VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:32
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:28d175b53e6771638d106fc640c0a7cf
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:1.0.0.0---1.00
ข้อมูลเชลล์หรือคอมไพเลอร์:PACKER:PECompact 2.x -> Jeremy Collake
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\userinit.exe, CmdLine = C:\WINDOWS\system32\userinit.exe
ImagePath = C:\WINDOWS\system32\Regsvr32.exe, CmdLine = Regsvr32 C:\WINDOWS\system32\MSWINSCK.OCX /s
ImagePath = C:\WINDOWS\system32\system.exe, CmdLine = C:\WINDOWS\system32\system.exe
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\userinit.exe, CmdLine = C:\WINDOWS\userinit.exe
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\1459100484.466416.exe
C:\Documents and Settings\Administrator\Local Settings\%temp%\1459100484.466743.exe
C:\WINDOWS\userinit.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\SYSTEM.EXE
คำอธิบายพฤติกรรม:进程退出
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF4771.tmp
C:\WINDOWS\userinit.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\~DF58A2.tmp
C:\WINDOWS\system32\MSWINSCK.OCX
C:\WINDOWS\kdcoms.dll
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe
C:\WINDOWS\system32\MSWINSCK.OCX
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\WINDOWS
FileName = C:\WINDOWS\userinit.exe
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\userinit.exe
FileName = C:\WINDOWS\system32\Regsvr32.exe
FileName = C:\WINDOWS\system32\regsvr32.exe
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\*.*
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\*.*
FileName = *.*
FileName = C:\WINDOWS\system32\SYSTEM.EXE
FileName = C:\WINDOWS\system32\task.exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF4771.tmp
C:\WINDOWS\system32\task.exe
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe ---> Offset = 0
C:\WINDOWS\userinit.exe ---> Offset = 65024
C:\WINDOWS\system32\MSWINSCK.OCX ---> Offset = 0
C:\WINDOWS\kdcoms.dll ---> Offset = 0
C:\WINDOWS\kdcoms.dll ---> Offset = 36
C:\WINDOWS\kdcoms.dll ---> Offset = 70
C:\WINDOWS\kdcoms.dll ---> Offset = 106
C:\WINDOWS\kdcoms.dll ---> Offset = 128
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:URL: scsm.ath.cx, IP: <FAKE_SERVER_IP>:6999, SOCKET = 0x000001dc
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:gethostbyname: scsm.ath.cx
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:删除注册表键
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32\ThreadingModel
\REGISTRY\MACHINE\SOFTWARE\Classes\MSWinsock.Winsock\
\REGISTRY\MACHINE\SOFTWARE\Classes\MSWinsock.Winsock\CLSID\
\REGISTRY\MACHINE\SOFTWARE\Classes\MSWinsock.Winsock\CurVer\
\REGISTRY\MACHINE\SOFTWARE\Classes\MSWinsock.Winsock.1\
\REGISTRY\MACHINE\SOFTWARE\Classes\MSWinsock.Winsock.1\CLSID\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\VersionIndependentProgID\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ProgID\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\TypeLib\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\Version\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\1\
\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ToolboxBitmap32\
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32\ThreadingModel
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
SHIMLIB_LOG_MUTEX
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 3664, Hwnd=0x302a2, Text = C:\WINDOWS\system32\system.exe, ClassName = ConsoleWindowClass.
Pid = 3236, Hwnd=0x102de, Text = C:\WINDOWS\system32\userinit.exe, ClassName = ConsoleWindowClass.
Pid = 3352, Hwnd=0x402a2, Text = C:\WINDOWS\system32\system.exe, ClassName = ConsoleWindowClass.
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe(签名验证: 未通过)
C:\WINDOWS\system32\MSWINSCK.OCX(签名验证: 通过)
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [thanhminh,ThunderRT6Main]
[Window,Class] = [,ComboLBox]
[Window,Class] = [,ThunderRT6CheckBox]
[Window,Class] = [Worm,ThunderRT6FormDC]
[Window,Class] = [,ThunderRT6UserControlDC]
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\userinit.exe ---> 28d175b53e6771638d106fc640c0a7cf
C:\WINDOWS\system32\MSWINSCK.OCX ---> 9484c04258830aa3c2f2a70eb041414c
คำอธิบายพฤติกรรม:程序异常崩溃信息
สำหรับข้อมูลเพิ่มเติม:EAX=0x00000000, EBX=0x7FFD5000, ECX=0x0012FFB0, EDX=0x7C92E4F4,ESI=0x00000045, EDI=0x7C930202, EBP=0x0012FFF0, ESP=0x0012FFBC,EIP=0x00401196, ExceptionCode=0xC0000005(ACCESS_VIOLATION),ExceptionModule=C:\Documents and Settings\Administrator\Local Settings\Te Disassembly:
คำอธิบายพฤติกรรม:加载新释放的文件
สำหรับข้อมูลเพิ่มเติม:Image: C:\WINDOWS\system32\MSWINSCK.OCX.
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号