VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:55
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:79bb373c3894584dc0e920ff9b9d0f85
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *
ข้อมูลย่อย:Window.exe / f984da6f024197c8670f3d52a2da2d62 / EXE
KMSpico_Setup.exe / 03f8dfcff33786745a9dec90d72c4372 / EXE
00.exe / b67d21d0bc1d6d4dbe44f53065f251a8 / EXE
s.vbs / b416668d9b2018856c9011b5ce691b7a / Unknown
windows.bat / 7daa4c7077f65f86c06329c3bef2e812 / Unknown
config.json / 0ea49ad20dc9aac146acad00bd648cf8 / Unknown
ink.vbs / 241a1b066466156f6bed7d8f3eae334a / Unknown
x.vbs / acf2f6016d857ea6614d91d2c732e287 / Unknown
system32.vbs / d91f8a994e797f1e3f062ede06861b43 / Unknown
ex.bat / 8d39c755904136e0fe3cecd14cf27425 / Unknown
windows.vbs / deb0cc478e8b9b553bde511e2eab361b / Unknown
ex.vbs / 4aae4dc4b1a524e29040e03d38ff9cf3 / Unknown
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040000, Size = 0x00000020 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040020, Size = 0x00000034 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x7ffd5238, Size = 0x00000004 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040000, Size = 0x00000020 TargetPID = 0x000005f8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040020, Size = 0x00000034 TargetPID = 0x000005f8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004 TargetPID = 0x000005f8
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00150000, Size = 0x000005dc TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x7ffd31e8, Size = 0x00000004 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00160000, Size = 0x00000020 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00160020, Size = 0x00000034 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x7ffd3238, Size = 0x00000004 TargetPID = 0x00000bdc
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00150000, Size = 0x000005dc TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x7ffd71e8, Size = 0x00000004 TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00160000, Size = 0x00000020 TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00160020, Size = 0x00000034 TargetPID = 0x00000634
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Local\Microsoft\Windows\Burn\Burn
คำอธิบายพฤติกรรม:查询注册表_检测虚拟机相关
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions\DisplayName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions\UninstallString
คำอธิบายพฤติกรรม:设置启动项
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.lnk
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x000a02fa, Text = Setup, ClassName = TWizardForm.
hWnd = 0x000b01ee, Text = Setup - KMSpico, ClassName = TMainForm.
hWnd = 0x000b0190, Text = Setup, ClassName = TApplication.
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Windows\s.vbs
C:\Windows\system32.vbs
C:\Windows\Window.exe
C:\Windows\windows.bat
C:\Windows\windows.vbs
C:\Windows\x.vbs
C:\Windows\00.exe
C:\Windows\ex.bat
C:\Windows\ex.vbs
C:\Windows\ink.vbs
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceExA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 1173581, SleepMilliseconds = 50.
TickCount = 1173643, SleepMilliseconds = 50.
TickCount = 1173706, SleepMilliseconds = 50.
TickCount = 1173768, SleepMilliseconds = 50.
TickCount = 1173831, SleepMilliseconds = 50.
TickCount = 1173893, SleepMilliseconds = 50.
TickCount = 1173956, SleepMilliseconds = 50.
TickCount = 1174018, SleepMilliseconds = 50.
TickCount = 1174081, SleepMilliseconds = 50.
TickCount = 1174143, SleepMilliseconds = 50.
TickCount = 1174206, SleepMilliseconds = 50.
TickCount = 1174268, SleepMilliseconds = 50.
TickCount = 1174331, SleepMilliseconds = 50.
TickCount = 1174393, SleepMilliseconds = 50.
TickCount = 1174456, SleepMilliseconds = 50.
คำอธิบายพฤติกรรม:直接获取CPU时钟
สำหรับข้อมูลเพิ่มเติม:EAX = 0xd80dd542, EDX = 0x0000039e
EAX = 0xdd48a3fb, EDX = 0x0000039e
EAX = 0xdffba377, EDX = 0x0000039e
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\windows
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:跨进程写入数据
สำหรับข้อมูลเพิ่มเติม:TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040000, Size = 0x00000020 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040020, Size = 0x00000034 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x7ffd5238, Size = 0x00000004 TargetPID = 0x000006a8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040000, Size = 0x00000020 TargetPID = 0x000005f8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x00040020, Size = 0x00000034 TargetPID = 0x000005f8
TargetProcess = C:\Windows\System32\wscript.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004 TargetPID = 0x000005f8
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00150000, Size = 0x000005dc TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x7ffd31e8, Size = 0x00000004 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00160000, Size = 0x00000020 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x00160020, Size = 0x00000034 TargetPID = 0x00000bdc
TargetProcess = C:\Windows\KMSpico_Setup.exe, WriteAddress = 0x7ffd3238, Size = 0x00000004 TargetPID = 0x00000bdc
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00150000, Size = 0x000005dc TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x7ffd71e8, Size = 0x00000004 TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00160000, Size = 0x00000020 TargetPID = 0x00000634
TargetProcess = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, WriteAddress = 0x00160020, Size = 0x00000034 TargetPID = 0x00000634
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000bdc]ImagePath = C:\Windows\KMSpico_Setup.exe, CmdLine = "C:\windows\KMSpico_Setup.exe"
[0x00000634]ImagePath = C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp, CmdLine = "C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp" /SL5="$1201E8,2636769,69120,C:\windows\KMSpico_Setup.exe"
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x000006a8]ImagePath = C:\Windows\System32\wscript.exe, CmdLine = "C:\Windows\System32\WScript.exe" "C:\windows\system32.vbs"
[0x000005f8]ImagePath = C:\Windows\System32\wscript.exe, CmdLine = "C:\Windows\System32\WScript.exe" "C:\windows\ink.vbs"
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Windows\__tmp_rar_sfx_access_check_1107000
C:\Windows\s.vbs
C:\Windows\system32.vbs
C:\Windows\Window.exe
C:\Windows\windows.bat
C:\Windows\windows.vbs
C:\Windows\x.vbs
C:\Windows\00.exe
C:\Windows\config.json
C:\Windows\ex.bat
C:\Windows\ex.vbs
C:\Windows\ink.vbs
C:\Windows\KMSpico_Setup.exe
C:\Users\Administrator\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp
C:\Users\Administrator\AppData\Local\Temp\Setup Log 2019-04-30 #001.txt
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Windows\Window.exe
C:\Windows\00.exe
C:\Windows\KMSpico_Setup.exe
C:\Users\Administrator\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp
C:\Users\Administrator\AppData\Local\Temp\is-CHTGQ.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Windows\__tmp_rar_sfx_access_check_1107000
C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012017110320171104\index.dat
C:\Users\Administrator\AppData\Local\Temp\is-CHTGQ.tmp\_isetup\_shfoldr.dll
C:\Users\Administrator\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp
คำอธิบายพฤติกรรม:修改脚本文件
สำหรับข้อมูลเพิ่มเติม:C:\Windows\s.vbs ---> Offset = 0
C:\Windows\s.vbs ---> Offset = 65536
C:\Windows\s.vbs ---> Offset = 131072
C:\Windows\system32.vbs ---> Offset = 0
C:\Windows\windows.bat ---> Offset = 0
C:\Windows\windows.bat ---> Offset = 65536
C:\Windows\windows.bat ---> Offset = 131072
C:\Windows\windows.vbs ---> Offset = 0
C:\Windows\x.vbs ---> Offset = 0
C:\Windows\ex.bat ---> Offset = 0
C:\Windows\ex.vbs ---> Offset = 0
C:\Windows\ink.vbs ---> Offset = 0
คำอธิบายพฤติกรรม:覆盖已有文件
สำหรับข้อมูลเพิ่มเติม:C:\Windows\Prefetch\TASKHOST.EXE-7238F31D.pf
C:\Windows\Prefetch\SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf
C:\Windows\Prefetch\SEARCHFILTERHOST.EXE-77482212.pf
C:\Windows\Prefetch\IEXPLORE.EXE-908C99F8.pf
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe
FileName = C:\Users\Administrator\AppData\Local\%temp%\b70c.z01
FileName = \\?\C:\Users\Administrator\AppData\Local\%temp%\b70c.z01
FileName = s.vbs
FileName = \\?\C:\windows\s.vbs
FileName = system32.vbs
FileName = \\?\C:\windows\system32.vbs
FileName = Window.exe
FileName = \\?\C:\windows\Window.exe
FileName = windows.bat
FileName = \\?\C:\windows\windows.bat
FileName = windows.vbs
FileName = \\?\C:\windows\windows.vbs
FileName = x.vbs
FileName = \\?\C:\windows\x.vbs
คำอธิบายพฤติกรรม:设置启动项
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.lnk
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Windows\s.vbs
C:\Windows\system32.vbs
C:\Windows\Window.exe
C:\Windows\windows.bat
C:\Windows\windows.vbs
C:\Windows\x.vbs
C:\Windows\00.exe
C:\Windows\ex.bat
C:\Windows\ex.vbs
C:\Windows\ink.vbs
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Users\Administrator\AppData\Local\Microsoft\Windows\Burn\Burn
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Windows\Window.exe ---> Offset = 0
C:\Windows\Window.exe ---> Offset = 65536
C:\Windows\Window.exe ---> Offset = 131072
C:\Windows\Window.exe ---> Offset = 196608
C:\Windows\Window.exe ---> Offset = 262144
C:\Windows\00.exe ---> Offset = 0
C:\Windows\00.exe ---> Offset = 65536
C:\Windows\00.exe ---> Offset = 131072
C:\Windows\00.exe ---> Offset = 196608
C:\Windows\00.exe ---> Offset = 262144
C:\Windows\config.json ---> Offset = 0
C:\Windows\KMSpico_Setup.exe ---> Offset = 0
C:\Windows\KMSpico_Setup.exe ---> Offset = 65536
C:\Windows\KMSpico_Setup.exe ---> Offset = 131072
C:\Windows\KMSpico_Setup.exe ---> Offset = 196608
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\OpenWithProgids\VBSFile
\REGISTRY\USER\S-*_CLASSES\Local Settings\MuiCache\3A\AAF68885\@C:\Windows\System32\wshext.dll,-4511
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\P:\zbavgbe\DD.rkr
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\Owner
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\SessionHash
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\Sequence
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-*\RefCount
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\StagingInfo\Volume{21405768-cb87-11e4-8598-806e6f6e6963}\DriveNumber
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\P:\NanylmrPbageby\NanylmrPbageby.rkr
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\StagingInfo\Volume{21405768-cb87-11e4-8598-806e6f6e6963}\DriveNumber
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Explorer\CD Burning\CD Recorder Drive
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\Sequence
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\SessionHash
\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\Owner
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\windows
คำอธิบายพฤติกรรม:查询注册表_检测虚拟机相关
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions\DisplayName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions\UninstallString
คำอธิบายพฤติกรรม:删除注册表键
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\RestartManager\Session0000\
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม:IsDebuggerPresent
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
Local\RstrMgr3887CAB8-533F-4C85-B0DC-3E5639F8D511
Local\RstrMgr-3887CAB8-533F-4C85-B0DC-3E5639F8D511-Session0000
CDBurnNotify
Global\CDBurnExclusive
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
[Window,Class] = [Pro&curar...,Button]
[Window,Class] = [C:\windows,ComboBox]
[Window,Class] = [Setup,TWizardForm]
[Window,Class] = [Setup - KMSpico,TMainForm]
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 1588, Hwnd=0xd01ac, Text = Welcome to the KMSpico Setup Wizard , ClassName = TNewStaticText.
Pid = 1588, Hwnd=0x11028c, Text = This will install KMSpico on your computer. It is recommended that you close all other applications before continuing. Click Next to continue, or Cancel to exit Setup., ClassName = TNewStaticText.
Pid = 1588, Hwnd=0xe0240, Text = Important: If you like MS Windows and MS Office please buy legal and original this program help to test this products, but rec, ClassName = TRichEditViewer.
Pid = 1588, Hwnd=0xa0180, Text = DirEdit, ClassName = TEdit.
Pid = 1588, Hwnd=0xc0282, Text = &Next >, ClassName = TNewButton.
Pid = 1588, Hwnd=0x1102dc, Text = Cancel, ClassName = TNewButton.
Pid = 1588, Hwnd=0xa02fa, Text = Setup, ClassName = TWizardForm.
Pid = 1588, Hwnd=0xb01ee, Text = Setup - KMSpico, ClassName = TMainForm.
Pid = 1588, Hwnd=0x1502ec, Text = 是(&Y), ClassName = Button.
Pid = 1588, Hwnd=0x1700ce, Text = 否(&N), ClassName = Button.
Pid = 1588, Hwnd=0x70278, Text = Setup is not complete. If you exit now, the program will not be installed. You may run Setup again at another time to complete the installation. Exit Setup?, ClassName = Static.
Pid = 1588, Hwnd=0x100204, Text = Exit Setup, ClassName = #32770.
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:DefaultTabtip-MainUI
Local\MSCTF.Asm.MutexDefault1
CDBurnNotify
Global\CDBurnExclusive
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [EDIT,]
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
\KernelObjects\MaximumCommitCondition
Local\MSCTF.CtfActivated.Default1
Local\MSCTF.AsmCacheReady.Default1
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
MSFT.VSA.COM.DISABLE.1704
MSFT.VSA.IEC.STATUS.6c736db0
MSFT.VSA.COM.DISABLE.1528
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 1173581, SleepMilliseconds = 50.
TickCount = 1173643, SleepMilliseconds = 50.
TickCount = 1173706, SleepMilliseconds = 50.
TickCount = 1173768, SleepMilliseconds = 50.
TickCount = 1173831, SleepMilliseconds = 50.
TickCount = 1173893, SleepMilliseconds = 50.
TickCount = 1173956, SleepMilliseconds = 50.
TickCount = 1174018, SleepMilliseconds = 50.
TickCount = 1174081, SleepMilliseconds = 50.
TickCount = 1174143, SleepMilliseconds = 50.
TickCount = 1174206, SleepMilliseconds = 50.
TickCount = 1174268, SleepMilliseconds = 50.
TickCount = 1174331, SleepMilliseconds = 50.
TickCount = 1174393, SleepMilliseconds = 50.
TickCount = 1174456, SleepMilliseconds = 50.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_AUDIT_PRIVILEGE
SE_SHUTDOWN_PRIVILEGE
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x000a02fa, Text = Setup, ClassName = TWizardForm.
hWnd = 0x000b01ee, Text = Setup - KMSpico, ClassName = TMainForm.
hWnd = 0x000b0190, Text = Setup, ClassName = TApplication.
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceExA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Windows\Window.exe(签名验证: 未通过)
C:\Windows\00.exe(签名验证: 未通过)
C:\Windows\KMSpico_Setup.exe(签名验证: 未通过)
C:\Users\Administrator\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp(签名验证: 未通过)
C:\Users\Administrator\AppData\Local\Temp\is-CHTGQ.tmp\_isetup\_shfoldr.dll(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 50.
[2]: MilliSeconds = 50.
[3]: MilliSeconds = 50.
[4]: MilliSeconds = 50.
[5]: MilliSeconds = 50.
[6]: MilliSeconds = 50.
[7]: MilliSeconds = 50.
[8]: MilliSeconds = 50.
[9]: MilliSeconds = 50.
[10]: MilliSeconds = 50.
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Windows\Window.exe ---> f984da6f024197c8670f3d52a2da2d62
C:\Windows\00.exe ---> b67d21d0bc1d6d4dbe44f53065f251a8
C:\Windows\KMSpico_Setup.exe ---> 03f8dfcff33786745a9dec90d72c4372
C:\Users\Administrator\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp ---> 1778c1f66ff205875a6435a33229ab3c
C:\Users\Administrator\AppData\Local\Temp\is-CHTGQ.tmp\_isetup\_shfoldr.dll ---> 92dc6ef532fbb4a5c3201469a5b5eb63
คำอธิบายพฤติกรรม:直接获取CPU时钟
สำหรับข้อมูลเพิ่มเติม:EAX = 0xd80dd542, EDX = 0x0000039e
EAX = 0xdd48a3fb, EDX = 0x0000039e
EAX = 0xdffba377, EDX = 0x0000039e
คำอธิบายพฤติกรรม:加载新释放的文件
สำหรับข้อมูลเพิ่มเติม:Image: C:\Windows\KMSpico_Setup.exe.
Image: C:\Users\ADMINI~1\AppData\Local\Temp\is-424UK.tmp\KMSpico_Setup.tmp.
Image: C:\Users\ADMINI~1\AppData\Local\Temp\is-CHTGQ.tmp\_isetup\_shfoldr.dll.
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号