VirSCAN VirSCAN

1, Ви можете надсилати файли для перевірки розміром не більше 20 мб.
2, VirSCAN перевіряє Rar/Zip файли, але не більше 20-ти файлів.
3, VirSCAN може перевіряти заархівовані файли з наступними паролями 'infected' або 'virus'.

Мова
Завантаження сервера
Server Load

Інформація про файл
Рейтинг безпеки:30
Список поведінки
Основна інформація
MD5:18f1719c288bf313f35e817e0d4371e0
Тип файлу:Cab
Виробнича компанія:
Версія:1.0.0.0---1.0.0.0
Інформація оболонки або компілятора:COMPILER:Upack 2.4 - 2.9 beta -> Dwing [Overlay]
Інформація про субфайл:_sfx_0000._p / b141de927a4399438a96e92bab57f4fa / Unknown
_sfx_0002._p / 4b9422809040ef128fa8a5029e22fd59 / Unknown
_sfx_0004._p / 17098251c4de774c84df4d50f301f29d / Unknown
_sfx_0012._p / 3706770e338f68b90fccbd297e702bfe / Unknown
_sfx_.dll / ee207e35aea4d5df41d90221e1b66efa / DLL
_sfx_0005._p / 566be2b852366484402be64c1fbfda31 / Unknown
_sfx_0001._p / 5138b30c2ba424bda8f8e82a3d69eaa0 / Unknown
_sfx_0008._p / dce74e2985b6502213995485c1603e30 / Unknown
_sfx_0007._p / b97ef1a0cd13d24625cc2ca4abf4455d / Unknown
_sfx_manifest_ / 5ddfc4269842d00fbc01afc74d2e66fb / Unknown
_sfx_0006._p / 832bd671fa19a40839719394d11e39f2 / Unknown
_sfx_0010._p / efbb6e5ef5653c86087b2dae3c3cd4de / Unknown
_sfx_0011._p / 379c91e645ee8f792f231c17017a0978 / Unknown
_sfx_0003._p / 8f052fc684ed10f7d0666c7d5adafe0d / Unknown
update.ver / f02c45665933859cb361c662e1fd3a64 / Unknown
_sfx_0009._p / 68301e7d0d5f05a6ae2270af0809c868 / Unknown
Ключова поведінка
Опис поведінки:修改原系统的EXE文件
Подробиці:C:\WINDOWS\hh.exe---> Offset = 1658
C:\WINDOWS\NOTEPAD.EXE---> Offset = 0
C:\WINDOWS\regedit.exe---> Offset = 0
C:\WINDOWS\TASKMAN.EXE---> Offset = 0
C:\WINDOWS\twunk_32.exe---> Offset = 1658
C:\WINDOWS\winhlp32.exe---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 1658
Опис поведінки:跨进程写入数据
Подробиці:TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 19
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 40
Опис поведінки:自删除
Подробиці:C:\%temp%\1419405339.153238.exe
Опис поведінки:设置线程上下文
Подробиці:C:\WINDOWS\explorer.exe
Опис поведінки:杀掉进程
Подробиці:RavMon.exe
Процес поведінки
Опис поведінки:隐藏窗口创建进程
Подробиці:ImagePath = , CmdLine = c:\docume~1\admini~1\locals~1\temp\$$a3.bat
Опис поведінки:创建进程
Подробиці:ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net stop "Kingsoft AntiVirus Service"
ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 stop "Kingsoft AntiVirus Service"
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\$$a3.bat
Опис поведінки:创建新文件进程
Подробиці:ImagePath = C:\WINDOWS\Logo1_.exe, CmdLine = C:\WINDOWS\Logo1_.exe
Опис поведінки:跨进程写入数据
Подробиці:TargetProcess = explorer.exe, WriteAddress = 0x03010000, Size = 19
C:\WINDOWS\explorer.exe
TargetProcess = explorer.exe, WriteAddress = 0x02890000, Size = 40
Опис поведінки:设置线程上下文
Подробиці:C:\WINDOWS\explorer.exe
Опис поведінки:枚举进程
Подробиці:N/A
Опис поведінки:杀掉进程
Подробиці:RavMon.exe
Опис поведінки:创建下载文件进程
Подробиці:ImagePath = C:\WINDOWS\0Sy.exe, CmdLine = "C:\WINDOWS\0Sy.exe"
ImagePath = C:\WINDOWS\1Sy.exe, CmdLine = "C:\WINDOWS\1Sy.exe"
ImagePath = C:\WINDOWS\2Sy.exe, CmdLine = "C:\WINDOWS\2Sy.exe"
ImagePath = C:\WINDOWS\3Sy.exe, CmdLine = "C:\WINDOWS\3Sy.exe"
ImagePath = C:\WINDOWS\4Sy.exe, CmdLine = "C:\WINDOWS\4Sy.exe"
ImagePath = C:\WINDOWS\5Sy.exe, CmdLine = "C:\WINDOWS\5Sy.exe"
ImagePath = C:\WINDOWS\6Sy.exe, CmdLine = "C:\WINDOWS\6Sy.exe"
ImagePath = C:\WINDOWS\7Sy.exe, CmdLine = "C:\WINDOWS\7Sy.exe"
ImagePath = C:\WINDOWS\8Sy.exe, CmdLine = "C:\WINDOWS\8Sy.exe"
ImagePath = C:\WINDOWS\9Sy.exe, CmdLine = "C:\WINDOWS\9Sy.exe"
ImagePath = C:\WINDOWS\10Sy.exe, CmdLine = "C:\WINDOWS\10Sy.exe"
ImagePath = C:\WINDOWS\11Sy.exe, CmdLine = "C:\WINDOWS\11Sy.exe"
Поведінка файлів
Опис поведінки:写权限映射文件
Подробиці:渝磲痂矧逋逋逋
CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.EOK..OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.B.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.C.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.D.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.E.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.F.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.G.OJJJEB
MSCTF.MarshalInterface.FileMap.EO.JN.OJJJEB
MSCTF.MarshalInterface.FileMap.EO.KN.OJJJEB
MSCTF.MarshalInterface.FileMap.EO.LN.OJJJEB
MSCTF.MarshalInterface.FileMap.EOK.H.KGKJEB
MSCTF.MarshalInterface.FileMap.EOK.I.KGKJEB
MSCTF.MarshalInterface.FileMap.EOK.J.KGKJEB
Опис поведінки:修改原系统的EXE文件
Подробиці:C:\WINDOWS\hh.exe---> Offset = 1658
C:\WINDOWS\NOTEPAD.EXE---> Offset = 0
C:\WINDOWS\regedit.exe---> Offset = 0
C:\WINDOWS\TASKMAN.EXE---> Offset = 0
C:\WINDOWS\twunk_32.exe---> Offset = 1658
C:\WINDOWS\winhlp32.exe---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\spuninst.exe---> Offset = 1658
Опис поведінки:创建可执行文件
Подробиці:C:\WINDOWS\rundl132.exe
C:\WINDOWS\Logo1_.exe
C:\%temp%\1419405318.965539.exe.exe
C:\WINDOWS\Dll.dll
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\winhelp.exe
Опис поведінки:修改文件内容
Подробиці:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\$$a3.bat---> Offset = 0
C:\WINDOWS\_desktop.ini---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\_desktop.ini---> Offset = 0
C:\WINDOWS\$NtUninstallKB2412687$\spuninst\_desktop.ini---> Offset = 0
C:\WINDOWS\addins\_desktop.ini---> Offset = 0
Опис поведінки:自删除
Подробиці:C:\%temp%\1419405339.153238.exe
Поведінка мережі
Опис поведінки:枚举网络共享资源
Подробиці:N/A
Опис поведінки:下载文件
Подробиці:URLDownloadToFileW: http://258ip.com/down/update1.txt ---> c:\1.txt
C:\1.txt
URLDownloadToFileW: http://258ip.com/down/update1.exe ---> C:\WINDOWS\0Sy.exe
C:\WINDOWS\0Sy.exe
URLDownloadToFileW: http://258ip.com/down/update2.txt ---> c:\1.txt
URLDownloadToFileW: http://258ip.com/down/update2.exe ---> C:\WINDOWS\1Sy.exe
C:\WINDOWS\1Sy.exe
URLDownloadToFileW: http://258ip.com/down/update3.txt ---> c:\1.txt
URLDownloadToFileW: http://258ip.com/down/update3.exe ---> C:\WINDOWS\2Sy.exe
C:\WINDOWS\2Sy.exe
URLDownloadToFileW: http://258ip.com/down/update4.txt ---> c:\1.txt
URLDownloadToFileW: http://258ip.com/down/update4.exe ---> C:\WINDOWS\3Sy.exe
C:\WINDOWS\3Sy.exe
URLDownloadToFileW: http://258ip.com/down/update5.txt ---> c:\1.txt
URLDownloadToFileW: http://258ip.com/down/update5.exe ---> C:\WINDOWS\4Sy.exe
Реєстр поведінки
Опис поведінки:修改注册表
Подробиці:\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
\REGISTRY\MACHINE\SOFTWARE\Soft\DownloadWWW\auto
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down0
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\0Sy.exe
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\SessionInformation\ProgramCount
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down1
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\1Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down2
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\2Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down3
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\3Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down4
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\4Sy.exe
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\ver_down5
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\5Sy.exe
Інша поведінка
Опис поведінки:枚举窗口
Подробиці:N/A
Опис поведінки:查找指定窗口
Подробиці:NtUserFindWindowEx: [Class,Window] = [RavMonClass,RavMon.exe]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Опис поведінки:创建互斥体
Подробиці:SHIMLIB_LOG_MUTEX
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.EO
MSCTF.Shared.MUTEX.EOK
MSCTF.Shared.MUTEX.EHL
MSCTF.Shared.MUTEX.EJM
MSCTF.Shared.MUTEX.ECN
MSCTF.Shared.MUTEX.EAM
Аномальна аварія
Опис поведінки:枚举窗口
Подробиці:N/A
Опис поведінки:查找指定窗口
Подробиці:NtUserFindWindowEx: [Class,Window] = [RavMonClass,RavMon.exe]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Опис поведінки:创建互斥体
Подробиці:SHIMLIB_LOG_MUTEX
CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.EO
MSCTF.Shared.MUTEX.EOK
MSCTF.Shared.MUTEX.EHL
MSCTF.Shared.MUTEX.EJM
MSCTF.Shared.MUTEX.ECN
MSCTF.Shared.MUTEX.EAM
Запустити знімок екрана
VirSCAN

Інформація про VirSCAN | Privacy policy | Зворотній зв'язок | Дружня посилання | Співпраця з VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号