VirSCAN VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー
4, アップロードできませんでした。Virscan Uploaderを使ってください。

言語
サーバーロード
Server Load
VirSCAN
VirSCAN

1, あなた、しかしいずれもファイルする20MbあるUPLOADがファイル.
2, VirSCANがRar/Zip減圧を支持しますが、それが20個未満のファイル.
3, であるに違いない、VirSCAN缶のスキャンがパスワー

基本情報

ファイル名: 00鞠萍姐姐讲故事
ファイルサイズ: 28628
ファイルタイプ: application/x-dosexec
MD5: e3805d4b5d0e303463f4eb737ca3350b
sha1: 94c00892b072fc4b196b4ebfc21bd52d23d18f8f

 CreateProcess

ApplicationName: C:\Users\Administrator\AppData\Local\Temp\kgfdfjdk.exe
CmdLine: "C:\Users\ADMINI~1\AppData\Local\Temp\kgfdfjdk.exe"
childid: 2012
childname: kgfdfjdk.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\kgfdfjdk.exe
drop_type: 1
name: 1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
noNeedLine:
path: C:\Users\Administrator\AppData\Local\Temp\1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
pid: 844
ApplicationName:
CmdLine:
childid: 844
childname: 1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
drop_type:
name:
noNeedLine:
path:
pid: 2552

 Summary

buffer: 0
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_DWORD
valuename: EnableFileTracing
buffer: 0
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_DWORD
valuename: EnableConsoleTracing
buffer: 4294901760
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_DWORD
valuename: FileTracingMask
buffer: 4294901760
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_DWORD
valuename: ConsoleTracingMask
buffer: 1048576
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_DWORD
valuename: MaxFileSize
buffer: %windir%\tracing\x00
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\kgfdfjdk_RASMANCS
type: REG_EXPAND_SZ
valuename: FileDirectory
buffer: 1
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\{42E7C687-3C56-48E6-A2A2-AB48DD2D7BC7}
type: REG_DWORD
valuename: WpadDecisionReason
buffer: \xc0\xac\xcbr\xe1D\xd7\x01
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\{42E7C687-3C56-48E6-A2A2-AB48DD2D7BC7}
type: REG_BINARY
valuename: WpadDecisionTime
buffer: 3
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\{42E7C687-3C56-48E6-A2A2-AB48DD2D7BC7}
type: REG_DWORD
valuename: WpadDecision
buffer: 网络 2
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\{42E7C687-3C56-48E6-A2A2-AB48DD2D7BC7}
type: REG_SZ
valuename: WpadNetworkName
buffer: 1
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00
type: REG_DWORD
valuename: WpadDecisionReason
buffer: \xc0\xac\xcbr\xe1D\xd7\x01
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00
type: REG_BINARY
valuename: WpadDecisionTime
buffer: 3
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00
type: REG_DWORD
valuename: WpadDecision
buffer: F\x00\x00\x00\x0e\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\xc0\xac\xcbr\xe1D\xd7\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\xc0\xa88\xc9\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x1c\x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xed\x03\x00\x00 \x06\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff\xc0\xb0\xea\xf9\xd4&\xd0\x11\xbb\xbf\x00\xaa\x00l4\xe4\x17\x00\x00\x00\x00\x00\x00\x00\xfe\x80\x00\x00\x00\x00\x00\x00=\x92\xb2N\x9ehT7\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
processid: 2012
szSubkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
type: REG_BINARY
valuename: DefaultConnectionSettings
buffer: {42E7C687-3C56-48E6-A2A2-AB48DD2D7BC7}
processid: 2012
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad
type: REG_SZ
valuename: WpadLastNetwork

 Dropped Unsave

analysis_result: HEUR:Trojan.Win32.Generic
create: 0
how: write
md5: 4b990a7c1e1df3cea0caca02f3778ab2
name: kgfdfjdk.exe
new_size: 28KB (28816bytes)
operation: 修改文件
path: C:\Users\Administrator\AppData\Local\Temp\kgfdfjdk.exe
processid: 844
processname: 1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
sha1: 5f5d6004f39e385ab3ae2e49183d9b46222bb509
sha256: 891809a407a1eafbda0fc3518635791efaeeca17887b6b8fa260aeba7ce12e40
size: 28816
this_path: /data/cuckoo/storage/analyses/444/files/1000/kgfdfjdk.exe
type: PE32 executable (GUI) Intel 80386, for MS Windows

 Malicious

attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序创建隐藏进程在背后偷偷运行
num: 68
process_id: 844
process_name: 1620558051988_e3805d4b5d0e303463f4eb737ca3350b.exe
rulename: 创建隐藏子进程
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意程序通过创建网络连接的方式,以达到通过网络连接进行通信的目的
num: 20022
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 创建网络套接字连接
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
num: 20180
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 打开服务控制管理器
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
num: 20182
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 启动服务
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 20205
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户网卡信息的方式,以达到获取敏感信息的目的
num: 20413
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 收集电脑网卡信息
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 20461
process_id: 2012
process_name: kgfdfjdk.exe
rulename: 遍历文件