VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:35
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:828f8be1cf6ad5e1345249063919f82d
ประเภทไฟล์:EXE
บริษัท ผลิต:360.cn
เวอร์ชัน:2.0.0.3065---2, 0, 0, 3065
ข้อมูลเชลล์หรือคอมไพเลอร์:PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
ข้อมูลย่อย:upx_c_f5fa4b7ddumpFile / 32e9a2851b981e4fc510423092ebe256 / EXE
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:对比可疑进程名
สำหรับข้อมูลเพิ่มเติม:lstrcmpiA: avp.exe <------> [System Process] Des: 卡巴斯基
lstrcmpiA: avp.exe <------> System Des: 卡巴斯基
lstrcmpiA: avp.exe <------> smss.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> csrss.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> winlogon.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> services.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> lsass.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> HAaxService.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> nrmcthlp.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> svchost.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> spoolsv.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> jqs.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> HLApgradeHelper.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> alg.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> explorer.exe Des: 卡巴斯基
คำอธิบายพฤติกรรม:搜索可疑进程名
สำหรับข้อมูลเพิ่มเติม:strstr: avp.exe <------> Des: 卡巴斯基
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: Rsfzcp upxzieda, C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 233531, SleepMilliseconds = 250.
TickCount = 248328, SleepMilliseconds = 15000.
TickCount = 248343, SleepMilliseconds = 15000.
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000c04]ImagePath = C:\Program Files\Microsoft Ymoaee\Swsekg.exe, CmdLine = "C:\Program Files\Microsoft Ymoaee\Swsekg.exe"
คำอธิบายพฤติกรรม:枚举进程
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2580, ThreadID = 2596, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2580, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 00964210
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3108, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3112, StartAddress = 77C0A341, Parameter = 00963EC0
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3116, StartAddress = 77DC3519, Parameter = 001BE2F8
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3120, StartAddress = 10005CE3, Parameter = 00000000
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3124, StartAddress = 77C0A341, Parameter = 00963FE0
TargetProcess: Swsekg.exe, InheritedFromPID = 652, ProcessID = 3076, ThreadID = 3132, StartAddress = 77C0A341, Parameter = 00963F50
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\233250.bak
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe ---> Offset = 0
C:\Program Files\Microsoft Ymoaee\Swsekg.exe ---> Offset = 65536
C:\Program Files\Microsoft Ymoaee\Swsekg.exe ---> Offset = 131072
C:\Program Files\Microsoft Ymoaee\Swsekg.exe ---> Offset = 4096
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:IP: **.160.52.**:2019, SOCKET = 0x00000108
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Rsfzcp upxzieda\Description
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Rsfzcp upxzieda\Group
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\Rsfzcp upxzieda\InstallTime
\REGISTRY\USER\.DEFAULT\Software\Microsoft\ActiveMovie\devenum\Version
คำอธิบายพฤติกรรม:修改注册表_延迟重命名项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SYSTEM\ControlSet002\Control\Session Manager\PendingFileRenameOperations
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
203.160.52.93:2019:Rsfzcp upxzieda
eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0 - S-1-5-18
คำอธิบายพฤติกรรม:搜索可疑进程名
สำหรับข้อมูลเพิ่มเติม:strstr: avp.exe <------> Des: 卡巴斯基
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = DINPUTWINMM
EventName = Global\crypt32LogoffEvent
คำอธิบายพฤติกรรม:对比可疑进程名
สำหรับข้อมูลเพิ่มเติม:lstrcmpiA: avp.exe <------> [System Process] Des: 卡巴斯基
lstrcmpiA: avp.exe <------> System Des: 卡巴斯基
lstrcmpiA: avp.exe <------> smss.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> csrss.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> winlogon.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> services.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> lsass.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> HAaxService.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> nrmcthlp.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> svchost.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> spoolsv.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> jqs.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> HLApgradeHelper.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> alg.exe Des: 卡巴斯基
lstrcmpiA: avp.exe <------> explorer.exe Des: 卡巴斯基
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [CTXOPConntion_Class,]
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务启动成功]: LocalSystem, Vbpzxx spjyloij, C:\Program Files\Microsoft Ymoaee\Swsekg.exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 233531, SleepMilliseconds = 250.
TickCount = 248328, SleepMilliseconds = 15000.
TickCount = 248343, SleepMilliseconds = 15000.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 15000.
[1]: MilliSeconds = 250.
[2]: MilliSeconds = 0.
[3]: MilliSeconds = 0.
[4]: MilliSeconds = 0.
[5]: MilliSeconds = 0.
[6]: MilliSeconds = 0.
[7]: MilliSeconds = 0.
[8]: MilliSeconds = 0.
[9]: MilliSeconds = 0.
[10]: MilliSeconds = 0.
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Microsoft Ymoaee\Swsekg.exe ---> 828f8be1cf6ad5e1345249063919f82d
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: Rsfzcp upxzieda, C:\Program Files\Microsoft Ymoaee\Swsekg.exe
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号