VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load

VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

   ข้อมูลไฟล์

รายงานการสแกนหลายเครื่องของ Virscan.org
รายงานการวิเคราะห์พฤติกรรม:         การวิเคราะห์ไฟล์ Habo

ข้อมูลพื้นฐาน

MD5:8cf11138b015871c38a0cf41b2ba650b
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
ชื่อแพ็กเกจ:
สภาพแวดล้อมการทำงานขั้นต่ำ:
ลิขสิทธิ์:

พฤติกรรมที่สำคัญ

คำอธิบายพฤติกรรม: 写权限映射文件
สำหรับข้อมูลเพิ่มเติม: CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\WINDOWS\system32\zh-cn\ieframe.dll.mui
Local\UrlZonesSM_Administrator
Local\!PrivacIE!SharedMem!Counter
MSCTF.MarshalInterface.FileMap.MBI..GODJG
MSCTF.MarshalInterface.FileMap.MBI.B.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.C.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.D.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.E.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.F.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.G.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.H.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.I.ECEJG
\WINDOWS\system32\zh-cn\mshtml.dll.mui
MSCTF.MarshalInterface.FileMap.MBI.J.DGEJG
คำอธิบายพฤติกรรม: 获取QQ临时密码
สำหรับข้อมูลเพิ่มเติม: HttpOpenRequestA: ui.ptlogin2.qq.com:80/cgi-bin/login?appid=21000115&style=13&daid=8&s_url=http://user.qzone.qq.com/924282761/main, hConnect = 0x000004b8
คำอธิบายพฤติกรรม: 设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม: 隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม: [Window,Class] = [,Shell Embedding]
[Window,Class] = [,Internet Explorer_Server]
คำอธิบายพฤติกรรม: 获取窗口截图信息
สำหรับข้อมูลเพิ่มเติม: Foreground window Info: HWND = 0x6301053f, DC = 0x6301053f.

พฤติกรรมกระบวนการ

คำอธิบายพฤติกรรม: 枚举进程
สำหรับข้อมูลเพิ่มเติม: N/A

พฤติกรรมของไฟล์

คำอธิบายพฤติกรรม: 写权限映射文件
สำหรับข้อมูลเพิ่มเติม: CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\WINDOWS\system32\zh-cn\ieframe.dll.mui
Local\UrlZonesSM_Administrator
Local\!PrivacIE!SharedMem!Counter
MSCTF.MarshalInterface.FileMap.MBI..GODJG
MSCTF.MarshalInterface.FileMap.MBI.B.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.C.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.D.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.E.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.F.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.G.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.H.ECEJG
MSCTF.MarshalInterface.FileMap.MBI.I.ECEJG
\WINDOWS\system32\zh-cn\mshtml.dll.mui
MSCTF.MarshalInterface.FileMap.MBI.J.DGEJG
คำอธิบายพฤติกรรม: 设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม: 修改文件内容
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\navcancl[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\ErrorPageTemplate[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\IUKHR8T2\errorPageStrings[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\httpErrorPagesScripts[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\background_gradient[2]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6TLOMATB\info_48[1]---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\bullet[3]---> Offset = 0
คำอธิบายพฤติกรรม: 查找文件
สำหรับข้อมูลเพิ่มเติม: FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\WINDOWS\system32\Ras\*.pbk
FileName = C:\Documents and Settings\Administrator\Application Data\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\ieframe.dll

พฤติกรรมเครือข่าย

คำอธิบายพฤติกรรม: 连接指定站点
สำหรับข้อมูลเพิ่มเติม: InternetConnectA: ServerName = ui.ptlogin2.qq.com, PORT = 80
คำอธิบายพฤติกรรม: 建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม: 127.0.0.1:1034
คำอธิบายพฤติกรรม: 获取QQ临时密码
สำหรับข้อมูลเพิ่มเติม: HttpOpenRequestA: ui.ptlogin2.qq.com:80/cgi-bin/login?appid=21000115&style=13&daid=8&s_url=http://user.qzone.qq.com/924282761/main, hConnect = 0x000004b8

ลักษณะการทำงานของรีจิสทรี

คำอธิบายพฤติกรรม: 修改注册表
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x973x16(565 0)
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
คำอธิบายพฤติกรรม: 删除注册表键值_IE连接设置
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

พฤติกรรมอื่น ๆ

คำอธิบายพฤติกรรม: 创建互斥体
สำหรับข้อมูลเพิ่มเติม: RasPbFile
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
Local\!PrivacIE!SharedMemory!Mutex
MSIMGSIZECacheMutex
MSCTF.Shared.MUTEX.AEH
MSCTF.Shared.MUTEX.MBI
คำอธิบายพฤติกรรม: 隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม: [Window,Class] = [,Shell Embedding]
[Window,Class] = [,Internet Explorer_Server]
คำอธิบายพฤติกรรม: 查找指定窗口
สำหรับข้อมูลเพิ่มเติม: NtUserFindWindowEx: [Class,Window] = [MS_AutodialMonitor,]
NtUserFindWindowEx: [Class,Window] = [MS_WebCheckMonitor,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
คำอธิบายพฤติกรรม: 获取TickCount值
สำหรับข้อมูลเพิ่มเติม: TickCount = 490718, SleepMilliseconds = 60000.
TickCount = 490734, SleepMilliseconds = 60000.
TickCount = 490750, SleepMilliseconds = 60000.
TickCount = 447875, SleepMilliseconds = 250.
คำอธิบายพฤติกรรม: 窗口信息
สำหรับข้อมูลเพิ่มเติม: Pid = 2072, Hwnd=0x4020e, Text = 请用小号登陆! 作者QQ 924282761, ClassName = WTWindow.
คำอธิบายพฤติกรรม: 获取窗口截图信息
สำหรับข้อมูลเพิ่มเติม: Foreground window Info: HWND = 0x6301053f, DC = 0x6301053f.
คำอธิบายพฤติกรรม: 调用Sleep函数
สำหรับข้อมูลเพิ่มเติม: [1]: MilliSeconds = 60000.
คำอธิบายพฤติกรรม: 内联HOOK
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\system32\ntdll.dll--->LdrFindResource_U Offset = 0x0
C:\WINDOWS\system32\ntdll.dll--->LdrAccessResource Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->LoadStringA Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->LoadStringW Offset = 0x0
C:\WINDOWS\system32\GDI32.dll--->ExtTextOutA Offset = 0x0
C:\WINDOWS\system32\GDI32.dll--->ExtTextOutW Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->GetWindowLongA Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->SetWindowLongA Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->SetWindowLongW Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->GetWindowLongW Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->BeginPaint Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->EndPaint Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->GetDC Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->GetWindowDC Offset = 0x0
C:\WINDOWS\system32\USER32.dll--->ReleaseDC Offset = 0x0