VirSCAN VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.
4, если ваш браузер не может загрузить файл, загрузите его на сервер Viscan Uploader.

Язык
Server load
Server Load
VirSCAN
VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.

Основная информация

Имя файла: 继续解压.exe
Размер файла: 382499
Тип файла: application/x-dosexec
MD5: 68ec89b2b9676a2d8ef698d406372eee
sha1: d27defb2926c67b0890c0c4b21eb6978b1fb45e1

 CreateProcess

ApplicationName:
CmdLine:
childid: 1976
childname: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
drop_type:
name:
noNeedLine:
path:
pid: 2820

 Summary

buffer: 0
processid: 1976
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 1976
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 1976
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 1976
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect

 Dropped_Save

analysis_result: 安全
create: 0
how: write
md5: 59d66dbf52b12f755d5ba5b00d546d30
name: localhost.exe
new_size: 60KB (61440bytes)
operation: 修改文件
path: C:\Users\Administrator\AppData\Local\Temp\localhost.exe
processid: 1976
processname: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
sha1: 1e86de83117be5938d6dd0ccaed797ad621604c4
sha256: f79c5c0e40d7d98b931613656de52924361ea4932c5eeb72bdf27a9d3ccd7bc2
size: 61440
this_path: /data/cuckoo/storage/analyses/6000074/files/1000/localhost.exe
type: PE32 executable (GUI) Intel 80386, for MS Windows
analysis_result: 安全
create: 0
how: write
md5: d4c079d4018f3e7a6618fe163eeb78d1
name: scitranslate.exe
new_size: 344KB (352256bytes)
operation: 修改文件
path: C:\Users\Administrator\AppData\Local\Temp\scitranslate.exe
processid: 1976
processname: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
sha1: 863e6ed01a1953e0371f40f5772340365177a70c
sha256: fea6215f7cc524f2195e701fe63c3fceeefa7fa458c5fdf42e1a55f5f64b48c5
size: 352256
this_path: /data/cuckoo/storage/analyses/6000074/files/1001/scitranslate.exe
type: PE32 executable (GUI) Intel 80386, for MS Windows

 Malicious

attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过写入注册表,以达修改用户修改代理
num: 717
process_id: 1976
process_name: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
rulename: 修改浏览器代理
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 1090
process_id: 1976
process_name: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
rulename: 获取当前用户名
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 3227
process_id: 1976
process_name: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
rulename: 获取当前鼠标位置
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 4222
process_id: 1976
process_name: 1618992044315_68ec89b2b9676a2d8ef698d406372eee.exe
rulename: 遍历文件