VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load
VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ข้อมูลพื้นฐาน

ชื่อไฟล์: Server.vmp.exe
ขนาดไฟล์: 671744
ประเภทไฟล์: application/x-dosexec
MD5: a7893de4325386447779c7067a3321c6
sha1: 725d35d0778b70acdd1344f1499f31e74831a4b5

 CreateProcess

ApplicationName:
CmdLine: C:\Windows\system32\cmd.exe /c ping -n 2 127.0.0.1 > nul && del C:\Users\ADMINI~1\AppData\Local\Temp\162096~1.EXE > nul
childid: 3708
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1620966773911_a7893de4325386447779c7067a3321c6.exe
pid: 560
ApplicationName: C:\Windows\System32\PING.EXE
CmdLine: ping -n 2 127.0.0.1
childid: 3948
childname: PING.EXE
childpath: C:\Windows\SysWOW64\PING.EXE
drop_type:
name: cmd.exe
noNeedLine:
path: C:\Windows\SysWOW64\cmd.exe
pid: 3708
ApplicationName:
CmdLine:
childid: 560
childname: 1620966773911_a7893de4325386447779c7067a3321c6.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620966773911_a7893de4325386447779c7067a3321c6.exe
drop_type:
name:
noNeedLine:
path:
pid: 2352

 Summary

buffer: 2021-05-14 19:33
processid: 560
szSubkey: HKEY_LOCAL_MACHINE\SYSTEM\Select
type: REG_SZ
valuename: MarkTime

 Malicious

attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 34
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 获取当前鼠标位置
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 326
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 424
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 收集磁盘信息
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
num: 712
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 打开服务控制管理器
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
num: 713
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 启动服务
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 760
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 拷贝文件到系统目录
attck_tactics: 持久化
level: 3
matchedinfo: 恶意程序通过创建系统服务,以达到长期控制或驻留系统的目的
num: 764
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 创建非常规服务
attck_tactics: 防御逃逸
level: 3
matchedinfo: 使用ping命令进行时间延迟,达到一定时间内躲避沙盒自动化分析
num: 782
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 使用ping命令进行时间延迟
attck_tactics: 防御逃逸
level: 3
matchedinfo: 恶意程序通过命令行的方式删除文件,以达到欺骗用户迷惑用户或影响恶意文件取证的目的
num: 782
process_id: 560
process_name: 1620966773911_a7893de4325386447779c7067a3321c6.exe
rulename: 删除文件(在命令行下)
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 3708
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 3708
process_name: cmd.exe
rulename: 遍历文件