VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:48
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:1dd14a614f2e5656ef1e474e1c32c053
ประเภทไฟล์:Microsoft Office Excel(xls)文档
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: EXCEL.EXE, InheritedFromPID = 2008, ProcessID = 1296, ThreadID = 2028, StartAddress = 65001FF8, Parameter = 00000000
TargetProcess: EXCEL.EXE, InheritedFromPID = 2008, ProcessID = 1296, ThreadID = 1832, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: EXCEL.EXE, InheritedFromPID = 2008, ProcessID = 1296, ThreadID = 2488, StartAddress = 30D72B9D, Parameter = 002139E0
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\~DFC27B.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE8DC.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\VB3.tmp
C:\Documents and Settings\Administrator\My Documents\VB4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\VB5.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\D6050000
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFF0C3.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\%temp%\****.xls.LNK
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\FA050000
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls~RF50c1d.TMP
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFF990.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\EB93A6.LNK
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\XLSTART.LNK
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\StartUp.xls.LNK
คำอธิบายพฤติกรรม:覆盖已有文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\My Documents\VB4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\VB5.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Excel11.pip
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\OFFICE\DATA\OPA11.BAK ---> C:\DOCUME~1\ALLUSE~1\APPLIC~1\MICROS~1\OFFICE\DATA\opa11.dat
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\~DFC27B.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE8DC.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\VB5.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\VB3.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFF0C3.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls~RF50c1d.TMP
C:\Documents and Settings\Administrator\Local Settings\Temp\~DFF990.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\XLSTART.LNK
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls
FileName = C:\Documents and Settings\Administrator\Application Data
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls\*.*
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Office
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.xls
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\%temp%\****.xls
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\My Documents\VB4.tmp ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VB3.tmp
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\D6050000 ---> C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls ---> C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls~RF50c1d.TMP
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\FA050000 ---> C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\StartUp.xls
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\My Documents\VB4.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\My Documents\VB4.tmp ---> Offset = 1024
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\D6050000 ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\D6050000 ---> Offset = 4096
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\%temp%\****.xls.LNK ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\index.dat ---> Offset = 55
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\FA050000 ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\FA050000 ---> Offset = 4096
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\index.dat ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\EB93A6.LNK ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\index.dat ---> Offset = 28
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\XLSTART.LNK ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\index.dat ---> Offset = 42
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\StartUp.xls.LNK ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Office\Recent\index.dat ---> Offset = 107
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\ProductFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4F402\4F402
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\VBAFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Common\ReviewCycle\ReviewToken
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4FD59\4FD59
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\w}
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\a~
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\ProductNonBootFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\Common\Assistant\CurrAsstState
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\EXCELFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50865\50865
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50C3D\50C3D
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Recent Files\File1
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\MTTF
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4F402\4F402
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\w}
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\a~
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50865\50865
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4FD59\4FD59
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50C3D\50C3D
\REGISTRY\USER\S-*\Software\Microsoft\Office\Common\Assistant\CurrAsstState
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\MTTT
คำอธิบายพฤติกรรม:删除注册表键
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4F402\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50865\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\4FD59\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\50C3D\
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
OfficeAssistantStateMutex
MSCTF.Shared.MUTEX.APH
MSCTF.Shared.MUTEX.ECE
KYIMEShareCachedData.MutexObject.Administrator
KYTransactionServer.MutexObject.Administrator
Local\MU_ACBPIDS08
Local\MU_ACB08
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = Global\crypt32LogoffEvent
EventName = Global\userenv: User Profile setup event
EventName = MSCTF.SendReceive.Event.ECE.IC
EventName = MSCTF.SendReceiveConection.Event.ECE.IC
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [MSOBALLOON,]
NtUserFindWindowEx: [Class,Window] = [MsoHelp11,]
NtUserFindWindowEx: [Class,Window] = [AgentAnim,]
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 1296, Hwnd=0x1101ca, Text = 格式, ClassName = MsoCommandBar.
Pid = 1296, Hwnd=0xf01e6, Text = 常用, ClassName = MsoCommandBar.
Pid = 1296, Hwnd=0x12016e, Text = 工作表菜单栏, ClassName = MsoCommandBar.
Pid = 1296, Hwnd=0xe0216, Text = %temp%\****.xls, ClassName = EXCEL7.
Pid = 1296, Hwnd=0x1001b0, Text = Microsoft Excel - %temp%\****.xls, ClassName = XLMAIN.
Pid = 1296, Hwnd=0x11015e, Text = 123456, ClassName = ComboBox.
Pid = 1296, Hwnd=0xf01d0, Text = 123456, ClassName = Edit.
Pid = 1296, Hwnd=0x7017e, Text = StartUp.xls, ClassName = EXCEL7.
Pid = 1296, Hwnd=0x5017a, Text = %temp%\****.xls, ClassName = MS-SDIa.
Pid = 1296, Hwnd=0x102ae, Text = 10, ClassName = RichEdit20W.
Pid = 1296, Hwnd=0x102ac, Text = Times New Roman, ClassName = RichEdit20W.
Pid = 1296, Hwnd=0x102aa, Text = 120%, ClassName = RichEdit20W.
Pid = 1296, Hwnd=0x5028e, Text = 键入需要帮助的问题, ClassName = RichEdit20W.
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:Global\crypt32LogoffEvent
CTF.ThreadMIConnectionEvent.000007F0.00000000.0000001E
CTF.ThreadMarshalInterfaceEvent.000007F0.00000000.0000001E
MSCTF.SendReceiveConection.Event.APH.IC
MSCTF.SendReceive.Event.APH.IC
CTF.ThreadMIConnectionEvent.000007F0.00000000.0000001F
CTF.ThreadMarshalInterfaceEvent.000007F0.00000000.0000001F
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ThunderRT6Main]
[Window,Class] = [Microsoft Excel,XLMAIN]
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
DBWinMutex
OfficeAssistantStateMutex
Local\MU_ACBPIDS08
Local\MU_ACB08
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号