VirSCAN VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.
4, если ваш браузер не может загрузить файл, загрузите его на сервер Viscan Uploader.

Язык
Server load
Server Load

VirSCAN
VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.

   Информация о файле

Отчет о нескольких двигателях Virscan.org
Отчет по анализу поведения:         Анализ файла Habo

Основная информация

MD5:7be1681fae7f50eeae9b034dabe69148
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
Название пакета:
Минимальная рабочая среда:
авторское право:

Ключевое поведение

Описание поведения: 跨进程写入数据
Для получения более подробной информации: TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00050000, Size = 0x000005dc TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x7ffdc1e8, Size = 0x00000004 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00060000, Size = 0x00000020 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00060020, Size = 0x00000034 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x7ffdc238, Size = 0x00000004 TargetPID = 0x00000dbc
Описание поведения: 查找PE资源信息
Для получения более подробной информации: (FindResourceExExW) hModule = 0x00B10000, ResName: 85(ID), ResType: CUSTOM

Поведение процесса

Описание поведения: 创建进程
Для получения более подробной информации: [0x00000dbc]ImagePath = C:\Windows\System32\msiexec.exe, CmdLine = "C:\Windows\System32\msiexec.exe" /i "C:\Users\ADMINI~1\AppData\Local\Temp\Wix#\BetternetForWindows.msi"
Описание поведения: 跨进程写入数据
Для получения более подробной информации: TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00050000, Size = 0x000005dc TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x7ffdc1e8, Size = 0x00000004 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00060000, Size = 0x00000020 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x00060020, Size = 0x00000034 TargetPID = 0x00000dbc
TargetProcess = C:\Windows\System32\msiexec.exe, WriteAddress = 0x7ffdc238, Size = 0x00000004 TargetPID = 0x00000dbc

Поведение файла

Описание поведения: 创建文件
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi
C:\Users\Administrator\AppData\Local\Temp\Cab72C5.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab72F6.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72F7.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab7346.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar7347.tmp
Описание поведения: 创建可执行文件
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe
Описание поведения: 覆盖已有文件
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Cab72C5.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab72F6.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72F7.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab7346.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar7347.tmp
Описание поведения: 查找文件
Для получения более подробной информации: FileName = C:\Users
FileName = C:\Users\ADMINI~1
FileName = C:\Users\ADMINI~1\AppData
FileName = C:\Users\ADMINI~1\AppData\Local
FileName = C:\Users\ADMINI~1\AppData\Local\Temp
FileName = C:\Users\ADMINI~1\AppData\Local\Temp\Wix#
FileName = C:\Users\ADMINI~1\AppData\Local\Temp\Wix#\*.*
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates\*
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\*
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\*
FileName = C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C46E7B0F942663A1EDC8D9D6D7869173_*
FileName = C:\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\EA618097E393409AFA316F0F87E2C202_*
FileName = C:\Windows\system32\*
FileName = C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
FileName = C:\Windows\Microsoft.NET\Framework\\*
Описание поведения: 删除文件
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Cab72C5.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab72F6.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar72F7.tmp
C:\Users\Administrator\AppData\Local\Temp\Cab7346.tmp
C:\Users\Administrator\AppData\Local\Temp\Tar7347.tmp
Описание поведения: 修改文件内容
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> Offset = 4096
C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> Offset = 8192
C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> Offset = 12288
C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> Offset = 16384
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi ---> Offset = 4096
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi ---> Offset = 8192
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi ---> Offset = 12288
C:\Users\Administrator\AppData\Local\Temp\Wix#\BetternetForWindows.msi ---> Offset = 16384
C:\Users\Administrator\AppData\Local\Temp\Cab72C5.tmp ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp ---> Offset = 32768
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp ---> Offset = 65536
C:\Users\Administrator\AppData\Local\Temp\Tar72C6.tmp ---> Offset = 98304

Сетевое поведение

Описание поведения: 连接指定站点
Для получения более подробной информации: WinHttpConnect: ServerName = s2****om, PORT = 80, UserName = , Password = , hSession = 0x00407d50, hConnect = 0x003cd110, Flags = 0x00000000
WinHttpConnect: ServerName = s1****om, PORT = 80, UserName = , Password = , hSession = 0x00407d50, hConnect = 0x003d5b88, Flags = 0x00000000
WinHttpConnect: ServerName = sv****om, PORT = 80, UserName = , Password = , hSession = 0x00407d50, hConnect = 0x004097b8, Flags = 0x00000000
WinHttpConnect: ServerName = sv****om, PORT = 80, UserName = , Password = , hSession = 0x00407d50, hConnect = 0x003d0358, Flags = 0x00000000
WinHttpConnect: ServerName = ww****om, PORT = 80, UserName = , Password = , hSession = 0x00409690, hConnect = 0x003d6738, Flags = 0x00000000
Описание поведения: 打开HTTP连接
Для получения более подробной информации: WinHttpOpen: UserAgent: Microsoft-CryptoAPI/6.1, hSession = 0x00407d50
WinHttpOpen: UserAgent: Microsoft-CryptoAPI/6.1, hSession = 0x00409690
Описание поведения: 打开HTTP请求
Для получения более подробной информации: WinHttpOpenRequest: s2****om:80/mfewtzbnmeswstajbgurdgmcgguabbs56bkhaoud%2boyl%2b0lhpg9jxyqm4gquf9nlp8ld7lvwmanzqzn6aq8zmtmced141%2fl2swcyyx308b7khio%3d, hConnect = 0x003cd110, hRequest = 0x003cd1f8, Verb: GET, Referer: , Flags = 0x00000000
WinHttpOpenRequest: s1****om:80/pca3-g5.crl, hConnect = 0x003d5b88, hRequest = 0x003cd738, Verb: GET, Referer: , Flags = 0x00000000
WinHttpOpenRequest: sv****om:80/mfewtzbnmeswstajbgurdgmcgguabbqe6lndjdqx%2bjop7hvgteagfj%2fcqgquljtt8hkzl699g%2b8uk8zkt4yecmycehph5mdvpk6qseytehdvt4y%3d, hConnect = 0x004097b8, hRequest = 0x003cdd28, Verb: GET, Referer: , Flags = 0x00000000
WinHttpOpenRequest: sv****om:80/sv.crl, hConnect = 0x003d0358, hRequest = 0x003d57a8, Verb: GET, Referer: , Flags = 0x00000000
WinHttpOpenRequest: ww****om:80/msdownload/update/v3/static/trustedr/en/authrootstl.cab, hConnect = 0x003d6738, hRequest = 0x003cb098, Verb: GET, Referer: , Flags = 0x00000000
Описание поведения: 按名称获取主机地址
Для получения более подробной информации: GetAddrInfoW: s2****om
GetAddrInfoW: s1****om
GetAddrInfoW: sv****om
GetAddrInfoW: ww****om

Реестр

Описание поведения: 删除注册表键值
Для получения более подробной информации: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName

Другое поведение

Описание поведения: 检测自身是否被调试
Для получения более подробной информации: IsDebuggerPresent
Описание поведения: 创建互斥体
Для получения более подробной информации: Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
Описание поведения: 创建事件对象
Для получения более подробной информации: EventName = OleDfRoot6FB26FD28A5734DE
EventName = OleDfRoot55A81BA777EA1E06
EventName = OleDfRoot72BD0132DFE7B632
EventName = OleDfRootACCEA464AAA9A0B9
EventName = OleDfRootF1D5E9FA582E4A4E
EventName = OleDfRootDDB1F87D01592BE9
EventName = OleDfRoot6393D0F1786AE4A7
EventName = OleDfRoot5E1C65804A403954
Описание поведения: 查找指定窗口
Для получения более подробной информации: NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
Описание поведения: 启动系统服务
Для получения более подробной информации: [服务启动成功]: LocalSystem, Program Compatibility Assistant Service, C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
[服务启动失败]: LocalSystem, Program Compatibility Assistant Service, C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
Описание поведения: 调整进程token权限
Для получения более подробной информации: SE_SHUTDOWN_PRIVILEGE
SE_INCREASE_QUOTA_PRIVILEGE
SE_RESTORE_PRIVILEGE
SE_SECURITY_PRIVILEGE
SE_CREATE_TOKEN_PRIVILEGE
Описание поведения: 打开事件
Для получения более подробной информации: HookSwitchHookEnabledEvent
\KernelObjects\MaximumCommitCondition
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SC_AutoStartComplete
Global\SvcctrlStartEvent_A3752DX
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
MSFT.VSA.COM.DISABLE.3516
MSFT.VSA.IEC.STATUS.6c736db0
MSFT.VSA.COM.DISABLE.3952
Описание поведения: 查找PE资源信息
Для получения более подробной информации: (FindResourceExExW) hModule = 0x00B10000, ResName: 85(ID), ResType: CUSTOM
Описание поведения: 可执行文件签名信息
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe(签名验证: 通过)
Описание поведения: 隐藏指定窗口
Для получения более подробной информации: [Window,Class] = [Windows Installer,#32770]
[Window,Class] = [,Static]
[Window,Class] = [Property: NETFRAMEWORK45, Signature: NetFramework45,Static]
[Window,Class] = [&Install,Button]
[Window,Class] = [Betternet for Windows 4.1.1 Setup,MsiDialogCloseClass]
Описание поведения: 可执行文件MD5
Для получения более подробной информации: C:\Users\Administrator\AppData\Local\Temp\Wix#\NDP451-KB2859818-Web.exe ---> 24281f84c5521204e4454207f3becf96
Описание поведения: 打开互斥体
Для получения более подробной информации: Local\MSCTF.Asm.MutexDefault1
Описание поведения: 导入密钥
Для получения более подробной информации: [CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x00407680, DataLen: 276, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003DD9F0, DataLen: 276, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003C9790, DataLen: 532, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003DDAA8, DataLen: 276, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003CB5E0, DataLen: 532, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003CB5E0, DataLen: 276, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003DCC18, DataLen: 276, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x0044FC50, DataLen: 532, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x003DCD40, DataLen: 276, Flags: 0x00000000