VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:70
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:16a98698de218703dbf5d62d20f1c2fb
ประเภทไฟล์:EXE
บริษัท ผลิต:DOS之家
เวอร์ชัน:11.2.2015.1915---11.2.2015.1915
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:CiceroSharedMemDefaultS-*
Local\UrlZonesSM_Administrator
MSCTF.MarshalInterface.FileMap.EFI..HGLHH
MSCTF.MarshalInterface.FileMap.EFI.B.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.C.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.D.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.E.HILHH
MSCTF.MarshalInterface.FileMap.EFI.F.HILHH
MSCTF.MarshalInterface.FileMap.EFI.G.HILHH
MSCTF.Shared.SFM.EFI
MSCTF.MarshalInterface.FileMap.EFI..JBHLH
MSCTF.MarshalInterface.FileMap.EFI.B.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.C.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.D.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.E.HFHLH
คำอธิบายพฤติกรรม:在桌面创建快捷方式
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\桌面\一键GHOST.lnk
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [Initializing...,#32770]
[Window,Class] = [Debug,#32770]
[Window,Class] = [帮助(&H),Button]
[Window,Class] = [,Button]
[Window,Class] = [下一步(&N) >,Button]
[Window,Class] = [取消(&C),Button]
[Window,Class] = [许可协议: * 本软件使用 ghost.exe,ghost32.exe,ghostexp.exe 版权归 Symantec 公司所有. * 本软件是免费软件,不经允许禁止用于商业用途. * 本软件具有一定的危险性,请初学者慎用. * 本
[Window,Class] = [我同意该许可协议的条款,Button]
[Window,Class] = [我不同意该许可协议的条款,Button]
[Window,Class] = [< 返回(&B),Button]
[Window,Class] = [普通模式(多数等待时间设置成10秒,timeout=5,适于中高级用户),Button]
[Window,Class] = [快速模式(全部等待时间均设置成1秒,timeout=1,适于初级用户),Button]
[Window,Class] = [一键GHOST 安装程序,Afx:00400000:3:00010011:01900015:000302F3]
[Window,Class] = [,msctls_progress32]
[Window,Class] = [一键GHOST Setup,Afx:00400000:3:00010011:00000006:000302F3]
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dh_sys2.bat
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c ren c:\dosh\ghos\ds dsptw.exe
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c ren c:\dosh\ghos\fi fi.exe
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c ren c:\dosh\ghos\fr fr.exe
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c c:\dosh\ghos\dsptw 1 /find:all /GhostStyle /y >c:\dosh\ghos\ds_all.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c c:\dosh\ghos\dsptw 1 /find:all /GhostStyle /y >c:\dosh\ghos\ds_all0.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c c:\dosh\ghos\dsptw 2 /find:all /GhostStyle /y >c:\dosh\ghos\ds_all2.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c c:\dosh\ghos\dsptw 3 /find:all /GhostStyle /y >c:\dosh\ghos\ds_all3.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c c:\dosh\ghos\dsptw 4 /find:all /GhostStyle /y >c:\dosh\ghos\ds_all4.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c type c:\dosh\ghos\ds_all2.txt>>c:\dosh\ghos\ds_all0.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c type c:\dosh\ghos\ds_all3.txt>>c:\dosh\ghos\ds_all0.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c type c:\dosh\ghos\ds_all4.txt>>c:\dosh\ghos\ds_all0.txt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c ver|find " 6." >nul&&ren c:\dosh\ghos\nt vt
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /S /D /c" ver"
ImagePath = C:\WINDOWS\system32\find.exe, CmdLine = find " 6."
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.exe" __IRAOFF:1738090 "__IRAFN:C:\Documents and Settings\Administrator\Local Settings\%temp%\1442371320.984529.exe" "__IRCT:0"
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan.exe" 1
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan.exe" 2
ImagePath = c:\dosh\ghos\ghost32.exe, CmdLine = c:\dosh\ghos\ghost32.exe -dd
ImagePath = c:\dosh\ghos\dsptw.exe, CmdLine = c:\dosh\ghos\dsptw 1 /find:all /GhostStyle /y
ImagePath = c:\dosh\ghos\dsptw.exe, CmdLine = c:\dosh\ghos\dsptw 2 /find:all /GhostStyle /y
ImagePath = c:\dosh\ghos\dsptw.exe, CmdLine = c:\dosh\ghos\dsptw 3 /find:all /GhostStyle /y
ImagePath = c:\dosh\ghos\dsptw.exe, CmdLine = c:\dosh\ghos\dsptw 4 /find:all /GhostStyle /y
ImagePath = c:\dosh\ghos\fi.exe, CmdLine = c:\dosh\ghos\fi c:\dosh\ghos\gho_pass.ini [spt_i] spt_1=1
ImagePath = c:\dosh\ghos\fi.exe, CmdLine = c:\dosh\ghos\fi c:\dosh\ghos\gho_pass.ini [spt_i] spt_2=C:
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:在系统敏感位置(如开始菜单等)释放链接或快捷方式
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\一键GHOST.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\帮助文件.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\GhostExp.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\DOS之家.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\Ghost32.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\个人文件转移工具.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\一键GHOST\卸载 一键GHOST.lnk
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\lua5.1.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\bcdedit
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\krnln.fnr
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\eAPI.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\shell.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\shellEx.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\msvcr71.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\msvcp71.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\xc
C:\dosh\ghos\uninstall.exe
C:\dosh\ghos\lua5.1.dll
C:\dosh\ghos\gho_run.exe
C:\dosh\ghos\md5
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.exe
FileName = C:\Documents and Settings\Administrator\Application Data
FileName = C:\Documents and Settings\All Users\Application Data
FileName = C:\WINDOWS
คำอธิบายพฤติกรรม:在桌面创建快捷方式
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\桌面\一键GHOST.lnk
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:CiceroSharedMemDefaultS-*
Local\UrlZonesSM_Administrator
MSCTF.MarshalInterface.FileMap.EFI..HGLHH
MSCTF.MarshalInterface.FileMap.EFI.B.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.C.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.D.HHLHH
MSCTF.MarshalInterface.FileMap.EFI.E.HILHH
MSCTF.MarshalInterface.FileMap.EFI.F.HILHH
MSCTF.MarshalInterface.FileMap.EFI.G.HILHH
MSCTF.Shared.SFM.EFI
MSCTF.MarshalInterface.FileMap.EFI..JBHLH
MSCTF.MarshalInterface.FileMap.EFI.B.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.C.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.D.HEHLH
MSCTF.MarshalInterface.FileMap.EFI.E.HFHLH
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\dosh\ghos\ds ---> C:\dosh\ghos\dsptw.exe
C:\dosh\ghos\fi ---> C:\dosh\ghos\fi.exe
C:\dosh\ghos\fr ---> C:\dosh\ghos\fr.exe
C:\dosh\ghos\GHSTSTA.TXT ---> C:\dosh\ghos\GHSTSTAT.TXT
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.dat---> Offset = 131072
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\IRIMG1.BMP---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\IRIMG1.JPG---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\win_lan---> Offset = 0
C:\dosh\ghos\uni4.tmp---> Offset = 24576
C:\dosh\ghos\uninstall.dat---> Offset = 0
C:\dosh\ghos\uninstall.dat---> Offset = 65536
C:\dosh\ghos\uninstall.xml---> Offset = 0
C:\dosh\ghos\menu.lst---> Offset = 0
C:\dosh\ghos\memdisk---> Offset = 0
C:\dosh\ghos\ghost.img---> Offset = 126303
C:\dosh\ghos\gho_pass.txt---> Offset = 0
C:\dosh\ghos\help.chm---> Offset = 37788
C:\dosh\ghos\gho_run---> Offset = 0
C:\dosh\ghos\1KG_rd---> Offset = 0
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\irsetup.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\DisplayName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\NoModify
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\NoRepair
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\UninstallString
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\Publisher
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\URLInfoAbout
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\HelpLink
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\Contact
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\DisplayVersion
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\InstallLocation
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1KEY GHOST\DisplayIcon
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
oleacc-msaa-loaded
MSCTF.Shared.MUTEX.ELH
MSCTF.Shared.MUTEX.EFI
SHIMLIB_LOG_MUTEX
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [Initializing...,#32770]
[Window,Class] = [Debug,#32770]
[Window,Class] = [帮助(&H),Button]
[Window,Class] = [,Button]
[Window,Class] = [下一步(&N) >,Button]
[Window,Class] = [取消(&C),Button]
[Window,Class] = [许可协议: * 本软件使用 ghost.exe,ghost32.exe,ghostexp.exe 版权归 Symantec 公司所有. * 本软件是免费软件,不经允许禁止用于商业用途. * 本软件具有一定的危险性,请初学者慎用. * 本
[Window,Class] = [我同意该许可协议的条款,Button]
[Window,Class] = [我不同意该许可协议的条款,Button]
[Window,Class] = [< 返回(&B),Button]
[Window,Class] = [普通模式(多数等待时间设置成10秒,timeout=5,适于中高级用户),Button]
[Window,Class] = [快速模式(全部等待时间均设置成1秒,timeout=1,适于初级用户),Button]
[Window,Class] = [一键GHOST 安装程序,Afx:00400000:3:00010011:01900015:000302F3]
[Window,Class] = [,msctls_progress32]
[Window,Class] = [一键GHOST Setup,Afx:00400000:3:00010011:00000006:000302F3]
คำอธิบายพฤติกรรม:使用SCSI指令读写硬盘
สำหรับข้อมูลเพิ่มเติม:LBA = 0x2400 SCSIOP = 0x12
LBA = 0x0 SCSIOP = 0x0
LBA = 0x3E00 SCSIOP = 0x12
LBA = 0x2A000000 SCSIOP = 0x5A
LBA = 0x2A0000 SCSIOP = 0x46
LBA = 0x2F0000 SCSIOP = 0x46
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 2128, Hwnd=0x160142, Text = 帮助(&H), ClassName = Button.
Pid = 2128, Hwnd=0x702d6, Text = 下一步(&N) >, ClassName = Button.
Pid = 2128, Hwnd=0x302d4, Text = 取消(&C), ClassName = Button.
Pid = 2128, Hwnd=0x402bc, Text = 一键GHOST 安装程序, ClassName = Afx:00400000:3:00010011:01900015:000302F3.
Pid = 2128, Hwnd=0x170142, Text = 下一步(&N) >, ClassName = Button.
Pid = 2128, Hwnd=0x160134, Text = 取消(&C), ClassName = Button.
Pid = 2128, Hwnd=0x4015a, Text = 许可协议: * 本软件使用 ghost.exe,ghost32.exe,ghostexp.exe 版权归 Symantec 公司所有. * 本软件是免费软件,不经允许禁止用于商, ClassName = Edit.
Pid = 2128, Hwnd=0x402d4, Text = 我同意该许可协议的条款, ClassName = Button.
Pid = 2128, Hwnd=0x802d6, Text = 我不同意该许可协议的条款, ClassName = Button.
Pid = 2128, Hwnd=0x402dc, Text = 帮助(&H), ClassName = Button.
Pid = 2128, Hwnd=0x302d8, Text = < 返回(&B), ClassName = Button.
Pid = 2128, Hwnd=0x170134, Text = 下一步(&N) >, ClassName = Button.
Pid = 2128, Hwnd=0x180142, Text = 取消(&C), ClassName = Button.
Pid = 2128, Hwnd=0x5015a, Text = 普通模式(多数等待时间设置成10秒,timeout=5,适于中高级用户), ClassName = Button.
Pid = 2128, Hwnd=0x402d8, Text = 快速模式(全部等待时间均设置成1秒,timeout=1,适于初级用户), ClassName = Button.
คำอธิบายพฤติกรรม:直接操作物理设备
สำหรับข้อมูลเพิ่มเติม:\??\PhysicalDrive0
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [MS_WINHELP,]
คำอธิบายพฤติกรรม:打开图片文件
สำหรับข้อมูลเพิ่มเติม:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\IRIMG1.BMP
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_ir_sf_temp_0\IRIMG1.JPG
\dosh\ghos\IRIMG1.BMP
\dosh\ghos\IRIMG1.JPG
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号