VirSCAN VirSCAN

1, You can UPLOAD any files, but there is 20Mb limit per file.
2, VirSCAN supports Rar/Zip decompression, but it must be less than 20 files.
3, Aplikace VirSCAN může skenovat komprimované soubory s heslem 'infected'nebo'virus'.
4, If your browser cannot upload files, please download VirSCAN uploader to upload.

Language
Server load
Server Load
VirSCAN
VirSCAN

1, You can UPLOAD any files, but there is 20Mb limit per file.
2, VirSCAN supports Rar/Zip decompression, but it must be less than 20 files.
3, Aplikace VirSCAN může skenovat komprimované soubory s heslem 'infected'nebo'virus'.

Basic Information

file name: 00送你一朵小红花
file size: 593053
file type: application/x-dosexec
MD5: 7021834797386cf24094771b7690b030
sha1: e1a18cb53c8e6640da77169073746d7ca3d296d6

 CreateProcess

ApplicationName:
CmdLine: C:\Windows\system32\HelpMe.exe
childid: 2412
childname: HelpMe.exe
childpath: C:\Windows\SysWOW64\HelpMe.exe
drop_type:
name: 1618605029655_7021834797386cf24094771b7690b030.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1618605029655_7021834797386cf24094771b7690b030.exe
pid: 2920
ApplicationName:
CmdLine:
childid: 2920
childname: 1618605029655_7021834797386cf24094771b7690b030.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1618605029655_7021834797386cf24094771b7690b030.exe
drop_type:
name:
noNeedLine:
path:
pid: 2056
ApplicationName:
CmdLine:
childid: 1100
childname: explorer.exe
childpath: C:\Windows\explorer.exe
drop_type:
name:
noNeedLine:
path:
pid: 1068

 Summary

buffer: Explorer.exe HelpMe.exe
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2920
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: Explorer.exe HelpMe.exe
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
type: REG_SZ
valuename: Shell
buffer: 0
processid: 2412
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
type: REG_DWORD
valuename: CheckedValue
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
buffer: \x13\x00\x00\x00\xc3S[bH\xab\xc1N\xba\x1f\xa1\xefAF\xfc\x19\x00\x80\x00\x00\x00~\x001\x00\x00\x00\x00\x00hKKD\x11\x00Programs\x00\x00f\x00\x08\x00\x04\x00\xef\xbehKGDhKKD*\x00\x00\x00\xa6\x0c\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00<\x00\x00\x00\x00\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00@\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00\x18\x00\x00\x00\x01\x12\x02\x00\x00\x10\x022\x00* \x00\x00hKxF \x00GOOGLE~1.LNK\x00\x00P\x00\x08\x00\x04\x00\xef\xbehKxFhKxF*\x00\x00\x00\xe8@\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00G\x00o\x00o\x00g\x00l\x00e\x00 \x00C\x00h\x00r\x00o\x00m\x00e\x00.\x00
processid: 1100
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache

 Behavior_analysis

message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Malicious

attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 194
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 从资源段释放文件并运行
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 194
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 226
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 318
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 拷贝文件到系统目录
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 426
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 获取当前鼠标位置
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过重新写入数据到新创建的进程,以达到逃避杀毒软件检测的目的
num: 482
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 进程数据重写(使用内存映射方式)
attck_tactics: 持久化
level: 3
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 490
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 写入自启动注册表,增加自启动1
attck_tactics: 持久化
level: 4
matchedinfo: 恶意程序通过创建autorun.inf文件实现自启动运行,一般用于U盘病毒
num: 1176
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 在根目录创建自运行文件
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 1233
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 遍历文件
attck_tactics: 持久化
level: 3
matchedinfo: 恶意程序通过写文件到自启动目录,以达到开机自启动的目的
num: 5020
process_id: 2920
process_name: 1618605029655_7021834797386cf24094771b7690b030.exe
rulename: 新增自动运行功能 (通过写文件到自启动目录)
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 194
process_id: 2412
process_name: HelpMe.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 226
process_id: 2412
process_name: HelpMe.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 318
process_id: 2412
process_name: HelpMe.exe
rulename: 拷贝文件到系统目录
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 355
process_id: 2412
process_name: HelpMe.exe
rulename: 获取当前鼠标位置
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过重新写入数据到新创建的进程,以达到逃避杀毒软件检测的目的
num: 366
process_id: 2412
process_name: HelpMe.exe
rulename: 进程数据重写(使用内存映射方式)
attck_tactics: 持久化
level: 3
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 373
process_id: 2412
process_name: HelpMe.exe
rulename: 写入自启动注册表,增加自启动1
attck_tactics: 持久化
level: 3
matchedinfo: 恶意程序通过写文件到自启动目录,以达到开机自启动的目的
num: 531
process_id: 2412
process_name: HelpMe.exe
rulename: 新增自动运行功能 (通过写文件到自启动目录)
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 108
process_id: 1100
process_name: explorer.exe
rulename: 获取当前鼠标位置