VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:29
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:1fcf0483dedc9343324a5e29b1561e40
ประเภทไฟล์:EXE
บริษัท ผลิต:Tencent
เวอร์ชัน:7.15.0.1---7, 15, 0, 1
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:NothingFound
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE---> Offset = 12378112
C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe---> Offset = 405504
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe---> Offset = 102400
C:\Program Files\VMware\VMware Tools\VMwareTray.exe---> Offset = 253952
C:\Program Files\VMware\VMware Tools\VMwareUser.exe---> Offset = 1171456
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE---> Offset = 10420224
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c60000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\QQ.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c90000, Size = 4096
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d20000, Size = 8192
C:\%temp%\1447173863.633990.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d30000, Size = 4096
C:\%temp%\1447173863.641078.exe
C:\WINDOWS\system32\taskmgr.exe
TargetProcess = taskmgr.exe, WriteAddress = 0x00c70000, Size = 4096
TargetProcess = Simulator.exe, WriteAddress = 0x00de0000, Size = 8192
คำอธิบายพฤติกรรม:获取文件属性探测虚拟机
สำหรับข้อมูลเพิ่มเติม:GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwaretray.exe
GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwareuser.exe
GetFileAttributes: FileName = c:\windows\system32\vboxtray.exe
คำอธิบายพฤติกรรม:修改注册表_系统防火墙可信进程列表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1447173864.491262.exe
คำอธิบายพฤติกรรม:修改注册表_UAC关键设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
คำอธิบายพฤติกรรม:常规加载驱动
สำหรับข้อมูลเพิ่มเติม:system32\DRIVERS\ipfltdrv.sys
\??\C:\WINDOWS\system32\drivers\pplln.sys
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\%temp%\1447173864.196061.exe
C:\%temp%\1447173864.199996.exe
C:\WINDOWS\system32\taskmgr.exe
C:\%temp%\1447173864.210517.exe
C:\%temp%\1447173864.214015.exe
C:\WINDOWS\system32\patchupdate.exe
C:\WINDOWS\system32\tm.exe
C:\Program Files\Internet Explorer\iexplore.exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 484777, SleepMilliseconds = 12.
TickCount = 484808, SleepMilliseconds = 12.
TickCount = 484871, SleepMilliseconds = 12.
TickCount = 604906, SleepMilliseconds = 120000.
TickCount = 604921, SleepMilliseconds = 120000.
TickCount = 784937, SleepMilliseconds = 300000.
TickCount = 784953, SleepMilliseconds = 300000.
TickCount = 784968, SleepMilliseconds = 300000.
TickCount = 784984, SleepMilliseconds = 300000.
TickCount = 785000, SleepMilliseconds = 300000.
TickCount = 785015, SleepMilliseconds = 300000.
TickCount = 785031, SleepMilliseconds = 300000.
TickCount = 785046, SleepMilliseconds = 300000.
TickCount = 785062, SleepMilliseconds = 300000.
TickCount = 785078, SleepMilliseconds = 300000.
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\eulb.pif
C:\DiskD\gnfpvm.exe
C:\DiskX\vffys.pif
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\VBoxTray.exe
คำอธิบายพฤติกรรม:尝试连接RootKit驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\amsint32
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\autorun.inf
C:\DiskD\autorun.inf
C:\DiskX\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已存在]: IPFILTERDRIVER, C:\WINDOWS\system32\drivers\ipfltdrv.sys
[服务创建成功]: amsint32, C:\WINDOWS\system32\drivers\pplln.sys
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c60000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\QQ.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c90000, Size = 4096
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d20000, Size = 8192
C:\%temp%\1447173863.633990.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d30000, Size = 4096
C:\%temp%\1447173863.641078.exe
C:\WINDOWS\system32\taskmgr.exe
TargetProcess = taskmgr.exe, WriteAddress = 0x00c70000, Size = 4096
TargetProcess = Simulator.exe, WriteAddress = 0x00de0000, Size = 8192
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\Program Files\Internet Explorer\IEXPLORE.EXE, CmdLine = "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.yixun.com/
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\%temp%\1447173864.196061.exe
C:\%temp%\1447173864.199996.exe
C:\WINDOWS\system32\taskmgr.exe
C:\%temp%\1447173864.210517.exe
C:\%temp%\1447173864.214015.exe
C:\WINDOWS\system32\patchupdate.exe
C:\WINDOWS\system32\tm.exe
C:\Program Files\Internet Explorer\iexplore.exe
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:进程退出
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE---> Offset = 12378112
C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe---> Offset = 405504
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe---> Offset = 102400
C:\Program Files\VMware\VMware Tools\VMwareTray.exe---> Offset = 253952
C:\Program Files\VMware\VMware Tools\VMwareUser.exe---> Offset = 1171456
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE---> Offset = 10420224
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\pplln.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwiv.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bgnd.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctelj.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winujqyfp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\omfry.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincaply.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntkxcp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxbc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwsnda.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winghepm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winpetx.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintlbfdr.exe
C:\eulb.pif
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pmqck.exe
คำอธิบายพฤติกรรม:获取文件属性探测虚拟机
สำหรับข้อมูลเพิ่มเติม:GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwaretray.exe
GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwareuser.exe
GetFileAttributes: FileName = c:\windows\system32\vboxtray.exe
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\pplln.sys
C:\eulb.pif
C:\DiskD\gnfpvm.exe
C:\DiskX\vffys.pif
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\pplln.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwiv.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bgnd.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctelj.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winujqyfp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\omfry.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincaply.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntkxcp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxbc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwsnda.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winghepm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winpetx.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintlbfdr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pmqck.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hninb.exe
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\WINDOWS
FileName = C:\WINDOWS\WinSxS
FileName = C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\*
FileName = C:\*
FileName = C:\ANALYZECONTROL\*
FileName = D:\*
FileName = E:\*
FileName = C:\DISKD\*
FileName = F:\*
FileName = G:\*
FileName = C:\DISKX\*
FileName = I:\*
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:\device\harddiskvolume1\program files\microsoft office\office11\winword.exe
\device\harddiskvolume1\windows\system32\notepad.exe
\device\harddiskvolume1\windows\system32\cmb_pb_liveupdate.exe
\device\harddiskvolume1\program files\adobe\reader 9.0\reader\reader_sl.exe
\device\harddiskvolume1\program files\vmware\vmware tools\vmwaretray.exe
\device\harddiskvolume1\program files\vmware\vmware tools\vmwareuser.exe
\device\harddiskvolume1\windows\system32\cmd.exe
\device\harddiskvolume1\program files\microsoft office\office11\excel.exe
\device\harddiskvolume1\program files\microsoft office\office11\powerpnt.exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\eulb.pif
C:\DiskD\gnfpvm.exe
C:\DiskX\vffys.pif
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\VBoxTray.exe
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\autorun.inf
C:\DiskD\autorun.inf
C:\DiskX\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system.ini---> Offset = 231
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwiv.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bgnd.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctelj.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winujqyfp.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\omfry.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincaply.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntkxcp.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxbc.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwsnda.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winghepm.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winpetx.exe---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintlbfdr.exe---> Offset = 0
C:\autorun.inf---> Offset = 0
C:\DiskD\autorun.inf---> Offset = 0
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:联网打开网址
สำหรับข้อมูลเพิ่มเติม:InternetOpenUrlA: http://pelcpawel.fm.interia.pl/logos.gif?775fa=4889540 hInternet = 0x0000055c
InternetOpenUrlA: http://chicostara.com/logof.gif?77020=4387104 hInternet = 0x0000055c
InternetOpenUrlA: http://suewyllie.com/images/logos.gif?7708d=1950260 hInternet = 0x0000055c
InternetOpenUrlA: http://dewpoint-eg.com/images/logosa.gif?7744c=488524 hInternet = 0x0000055c
InternetOpenUrlA: http://www.ceylanogullari.com/logof.gif?7718a=1951272 hInternet = 0x0000055c
InternetOpenUrlA: http://www.bluecubecreatives.com/logos.gif?77139=2926422 hInternet = 0x0000055c
InternetOpenUrlA: http://724hizmetgrup.com/images/logosa.gif?77177=1951196 hInternet = 0x0000055c
InternetOpenUrlA: http://yavuztuncil.ya.funpic.de/images/logos.gif?771a6=4878460 hInternet = 0x0000055c
InternetOpenUrlA: http://cevatpasa.com/images/logos.gif?771e5=975818 hInternet = 0x0000055c
InternetOpenUrlA: http://173.193.19.14/logo.gif?772a3=2928594 hInternet = 0x0000055c
InternetOpenUrlA: http://pelcpawel.fm.interia.pl/logos.gif?779ca=3429510 hInternet = 0x00000558
InternetOpenUrlA: http://chicostara.com/logof.gif?779f9=3919816 hInternet = 0x00000558
InternetOpenUrlA: http://suewyllie.com/images/logos.gif?77837=4895270 hInternet = 0x0000054c
InternetOpenUrlA: http://dewpoint-eg.com/images/logosa.gif?791dd=2976558 hInternet = 0x0000054c
InternetOpenUrlA: http://www.ceylanogullari.com/logof.gif?791fd=496125 hInternet = 0x0000054c
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bgnd.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ctelj.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winujqyfp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\omfry.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincaply.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ntkxcp.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxbc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwsnda.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winghepm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winpetx.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintlbfdr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pmqck.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hninb.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mduo.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\windbmoe.exe
คำอธิบายพฤติกรรม:读取网络文件
สำหรับข้อมูลเพิ่มเติม:hFile = 0x0000055c, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000558, BytesToRead =1024, BytesRead = 1024.
hFile = 0x0000054c, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000006f4, BytesToRead =1024, BytesRead = 1024.
hFile = 0x0000053c, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000534, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000520, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000518, BytesToRead =1024, BytesRead = 1024.
hFile = 0x0000051c, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000500, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000004f0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000004e0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000004d4, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000004d0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000004bc, BytesToRead =1024, BytesRead = 1024.
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表_Explorer文件显示相关属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
คำอธิบายพฤติกรรม:删除注册表键_安全模式启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\AppMgmt
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Base
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Boot Bus Extender
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Boot file system
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\CryptSvc
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\DcomLaunch
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dmadmin
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dmboot.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dmio.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dmload.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dmserver
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\EventLog
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\File system
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Filter
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Netlogon
คำอธิบายพฤติกรรม:修改注册表_UAC关键设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
คำอธิบายพฤติกรรม:删除注册表键值_安全模式启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\1768776769
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\-757413758
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\1011363011
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\-1514827516
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\253949253
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\-993627007\-503464505
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A1_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A2_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A3_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A4_0
คำอธิบายพฤติกรรม:修改注册表_系统防火墙可信进程列表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1447173864.491262.exe
คำอธิบายพฤติกรรม:修改注册表_安全中心相关属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\UacDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A1_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A2_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A3_0
\REGISTRY\USER\S-*\Software\Aasppapmmxkvs\A4_0
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:uxJLpe1m
smss.exeM_532_
csrss.exeM_588_
winlogon.exeM_612_
services.exeM_656_
lsass.exeM_668_
33oxservice.exeM_828_
33acthlp.exeM_840_
svchost.exeM_880_
svchost.exeM_944_
svchost.exeM_984_
svchost.exeM_1068_
svchost.exeM_1100_
spoolsv.exeM_1240_
33upgradehelper.exeM_1504_
คำอธิบายพฤติกรรม:停止系统服务
สำหรับข้อมูลเพิ่มเติม:ServiceName = Application Layer Gateway Service
ServiceName = Windows Firewall/Internet Connection Sharing (ICS)
ServiceName = Security Center
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = Global\crypt32LogoffEvent
คำอธิบายพฤติกรรม:常规加载驱动
สำหรับข้อมูลเพิ่มเติม:system32\DRIVERS\ipfltdrv.sys
\??\C:\WINDOWS\system32\drivers\pplln.sys
คำอธิบายพฤติกรรม:修改后的可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE ---> 文件过大!
C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe ---> 0df99de9ba3c4cacde513d30a18ac4e9
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe ---> 9d6db69131aa08fdb0720f44174c8222
C:\Program Files\VMware\VMware Tools\VMwareTray.exe ---> 1bee0b8bf215f58a8d092f7825e4dfa6
C:\Program Files\VMware\VMware Tools\VMwareUser.exe ---> 2fcfbaf65502da4d047bcf001dc95f81
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE ---> 文件过大!
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务启动成功]: , IP Traffic Filter Driver, system32\DRIVERS\ipfltdrv.sys
[服务启动成功]: , amsint32, \??\C:\WINDOWS\system32\drivers\pplln.sys
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 484777, SleepMilliseconds = 12.
TickCount = 484808, SleepMilliseconds = 12.
TickCount = 484871, SleepMilliseconds = 12.
TickCount = 604906, SleepMilliseconds = 120000.
TickCount = 604921, SleepMilliseconds = 120000.
TickCount = 784937, SleepMilliseconds = 300000.
TickCount = 784953, SleepMilliseconds = 300000.
TickCount = 784968, SleepMilliseconds = 300000.
TickCount = 784984, SleepMilliseconds = 300000.
TickCount = 785000, SleepMilliseconds = 300000.
TickCount = 785015, SleepMilliseconds = 300000.
TickCount = 785031, SleepMilliseconds = 300000.
TickCount = 785046, SleepMilliseconds = 300000.
TickCount = 785062, SleepMilliseconds = 300000.
TickCount = 785078, SleepMilliseconds = 300000.
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:修改后的可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE(签名验证: 未通过)
C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe(签名验证: 未通过)
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe(签名验证: 未通过)
C:\Program Files\VMware\VMware Tools\VMwareTray.exe(签名验证: 未通过)
C:\Program Files\VMware\VMware Tools\VMwareUser.exe(签名验证: 未通过)
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE(签名验证: 未通过)
คำอธิบายพฤติกรรม:尝试连接RootKit驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\amsint32
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\pplln.sys(签名验证: 未通过)
C:\eulb.pif(签名验证: 未通过)
C:\DiskD\gnfpvm.exe(签名验证: 未通过)
C:\DiskX\vffys.pif(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 1024.
[2]: MilliSeconds = 512.
[3]: MilliSeconds = 180000.
[4]: MilliSeconds = 120000.
[5]: MilliSeconds = 300000.
[6]: MilliSeconds = 10240.
[7]: MilliSeconds = -1.
[8]: MilliSeconds = -1.
[9]: MilliSeconds = 10000.
[10]: MilliSeconds = 512.
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TXGuiFoundation,QQ2013]
NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,OP_2269840561]
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\pplln.sys ---> bf31a8d79f704f488e3dbcb6eea3b3e3
C:\eulb.pif ---> 1a6053854975a9b78366774801fb6be6
C:\DiskD\gnfpvm.exe ---> 1a6053854975a9b78366774801fb6be6
C:\DiskX\vffys.pif ---> 1a6053854975a9b78366774801fb6be6
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已存在]: IPFILTERDRIVER, C:\WINDOWS\system32\drivers\ipfltdrv.sys
[服务创建成功]: amsint32, C:\WINDOWS\system32\drivers\pplln.sys
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号