VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:20
รายการพฤติกรรม
ข้อมูลพื้นฐาน
MD5:931b7c4d71a1f4b1e3f61a47fe013551
ประเภทไฟล์:EXE
บริษัท ผลิต:www.1285.net
เวอร์ชัน:1.0.0.0---1.0.0.0
ข้อมูลเชลล์หรือคอมไพเลอร์:PACKER:ASPack 2.x (without poly) -> Alexey Solodovnikov
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe
C:\Program Files\e\e.exe
C:\Program Files\e\sdk\cpp\tools\guidgen.exe
C:\Program Files\e\sdk\tools\resym.exe
C:\Program Files\e\setup\mksetup.exe
C:\Program Files\e\setup\setup.exe
C:\Program Files\e\setup\setup_jt.exe
C:\Program Files\e\tools\about.exe
C:\Program Files\e\tools\dbcnv.exe
C:\Program Files\e\tools\dblang.exe
C:\Program Files\e\tools\DBManager.exe
C:\Program Files\e\tools\echo.exe
C:\Program Files\e\tools\egrid.exe
C:\Program Files\e\tools\elib.exe
C:\Program Files\e\tools\EvaDesigner.exe
คำอธิบายพฤติกรรม:调用特殊系统函数
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:在系统目录释放敏感文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\c_31892.nls
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 282296, SleepMilliseconds = 60000.
TickCount = 282312, SleepMilliseconds = 60000.
TickCount = 282500, SleepMilliseconds = 60000.
TickCount = 282515, SleepMilliseconds = 60000.
TickCount = 287328, SleepMilliseconds = 60000.
TickCount = 287343, SleepMilliseconds = 60000.
TickCount = 308093, SleepMilliseconds = 60000.
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x00010346, Text = 设置SQL服务器, ClassName = TSetSQLForm.
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:查找文件方式探测虚拟机
สำหรับข้อมูลเพิ่มเติม:FindFirstFileEx: FileName = C:\Program Files\Oracle\VirtualBox Guest Additions\*
FindFirstFileEx: FileName = C:\Program Files\VMware\*
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2621608e.bat"
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x00000bc8]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2621608e.bat" "
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x000009a8]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ZInoVH.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ZInoVH.exe
คำอธิบายพฤติกรรม:创建下载文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000a34]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101E18AA.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101E18AA.exe
[0x00000a5c]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2A0E11DD.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2A0E11DD.exe
[0x00000a78]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\24ED296B.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\24ED296B.exe
[0x00000a8c]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2041650E.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2041650E.exe
[0x00000ab8]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1B9620B1.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1B9620B1.exe
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2492, StartAddress = 00401099, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2496, StartAddress = 00402B8C, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2500, StartAddress = 00402B7D, Parameter = 005C3A43
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2504, StartAddress = 00402B7D, Parameter = 005C3A44
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2508, StartAddress = 00402B7D, Parameter = 005C3A58
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2512, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2564, StartAddress = 7C947EBB, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2568, StartAddress = 7C930230, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2936, StartAddress = 00402845, Parameter = 00000000
TargetProcess: ZInoVH.exe, InheritedFromPID = 2456, ProcessID = 2472, ThreadID = 2984, StartAddress = 765E964D, Parameter = 00204830
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 3052, StartAddress = 77E56C7D, Parameter = 0019BC20
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2456, ThreadID = 3056, StartAddress = 769AE43B, Parameter = 0019E5B8
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\ZInoVH.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k1[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k2[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k3[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\24ED296B.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k4[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\2041650E.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k5[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\1B9620B1.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.exe
คำอธิบายพฤติกรรม:修改原系统的EXE文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe
C:\Program Files\e\e.exe
C:\Program Files\e\sdk\cpp\tools\guidgen.exe
C:\Program Files\e\sdk\tools\resym.exe
C:\Program Files\e\setup\mksetup.exe
C:\Program Files\e\setup\setup.exe
C:\Program Files\e\setup\setup_jt.exe
C:\Program Files\e\tools\about.exe
C:\Program Files\e\tools\dbcnv.exe
C:\Program Files\e\tools\dblang.exe
C:\Program Files\e\tools\DBManager.exe
C:\Program Files\e\tools\echo.exe
C:\Program Files\e\tools\egrid.exe
C:\Program Files\e\tools\elib.exe
C:\Program Files\e\tools\EvaDesigner.exe
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\ZInoVH.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\24ED296B.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2041650E.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1B9620B1.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.exe
คำอธิบายพฤติกรรม:修改脚本文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.bat ---> Offset = 0
คำอธิบายพฤติกรรม:复制文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\WinRAR\Rar.exe ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2621608e.exe
คำอธิบายพฤติกรรม:内存映射方式修改可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe
C:\Program Files\e\e.exe
C:\Program Files\e\sdk\cpp\tools\guidgen.exe
C:\Program Files\e\sdk\tools\resym.exe
C:\Program Files\e\setup\mksetup.exe
C:\Program Files\e\setup\setup.exe
C:\Program Files\e\setup\setup_jt.exe
C:\Program Files\e\tools\about.exe
C:\Program Files\e\tools\dbcnv.exe
C:\Program Files\e\tools\dblang.exe
C:\Program Files\e\tools\DBManager.exe
C:\Program Files\e\tools\echo.exe
C:\Program Files\e\tools\egrid.exe
C:\Program Files\e\tools\elib.exe
C:\Program Files\e\tools\EvaDesigner.exe
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k1[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k2[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k3[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k4[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\k5[1].rar
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.exe
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ZInoVH.exe
FileName = D:\*
FileName = C:\*
FileName = C:\222c25ed\*
FileName = X:\*
FileName = C:\222c25ed\IE8-Setup-Full\*
FileName = C:\222c25ed\IE8-Setup-Full\log\*
FileName = C:\AnalyzeControl\*
FileName = C:\DiskD\*
FileName = C:\DiskX\*
FileName = C:\EasyWebSvr\*
คำอธิบายพฤติกรรม:在系统目录释放敏感文件
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\c_31892.nls
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\ZInoVH.exe ---> Offset = 0
C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe ---> Offset = 258048
C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe ---> Offset = 258673
C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe ---> Offset = 0
C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe ---> Offset = 262144
C:\Program Files\e\e.exe ---> Offset = 1970176
C:\Program Files\e\e.exe ---> Offset = 1970801
C:\Program Files\e\e.exe ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe ---> Offset = 0
C:\Program Files\e\sdk\cpp\tools\guidgen.exe ---> Offset = 24576
C:\Program Files\e\sdk\cpp\tools\guidgen.exe ---> Offset = 25201
C:\Program Files\e\sdk\cpp\tools\guidgen.exe ---> Offset = 0
C:\Program Files\e\sdk\cpp\tools\guidgen.exe ---> Offset = 28672
C:\Program Files\e\sdk\tools\resym.exe ---> Offset = 126976
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:URLDownloadToFileW: http://dd****et:799/cj//k1.rar ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101E18AA.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe
URLDownloadToFileW: http://dd****et:799/cj//k2.rar ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2A0E11DD.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe
URLDownloadToFileW: http://dd****et:799/cj//k3.rar ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\24ED296B.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\24ED296B.exe
URLDownloadToFileW: http://dd****et:799/cj//k4.rar ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2041650E.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\2041650E.exe
URLDownloadToFileW: http://dd****et:799/cj//k5.rar ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1B9620B1.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\1B9620B1.exe
คำอธิบายพฤติกรรม:连接指定站点
สำหรับข้อมูลเพิ่มเติม:InternetConnectA: ServerName = dd****et, PORT = 799, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
คำอธิบายพฤติกรรม:打开HTTP连接
สำหรับข้อมูลเพิ่มเติม:InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489), hSession = 0x00cc0004
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:URL: dd****et, IP: **.133.40.**:799, SOCKET = 0x0000027c
URL: dd****et, IP: **.133.40.**:799, SOCKET = 0x000002a0
URL: dd****et, IP: **.133.40.**:799, SOCKET = 0x00000294
คำอธิบายพฤติกรรม:读取网络文件
สำหรับข้อมูลเพิ่มเติม:hFile = 0x00cc000c, BytesToRead =2048, BytesRead = 2048.
คำอธิบายพฤติกรรม:发送HTTP包
สำหรับข้อมูลเพิ่มเติม:GET /cj//k1.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: dd****et:799 Connection: Keep-Alive
GET /cj//k2.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: dd****et:799 Connection: Keep-Alive
GET /cj//k3.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: dd****et:799 Connection: Keep-Alive
GET /cj//k4.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: dd****et:799 Connection: Keep-Alive
GET /cj//k5.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: dd****et:799 Connection: Keep-Alive
คำอธิบายพฤติกรรม:打开HTTP请求
สำหรับข้อมูลเพิ่มเติม:HttpOpenRequestA: dd****et:799/cj//k1.rar, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
HttpOpenRequestA: dd****et:799/cj//k2.rar, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
HttpOpenRequestA: dd****et:799/cj//k3.rar, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
HttpOpenRequestA: dd****et:799/cj//k4.rar, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
HttpOpenRequestA: dd****et:799/cj//k5.rar, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:GetAddrInfoW: dd****et
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\GTplus\Time
\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2621608e.bat
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:调用特殊系统函数
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
RasPbFile
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.MJJ
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
EventName = MSCTF.SendReceive.Event.MJJ.IC
EventName = MSCTF.SendReceiveConection.Event.MJJ.IC
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 2456, Hwnd=0x10352, Text = Master, ClassName = TEdit97.
Pid = 2456, Hwnd=0x1034e, Text = sa, ClassName = TEdit97.
Pid = 2456, Hwnd=0x10346, Text = 设置SQL服务器, ClassName = TSetSQLForm.
Pid = 2456, Hwnd=0x10344, Text = SQL 综合利用工具, ClassName = TMainForm.
คำอธิบายพฤติกรรม:修改后的可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe ---> 21645d56fe11247971cb1de379449d2c
C:\Program Files\e\e.exe ---> c87e4985785da95758b299b33d35d4a3
C:\Program Files\e\sdk\cpp\tools\guidgen.exe ---> 127ea92572955c6f93a50df634145956
C:\Program Files\e\sdk\tools\resym.exe ---> ed633c83131920bf5bd28b58d7e95cc9
C:\Program Files\e\setup\mksetup.exe ---> a0d37ff29ca1a1ecfdb9fafc4f934648
C:\Program Files\e\setup\setup.exe ---> f3d97b77fbd7ac841708a09a5a15ada4
C:\Program Files\e\setup\setup_jt.exe ---> 6e1596347e8d696c5e46c86305c82b81
C:\Program Files\e\tools\about.exe ---> 6d0166646368bf17f847ed06d16fb92b
C:\Program Files\e\tools\dbcnv.exe ---> 4295fb5054d34a8aebff4501656796eb
C:\Program Files\e\tools\dblang.exe ---> 7a156e2a036c03ea6cf1ade18f329c1e
C:\Program Files\e\tools\DBManager.exe ---> 453cc35998ceeb1c1222cc07948c48ea
C:\Program Files\e\tools\echo.exe ---> 8a8e89cc46843eb7d55d31b0bef0e8b1
C:\Program Files\e\tools\egrid.exe ---> b541e6adc63c8cfb2925f72eb601dee2
C:\Program Files\e\tools\elib.exe ---> dd31c38805eac6a356364fdd4e3ea270
C:\Program Files\e\tools\EvaDesigner.exe ---> 217e5326f90032796064ff80644f3290
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SvcctrlStartEvent_A3752DX
\INSTALLATION_SECURITY_HOLD
_fCanRegisterWithShellService
Global\crypt32LogoffEvent
MSFT.VSA.COM.DISABLE.2456
MSFT.VSA.IEC.STATUS.6c736db0
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 282296, SleepMilliseconds = 60000.
TickCount = 282312, SleepMilliseconds = 60000.
TickCount = 282500, SleepMilliseconds = 60000.
TickCount = 282515, SleepMilliseconds = 60000.
TickCount = 287328, SleepMilliseconds = 60000.
TickCount = 287343, SleepMilliseconds = 60000.
TickCount = 308093, SleepMilliseconds = 60000.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
คำอธิบายพฤติกรรม:屏蔽窗口关闭消息
สำหรับข้อมูลเพิ่มเติม:hWnd = 0x00010346, Text = 设置SQL服务器, ClassName = TSetSQLForm.
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:修改后的可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Adobe\Reader 9.0\Reader\LogTransport2.exe(签名验证: 未通过)
C:\Program Files\e\e.exe(签名验证: 未通过)
C:\Program Files\e\sdk\cpp\tools\guidgen.exe(签名验证: 未通过)
C:\Program Files\e\sdk\tools\resym.exe(签名验证: 未通过)
C:\Program Files\e\setup\mksetup.exe(签名验证: 未通过)
C:\Program Files\e\setup\setup.exe(签名验证: 未通过)
C:\Program Files\e\setup\setup_jt.exe(签名验证: 未通过)
C:\Program Files\e\tools\about.exe(签名验证: 未通过)
C:\Program Files\e\tools\dbcnv.exe(签名验证: 未通过)
C:\Program Files\e\tools\dblang.exe(签名验证: 未通过)
C:\Program Files\e\tools\DBManager.exe(签名验证: 未通过)
C:\Program Files\e\tools\echo.exe(签名验证: 未通过)
C:\Program Files\e\tools\egrid.exe(签名验证: 未通过)
C:\Program Files\e\tools\elib.exe(签名验证: 未通过)
C:\Program Files\e\tools\EvaDesigner.exe(签名验证: 未通过)
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\ZInoVH.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\24ED296B.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\2041650E.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\1B9620B1.exe(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.exe(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 60000.
[2]: MilliSeconds = 0.
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [SQL 综合利用工具,TMainForm]
คำอธิบายพฤติกรรม:获取光标位置
สำหรับข้อมูลเพิ่มเติม:CursorPos = (80,18468), SleepMilliseconds = 60000.
CursorPos = (6373,26501), SleepMilliseconds = 60000.
CursorPos = (19208,15725), SleepMilliseconds = 60000.
CursorPos = (11517,29359), SleepMilliseconds = 60000.
CursorPos = (27001,24465), SleepMilliseconds = 60000.
CursorPos = (5744,28146), SleepMilliseconds = 60000.
CursorPos = (23320,16828), SleepMilliseconds = 60000.
CursorPos = (10000,492), SleepMilliseconds = 60000.
CursorPos = (3034,11943), SleepMilliseconds = 60000.
CursorPos = (4866,5437), SleepMilliseconds = 60000.
CursorPos = (32430,14605), SleepMilliseconds = 60000.
CursorPos = (3941,154), SleepMilliseconds = 60000.
CursorPos = (331,12383), SleepMilliseconds = 60000.
CursorPos = (17460,18717), SleepMilliseconds = 60000.
CursorPos = (19757,19896), SleepMilliseconds = 60000.
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\ZInoVH.exe ---> 56b2c3810dba2e939a8bb9fa36d3cf96
C:\Documents and Settings\Administrator\Local Settings\Temp\101E18AA.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Documents and Settings\Administrator\Local Settings\Temp\2A0E11DD.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Documents and Settings\Administrator\Local Settings\Temp\24ED296B.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Documents and Settings\Administrator\Local Settings\Temp\2041650E.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Documents and Settings\Administrator\Local Settings\Temp\1B9620B1.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Documents and Settings\Administrator\Local Settings\Temp\2621608e.exe ---> 4dac39e91c9f7cd67510f7e1e1d5decd
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:Local\!IETld!Mutex
Local\_!MSFTHISTORY!_
Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Local\c:!documents and settings!administrator!cookies!
Local\c:!documents and settings!administrator!local settings!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
RasPbFile
ShimCacheMutex
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
คำอธิบายพฤติกรรม:查找文件方式探测虚拟机
สำหรับข้อมูลเพิ่มเติม:FindFirstFileEx: FileName = C:\Program Files\Oracle\VirtualBox Guest Additions\*
FindFirstFileEx: FileName = C:\Program Files\VMware\*
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号