VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:73
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:5700aca7a12e8213e319dbf58e8537cc
ประเภทไฟล์:zip
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Microsoft Visual C++ 6.0 [ZIP SFX]
ข้อมูลย่อย:sfx.ini / ef3d739accc2327a6c2a2398ad941f8f / Unknown
ss5.exe / 5d579fa91d83c2b5db47db6f257a0d3b / EXE
ss5.jpg / e3d6e392eb87fcede5f222de5a47b481 / Unknown
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\rundll32.exe, CmdLine = "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\Extracted\ss5.jpg
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\Extracted\ss5.exe, CmdLine = "C:\Extracted\ss5.exe"
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
Local\UrlZonesSM_Administrator
Global\Cor_Private_IPCBlock_v4_2788
Global\Cor_SxSPublic_IPCBlock_2788
MSCTF.MarshalInterface.FileMap.IOK..IPKFF
MSCTF.MarshalInterface.FileMap.IOK.B.IPKFF
MSCTF.MarshalInterface.FileMap.IOK.C.IPKFF
MSCTF.MarshalInterface.FileMap.IOK.D.IPKFF
MSCTF.MarshalInterface.FileMap.IOK.E.IPKFF
MSCTF.MarshalInterface.FileMap.IOK.F.IPKFF
MSCTF.MarshalInterface.FileMap.IOK.G.IPKFF
Global\NLS_CodePage_936_3_2_0_0
MSCTF.Shared.SFM.IOK
\WINDOWS\system32\zh-cn\ieframe.dll.mui
MSCTF.MarshalInterface.FileMap.ENP..OHBHF
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Extracted\ss5.exe
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sfx.ini---> Offset = 0
C:\Extracted\ss5.jpg---> Offset = 6144
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Extracted\ss5.exe
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\shimgvw.dll
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.IOK
SHIMLIB_LOG_MUTEX
MSCTF.Shared.MUTEX.ENP
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [ShImgVw:CPreviewWnd,]
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 2788, Hwnd=0x20358, Text = 确定, ClassName = Button.
Pid = 2788, Hwnd=0x20356, Text = This assembly is protected by an unregistered version of Eziriz"s ".NET Reactor"!, ClassName = Static.
Pid = 2788, Hwnd=0x30358, Text = 确定, ClassName = Button.
Pid = 2788, Hwnd=0x3035a, Text = The magic number in GZip header is not correct. Make sure you are passing in a GZip stream., ClassName = Static.
Pid = 2788, Hwnd=0x3035c, Text = 11, ClassName = #32770.
Pid = 4048, Hwnd=0x40356, Text = ss5.jpg - Windows 图片和传真查看器, ClassName = ShImgVw:CPreviewWnd.
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม:打开图片文件
สำหรับข้อมูลเพิ่มเติม:ss5.jpg
\Extracted\ss5.jpg
ผิดพลาดผิดปกติ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.IOK
SHIMLIB_LOG_MUTEX
MSCTF.Shared.MUTEX.ENP
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [ShImgVw:CPreviewWnd,]
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 2788, Hwnd=0x20358, Text = 确定, ClassName = Button.
Pid = 2788, Hwnd=0x20356, Text = This assembly is protected by an unregistered version of Eziriz"s ".NET Reactor"!, ClassName = Static.
Pid = 2788, Hwnd=0x30358, Text = 确定, ClassName = Button.
Pid = 2788, Hwnd=0x3035a, Text = The magic number in GZip header is not correct. Make sure you are passing in a GZip stream., ClassName = Static.
Pid = 2788, Hwnd=0x3035c, Text = 11, ClassName = #32770.
Pid = 4048, Hwnd=0x40356, Text = ss5.jpg - Windows 图片和传真查看器, ClassName = ShImgVw:CPreviewWnd.
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม:打开图片文件
สำหรับข้อมูลเพิ่มเติม:ss5.jpg
\Extracted\ss5.jpg
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号