VirSCAN VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.
4, если ваш браузер не может загрузить файл, загрузите его на сервер Viscan Uploader.

Язык
Server load
Server Load
VirSCAN
VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.

Основная информация

Имя файла: 00龙征七海
Размер файла: 404480
Тип файла: application/x-dosexec
MD5: d738543ea56751385b53d3b0935af413
sha1: 59c8a5c51e1628e53efa7e0ce28c2f7d888ee0aa

 CreateProcess

ApplicationName:
CmdLine: C:\Users\Administrator\AppData\Local\Temp\1621229425849_d738543ea56751385b53d3b0935af413.exe
childid: 580
childname: 1621229425849_d738543ea56751385b53d3b0935af413.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1621229425849_d738543ea56751385b53d3b0935af413.exe
drop_type:
name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
noNeedLine:
path: C:\Users\Administrator\AppData\Local\Temp\1621229425849_d738543ea56751385b53d3b0935af413.exe
pid: 2800
ApplicationName:
CmdLine:
childid: 2800
childname: 1621229425849_d738543ea56751385b53d3b0935af413.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1621229425849_d738543ea56751385b53d3b0935af413.exe
drop_type:
name:
noNeedLine:
path:
pid: 2964

 Behavior_analysis

message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Malicious

attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 22
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 遍历文件
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 150
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过重新写入数据到新创建的进程,以达到逃避杀毒软件检测的目的
num: 294
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 进程数据重写(使用内存映射方式)
attck_tactics: 基础信息获取
level: 2
matchedinfo: 恶意程序通过得到上下文环境,以达到获取上下文环境信息的目的
num: 1667
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 获取线程上下文
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 1705
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 调用加密算法库
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 1926
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 加载资源到内存
attck_tactics: 基础信息获取
level: 2
matchedinfo: 使用WMI获取系统信息,如进程、硬盘信息等,该行为常见于脚本文件
num: 2422
process_id: 2800
process_name: 1621229425849_d738543ea56751385b53d3b0935af413.exe
rulename: 使用WMI获取系统信息