VirSCAN VirSCAN

1, Herhangi bir dosyayı YÜKLEYEBİLİRSİNİZ, ancak dosya başına 20 MB sınır vardır.
2, VirSCAN, içeriğinde en fazla 20 dosya olmak kaydıyla Rar/Zip sıkıştırmasını destekler.
3, VirSCAN 'infected' ya da 'virus' kelimesiyle şifrelenip sıkıştırılmış dosyaları tarayabilir.

Dil
Sunucu Yükü
Server Load

Dosya bilgileri
Güvenlik değerlendirmesi:85
Davranış listesi
Temel bilgiler
MD5:52911f85ff9bf20a7f81ae4a80f8820d
Dosya türü:EXE
Üretim şirketi:
Versiyon:1.2.0.0---1.2.0.0
Kabuk veya derleyici bilgisi:COMPILER:NSIS
Alt dosya bilgisi:YL.exe / d265e6f9a4981a305642dde8d2832852 / EXE
NSISList.dll / 6f83120b68d5bc5b698d81508d194b42 / DLL
uninst.exe / bc7afd1064327e21c30f5fd08b1e9f73 / EXE
modern-wizard.bmp / 9e4cd80a60db6947642677bf31a10906 / Unknown
InstallOptions.dll / 0dc0cc7a6d9db685bf05a7e5f3ea4781 / DLL
System.dll / 00a0194c20ee912257df53bfe258ee4a / DLL
modern-header.bmp / 940c56737bf9bb69ce7a31c623d4e87a / Unknown
header.bmp / e74bb436a7edce08adc6d9050753d13c / Unknown
[NSIS].nsi / 8c46a73b69bfcf4958d71b2cb226b994 / Unknown
ioSpecial.ini / e2d5070bc28db1ac745613689ff86067 / Unknown
Anahtar davranış
Davranış açıklaması:屏蔽窗口关闭消息
Daha fazla bilgi için:hWnd = 0x0001033e, Text = 欢迎使用羸驴准星软件安装向导 , ClassName = #32770.
Davranış açıklaması:在桌面创建文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\桌面\赢驴准星.lnk
Davranış açıklaması:获取TickCount值
Daha fazla bilgi için:TickCount = 222562, SleepMilliseconds = 2000.
TickCount = 222609, SleepMilliseconds = 2000.
TickCount = 222656, SleepMilliseconds = 2000.
TickCount = 222671, SleepMilliseconds = 2000.
TickCount = 222687, SleepMilliseconds = 2000.
TickCount = 222718, SleepMilliseconds = 2000.
TickCount = 222750, SleepMilliseconds = 2000.
TickCount = 222828, SleepMilliseconds = 2000.
TickCount = 222937, SleepMilliseconds = 2000.
TickCount = 224937, SleepMilliseconds = 2000.
TickCount = 224953, SleepMilliseconds = 2000.
TickCount = 224968, SleepMilliseconds = 2000.
TickCount = 225000, SleepMilliseconds = 2000.
TickCount = 225062, SleepMilliseconds = 2000.
TickCount = 225078, SleepMilliseconds = 2000.
Süreç davranış
Davranış açıklaması:创建本地线程
Daha fazla bilgi için:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 3276, ThreadID = 3492, StartAddress = 7C947EBB, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 3276, ThreadID = 3496, StartAddress = 7C930230, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 3276, ThreadID = 3524, StartAddress = 00404EF5, Parameter = 00030364
Dosya davranışı
Davranış açıklaması:创建文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsyD.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\ioSpecial.ini
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\modern-wizard.bmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\modern-header.bmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\header.bmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\System.dll
C:\Program Files\YLCross\YL.exe
C:\Program Files\YLCross\uninst.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\NSISList.dll
C:\Program Files\YLCross\RCXF.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\InstallOptions.dll
Davranış açıklaması:在系统敏感位置(如开始菜单等)释放链接或快捷方式
Daha fazla bilgi için:C:\Documents and Settings\Administrator\「开始」菜单\程序\赢驴准星\打开赢驴准星.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\赢驴准星\卸载.lnk
Davranış açıklaması:创建可执行文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\System.dll
C:\Program Files\YLCross\YL.exe
C:\Program Files\YLCross\uninst.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\NSISList.dll
C:\Program Files\YLCross\RCXF.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\InstallOptions.dll
Davranış açıklaması:覆盖已有文件
Daha fazla bilgi için:C:\Program Files\YLCross\RCXF.tmp
Davranış açıklaması:查找文件
Daha fazla bilgi için:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsxE.tmp
FileName = C:\Program Files\YLCross
FileName = C:\Program Files
FileName = C:\Program Files\YLCross\YL.exe
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\Documents and Settings\Administrator\「开始」菜单
Davranış açıklaması:删除文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsyD.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp
C:\Program Files\YLCross\YL.exe
Davranış açıklaması:在桌面创建文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\桌面\赢驴准星.lnk
Davranış açıklaması:重命名文件
Daha fazla bilgi için:C:\Program Files\YLCross\RCXF.tmp ---> C:\Program Files\YLCross\YL.exe
Davranış açıklaması:修改文件内容
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\ioSpecial.ini ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\ioSpecial.ini ---> Offset = 36
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\modern-wizard.bmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\modern-wizard.bmp ---> Offset = 32768
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\ioSpecial.ini ---> Offset = 124
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\modern-header.bmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\header.bmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\System.dll ---> Offset = 0
C:\Program Files\YLCross\YL.exe ---> Offset = 0
C:\Program Files\YLCross\YL.exe ---> Offset = 32768
C:\Program Files\YLCross\YL.exe ---> Offset = 32848
C:\Program Files\YLCross\YL.exe ---> Offset = 65616
C:\Program Files\YLCross\YL.exe ---> Offset = 67753
C:\Program Files\YLCross\uninst.exe ---> Offset = 0
C:\Program Files\YLCross\uninst.exe ---> Offset = 27953
Kayıt davranışı
Davranış açıklaması:修改注册表
Daha fazla bilgi için:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\YL.exe\YL.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\DisplayName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\UninstallString
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\DisplayIcon
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\DisplayVersion
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\URLInfoAbout
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YL\Publisher
Diğer davranış
Davranış açıklaması:创建互斥体
Daha fazla bilgi için:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.ANM
Davranış açıklaması:隐藏指定窗口
Daha fazla bilgi için:[Window,Class] = [,Button]
[Window,Class] = [< 上一步(&B),Button]
[Window,Class] = [,Auto-Suggest Dropdown]
[Window,Class] = [显示细节(&D),Button]
[Window,Class] = [ ,Static]
[Window,Class] = [ ,Static]
[Window,Class] = [,Static]
[Window,Class] = [安装完成,Static]
[Window,Class] = [安装已成功完成。,Static]
Davranış açıklaması:查找指定窗口
Daha fazla bilgi için:NtUserFindWindowEx: [Class,Window] = [赢驴准星,]
NtUserFindWindowEx: [Class,Window] = [#32770,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Davranış açıklaması:窗口信息
Daha fazla bilgi için:Pid = 3276, Hwnd=0x10344, Text = 下一步(&N) >, ClassName = Button.
Pid = 3276, Hwnd=0x10346, Text = 取消(&C), ClassName = Button.
Pid = 3276, Hwnd=0x10352, Text = , ClassName = Static.
Pid = 3276, Hwnd=0x10354, Text = , ClassName = Static.
Pid = 3276, Hwnd=0x10358, Text = 许可证协议, ClassName = Static.
Pid = 3276, Hwnd=0x1035a, Text = 在安装“赢驴准星 1.2.0.0”之前,请阅读授权协议。, ClassName = Static.
Pid = 3276, Hwnd=0x10364, Text = 按 [PgDn] 阅读“授权协议”的其余部分。, ClassName = Static.
Pid = 3276, Hwnd=0x10368, Text = 如果你接受协议中的条款,单击下方的勾选框。必须要接受协议才能安装 赢驴准星 1.2.0.0。单击 [下一步(N)] 继续。, ClassName = Static.
Pid = 3276, Hwnd=0x1036c, Text = 我接受“许可证协议”中的条款(&A), ClassName = Button(CheckBox).
Pid = 3276, Hwnd=0x1033e, Text = 欢迎使用羸驴准星软件安装向导 , ClassName = #32770.
Pid = 3276, Hwnd=0x10342, Text = < 上一步(&B), ClassName = Button.
Pid = 3276, Hwnd=0x10344, Text = 安装(&I), ClassName = Button.
Pid = 3276, Hwnd=0x10358, Text = 选择安装位置, ClassName = Static.
Pid = 3276, Hwnd=0x1035a, Text = 选择“赢驴准星 1.2.0.0”的安装文件夹。, ClassName = Static.
Pid = 3276, Hwnd=0x2036c, Text = C:\Program Files\YLCross, ClassName = Edit.
Davranış açıklaması:获取TickCount值
Daha fazla bilgi için:TickCount = 222562, SleepMilliseconds = 2000.
TickCount = 222609, SleepMilliseconds = 2000.
TickCount = 222656, SleepMilliseconds = 2000.
TickCount = 222671, SleepMilliseconds = 2000.
TickCount = 222687, SleepMilliseconds = 2000.
TickCount = 222718, SleepMilliseconds = 2000.
TickCount = 222750, SleepMilliseconds = 2000.
TickCount = 222828, SleepMilliseconds = 2000.
TickCount = 222937, SleepMilliseconds = 2000.
TickCount = 224937, SleepMilliseconds = 2000.
TickCount = 224953, SleepMilliseconds = 2000.
TickCount = 224968, SleepMilliseconds = 2000.
TickCount = 225000, SleepMilliseconds = 2000.
TickCount = 225062, SleepMilliseconds = 2000.
TickCount = 225078, SleepMilliseconds = 2000.
Davranış açıklaması:调整进程token权限
Daha fazla bilgi için:SE_LOAD_DRIVER_PRIVILEGE
Davranış açıklaması:屏蔽窗口关闭消息
Daha fazla bilgi için:hWnd = 0x0001033e, Text = 欢迎使用羸驴准星软件安装向导 , ClassName = #32770.
Davranış açıklaması:打开事件
Daha fazla bilgi için:HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
Davranış açıklaması:可执行文件签名信息
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\System.dll(签名验证: 未通过)
C:\Program Files\YLCross\YL.exe(签名验证: 未通过)
C:\Program Files\YLCross\uninst.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\NSISList.dll(签名验证: 未通过)
C:\Program Files\YLCross\RCXF.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\InstallOptions.dll(签名验证: 未通过)
Davranış açıklaması:调用Sleep函数
Daha fazla bilgi için:[1]: MilliSeconds = 2000.
[2]: MilliSeconds = 500.
[3]: MilliSeconds = 500.
Davranış açıklaması:创建事件对象
Daha fazla bilgi için:EventName = MSCTF.SendReceive.Event.ANM.IC
EventName = MSCTF.SendReceiveConection.Event.ANM.IC
EventName = Global\userenv: User Profile setup event
Davranış açıklaması:可执行文件MD5
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\System.dll ---> 00a0194c20ee912257df53bfe258ee4a
C:\Program Files\YLCross\YL.exe ---> d265e6f9a4981a305642dde8d2832852
C:\Program Files\YLCross\uninst.exe ---> bc7afd1064327e21c30f5fd08b1e9f73
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\NSISList.dll ---> 6f83120b68d5bc5b698d81508d194b42
C:\Program Files\YLCross\RCXF.tmp ---> 422639767c92bcafe0b21205551e6687
C:\Documents and Settings\Administrator\Local Settings\Temp\nsxE.tmp\InstallOptions.dll ---> 0dc0cc7a6d9db685bf05a7e5f3ea4781
Davranış açıklaması:打开互斥体
Daha fazla bilgi için:ShimCacheMutex
Davranış açıklaması:加载新释放的文件
Daha fazla bilgi için:Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsxE.tmp\System.dll.
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsxE.tmp\NSISList.dll.
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsxE.tmp\InstallOptions.dll.
Ekran görüntüsünü çalıştır
VirSCAN

VirSCAN Hakkında | Gizlilik Sözleşmesi | İletişim | Dostu bağlantı | VirSCAN'e Yardım Edin
Çeviren: Saner Apaydın, Turkey
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号