VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load
VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ข้อมูลพื้นฐาน

ชื่อไฟล์: 00超级教练
ขนาดไฟล์: 1830
ประเภทไฟล์: application/octet-stream
MD5: 547a2236992c688a06128c3aaa316217
sha1: 77e3ce8d37170aa3def7d952532d06cec4d4cc54

 CreateProcess

ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: "C:\windows\system32\cmd.exe" /c "C:\Windows\explorer.exe %cd%ayiguli & attrib -s -h %cd%GolQEWo.exe & xcopy /F /S /Q /H /R /Y %cd%GolQEWo.exe C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\ & attrib +s +h %cd%GolQEWo.exe & start C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\GolQEWo.exe & exit"
childid: 3048
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 2096
ApplicationName: C:\Windows\explorer.exe
CmdLine: C:\Windows\explorer.exe C:\Users\Administrator\AppData\Local\Tempayiguli
childid: 2400
childname: explorer.exe
childpath: C:\Windows\explorer.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\attrib.exe
CmdLine: attrib -s -h C:\Users\Administrator\AppData\Local\TempGolQEWo.exe
childid: 2808
childname: attrib.exe
childpath: C:\Windows\SysWOW64\attrib.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\xcopy.exe
CmdLine: xcopy /F /S /Q /H /R /Y C:\Users\Administrator\AppData\Local\TempGolQEWo.exe C:\Users\ADMINI~1\AppData\Local\Temp\Hdxoq\
childid: 252
childname: xcopy.exe
childpath: C:\Windows\SysWOW64\xcopy.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName: C:\Windows\System32\attrib.exe
CmdLine: attrib +s +h C:\Users\Administrator\AppData\Local\TempGolQEWo.exe
childid: 304
childname: attrib.exe
childpath: C:\Windows\SysWOW64\attrib.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 3048
ApplicationName:
CmdLine:
childid: 2096
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name:
noNeedLine:
path:
pid: 3052
ApplicationName:
CmdLine:
childid: 592
childname: svchost.exe
childpath: C:\Windows\System32\svchost.exe
drop_type:
name:
noNeedLine:
path:
pid: 456
ApplicationName:
CmdLine:
childid: 808
childname: explorer.exe
childpath: C:\Windows\explorer.exe
drop_type:
name: svchost.exe
noNeedLine:
path: C:\Windows\System32\svchost.exe
pid: 592

 Summary

buffer: 0
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2096
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x01\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\4
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\4\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: 1
processid: 808
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
type: REG_DWORD
valuename: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Locked
buffer: \x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02\x02
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots
buffer: \x04\x00\x00\x00\x06\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x02\x00\x00\x00\x05\x00\x00\x00\xff\xff\xff\xff
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
type: REG_BINARY
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx
buffer: Documents
processid: 808
szSubkey: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\Bags\177\Shell
type: REG_SZ
valuename: HKEY_CURRENT_USER\Local Settings\Software\Microsoft\Windows\Shell\Bags\177\Shell\SniffedFolderType

 Malicious

attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 3
process_id: 2096
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 29
process_id: 2096
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 219
process_id: 2096
process_name: cmd.exe
rulename: 获取隐藏文件设置
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 579
process_id: 2096
process_name: cmd.exe
rulename: 从资源段释放文件并运行
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过写入注册表,以达修改用户修改代理
num: 2375
process_id: 2096
process_name: cmd.exe
rulename: 修改浏览器代理
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 2415
process_id: 2096
process_name: cmd.exe
rulename: 获取当前用户名
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 2725
process_id: 2096
process_name: cmd.exe
rulename: 设置文件为系统属性
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 2725
process_id: 2096
process_name: cmd.exe
rulename: 设置文件隐藏属性
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 3048
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 3048
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 139
process_id: 3048
process_name: cmd.exe
rulename: 设置文件隐藏属性
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 139
process_id: 3048
process_name: cmd.exe
rulename: 设置文件为系统属性
attck_tactics: 执行
level: 3
matchedinfo: 恶意文档发生溢出行为时,可能通过Dcom创建进程
num: 0
process_id: 592
process_name: svchost.exe
rulename: 通过Dcom创建进程
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 398
process_id: 808
process_name: explorer.exe
rulename: 调用加密算法库
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 1405
process_id: 808
process_name: explorer.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 13504
process_id: 808
process_name: explorer.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 2
process_id: 2808
process_name: attrib.exe
rulename: 遍历文件
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 5
process_id: 252
process_name: xcopy.exe
rulename: 遍历文件
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 2
process_id: 304
process_name: attrib.exe
rulename: 遍历文件