VirSCAN VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー

言語
サーバーロード
Server Load

ファイル情報
安全性評価:41
行動リスト
行動分析レポート:         Threatbookファイルの動作分析レポート
基本情報
MD5:de930a9a377f72b199cb63df7733848f
ファイルタイプ:EXE
制作会社:
バージョン:
シェルまたはコンパイラ情報:COMPILER:Microsoft Visual C++ 6.0
主な行動
行動の説明:设置特殊文件属性
詳細:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
行動の説明:直接获取CPU时钟
詳細:EAX = 0x1c270274, EDX = 0x000000c1
EAX = 0x05da9154, EDX = 0x000000c8
行動の説明:创建系统服务
詳細:[服务创建成功]: system update, C:\WINDOWS\%temp%\****.exe
行動の説明:获取TickCount值
詳細:TickCount = 234890, SleepMilliseconds = 3000.
TickCount = 234906, SleepMilliseconds = 3000.
TickCount = 234937, SleepMilliseconds = 3000.
プロセスの動作
行動の説明:创建新文件进程
詳細:[0x00000b4c]ImagePath = C:\WINDOWS\%temp%\****.exe, CmdLine = C:\WINDOWS\%temp%\****.exe
行動の説明:枚举进程
詳細:N/A
行動の説明:创建本地线程
詳細:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2464, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2904, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2908, StartAddress = 77DC3519, Parameter = 0018D770
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2912, StartAddress = 0040427E, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2916, StartAddress = 77C0A341, Parameter = 003F3FC8
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2920, StartAddress = 77C0A341, Parameter = 003F4058
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2924, StartAddress = 77C0A341, Parameter = 003F40E8
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2928, StartAddress = 77C0A341, Parameter = 003F4178
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2932, StartAddress = 77C0A341, Parameter = 003F4058
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2936, StartAddress = 77C0A341, Parameter = 003F4298
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2940, StartAddress = 77C0A341, Parameter = 003F4178
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2944, StartAddress = 77C0A341, Parameter = 003F4448
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2948, StartAddress = 77C0A341, Parameter = 003F4178
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2952, StartAddress = 77C0A341, Parameter = 003F44D8
TargetProcess: %temp%\****.exe, InheritedFromPID = 652, ProcessID = 2892, ThreadID = 2956, StartAddress = 0040D984, Parameter = 00000000
ファイルの動作
行動の説明:创建文件
詳細:C:\WINDOWS\%temp%\****.exe
C:\WINDOWS\Temp\tejcw.ini
C:\nvidia_update
行動の説明:创建可执行文件
詳細:C:\WINDOWS\%temp%\****.exe
C:\nvidia_update
行動の説明:复制文件
詳細:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\%temp%\****.exe
行動の説明:设置特殊文件属性
詳細:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
行動の説明:查找文件
詳細:FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\231328\*
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\231328\...\*
行動の説明:重命名文件
詳細:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\231328\...\TemporaryFile
行動の説明:修改文件内容
詳細:C:\WINDOWS\%temp%\****.exe ---> Offset = 0
C:\WINDOWS\%temp%\****.exe ---> Offset = 65536
C:\WINDOWS\%temp%\****.exe ---> Offset = 131072
C:\WINDOWS\%temp%\****.exe ---> Offset = 196608
C:\WINDOWS\%temp%\****.exe ---> Offset = 262144
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 0
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 21
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 45
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 149
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 176
C:\WINDOWS\Temp\tejcw.ini ---> Offset = 186
C:\nvidia_update ---> Offset = 0
ネットワークの動作
行動の説明:建立到一个指定的套接字连接
詳細:URL: e.****yz, IP: **.133.40.**:6931, SOCKET = 0x00000114
行動の説明:按名称获取主机地址
詳細:gethostbyname: e.****yz
その他の動作
行動の説明:创建互斥体
詳細:RasPbFile
66DED5E2-1D7E-44b1-BCEA-2E39E19037C4
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
行動の説明:创建事件对象
詳細:EventName = DINPUTWINMM
行動の説明:打开互斥体
詳細:RasPbFile
行動の説明:查找指定窗口
詳細:NtUserFindWindowEx: [Class,Window] = [,nvidia_update]
行動の説明:启动系统服务
詳細:[服务启动成功]: LocalSystem, system update, C:\WINDOWS\%temp%\****.exe
行動の説明:获取TickCount值
詳細:TickCount = 234890, SleepMilliseconds = 3000.
TickCount = 234906, SleepMilliseconds = 3000.
TickCount = 234937, SleepMilliseconds = 3000.
行動の説明:调整进程token权限
詳細:SE_DEBUG_PRIVILEGE
行動の説明:打开事件
詳細:HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
行動の説明:可执行文件签名信息
詳細:C:\WINDOWS\%temp%\****.exe(签名验证: 未通过)
C:\nvidia_update(签名验证: 未通过)
行動の説明:调用Sleep函数
詳細:[1]: MilliSeconds = 5000.
[2]: MilliSeconds = 1000.
[3]: MilliSeconds = 3000.
[4]: MilliSeconds = 5000.
[5]: MilliSeconds = 1000.
[6]: MilliSeconds = 3000.
[7]: MilliSeconds = 100.
[8]: MilliSeconds = 100.
[9]: MilliSeconds = 5000.
[10]: MilliSeconds = 100.
行動の説明:可执行文件MD5
詳細:C:\WINDOWS\%temp%\****.exe ---> de930a9a377f72b199cb63df7733848f
C:\nvidia_update ---> 661b800ffd679334fc13a344ff8c63ef
行動の説明:直接获取CPU时钟
詳細:EAX = 0x1c270274, EDX = 0x000000c1
EAX = 0x05da9154, EDX = 0x000000c8
行動の説明:创建系统服务
詳細:[服务创建成功]: system update, C:\WINDOWS\%temp%\****.exe
スクリーンショットを実行する
VirSCAN

VirSCANについて | 免責事項 | コンタクト | フレンドリーなリンク | ヘルプ
コンピュータネットワーク情報セキュリティ研究センター
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号