VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:40
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:88a95bad9c67fee10a3dce0ea05cef27
ประเภทไฟล์:Autoit
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:PACKER:ASPack 2.x (without poly) -> Alexey Solodovnikov
ข้อมูลย่อย:AutoItScript / 165839331da354625010ac1f9e9b8ad1 / Unknown
svchost.001 / c427f41a9eb12166c278da8fed8a0c4a / Split
aspack212r_7d4f4db5dumpFile / d6f9c35d63e0305bcb3582ec07c341a8 / EXE
svchost.exe / 0c7a714b8e1d2ead2afc90dcc43bbe18 / EXE
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [AutoIt v3,AutoIt v3]
คำอธิบายพฤติกรรม:修改注册表_任务管理器关键属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\Msn Messsenger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost Agent
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\28463
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改注册表_禁用注册表编辑器项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:wpad
yahoo.com
www.yahoo.com
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at /delete /yes
ImagePath = , CmdLine = c:\windows\system32\cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su c:\windows\system32\svchost .exe
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\svchost .exe
ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\svchost .exe
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\28463\svchost.exe, CmdLine = C:\WINDOWS\system32\28463\svchost.exe
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:AtlDebugAllocator_FileMappingNameStatic3_3fc
Local\UrlZonesSM_Administrator
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut3.tmp---> Offset = 196608
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut4.tmp---> Offset = 0
C:\WINDOWS\system32\28463\svchost.001---> Offset = 0
C:\WINDOWS\system32\setup.ini---> Offset = 0
C:\WINDOWS\system32\setup.ini---> Offset = 28
C:\WINDOWS\system32\setup.ini---> Offset = 53
C:\WINDOWS\system32\setup.ini---> Offset = 84
C:\WINDOWS\autorun.inf---> Offset = 0
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\28463
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\28463\svchost.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\New Folder .exe
C:\WINDOWS\$NtUninstallKB2412687$\$NtUninstallKB2412687$ .exe
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst .exe
C:\WINDOWS\addins\addins .exe
C:\WINDOWS\AppPatch\AppPatch .exe
C:\WINDOWS\assembly\assembly .exe
C:\WINDOWS\assembly\GAC_32\GAC_32 .exe
C:\WINDOWS\assembly\GAC_32\CustomMarshalers\CustomMarshalers .exe
C:\WINDOWS\assembly\GAC_32\CustomMarshalers\2.0.0.0__b03f5f7f11d50a3a\2.0.0.0__b03f5f7f11d50a3a .exe
C:\WINDOWS\assembly\GAC_32\ISymWrapper\ISymWrapper .exe
C:\WINDOWS\assembly\GAC_32\ISymWrapper\2.0.0.0__b03f5f7f11d50a3a\2.0.0.0__b03f5f7f11d50a3a .exe
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:联网打开网址
สำหรับข้อมูลเพิ่มเติม:InternetOpenUrlA: http://yahoo.com/setting.doc hInternet = 0x00000660
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:wpad
yahoo.com
www.yahoo.com
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:删除注册表键值_IE连接设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
คำอธิบายพฤติกรรม:修改注册表_任务管理器关键属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\X\BaseClass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxHours
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\sample\DEBUG\Trace Level
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\sample\DEBUG\Trace Level
คำอธิบายพฤติกรรม:修改注册表_禁用注册表编辑器项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\Msn Messsenger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost Agent
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:SHIMLIB_LOG_MUTEX
Local\{E3893ABF-53E0-4228-9A27-1C69FB1D67C2}
oleacc-msaa-loaded
RasPbFile
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [AutoIt v3,AutoIt v3]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [,AKLMW]
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
SE_INC_BASE_PRIORITY_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号