VirSCAN VirSCAN

1, 당신은 모든 파일을 업로드할 수 있지만 최대 20Mb의 용량제한이 있다.
2, Rar/Zip 파일은 자동압축해제를 하지만 내부에 20개 파일보다 적어야 한다.
3, 압축된 파일이 'infected' 또는 'virus'로 암호화된 경우 진단할 수 있다.

언어선택
서비스 로드
Server Load

파일 정보
안전 등급:75
행동 목록
행동 분석 보고서:         Threatbook 파일 동작 분석 보고서
기본 정보
MD5:679d2597192585ff273698eca7ba8f07
파일 형식 :EXE
생산 회사 :Adobe Systems, Inc.
버전 :32.0.0.156---32,0,0,156
쉘 또는 컴파일러 정보 :COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *
주요 행동
동작 설명:直接调用系统关键API
세부 정보:Index = 0x000000C5, Name: NtOpenSymbolicLinkObject, Instruction Address = 0x0042386C
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0x77d841db, EDX = 0x0000039e
EAX = 0x7a8b4157, EDX = 0x0000039e
EAX = 0x8500de7d, EDX = 0x0000039e
EAX = 0x8ceeac66, EDX = 0x0000039e
EAX = 0xa48ce596, EDX = 0x0000039e
동작 설명:设置消息钩子
세부 정보:C:\Windows\system32\dinput8.dll
동작 설명:获取TickCount值
세부 정보:TickCount = 1168957, SleepMilliseconds = 20.
TickCount = 1168988, SleepMilliseconds = 20.
파일 동작
동작 설명:创建文件
세부 정보:C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sxx
동작 설명:覆盖已有文件
세부 정보:C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sxx
동작 설명:查找文件
세부 정보:FileName = C:\Users\Administrator\AppData\Local\%temp%\*.dll
FileName = \\?\C:\Windows\system32\Macromed\Flash\ss.sgn
FileName = \\?\C:\Windows\system32\Macromed\Flash\ss.cfg
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Adobe\Flash Player\AssetCache
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Adobe\Flash Player\AssetCache\*
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\#SharedObjects
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\*
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UEPYH5X2
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UEPYH5X2\macromedia.com\support\flashplayer\sys\settings.sol
FileName = \\?\C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys
FileName = C:\Users
FileName = C:\Users\ADMINI~1
FileName = C:\Users\ADMINI~1\AppData
FileName = C:\Users\ADMINI~1\AppData\Local
FileName = C:\Users\ADMINI~1\AppData\Local\Temp
동작 설명:删除文件
세부 정보:C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol
동작 설명:重命名文件
세부 정보:C:\Windows\System32\update.exe ---> C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol
동작 설명:修改文件内容
세부 정보:C:\Users\Administrator\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sxx ---> Offset = 0
레지스트리 동작
동작 설명:修改注册表
세부 정보:\REGISTRY\MACHINE\SOFTWARE\Classes\ShockwaveFlash.ShockwaveFlash\shell\Open\command\
\REGISTRY\MACHINE\SOFTWARE\Classes\FlashPlayer.FlashVideo\shell\open\command\
\REGISTRY\MACHINE\SOFTWARE\Classes\FlashPlayer.VideoForFlashPlayer\shell\open\command\
\REGISTRY\MACHINE\SOFTWARE\Classes\FlashPlayer.AudioForFlashPlayer\shell\open\command\
\REGISTRY\MACHINE\SOFTWARE\Classes\FlashPlayer.ProtectedMediaForFlashPlayer\shell\open\command\
기타 행동
동작 설명:直接调用系统关键API
세부 정보:Index = 0x000000C5, Name: NtOpenSymbolicLinkObject, Instruction Address = 0x0042386C
동작 설명:检测自身是否被调试
세부 정보:IsDebuggerPresent
동작 설명:打开互斥体
세부 정보:Local\MSCTF.Asm.MutexDefault1
동작 설명:打开事件
세부 정보:HookSwitchHookEnabledEvent
\KernelObjects\MaximumCommitCondition
Global\SvcctrlStartEvent_A3752DX
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
동작 설명:获取TickCount值
세부 정보:TickCount = 1168957, SleepMilliseconds = 20.
TickCount = 1168988, SleepMilliseconds = 20.
동작 설명:窗口信息
세부 정보:Pid = 2136, Hwnd=0x901e2, Text = Adobe Flash Player 32, ClassName = ShockwaveFlash.
동작 설명:调用Sleep函数
세부 정보:[1]: MilliSeconds = 20.
[2]: MilliSeconds = 20.
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0x77d841db, EDX = 0x0000039e
EAX = 0x7a8b4157, EDX = 0x0000039e
EAX = 0x8500de7d, EDX = 0x0000039e
EAX = 0x8ceeac66, EDX = 0x0000039e
EAX = 0xa48ce596, EDX = 0x0000039e
스크린 샷 실행
VirSCAN

VirSCAN 이란 | 개인정책 | 연락 | 친숙한 링크 | 도움지원
거스 (Gus) 번역 (한국)
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号