VirSCAN VirSCAN

1, Herhangi bir dosyayı YÜKLEYEBİLİRSİNİZ, ancak dosya başına 20 MB sınır vardır.
2, VirSCAN, içeriğinde en fazla 20 dosya olmak kaydıyla Rar/Zip sıkıştırmasını destekler.
3, VirSCAN 'infected' ya da 'virus' kelimesiyle şifrelenip sıkıştırılmış dosyaları tarayabilir.

Dil
Sunucu Yükü
Server Load

Dosya bilgileri
Güvenlik değerlendirmesi:41
Davranış listesi
Temel bilgiler
MD5:c419a3b3a2241357b331f469a586e00d
Dosya türü:EXE
Üretim şirketi:
Versiyon:
Kabuk veya derleyici bilgisi:PACKER:UPolyX v0.5
Anahtar davranış
Davranış açıklaması:直接获取CPU时钟
Daha fazla bilgi için:EAX = 0x30fdcc90, EDX = 0x000000b4
EAX = 0x30fdccdc, EDX = 0x000000b4
EAX = 0x30fdcd28, EDX = 0x000000b4
EAX = 0x30fdcd74, EDX = 0x000000b4
EAX = 0x30fdcdc0, EDX = 0x000000b4
EAX = 0x30fdce0c, EDX = 0x000000b4
EAX = 0x33b0cd88, EDX = 0x000000b4
EAX = 0x33b0cdd4, EDX = 0x000000b4
EAX = 0x33b0ce20, EDX = 0x000000b4
EAX = 0x33b0ce6c, EDX = 0x000000b4
EAX = 0x1fa4e6f9, EDX = 0x000000b5
EAX = 0x1fa4e745, EDX = 0x000000b5
EAX = 0x1fa4e791, EDX = 0x000000b5
EAX = 0x1fa4e7dd, EDX = 0x000000b5
EAX = 0x1fa4e829, EDX = 0x000000b5
Davranış açıklaması:创建系统服务
Daha fazla bilgi için:[服务创建成功]: RemoteFunctionService, C:\Windows\svchost.exe
Davranış açıklaması:获取TickCount值
Daha fazla bilgi için:TickCount = 219234, SleepMilliseconds = 500.
TickCount = 219343, SleepMilliseconds = 500.
TickCount = 219390, SleepMilliseconds = 500.
TickCount = 219484, SleepMilliseconds = 500.
TickCount = 219500, SleepMilliseconds = 500.
TickCount = 219531, SleepMilliseconds = 500.
TickCount = 219562, SleepMilliseconds = 500.
TickCount = 219656, SleepMilliseconds = 500.
TickCount = 219703, SleepMilliseconds = 500.
TickCount = 219718, SleepMilliseconds = 500.
TickCount = 219734, SleepMilliseconds = 500.
TickCount = 219812, SleepMilliseconds = 500.
TickCount = 219890, SleepMilliseconds = 500.
TickCount = 219906, SleepMilliseconds = 500.
TickCount = 219921, SleepMilliseconds = 500.
Süreç davranış
Davranış açıklaması:创建新文件进程
Daha fazla bilgi için:[0x00000b08]ImagePath = C:\WINDOWS\svchost.exe, CmdLine = C:\Windows\svchost.exe
Davranış açıklaması:枚举进程
Daha fazla bilgi için:N/A
Davranış açıklaması:创建本地线程
Daha fazla bilgi için:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2748, ThreadID = 2808, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 2824, ThreadID = 2832, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 2824, ThreadID = 2836, StartAddress = 77DC3519, Parameter = 0018C298
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 2824, ThreadID = 2840, StartAddress = 77C0A341, Parameter = 003F3EE8
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 2824, ThreadID = 2844, StartAddress = 77C0A341, Parameter = 003F3EE8
Dosya davranışı
Davranış açıklaması:创建文件
Daha fazla bilgi için:C:\WINDOWS\svchost.exe
Davranış açıklaması:重命名文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\219234.bak
Davranış açıklaması:创建可执行文件
Daha fazla bilgi için:C:\WINDOWS\svchost.exe
Davranış açıklaması:修改文件内容
Daha fazla bilgi için:C:\WINDOWS\svchost.exe ---> Offset = 0
C:\WINDOWS\svchost.exe ---> Offset = 65536
C:\WINDOWS\svchost.exe ---> Offset = 131072
C:\WINDOWS\svchost.exe ---> Offset = 4096
Davranış açıklaması:复制文件
Daha fazla bilgi için:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Windows\svchost.exe
Ağ davranışı
Davranış açıklaması:建立到一个指定的套接字连接
Daha fazla bilgi için:URL: ww****te, IP: **.133.40.**:1987, SOCKET = 0x000000e8
Davranış açıklaması:按名称获取主机地址
Daha fazla bilgi için:gethostbyname: ww****te
Kayıt davranışı
Davranış açıklaması:修改注册表
Daha fazla bilgi için:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\RemoteFunctionService\Description
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\RemoteFunctionService\Group
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\RemoteFunctionService\InstallTime
\REGISTRY\USER\.DEFAULT\Software\Microsoft\ActiveMovie\devenum\Version
Davranış açıklaması:修改注册表_延迟重命名项
Daha fazla bilgi için:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\Session Manager\PendingFileRenameOperations
Diğer davranış
Davranış açıklaması:创建互斥体
Daha fazla bilgi için:www.my520.website:1987:RemoteFunctionService
eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0 - S-1-5-18
Davranış açıklaması:创建事件对象
Daha fazla bilgi için:EventName = DINPUTWINMM
EventName = Global\crypt32LogoffEvent
Davranış açıklaması:启动系统服务
Daha fazla bilgi için:[服务启动成功]: LocalSystem, Remote Access Connection Call (RPC), C:\Windows\svchost.exe
Davranış açıklaması:获取TickCount值
Daha fazla bilgi için:TickCount = 219234, SleepMilliseconds = 500.
TickCount = 219343, SleepMilliseconds = 500.
TickCount = 219390, SleepMilliseconds = 500.
TickCount = 219484, SleepMilliseconds = 500.
TickCount = 219500, SleepMilliseconds = 500.
TickCount = 219531, SleepMilliseconds = 500.
TickCount = 219562, SleepMilliseconds = 500.
TickCount = 219656, SleepMilliseconds = 500.
TickCount = 219703, SleepMilliseconds = 500.
TickCount = 219718, SleepMilliseconds = 500.
TickCount = 219734, SleepMilliseconds = 500.
TickCount = 219812, SleepMilliseconds = 500.
TickCount = 219890, SleepMilliseconds = 500.
TickCount = 219906, SleepMilliseconds = 500.
TickCount = 219921, SleepMilliseconds = 500.
Davranış açıklaması:调整进程token权限
Daha fazla bilgi için:SE_LOAD_DRIVER_PRIVILEGE
Davranış açıklaması:打开事件
Daha fazla bilgi için:HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
Davranış açıklaması:可执行文件签名信息
Daha fazla bilgi için:C:\WINDOWS\svchost.exe(签名验证: 未通过)
Davranış açıklaması:调用Sleep函数
Daha fazla bilgi için:[1]: MilliSeconds = 500.
[2]: MilliSeconds = 500.
[3]: MilliSeconds = 500.
[4]: MilliSeconds = 500.
[5]: MilliSeconds = 500.
[6]: MilliSeconds = 500.
[7]: MilliSeconds = 500.
[8]: MilliSeconds = 500.
[9]: MilliSeconds = 500.
[10]: MilliSeconds = 500.
Davranış açıklaması:可执行文件MD5
Daha fazla bilgi için:C:\WINDOWS\svchost.exe ---> c419a3b3a2241357b331f469a586e00d
Davranış açıklaması:直接获取CPU时钟
Daha fazla bilgi için:EAX = 0x30fdcc90, EDX = 0x000000b4
EAX = 0x30fdccdc, EDX = 0x000000b4
EAX = 0x30fdcd28, EDX = 0x000000b4
EAX = 0x30fdcd74, EDX = 0x000000b4
EAX = 0x30fdcdc0, EDX = 0x000000b4
EAX = 0x30fdce0c, EDX = 0x000000b4
EAX = 0x33b0cd88, EDX = 0x000000b4
EAX = 0x33b0cdd4, EDX = 0x000000b4
EAX = 0x33b0ce20, EDX = 0x000000b4
EAX = 0x33b0ce6c, EDX = 0x000000b4
EAX = 0x1fa4e6f9, EDX = 0x000000b5
EAX = 0x1fa4e745, EDX = 0x000000b5
EAX = 0x1fa4e791, EDX = 0x000000b5
EAX = 0x1fa4e7dd, EDX = 0x000000b5
EAX = 0x1fa4e829, EDX = 0x000000b5
Davranış açıklaması:创建系统服务
Daha fazla bilgi için:[服务创建成功]: RemoteFunctionService, C:\Windows\svchost.exe
Ekran görüntüsünü çalıştır
VirSCAN

VirSCAN Hakkında | Gizlilik Sözleşmesi | İletişim | Dostu bağlantı | VirSCAN'e Yardım Edin
Çeviren: Saner Apaydın, Turkey
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号