VirSCAN VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー

言語
サーバーロード
Server Load

ファイル情報
安全性評価:79
行動リスト
基本情報
MD5:6e8fd9c8a45ddb5edcf5b9980cc040a1
ファイルタイプ:EXE
制作会社:
バージョン:
シェルまたはコンパイラ情報:COMPILER:Borland Delphi 5.0 KOL
主な行動
行動の説明:设置特殊文件夹属性
詳細:C:\Program Files\mysqldata
行動の説明:查询注册表_检测虚拟机相关
詳細:\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
行動の説明:修改注册表_启动项
詳細:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\mysqldata
プロセスの動作
行動の説明:创建新文件进程
詳細:ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe"
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe"
行動の説明:进程退出
詳細:N/A
行動の説明:枚举进程
詳細:N/A
行動の説明:创建本地线程
詳細:N/A
ファイルの動作
行動の説明:创建文件
詳細:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\549b9b645cadfe6bb4bc69cf363c354c_dcff734b-bc3f-43cb-8911-9b5d467629cf
C:\Program Files\mysqldata\123.bat
行動の説明:创建可执行文件
詳細:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe
行動の説明:查找文件
詳細:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\549b9b645cadfe6bb4bc69cf363c354c_*
行動の説明:修改BAT脚本文件
詳細:C:\Program Files\mysqldata\123.bat
行動の説明:重命名文件
詳細:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe ---> C:\Program Files\mysqldata\server.exe
行動の説明:设置特殊文件夹属性
詳細:C:\Program Files\mysqldata
行動の説明:修改文件内容
詳細:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\549b9b645cadfe6bb4bc69cf363c354c_dcff734b-bc3f-43cb-8911-9b5d467629cf---> Offset = 0
ネットワークの動作
行動の説明:建立到一个指定的套接字连接
詳細:219.133.40.1:5653
行動の説明:按名称获取主机地址
詳細:www.dnf888.pw
レジストリの動作
行動の説明:修改注册表
詳細:\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe
\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe
行動の説明:删除注册表键
詳細:\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
行動の説明:查询注册表_检测虚拟机相关
詳細:\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
行動の説明:删除注册表键值
詳細:\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
行動の説明:修改注册表_启动项
詳細:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\mysqldata
その他の動作
行動の説明:创建互斥体
詳細:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
RasPbFile
5OTkq/Hr85WVlavd5M0=
MSCTF.Shared.MUTEX.ELH
行動の説明:创建事件对象
詳細:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
行動の説明:查找指定窗口
詳細:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行動の説明:获取系统权限
詳細:SE_LOAD_DRIVER_PRIVILEGE
行動の説明:窗口信息
詳細:Pid = 2056, Hwnd=0x202a6, Text = 确定, ClassName = Button.
Pid = 2056, Hwnd=0x202cc, Text = Debugger found A debugger has been found running in your system. Please, unload it from memory and restart your program !, ClassName = Static.
Pid = 2056, Hwnd=0x402a2, Text = Default project 1.0.0, ClassName = #32770.
行動の説明:可执行文件签名信息
詳細:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe(签名验证: 未通过)
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe(签名验证: 未通过)
行動の説明:可执行文件MD5
詳細:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\登陆端.exe ---> 6789525e21c15268aea79065f34bb8ba
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\防挂起.exe ---> 8f590cb33b3af17ef7a0d581213d4574
スクリーンショットを実行する
VirSCAN

VirSCANについて | 免責事項 | コンタクト | フレンドリーなリンク | ヘルプ
コンピュータネットワーク情報セキュリティ研究センター
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号