VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:89
รายการพฤติกรรม
รายงานการวิเคราะห์พฤติกรรม:         รายงานการวิเคราะห์พฤติกรรมของไฟล์ Threatbook
ข้อมูลพื้นฐาน
MD5:dad55b6c34b48cf95ec5908e597620b5
ประเภทไฟล์:EXE
บริษัท ผลิต:北京海腾时代科技有限公司
เวอร์ชัน:3.0.0.1028---3.0.0.1028
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Borland Delphi 2.0 [Overlay]
ข้อมูลย่อย:DefItemName_2c193ab0dumpFile / fe3eed0641ab623fa2e3b2491be9ae7e / EXE
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x0003034c, Text = 安装向导 - 极速PDF阅读器, ClassName = TWizardForm.
hWnd = 0x00010342, Text = 安装向导, ClassName = TApplication.
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceA) hModule = 0x00400000, ResName: REGDLL_EXE, ResType:
(FindResourceA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 253503, SleepMilliseconds = 50.
TickCount = 253565, SleepMilliseconds = 50.
TickCount = 253628, SleepMilliseconds = 50.
TickCount = 253690, SleepMilliseconds = 50.
TickCount = 253753, SleepMilliseconds = 50.
TickCount = 253815, SleepMilliseconds = 50.
TickCount = 253878, SleepMilliseconds = 50.
TickCount = 253940, SleepMilliseconds = 50.
TickCount = 254003, SleepMilliseconds = 50.
TickCount = 254065, SleepMilliseconds = 50.
TickCount = 254128, SleepMilliseconds = 50.
TickCount = 254190, SleepMilliseconds = 50.
TickCount = 254253, SleepMilliseconds = 50.
TickCount = 254315, SleepMilliseconds = 50.
TickCount = 254378, SleepMilliseconds = 50.
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000afc]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-A6EDI.tmp\996E.tmp, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-A6EDI.tmp\996E.tmp" /SL5="$40336,10918340,222720,C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll ---> Offset = 0
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-A6EDI.tmp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-A6EDI.tmp\996E.tmp
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\「开始」菜单
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9KJTJ.tmp\*
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-9KJTJ.tmp\_isetup\*
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.AAL
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [安装向导 - 极速PDF阅读器,TWizardForm]
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 253503, SleepMilliseconds = 50.
TickCount = 253565, SleepMilliseconds = 50.
TickCount = 253628, SleepMilliseconds = 50.
TickCount = 253690, SleepMilliseconds = 50.
TickCount = 253753, SleepMilliseconds = 50.
TickCount = 253815, SleepMilliseconds = 50.
TickCount = 253878, SleepMilliseconds = 50.
TickCount = 253940, SleepMilliseconds = 50.
TickCount = 254003, SleepMilliseconds = 50.
TickCount = 254065, SleepMilliseconds = 50.
TickCount = 254128, SleepMilliseconds = 50.
TickCount = 254190, SleepMilliseconds = 50.
TickCount = 254253, SleepMilliseconds = 50.
TickCount = 254315, SleepMilliseconds = 50.
TickCount = 254378, SleepMilliseconds = 50.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x0003034c, Text = 安装向导 - 极速PDF阅读器, ClassName = TWizardForm.
hWnd = 0x00010342, Text = 安装向导, ClassName = TApplication.
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 2812, Hwnd=0x3035e, Text = 胡萝卜周, ClassName = TNewStaticText.
Pid = 2812, Hwnd=0x30354, Text = 关于(&A), ClassName = TButton.
Pid = 2812, Hwnd=0x30352, Text = 欢迎使用 极速PDF阅读器 安装向导 , ClassName = TNewStaticText.
Pid = 2812, Hwnd=0x20364, Text = 安装向导将在你的电脑上安装 极速PDF阅读器 版本 3.0.0.1028。 建议你在继续之前关闭所有其它应用程序。 单击“下一步”继续,或单击“取消”退出安装。, ClassName = TNewStaticText.
Pid = 2812, Hwnd=0x3034e, Text = 下一步(&N) >, ClassName = TNewButton.
Pid = 2812, Hwnd=0x4033c, Text = 取消, ClassName = TNewButton.
Pid = 2812, Hwnd=0x3034c, Text = 安装向导 - 极速PDF阅读器, ClassName = TWizardForm.
Pid = 2812, Hwnd=0x303e2, Text = 是(&Y), ClassName = Button.
Pid = 2812, Hwnd=0x40428, Text = 否(&N), ClassName = Button.
Pid = 2812, Hwnd=0x1042c, Text = 安装尚未完成。如果你现在退出,软件将不会安装。 你可以在其它时间重新运行安装向导来完成安装。 现在退出安装吗?, ClassName = Static.
Pid = 2812, Hwnd=0x503b4, Text = 退出安装, ClassName = #32770.
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceA) hModule = 0x00400000, ResName: REGDLL_EXE, ResType:
(FindResourceA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 50.
[2]: MilliSeconds = 50.
[3]: MilliSeconds = 50.
[4]: MilliSeconds = 50.
[5]: MilliSeconds = 50.
[6]: MilliSeconds = 50.
[7]: MilliSeconds = 50.
[8]: MilliSeconds = 50.
[9]: MilliSeconds = 50.
[10]: MilliSeconds = 50.
[2]: MilliSeconds = 250.
[3]: MilliSeconds = 250.
[4]: MilliSeconds = 250.
[5]: MilliSeconds = 250.
[6]: MilliSeconds = 250.
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = MSCTF.SendReceive.Event.AAL.IC
EventName = MSCTF.SendReceiveConection.Event.AAL.IC
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-A6EDI.tmp\996E.tmp ---> 325ca9f0b17bcee8365b90386a16de9c
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_RegDLL.tmp ---> 0ee914c6f0bb93996c75941e1ad629c6
C:\Documents and Settings\Administrator\Local Settings\Temp\is-9KJTJ.tmp\_isetup\_shfoldr.dll ---> 92dc6ef532fbb4a5c3201469a5b5eb63
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:ShimCacheMutex
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号