VirSCAN VirSCAN

1, Podés SUBIR cualquier archivo de hasta 20MB.
2, VirSCAN soporta descompresión Rar/Zip de hasta 20 archivos.
3, VirSCAN puede escanear archivos comprimidos con la contraseña 'infected' o 'virus'.

Idioma
Carga del Servidor
Server Load

Información del archivo
Calificación de seguridad:50
Lista de comportamiento
Información básica
MD5:852527282d40918852f3afc39dbc285b
Tipo de archivo:zip
Compañía de producción:
Versión:
Información de shell o compilador:
Información de subarchivo:amtemu.v0.9.2-painter.exe / 8abdc20f619641e29aa9ad2b999a0dcc / EXE
Comportamiento clave
Descripción del comportamiento:屏蔽窗口关闭消息
Detalles:hWnd = 0x000b0344, Text = AMTEmu v0.9.2, ClassName = TfrmMain.
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0xae9b7e5c, EDX = 0x000000b5
EAX = 0xb14e7dd8, EDX = 0x000000b5
EAX = 0xb4017d54, EDX = 0x000000b5
EAX = 0xb4017da0, EDX = 0x000000b5
EAX = 0xb4017dec, EDX = 0x000000b5
EAX = 0xb9677c98, EDX = 0x000000b5
EAX = 0xb9677ce4, EDX = 0x000000b5
EAX = 0xbbef4c6d, EDX = 0x000000b5
EAX = 0xbbef4cb9, EDX = 0x000000b5
EAX = 0xbbef4d05, EDX = 0x000000b5
Descripción del comportamiento:获取TickCount值
Detalles:TickCount = 220157, SleepMilliseconds = 1.
TickCount = 220172, SleepMilliseconds = 1.
TickCount = 220329, SleepMilliseconds = 1.
TickCount = 220344, SleepMilliseconds = 1.
TickCount = 220360, SleepMilliseconds = 1.
Comportamiento del proceso
Descripción del comportamiento:创建本地线程
Detalles:TargetProcess: amtemu.v0.9.2-painter.exe, InheritedFromPID = 2000, ProcessID = 2840, ThreadID = 2988, StartAddress = 10007180, Parameter = 00000000
Descripción del comportamiento:枚举进程
Detalles:N/A
Comportamiento del archivo
Descripción del comportamiento:创建文件
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll
Descripción del comportamiento:修改文件内容
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll ---> Offset = 0
Descripción del comportamiento:创建可执行文件
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll
Descripción del comportamiento:删除文件
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll
Descripción del comportamiento:查找文件
Detalles:FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\amtemu.v0.9.2-painter.exe
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump
FileName = c:\Skins\96dpi (internal).asz
FileName = c:\Skins\96dpi (internal)\Options.dat
Otro comportamiento
Descripción del comportamiento:获取光标位置
Detalles:CursorPos = (80,18468), SleepMilliseconds = 1.
CursorPos = (6373,26501), SleepMilliseconds = 1.
CursorPos = (19208,15725), SleepMilliseconds = 1.
CursorPos = (11517,29359), SleepMilliseconds = 1.
CursorPos = (27001,24465), SleepMilliseconds = 1.
CursorPos = (5744,28146), SleepMilliseconds = 1.
CursorPos = (23320,16828), SleepMilliseconds = 1.
CursorPos = (10000,492), SleepMilliseconds = 1.
CursorPos = (3034,11943), SleepMilliseconds = 1.
CursorPos = (4866,5437), SleepMilliseconds = 1.
CursorPos = (32430,14605), SleepMilliseconds = 1.
CursorPos = (3941,154), SleepMilliseconds = 1.
CursorPos = (331,12383), SleepMilliseconds = 1.
CursorPos = (17460,18717), SleepMilliseconds = 1.
CursorPos = (19757,19896), SleepMilliseconds = 1.
Descripción del comportamiento:创建互斥体
Detalles:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.MBL
Descripción del comportamiento:隐藏指定窗口
Detalles:[Window,Class] = [,ComboLBox]
[Window,Class] = [AMTEmu v0.9.2,TfrmMain]
Descripción del comportamiento:打开事件
Detalles:HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
Global\SvcctrlStartEvent_A3752DX
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
Descripción del comportamiento:打开互斥体
Detalles:ShimCacheMutex
Descripción del comportamiento:查找指定窗口
Detalles:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [MS_WINHELP,]
Descripción del comportamiento:枚举窗口
Detalles:N/A
Descripción del comportamiento:获取TickCount值
Detalles:TickCount = 220157, SleepMilliseconds = 1.
TickCount = 220172, SleepMilliseconds = 1.
TickCount = 220329, SleepMilliseconds = 1.
TickCount = 220344, SleepMilliseconds = 1.
TickCount = 220360, SleepMilliseconds = 1.
Descripción del comportamiento:调整进程token权限
Detalles:SE_LOAD_DRIVER_PRIVILEGE
Descripción del comportamiento:屏蔽窗口关闭消息
Detalles:hWnd = 0x000b0344, Text = AMTEmu v0.9.2, ClassName = TfrmMain.
Descripción del comportamiento:窗口信息
Detalles:Pid = 2840, Hwnd=0x10370, Text = Music, ClassName = TsCheckBox.
Pid = 2840, Hwnd=0x1036e, Text = Advanced, ClassName = TButton.
Pid = 2840, Hwnd=0x1036c, Text = 15.7.0, ClassName = TsEdit.
Pid = 2840, Hwnd=0x1036a, Text = V7{}AcrobatCont-12-Win-GM, ClassName = TsEdit.
Pid = 2840, Hwnd=0x20368, Text = Adobe Acrobat DC, ClassName = TsEdit.
Pid = 2840, Hwnd=0x10366, Text = Create config based from dropdown list, ClassName = TsCheckBox.
Pid = 2840, Hwnd=0x20354, Text = AMTEmu it is a real Anti-Cloud solution: - Remove all protection (not needed AAM) - Disable protection background check in apps, ClassName = TsMemo.
Pid = 2840, Hwnd=0x1035e, Text = Adobe Acrobat DC, ClassName = TsComboBox.
Pid = 2840, Hwnd=0x10364, Text = Install, ClassName = TButton.
Pid = 2840, Hwnd=0xb0344, Text = AMTEmu v0.9.2, ClassName = TfrmMain.
Descripción del comportamiento:可执行文件签名信息
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll(签名验证: 未通过)
Descripción del comportamiento:调用Sleep函数
Detalles:[1]: MilliSeconds = 1.
[2]: MilliSeconds = 1.
Descripción del comportamiento:创建事件对象
Detalles:EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.MBL.IC
EventName = MSCTF.SendReceiveConection.Event.MBL.IC
Descripción del comportamiento:可执行文件MD5
Detalles:C:\Documents and Settings\Administrator\Local Settings\Temp\spc_player.dll ---> 41afbf49ba7f6ee164f31faa2cd38e15
Descripción del comportamiento:直接获取CPU时钟
Detalles:EAX = 0xae9b7e5c, EDX = 0x000000b5
EAX = 0xb14e7dd8, EDX = 0x000000b5
EAX = 0xb4017d54, EDX = 0x000000b5
EAX = 0xb4017da0, EDX = 0x000000b5
EAX = 0xb4017dec, EDX = 0x000000b5
EAX = 0xb9677c98, EDX = 0x000000b5
EAX = 0xb9677ce4, EDX = 0x000000b5
EAX = 0xbbef4c6d, EDX = 0x000000b5
EAX = 0xbbef4cb9, EDX = 0x000000b5
EAX = 0xbbef4d05, EDX = 0x000000b5
Descripción del comportamiento:加载新释放的文件
Detalles:Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\spc_player.dll.
Ejecutar captura de pantalla
VirSCAN

Acerca de VirSCAN | Política de Privacidad | Contactanos | Enlace amigable | Ayudá a VirSCAN
Traducido por Marcelo Ois Lagarde, Argentina
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号