VirSCAN VirSCAN

1, Ви можете надсилати файли для перевірки розміром не більше 20 мб.
2, VirSCAN перевіряє Rar/Zip файли, але не більше 20-ти файлів.
3, VirSCAN може перевіряти заархівовані файли з наступними паролями 'infected' або 'virus'.
4, Якщо ваш переглядач не може вивантажити файли, будь ласка, звантажити вивантаження VirSCAN.

Мова
Завантаження сервера
Server Load
VirSCAN
VirSCAN

1, Ви можете надсилати файли для перевірки розміром не більше 20 мб.
2, VirSCAN перевіряє Rar/Zip файли, але не більше 20-ти файлів.
3, VirSCAN може перевіряти заархівовані файли з наступними паролями 'infected' або 'virus'.

Основна інформація

Ім'я файлу: 00爱火
Розмір файлу: 1663125
Тип файлу: application/x-dosexec
MD5: e6f8963e62aede1644a32e405e4cd5bd
sha1: a34ba478b5af29ee28840207ee457099a4c6ca3d

 CreateProcess

ApplicationName:
CmdLine:
childid: 1032
childname: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
drop_type:
name:
noNeedLine:
path:
pid: 2088

 Summary

buffer: C:\Windows\system32\CSRLT.EXE
processid: 1032
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
type: REG_SZ
valuename: CSRLT.EXE
buffer: C:\Windows\MSBLT.EXE
processid: 1032
szSubkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
type: REG_SZ
valuename: MSBLT.EXE

 Dropped Unsave

analysis_result: HEUR:Trojan-Dropper.Win32.Daws.gen
create: 0
how: write
md5: 3bd008835487021453b884af9425dcd5
name: MSBLT.EXE
new_size: 1624KB (1663125bytes)
operation: 修改文件
path: C:\Windows\MSBLT.EXE
processid: 1032
processname: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
sha1: d19f022a2bacc092d6959aa2702cf1d320362948
sha256: c41612367e95a8dff52cc40e610ca0e29f10b39c78243266ae4db87399d199a8
size: 1663125
this_path: /data/cuckoo/storage/analyses/5000466/files/1000/MSBLT.EXE
type: PE32 executable (GUI) Intel 80386, for MS Windows
analysis_result: HEUR:Trojan-Dropper.Win32.Daws.gen
create: 0
how: write
md5: 56ab37159f3473021721816becd62b9a
name: CSRLT.EXE
new_size: 1624KB (1663125bytes)
operation: 修改文件
path: C:\Windows\SysWOW64\CSRLT.EXE
processid: 1032
processname: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
sha1: 21262747c68561dfb78f5c371074a3b7e7b8e48d
sha256: 68b0a57a72812a0409ef413bde33e38d0f14e9317cb6c65f72ae7303fd746782
size: 1663125
this_path: /data/cuckoo/storage/analyses/5000466/files/1001/CSRLT.EXE
type: PE32 executable (GUI) Intel 80386, for MS Windows

 Malicious

attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 89
process_id: 1032
process_name: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 123
process_id: 1032
process_name: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 2
matchedinfo: 检查程序运行时监视鼠标是否移动。一般被恶意软件用于沙盒逃逸
num: 290
process_id: 1032
process_name: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
rulename: 获取当前鼠标位置
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 297
process_id: 1032
process_name: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
rulename: 写入自启动注册表,增加自启动2
attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过拷贝文件到系统目录的方式,以达到隐藏恶意文件的目的
num: 307
process_id: 1032
process_name: 1620579628605_e6f8963e62aede1644a32e405e4cd5bd.exe
rulename: 拷贝文件到系统目录