VirSCAN VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.

Язык
Server load
Server Load

Информация о файле
Рейтинг безопасности:50
Список действий
Основная информация
MD5:f59cf0965dec716b9c659146e608ceb4
Тип файла:EXE
Производственная компания:QQ:905581922
Версия:1.2.0.0---1.2.0.0
Информация оболочки или компилятора:PACKER:UPolyX v0.5
Ключевое поведение
Описание поведения:直接调用系统关键API
Для получения более подробной информации:Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x0224878F
Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x0226BF86
Index = 0x00000074, Name: NtOpenFile, Instruction Address = 0x0224878F
Index = 0x00000032, Name: NtCreateSection, Instruction Address = 0x01C943C7
Index = 0x0000006C, Name: NtMapViewOfSection, Instruction Address = 0x021CA0F2
Index = 0x0000010B, Name: NtUnmapViewOfSection, Instruction Address = 0x01C943C7
Index = 0x00000019, Name: NtClose, Instruction Address = 0x01C943C7
Index = 0x00000019, Name: NtClose, Instruction Address = 0x01CA50E4
Index = 0x00000089, Name: NtProtectVirtualMemory, Instruction Address = 0x01CA50E4
Описание поведения:VMWare特殊指令检测虚拟机
Для получения более подробной информации:N/A
Поведение процесса
Описание поведения:创建本地线程
Для получения более подробной информации:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2540, ThreadID = 2576, StartAddress = 77DC845A, Parameter = 00000000
Другое поведение
Описание поведения:检测自身是否被调试
Для получения более подробной информации:IsDebuggerPresent
Описание поведения:创建互斥体
Для получения более подробной информации:RasPbFile
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
Описание поведения:创建事件对象
Для получения более подробной информации:EventName = DINPUTWINMM
Описание поведения:直接调用系统关键API
Для получения более подробной информации:Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x0224878F
Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x0226BF86
Index = 0x00000074, Name: NtOpenFile, Instruction Address = 0x0224878F
Index = 0x00000032, Name: NtCreateSection, Instruction Address = 0x01C943C7
Index = 0x0000006C, Name: NtMapViewOfSection, Instruction Address = 0x021CA0F2
Index = 0x0000010B, Name: NtUnmapViewOfSection, Instruction Address = 0x01C943C7
Index = 0x00000019, Name: NtClose, Instruction Address = 0x01C943C7
Index = 0x00000019, Name: NtClose, Instruction Address = 0x01CA50E4
Index = 0x00000089, Name: NtProtectVirtualMemory, Instruction Address = 0x01CA50E4
Описание поведения:查找指定窗口
Для получения более подробной информации:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
Описание поведения:打开事件
Для получения более подробной информации:HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
Описание поведения:搜索kernel32.dll基地址
Для получения более подробной информации:Instruction Address = 0x02184f7e
Описание поведения:窗口信息
Для получения более подробной информации:Pid = 2540, Hwnd=0x1033e, Text = 确定, ClassName = Button.
Pid = 2540, Hwnd=0x10342, Text = Sorry, this application cannot run under a Virtual Machine., ClassName = Static.
Pid = 2540, Hwnd=0x6033a, Text = %temp%\****.exe, ClassName = #32770.
Описание поведения:打开互斥体
Для получения более подробной информации:RasPbFile
ShimCacheMutex
Описание поведения:VMWare特殊指令检测虚拟机
Для получения более подробной информации:N/A
Запустить снимок экрана
VirSCAN

Информация о VirSCAN | Privacy policy | Обратная связь | Дружественная ссылка | Содействие VirSCAN
Translated by Vit Rusych, Ukraine
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号