VirSCAN VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载Virscan Uploader进行上传。

选择语言
服务器负载
Server Load
VirSCAN
VirSCAN

1, 你可以上传任何文件,但是文件的尺寸不能超过20兆。
2, 我们支持RAR或ZIP格式的自动解压缩,但压缩文件中不能包含超过20个文件。
3, 我们可以识别并检测密码为 'infected' 或 'virus' 的压缩文件包。
4, 如果您的浏览器无法上传文件,请下载夸克浏览器。

基本信息

文件名称: 00变形金刚领袖之证
文件大小: 444416
文件类型: application/x-dosexec
MD5: c4b4164c8f67b7000101d373f0118b92
sha1: 61c4f5d8dd1cfaef4dc9fc82eb4f661420681cd2

 CreateProcess

ApplicationName:
CmdLine: C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
childid: 1832
childname: csc.exe
childpath: C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
drop_type:
name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
noNeedLine:
path: C:\Users\Administrator\AppData\Local\Temp\1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
pid: 2712
ApplicationName: C:\Windows\System32\cmd.exe
CmdLine: "C:\Windows\System32\cmd.exe" /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "Microsoft\xc2\xae Windows\xc2\xae Operating System" /t REG_SZ /d "C:\Users\Administrator\AppData\Local\Temp\winupdater.exe
childid: 2588
childname: cmd.exe
childpath: C:\Windows\SysWOW64\cmd.exe
drop_type:
name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
noNeedLine: 1
path: C:\Users\Administrator\AppData\Local\Temp\1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
pid: 2712
ApplicationName: C:\Windows\System32\reg.exe
CmdLine: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "Microsoft\xc2\xae Windows\xc2\xae Operating System" /t REG_SZ /d "C:\Users\Administrator\AppData\Local\Temp\winupdater.exe
childid: 2084
childname: reg.exe
childpath: C:\Windows\SysWOW64\reg.exe
drop_type:
name: cmd.exe
noNeedLine: 1
path: C:\Windows\SysWOW64\cmd.exe
pid: 2588
ApplicationName:
CmdLine:
childid: 2712
childname: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
childpath: C:\Users\Administrator\AppData\Local\Temp\1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
drop_type:
name:
noNeedLine:
path:
pid: 2596

 Summary

buffer: C:\Users\Administrator\AppData\Local\Temp\winupdater.exe
processid: 2084
szSubkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
type: REG_SZ
valuename: Microsoft\xc2\xae Windows\xc2\xae Operating System

 Behavior_analysis

message: 企图通过长时间休眠躲避沙箱检测
name: 长时间休眠
szSubkey:
score: 2

 Dropped Unsave

analysis_result: HEUR:Trojan.Win32.Generic
create: 0
how: write
md5: c4b4164c8f67b7000101d373f0118b92
name: winupdater.exe
new_size: 434KB (444416bytes)
operation: 修改文件
path: C:\Users\Administrator\AppData\Local\Temp\winupdater.exe
processid: 2712
processname: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
sha1: 61c4f5d8dd1cfaef4dc9fc82eb4f661420681cd2
sha256: 041db7d8a40344507526fd5169e35c903b5177d4e7355209222deee9dc425efb
size: 444416
this_path: /data/cuckoo/storage/analyses/7000160/files/1000/winupdater.exe
type: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 Malicious

attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 22
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 遍历文件
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 104
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 其他恶意行为
level: 4
matchedinfo: 通过写敏感数据到进程空间或通过内存映射方式映射敏感数据并在后续能够执行或利用该敏感数据,以达到隐蔽恶意代码的目的
num: 454
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 进程数据重写(控制节段数据方式)2
attck_tactics: 防御逃逸
level: 2
matchedinfo: 通过重新写入数据到新创建的进程,以达到逃避杀毒软件检测的目的
num: 454
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 进程数据重写(使用内存映射方式)
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序会通过收集电脑配置信息来进行信息的统计
num: 660
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 系统配置信息收集
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 一般被用于文件的加密、数据的加密传输或可能被用于勒索者病毒中
num: 5758
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 调用加密算法库
attck_tactics: 基础信息获取
level: 2
matchedinfo: 恶意程序通过得到上下文环境,以达到获取上下文环境信息的目的
num: 5966
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 获取线程上下文
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 调用WriteProcessMemory将数据写入其它进程地址空间,以达到注入shellcode或恶意dll。
num: 5980
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 将数据写入远程进程
attck_tactics: 防御逃逸
level: 3
matchedinfo: 恶意程序通过使用reg命令的方式添加危险注册表项,以达到通过添加危险注册表项使恶意程序能够隐蔽执行、自启动等目的
num: 5996
process_id: 2712
process_name: 1620356432496_c4b4164c8f67b7000101d373f0118b92.exe
rulename: 添加注册表(通过命令行形式)
attck_tactics: 执行
level: 2
matchedinfo: 恶意程序通过打开线程,以达到操作其它线程的目的
num: 2
process_id: 2588
process_name: cmd.exe
rulename: 打开其他线程
attck_tactics: 基础信息获取
level: 1
matchedinfo: 通过文件遍历查找指定目标文件
num: 27
process_id: 2588
process_name: cmd.exe
rulename: 遍历文件
attck_tactics: 防御逃逸
level: 3
matchedinfo: 恶意程序通过使用reg命令的方式添加危险注册表项,以达到通过添加危险注册表项使恶意程序能够隐蔽执行、自启动等目的
num: 72
process_id: 2588
process_name: cmd.exe
rulename: 添加注册表(通过命令行形式)
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序通过获取用户磁盘信息的方式,以达到获取敏感信息的目的
num: 99
process_id: 1832
process_name: csc.exe
rulename: 收集磁盘信息
attck_tactics: 基础信息获取
level: 1
matchedinfo: 恶意程序会通过收集电脑配置信息来进行信息的统计
num: 100
process_id: 1832
process_name: csc.exe
rulename: 系统配置信息收集
attck_tactics: 基础信息获取
level: 4
matchedinfo: 恶意程序通过枚举用户凭据的方式,以达到获取敏感信息的目的
num: 213
process_id: 1832
process_name: csc.exe
rulename: 枚举用户凭据
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意软件通过修改内存属性,以达到在内存中解密&执行恶意代码
num: 625
process_id: 1832
process_name: csc.exe
rulename: 修改内存地址为可读可写可执行
attck_tactics: 其他恶意行为
level: 2
matchedinfo: 恶意程序通过从资源段释放资源到内存中,进行解密操作
num: 764
process_id: 1832
process_name: csc.exe
rulename: 加载资源到内存
attck_tactics: 其他恶意行为
level: 1
matchedinfo: 恶意程序通过创建网络连接的方式,以达到通过网络连接进行通信的目的
num: 1386
process_id: 1832
process_name: csc.exe
rulename: 创建网络套接字连接
attck_tactics: 命令与控制
level: 2
matchedinfo: 恶意程序可能连接非常规端口网络连接进行数据偷取操作
num: 1386
process_id: 1832
process_name: csc.exe
rulename: 连接非常规端口
attck_tactics: 持久化
level: 2
matchedinfo: 恶意程序通过修改注册表的方式实现随系统自启动,以达到长期控制或驻留系统的目的
num: 15
process_id: 2084
process_name: reg.exe
rulename: 写入自启动注册表,增加自启动2