VirSCAN VirSCAN

1, Můžete nahrát libovolné soubory, ale existuje limit 20Mb na soubor.
2, VirSCAN podporuje dekompresi Rar / Zip, ale musí obsahovat méně než 20 souborů.
3, VirSCAN otestuje komprimované soubory, které jsou chráněné heslem 'infected' nebo 'virus'.
4, Pokud vá? prohlí?e? nem??e nahrát soubory, prosím, stáhněte upload VirSCAN.

Vyberte jazyk
Zatížení serveru
Server Load
VirSCAN
VirSCAN

1, Můžete nahrát libovolné soubory, ale existuje limit 20Mb na soubor.
2, VirSCAN podporuje dekompresi Rar / Zip, ale musí obsahovat méně než 20 souborů.
3, VirSCAN otestuje komprimované soubory, které jsou chráněné heslem 'infected' nebo 'virus'.

Základní informace

Název souboru: 00罗密欧与朱丽叶
Velikost souboru: 728576
Typ souboru: application/x-dosexec
MD5: 4e0d6f905585f60a955faf43a14c6d9a
sha1: 128979d595d845607d60c62f1ec5f4c280f397e0

 CreateProcess

ApplicationName:
CmdLine:
childid: 2148
childname: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
drop_type:
name:
noNeedLine:
path:
pid: 2512

 Summary

buffer: C:\Windows\system32\CSRLT.EXE
processid: 2148
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
type: REG_SZ
valuename: CSRLT.EXE
buffer: C:\Windows\MSBLT.EXE
processid: 2148
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
type: REG_SZ
valuename: MSBLT.EXE

 Dropped Unsave

analysis_result: HEUR:Trojan-Dropper.Win32.Daws.gen
create: 0
how: write
md5: 24caae403cb7a00a42ca850d7c9d09df
name: MSBLT.EXE
new_size: 711KB (728576bytes)
operation: 修改文件
path: C:\Windows\MSBLT.EXE
processid: 2148
processname: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
sha1: c7a5d6817e303ae431f5d82fff036457df11500e
sha256: 6836823e73f37e9523577eab06c3baf96a9f7ad1b5ff17608c4fbb690df5cbaf
size: 728576
this_path: /data/cuckoo/storage/analyses/7000079/files/1000/MSBLT.EXE
type: PE32 executable (GUI) Intel 80386, for MS Windows
analysis_result: HEUR:Trojan-Dropper.Win32.Daws.gen
create: 0
how: write
md5: cfd652e0db404db1184c9bef42ede74d
name: CSRLT.EXE
new_size: 711KB (728576bytes)
operation: 修改文件
path: C:\Windows\SysWOW64\CSRLT.EXE
processid: 2148
processname: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
sha1: 6cafb18f1982bf85cb6d8eb1d61e570eed05b3d5
sha256: 2fe9c79db40f7fa451566b891f5d404abece6ad2e8ac86e6f99854d00aa896b2
size: 728576
this_path: /data/cuckoo/storage/analyses/7000079/files/1001/CSRLT.EXE
type: PE32 executable (GUI) Intel 80386, for MS Windows

 Malicious

attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 89
process_id: 2148
process_name: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 123
process_id: 2148
process_name: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 290
process_id: 2148
process_name: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
rulename: 获取当前鼠标位置
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 297
process_id: 2148
process_name: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
rulename: 写入自启动注册表,增加自启动2
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 307
process_id: 2148
process_name: 1618993806348_4e0d6f905585f60a955faf43a14c6d9a.exe
rulename: 拷贝文件到系统目录