VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load

VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

   ข้อมูลไฟล์

รายงานการสแกนหลายเครื่องของ Virscan.org
รายงานการวิเคราะห์พฤติกรรม:         การวิเคราะห์ไฟล์ Habo

ข้อมูลพื้นฐาน

MD5:5f4d52189ad02e38169d4c3a6a267577
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
ชื่อแพ็กเกจ:
สภาพแวดล้อมการทำงานขั้นต่ำ:
ลิขสิทธิ์:

พฤติกรรมที่สำคัญ

คำอธิบายพฤติกรรม: 检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies

พฤติกรรมกระบวนการ

คำอธิบายพฤติกรรม: 创建本地线程
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 枚举进程
สำหรับข้อมูลเพิ่มเติม: N/A

พฤติกรรมของไฟล์

คำอธิบายพฤติกรรม: 创建文件
สำหรับข้อมูลเพิ่มเติม: C:\kss.ini
คำอธิบายพฤติกรรม: 设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม: 修改文件内容
สำหรับข้อมูลเพิ่มเติม: C:\kss.ini---> Offset = 0
คำอธิบายพฤติกรรม: 查找文件
สำหรับข้อมูลเพิ่มเติม: FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\WINDOWS\system32\Ras\*.pbk
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = c:\windows\system32\drivers\etc\hosts

พฤติกรรมเครือข่าย

คำอธิบายพฤติกรรม: 连接指定站点
สำหรับข้อมูลเพิ่มเติม: InternetConnectA: ServerName = www.933003.com, PORT = 80
InternetConnectA: ServerName = www.slzaqfh.com, PORT = 80
InternetConnectA: ServerName = vv9.hphu.com, PORT = 8081
คำอธิบายพฤติกรรม: 建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม: 127.0.0.1:1031
คำอธิบายพฤติกรรม: 读取网络文件
สำหรับข้อมูลเพิ่มเติม: hFile = 0x0000049c, BytesToRead =10240, BytesRead = 10240.
คำอธิบายพฤติกรรม: 打开HTTP请求
สำหรับข้อมูลเพิ่มเติม: HttpOpenRequestA: www.933003.com:80/slzka0/, hConnect = 0x0000049c
HttpOpenRequestA: www.slzaqfh.com:80/slzkai, hConnect = 0x0000048c
HttpOpenRequestA: vv9.hphu.com:8081/kss_api/io.php?a=uplog&apiver=905&c=0&gdata=1&softcode=1001001&&lgid=0&f=&x=51122487828, hConnect = 0x00000454

ลักษณะการทำงานของรีจิสทรี

คำอธิบายพฤติกรรม: 修改注册表
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\USER\S-*\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x973x16(565 0)
\REGISTRY\USER\S-*\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\%temp%\1449203736.482690.exe
\REGISTRY\USER\S-*\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING\%temp%\1449203736.486366.exe
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
คำอธิบายพฤติกรรม: 删除注册表键
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
คำอธิบายพฤติกรรม: 删除注册表键值_IE连接设置
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
คำอธิบายพฤติกรรม: 删除注册表键值
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot

พฤติกรรมอื่น ๆ

คำอธิบายพฤติกรรม: 创建事件对象
สำหรับข้อมูลเพิ่มเติม: EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
คำอธิบายพฤติกรรม: 创建互斥体
สำหรับข้อมูลเพิ่มเติม: RasPbFile
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
ini_read_write
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
คำอธิบายพฤติกรรม: 隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม: [Window,Class] = [<,AfxWnd42s]
[Window,Class] = [>,AfxWnd42s]
[Window,Class] = [,Edit]
[Window,Class] = [注册,Button]
[Window,Class] = [充值,Button]
[Window,Class] = [确定,Button]
[Window,Class] = [,Afx:400000:8:10011:1900015:0]
[Window,Class] = [用户账号:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [登陆密码:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [安全密码:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [充值卡号:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [购买充值卡之前,建议查询代理是否授权,以防被骗,Afx:400000:b:10011:1900015:0]
[Window,Class] = [用户帐号:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [预留信息:,Afx:400000:b:10011:1900015:0]
[Window,Class] = [修改登陆密码,忽略预留信息即可,Afx:400000:b:10011:1900015:0]
คำอธิบายพฤติกรรม: 检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม: N/A