VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:30
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:4c3a2260cd0b372128351f644b441a14
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Borland Delphi 6.0 - 7.0
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 218062, SleepMilliseconds = 1000.
TickCount = 218828, SleepMilliseconds = 1000.
คำอธิบายพฤติกรรม:自删除
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: GrayPigeon_www.msmm.cn , C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:进程提权信息
สำหรับข้อมูลเพิ่มเติม:NT AUTHORITY\SYSTEM
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = C:\WINDOWS\uninstal.bat
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x00000a00]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c C:\WINDOWS\uninstal.bat
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2464, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: www.msmm.cn.Exe, InheritedFromPID = 652, ProcessID = 2496, ThreadID = 2516, StartAddress = 77DC845A, Parameter = 00000000
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x000009c0]ImagePath = C:\Program Files\HgzServer\www.msmm.cn.Exe, CmdLine = "C:\Program Files\HgzServer\www.msmm.cn.Exe"
คำอธิบายพฤติกรรม:进程提权信息
สำหรับข้อมูลเพิ่มเติม:NT AUTHORITY\SYSTEM
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe
C:\WINDOWS\uninstal.bat
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\uninstal.bat
คำอธิบายพฤติกรรม:修改脚本文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\uninstal.bat ---> Offset = 0
C:\WINDOWS\uninstal.bat ---> Offset = 128
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Program Files\HgzServer\*.dat
FileName = C:\Program Files\HgzServer\www.msmm.cn.Exe
FileName = C:\WINDOWS
FileName = C:\WINDOWS\uninstal.bat
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe ---> Offset = 0
C:\Program Files\HgzServer\www.msmm.cn.Exe ---> Offset = 65536
C:\Program Files\HgzServer\www.msmm.cn.Exe ---> Offset = 131072
C:\Program Files\HgzServer\www.msmm.cn.Exe ---> Offset = 196608
C:\Program Files\HgzServer\www.msmm.cn.Exe ---> Offset = 262144
คำอธิบายพฤติกรรม:自删除
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Www.msmm.cn _MUTEX
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = DINPUTWINMM
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务启动失败]: LocalSystem, GrayPigeon_Www.msmm.cn , C:\Program Files\HgzServer\www.msmm.cn.Exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 218062, SleepMilliseconds = 1000.
TickCount = 218828, SleepMilliseconds = 1000.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 1000.
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\HgzServer\www.msmm.cn.Exe ---> 4c3a2260cd0b372128351f644b441a14
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:ShimCacheMutex
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: GrayPigeon_www.msmm.cn , C:\Program Files\HgzServer\www.msmm.cn.Exe
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号