VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้
4, ถ้าเบราว์เซอร์ของคุณไม่สามารถอัปโหลดไฟล์กรุณาดาวน์โหลด Virscan uploader สำหรับการอัปโหลด

ภาษา
การทำงานของเซิฟเวอร์
Server Load

VirSCAN
VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

   ข้อมูลไฟล์

รายงานการสแกนหลายเครื่องของ Virscan.org
รายงานการวิเคราะห์พฤติกรรม:         การวิเคราะห์ไฟล์ Habo

ข้อมูลพื้นฐาน

MD5:d6c35ddbed61352e82e26b8d97ad94dd
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
ชื่อแพ็กเกจ:
สภาพแวดล้อมการทำงานขั้นต่ำ:
ลิขสิทธิ์:

พฤติกรรมที่สำคัญ

คำอธิบายพฤติกรรม: 杀掉进程
สำหรับข้อมูลเพิ่มเติม: TASKKILL = taskkill /f /im Function.exe
คำอธิบายพฤติกรรม: 获取窗口截图信息
สำหรับข้อมูลเพิ่มเติม: Foreground window Info: HWND = 0x00000000, DC = 0x0c0105b3.
Foreground window Info: HWND = 0x00000000, DC = 0xdc010558.
Foreground window Info: HWND = 0x00000000, DC = 0xa7010640.
คำอธิบายพฤติกรรม: 获取TickCount值
สำหรับข้อมูลเพิ่มเติม: TickCount = 5428984, SleepMilliseconds = 250.

พฤติกรรมกระบวนการ

คำอธิบายพฤติกรรม: 隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม: ImagePath = , CmdLine = "C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat"
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd.exe" /c C:\WINDOWS\Fonts\HIDESE~1\SOLA.BAT -Install
คำอธิบายพฤติกรรม: 创建进程
สำหรับข้อมูลเพิ่มเติม: ImagePath = C:\WINDOWS\system32\mshta.exe, CmdLine = "C:\WINDOWS\system32\mshta.exe" "javascript:new ActiveXObject("WScript.Shell").Run("SOLA_2.0_6483999524724.bat",0);window.close()"
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c ""C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat" "
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c date /t
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c dir C:\WINDOWS\explorer.exe
ImagePath = C:\WINDOWS\system32\cscript.exe, CmdLine = cscript C:\WINDOWS\Fonts\HIDESE~1\SOLA.VBS
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd.exe" /c C:\WINDOWS\Fonts\HIDESE~1\SOLA.BAT -Install
ImagePath = C:\WINDOWS\system32\taskkill.exe, CmdLine = taskkill /f /im Function.exe
ImagePath = C:\WINDOWS\NOTEPAD.EXE, CmdLine = "C:\WINDOWS\notepad.exe" C:\Documents and Settings\Administrator\Local Settings\%temp%\新建 文本文档.txt
ImagePath = C:\WINDOWS\system32\attrib.exe, CmdLine = attrib C:\WINDOWS\Fonts\HIDESE~1\Function.dll +s +h +r
ImagePath = C:\WINDOWS\system32\tasklist.exe, CmdLine = tasklist
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = C:\WINDOWS\system32\cmd.exe /c findstr /I "svchost.exe" "C:\WINDOWS\Fonts\HIDESE~1\task.txt"
ImagePath = C:\WINDOWS\system32\findstr.exe, CmdLine = findstr /I "svchost.exe" "C:\WINDOWS\Fonts\HIDESE~1\task.txt"
ImagePath = C:\WINDOWS\system32\attrib.exe, CmdLine = attrib C:\WINDOWS\Tasks\Tasks.job -s -h -r
ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = schtasks /change /ru "NT AUTHORITY\SYSTEM" /tn "Tasks"
ImagePath = C:\WINDOWS\system32\attrib.exe, CmdLine = attrib C:\WINDOWS\Tasks\Tasks.job +s +h +r
คำอธิบายพฤติกรรม: 创建新文件进程
สำหรับข้อมูลเพิ่มเติม: ImagePath = C:\WINDOWS\Fonts\HIDESE~1\Function.exe, CmdLine = ..\Function.exe -x
ImagePath = C:\WINDOWS\system32\rar.exe, CmdLine = rar -m0 -ep -ep1 a C:\WINDOWS\Fonts\HIDESE~1\solasetup\docpack.dll C:\WINDOWS\Fonts\HIDESE~1\Function.dll
ImagePath = C:\WINDOWS\system32\rar.exe, CmdLine = rar -m0 -ep -ep1 a C:\WINDOWS\Fonts\HIDESE~1\solasetup\txtpack.dll C:\WINDOWS\Fonts\HIDESE~1\Function.dll
ImagePath = C:\WINDOWS\system32\rar.exe, CmdLine = rar -m0 -ep -ep1 a C:\WINDOWS\Fonts\HIDESE~1\solasetup\exepack.dll C:\WINDOWS\Fonts\HIDESE~1\Function.dll
ImagePath = C:\WINDOWS\system32\rar.exe, CmdLine = rar -m0 -ep -ep1 a C:\WINDOWS\Fonts\HIDESE~1\solasetup\jpgpack.dll C:\WINDOWS\Fonts\HIDESE~1\Function.dll
คำอธิบายพฤติกรรม: 创建本地线程
สำหรับข้อมูลเพิ่มเติม: TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 1456, ThreadID = 408, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: mshta.exe, InheritedFromPID = 1456, ProcessID = 1532, ThreadID = 2012, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: mshta.exe, InheritedFromPID = 1456, ProcessID = 1532, ThreadID = 796, StartAddress = 6359727B, Parameter = 00E5B1E0
TargetProcess: mshta.exe, InheritedFromPID = 1456, ProcessID = 1532, ThreadID = 556, StartAddress = 77E56C7D, Parameter = 00289FA8
TargetProcess: mshta.exe, InheritedFromPID = 1456, ProcessID = 1532, ThreadID = 2052, StartAddress = 769AE43B, Parameter = 00EAC878
TargetProcess: mshta.exe, InheritedFromPID = 1456, ProcessID = 1532, ThreadID = 2060, StartAddress = 765E964D, Parameter = 0195BDA0
TargetProcess: cscript.exe, InheritedFromPID = 2076, ProcessID = 2100, ThreadID = 2108, StartAddress = 01002A66, Parameter = 008E41A8
TargetProcess: cscript.exe, InheritedFromPID = 2076, ProcessID = 2100, ThreadID = 2124, StartAddress = 765E964D, Parameter = 001BCF40
TargetProcess: cscript.exe, InheritedFromPID = 2076, ProcessID = 2100, ThreadID = 2208, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: taskkill.exe, InheritedFromPID = 2248, ProcessID = 2304, ThreadID = 2340, StartAddress = 77E56C7D, Parameter = 000EAC28
TargetProcess: taskkill.exe, InheritedFromPID = 2248, ProcessID = 2304, ThreadID = 2344, StartAddress = 769AE43B, Parameter = 000ED5C8
TargetProcess: taskkill.exe, InheritedFromPID = 2248, ProcessID = 2304, ThreadID = 2348, StartAddress = 77E56C7D, Parameter = 000EDC90
TargetProcess: tasklist.exe, InheritedFromPID = 2248, ProcessID = 2508, ThreadID = 2516, StartAddress = 77E56C7D, Parameter = 000EAC08
TargetProcess: tasklist.exe, InheritedFromPID = 2248, ProcessID = 2508, ThreadID = 2520, StartAddress = 769AE43B, Parameter = 000ED5A8
TargetProcess: tasklist.exe, InheritedFromPID = 2248, ProcessID = 2508, ThreadID = 2524, StartAddress = 77E56C7D, Parameter = 000EDD30
คำอธิบายพฤติกรรม: 杀掉进程
สำหรับข้อมูลเพิ่มเติม: TASKKILL = taskkill /f /im Function.exe

พฤติกรรมของไฟล์

คำอธิบายพฤติกรรม: 创建文件
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\%temp%\__tmp_rar_sfx_access_check_5426203
C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll
C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat
C:\Documents and Settings\Administrator\Local Settings\%temp%\新建 文本文档.txt
C:\WINDOWS\Fonts\HIDESELF..\sola.bat
C:\WINDOWS\Fonts\HIDESELF..\Function.exe
C:\WINDOWS\Fonts\HIDESELF..\SOLA.VBS
C:\WINDOWS\Fonts\HIDESELF..\sola.sign
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\jpgpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\exepack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\txtpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\docpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Tasks.xxx
คำอธิบายพฤติกรรม: 添加计划任务
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\Tasks\Tasks.job
คำอธิบายพฤติกรรม: 创建可执行文件
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe
C:\WINDOWS\Fonts\HIDESELF..\svchost.exe
C:\WINDOWS\system32\sleep.exe
คำอธิบายพฤติกรรม: 复制文件
สำหรับข้อมูลเพิ่มเติม: ..\Function.exe ---> Function.dll
C:\WINDOWS\Fonts\HIDESE~1\solasetup\Function.dll ---> C:\WINDOWS\Fonts\HIDESE~1\Function.dll
C:\WINDOWS\system32\cmd.exe ---> C:\WINDOWS\Fonts\HIDESE~1\svchost.exe
C:\WINDOWS\Fonts\HIDESE~1\solasetup\sleep.exe ---> C:\WINDOWS\system32\sleep.exe
คำอธิบายพฤติกรรม: 删除文件
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\%temp%\__tmp_rar_sfx_access_check_5426203
C:\WINDOWS\Fonts\HIDESELF..\SOLA.VBS
C:\WINDOWS\Fonts\HIDESELF..\solasetup\docpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\txtpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\exepack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\jpgpack.dll
C:\WINDOWS\Fonts\HIDESELF..\task.txt
คำอธิบายพฤติกรรม: 查找文件
สำหรับข้อมูลเพิ่มเติม: FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = mshta.*
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\mshta.*
FileName = C:\WINDOWS\system32\mshta.*
FileName = C:\WINDOWS
FileName = C:\WINDOWS\system32
FileName = C:\WINDOWS\system32\mshta.exe
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat
FileName = C:\WINDOWS\system32\cmd.exe
FileName = C:\WINDOWS\explorer.exe
คำอธิบายพฤติกรรม: 修改BAT脚本文件
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\sola.bat ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\sola.bat ---> Offset = 80
C:\WINDOWS\Fonts\HIDESELF..\sola.bat ---> Offset = 160
C:\WINDOWS\Fonts\HIDESELF..\sola.bat ---> Offset = 240
C:\WINDOWS\Fonts\HIDESELF..\sola.bat ---> Offset = 320
C:\WINDOWS\Fonts\HIDESELF..\SOLA.VBS ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\SOLA.VBS ---> Offset = 22
C:\WINDOWS\Fonts\HIDESELF..\SOLA.VBS ---> Offset = 68
C:\WINDOWS\Fonts\HIDESELF..\solasetup\SOLA.BAT ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\scan.bat ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\infect.bat ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\TENBATSU.BAT ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\RecentInf.bat ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\LocalScan.bat ---> Offset = 0
คำอธิบายพฤติกรรม: 重命名文件
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\Fonts\HIDESELF..\__rar_00.500 ---> C:\WINDOWS\Fonts\HIDESE~1\solasetup\docpack.dll
C:\WINDOWS\Fonts\HIDESELF..\__rar_00.391 ---> C:\WINDOWS\Fonts\HIDESE~1\solasetup\txtpack.dll
C:\WINDOWS\Fonts\HIDESELF..\__rar_00.391 ---> C:\WINDOWS\Fonts\HIDESE~1\solasetup\exepack.dll
C:\WINDOWS\Fonts\HIDESELF..\__rar_00.469 ---> C:\WINDOWS\Fonts\HIDESE~1\solasetup\jpgpack.dll
คำอธิบายพฤติกรรม: 修改文件内容
สำหรับข้อมูลเพิ่มเติม: C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\%temp%\Function.dll ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\%temp%\新建 文本文档.txt ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\Function.exe ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\Function.exe ---> Offset = 80
C:\WINDOWS\Fonts\HIDESELF..\Function.exe ---> Offset = 160
C:\WINDOWS\Fonts\HIDESELF..\Function.exe ---> Offset = 240
C:\WINDOWS\Fonts\HIDESELF..\Function.exe ---> Offset = 320
C:\WINDOWS\Fonts\HIDESELF..\sola.sign ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll ---> Offset = 0
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll ---> Offset = 65536
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll ---> Offset = 131072

ลักษณะการทำงานของรีจิสทรี

คำอธิบายพฤติกรรม: 修改注册表
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\mshta.exe
\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Local Settings\%temp%\SOLA_2.0_6483999524724.bat
\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\notepad.exe
คำอธิบายพฤติกรรม: 修改注册表_服务项
สำหรับข้อมูลเพิ่มเติม: \REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\ShellHWDetection\Start

พฤติกรรมอื่น ๆ

คำอธิบายพฤติกรรม: 创建互斥体
สำหรับข้อมูลเพิ่มเติม: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.ELH
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
Local\!PrivacIE!SharedMemory!Mutex
คำอธิบายพฤติกรรม: 隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม: [Window,Class] = [,ComboLBox]
คำอธิบายพฤติกรรม: 查找指定窗口
สำหรับข้อมูลเพิ่มเติม: NtUserFindWindowEx: [Class,Window] = [EDIT,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [,]
NtUserFindWindowEx: [Class,Window] = [RegEdit_RegEdit,]
คำอธิบายพฤติกรรม: 打开事件
สำหรับข้อมูลเพิ่มเติม: HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000051
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000051
MSCTF.SendReceiveConection.Event.ELH.IC
MSCTF.SendReceive.Event.ELH.IC
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
_fCanRegisterWithShellService
MSFT.VSA.COM.DISABLE.1532
MSFT.VSA.IEC.STATUS.6c736db0
Global\crypt32LogoffEvent
MSFT.VSA.COM.DISABLE.2100
MSFT.VSA.COM.DISABLE.2304
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000053
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000053
MSFT.VSA.COM.DISABLE.2508
คำอธิบายพฤติกรรม: 获取TickCount值
สำหรับข้อมูลเพิ่มเติม: TickCount = 5428984, SleepMilliseconds = 250.
คำอธิบายพฤติกรรม: 调整进程token权限
สำหรับข้อมูลเพิ่มเติม: SE_LOAD_DRIVER_PRIVILEGE
SE_SYSTEMTIME_PRIVILEGE
SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม: 枚举窗口
สำหรับข้อมูลเพิ่มเติม: N/A
คำอธิบายพฤติกรรม: 停止系统服务
สำหรับข้อมูลเพิ่มเติม: ServiceName = Shell Hardware Detection
คำอธิบายพฤติกรรม: 获取窗口截图信息
สำหรับข้อมูลเพิ่มเติม: Foreground window Info: HWND = 0x00000000, DC = 0x0c0105b3.
Foreground window Info: HWND = 0x00000000, DC = 0xdc010558.
Foreground window Info: HWND = 0x00000000, DC = 0xa7010640.
คำอธิบายพฤติกรรม: 可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe(签名验证: 未通过)
C:\WINDOWS\Fonts\HIDESELF..\svchost.exe(签名验证: 未通过)
C:\WINDOWS\system32\sleep.exe(签名验证: 未通过)
คำอธิบายพฤติกรรม: 调用Sleep函数
สำหรับข้อมูลเพิ่มเติม: [1]: MilliSeconds = 250.
[2]: MilliSeconds = 1000.
[3]: MilliSeconds = 250.
คำอธิบายพฤติกรรม: 可执行文件MD5
สำหรับข้อมูลเพิ่มเติม: C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe ---> 获取文件大小失败!
C:\WINDOWS\Fonts\HIDESELF..\svchost.exe ---> 获取文件大小失败!
C:\WINDOWS\system32\sleep.exe ---> b29f5cf262010a7b1d300deb81e33a05
คำอธิบายพฤติกรรม: 打开互斥体
สำหรับข้อมูลเพิ่มเติม: ShimCacheMutex
Local\!IETld!Mutex
CtfmonInstMutexDefaultS-*