VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:73
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:1e53c1faf2b3c530544783b22390e820
ประเภทไฟล์:EXE
บริษัท ผลิต:Microsoft Corporation
เวอร์ชัน:6.0.2900.2180---6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Microsoft Visual C++ 6.0 SPx Method 2
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:CiceroSharedMemDefaultS-*
MSCTF.MarshalInterface.FileMap.MFF..CEKGH
MSCTF.MarshalInterface.FileMap.MFF.B.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.C.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.D.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.E.AJKGH
MSCTF.MarshalInterface.FileMap.MFF.F.AJKGH
MSCTF.MarshalInterface.FileMap.MFF.G.PJKGH
\WINDOWS\system32\zh-cn\ieframe.dll.mui
MSCTF.Shared.SFM.MFF
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Outlook Express\msimn.exe---> Offset = 196608
C:\Program Files\Windows Media Player\wmplayer.exe---> Offset = 262144
C:\Program Files\WinRAR\WinRAR.exe---> Offset = 262144
C:\WINDOWS\system32\eudcedit.exe---> Offset = 262144
C:\WINDOWS\system32\mobsync.exe---> Offset = 262144
C:\WINDOWS\system32\cmd.exe---> Offset = 262144
C:\WINDOWS\system32\notepad.exe---> Offset = 196608
C:\WINDOWS\system32\osk.exe---> Offset = 262144
C:\WINDOWS\system32\magnify.exe---> Offset = 262144
C:\WINDOWS\system32\utilman.exe---> Offset = 196608
C:\Program Files\Outlook Express\wab.exe---> Offset = 196608
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,tooltips_class32]
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:CiceroSharedMemDefaultS-*
MSCTF.MarshalInterface.FileMap.MFF..CEKGH
MSCTF.MarshalInterface.FileMap.MFF.B.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.C.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.D.AIKGH
MSCTF.MarshalInterface.FileMap.MFF.E.AJKGH
MSCTF.MarshalInterface.FileMap.MFF.F.AJKGH
MSCTF.MarshalInterface.FileMap.MFF.G.PJKGH
\WINDOWS\system32\zh-cn\ieframe.dll.mui
MSCTF.Shared.SFM.MFF
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Outlook Express\msimn.exe---> Offset = 196608
C:\Program Files\Windows Media Player\wmplayer.exe---> Offset = 262144
C:\Program Files\WinRAR\WinRAR.exe---> Offset = 262144
C:\WINDOWS\system32\eudcedit.exe---> Offset = 262144
C:\WINDOWS\system32\mobsync.exe---> Offset = 262144
C:\WINDOWS\system32\cmd.exe---> Offset = 262144
C:\WINDOWS\system32\notepad.exe---> Offset = 196608
C:\WINDOWS\system32\osk.exe---> Offset = 262144
C:\WINDOWS\system32\magnify.exe---> Offset = 262144
C:\WINDOWS\system32\utilman.exe---> Offset = 196608
C:\Program Files\Outlook Express\wab.exe---> Offset = 196608
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Outlook Express\msimn.ivr
C:\Program Files\Windows Media Player\wmplayer.ivr
C:\Program Files\WinRAR\WinRAR.ivr
C:\WINDOWS\system32\eudcedit.ivr
C:\WINDOWS\system32\mobsync.ivr
C:\WINDOWS\system32\cmd.ivr
C:\WINDOWS\system32\notepad.ivr
C:\WINDOWS\system32\osk.ivr
C:\WINDOWS\system32\magnify.ivr
C:\WINDOWS\system32\utilman.ivr
C:\Program Files\Outlook Express\wab.ivr
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab---> Offset = 2212
C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab---> Offset = 176280
C:\Documents and Settings\Administrator\Local Settings\Application Data\wsr14zt32.dll---> Offset = 0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MPS3.tmp---> Offset = 2212
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MPS3.tmp---> Offset = 6212
C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab~---> Offset = 0
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\desktop.ini\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 2007 控制中心.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office Excel 2007.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office PowerPoint 2007.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office Word 2007.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 文档关联中心.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\Microsoft Office 语言设置.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Microsoft Office\VBA项目数字证书.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Uninstall.lnk\*
FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Website.lnk\*
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Wab\WAB4\Wab File Name\
\REGISTRY\USER\S-*\Software\Microsoft\Wab\WAB4\OlkContactRefresh
\REGISTRY\USER\S-*\Software\Microsoft\Wab\WAB4\OlkFolderRefresh
\REGISTRY\USER\S-*\Identities\{CFD7C28A-208C-4447-B3FF-2FDAC596C2FD}\Identity Ordinal
\REGISTRY\USER\S-*\Identities\Identity Ordinal
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\AssociatedID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\LDAP Server ID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Server ID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server ID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Server ID
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVer
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVerNTDS
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\Account Name
\REGISTRY\USER\S-*\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\LDAP Server
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Identities\Changing
\REGISTRY\USER\S-*\Identities\IncomingID
\REGISTRY\USER\S-*\Identities\OutgoingID
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MPSWabDataAccessMutex
kkq-vx_mtx14
kkq-vx_mtx1
MPSWABOlkStoreNotifyMutex
MSIdent Logon
MSCTF.Shared.MUTEX.ELH
MSCTF.Shared.MUTEX.MFF
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,tooltips_class32]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TabWindowClass,]
NtUserFindWindowEx: [Class,Window] = [msctls_statusbar32,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [OleMainThreadWndClass,]
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_TAKE_OWNERSHIP_PRIVILEGE
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 485001, SleepMilliseconds = 1.
TickCount = 485047, SleepMilliseconds = 1.
TickCount = 485079, SleepMilliseconds = 1.
TickCount = 485094, SleepMilliseconds = 1.
TickCount = 485110, SleepMilliseconds = 1.
TickCount = 485126, SleepMilliseconds = 1.
TickCount = 485188, SleepMilliseconds = 1.
TickCount = 485204, SleepMilliseconds = 1.
TickCount = 485219, SleepMilliseconds = 1.
TickCount = 485282, SleepMilliseconds = 1.
TickCount = 485313, SleepMilliseconds = 1.
TickCount = 485344, SleepMilliseconds = 1.
TickCount = 485391, SleepMilliseconds = 1.
TickCount = 485438, SleepMilliseconds = 1.
TickCount = 485469, SleepMilliseconds = 1.
คำอธิบายพฤติกรรม:获取光标位置
สำหรับข้อมูลเพิ่มเติม:CursorPos = (106,18467), SleepMilliseconds = 1.
CursorPos = (6399,26500), SleepMilliseconds = 1.
CursorPos = (19234,15724), SleepMilliseconds = 1.
CursorPos = (11543,29358), SleepMilliseconds = 1.
CursorPos = (27027,24464), SleepMilliseconds = 1.
CursorPos = (5770,28145), SleepMilliseconds = 1.
CursorPos = (23346,16827), SleepMilliseconds = 1.
CursorPos = (10026,491), SleepMilliseconds = 1.
CursorPos = (3060,11942), SleepMilliseconds = 1.
CursorPos = (4892,5436), SleepMilliseconds = 1.
CursorPos = (32456,14604), SleepMilliseconds = 1.
CursorPos = (3967,153), SleepMilliseconds = 1.
CursorPos = (357,12382), SleepMilliseconds = 1.
CursorPos = (17486,18716), SleepMilliseconds = 1.
CursorPos = (19783,19895), SleepMilliseconds = 1.
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 416, Hwnd=0x302dc, Text = 0 项, ClassName = msctls_statusbar32.
Pid = 416, Hwnd=0x302da, Text = 键入姓名或从列表中选择(&Y):, ClassName = Static.
Pid = 416, Hwnd=0x302ba, Text = 通讯簿 - 主标识, ClassName = WABBrowseView.
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 60000.
[2]: MilliSeconds = 7200000.
[3]: MilliSeconds = 60000.
[4]: MilliSeconds = 120000.
[5]: MilliSeconds = 7200000.
[6]: MilliSeconds = 60000.
[7]: MilliSeconds = 7200000.
[8]: MilliSeconds = 120000.
[9]: MilliSeconds = 7200000.
[10]: MilliSeconds = 7200000.
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号