VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:12
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:65c2668b3c9de378646c5e0d989492d0
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:6.0.65.0
ข้อมูลเชลล์หรือคอมไพเลอร์:
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\ARPPRODUCTICON.exe---> Offset = 208896
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut1_EDD4ABB1C1B34A9D84CE33FBFB5D3639.exe---> Offset = 253952
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut2_E88611396FF84AFCB2EE5C1594058E02.exe---> Offset = 208896
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut311_0951773981FA4AB2BC21B7DCEC95892A.exe---> Offset = 253952
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut31_2F252077BA3F4362913955273A708467.exe---> Offset = 253952
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = svchost.exe, WriteAddress = 0x20070000, Size = 73728
TargetProcess = svchost.exe, WriteAddress = 0x00020000, Size = 563
TargetProcess = svchost.exe, WriteAddress = 0x00030000, Size = 223
TargetProcess = svchost.exe, WriteAddress = 0x00040000, Size = 165
TargetProcess = svchost.exe, WriteAddress = 0x00050000, Size = 312
TargetProcess = svchost.exe, WriteAddress = 0x01002509, Size = 12
TargetProcess = svchost.exe, WriteAddress = 0x20070000, Size = 45056
TargetProcess = System, WriteAddress = 0x20080000, Size = 45056
TargetProcess = smss.exe, WriteAddress = 0x20080000, Size = 45056
C:\WINDOWS\system32\smss.exe
TargetProcess = smss.exe, WriteAddress = 0x00300000, Size = 563
TargetProcess = smss.exe, WriteAddress = 0x00310000, Size = 223
TargetProcess = smss.exe, WriteAddress = 0x00320000, Size = 48
TargetProcess = smss.exe, WriteAddress = 0x00330000, Size = 132
TargetProcess = csrss.exe, WriteAddress = 0x20080000, Size = 45056
คำอธิบายพฤติกรรม:在系统目录释放敏感文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\RECYCLER\S-7-1-78-8817886620-3250767845-146773528-1424\HBoaEsVb.cpl
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
[Window,Class] = [,BrowserFrameGripperClass]
[Window,Class] = [Windows Internet Explorer,IEFrame]
[Window,Class] = [缩放级别,ToolbarWindow32]
[Window,Class] = [,msctls_progress32]
คำอธิบายพฤติกรรม:插入APC(异步过程调用)
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Internet Explorer\iexplore.exe
C:\%temp%\1419413206.375563.exe
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
C:\WINDOWS\system32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\%temp%\1419413177.032717.exe
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\arpproducticon.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut1_edd4abb1c1b34a9d84ce33fbfb5d3639.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut2_e88611396ff84afcb2ee5c1594058e02.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut311_0951773981fa4ab2bc21b7dcec95892a.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut31_2f252077ba3f4362913955273a708467.exe
\device\harddiskvolume1\documents and settings\administrator\application data\sogouexplorer\extension\com.sogou.snaptaker\0.4.2\npprintscreen.dll
คำอธิบายพฤติกรรม:跨进程写代码段数据
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\svchost.exe, WriteAddress = 0x01002509, EntryPoint = 0x01002509
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Administrator\IECompatCache
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:google.com
rterybrstutnrsbberve.com
wpad
www.yixun.com
erwbtkidthetcwerc.com
rvbwtbeitwjeitv.com
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = c:\program files\internet explorer\iexplore.exe, CmdLine = "c:\program files\internet explorer\iexplore.exe" http://www.yixun.com/
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\WINDOWS\system32\svchost.exe, CmdLine = C:\WINDOWS\system32\svchost.exe
ImagePath = C:\Program Files\Internet Explorer\IEXPLORE.EXE, CmdLine = "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.yixun.com/
ImagePath = C:\Program Files\Internet Explorer\IEXPLORE.EXE, CmdLine = "C:\Program Files\Internet Explorer\IEXPLORE.EXE" SCODEF:2796 CREDAT:79873
ImagePath = C:\%temp%\1419413001.857976.exe, CmdLine = C:\%temp%\1419413001.857976.exe -d
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = C:\Program Files\Microsoft\WaterMark.exe, CmdLine = "C:\Program Files\Microsoft\WaterMark.exe"
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = svchost.exe, WriteAddress = 0x20070000, Size = 73728
TargetProcess = svchost.exe, WriteAddress = 0x00020000, Size = 563
TargetProcess = svchost.exe, WriteAddress = 0x00030000, Size = 223
TargetProcess = svchost.exe, WriteAddress = 0x00040000, Size = 165
TargetProcess = svchost.exe, WriteAddress = 0x00050000, Size = 312
TargetProcess = svchost.exe, WriteAddress = 0x01002509, Size = 12
TargetProcess = svchost.exe, WriteAddress = 0x20070000, Size = 45056
TargetProcess = System, WriteAddress = 0x20080000, Size = 45056
TargetProcess = smss.exe, WriteAddress = 0x20080000, Size = 45056
C:\WINDOWS\system32\smss.exe
TargetProcess = smss.exe, WriteAddress = 0x00300000, Size = 563
TargetProcess = smss.exe, WriteAddress = 0x00310000, Size = 223
TargetProcess = smss.exe, WriteAddress = 0x00320000, Size = 48
TargetProcess = smss.exe, WriteAddress = 0x00330000, Size = 132
TargetProcess = csrss.exe, WriteAddress = 0x20080000, Size = 45056
คำอธิบายพฤติกรรม:创建远程线程
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
C:\WINDOWS\system32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\Bin\QQ.exe
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\%temp%\1419413177.032717.exe
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:跨进程写代码段数据
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\svchost.exe, WriteAddress = 0x01002509, EntryPoint = 0x01002509
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\ARPPRODUCTICON.exe---> Offset = 208896
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut1_EDD4ABB1C1B34A9D84CE33FBFB5D3639.exe---> Offset = 253952
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut2_E88611396FF84AFCB2EE5C1594058E02.exe---> Offset = 208896
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut311_0951773981FA4AB2BC21B7DCEC95892A.exe---> Offset = 253952
C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut31_2F252077BA3F4362913955273A708467.exe---> Offset = 253952
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft\WaterMark.exe
C:\WINDOWS\RECYCLER\S-7-1-78-8817886620-3250767845-146773528-1424\qHLNxHvw.exe
C:\WINDOWS\RECYCLER\S-7-1-78-8817886620-3250767845-146773528-1424\HBoaEsVb.cpl
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\arpproducticon.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut1_edd4abb1c1b34a9d84ce33fbfb5d3639.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut2_e88611396ff84afcb2ee5c1594058e02.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut311_0951773981fa4ab2bc21b7dcec95892a.exe
\device\harddiskvolume1\documents and settings\administrator\application data\microsoft\installer\{052cfb79-9d62-42e3-8a15-de66c2c97c3e}\newshortcut31_2f252077ba3f4362913955273a708467.exe
\device\harddiskvolume1\documents and settings\administrator\application data\sogouexplorer\extension\com.sogou.snaptaker\0.4.2\npprintscreen.dll
คำอธิบายพฤติกรรม:在系统目录释放敏感文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\RECYCLER\S-7-1-78-8817886620-3250767845-146773528-1424\HBoaEsVb.cpl
คำอธิบายพฤติกรรม:修改原系统的可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension\com.sogou.snapTaker\0.4.2\npprintscreen.dll---> Offset = 524288
คำอธิบายพฤติกรรม:写权限映射文件
สำหรับข้อมูลเพิ่มเติม:{2872B863-CECA-E562-CC5C-4F1A2BD10E1C}
\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\ARPPRODUCTICON.exe
\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut1_EDD4ABB1C1B34A9D84CE33FBFB5D3639.exe
\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut2_E88611396FF84AFCB2EE5C1594058E02.exe
\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut311_0951773981FA4AB2BC21B7DCEC95892A.exe
\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut31_2F252077BA3F4362913955273A708467.exe
Local\UrlZonesSM_Administrator
\WINDOWS\system32\zh-cn\ieframe.dll.mui
Internet Explorer Immutable Application State (00000AEC-0000-0000-0000-000000000000)
Local\SqmData_IESQM-2796_S-1-5-21-1482476501-1645522239-1417001333-500
ie_lcie_main_aec
Isolation Process Registry (6E11F7BF-8B4E-11E4-B5D3-000C2938259F)
Isolation Signal Registry (6E11F7BF-8B4E-11E4-B5D3-000C2938259F, 0)
ie_lcie_LogonMedium
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Administrator\IECompatCache
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\dmlconf.dat---> Offset = 0
C:\WINDOWS\autorun.inf---> Offset = 8080
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\dnserrordiagoff[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\ErrorPageTemplate[1]---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension\com.sogou.privateSurf\0.0.0.1\backgroundpage.html---> Offset = 291483
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6P4O8QNJ\errorPageStrings[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6TLOMATB\httpErrorPagesScripts[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\noConnect[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\bullet[2]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\background_gradient[2]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\down[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\favcenter[2]---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension\com.sogou.quicklink\0.0.0.1\backgroundpage.html---> Offset = 289506
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\tools[1]---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension\com.sogou.quicklink\0.0.0.1\popup.html---> Offset = 328178
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:发送一个已连接的套接字数据
สำหรับข้อมูลเพิ่มเติม:SOCKET = 0x000000cc, TotalSize = 6, Offset = 0, ReadSize = 6.
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:91.220.62.30:443
219.133.40.1:80
219.133.40.1:443
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:URLDownloadToFileW: http://www.live.com/favicon.ico ---> C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:google.com
rterybrstutnrsbberve.com
wpad
www.yixun.com
erwbtkidthetcwerc.com
rvbwtbeitwjeitv.com
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:删除注册表键
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\LanguageProfile\0x00000000\{63800dac-e7ca-4df9-9a5c-20765055488d}
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\LanguageProfile\0x00000000
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\LanguageProfile
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SAM\SAM\Domains\Account\Users\000001F4\F
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\SessionInformation\ProgramCount
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\X\BaseClass
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Internet Explorer\SQM\PIDs\PID_2796
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Internet Explorer\Recovery\Active\{6E11F7C2-8B4E-11E4-B5D3-000C2938259F}
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\LanguageProfile\0x00000000\{63800dac-e7ca-4df9-9a5c-20765055488d}\Enable
\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32\
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\iexplore\Count
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\iexplore\Time
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\iexplore\LoadTime
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\iexplore\LoadTimeCount
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\FaviconPath
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Internet Explorer\LinksBar\ItemCache\0\Expiration
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Internet Explorer\LinksBar\ItemCache\1\Expiration
คำอธิบายพฤติกรรม:删除注册表键值_IE连接设置
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建驱动文件镜像
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\fastfat.sys
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:{2872BAEB-CECA-E562-CC5C-4F1A2BD10E1C}
SHIMLIB_LOG_MUTEX
{2872C6F9-CECA-E562-CC5C-4F1A2C650E1C}
{2872C6F9-CECA-E562-CC5C-4F1A34290E1C}
{2872C0E2-CECA-E562-CC5C-4F1A2BD10E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2BD10E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2BD50E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2DE50E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E210E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E210E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E390E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E390E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E6D0E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E6D0E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E790E1C}
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
[Window,Class] = [,BrowserFrameGripperClass]
[Window,Class] = [Windows Internet Explorer,IEFrame]
[Window,Class] = [缩放级别,ToolbarWindow32]
[Window,Class] = [,msctls_progress32]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TXGuiFoundation,QQ2013]
NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,OP_2269840561]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [MS_AutodialMonitor,]
NtUserFindWindowEx: [Class,Window] = [MS_WebCheckMonitor,]
NtUserFindWindowEx: [Class,Window] = [Static,]
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
SE_AUDIT_PRIVILEGE
SE_CHANGE_NOTIFY_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:插入APC(异步过程调用)
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Internet Explorer\iexplore.exe
C:\%temp%\1419413206.375563.exe
คำอธิบายพฤติกรรม:内联HOOK
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\ntdll.dll--->ZwWriteVirtualMemory Offset = 0x0
C:\WINDOWS\system32\ntdll.dll--->NtResumeThread Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->sendto Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->recvfrom Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSASend Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSASendTo Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSARecvFrom Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->closesocket Offset = 0x0
C:\WINDOWS\system32\ntdll.dll--->LdrLoadDll Offset = 0x0
c:\windows\system32\WS2_32.dll--->sendto Offset = 0x0
c:\windows\system32\WS2_32.dll--->recvfrom Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSASend Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSASendTo Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSARecvFrom Offset = 0x0
c:\windows\system32\WS2_32.dll--->closesocket Offset = 0x0
ผิดพลาดผิดปกติ
คำอธิบายพฤติกรรม:创建驱动文件镜像
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\drivers\fastfat.sys
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:{2872BAEB-CECA-E562-CC5C-4F1A2BD10E1C}
SHIMLIB_LOG_MUTEX
{2872C6F9-CECA-E562-CC5C-4F1A2C650E1C}
{2872C6F9-CECA-E562-CC5C-4F1A34290E1C}
{2872C0E2-CECA-E562-CC5C-4F1A2BD10E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2BD10E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2BD50E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2DE50E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E210E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E210E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E390E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E390E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E6D0E1C}
{2872C6F9-CECA-E562-CC5C-4F1A2E6D0E1C}
{2872CC2C-CECA-E562-CC5C-4F1A2E790E1C}
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [QQ2013,TXGuiFoundation]
[Window,Class] = [OP_2269840561,CTXOPConntion_Class]
[Window,Class] = [,BrowserFrameGripperClass]
[Window,Class] = [Windows Internet Explorer,IEFrame]
[Window,Class] = [缩放级别,ToolbarWindow32]
[Window,Class] = [,msctls_progress32]
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [TXGuiFoundation,QQ2013]
NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,OP_2269840561]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
NtUserFindWindowEx: [Class,Window] = [MS_AutodialMonitor,]
NtUserFindWindowEx: [Class,Window] = [MS_WebCheckMonitor,]
NtUserFindWindowEx: [Class,Window] = [Static,]
คำอธิบายพฤติกรรม:获取系统权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
SE_AUDIT_PRIVILEGE
SE_CHANGE_NOTIFY_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:插入APC(异步过程调用)
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Internet Explorer\iexplore.exe
C:\%temp%\1419413206.375563.exe
คำอธิบายพฤติกรรม:内联HOOK
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\ntdll.dll--->ZwWriteVirtualMemory Offset = 0x0
C:\WINDOWS\system32\ntdll.dll--->NtResumeThread Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->sendto Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->recvfrom Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSASend Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSASendTo Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->WSARecvFrom Offset = 0x0
C:\WINDOWS\system32\WS2_32.dll--->closesocket Offset = 0x0
C:\WINDOWS\system32\ntdll.dll--->LdrLoadDll Offset = 0x0
c:\windows\system32\WS2_32.dll--->sendto Offset = 0x0
c:\windows\system32\WS2_32.dll--->recvfrom Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSASend Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSASendTo Offset = 0x0
c:\windows\system32\WS2_32.dll--->WSARecvFrom Offset = 0x0
c:\windows\system32\WS2_32.dll--->closesocket Offset = 0x0
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号