VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:50
รายการพฤติกรรม
รายงานการวิเคราะห์พฤติกรรม:         รายงานการวิเคราะห์พฤติกรรมของไฟล์ Threatbook
ข้อมูลพื้นฐาน
MD5:a4b7940b3d6b03269194f728610784d6
ประเภทไฟล์:EXE
บริษัท ผลิต:
เวอร์ชัน:
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Microsoft Visual C++ 6.0 [Overlay]
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\wmiex.exe
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: WebServers, C:\WINDOWS\system32\wmiex.exe
[服务已存在]: WebServers, C:\WINDOWS\system32\wmiex.exe
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 233734, SleepMilliseconds = 1000.
TickCount = 233765, SleepMilliseconds = 1000.
TickCount = 233600, SleepMilliseconds = 100.
คำอธิบายพฤติกรรม:杀掉进程
สำหรับข้อมูลเพิ่มเติม:TASKKILL = taskkill /f /im wmiex.exe
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = cmd /c taskkill /f /im wmiex.exe
ImagePath = , CmdLine = cmd /c start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN WebServers /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN WebServers /tr "cmd.exe /c C:\WINDOWS\system32\wmiex.exe"&schtasks /run /TN
ImagePath = , CmdLine = net start WebServers
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x00000b44]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c taskkill /f /im wmiex.exe
[0x00000b4c]ImagePath = C:\WINDOWS\system32\taskkill.exe, CmdLine = taskkill /f /im wmiex.exe
[0x00000b9c]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN WebServers /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN WebServers /tr "cmd.exe /c C:\WINDOWS\system32\wmiex.exe"&schtasks /run /TN
[0x00000bac]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = sc start Schedule
[0x00000bb4]ImagePath = C:\WINDOWS\system32\ping.exe, CmdLine = ping localhost
[0x00000bbc]ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net start WebServers
[0x00000bcc]ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 start WebServers
[0x00000c40]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = sc query Schedule
[0x00000c48]ImagePath = C:\WINDOWS\system32\findstr.exe, CmdLine = findstr RUNNING
[0x00000c54]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = schtasks /delete /TN WebServers /f
[0x00000c5c]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN WebServers /tr "cmd.exe /c C:\WINDOWS\system32\wmiex.exe"
[0x00000c80]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = schtasks /run /TN WebServers
[0x00000c98]ImagePath = C:\WINDOWS\system32\wmiex.exe, CmdLine = C:\WINDOWS\system32\wmiex.exe
[0x00000d54]ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net start WebServers
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: taskkill.exe, InheritedFromPID = 2884, ProcessID = 2892, ThreadID = 2904, StartAddress = 77E56C7D, Parameter = 000EAB88
TargetProcess: taskkill.exe, InheritedFromPID = 2884, ProcessID = 2892, ThreadID = 2908, StartAddress = 769AE43B, Parameter = 000ED528
TargetProcess: taskkill.exe, InheritedFromPID = 2884, ProcessID = 2892, ThreadID = 2912, StartAddress = 77E56C7D, Parameter = 000EDBF0
คำอธิบายพฤติกรรม:杀掉进程
สำหรับข้อมูลเพิ่มเติม:TASKKILL = taskkill /f /im wmiex.exe
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\WINDOWS\system32\wmiex.exe
คำอธิบายพฤติกรรม:添加计划任务
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\Tasks\WebServers.job
คำอธิบายพฤติกรรม:设置特殊文件属性
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\system32\wmiex.exe
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\Tasks\WebServers.job ---> Offset = 0
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\cmd.exe
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\taskkill.*
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\taskkill
FileName = C:\Python27\taskkill.*
FileName = C:\Python27\taskkill
FileName = C:\Python27\Scripts\taskkill.*
FileName = C:\Python27\Scripts\taskkill
FileName = C:\WINDOWS\system32\taskkill.*
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:GetAddrInfoW: localhost
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表_启动项
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = Global\crypt32LogoffEvent
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [,]
คำอธิบายพฤติกรรม:启动系统服务
สำหรับข้อมูลเพิ่มเติม:[服务已运行]: LocalSystem, Task Scheduler, C:\WINDOWS\System32\svchost.exe -k netsvcs
[服务启动成功]: LocalSystem, WebServers, C:\WINDOWS\system32\wmiex.exe
[服务已运行]: LocalSystem, WebServers, C:\WINDOWS\system32\wmiex.exe
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:Global\crypt32LogoffEvent
HookSwitchHookEnabledEvent
MSFT.VSA.COM.DISABLE.2892
MSFT.VSA.IEC.STATUS.6c736db0
Global\SvcctrlStartEvent_A3752DX
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 233734, SleepMilliseconds = 1000.
TickCount = 233765, SleepMilliseconds = 1000.
TickCount = 233600, SleepMilliseconds = 100.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 1000.
[2]: MilliSeconds = 500.
[3]: MilliSeconds = 100.
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:ShimCacheMutex
คำอธิบายพฤติกรรม:创建系统服务
สำหรับข้อมูลเพิ่มเติม:[服务创建成功]: WebServers, C:\WINDOWS\system32\wmiex.exe
[服务已存在]: WebServers, C:\WINDOWS\system32\wmiex.exe
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号