VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:55
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:5d31fd2438d0ad4c2c74bca68555dabb
ประเภทไฟล์:Microsoft Office Excel(xls)文档
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Local\Temp\~DFCC0918CDC3156787.TMP
C:\Users\Administrator\AppData\Local\Temp\E726.tmp
C:\Users\Administrator\AppData\Local\Temp\~DFCB1080BF6C10607E.TMP
C:\Users\Administrator\AppData\Local\Temp\VBE755.tmp
C:\Users\Administrator\Documents\VBE756.tmp
C:\Users\Administrator\AppData\Local\Temp\VBE757.tmp
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\A7E01000
C:\Users\Administrator\AppData\Local\Temp\~DFC045561A0D3D82DF.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%\****.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\C9E01000
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls~RF10e9d5.TMP
C:\Users\Administrator\AppData\Local\Temp\~DF22A090B1AF00CC1D.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\XLSTART.LNK
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\StartUp.LNK
คำอธิบายพฤติกรรม:覆盖已有文件
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\Documents\VBE756.tmp
C:\Users\Administrator\AppData\Local\Temp\VBE757.tmp
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Excel11.pip
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Program Files\Common Files\Microsoft Shared\office11
FileName = C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
FileName = C:\Program Files\Common Files\Microsoft Shared\office11\*.*
FileName = C:\Program Files
FileName = C:\Program Files\Microsoft Office
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\*.*
FileName = C:\Program Files\Microsoft Office\OFFICE11\xlstart\*.*
FileName = C:\Users\Administrator\AppData\Local\%temp%\****.xls
FileName = C:\Users\Administrator
FileName = C:\PROGRA~1
FileName = C:\PROGRA~1\COMMON~1
FileName = C:\PROGRA~1\COMMON~1\MICROS~1
FileName = C:\PROGRA~1\COMMON~1\MICROS~1\VBA
FileName = C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6
FileName = C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE6.DLL
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Local\Temp\~DFCC0918CDC3156787.TMP
C:\Users\Administrator\AppData\Local\Temp\E726.tmp
C:\Users\Administrator\AppData\Local\Temp\~DFCB1080BF6C10607E.TMP
C:\Users\Administrator\AppData\Local\Temp\VBE755.tmp
C:\Users\Administrator\AppData\Local\Temp\VBE757.tmp
C:\Users\Administrator\AppData\Local\Temp\~DFC045561A0D3D82DF.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls~RF10e9d5.TMP
C:\Users\Administrator\AppData\Local\Temp\~DF22A090B1AF00CC1D.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\XLSTART.LNK
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\PROGRA~2\MICROS~1\OFFICE\DATA\OPA11.BAK ---> C:\PROGRA~2\MICROS~1\OFFICE\DATA\opa11.dat
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\Documents\VBE756.tmp ---> C:\Users\ADMINI~1\AppData\Local\Temp\VBE755.tmp
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\A7E01000 ---> C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls ---> C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls~RF10e9d5.TMP
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\C9E01000 ---> C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\StartUp.xls
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\Documents\VBE756.tmp ---> Offset = 0
C:\Users\Administrator\Documents\VBE756.tmp ---> Offset = 1024
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\A7E01000 ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\A7E01000 ---> Offset = 4096
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%\****.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 124
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\C9E01000 ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART\C9E01000 ---> Offset = 4096
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\%temp%.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 60
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\XLSTART.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 74
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\StartUp.LNK ---> Offset = 0
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Recent\index.dat ---> Offset = 172
C:\Users\Administrator\AppData\Roaming\Microsoft\Office\Excel11.pip ---> Offset = 0
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\-[
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\EXCELFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\MTTT
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10DE5D\10DE5D
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\ProductFiles
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080110900063D11C8EF10054038389C\Usage\VBAFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Common\ReviewCycle\ReviewToken
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E37D\10E37D
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\Kc
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\ d
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\d
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109110000000000000000F01FEC\Usage\ProductNonBootFiles
\REGISTRY\USER\S-*\Software\Microsoft\Office\Common\Assistant\CurrAsstState
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E7F2\10E7F2
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E9E6\10E9E6
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\-[
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10DE5D\10DE5D
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\Kc
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\ d
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\d
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E7F2\10E7F2
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E37D\10E37D
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E9E6\10E9E6
\REGISTRY\USER\S-*\Software\Microsoft\Office\Common\Assistant\CurrAsstState
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\MTTT
คำอธิบายพฤติกรรม:删除注册表键
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\StartupItems\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10DE5D\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E7F2\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E37D\
\REGISTRY\USER\S-*\Software\Microsoft\Office\11.0\Excel\Resiliency\DocumentRecovery\10E9E6\
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม:IsDebuggerPresent
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Local\Mso97SharedDg19521105606Mutex
Local\Mso97SharedDg19531105606Mutex
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
DBWinMutex
OfficeAssistantStateMutex
Local\SqmSysTray
Local\MU_ACBPIDS08
Local\MU_ACB08
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
[Window,Class] = [,ThunderRT6Main]
[Window,Class] = [Microsoft Excel,XLMAIN]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [MSOBALLOON,]
NtUserFindWindowEx: [Class,Window] = [MsoHelp11,]
NtUserFindWindowEx: [Class,Window] = [AgentAnim,]
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 3680, Hwnd=0xf02dc, Text = 格式, ClassName = MsoCommandBar.
Pid = 3680, Hwnd=0x150138, Text = 常用, ClassName = MsoCommandBar.
Pid = 3680, Hwnd=0x90216, Text = 工作表菜单栏, ClassName = MsoCommandBar.
Pid = 3680, Hwnd=0xe0204, Text = b70c, ClassName = EXCEL7.
Pid = 3680, Hwnd=0xa0190, Text = Microsoft Excel - b70c, ClassName = XLMAIN.
Pid = 3680, Hwnd=0x8020c, Text = 123456, ClassName = ComboBox.
Pid = 3680, Hwnd=0xa0290, Text = 123456, ClassName = Edit.
Pid = 3680, Hwnd=0x1401d2, Text = StartUp, ClassName = EXCEL7.
Pid = 3680, Hwnd=0x9019a, Text = b70c, ClassName = MS-SDIa.
Pid = 3680, Hwnd=0x8020c, Text = 23456, ClassName = ComboBox.
Pid = 3680, Hwnd=0xa0290, Text = 23456, ClassName = Edit.
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:\KernelObjects\MaximumCommitCondition
Global\TermSrvReadyEvent
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
MSFT.VSA.COM.DISABLE.3680
MSFT.VSA.IEC.STATUS.6c736db0
Global\ShutdownMSIDLLv327680.498156650
Global\RestartMSIDLLv327680.498156650
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = OleDfRootBCFEB87AF14B35C9
EventName = OleDfRoot8062885232AFA019
EventName = OleDfRootA8B21DB7BEBBFFB
EventName = OleDfRoot8B904AAE235368DA
EventName = OleDfRootE46FAF8E1D2504E2
EventName = OleDfRoot6250D65AC230F613
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:Local\Mutex_MSOSharedMem
Local\Mso97SharedDg19211105606Mutex
Local\Mso97SharedDg20321105606Mutex
Local\MU_ACBPIDS08
Local\MSCTF.Asm.MutexDefault1
Local\Mso97SharedDg19521105606Mutex
Local\Mso97SharedDg19531105606Mutex
Global\MTX_MSO_Formal1_S-*
Global\MTX_MSO_AdHoc1_S-*
OfficeAssistantStateMutex
Local\SqmSysTray
Local\MU_ACB08
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号