VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load

VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

   ข้อมูลไฟล์

รายงานการสแกนหลายเครื่องของ Virscan.org
รายงานการวิเคราะห์พฤติกรรม:         การวิเคราะห์ไฟล์ Habo

ข้อมูลพื้นฐาน

MD5:c2a4b57b7fb9787fa9b555c3294aa883
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
ชื่อแพ็กเกจ:
สภาพแวดล้อมการทำงานขั้นต่ำ:
ลิขสิทธิ์:

พฤติกรรมที่สำคัญ

คำอธิบายพฤติกรรม: 检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 直接获取CPU时钟
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 获取TickCount值
สำหรับข้อมูลเพิ่มเติม: TickCount = 5489093, SleepMilliseconds = 60000.
TickCount = 5489171, SleepMilliseconds = 60000.
TickCount = 5489281, SleepMilliseconds = 60000.
TickCount = 5489343, SleepMilliseconds = 60000.
TickCount = 5489468, SleepMilliseconds = 60000.
TickCount = 5489578, SleepMilliseconds = 60000.
TickCount = 5489703, SleepMilliseconds = 60000.
TickCount = 5489718, SleepMilliseconds = 60000.
TickCount = 5489890, SleepMilliseconds = 60000.
TickCount = 5495156, SleepMilliseconds = 60000.
TickCount = 5495171, SleepMilliseconds = 60000.

พฤติกรรมกระบวนการ

คำอธิบายพฤติกรรม: 创建本地线程
สำหรับข้อมูลเพิ่มเติม: TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 1996, StartAddress = 79F0237F, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 576, StartAddress = 79F91FCF, Parameter = 001A57B0
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 780, StartAddress = 4AEA7456, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 1844, StartAddress = 79F91FCF, Parameter = 001D3E40
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 1568, StartAddress = 77E56C7D, Parameter = 001E40C0
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 728, ThreadID = 824, StartAddress = 769AE43B, Parameter = 001E4780

พฤติกรรมของไฟล์

คำอธิบายพฤติกรรม: 覆盖已有文件
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
คำอธิบายพฤติกรรม: 查找文件
สำหรับข้อมูลเพิ่มเติม: FileName = C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
FileName = C:\WINDOWS\Microsoft.NET\Framework\\*
FileName = C:\WINDOWS
FileName = C:\WINDOWS\WinSxS
FileName = C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
FileName = C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.INI
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.INI
FileName = C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.INI
FileName = C:\WINDOWS\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.INI

พฤติกรรมเครือข่าย

คำอธิบายพฤติกรรม: 按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม: gethostbyname: cr****om

พฤติกรรมอื่น ๆ

คำอธิบายพฤติกรรม: 检测自身是否被调试
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 创建互斥体
สำหรับข้อมูลเพิ่มเติม: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
App-1.0.5044.21750
RasPbFile
Global\.net clr networking
MSCTF.Shared.MUTEX.ELH
MSCTF.Shared.MUTEX.EIB
คำอธิบายพฤติกรรม: 创建事件对象
สำหรับข้อมูลเพิ่มเติม: EventName = Global\CorDBIPCSetupSyncEvent_728
EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.EIB.IC
EventName = MSCTF.SendReceiveConection.Event.EIB.IC
คำอธิบายพฤติกรรม: 打开互斥体
สำหรับข้อมูลเพิ่มเติม: ShimCacheMutex
Global\CLR_CASOFF_MUTEX
RasPbFile
Global\.net clr networking
คำอธิบายพฤติกรรม: 查找指定窗口
สำหรับข้อมูลเพิ่มเติม: NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
คำอธิบายพฤติกรรม: 窗口信息
สำหรับข้อมูลเพิ่มเติม: Pid = 728, Hwnd=0x2102bc, Text = Unhandled exception has occurred in your application. If you click Continue, the application will ignore this error and attempt t, ClassName = WindowsForms10.STATIC.app.0.378734a.
Pid = 728, Hwnd=0x603c6, Text = &Details, ClassName = WindowsForms10.BUTTON.app.0.378734a.
Pid = 728, Hwnd=0xc038a, Text = &Continue, ClassName = WindowsForms10.BUTTON.app.0.378734a.
Pid = 728, Hwnd=0x15030c, Text = &Quit, ClassName = WindowsForms10.BUTTON.app.0.378734a.
Pid = 728, Hwnd=0x403ca, Text = See the end of this message for details on invoking just-in-time (JIT) debugging instead of this dialog box. ************** , ClassName = WindowsForms10.EDIT.app.0.378734a.
Pid = 728, Hwnd=0x16032e, Text = Microsoft .NET Framework, ClassName = WindowsForms10.Window.8.app.0.378734a.
คำอธิบายพฤติกรรม: 获取TickCount值
สำหรับข้อมูลเพิ่มเติม: TickCount = 5489093, SleepMilliseconds = 60000.
TickCount = 5489171, SleepMilliseconds = 60000.
TickCount = 5489281, SleepMilliseconds = 60000.
TickCount = 5489343, SleepMilliseconds = 60000.
TickCount = 5489468, SleepMilliseconds = 60000.
TickCount = 5489578, SleepMilliseconds = 60000.
TickCount = 5489703, SleepMilliseconds = 60000.
TickCount = 5489718, SleepMilliseconds = 60000.
TickCount = 5489890, SleepMilliseconds = 60000.
TickCount = 5495156, SleepMilliseconds = 60000.
TickCount = 5495171, SleepMilliseconds = 60000.
คำอธิบายพฤติกรรม: 获取光标位置
สำหรับข้อมูลเพิ่มเติม: CursorPos = (96,18500), SleepMilliseconds = 60000.
CursorPos = (6389,26533), SleepMilliseconds = 60000.
CursorPos = (19224,15757), SleepMilliseconds = 60000.
CursorPos = (11533,29391), SleepMilliseconds = 60000.
CursorPos = (27017,24497), SleepMilliseconds = 60000.
คำอธิบายพฤติกรรม: 打开事件
สำหรับข้อมูลเพิ่มเติม: Global\CLR_PerfMon_StartEnumEvent
\KernelObjects\LowMemoryCondition
HookSwitchHookEnabledEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SvcctrlStartEvent_A3752DX
MSFT.VSA.COM.DISABLE.728
MSFT.VSA.IEC.STATUS.6c736db0
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000051
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000051
MSCTF.SendReceiveConection.Event.ELH.IC
MSCTF.SendReceive.Event.ELH.IC
คำอธิบายพฤติกรรม: 调用Sleep函数
สำหรับข้อมูลเพิ่มเติม: [1]: MilliSeconds = 60000.
คำอธิบายพฤติกรรม: 隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม: [Window,Class] = [Form1,WindowsForms10.Window.8.app.0.378734a]
[Window,Class] = [Microsoft .NET Framework,WindowsForms10.Window.8.app.0.378734a]
คำอธิบายพฤติกรรม: 直接获取CPU时钟
สำหรับข้อมูลเพิ่มเติม: N/A