VirSCAN VirSCAN

1, Můžete nahrát libovolné soubory, ale existuje limit 20Mb na soubor.
2, VirSCAN podporuje dekompresi Rar / Zip, ale musí obsahovat méně než 20 souborů.
3, VirSCAN otestuje komprimované soubory, které jsou chráněné heslem 'infected' nebo 'virus'.
4, Pokud vá? prohlí?e? nem??e nahrát soubory, prosím, stáhněte upload VirSCAN.

Vyberte jazyk
Zatížení serveru
Server Load

VirSCAN
VirSCAN

1, Můžete nahrát libovolné soubory, ale existuje limit 20Mb na soubor.
2, VirSCAN podporuje dekompresi Rar / Zip, ale musí obsahovat méně než 20 souborů.
3, VirSCAN otestuje komprimované soubory, které jsou chráněné heslem 'infected' nebo 'virus'.

   Informace o souboru

Přehled o skenování s více motory Virscan.org
Zpráva o analýze chování:         Analýza dokumentů Habo

Základní informace

MD5:212d21de7c7c04d140dc0d57cc622532
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
Název balíčku:
Minimální provozní prostředí:
Copyright:

klíčová opatření

Popis chování: 获取TickCount值
Podrobnosti: TickCount = 1072095, SleepMilliseconds = 2.
TickCount = 1072111, SleepMilliseconds = 2.
TickCount = 1072329, SleepMilliseconds = 1.
TickCount = 1072422, SleepMilliseconds = 1.
Popis chování: 查找PE资源信息
Podrobnosti: (FindResourceA) hModule = 0x00000000, ResName: , ResType: CPP
Popis chování: 自删除
Podrobnosti: C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
Popis chování: 创建系统服务
Podrobnosti: [服务创建成功]: Please Input Service Name, %SystemRoot%\System32\svchost.exe -k imgsvc
Popis chování: 进程提权信息
Podrobnosti: NT AUTHORITY\SYSTEM

Chování procesu

Popis chování: 创建本地线程
Podrobnosti: TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2540, StartAddress = 1000CC20, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2544, StartAddress = 1000C580, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2552, StartAddress = 77C0A341, Parameter = 00825398
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2556, StartAddress = 100056A0, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2792, StartAddress = 77C0A341, Parameter = 008251F8
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2796, StartAddress = 100056A0, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2896, StartAddress = 77C0A341, Parameter = 00825428
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2912, StartAddress = 100056A0, Parameter = 00000000
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2980, StartAddress = 77C0A341, Parameter = 008251F8
TargetProcess: svchost.exe, InheritedFromPID = 656, ProcessID = 2528, ThreadID = 2984, StartAddress = 100056A0, Parameter = 00000000
Popis chování: 枚举进程
Podrobnosti: N/A
Popis chování: 进程提权信息
Podrobnosti: NT AUTHORITY\SYSTEM

Chování souborů

Popis chování: 创建文件
Podrobnosti: C:\2738000.dll
C:\NT_Path.jpg
C:\Net-Temp.ini
C:\WINDOWS\FileName.jpg
Popis chování: 创建可执行文件
Podrobnosti: C:\2738000.dll
C:\WINDOWS\FileName.jpg
Popis chování: 复制文件
Podrobnosti: C:\2738000.dll ---> C:\WINDOWS\FileName.jpg
Popis chování: 删除文件
Podrobnosti: C:\Net-Temp.ini
C:\NT_Path.jpg
C:\2738000.dll
Popis chování: 修改文件内容
Podrobnosti: C:\2738000.dll ---> Offset = 0
C:\NT_Path.jpg ---> Offset = 0
C:\NT_Path.jpg ---> Offset = 75
C:\NT_Path.jpg ---> Offset = 76
C:\Net-Temp.ini ---> Offset = 0
C:\Net-Temp.ini ---> Offset = 4096
C:\WINDOWS\FileName.jpg ---> Offset = 0
C:\WINDOWS\FileName.jpg ---> Offset = 65536
C:\WINDOWS\FileName.jpg ---> Offset = 4096
C:\WINDOWS\FileName.jpg ---> Offset = 8192
C:\WINDOWS\FileName.jpg ---> Offset = 103936
C:\WINDOWS\FileName.jpg ---> Offset = 104960
C:\WINDOWS\FileName.jpg ---> Offset = 105984
C:\WINDOWS\FileName.jpg ---> Offset = 107008
C:\WINDOWS\FileName.jpg ---> Offset = 108032
Popis chování: 自删除
Podrobnosti: C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
Popis chování: 修改新生成的可执行文件
Podrobnosti: C:\WINDOWS\FileName.jpg

Chování sítě

Popis chování: 建立到一个指定的套接字连接
Podrobnosti: URL: , IP: **.247.5.**:8080, SOCKET = 0x000000c4
URL: , IP: **.247.5.**:8080, SOCKET = 0x000000d4
URL: , IP: **.247.5.**:8080, SOCKET = 0x000000f4

Chování registru

Popis chování: 修改注册表
Podrobnosti: \REGISTRY\MACHINE\SOFTWARE\318407927\Parameters\ServiceDll
\REGISTRY\MACHINE\SOFTWARE\307763589\imgsvc
Popis chování: 修改注册表_服务项
Podrobnosti: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\RemoteAccess\RouterManagers\Ip\DLLPath
Popis chování: 通过配置文件还原注册表键
Podrobnosti: \REGISTRY\MACHINE\SOFTWARE\318407927\
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Please Input Service Name\
\REGISTRY\MACHINE\SOFTWARE\307763589\
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\

Další chování

Popis chování: 创建事件对象
Podrobnosti: EventName = Glable__Wait
Popis chování: 修改后的可执行文件MD5
Podrobnosti: C:\WINDOWS\FileName.jpg ---> 文件过大!
Popis chování: 启动系统服务
Podrobnosti: [服务启动成功]: LocalSystem, Routing and Remote Access, C:\WINDOWS\system32\svchost.exe -k netsvcs
[服务启动成功]: LocalSystem, Please Input Service Display, C:\WINDOWS\System32\svchost.exe -k imgsvc
Popis chování: 获取TickCount值
Podrobnosti: TickCount = 1072095, SleepMilliseconds = 2.
TickCount = 1072111, SleepMilliseconds = 2.
TickCount = 1072329, SleepMilliseconds = 1.
TickCount = 1072422, SleepMilliseconds = 1.
Popis chování: 调整进程token权限
Podrobnosti: SE_BACKUP_PRIVILEGE
SE_RESTORE_PRIVILEGE
Popis chování: 打开事件
Podrobnosti: Global\SvcctrlStartEvent_A3752DX
Popis chování: 停止系统服务
Podrobnosti: ServiceName = Routing and Remote Access
Popis chování: 可执行文件签名信息
Podrobnosti: C:\2738000.dll(签名验证: 未通过)
C:\WINDOWS\FileName.jpg(签名验证: 未通过)
Popis chování: 查找PE资源信息
Podrobnosti: (FindResourceA) hModule = 0x00000000, ResName: , ResType: CPP
Popis chování: 修改后的可执行文件签名信息
Podrobnosti: C:\WINDOWS\FileName.jpg(签名验证: 未通过)
Popis chování: 可执行文件MD5
Podrobnosti: C:\2738000.dll ---> 6fc88713adc192a36e0d64e8a8b18912
C:\WINDOWS\FileName.jpg ---> 6fc88713adc192a36e0d64e8a8b18912
Popis chování: 创建系统服务
Podrobnosti: [服务创建成功]: Please Input Service Name, %SystemRoot%\System32\svchost.exe -k imgsvc
Popis chování: 加载新释放的文件
Podrobnosti: Image: C:\2738000.dll.
Image: C:\WINDOWS\FileName.jpg.