VirSCAN VirSCAN

1, Możesz wysyłać dowolne pliki, ale nie większe niż 20Mb.
2, VirSCAN obsługuje dekompresję Rar/Zip, ale archiwum musi zawierać mniej niż 20 plików.
3, VirSCAN może skanować pliki skompresowane i zaszyfrowane hasłem "infected" lub "virus".

Język
Obciążenie serwera
Server Load

Informacje o pliku
Ocena bezpieczeństwa:50
Lista zachowań
Podstawowe informacje
MD5:2887c7f99e42e0123cf00fab59794e8f
Typ pliku:EXE
Firma produkcyjna:
Wersja:
Informacje o powłoce lub kompilatorze:COMPILER:Elan
Kluczowe zachowanie
Opis zachowania:设置特殊文件夹属性
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
Opis zachowania:直接获取CPU时钟
Szczegóły:EAX = 0x70fa9ff4, EDX = 0x000000b4
EAX = 0x840aca83, EDX = 0x000000b4
EAX = 0x840acacf, EDX = 0x000000b4
EAX = 0x96efc56b, EDX = 0x000000b4
Opis zachowania:获取窗口截图信息
Szczegóły:Foreground window Info: HWND = 0x00010342, DC = 0x0a010375.
Foreground window Info: HWND = 0x00010360, DC = 0x0a010375.
Foreground window Info: HWND = 0x00010376, DC = 0x0c0101e7.
Foreground window Info: HWND = 0x00010372, DC = 0x0a010375.
Foreground window Info: HWND = 0x0001036e, DC = 0x01010055.
Foreground window Info: HWND = 0x0001036a, DC = 0x0c0101e7.
Opis zachowania:获取TickCount值
Szczegóły:TickCount = 217018, SleepMilliseconds = 50.
TickCount = 217409, SleepMilliseconds = 50.
TickCount = 217425, SleepMilliseconds = 50.
TickCount = 217440, SleepMilliseconds = 50.
TickCount = 217456, SleepMilliseconds = 50.
TickCount = 217518, SleepMilliseconds = 50.
TickCount = 217550, SleepMilliseconds = 50.
TickCount = 219315, SleepMilliseconds = 50.
TickCount = 219425, SleepMilliseconds = 50.
TickCount = 219456, SleepMilliseconds = 50.
TickCount = 219487, SleepMilliseconds = 50.
TickCount = 219503, SleepMilliseconds = 50.
TickCount = 219518, SleepMilliseconds = 50.
TickCount = 219550, SleepMilliseconds = 50.
TickCount = 219565, SleepMilliseconds = 50.
Zachowanie procesowe
Opis zachowania:创建本地线程
Szczegóły:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2480, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2484, StartAddress = 0041085B, Parameter = 00000000
Zachowanie pliku
Opis zachowania:创建文件
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\%temp%\gzip.dll
C:\DiskD\MyLive\conf.ini
Opis zachowania:创建可执行文件
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\%temp%\gzip.dll
Opis zachowania:修改文件内容
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\%temp%\gzip.dll ---> Offset = 0
C:\DiskD\MyLive\conf.ini ---> Offset = 0
Opis zachowania:设置特殊文件夹属性
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
Opis zachowania:查找文件
Szczegóły:FileName = gzip.dll
FileName = D:\MyLive
FileName = D:\MyLive\conf.ini
Zachowanie rejestru
Opis zachowania:修改注册表
Szczegóły:\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
Opis zachowania:删除注册表键值
Szczegóły:\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
Inne zachowanie
Opis zachowania:创建互斥体
Szczegóły:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
RasPbFile
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.IJJ
Opis zachowania:创建事件对象
Szczegóły:EventName = DINPUTWINMM
EventName = Global\crypt32LogoffEvent
EventName = MSCTF.SendReceive.Event.IJJ.IC
EventName = MSCTF.SendReceiveConection.Event.IJJ.IC
Opis zachowania:打开互斥体
Szczegóły:ShimCacheMutex
RasPbFile
Local\_!MSFTHISTORY!_
Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Local\c:!documents and settings!administrator!cookies!
Local\c:!documents and settings!administrator!local settings!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
Opis zachowania:查找指定窗口
Szczegóły:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Opis zachowania:打开事件
Szczegóły:HookSwitchHookEnabledEvent
Global\crypt32LogoffEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Opis zachowania:获取TickCount值
Szczegóły:TickCount = 217018, SleepMilliseconds = 50.
TickCount = 217409, SleepMilliseconds = 50.
TickCount = 217425, SleepMilliseconds = 50.
TickCount = 217440, SleepMilliseconds = 50.
TickCount = 217456, SleepMilliseconds = 50.
TickCount = 217518, SleepMilliseconds = 50.
TickCount = 217550, SleepMilliseconds = 50.
TickCount = 219315, SleepMilliseconds = 50.
TickCount = 219425, SleepMilliseconds = 50.
TickCount = 219456, SleepMilliseconds = 50.
TickCount = 219487, SleepMilliseconds = 50.
TickCount = 219503, SleepMilliseconds = 50.
TickCount = 219518, SleepMilliseconds = 50.
TickCount = 219550, SleepMilliseconds = 50.
TickCount = 219565, SleepMilliseconds = 50.
Opis zachowania:窗口信息
Szczegóły:Pid = 2452, Hwnd=0x1037c, Text = 直播名称:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x10374, Text = 验证码:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x10370, Text = Number:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x1036c, Text = PassWord:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x10368, Text = UserMac:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x10364, Text = Cpuid:, ClassName = _EL_Label.
Pid = 2452, Hwnd=0x1035e, Text = 发送激活, ClassName = Button.
Pid = 2452, Hwnd=0x1035c, Text = 发送序列号, ClassName = Button.
Pid = 2452, Hwnd=0x1035a, Text = 获取验证码, ClassName = Button.
Pid = 2452, Hwnd=0x10356, Text = 读取配置, ClassName = Button.
Pid = 2452, Hwnd=0x10354, Text = 保存配置, ClassName = Button.
Pid = 2452, Hwnd=0x10352, Text = 简体中文, ClassName = Button.
Pid = 2452, Hwnd=0x10350, Text = 繁体中文, ClassName = Button.
Pid = 2452, Hwnd=0x1034e, Text = 保存数据, ClassName = Button.
Pid = 2452, Hwnd=0x1034c, Text = 开始读取, ClassName = Button.
Opis zachowania:获取窗口截图信息
Szczegóły:Foreground window Info: HWND = 0x00010342, DC = 0x0a010375.
Foreground window Info: HWND = 0x00010360, DC = 0x0a010375.
Foreground window Info: HWND = 0x00010376, DC = 0x0c0101e7.
Foreground window Info: HWND = 0x00010372, DC = 0x0a010375.
Foreground window Info: HWND = 0x0001036e, DC = 0x01010055.
Foreground window Info: HWND = 0x0001036a, DC = 0x0c0101e7.
Opis zachowania:可执行文件签名信息
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\%temp%\gzip.dll(签名验证: 未通过)
Opis zachowania:调用Sleep函数
Szczegóły:[1]: MilliSeconds = 50.
[2]: MilliSeconds = 50.
Opis zachowania:隐藏指定窗口
Szczegóły:[Window,Class] = [,ComboLBox]
[Window,Class] = [,_EL_Timer]
Opis zachowania:可执行文件MD5
Szczegóły:C:\Documents and Settings\Administrator\Local Settings\%temp%\gzip.dll ---> 8b3591965f623b219c0c528153746cab
Opis zachowania:直接获取CPU时钟
Szczegóły:EAX = 0x70fa9ff4, EDX = 0x000000b4
EAX = 0x840aca83, EDX = 0x000000b4
EAX = 0x840acacf, EDX = 0x000000b4
EAX = 0x96efc56b, EDX = 0x000000b4
Uruchom zrzut ekranu
VirSCAN

O VirSCAN | Polityka prywatności | Kontakt z nami | Przyjazny link | Pomóż VirSCAN
Przetłumaczony przez Łukasz 'ZeeWolf' Kieres, Polska
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号