VirSCAN VirSCAN

1, Podés SUBIR cualquier archivo de hasta 20MB.
2, VirSCAN soporta descompresión Rar/Zip de hasta 20 archivos.
3, VirSCAN puede escanear archivos comprimidos con la contraseña 'infected' o 'virus'.

Idioma
Carga del Servidor
Server Load

Información del archivo
Calificación de seguridad:75
Lista de comportamiento
Informe de análisis de comportamiento:         Informe de análisis de comportamiento de archivos de Threatbook
Información básica
MD5:544344fb1410184109f85e6343bf0e15
Tipo de archivo:EXE
Compañía de producción:
Versión:1.0.0.1
Información de shell o compilador:PACKER:UPolyX v0.5
Comportamiento clave
Descripción del comportamiento:直接调用系统关键API
Detalles:Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x0054A12E
Index = 0x0000009B, Name: NtQueryInformationThread, Instruction Address = 0x004A76BF
Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x00518BC6
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0x4053fe1c, EDX = 0x000000b5
EAX = 0x4053fe68, EDX = 0x000000b5
EAX = 0x4053feb4, EDX = 0x000000b5
EAX = 0x4053ff00, EDX = 0x000000b5
EAX = 0x4053ff4c, EDX = 0x000000b5
EAX = 0x4053ff98, EDX = 0x000000b5
EAX = 0x4053ffe4, EDX = 0x000000b5
EAX = 0x40540030, EDX = 0x000000b5
EAX = 0x4054007c, EDX = 0x000000b5
EAX = 0x405400c8, EDX = 0x000000b5
Comportamiento del proceso
Descripción del comportamiento:创建本地线程
Detalles:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2632, ThreadID = 2844, StartAddress = 004A8295, Parameter = 001C6030
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2632, ThreadID = 2848, StartAddress = 004A8295, Parameter = 001B1420
Otro comportamiento
Descripción del comportamiento:直接调用系统关键API
Detalles:Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x0054A12E
Index = 0x0000009B, Name: NtQueryInformationThread, Instruction Address = 0x004A76BF
Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x00518BC6
Descripción del comportamiento:创建互斥体
Detalles:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.MEK
Descripción del comportamiento:隐藏指定窗口
Detalles:[Window,Class] = [,ComboLBox]
Descripción del comportamiento:打开互斥体
Detalles:ShimCacheMutex
Descripción del comportamiento:查找指定窗口
Detalles:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Descripción del comportamiento:打开事件
Detalles:HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
Descripción del comportamiento:窗口信息
Detalles:Pid = 2632, Hwnd=0x10344, Text = 超强SYN, ClassName = Button(RadioButton).
Pid = 2632, Hwnd=0x10346, Text = ICMP碎片, ClassName = Button(RadioButton).
Pid = 2632, Hwnd=0x10348, Text = 超强UDP, ClassName = Button(RadioButton).
Pid = 2632, Hwnd=0x1034a, Text = TCP/STCP, ClassName = Button(RadioButton).
Pid = 2632, Hwnd=0x1034c, Text = List1, ClassName = SysListView32.
Pid = 2632, Hwnd=0x10352, Text = SYN攻击目标:, ClassName = Static.
Pid = 2632, Hwnd=0x10354, Text = 127.0.0.1, ClassName = Edit.
Pid = 2632, Hwnd=0x10356, Text = :, ClassName = Static.
Pid = 2632, Hwnd=0x10358, Text = 80, ClassName = Edit.
Pid = 2632, Hwnd=0x1035a, Text = 时间/秒:, ClassName = Static.
Pid = 2632, Hwnd=0x1035c, Text = 6000, ClassName = Edit.
Pid = 2632, Hwnd=0x1035e, Text = 伪造, ClassName = Button(CheckBox).
Pid = 2632, Hwnd=0x10360, Text = 线程:, ClassName = Static.
Pid = 2632, Hwnd=0x10362, Text = 2, ClassName = Edit.
Pid = 2632, Hwnd=0x10364, Text = 添加任务, ClassName = Button.
Descripción del comportamiento:创建事件对象
Detalles:EventName = MSCTF.SendReceive.Event.MEK.IC
EventName = MSCTF.SendReceiveConection.Event.MEK.IC
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0x4053fe1c, EDX = 0x000000b5
EAX = 0x4053fe68, EDX = 0x000000b5
EAX = 0x4053feb4, EDX = 0x000000b5
EAX = 0x4053ff00, EDX = 0x000000b5
EAX = 0x4053ff4c, EDX = 0x000000b5
EAX = 0x4053ff98, EDX = 0x000000b5
EAX = 0x4053ffe4, EDX = 0x000000b5
EAX = 0x40540030, EDX = 0x000000b5
EAX = 0x4054007c, EDX = 0x000000b5
EAX = 0x405400c8, EDX = 0x000000b5
Ejecutar captura de pantalla
VirSCAN

Acerca de VirSCAN | Política de Privacidad | Contactanos | Enlace amigable | Ayudá a VirSCAN
Traducido por Marcelo Ois Lagarde, Argentina
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号