VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:0
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:30dfb2029547561b6aa63440ac72f7d0
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe---> Offset = 397312
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 284672
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe---> Offset = 98816
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE---> Offset = 12378112
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 8192
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 4096
TargetProcess = ctfmon.exe, WriteAddress = 0x009a0000, Size = 8192
C:\WINDOWS\system32\ctfmon.exe
TargetProcess = ctfmon.exe, WriteAddress = 0x009b0000, Size = 4096
TargetProcess = QQ.exe, WriteAddress = 0x00c60000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\QQ.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c70000, Size = 4096
TargetProcess = TXPlatform.exe, WriteAddress = 0x010c0000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
TargetProcess = TXPlatform.exe, WriteAddress = 0x010d0000, Size = 4096
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d20000, Size = 8192
C:\%temp%\1419406534.503144.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d30000, Size = 4096
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
คำอธิบายพฤติกรรม:获取文件属性探测VMware
สำหรับข้อมูลเพิ่มเติม:GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwaretray.exe
GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwareuser.exe
คำอธิบายพฤติกรรม:尝试连接RootKit驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\amsint32
คำอธิบายพฤติกรรม:修改注册表_UAC关键设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
คำอธิบายพฤติกรรม:常规加载驱动
สำหรับข้อมูลเพิ่มเติม:system32\DRIVERS\ipfltdrv.sys
\??\C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\%temp%\1419406600.671732.exe
C:\%temp%\1419406600.760483.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\WINDOWS\system32\conime.exe
C:\%temp%\1419406601.422219.exe
C:\%temp%\1419406601.547603.exe
C:\%temp%\1419406601.662385.exe
C:\%temp%\1419406601.779309.exe
C:\%temp%\1419406601.884596.exe
C:\%temp%\1419406602.003389.exe
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:\device\harddiskvolume1\windows\system32\cmb_pb_liveupdate.exe
\device\harddiskvolume1\windows\$ntuninstallkb2412687$\spuninst\spuninst.exe
\device\harddiskvolume1\program files\adobe\reader 9.0\reader\reader_sl.exe
\device\harddiskvolume1\windows\system32\notepad.exe
\device\harddiskvolume1\program files\windows nt\accessories\wordpad.exe
\device\harddiskvolume1\program files\microsoft office\office11\winword.exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\lmvle.exe
C:\WINDOWS\mhph.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
คำอธิบายพฤติกรรม:停止系统服务
สำหรับข้อมูลเพิ่มเติม:ServiceName = Application Layer Gateway Service
ServiceName = Windows Firewall/Internet Connection Sharing (ICS)
ServiceName = Security Center
คำอธิบายพฤติกรรม:修改注册表_系统防火墙可信进程列表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\c:\%temp%\1419406525.374937.exe
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已存在]: IPFILTERDRIVER, C:\WINDOWS\system32\drivers\ipfltdrv.sys
[服务创建成功]: amsint32, C:\WINDOWS\system32\drivers\hlnnjn.sys
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = c:\program files\internet explorer\iexplore.exe, CmdLine = "c:\program files\internet explorer\iexplore.exe" http://www.yixun.com/
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 8192
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 4096
TargetProcess = ctfmon.exe, WriteAddress = 0x009a0000, Size = 8192
C:\WINDOWS\system32\ctfmon.exe
TargetProcess = ctfmon.exe, WriteAddress = 0x009b0000, Size = 4096
TargetProcess = QQ.exe, WriteAddress = 0x00c60000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\QQ.exe
TargetProcess = QQ.exe, WriteAddress = 0x00c70000, Size = 4096
TargetProcess = TXPlatform.exe, WriteAddress = 0x010c0000, Size = 8192
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
TargetProcess = TXPlatform.exe, WriteAddress = 0x010d0000, Size = 4096
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d20000, Size = 8192
C:\%temp%\1419406534.503144.exe
TargetProcess = EasyWebSvr.exe, WriteAddress = 0x00d30000, Size = 4096
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\%temp%\1419406600.671732.exe
C:\%temp%\1419406600.760483.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\PersonalBankPortal.exe
C:\WINDOWS\system32\conime.exe
C:\%temp%\1419406601.422219.exe
C:\%temp%\1419406601.547603.exe
C:\%temp%\1419406601.662385.exe
C:\%temp%\1419406601.779309.exe
C:\%temp%\1419406601.884596.exe
C:\%temp%\1419406602.003389.exe
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\Program Files\Internet Explorer\IEXPLORE.EXE, CmdLine = "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.yixun.com/
ImagePath = C:\%temp%\1419406582.676987.exe, CmdLine = C:\%temp%\1419406582.676987.exe -d
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe---> Offset = 397312
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 284672
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe---> Offset = 98816
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE---> Offset = 12378112
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winsvgytn.exe
C:\WINDOWS\system32\drivers\hlnnjn.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hirfaw.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winnrsxv.exe
C:\lmvle.exe
C:\WINDOWS\mhph.exe
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:\device\harddiskvolume1\windows\system32\cmb_pb_liveupdate.exe
\device\harddiskvolume1\windows\$ntuninstallkb2412687$\spuninst\spuninst.exe
\device\harddiskvolume1\program files\adobe\reader 9.0\reader\reader_sl.exe
\device\harddiskvolume1\windows\system32\notepad.exe
\device\harddiskvolume1\program files\windows nt\accessories\wordpad.exe
\device\harddiskvolume1\program files\microsoft office\office11\winword.exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\lmvle.exe
C:\WINDOWS\mhph.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:hh8geqpHJTkdns6
purity_control_7728
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winsvgytn.exe
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winnrsxv.exe
\WINDOWS\system32\Cmb_Pb_LiveUpdate.exe
\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe
Local\UrlZonesSM_Administrator
\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
\WINDOWS\system32\notepad.exe
\Program Files\Windows NT\Accessories\wordpad.exe
\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system.ini---> Offset = 231
C:\autorun.inf---> Offset = 0
C:\WINDOWS\autorun.inf---> Offset = 0
คำอธิบายพฤติกรรม:修改新生成的可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winsvgytn.exe---> Offset = 66560
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winnrsxv.exe---> Offset = 66560
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:联网打开网址
สำหรับข้อมูลเพิ่มเติม:InternetOpenUrlA: http://padrup.com/sobaka.aspx?1490f4=10782624 hInternet = 0x00000480
InternetOpenUrlA: http://kuku1.infoier?149151=2695842 hInternet = 0x00000484
InternetOpenUrlA: http://padrup.com/sobaka.aspx?149941=4049859 hInternet = 0x00000454
InternetOpenUrlA: http://kuku1.infoier?149950=10799744 hInternet = 0x0000070c
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14a14f=6760075 hInternet = 0x000003e8
InternetOpenUrlA: http://kuku1.infoier?14a15f=13520310 hInternet = 0x000003e4
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14a95e=2708156 hInternet = 0x000003e0
InternetOpenUrlA: http://kuku1.infoier?14a99c=12187260 hInternet = 0x000003ec
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14b1ca=6781170 hInternet = 0x000003d0
InternetOpenUrlA: http://kuku1.infoier?14b1da=1356250 hInternet = 0x000003e4
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14b9b9=10866120 hInternet = 0x000003a4
InternetOpenUrlA: http://kuku1.infoier?14b9c9=12224529 hInternet = 0x00000460
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14c1b8=1360312 hInternet = 0x000003f0
InternetOpenUrlA: http://kuku1.infoier?14c1c8=13603280 hInternet = 0x000003c4
InternetOpenUrlA: http://padrup.com/sobaka.aspx?14c9c7=9536625 hInternet = 0x00000380
คำอธิบายพฤติกรรม:枚举网络共享资源
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:读取网络文件
สำหรับข้อมูลเพิ่มเติม:hFile = 0x00000480, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000484, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000454, BytesToRead =1024, BytesRead = 1024.
hFile = 0x0000070c, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003e8, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003e4, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003e0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003ec, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003d0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003a4, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000460, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003f0, BytesToRead =1024, BytesRead = 1024.
hFile = 0x000003c4, BytesToRead =1024, BytesRead = 1024.
hFile = 0x00000380, BytesToRead =1024, BytesRead = 1024.
hFile = 0x0000036c, BytesToRead =1024, BytesRead = 1024.
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwybmpl.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\esmvqg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winjbodop.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winugqtdy.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\yiopm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dlympg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tvtji.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winftsc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wingjsb.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qflnt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winginm.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dtnufs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winochjui.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wingmaejf.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincefrbc.exe
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表_Explorer文件显示相关属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
คำอธิบายพฤติกรรม:删除注册表键_安全模式启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Base
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot file system
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\CryptSvc
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\DcomLaunch
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmadmin
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmboot.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmio.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmload.sys
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmserver
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventLog
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\File system
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Filter
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Netlogon
คำอธิบายพฤติกรรม:修改注册表_UAC关键设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
คำอธิบายพฤติกรรม:删除注册表键值_安全模式启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_3
คำอธิบายพฤติกรรม:修改注册表_系统防火墙可信进程列表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\c:\%temp%\1419406525.374937.exe
คำอธิบายพฤติกรรม:修改注册表_安全中心相关属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\UacDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A4_2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A1_3
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A2_3
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Fobvexllmtqkq\A3_3
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建驱动文件镜像
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\ipfltdrv.sys
C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:uxJLpe1m
smss.exeM_532_
csrss.exeM_592_
winlogon.exeM_616_
services.exeM_668_
lsass.exeM_680_
33acthlp.exeM_840_
svchost.exeM_856_
svchost.exeM_924_
svchost.exeM_964_
svchost.exeM_1048_
svchost.exeM_1080_
spoolsv.exeM_1320_
33toolsd.exeM_1488_
33upgradehelper.exeM_1584_
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
คำอธิบายพฤติกรรม:尝试连接RootKit驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\amsint32
คำอธิบายพฤติกรรม:常规加载驱动
สำหรับข้อมูลเพิ่มเติม:system32\DRIVERS\ipfltdrv.sys
\??\C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TXGuiFoundation,QQ2013]
NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,OP_2269840561]
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务启动成功]: , IP Traffic Filter Driver, system32\DRIVERS\ipfltdrv.sys
[服务启动成功]: , amsint32, \??\C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:搜索kernel32.dll基地址
สำหรับข้อมูลเพิ่มเติม:Instruction Address = 0x0040237e
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:停止系统服务
สำหรับข้อมูลเพิ่มเติม:ServiceName = Application Layer Gateway Service
ServiceName = Windows Firewall/Internet Connection Sharing (ICS)
ServiceName = Security Center
คำอธิบายพฤติกรรม:获取文件属性探测VMware
สำหรับข้อมูลเพิ่มเติม:GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwaretray.exe
GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwareuser.exe
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已存在]: IPFILTERDRIVER, C:\WINDOWS\system32\drivers\ipfltdrv.sys
[服务创建成功]: amsint32, C:\WINDOWS\system32\drivers\hlnnjn.sys
ผิดพลาดผิดปกติ
คำอธิบายพฤติกรรม:创建驱动文件镜像
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\ipfltdrv.sys
C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:uxJLpe1m
smss.exeM_532_
csrss.exeM_592_
winlogon.exeM_616_
services.exeM_668_
lsass.exeM_680_
33acthlp.exeM_840_
svchost.exeM_856_
svchost.exeM_924_
svchost.exeM_964_
svchost.exeM_1048_
svchost.exeM_1080_
spoolsv.exeM_1320_
33toolsd.exeM_1488_
33upgradehelper.exeM_1584_
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
คำอธิบายพฤติกรรม:尝试连接RootKit驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\amsint32
คำอธิบายพฤติกรรม:常规加载驱动
สำหรับข้อมูลเพิ่มเติม:system32\DRIVERS\ipfltdrv.sys
\??\C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TXGuiFoundation,QQ2013]
NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,OP_2269840561]
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务启动成功]: , IP Traffic Filter Driver, system32\DRIVERS\ipfltdrv.sys
[服务启动成功]: , amsint32, \??\C:\WINDOWS\system32\drivers\hlnnjn.sys
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:搜索kernel32.dll基地址
สำหรับข้อมูลเพิ่มเติม:Instruction Address = 0x0040237e
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:停止系统服务
สำหรับข้อมูลเพิ่มเติม:ServiceName = Application Layer Gateway Service
ServiceName = Windows Firewall/Internet Connection Sharing (ICS)
ServiceName = Security Center
คำอธิบายพฤติกรรม:获取文件属性探测VMware
สำหรับข้อมูลเพิ่มเติม:GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwaretray.exe
GetFileAttributes: FileName = c:\program files\vmware\vmware tools\vmwareuser.exe
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已存在]: IPFILTERDRIVER, C:\WINDOWS\system32\drivers\ipfltdrv.sys
[服务创建成功]: amsint32, C:\WINDOWS\system32\drivers\hlnnjn.sys
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号