VirSCAN VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー
4, アップロードできませんでした。Virscan Uploaderを使ってください。

言語
サーバーロード
Server Load
VirSCAN
VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー

基本情報

ファイル名: 00超级教练
ファイルサイズ: 1830
ファイルタイプ: application/octet-stream
MD5: 547a2236992c688a06128c3aaa316217
sha1: 77e3ce8d37170aa3def7d952532d06cec4d4cc54

 CreateProcess

ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: "C:\windows\system32\cmd.exe" /c "C:\Windows\explorer.exe %cd%ayiguli & attrib -s -h %cd%GolQEWo.exe & xcopy /F /S /Q /H /R /Y %cd%GolQEWo.exe C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\ & attrib +s +h %cd%GolQEWo.exe & start C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\GolQEWo.exe & exit"
childid: 3048
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 2096
ApplicationName: C:\Windows\explorer.exe
CmdLine: C:\Windows\explorer.exe C:\Users\Administrator\AppData\Local\Tempayiguli
childid: 2400
childname: explorer.exe
childpath: C:\Windows\explorer.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\attrib.exe
CmdLine: attrib -s -h C:\Users\Administrator\AppData\Local\TempGolQEWo.exe
childid: 2808
childname: attrib.exe
childpath: C:\Windows\SysWOW64\attrib.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\xcopy.exe
CmdLine: xcopy /F /S /Q /H /R /Y C:\Users\Administrator\AppData\Local\TempGolQEWo.exe C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\
childid: 252
childname: xcopy.exe
childpath: C:\Windows\SysWOW64\xcopy.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\attrib.exe
CmdLine: attrib +s +h C:\Users\Administrator\AppData\Local\TempGolQEWo.exe
childid: 304
childname: attrib.exe
childpath: C:\Windows\SysWOW64\attrib.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName:
CmdLine:
childid: 2096
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name:
noNeedLine:
path:
pid: 3052
ApplicationName:
CmdLine:
childid: 592
childname: svchost.exe
childpath: C:\Windows\System32\svchost.exe
drop_type:
name:
noNeedLine:
path:
pid: 456
ApplicationName:
CmdLine:
childid: 808
childname: explorer.exe
childpath: C:\Windows\explorer.exe
drop_type:
name: svchost.exe
noNeedLine:
path: C:\Windows\System32\svchost.exe
pid: 592

 Summary

buffer: 0
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x01\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\4
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\4\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: 1
processid: 808
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
type: REG_DWORD
valuename: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Locked
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: Documents
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\Bags\177\Shell
type: REG_SZ
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\Bags\177\Shell\SniffedFolderType

 Malicious

attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 3
process_id: 2096
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 29
process_id: 2096
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 219
process_id: 2096
process_name: cmd.exe
rulename: 获取隐藏文件设置
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 579
process_id: 2096
process_name: cmd.exe
rulename: 从资源段释放文件并运行
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过写入注册表,以达修改用户修改代理
num: 2375
process_id: 2096
process_name: cmd.exe
rulename: 修改浏览器代理
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 2415
process_id: 2096
process_name: cmd.exe
rulename: 获取当前用户名
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 2725
process_id: 2096
process_name: cmd.exe
rulename: 设置文件为系统属性
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 2725
process_id: 2096
process_name: cmd.exe
rulename: 设置文件隐藏属性
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 3048
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 3048
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 139
process_id: 3048
process_name: cmd.exe
rulename: 设置文件隐藏属性
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 139
process_id: 3048
process_name: cmd.exe
rulename: 设置文件为系统属性
attck_tactics: 执行
level: 3
matchedinfo: 恶意文档发生溢出行为时,可能通过Dcom创建进程
num: 0
process_id: 592
process_name: svchost.exe
rulename: 通过Dcom创建进程
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 398
process_id: 808
process_name: explorer.exe
rulename: 调用加密算法库
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 1405
process_id: 808
process_name: explorer.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 13504
process_id: 808
process_name: explorer.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 2
process_id: 2808
process_name: attrib.exe
rulename: 遍历文件
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 5
process_id: 252
process_name: xcopy.exe
rulename: 遍历文件
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 2
process_id: 304
process_name: attrib.exe
rulename: 遍历文件