VirSCAN VirSCAN

1, 당신은 모든 파일을 업로드할 수 있지만 최대 20Mb의 용량제한이 있다.
2, Rar/Zip 파일은 자동압축해제를 하지만 내부에 20개 파일보다 적어야 한다.
3, 압축된 파일이 'infected' 또는 'virus'로 암호화된 경우 진단할 수 있다.

언어선택
서비스 로드
Server Load

파일 정보
안전 등급:78
행동 목록
기본 정보
MD5:925f1747e31c49c6019963b193f59b72
파일 형식 :EXE
생산 회사 :Microsoft Corporation
버전 :10.0.30319.1---10.0.30319.1 built by: RTMRel
쉘 또는 컴파일러 정보 :COMPILER:Microsoft Visual C# / Basic .NET
주요 행동
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0x5e0a26cd, EDX = 0x000000b4
EAX = 0x3d98a135, EDX = 0x000000b6
EAX = 0x3d98a181, EDX = 0x000000b6
EAX = 0x1df7be43, EDX = 0x000000b7
EAX = 0x1df7be8f, EDX = 0x000000b7
동작 설명:修改注册表_系统防火墙可信进程列表
세부 정보:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
동작 설명:获取TickCount值
세부 정보:TickCount = 224296, SleepMilliseconds = 1000.
프로세스 동작
동작 설명:隐藏窗口创建进程
세부 정보:ImagePath = , CmdLine = netsh firewall add allowedprogram "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe" "%temp%\****.exe" ENABLE
동작 설명:创建进程
세부 정보:[0x00000a58]ImagePath = C:\WINDOWS\system32\netsh.exe, CmdLine = netsh firewall add allowedprogram "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe" "%temp%\****.exe" ENABLE
동작 설명:创建本地线程
세부 정보:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 2468, StartAddress = 79F0237F, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 2472, StartAddress = 79F91FCF, Parameter = 001A5780
TargetProcess: netsh.exe, InheritedFromPID = 2456, ProcessID = 2648, ThreadID = 2656, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: netsh.exe, InheritedFromPID = 2456, ProcessID = 2648, ThreadID = 2672, StartAddress = 77E56C7D, Parameter = 001B7460
TargetProcess: netsh.exe, InheritedFromPID = 2456, ProcessID = 2648, ThreadID = 2676, StartAddress = 769AE43B, Parameter = 001B9040
TargetProcess: netsh.exe, InheritedFromPID = 2456, ProcessID = 2648, ThreadID = 2692, StartAddress = 77E56C7D, Parameter = 001BE438
TargetProcess: netsh.exe, InheritedFromPID = 2456, ProcessID = 2648, ThreadID = 2748, StartAddress = 77E56C7D, Parameter = 001B3528
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 2756, StartAddress = 79F91FCF, Parameter = 001C7C88
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 2760, StartAddress = 79F91FCF, Parameter = 001C7C88
파일 동작
동작 설명:查找文件
세부 정보:FileName = C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
FileName = C:\WINDOWS\Microsoft.NET\Framework\\*
FileName = C:\WINDOWS
FileName = C:\WINDOWS\WinSxS
FileName = C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
FileName = C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.INI
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.INI
FileName = C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic\8.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.INI
FileName = C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.INI
레지스트리 동작
동작 설명:修改注册表
세부 정보:\REGISTRY\USER\S-*\di
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\EnableFileTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\EnableConsoleTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\FileTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\ConsoleTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\MaxFileSize
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\FWCFG\FileDirectory
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\LogSessionName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Active
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\ControlFlags
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr\Guid
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr\BitNames
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\LogSessionName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\Active
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\ControlFlags
동작 설명:修改注册表_系统防火墙可信进程列表
세부 정보:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
동작 설명:修改注册表_系统环境变量
세부 정보:\REGISTRY\USER\S-*\Environment\SEE_MASK_NOZONECHECKS
기타 행동
동작 설명:检测自身是否被调试
세부 정보:IsDebuggerPresent
동작 설명:创建互斥体
세부 정보:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
552797894793c9d696ccab91b922423e
동작 설명:创建事件对象
세부 정보:EventName = Global\CorDBIPCSetupSyncEvent_2456
EventName = Global\crypt32LogoffEvent
동작 설명:打开互斥体
세부 정보:ShimCacheMutex
Global\CLR_CASOFF_MUTEX
동작 설명:获取TickCount值
세부 정보:TickCount = 224296, SleepMilliseconds = 1000.
동작 설명:打开事件
세부 정보:Global\CLR_PerfMon_StartEnumEvent
\KernelObjects\LowMemoryCondition
HookSwitchHookEnabledEvent
Global\crypt32LogoffEvent
Global\SvcctrlStartEvent_A3752DX
MSFT.VSA.COM.DISABLE.2648
MSFT.VSA.IEC.STATUS.6c736db0
동작 설명:调用Sleep函数
세부 정보:[1]: MilliSeconds = 2000.
[2]: MilliSeconds = 5000.
[3]: MilliSeconds = 1000.
[4]: MilliSeconds = 2000.
[5]: MilliSeconds = 1000.
[6]: MilliSeconds = 1.
[7]: MilliSeconds = 1.
[8]: MilliSeconds = 1.
[9]: MilliSeconds = 1.
[10]: MilliSeconds = 1.
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0x5e0a26cd, EDX = 0x000000b4
EAX = 0x3d98a135, EDX = 0x000000b6
EAX = 0x3d98a181, EDX = 0x000000b6
EAX = 0x1df7be43, EDX = 0x000000b7
EAX = 0x1df7be8f, EDX = 0x000000b7
스크린 샷 실행
VirSCAN

VirSCAN 이란 | 개인정책 | 연락 | 친숙한 링크 | 도움지원
거스 (Gus) 번역 (한국)
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号