VirSCAN VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载Virscan Uploader进行上传。

选择语言
服务器负载
Server Load
VirSCAN
VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载夸克浏览器。

基本信息

文件名称: 00皇帝成长计划
文件大小: 661110
文件类型: application/x-dosexec
MD5: 67b92b52b1161e7307fe9984f583ef10
sha1: 8085a9631af5dec71bd982877103462f0372f66a

 CreateProcess

ApplicationName:
CmdLine: C:\Windows\system32\wermgr.exe
childid: 2000
childname: wermgr.exe
childpath: C:\Windows\System32\wermgr.exe
drop_type:
name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
pid: 2368
ApplicationName:
CmdLine:
childid: 2368
childname: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
drop_type:
name:
noNeedLine:
path:
pid: 2916

 Dropped_Save

analysis_result: 安全
create: 0
how: del
md5: 084d3f36cd5ceef971434b363f69891a
name: logFF2.tmp
new_size: 724bytes
operation: 释放后删除文件
path: C:\Users\Administrator\AppData\Local\Temp\logFF2.tmp
processid: 2368
processname: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
sha1: b8bbc57a59f31ed627b24d8555de92f514baa727
sha256: 6d7780614c94f9a7749cdc3b6ac7af2cd85db231493562b9cd48978a139eb486
size: 724
this_path: /data/cuckoo/storage/analyses/2000858/files/7329588101/logFF2.tmp
type: Non-ISO extended-ASCII text, with CRLF line terminators
analysis_result: 安全
create: 0
how: write
md5: 5db430d22511b6f9112c6cd377d70f6e
name: a18ca4003deb042bbee7a40f15e1970b_ff1996c6-1c32-48f3-a89c-1ab09b8477c7
new_size: 1036bytes
operation: 修改文件
path: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3531488231-4160719598-983141384-500\a18ca4003deb042bbee7a40f15e1970b_ff1996c6-1c32-48f3-a89c-1ab09b8477c7
processid: 2368
processname: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
sha1: 6cf5c8bf3653c1295fe3e42689ce7220ad5bf1e3
sha256: 78631144f4b1e2f785e248028ce149014ac16129ccba7c4c0ee458a6a6d063b6
size: 1036
this_path: /data/cuckoo/storage/analyses/2000858/files/1000/a18ca4003deb042bbee7a40f15e1970b_ff1996c6-1c32-48f3-a89c-1ab09b8477c7
type: data

 Malicious

attck_tactics: 防御逃逸
level: 2
matchedinfo: 恶意程序通过从资源段释放文件并运行的方式,以达到隐藏恶意代码的目的
num: 90
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 从资源段释放文件并运行
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 90
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 92
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 99
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 调用加密算法库
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 1014
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 2
matchedinfo: 恶意程序通过得到上下文环境,以达到获取上下文环境信息的目的
num: 1016
process_id: 2368
process_name: 1620826241769_67b92b52b1161e7307fe9984f583ef10.exe
rulename: 获取线程上下文
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户网卡信息的方式,以达到获取敏感信息的目的
num: 231
process_id: 2000
process_name: wermgr.exe
rulename: 收集电脑网卡信息
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 232
process_id: 2000
process_name: wermgr.exe
rulename: 调用加密算法库
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
num: 254
process_id: 2000
process_name: wermgr.exe
rulename: 打开服务控制管理器
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
num: 256
process_id: 2000
process_name: wermgr.exe
rulename: 启动服务