VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:41
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:d49049353bf69ec557373f445a13f62f
ประเภทไฟล์:Autoit
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:PACKER:ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay]
ข้อมูลย่อย:AutoItScript / 165839331da354625010ac1f9e9b8ad1 / Unknown
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:修改注册表_任务管理器关键属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 219338, SleepMilliseconds = 10.
TickCount = 219385, SleepMilliseconds = 10.
TickCount = 219494, SleepMilliseconds = 10.
TickCount = 219510, SleepMilliseconds = 10.
TickCount = 219525, SleepMilliseconds = 10.
TickCount = 219541, SleepMilliseconds = 10.
TickCount = 219556, SleepMilliseconds = 10.
TickCount = 219572, SleepMilliseconds = 10.
TickCount = 219588, SleepMilliseconds = 10.
TickCount = 219603, SleepMilliseconds = 10.
TickCount = 219619, SleepMilliseconds = 10.
TickCount = 219635, SleepMilliseconds = 10.
TickCount = 219650, SleepMilliseconds = 10.
TickCount = 219885, SleepMilliseconds = 10.
TickCount = 219900, SleepMilliseconds = 10.
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\DiskX\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\28463
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改注册表_禁用注册表编辑器项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Msn Messsenger
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
ImagePath = , CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\svchost .exe
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x000009fc]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT /delete /yes
[0x00000a24]ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT /delete /yes
[0x00000a48]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\svchost .exe
[0x00000a68]ImagePath = C:\WINDOWS\system32\at.exe, CmdLine = AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su C:\WINDOWS\system32\svchost .exe
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2708, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2712, StartAddress = 00453219, Parameter = 00F0C090
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2728, StartAddress = 7C947EBB, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2732, StartAddress = 7C930230, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2776, StartAddress = 00453219, Parameter = 00F0C090
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2780, StartAddress = 00453219, Parameter = 00F0C090
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2472, ThreadID = 2792, StartAddress = 00453219, Parameter = 00F0C090
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut5.tmp
C:\WINDOWS\system32\28463\svchost.001
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setup.ini
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\setting[1].doc
C:\WINDOWS\system32\setting.ini
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\setting[1].xls
C:\DiskX\New Folder .exe
C:\DiskX\regsvr.exe
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\DiskX\New Folder .exe
C:\DiskX\regsvr.exe
คำอธิบายพฤติกรรม:覆盖已有文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut5.tmp
C:\WINDOWS\system32\setting.ini
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\regsvr.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\regsvr.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\regsvr.exe ---> x:\New Folder .exe
C:\WINDOWS\system32\regsvr.exe ---> x:\regsvr.exe
C:\WINDOWS\system32\setup.ini ---> x:\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut5.tmp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\setting[1].doc
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\setting[1].xls
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = C:\WINDOWS\winhelp.ini
FileName = C:\WINDOWS\system32\28463\svchost.exe
FileName = C:\WINDOWS\system32\28463\svchost.001
FileName = C:\WINDOWS\system32\regsvr.exe
FileName = regsvr.exe
FileName = C:\WINDOWS\regsvr.exe
FileName = C:\WINDOWS\system32\svchost .exe
FileName = svchost .exe
FileName = C:\WINDOWS
คำอธิบายพฤติกรรม:在根目录创建自运行文件
สำหรับข้อมูลเพิ่มเติม:C:\DiskX\autorun.inf
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\28463
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\aut4.tmp ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\Temp\aut5.tmp ---> Offset = 0
C:\WINDOWS\system32\28463\svchost.001 ---> Offset = 0
C:\WINDOWS\system32\regsvr.exe ---> Offset = 0
C:\WINDOWS\system32\regsvr.exe ---> Offset = 65536
C:\WINDOWS\system32\regsvr.exe ---> Offset = 131072
C:\WINDOWS\system32\regsvr.exe ---> Offset = 196608
C:\WINDOWS\system32\regsvr.exe ---> Offset = 262144
C:\WINDOWS\regsvr.exe ---> Offset = 0
C:\WINDOWS\regsvr.exe ---> Offset = 65536
C:\WINDOWS\regsvr.exe ---> Offset = 131072
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:联网打开网址
สำหรับข้อมูลเพิ่มเติม:InternetOpenUrlA: http://ya****om/setting.doc, hInternet = 0x00cc0004, Flags = 0x80000000
InternetOpenUrlA: http://ya****om/setting.xls, hInternet = 0x00cc0004, Flags = 0x80000000
InternetOpenUrlA: http://ww****om/setting.doc, hInternet = 0x00cc0004, Flags = 0x80000000
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\setting.ini
คำอธิบายพฤติกรรม:连接指定站点
สำหรับข้อมูลเพิ่มเติม:InternetConnectA: ServerName = ya****om, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x80000000
InternetConnectA: ServerName = ww****om, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x80000000
คำอธิบายพฤติกรรม:打开HTTP连接
สำหรับข้อมูลเพิ่มเติม:InternetOpenA: UserAgent: , hSession = 0x00cc0004
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:URL: ya****om, IP: **.133.40.**:80, SOCKET = 0x000002c4
URL: ya****om, IP: **.133.40.**:80, SOCKET = 0x000002cc
URL: ww****om, IP: **.133.40.**:80, SOCKET = 0x000002c8
คำอธิบายพฤติกรรม:读取网络文件
สำหรับข้อมูลเพิ่มเติม:hFile = 0x00cc000c, BytesToRead =1024, BytesRead = 1024.
คำอธิบายพฤติกรรม:发送HTTP包
สำหรับข้อมูลเพิ่มเติม:GET /setting.doc HTTP/1.1 Host: ya****om Cache-Control: no-cache
GET /setting.xls HTTP/1.1 Host: ya****om Cache-Control: no-cache
GET /setting.doc HTTP/1.1 Host: ww****om Cache-Control: no-cache
คำอธิบายพฤติกรรม:打开HTTP请求
สำหรับข้อมูลเพิ่มเติม:HttpOpenRequestA: ya****om:80/setting.doc, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x80000000
HttpOpenRequestA: ya****om:80/setting.xls, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x80000000
HttpOpenRequestA: ww****om:80/setting.doc, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x80000000
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:GetAddrInfoW: ya****om
GetAddrInfoW: ww****om
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Schedule\AtTaskMaxHours
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\shared
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
คำอธิบายพฤติกรรม:修改注册表_禁用注册表编辑器项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
คำอธิบายพฤติกรรม:修改注册表_任务管理器关键属性
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Msn Messsenger
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม:IsDebuggerPresent
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
RasPbFile
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
Global\SvcctrlStartEvent_A3752DX
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
\INSTALLATION_SECURITY_HOLD
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 219338, SleepMilliseconds = 10.
TickCount = 219385, SleepMilliseconds = 10.
TickCount = 219494, SleepMilliseconds = 10.
TickCount = 219510, SleepMilliseconds = 10.
TickCount = 219525, SleepMilliseconds = 10.
TickCount = 219541, SleepMilliseconds = 10.
TickCount = 219556, SleepMilliseconds = 10.
TickCount = 219572, SleepMilliseconds = 10.
TickCount = 219588, SleepMilliseconds = 10.
TickCount = 219603, SleepMilliseconds = 10.
TickCount = 219619, SleepMilliseconds = 10.
TickCount = 219635, SleepMilliseconds = 10.
TickCount = 219650, SleepMilliseconds = 10.
TickCount = 219885, SleepMilliseconds = 10.
TickCount = 219900, SleepMilliseconds = 10.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe(签名验证: 未通过)
C:\WINDOWS\regsvr.exe(签名验证: 未通过)
C:\WINDOWS\system32\svchost .exe(签名验证: 未通过)
C:\WINDOWS\system32\setting.ini(签名验证: 未通过)
C:\DiskX\New Folder .exe(签名验证: 未通过)
C:\DiskX\regsvr.exe(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 10.
[2]: MilliSeconds = 10.
[3]: MilliSeconds = 10.
[4]: MilliSeconds = 10.
[5]: MilliSeconds = 10.
[6]: MilliSeconds = 10.
[7]: MilliSeconds = 10.
[8]: MilliSeconds = 10.
[9]: MilliSeconds = 10.
[10]: MilliSeconds = 10.
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [AutoIt v3,AutoIt v3]
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\regsvr.exe ---> d49049353bf69ec557373f445a13f62f
C:\WINDOWS\regsvr.exe ---> d49049353bf69ec557373f445a13f62f
C:\WINDOWS\system32\svchost .exe ---> d49049353bf69ec557373f445a13f62f
C:\WINDOWS\system32\setting.ini ---> fe1d0ee5901dd167ee9b28eece31786c
C:\DiskX\New Folder .exe ---> d49049353bf69ec557373f445a13f62f
C:\DiskX\regsvr.exe ---> d49049353bf69ec557373f445a13f62f
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:ShimCacheMutex
Local\_!MSFTHISTORY!_
Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Local\c:!documents and settings!administrator!cookies!
Local\c:!documents and settings!administrator!local settings!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
RasPbFile
Local\!IETld!Mutex
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号