VirSCAN VirSCAN

1, 당신은 모든 파일을 업로드할 수 있지만 최대 20Mb의 용량제한이 있다.
2, Rar/Zip 파일은 자동압축해제를 하지만 내부에 20개 파일보다 적어야 한다.
3, 압축된 파일이 'infected' 또는 'virus'로 암호화된 경우 진단할 수 있다.
4, 브 라 우 저 에서 파일 을 업로드 할 수 없다 면 Virscan Uploader 를 다운로드 하여 업로드 하 십시오.

언어선택
서비스 로드
Server Load

VirSCAN
VirSCAN

1, 당신은 모든 파일을 업로드할 수 있지만 최대 20Mb의 용량제한이 있다.
2, Rar/Zip 파일은 자동압축해제를 하지만 내부에 20개 파일보다 적어야 한다.
3, 압축된 파일이 'infected' 또는 'virus'로 암호화된 경우 진단할 수 있다.

   파일 정보

Virscan.org 다중 엔진 검사 보고서
행동 분석 보고서:         하보 파일 분석

기본 정보

MD5:76838c2929185e0a26464a0c2a02fa0e
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
패키지 이름:
최소 운영 환경:
저작권:

주요 행동

동작 설명: 直接获取CPU时钟
세부 정보: EAX = 0xd635b3f6, EDX = 0x0000039e
EAX = 0xd8e8b372, EDX = 0x0000039e
EAX = 0xd8e8b3be, EDX = 0x0000039e
EAX = 0xdb708347, EDX = 0x0000039e
EAX = 0xf874bad7, EDX = 0x0000039e
EAX = 0x0ad8259a, EDX = 0x0000039f
EAX = 0x103e2446, EDX = 0x0000039f
EAX = 0x103e2492, EDX = 0x0000039f
EAX = 0x54bc3040, EDX = 0x0000039f
EAX = 0x54bc308c, EDX = 0x0000039f
동작 설명: 获取TickCount值
세부 정보: TickCount = 1107358, SleepMilliseconds = -1.
TickCount = 87507359, SleepMilliseconds = 86400000.
TickCount = 87507375, SleepMilliseconds = 86400000.
TickCount = 1107719, SleepMilliseconds = 1.
TickCount = 1107844, SleepMilliseconds = 1.
TickCount = 1107969, SleepMilliseconds = 1.
TickCount = 1108094, SleepMilliseconds = 1.
TickCount = 1108219, SleepMilliseconds = 1.
TickCount = 1108344, SleepMilliseconds = 1.
TickCount = 1108469, SleepMilliseconds = 1.
TickCount = 1108594, SleepMilliseconds = 1.
TickCount = 1108719, SleepMilliseconds = 1.
TickCount = 1108844, SleepMilliseconds = 1.
TickCount = 1108969, SleepMilliseconds = 1.
TickCount = 1109094, SleepMilliseconds = 1.

파일 동작

동작 설명: 创建文件
세부 정보: C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini
C:\Users\Administrator\AppData\Local\%temp%\Data\screenshot.wav
C:\Users\Administrator\AppData\Local\%temp%\Data\update.exe
C:\Users\Administrator\AppData\Local\%temp%\Emgu.CV.World.dll
C:\Users\Administrator\AppData\Local\GDIPFONTCACHEV1.DAT
동작 설명: 创建可执行文件
세부 정보: C:\Users\Administrator\AppData\Local\%temp%\Data\update.exe
C:\Users\Administrator\AppData\Local\%temp%\Emgu.CV.World.dll
동작 설명: 修改文件内容
세부 정보: C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 0
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 19
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 34
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 49
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 64
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 79
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 92
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 107
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 148
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 163
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 186
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 199
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 222
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 245
C:\Users\Administrator\AppData\Local\%temp%\Data\config.ini ---> Offset = 294
동작 설명: 查找文件
세부 정보: FileName = C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
FileName = C:\Windows\Microsoft.NET\Framework\\*
FileName = C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\*
FileName = C:\Users
FileName = C:\Users\Administrator\AppData
FileName = C:\Users\Administrator\AppData\Local
FileName = C:\Users\Administrator\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData\Local\%temp%
FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe
FileName = C:\Users\Administrator
FileName = C:\Windows\assembly\NativeImages_v4.0.30319_32\天若OCR文字识别\*
FileName = C:\Windows\assembly\NativeImages_v4.0.30319_32\System\*
FileName = C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\*
FileName = C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\*
FileName = C:\Windows\assembly\GAC_MSIL\System.Windows.Forms.resources\*

네트워크 동작

동작 설명: 建立到一个指定的套接字连接
세부 정보: URL: cc****om, IP: **.133.40.**:80, SOCKET = 0x00000488
동작 설명: 发送HTTP包
세부 정보: GET /f_ht/ajcx/ml.aspx?cz=ml_dq&_dlmc=tianruoyouxin&_dlmm= HTTP/1.1 Host: cc****om Connection: Keep-Alive
동작 설명: 按名称获取主机地址
세부 정보: GetAddrInfoW: cc****om

레지스트리 동작

동작 설명: 修改注册表
세부 정보: \REGISTRY\USER\S-*\Software\Microsoft\GDIPlus\FontCachePath
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\EnableFileTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\EnableConsoleTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\FileTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\ConsoleTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\MaxFileSize
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASAPI32\FileDirectory
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\EnableFileTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\EnableConsoleTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\FileTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\ConsoleTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\MaxFileSize
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\b70c_RASMANCS\FileDirectory

기타 행동

동작 설명: 检测自身是否被调试
세부 정보: IsDebuggerPresent
동작 설명: 创建互斥体
세부 정보: RasPbFile
동작 설명: 创建事件对象
세부 정보: EventName = Global\CPFATE_2752_v4.0.30319
EventName = 天若OCR文字识别
동작 설명: 打开互斥体
세부 정보: Local\MSCTF.Asm.MutexDefault1
RasPbFile
동작 설명: 查找指定窗口
세부 정보: NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
동작 설명: 打开事件
세부 정보: Global\CLR_PerfMon_StartEnumEvent
\KernelObjects\LowMemoryCondition
HookSwitchHookEnabledEvent
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
MSFT.VSA.COM.DISABLE.2752
MSFT.VSA.IEC.STATUS.6c736db0
Global\SvcctrlStartEvent_A3752DX
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
동작 설명: 获取TickCount值
세부 정보: TickCount = 1107358, SleepMilliseconds = -1.
TickCount = 87507359, SleepMilliseconds = 86400000.
TickCount = 87507375, SleepMilliseconds = 86400000.
TickCount = 1107719, SleepMilliseconds = 1.
TickCount = 1107844, SleepMilliseconds = 1.
TickCount = 1107969, SleepMilliseconds = 1.
TickCount = 1108094, SleepMilliseconds = 1.
TickCount = 1108219, SleepMilliseconds = 1.
TickCount = 1108344, SleepMilliseconds = 1.
TickCount = 1108469, SleepMilliseconds = 1.
TickCount = 1108594, SleepMilliseconds = 1.
TickCount = 1108719, SleepMilliseconds = 1.
TickCount = 1108844, SleepMilliseconds = 1.
TickCount = 1108969, SleepMilliseconds = 1.
TickCount = 1109094, SleepMilliseconds = 1.
동작 설명: 获取光标位置
세부 정보: CursorPos = (388,18506), SleepMilliseconds = 1.
CursorPos = (6681,26539), SleepMilliseconds = 1.
동작 설명: 窗口信息
세부 정보: Pid = 2752, Hwnd=0x11022e, Text = Form1, ClassName = WindowsForms10.Window.8.app.0.3ce0bb8_r14_ad1.
동작 설명: 可执行文件签名信息
세부 정보: C:\Users\Administrator\AppData\Local\%temp%\Data\update.exe(签名验证: 未通过)
C:\Users\Administrator\AppData\Local\%temp%\Emgu.CV.World.dll(签名验证: 未通过)
동작 설명: 调用Sleep函数
세부 정보: [1]: MilliSeconds = -1.
[2]: MilliSeconds = -1.
[3]: MilliSeconds = 86400000.
[4]: MilliSeconds = 0.
[5]: MilliSeconds = 0.
[6]: MilliSeconds = 0.
[7]: MilliSeconds = 0.
[8]: MilliSeconds = 0.
[9]: MilliSeconds = 0.
[10]: MilliSeconds = 0.
동작 설명: 隐藏指定窗口
세부 정보: [Window,Class] = [Form1,WindowsForms10.Window.8.app.0.3ce0bb8_r14_ad1]
[Window,Class] = [耗时:,WindowsForms10.Window.8.app.0.3ce0bb8_r14_ad1]
동작 설명: 可执行文件MD5
세부 정보: C:\Users\Administrator\AppData\Local\%temp%\Data\update.exe ---> c0ded6d7bff2d04e3cde95a22535347f
C:\Users\Administrator\AppData\Local\%temp%\Emgu.CV.World.dll ---> d954283b328f33a0121d38bcade8b817
동작 설명: 直接获取CPU时钟
세부 정보: EAX = 0xd635b3f6, EDX = 0x0000039e
EAX = 0xd8e8b372, EDX = 0x0000039e
EAX = 0xd8e8b3be, EDX = 0x0000039e
EAX = 0xdb708347, EDX = 0x0000039e
EAX = 0xf874bad7, EDX = 0x0000039e
EAX = 0x0ad8259a, EDX = 0x0000039f
EAX = 0x103e2446, EDX = 0x0000039f
EAX = 0x103e2492, EDX = 0x0000039f
EAX = 0x54bc3040, EDX = 0x0000039f
EAX = 0x54bc308c, EDX = 0x0000039f