VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:50
รายการพฤติกรรม
รายงานการวิเคราะห์พฤติกรรม:         รายงานการวิเคราะห์พฤติกรรมของไฟล์ Threatbook
ข้อมูลพื้นฐาน
MD5:9e3548fe701a21002a97865c6f3784f8
ประเภทไฟล์:Rar
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:
ข้อมูลย่อย:sr_start.exedumpFile / 95699274a1024bf158f11b9e9e535aa4 / EXE
SuperRecovery.EXEdumpFile / 7a0816cf25487cbc1bc89516adeb6215 / EXE
sr_start.exe / 95699274a1024bf158f11b9e9e535aa4 / EXE
SuperRecovery.EXE / 7a0816cf25487cbc1bc89516adeb6215 / EXE
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:探测 Virtual PC 是否存在
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
[Window,Class] = [,Auto-Suggest Dropdown]
[Window,Class] = [浏览(&W)...,Button]
[Window,Class] = [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0,ComboBox]
คำอธิบายพฤติกรรม:查找指定内核模块
สำหรับข้อมูลเพิ่มเติม:lstrcmpiA: ntice.sys <------> ntkrnlpa.exe (ntice.sys)
lstrcmpiA: ntice.sys <------> hal.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> KDCOM.DLL (ntice.sys)
lstrcmpiA: ntice.sys <------> BOOTVID.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> ACPI.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> WMILIB.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> pci.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> isapnp.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> compbatt.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> BATTC.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> intelide.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> PCIIDEX.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> MountMgr.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> ftdisk.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> dmload.sys (ntice.sys)
คำอธิบายพฤติกรรม:查找反病毒常用工具窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]
NtUserFindWindowEx: [Class,Window] = [GBDYLLO,]
NtUserFindWindowEx: [Class,Window] = [pediy06,]
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\sr_start.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\sr_start.exe"
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\SuperRecovery.EXE, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\sr_start.exe"
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:Local\UrlZonesSM_Administrator
\WINDOWS\system32\zh-cn\ieframe.dll.mui
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\SuperRecovery.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\sr_start.exe
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\X\BaseClass
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\sr_start.exe
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
_SHuassist.mtx
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
[Window,Class] = [,Auto-Suggest Dropdown]
[Window,Class] = [浏览(&W)...,Button]
[Window,Class] = [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0,ComboBox]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [EDIT,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
คำอธิบายพฤติกรรม:探测 Virtual PC 是否存在
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:尝试打开调试器或监控软件的驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\SICE
\??\SIWVID
\??\NTICE
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:搜索kernel32.dll基地址
สำหรับข้อมูลเพิ่มเติม:Instruction Address = 0x0040ad3a
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 1292, Hwnd=0xb0192, Text = ZProtect, ClassName = ZProtect_LogoClass.
Pid = 2096, Hwnd=0xc03f0, Text = 确定, ClassName = Button.
Pid = 2096, Hwnd=0x9037a, Text = Sorry, this application cannot run under a Virtual Machine, ClassName = Static.
Pid = 2096, Hwnd=0x6033e, Text = Themida, ClassName = #32770.
คำอธิบายพฤติกรรม:查找指定内核模块
สำหรับข้อมูลเพิ่มเติม:lstrcmpiA: ntice.sys <------> ntkrnlpa.exe (ntice.sys)
lstrcmpiA: ntice.sys <------> hal.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> KDCOM.DLL (ntice.sys)
lstrcmpiA: ntice.sys <------> BOOTVID.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> ACPI.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> WMILIB.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> pci.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> isapnp.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> compbatt.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> BATTC.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> intelide.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> PCIIDEX.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> MountMgr.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> ftdisk.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> dmload.sys (ntice.sys)
คำอธิบายพฤติกรรม:查找反病毒常用工具窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]
NtUserFindWindowEx: [Class,Window] = [GBDYLLO,]
NtUserFindWindowEx: [Class,Window] = [pediy06,]
ผิดพลาดผิดปกติ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
_SHuassist.mtx
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
[Window,Class] = [,Auto-Suggest Dropdown]
[Window,Class] = [浏览(&W)...,Button]
[Window,Class] = [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0,ComboBox]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [EDIT,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
คำอธิบายพฤติกรรม:探测 Virtual PC 是否存在
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:尝试打开调试器或监控软件的驱动设备对象
สำหรับข้อมูลเพิ่มเติม:\??\SICE
\??\SIWVID
\??\NTICE
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:搜索kernel32.dll基地址
สำหรับข้อมูลเพิ่มเติม:Instruction Address = 0x0040ad3a
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 1292, Hwnd=0xb0192, Text = ZProtect, ClassName = ZProtect_LogoClass.
Pid = 2096, Hwnd=0xc03f0, Text = 确定, ClassName = Button.
Pid = 2096, Hwnd=0x9037a, Text = Sorry, this application cannot run under a Virtual Machine, ClassName = Static.
Pid = 2096, Hwnd=0x6033e, Text = Themida, ClassName = #32770.
คำอธิบายพฤติกรรม:查找指定内核模块
สำหรับข้อมูลเพิ่มเติม:lstrcmpiA: ntice.sys <------> ntkrnlpa.exe (ntice.sys)
lstrcmpiA: ntice.sys <------> hal.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> KDCOM.DLL (ntice.sys)
lstrcmpiA: ntice.sys <------> BOOTVID.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> ACPI.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> WMILIB.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> pci.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> isapnp.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> compbatt.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> BATTC.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> intelide.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> PCIIDEX.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> MountMgr.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> ftdisk.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> dmload.sys (ntice.sys)
คำอธิบายพฤติกรรม:查找反病毒常用工具窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]
NtUserFindWindowEx: [Class,Window] = [GBDYLLO,]
NtUserFindWindowEx: [Class,Window] = [pediy06,]
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号