VirSCAN VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载Virscan Uploader进行上传。

选择语言
服务器负载
Server Load
VirSCAN
VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载夸克浏览器。

基本信息

文件名称: 00王牌御史
文件大小: 420709
文件类型: application/x-dosexec
MD5: de705f2918fb1014711ba4d415fd5b3d
sha1: 651850cc129b95ee4fc8cc15490f6d335602dc46

 CreateProcess

ApplicationName: C:\ProgramData\ndotu.exe
CmdLine:
childid: 2064
childname: ndotu.exe
childpath: C:\ProgramData\ndotu.exe
drop_type:
name: 1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
noNeedLine:
path: C:\Users\Administrator\AppData\Local\Temp\1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
pid: 1748
ApplicationName:
CmdLine:
childid: 1748
childname: 1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
drop_type:
name:
noNeedLine:
path:
pid: 1068

 Summary

buffer: C:\ProgramData\ndotu.exe
processid: 2064
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
type: REG_SZ
valuename: Microsoft\xae Windows\xae Operating System

 Malicious

attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 3
process_id: 1748
process_name: 1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 30
process_id: 1748
process_name: 1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过修改查看隐藏文件设置,达到隐藏文件的目的
num: 180
process_id: 1748
process_name: 1621251012392_de705f2918fb1014711ba4d415fd5b3d.exe
rulename: 获取隐藏文件设置
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 8
process_id: 2064
process_name: ndotu.exe
rulename: 写入自启动注册表,增加自启动2
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 18
process_id: 2064
process_name: ndotu.exe
rulename: 遍历文件