VirSCAN VirSCAN

1, Sie können jede Datei UPLOADEN, aber beachten Sie das 20 MB Limit pro Datei.
2, VirSCAN unterstützt ZIP und RAR mit weniger als 20 Dateien im Archiv
3, VirSCAN unterstützt die Standard Passwörter 'infected' und 'virus' bei Archiven.
4, Wenn Ihr Browser keine Dateien hochladen kann, laden Sie bitte VirSCAN-Uploader herunter.

Sprache
Server Auslastung
Server Load
VirSCAN
VirSCAN

1, Sie können jede Datei UPLOADEN, aber beachten Sie das 20 MB Limit pro Datei.
2, VirSCAN unterstützt ZIP und RAR mit weniger als 20 Dateien im Archiv
3, VirSCAN unterstützt die Standard Passwörter 'infected' und 'virus' bei Archiven.

Grundlegende Informationen

Dateiname: 00烈火如歌
Dateigröße: 71172
Dateityp: application/x-dosexec
MD5: e7f9ef3b32ad7817628f4feed6a43d6d
sha1: a3b4971c9e396fceb5564ec7b50c6b8ee27af7ff

 CreateProcess

ApplicationName:
CmdLine: winver
childid: 2060
childname: winver.exe
childpath: C:\Windows\SysWOW64\winver.exe
drop_type:
name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
noNeedLine:
path: C:\Users\Administrator\AppData\Local\Temp\1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
pid: 3068

 Summary

buffer: C:\Users\Administrator\AppData\Roaming\519687C6\bin.exe
processid: 2060
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
type: REG_SZ
valuename: 519687C6

 Behavior_analysis

message: 恶意软件访问多个域名,进行蠕虫传播或ddos攻击
name: 访问多个域名
szSubkey:
score: 3
message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Dropped Unsave

analysis_result: HEUR:Trojan.Win32.Generic
create: 0
how: write
md5: b9faa73203b0ca5a84bce8cf56372258
name: bin.exe
new_size: 69KB (71172bytes)
operation: 修改文件
path: C:\Users\Administrator\AppData\Roaming\519687C6\bin.exe
processid: 2060
processname: winver.exe
sha1: 5d110baa353644716b08f0949472a58bdd381d11
sha256: 06be3a51f3017bf1b36144dca90a6908df1bef4f6e876c42488e116d8a960afb
size: 71172
this_path: /data/cuckoo/storage/analyses/4000485/files/1000/bin.exe
type: PE32 executable (console) Intel 80386 (stripped to external PDB), for MS Windows, PECompact2 compressed

 Malicious

attck_tactics: 防御逃逸
level: 4
matchedinfo: 内存解压缩技术常见于PlugX木马、勒索软件,一般使用zlib算法。
num: 14
process_id: 3068
process_name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
rulename: 内存解压缩
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 21
process_id: 3068
process_name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 51
process_id: 3068
process_name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
rulename: 收集磁盘信息
attck_tactics: 基础信息获取
level: 2
matchedinfo: 恶意程序通过得到上下文环境,以达到获取上下文环境信息的目的
num: 83
process_id: 3068
process_name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
rulename: 获取线程上下文
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 调用WriteProcessMemory将数据写入其它进程地址空间,以达到注入shellcode或恶意dll。
num: 86
process_id: 3068
process_name: 1620579603638_e7f9ef3b32ad7817628f4feed6a43d6d.exe
rulename: 将数据写入远程进程
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 2
process_id: 2060
process_name: winver.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 28
process_id: 2060
process_name: winver.exe
rulename: 收集磁盘信息
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 调用WriteProcessMemory将数据写入其它进程地址空间,以达到注入shellcode或恶意dll。
num: 60
process_id: 2060
process_name: winver.exe
rulename: 将数据写入远程进程
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 163
process_id: 2060
process_name: winver.exe
rulename: 写入自启动注册表,增加自启动2
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过遍历系统中进程,可以用于特定杀软逃逸、虚拟机逃逸等
num: 166
process_id: 2060
process_name: winver.exe
rulename: 遍历系统中的进程
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过调用CreateRemoteThread在其它进程地址空间中运行的恶意代码。
num: 243
process_id: 2060
process_name: winver.exe
rulename: 调用CreateRemoteThread进行线程注入
attck_tactics: 命令与控制
level: 4
matchedinfo: 恶意程序同解析域名得到对应的ip
num: 257
process_id: 2060
process_name: winver.exe
rulename: 访问黑域名
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意程序通过创建网络连接的方式,以达到通过网络连接进行通信的目的
num: 948
process_id: 2060
process_name: winver.exe
rulename: 创建网络套接字连接
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序会使用Post方式发送数据
num: 949
process_id: 2060
process_name: winver.exe
rulename: 使用Post方式发送数据
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 24
process_id: 1644
process_name: QQ.exe
rulename: 收集磁盘信息
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 26
process_id: 1656
process_name: QQProtect.exe
rulename: 收集磁盘信息
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 26
process_id: 1664
process_name: dnf.exe
rulename: 收集磁盘信息
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 26
process_id: 1672
process_name: crossfire.exe
rulename: 收集磁盘信息