VirSCAN VirSCAN

1, E' possibile CARICARE qualsiasi file, ma c'è un limite di 20 MB per file.
2, VirSCAN supporta la decompressione Rar/Zip, ma deve essere minore di 20 file.
3, VirSCAN può eseguire la scansione dei file compressi con password 'infected' o 'virus'.
4, Se il tuo browser non può caricare file, per favore scarica uploader VirSCAN per caricare.

Lingua
Carico del server
Server Load

VirSCAN
VirSCAN

1, E' possibile CARICARE qualsiasi file, ma c'è un limite di 20 MB per file.
2, VirSCAN supporta la decompressione Rar/Zip, ma deve essere minore di 20 file.
3, VirSCAN può eseguire la scansione dei file compressi con password 'infected' o 'virus'.

   Informazioni sui file

Rapporto di scansione multi-motore Virscan.org
Rapporto di analisi del comportamento:         Analisi dei file Habo

Informazioni di base

MD5:4fb430491d5bbdebd1e450d6274fa1e7
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
Nome del pacchetto:
Ambiente operativo minimo:
diritto d'autore:

Comportamento chiave

Descrizione del comportamento: 查询注册表_检测虚拟机相关
Per ulteriori informazioni: \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
Descrizione del comportamento: 查找指定内核模块
Per ulteriori informazioni: lstrcmpiA: FileMonitor.sys <------> ntoskrnl.exe Des: filemon
lstrcmpiA: FileMonitor.sys <------> hal.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> kd.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> mcupdate_Genuin Des: filemon
lstrcmpiA: FileMonitor.sys <------> werkernel.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> CLFS.SYS Des: filemon
lstrcmpiA: FileMonitor.sys <------> tm.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> PSHED.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> BOOTVID.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> cmimcext.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> ntosext.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> CI.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> msrpc.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> FLTMGR.SYS Des: filemon
lstrcmpiA: FileMonitor.sys <------> ksecdd.sys Des: filemon
Descrizione del comportamento: 查找反病毒常用工具窗口
Per ulteriori informazioni: FindWindowA: [Class,Window] = [FilemonClass,]
FindWindowA: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com]
FindWindowA: [Class,Window] = [PROCMON_WINDOW_CLASS,]
FindWindowA: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com]
FindWindowA: [Class,Window] = [RegmonClass,]
FindWindowA: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]
Descrizione del comportamento: 篡改父进程
Per ulteriori informazioni: Child: svchost.exe, Parent: svchost.exe(True) ---> %temp%\****.exe(Fake)

Comportamento del processo

Descrizione del comportamento: 创建本地线程
Per ulteriori informazioni: ProcessId = 3084, ThreadId = 2012.
ProcessId = 3084, ThreadId = 3168.
ProcessId = 3084, ThreadId = 1952.
ProcessId = 3084, ThreadId = 3048.
ProcessId = 3084, ThreadId = 2140.
ProcessId = 3084, ThreadId = 2928.
ProcessId = 3084, ThreadId = 540.
ProcessId = 3084, ThreadId = 2148.
ProcessId = 3084, ThreadId = 1172.
ProcessId = 3084, ThreadId = 3164.
ProcessId = 3084, ThreadId = 2532.
ProcessId = 3084, ThreadId = 2644.
ProcessId = 3084, ThreadId = 1136.
ProcessId = 3084, ThreadId = 3412.
ProcessId = 3084, ThreadId = 1068.
Descrizione del comportamento: 篡改父进程
Per ulteriori informazioni: Child: svchost.exe, Parent: svchost.exe(True) ---> %temp%\****.exe(Fake)

Comportamento del file

Descrizione del comportamento: 创建文件
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\WEREBDE.tmp.appcompat.txt
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\WEREDB4.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\memory.hdmp
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\Report.wer
Descrizione del comportamento: 创建可执行文件
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp
Descrizione del comportamento: 覆盖已有文件
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp.WERInternalMetadata.xml
Descrizione del comportamento: 查找文件
Per ulteriori informazioni: FileName = C:\Users\Administrator
FileName = C:\Users
FileName = C:\Users\ADMINI~1
FileName = C:\Users\ADMINI~1\AppData
FileName = C:\Users\ADMINI~1\AppData\Local
FileName = C:\Users\ADMINI~1\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData
FileName = C:\Users\Administrator\AppData\Local
FileName = C:\Users\Administrator\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData\Local\%temp%\*
FileName = C:\Users\Administrator\AppData\Local\%temp%\996E\*
FileName = C:\Users\Administrator\AppData\Local\%temp%\****.exe
FileName = C:\Windows\system32\kernel32.dll
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_*_53e443ad96da52148d8e4e576733cc73b7f2955_*_cab_*
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportArchive\*_*_*_9643a1bc_cab_*
Descrizione del comportamento: 删除文件
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp.WERInternalMetadata.xml
Descrizione del comportamento: 复制文件
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\WEREBDE.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WEREDB4.tmp.WERInternalMetadata.xml ---> C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_%temp%\****.exe_53e443ad96da52148d8e4e576733cc73b7f2955_9643a1bc_cab_0e05ee3e\WEREDB4.tmp.WERInternalMetadata.xml
Descrizione del comportamento: 修改文件内容
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> Offset = 4096
C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> Offset = 28672
C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> Offset = 32768
C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> Offset = 98304
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 2
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 108
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 210
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 1068
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 1084
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 1196
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 2054
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 2070
C:\Users\Administrator\AppData\Local\Temp\WEREBDE.tmp.appcompat.txt ---> Offset = 2190

Comportamento del registro

Descrizione del comportamento: 修改注册表
Per ulteriori informazioni: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\ExceptionRecord
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CheckingForSolutionDialog
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CheckingForSolutionDialog
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LastRateLimitedDumpGenerationTime
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation
Descrizione del comportamento: 查询注册表_检测虚拟机相关
Per ulteriori informazioni: \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion

Altro comportamento

Descrizione del comportamento: 检测自身是否被调试
Per ulteriori informazioni: IsDebuggerPresent
Descrizione del comportamento: 创建互斥体
Per ulteriori informazioni: Local\WERReportingForProcess3084
Global\6feef2e4-b46d-11e9-8b8b-080027cb969f
Local\SessionImmersiveColorMutex
Descrizione del comportamento: 创建事件对象
Per ulteriori informazioni: EventName = Local\WERReportingForProcessComplete3084
EventName = DbgEngEvent_00000E1C
EventName = Local\WerDumpGenerationThrottle
Descrizione del comportamento: 查找指定窗口
Per ulteriori informazioni: FindWindowA: [Class,Window] = [18467-41,]
Descrizione del comportamento: 打开事件
Per ulteriori informazioni: 3084-AppRecorderEnabled
\KernelObjects\MaximumCommitCondition
MSFT.VSA.COM.DISABLE.3612
MSFT.VSA.IEC.STATUS.6c736db0
\KernelObjects\LowMemoryCondition
\KernelObjects\HighCommitCondition
\KernelObjects\MemoryErrors
Descrizione del comportamento: 搜索kernel32.dll基地址
Per ulteriori informazioni: Instruction Address = 0x00007ff7c7215af5
Descrizione del comportamento: 调整进程token权限
Per ulteriori informazioni: SE_DEBUG_PRIVILEGE
Descrizione del comportamento: 枚举窗口
Per ulteriori informazioni: N/A
Descrizione del comportamento: 可执行文件签名信息
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp(签名验证: 未通过)
Descrizione del comportamento: 调用Sleep函数
Per ulteriori informazioni: [1]: MilliSeconds = 15.
[3]: MilliSeconds = 15.
[2]: MilliSeconds = 15.
[4]: MilliSeconds = 15.
[5]: MilliSeconds = 15.
[6]: MilliSeconds = 15.
[8]: MilliSeconds = 2001.
[7]: MilliSeconds = 2001.
[9]: MilliSeconds = 2001.
[10]: MilliSeconds = 2001.
Descrizione del comportamento: 隐藏指定窗口
Per ulteriori informazioni: [Window,Class] = [,CtrlNotifySink]
Descrizione del comportamento: 可执行文件MD5
Per ulteriori informazioni: C:\Users\Administrator\AppData\Local\Temp\WAXEBAE.tmp ---> 文件过大!
Descrizione del comportamento: 打开互斥体
Per ulteriori informazioni: Local\ShimViewer
Descrizione del comportamento: 查找指定内核模块
Per ulteriori informazioni: lstrcmpiA: FileMonitor.sys <------> ntoskrnl.exe Des: filemon
lstrcmpiA: FileMonitor.sys <------> hal.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> kd.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> mcupdate_Genuin Des: filemon
lstrcmpiA: FileMonitor.sys <------> werkernel.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> CLFS.SYS Des: filemon
lstrcmpiA: FileMonitor.sys <------> tm.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> PSHED.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> BOOTVID.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> cmimcext.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> ntosext.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> CI.dll Des: filemon
lstrcmpiA: FileMonitor.sys <------> msrpc.sys Des: filemon
lstrcmpiA: FileMonitor.sys <------> FLTMGR.SYS Des: filemon
lstrcmpiA: FileMonitor.sys <------> ksecdd.sys Des: filemon
Descrizione del comportamento: 查找反病毒常用工具窗口
Per ulteriori informazioni: FindWindowA: [Class,Window] = [FilemonClass,]
FindWindowA: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com]
FindWindowA: [Class,Window] = [PROCMON_WINDOW_CLASS,]
FindWindowA: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com]
FindWindowA: [Class,Window] = [RegmonClass,]
FindWindowA: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]