VirSCAN VirSCAN

1, Możesz wysyłać dowolne pliki, ale nie większe niż 20Mb.
2, VirSCAN obsługuje dekompresję Rar/Zip, ale archiwum musi zawierać mniej niż 20 plików.
3, VirSCAN może skanować pliki skompresowane i zaszyfrowane hasłem "infected" lub "virus".

Język
Obciążenie serwera
Server Load

Informacje o pliku
Ocena bezpieczeństwa:78
Lista zachowań
Podstawowe informacje
MD5:2a5813b3b26451e9abed1ef5b56449e6
Typ pliku:Microsoft Office Excel(xls)文档
Firma produkcyjna:
Wersja:
Informacje o powłoce lub kompilatorze:
Zachowanie pliku
Opis zachowania:创建文件
Szczegóły:C:\Users\Administrator\AppData\Local\Temp\~DFEFF85A5A6D0C97F1.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%\****.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%.LNK
Opis zachowania:删除文件
Szczegóły:C:\Users\Administrator\AppData\Local\Temp\~DFEFF85A5A6D0C97F1.TMP
Opis zachowania:修改文件内容
Szczegóły:C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%\****.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 80
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 40
Opis zachowania:查找文件
Szczegóły:FileName = C:\Program Files\Common Files\Microsoft Shared\office11
FileName = C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
FileName = C:\Program Files\Common Files\Microsoft Shared\office11\*.*
FileName = C:\Program Files
FileName = C:\Program Files\Microsoft Office
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\*.*
FileName = C:\Program Files\Microsoft Office\OFFICE11\xlstart\*.*
FileName = C:\Users\Administrator\AppData\Local\%temp%\****.xls
FileName = C:\Users\Administrator
FileName = C:\Program Files\Microsoft Office\OFFICE11
FileName = C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
Opis zachowania:复制文件
Szczegóły:C:\PROGRA~2\MICROS~1\OFFICE\DATA\OPA11.BAK ---> C:\PROGRA~2\MICROS~1\OFFICE\DATA\opa11.dat
Zachowanie rejestru
Opis zachowania:修改注册表
Szczegóły:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\a"
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\EXCELFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\MTTT
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\BA738\BA738
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\ProductFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Common\ReviewCycle\ReviewToken
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\BA8AF\BA8AF
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\M(
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\ )
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\)
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109110000000000000000F01FEC\Usage\ProductNonBootFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\Common\Assistant\CurrAsstState
Opis zachowania:删除注册表键值
Szczegóły:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\a"
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\BA738\BA738
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\M(
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\ )
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\)
Opis zachowania:删除注册表键
Szczegóły:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\BA738\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\
Inne zachowanie
Opis zachowania:检测自身是否被调试
Szczegóły:IsDebuggerPresent
Opis zachowania:创建互斥体
Szczegóły:Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Local\Mso97SharedDg19521105606Mutex
Local\Mso97SharedDg19531105606Mutex
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
DBWinMutex
OfficeAssistantStateMutex
Local\SqmSysTray
Opis zachowania:隐藏指定窗口
Szczegóły:[Window,Class] = [,ComboLBox]
[Window,Class] = [,ThunderRT6Main]
Opis zachowania:查找指定窗口
Szczegóły:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
Opis zachowania:窗口信息
Szczegóły:Pid = 2352, Hwnd=0x1801d2, Text = 工作表菜单栏, ClassName = MsoCommandBar.
Pid = 2352, Hwnd=0x1901d0, Text = 格式, ClassName = MsoCommandBar.
Pid = 2352, Hwnd=0x1a01e0, Text = 常用, ClassName = MsoCommandBar.
Pid = 2352, Hwnd=0x1702ee, Text = b70c, ClassName = EXCEL7.
Pid = 2352, Hwnd=0x150144, Text = Microsoft Excel - b70c, ClassName = XLMAIN.
Pid = 2352, Hwnd=0x270184, Text = 23456, ClassName = ComboBox.
Pid = 2352, Hwnd=0x802ec, Text = 23456, ClassName = Edit.
Pid = 2352, Hwnd=0x270184, Text = IlmoituksenKohde, ClassName = ComboBox.
Pid = 2352, Hwnd=0x802ec, Text = IlmoituksenKohde, ClassName = Edit.
Opis zachowania:打开事件
Szczegóły:\KernelObjects\MaximumCommitCondition
Global\TermSrvReadyEvent
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
MSFT.VSA.COM.DISABLE.2352
MSFT.VSA.IEC.STATUS.6c736db0
Global\ShutdownMSIDLLv327680.498156650
Global\RestartMSIDLLv327680.498156650
Opis zachowania:创建事件对象
Szczegóły:EventName = OleDfRootBFF3767514F0361B
Opis zachowania:打开互斥体
Szczegóły:Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Local\MU_ACBPIDS08
Local\MSCTF.Asm.MutexDefault1
Local\Mso97SharedDg19521105606Mutex
Local\Mso97SharedDg19531105606Mutex
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
OfficeAssistantStateMutex
Local\SqmSysTray
Uruchom zrzut ekranu
VirSCAN

O VirSCAN | Polityka prywatności | Kontakt z nami | Przyjazny link | Pomóż VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号