VirSCAN VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载Virscan Uploader进行上传。

选择语言
服务器负载
Server Load
VirSCAN
VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载夸克浏览器。

基本信息

文件名称: Google.exe
文件大小: 260096
文件类型: application/x-dosexec
MD5: 6671e1ed6ad6313d1ede05f7ef527702
sha1: c274cef26ad6132f6afeab44e9e4fc0903c2f271

 CreateProcess

ApplicationName:
CmdLine:
childid: 1092
childname: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
drop_type:
name:
noNeedLine:
path:
pid: 2504

 Summary

buffer: 0
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_DWORD
valuename: EnableFileTracing
buffer: 0
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_DWORD
valuename: EnableConsoleTracing
buffer: 4294901760
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_DWORD
valuename: FileTracingMask
buffer: 4294901760
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_DWORD
valuename: ConsoleTracingMask
buffer: 1048576
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_DWORD
valuename: MaxFileSize
buffer: %windir%\tracing\x00
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASAPI32
type: REG_EXPAND_SZ
valuename: FileDirectory
buffer: 0
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_DWORD
valuename: EnableFileTracing
buffer: 0
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_DWORD
valuename: EnableConsoleTracing
buffer: 4294901760
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_DWORD
valuename: FileTracingMask
buffer: 4294901760
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_DWORD
valuename: ConsoleTracingMask
buffer: 1048576
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_DWORD
valuename: MaxFileSize
buffer: %windir%\tracing\x00
processid: 1092
szSubkey: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\1620579640013_6671e1ed6ad6313d1ede05f7ef527702_RASMANCS
type: REG_EXPAND_SZ
valuename: FileDirectory

 Behavior_analysis

message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Dropped_Save

analysis_result: 安全
create: 0
how: del
md5: 8d9d8bf128ebd6bfdc8868158cff789c
name: tmp40C.tmp
new_size: 18KB (18432bytes)
operation: 释放后删除文件
path: C:\Users\Administrator\AppData\Local\Temp\tmp40C.tmp
processid: 1092
processname: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
sha1: 129b7813965c8a900ce975bc9eaebbc8974392b1
sha256: 110741421c3486ff94ee401f23c7b7620fc5e438f7be2f0519ec0bf4ef625dbc
size: 18432
this_path: /data/cuckoo/storage/analyses/4000487/files/4612086635/tmp40C.tmp
type: SQLite 3.x database
analysis_result: 安全
create: 0
how: copy
md5: 829a6bed5ae152215fcfed9d97818889
name: tmp3FB.tmp
new_size: 11KB (12147bytes)
operation: 拷贝覆盖文件
path: C:\Users\Administrator\AppData\Local\Temp\tmp3FB.tmp
processid: 1092
processname: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
sha1: 1c6be1a949488d93f58a894ae927729a69351844
sha256: 6343f22d5e8d61ef2bb75096502cad60fc456371df4dee335a0afbae7dd6261d
size: 12147
this_path: /data/cuckoo/storage/analyses/4000487/files/1000/tmp3FB.tmp
type: UTF-8 Unicode text, with very long lines, with no line terminators

 Malicious

attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 22
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 遍历文件
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 150
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 防御逃逸
level: 3
matchedinfo: 恶意程序通过修改特定注册表项而造成镜像劫持,以达到替换原执行程序并使自己能够被执行的目的
num: 163
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 进行进程劫持
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 1053
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 调用加密算法库
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意程序通过创建网络连接的方式,以达到通过网络连接进行通信的目的
num: 1348
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 创建网络套接字连接
attck_tactics: 防御逃逸
level: 3
matchedinfo: 通过APC线程注入的方式将恶意代码注入到受信任的进程空间中并执行,以达到隐藏恶意代码的目的
num: 1422
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 使用APC线程注入
attck_tactics: 持久化
level: 1
matchedinfo: 恶意程序通过打开服务控制管理器(Service Control Manager),以达到对服务进行控制的目的
num: 2667
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 打开服务控制管理器
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过启动恶意服务,以达到通过服务方式执行恶意代码的目的
num: 2669
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 启动服务
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 2908
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 加载资源到内存
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2940
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户网卡信息的方式,以达到获取敏感信息的目的
num: 2993
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 收集电脑网卡信息
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序会使用Get方式请求(或发送)配置文件
num: 3556
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 使用Get方式请求数据
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过调用关键api的获取系统的用户名,以达到收集用户信息的目的
num: 3565
process_id: 1092
process_name: 1620579640013_6671e1ed6ad6313d1ede05f7ef527702.exe
rulename: 获取当前用户名