VirSCAN VirSCAN

1, 당신은 모든 파일을 업로드할 수 있지만 최대 20Mb의 용량제한이 있다.
2, Rar/Zip 파일은 자동압축해제를 하지만 내부에 20개 파일보다 적어야 한다.
3, 압축된 파일이 'infected' 또는 'virus'로 암호화된 경우 진단할 수 있다.

언어선택
서비스 로드
Server Load

파일 정보
안전 등급:55
행동 목록
기본 정보
MD5:a3044d6b7a188314fe461b760c5fa277
파일 형식 :EXE
생산 회사 :天堂牧心
버전 :1.0.0.0---1.0.0.0
쉘 또는 컴파일러 정보 :PACKER:UPolyX v0.5
주요 행동
동작 설명:探测 Virtual PC是否存在
세부 정보:N/A
동작 설명:尝试打开调试器或监控软件的驱动设备对象
세부 정보:\??\NTICE
동작 설명:获取TickCount值
세부 정보:TickCount = 5517562, SleepMilliseconds = 60000.
TickCount = 5517593, SleepMilliseconds = 60000.
TickCount = 5517656, SleepMilliseconds = 60000.
TickCount = 5517671, SleepMilliseconds = 60000.
TickCount = 5517859, SleepMilliseconds = 60000.
TickCount = 5517875, SleepMilliseconds = 60000.
TickCount = 5517890, SleepMilliseconds = 60000.
TickCount = 5518062, SleepMilliseconds = 60000.
TickCount = 5518078, SleepMilliseconds = 60000.
TickCount = 5518187, SleepMilliseconds = 60000.
TickCount = 5518203, SleepMilliseconds = 60000.
TickCount = 5518281, SleepMilliseconds = 60000.
TickCount = 5518296, SleepMilliseconds = 60000.
TickCount = 5518312, SleepMilliseconds = 60000.
TickCount = 5518328, SleepMilliseconds = 60000.
동작 설명:获取窗口截图信息
세부 정보:Foreground window Info: HWND = 0x00000000, DC = 0x79010658.
Foreground window Info: HWND = 0x00000000, DC = 0xf801051c.
Foreground window Info: HWND = 0x00000000, DC = 0x0601051c.
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0xaf7b58f6, EDX = 0x000011a3
EAX = 0xaf7b5942, EDX = 0x000011a3
EAX = 0xaf7b598e, EDX = 0x000011a3
EAX = 0xaf7b59da, EDX = 0x000011a3
EAX = 0xaf7b5a26, EDX = 0x000011a3
EAX = 0xaf7b5a72, EDX = 0x000011a3
EAX = 0xaf7b5abe, EDX = 0x000011a3
EAX = 0xaf7b5b0a, EDX = 0x000011a3
EAX = 0xaf7b5b56, EDX = 0x000011a3
EAX = 0xaf7b5ba2, EDX = 0x000011a3
동작 설명:查找反病毒常用工具窗口
세부 정보:NtUserFindWindowEx: [Class,Window] = [Regmonclass,]
NtUserFindWindowEx: [Class,Window] = [Filemonclass,]
동작 설명:VMWare特殊指令检测虚拟机
세부 정보:N/A
프로세스 동작
동작 설명:创建本地线程
세부 정보:TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2268, StartAddress = 0054A6F1, Parameter = 001B60F8
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2272, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2276, StartAddress = 0054A6F1, Parameter = 001B6118
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2280, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2284, StartAddress = 0054A6F1, Parameter = 001B60F8
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2288, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2292, StartAddress = 0054A6F1, Parameter = 001B60F8
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2296, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2300, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2332, StartAddress = 0054A6F1, Parameter = 001B6108
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2364, StartAddress = 77E56C7D, Parameter = 001B2148
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2368, StartAddress = 769AE43B, Parameter = 001BEF48
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 300, ThreadID = 2376, StartAddress = 77E56C7D, Parameter = 001E9008
파일 동작
동작 설명:创建文件
세부 정보:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_dcff734b-bc3f-43cb-8911-9b5d467629cf
동작 설명:修改文件内容
세부 정보:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_dcff734b-bc3f-43cb-8911-9b5d467629cf ---> Offset = 0
동작 설명:查找文件
세부 정보:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_*
레지스트리 동작
동작 설명:修改注册表
세부 정보:\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32\
기타 행동
동작 설명:探测 Virtual PC是否存在
세부 정보:N/A
동작 설명:创建互斥体
세부 정보:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
oleacc-msaa-loaded
MSCTF.Shared.MUTEX.ELH
동작 설명:创建事件对象
세부 정보:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
동작 설명:打开互斥体
세부 정보:ShimCacheMutex
동작 설명:查找指定窗口
세부 정보:NtUserFindWindowEx: [Class,Window] = [4823-00000029,]
NtUserFindWindowEx: [Class,Window] = [18467-41,]
NtUserFindWindowEx: [Class,Window] = [IEFrame,]
NtUserFindWindowEx: [Class,Window] = [,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
동작 설명:尝试打开调试器或监控软件的驱动设备对象
세부 정보:\??\NTICE
동작 설명:获取TickCount值
세부 정보:TickCount = 5517562, SleepMilliseconds = 60000.
TickCount = 5517593, SleepMilliseconds = 60000.
TickCount = 5517656, SleepMilliseconds = 60000.
TickCount = 5517671, SleepMilliseconds = 60000.
TickCount = 5517859, SleepMilliseconds = 60000.
TickCount = 5517875, SleepMilliseconds = 60000.
TickCount = 5517890, SleepMilliseconds = 60000.
TickCount = 5518062, SleepMilliseconds = 60000.
TickCount = 5518078, SleepMilliseconds = 60000.
TickCount = 5518187, SleepMilliseconds = 60000.
TickCount = 5518203, SleepMilliseconds = 60000.
TickCount = 5518281, SleepMilliseconds = 60000.
TickCount = 5518296, SleepMilliseconds = 60000.
TickCount = 5518312, SleepMilliseconds = 60000.
TickCount = 5518328, SleepMilliseconds = 60000.
동작 설명:打开事件
세부 정보:HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
\INSTALLATION_SECURITY_HOLD
Global\crypt32LogoffEvent
MSFT.VSA.COM.DISABLE.300
MSFT.VSA.IEC.STATUS.6c736db0
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000051
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000051
MSCTF.SendReceiveConection.Event.ELH.IC
MSCTF.SendReceive.Event.ELH.IC
동작 설명:获取窗口截图信息
세부 정보:Foreground window Info: HWND = 0x00000000, DC = 0x79010658.
Foreground window Info: HWND = 0x00000000, DC = 0xf801051c.
Foreground window Info: HWND = 0x00000000, DC = 0x0601051c.
동작 설명:调用Sleep函数
세부 정보:[1]: MilliSeconds = 60000.
[2]: MilliSeconds = 60000.
[3]: MilliSeconds = 60000.
[4]: MilliSeconds = 60000.
[5]: MilliSeconds = 60000.
[6]: MilliSeconds = 60000.
[7]: MilliSeconds = 60000.
[8]: MilliSeconds = 60000.
동작 설명:直接获取CPU时钟
세부 정보:EAX = 0xaf7b58f6, EDX = 0x000011a3
EAX = 0xaf7b5942, EDX = 0x000011a3
EAX = 0xaf7b598e, EDX = 0x000011a3
EAX = 0xaf7b59da, EDX = 0x000011a3
EAX = 0xaf7b5a26, EDX = 0x000011a3
EAX = 0xaf7b5a72, EDX = 0x000011a3
EAX = 0xaf7b5abe, EDX = 0x000011a3
EAX = 0xaf7b5b0a, EDX = 0x000011a3
EAX = 0xaf7b5b56, EDX = 0x000011a3
EAX = 0xaf7b5ba2, EDX = 0x000011a3
동작 설명:查找反病毒常用工具窗口
세부 정보:NtUserFindWindowEx: [Class,Window] = [Regmonclass,]
NtUserFindWindowEx: [Class,Window] = [Filemonclass,]
동작 설명:VMWare特殊指令检测虚拟机
세부 정보:N/A
스크린 샷 실행
VirSCAN

VirSCAN 이란 | 개인정책 | 연락 | 친숙한 링크 | 도움지원
거스 (Gus) 번역 (한국)
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号