max-cpu-usage=50
[0x00000e1c]ImagePath = C:\Windows\System32\conhost.exe, CmdLine = \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
[0x00000fa0]ImagePath = C:\Windows\System32\slui.exe, CmdLine = "C:\Windows\System32\SLUI.exe" RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
[0x00000894]ImagePath = C:\Windows\System32\conhost.exe, CmdLine = \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Descripción del comportamiento:创建本地线程
Detalles:ProcessId = 1844, ThreadId = 3876.
ProcessId = 3612, ThreadId = 1352.
ProcessId = 3612, ThreadId = 912.
ProcessId = 3460, ThreadId = 3868.
ProcessId = 3460, ThreadId = 3156.
ProcessId = 2476, ThreadId = 1292.
ProcessId = 2476, ThreadId = 2084.
ProcessId = 2476, ThreadId = 3844.
ProcessId = 2476, ThreadId = 3672.
ProcessId = 2476, ThreadId = 2212.
ProcessId = 2476, ThreadId = 180.
ProcessId = 2476, ThreadId = 3452.
ProcessId = 856, ThreadId = 1440.
ProcessId = 856, ThreadId = 3696.
ProcessId = 3028, ThreadId = 3432.
Descripción del comportamiento:设置线程上下文
Detalles:C:\Users\Administrator\AppData\Local\%temp%\****.exe
Descripción del comportamiento:跨进程写入数据
Detalles:TargetProcess = calc.exe, WriteAddress = 0x000001EE68290000, Size = 0x002c4000
TargetProcess = calc.exe, WriteAddress = 0x00000017C0C52000, Size = 0x00000248
Comportamiento del archivo
Descripción del comportamiento:修改文件内容
Detalles:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\calc.lnk ---> Offset = 0
Descripción del comportamiento:查找文件
Detalles:FileName = C:\Users
FileName = C:\Users\Administrator\AppData
FileName = C:\Users\Administrator\AppData\Local
FileName = C:\Users\Administrator\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData\Local\%temp%
FileName = C:\Users\Administrator\AppData\Local\%temp%\****.exe
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\calc.lnk
Descripción del comportamiento:设置启动项
Detalles:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\calc.lnk
Comportamiento de la red
Descripción del comportamiento:按名称获取主机地址
Detalles:GetAddrInfoW: po****et
GetAddrInfoW: **.0.0.**:128
Otro comportamiento
Descripción del comportamiento:检测自身是否被调试
Detalles:IsDebuggerPresent
Descripción del comportamiento:创建互斥体
Detalles:Local\SessionImmersiveColorMutex
Descripción del comportamiento:隐藏指定窗口
Detalles:[Window,Class] = [AutoIt v3,AutoIt v3]
[Window,Class] = [C:\Windows\System32\%temp%\****.exe,ConsoleWindowClass]
[Window,Class] = [C:\Windows\system32\calc.exe,ConsoleWindowClass]
Descripción del comportamiento:调整进程token权限
Detalles:SE_LOCK_MEMORY_PRIVILEGE
Descripción del comportamiento:打开事件
Detalles:\KernelObjects\MaximumCommitCondition
Global\TermSrvReadyEvent
Global\SvcctrlStartEvent_A3752DX
MSFT.VSA.COM.DISABLE.3028
MSFT.VSA.IEC.STATUS.6c736db0
Local\99b25af4-39cf-4c83-ad07-3c133e6d3135
MSFT.VSA.COM.DISABLE.4000
MSFT.VSA.COM.DISABLE.2028
Descripción del comportamiento:调用Sleep函数
Detalles:[1]: MilliSeconds = 10.
[2]: MilliSeconds = 10.
[3]: MilliSeconds = 10.
[4]: MilliSeconds = 10.
[5]: MilliSeconds = 10.
[6]: MilliSeconds = 10.
[7]: MilliSeconds = 10.
[8]: MilliSeconds = 10.
[9]: MilliSeconds = 10.
[10]: MilliSeconds = 10.
Descripción del comportamiento:打开互斥体
Detalles:Local\MSCTF.Asm.MutexDefault1S-1-5-21-1170589654-2814428265-349930785-500
CicLoadWinStaWinSta0
Local\MSCTF.CtfMonitorInstMutexDefault1
Ejecutar captura de pantalla
VirSCAN

Acerca de VirSCAN | Política de Privacidad | Contactanos | Enlace amigable | Ayudá a VirSCAN
Traducido por Marcelo Ois Lagarde, Argentina
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号