VirSCAN VirSCAN

1, Możesz wysyłać dowolne pliki, ale nie większe niż 20Mb.
2, VirSCAN obsługuje dekompresję Rar/Zip, ale archiwum musi zawierać mniej niż 20 plików.
3, VirSCAN może skanować pliki skompresowane i zaszyfrowane hasłem "infected" lub "virus".
4, Jeśli przeglądarka nie może wgrać plików, prosimy pobrać wczynię VirSCAN do wysłania.

Język
Obciążenie serwera
Server Load

VirSCAN
VirSCAN

1, Możesz wysyłać dowolne pliki, ale nie większe niż 20Mb.
2, VirSCAN obsługuje dekompresję Rar/Zip, ale archiwum musi zawierać mniej niż 20 plików.
3, VirSCAN może skanować pliki skompresowane i zaszyfrowane hasłem "infected" lub "virus".

   Informacje o pliku

Raport skanowania wielu silników Virscan.org
Raport analizy zachowania:         Analiza plików Habo

Podstawowe informacje

MD5:2da4af50967e752fdb5793b2cebcc847
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
Nazwa pakietu:
Minimalne środowisko operacyjne:
Prawa autorskie:

Kluczowe zachowanie

Opis zachowania: 检测自身是否被调试
Szczegóły: N/A
Opis zachowania: 设置特殊文件夹属性
Szczegóły: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
Opis zachowania: 隐藏指定窗口
Szczegóły: [Window,Class] = [AutoIt v3,AutoIt v3]
[Window,Class] = [重新测试,Button]
[Window,Class] = [宽带接入速度,Button]
[Window,Class] = [长途网络速度,Button]
[Window,Class] = [网速排行榜,Button]
[Window,Class] = [,Button]
[Window,Class] = [微博分享,WTL_HyperLinkEx]
[Window,Class] = [立即测试,WTL_HyperLinkEx]
[Window,Class] = [立即体验,WTL_HyperLinkEx]
[Window,Class] = [保存测试图片,WTL_HyperLinkEx]
[Window,Class] = [创建桌面图标,WTL_HyperLinkEx]
[Window,Class] = [分享IP所在地,WTL_HyperLinkEx]
[Window,Class] = [,AtlAxWinLic90]
Opis zachowania: 修改注册表_系统防火墙可信进程列表
Szczegóły: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\Temp\新建文件夹\netmon\360SpeedTest.exe
Opis zachowania: 按名称获取主机地址
Szczegóły: st.p.360.cn
wpad
softdl.360.cn
agd.p.360.cn
sd.p.360.cn
tr.p.360.cn
agt.p.360.cn

Zachowanie procesowe

Opis zachowania: 创建新文件进程
Szczegóły: ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360SpeedTest.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360SpeedTest.exe

Zachowanie pliku

Opis zachowania: 写权限映射文件
Szczegóły: \Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
\WINDOWS\system32\zh-cn\ieframe.dll.mui
Opis zachowania: 创建可执行文件
Szczegóły: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\360net.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\360NetUL.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\360P2SP.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\LiveUpd360.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\PDown.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360nettj.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360perfoptm.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360SpeedTest.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\NetSpeed.dll
Opis zachowania: 修改文件内容
Szczegóły: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut3.tmp---> Offset = 155648
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut4.tmp---> Offset = 126976
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut5.tmp---> Offset = 196608
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut6.tmp---> Offset = 196608
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut7.tmp---> Offset = 114688
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut8.tmp---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360netmon.ini---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut9.tmp---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360NetSpd2.dat---> Offset = 24576
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autA.tmp---> Offset = 196608
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autB.tmp---> Offset = 159744
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autC.tmp---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹\netmon\360Speedr.ini---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autD.tmp---> Offset = 196608
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autE.tmp---> Offset = 0
Opis zachowania: 设置特殊文件夹属性
Szczegóły: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\新建文件夹
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies

Zachowanie sieci

Opis zachowania: 连接指定站点
Szczegóły: InternetConnectA: ServerName = speed.netmon.360safe.com, PORT = 80
InternetConnectA: ServerName = api.ip.360.cn, PORT = 80
Opis zachowania: 建立到一个指定的套接字连接
Szczegóły: 127.0.0.1:1041
219.133.40.1:80
Opis zachowania: 打开HTTP请求
Szczegóły: HttpOpenRequestA: speed.netmon.360safe.com:80/pdownlist.dat?s=1350437, hConnect = 0x0000035c
HttpOpenRequestA: api.ip.360.cn:80/?src=netmon&r=1350453&guid=ee4f70500e7a1aacb1a80c41a7fa50a1&ip=, hConnect = 0x000003e8
Opis zachowania: 按名称获取主机地址
Szczegóły: st.p.360.cn
wpad
softdl.360.cn
agd.p.360.cn
sd.p.360.cn
tr.p.360.cn
agt.p.360.cn

Zachowanie rejestru

Opis zachowania: 修改注册表
Szczegóły: \REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\X\BaseClass
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\GDIPlus\FontCachePath
\REGISTRY\MACHINE\SOFTWARE\LiveUpdate360\IsLowPC
\REGISTRY\MACHINE\SOFTWARE\360Safe\netmon\speedtest
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\360Safe\Liveup\mid
\REGISTRY\MACHINE\SOFTWARE\LiveUpdate360\proxytype
Opis zachowania: 修改注册表_系统防火墙可信进程列表
Szczegóły: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\Temp\新建文件夹\netmon\360SpeedTest.exe
Opis zachowania: 删除注册表键值_IE连接设置
Szczegóły: \REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

Inne zachowanie

Opis zachowania: 检测自身是否被调试
Szczegóły: N/A
Opis zachowania: 创建互斥体
Szczegóły: 1830B7BD-F7A3-4c4d-989B-C004DE465EDE 292
Q360SpeedTestMutex
LOCALLOG
Q360NetSpeedMutex
RasPbFile
Opis zachowania: 隐藏指定窗口
Szczegóły: [Window,Class] = [AutoIt v3,AutoIt v3]
[Window,Class] = [重新测试,Button]
[Window,Class] = [宽带接入速度,Button]
[Window,Class] = [长途网络速度,Button]
[Window,Class] = [网速排行榜,Button]
[Window,Class] = [,Button]
[Window,Class] = [微博分享,WTL_HyperLinkEx]
[Window,Class] = [立即测试,WTL_HyperLinkEx]
[Window,Class] = [立即体验,WTL_HyperLinkEx]
[Window,Class] = [保存测试图片,WTL_HyperLinkEx]
[Window,Class] = [创建桌面图标,WTL_HyperLinkEx]
[Window,Class] = [分享IP所在地,WTL_HyperLinkEx]
[Window,Class] = [,AtlAxWinLic90]
Opis zachowania: 获取系统权限
Szczegóły: SE_LOAD_DRIVER_PRIVILEGE
SE_MANAGE_VOLUME_PRIVILEGE
Opis zachowania: 窗口信息
Szczegóły: Pid = 292, Hwnd=0xb0184, Text = Cancel, ClassName = Button.
Pid = 292, Hwnd=0xa01aa, Text = &About..., ClassName = Button.
Pid = 292, Hwnd=0xb01b0, Text = 重新测试, ClassName = Button.
Pid = 292, Hwnd=0xe016e, Text = 网速排行榜, ClassName = Button.
Pid = 292, Hwnd=0xc01e8, Text = 宽带接入速度, ClassName = Button.
Pid = 292, Hwnd=0xa0196, Text = 上网快慢, ClassName = Button.
Pid = 292, Hwnd=0xb01be, Text = 网速排行榜, ClassName = Button.
Pid = 292, Hwnd=0xc01b4, Text = 网速排行, ClassName = Button.
Pid = 292, Hwnd=0xb0170, Text = 长途网络速度, ClassName = Button.
Pid = 292, Hwnd=0xc01b2, Text = 微博分享, ClassName = WTL_HyperLinkEx.
Pid = 292, Hwnd=0xb018a, Text = 立即测试, ClassName = WTL_HyperLinkEx.
Pid = 292, Hwnd=0xc01da, Text = 立即体验, ClassName = WTL_HyperLinkEx.
Pid = 292, Hwnd=0xb0200, Text = 保存测试图片, ClassName = WTL_HyperLinkEx.
Pid = 292, Hwnd=0xc017a, Text = 创建桌面图标, ClassName = WTL_HyperLinkEx.
Pid = 292, Hwnd=0xd01c4, Text = 分享IP所在地, ClassName = WTL_HyperLinkEx.
Opis zachowania: 直接操作物理设备
Szczegóły: \??\PhysicalDrive0