VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load
VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ข้อมูลพื้นฐาน

ชื่อไฟล์: Rserver_Pack.exe
ขนาดไฟล์: 133120
ประเภทไฟล์: application/x-dosexec
MD5: b39388990dff7d67dbc09957d1997ddb
sha1: f02ef1a363cf67f4f1f5e584a4a713e4091045a3

 CreateProcess

ApplicationName:
CmdLine: "C:\Users\Administrator\AppData\Local\Temp\DelEx.bat"
childid: 508
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
pid: 464
ApplicationName:
CmdLine:
childid: 464
childname: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
drop_type:
name:
noNeedLine:
path:
pid: 2028

 Summary

buffer: C:\Windows\system32\winnet.dll
processid: 464
szSubkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winet\Parameters\
type: REG_EXPAND_SZ
valuename: ServiceDll
buffer: Winet\x00AeLookupSvc\x00CertPropSvc\x00SCPolicySvc\x00lanmanserver\x00gpsvc\x00AudioSrv\x00FastUserSwitchingCompatibility\x00Ias\x00Irmon\x00Nla\x00Ntmssvc\x00NWCWorkstation\x00Nwsapagent\x00Rasauto\x00Rasman\x00Remoteaccess\x00SENS\x00Sharedaccess\x00SRService\x00Tapisrv\x00Wmi\x00WmdmPmSp\x00TermService\x00wuauserv\x00BITS\x00Shel
processid: 464
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
type: REG_MULTI_SZ
valuename: netsvcs

 Dropped_Save

analysis_result: 安全
create: 0
how: del
md5: f2487057f308897d039d9dac1b92e7ed
name: DelEx.bat
new_size: 279bytes
operation: 释放后删除文件
path: C:\Users\Administrator\AppData\Local\Temp\DelEx.bat
processid: 508
processname: cmd.exe
sha1: 51751e23d8323158a5a7921cf2c4e85fa42165b3
sha256: 6daa953f687463b582172ec9e4aa798d9ea3f94492f8c46dc7c5398e26cffefd
size: 279
this_path: /data/cuckoo/storage/analyses/1000061/files/781093208/DelEx.bat
type: ASCII text, with CRLF line terminators

 Dropped Unsave

analysis_result: HEUR:Trojan.Win32.Generic
create: 0
how: del
md5: 4f9471723ec62a36cd50806146df6890
name: KKK.dll
new_size: 110KB (112640bytes)
operation: 释放后删除文件
path: C:\Users\Administrator\AppData\Local\Temp\KKK.dll
processid: 464
processname: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
sha1: b3b1b83167b3d182a4bb75267d6ce2b4e165ecc9
sha256: 38c50f16d8228335cd6e25267d362a419f4b001ce02ec9c1479368a1928e8ee7
size: 112640
this_path: /data/cuckoo/storage/analyses/1000061/files/2227233282/KKK.dll
type: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows

 Malicious

attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 14
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 从资源段释放文件并运行
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
num: 23
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 打开服务控制管理器
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过遍历系统中进程,可以用于特定杀软逃逸、虚拟机逃逸等
num: 28
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 遍历系统中的进程
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
num: 74
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 启动服务
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过创建系统服务,以达到长期控制或驻留系统的目的
num: 78
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 创建服务
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 80
process_id: 464
process_name: 1620963042986_b39388990dff7d67dbc09957d1997ddb.exe
rulename: 拷贝文件到系统目录
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 508
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 508
process_name: cmd.exe
rulename: 遍历文件