VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load
VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ข้อมูลพื้นฐาน

ชื่อไฟล์: 苏拉病毒.exe
ขนาดไฟล์: 606693
ประเภทไฟล์: application/x-dosexec
MD5: d6c35ddbed61352e82e26b8d97ad94dd
sha1: 01806f44d4c90a2a4add3e434fb2c39e491748ab

 CreateProcess

ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: "C:\Windows\System32\cmd.exe" /c C:\Windows\Fonts\HIDESE~1\SOLA.BAT -Install
childid: 2616
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cscript.exe
noNeedLine:
path: C:\Windows\SysWOW64\cscript.exe
pid: 1936
ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: C:\Windows\system32\cmd.exe /c date /t
childid: 1992
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 2616
ApplicationName: C:\Windows\System32\mshta.exe
CmdLine: "C:\Windows\System32\mshta.exe" "javascript:new ActiveXObject('WScript.Shell').Run('SOLA_2.0_6483999524724.bat',0);window.close()"
childid: 2396
childname: mshta.exe
childpath: C:\Windows\SysWOW64\mshta.exe
drop_type:
name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
pid: 2116
ApplicationName:
CmdLine: "C:\Users\Administrator\AppData\Local\Temp\SOLA_2.0_6483999524724.bat"
childid: 1864
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: mshta.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\mshta.exe
pid: 2396
ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: C:\Windows\system32\cmd.exe /c date /t
childid: 2812
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 1864
ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: C:\Windows\system32\cmd.exe /c dir C:\Windows\explorer.exe
childid: 2392
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 1864
ApplicationName: C:\Windows\System32\cscript.exe
CmdLine: cscript C:\Windows\Fonts\HIDESE~1\SOLA.VBS
childid: 1936
childname: cscript.exe
childpath: C:\Windows\SysWOW64\cscript.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 1864
ApplicationName:
CmdLine:
childid: 2116
childname: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
drop_type:
name:
noNeedLine:
path:
pid: 2728

 Summary

buffer: 0
processid: 1936
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 1936
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 1936
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 1936
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 2116
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2116
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: 0
processid: 2116
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: UNCAsIntranet
buffer: 1
processid: 2116
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
type: REG_DWORD
valuename: AutoDetect
buffer: zh-CN\x00zh-Hans\x00zh\x00en-US\x00en\x00\x00
processid: 2396
szSubkey: HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\3a\AAF68885
type: REG_MULTI_SZ
valuename: HKEY_CURRENT_USER\Local Settings\MuiCache\3A\AAF68885\LanguageList

 Behavior_analysis

message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Malicious

attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 221
process_id: 1936
process_name: cscript.exe
rulename: 遍历文件
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 273
process_id: 1936
process_name: cscript.exe
rulename: 调用加密算法库
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过写入注册表,以达修改用户修改代理
num: 991
process_id: 1936
process_name: cscript.exe
rulename: 修改浏览器代理
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 1592
process_id: 1936
process_name: cscript.exe
rulename: 获取隐藏文件设置
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 2063
process_id: 1936
process_name: cscript.exe
rulename: 获取当前用户名
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 2616
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 2616
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 1992
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 1992
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 2
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 从资源段释放文件并运行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 553
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 遍历文件
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过写入注册表,以达修改用户修改代理
num: 926
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 修改浏览器代理
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 1532
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 获取隐藏文件设置
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 2006
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 获取当前用户名
attck_tactics: 防御逃逸
level: 4
matchedinfo: 通过创建特殊进程名字的进程假装成正常程序,以达到混淆视听欺骗用户的目的
num: 2318
process_id: 2116
process_name: 1617003044782_d6c35ddbed61352e82e26b8d97ad94dd.exe
rulename: 创建伪装进程
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 360
process_id: 2396
process_name: mshta.exe
rulename: 从资源段释放文件并运行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 2034
process_id: 2396
process_name: mshta.exe
rulename: 获取当前鼠标位置
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 2285
process_id: 2396
process_name: mshta.exe
rulename: 调用加密算法库
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 调用WScript.Shell对象可以进行运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量等功能
num: 2531
process_id: 2396
process_name: mshta.exe
rulename: 使用WshShell对象
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 3423
process_id: 2396
process_name: mshta.exe
rulename: 获取隐藏文件设置
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 8118
process_id: 2396
process_name: mshta.exe
rulename: 遍历文件
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 1864
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 1864
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 3
matchedinfo: 恶意程序通过使用批处理删除正常文件或恶意文件自身或恶意文件释放的文件,以达到破坏正常文件或隐藏恶意文件的目的
num: 128
process_id: 1864
process_name: cmd.exe
rulename: 删除文件(使用批处理方式)
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 891
process_id: 1864
process_name: cmd.exe
rulename: 拷贝文件到系统目录
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 19881
process_id: 1864
process_name: cmd.exe
rulename: 获取隐藏文件设置
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 2812
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 2812
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 2392
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 2392
process_name: cmd.exe
rulename: 遍历文件