VirSCAN VirSCAN

1, 您可以上傳任何檔案,但是檔案大小不能超過20MB。
2, 我們支援RAR或ZIP壓縮檔案格式的自動解壓縮,但壓縮檔案中不能夾帶超過20個檔案。
3, 我們可以辨識並檢測密碼為 'infected' 或 'virus' 的壓縮檔案。
4, 如果您的瀏覽器無法上傳文件,請下載Virscan Uploader進行上傳。

選擇語言
伺服器負載程度
Server Load

VirSCAN
VirSCAN

1, 您可以上傳任何檔案,但是檔案大小不能超過20MB。
2, 我們支援RAR或ZIP壓縮檔案格式的自動解壓縮,但壓縮檔案中不能夾帶超過20個檔案。
3, 我們可以辨識並檢測密碼為 'infected' 或 'virus' 的壓縮檔案。

   文件信息

virscan.org多引擎掃描報告
行為分析報告:         哈勃文件分析

基本信息

MD5:e41ade63a703e745f8fcf400d8d66c61
文件大小:5.58MB
上传时间: 2014-09-22 10:36:30 (CST)
包名:
最低運行環境:
版權:

關鍵行為

行為描述: 篡改父进程
詳細信息: Child: svchost.exe, Parent: svchost.exe(True) ---> DllLoader.exe(Fake)

進程行為

行為描述: 创建本地线程
詳細信息: ProcessId = 1276, ThreadId = 3456.
ProcessId = 1276, ThreadId = 1620.
ProcessId = 1276, ThreadId = 2092.
ProcessId = 1276, ThreadId = 236.
ProcessId = 1276, ThreadId = 460.
行為描述: 篡改父进程
詳細信息: Child: svchost.exe, Parent: svchost.exe(True) ---> DllLoader.exe(Fake)

文件行為

行為描述: 创建文件
詳細信息: C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\WER7A4C.tmp.appcompat.txt
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\WER7BF3.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\memory.hdmp
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\Report.wer
行為描述: 覆盖已有文件
詳細信息: C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml
行為描述: 复制文件
詳細信息: C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\WER7A4C.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_DllLoader.exe_cd3634eb20f2ce5be1371a777149d7b62dd23bc_b3295a47_cab_04f77c6e\WER7BF3.tmp.WERInternalMetadata.xml
行為描述: 删除文件
詳細信息: C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml
行為描述: 查找文件
詳細信息: FileName = C:\Users
FileName = C:\Users\ADMINI~1
FileName = C:\Users\ADMINI~1\AppData
FileName = C:\Users\ADMINI~1\AppData\Local
FileName = C:\Users\ADMINI~1\AppData\Local\Temp
FileName = C:\Users\Administrator\AppData
FileName = C:\Users\Administrator\AppData\Local
FileName = C:\Users\Administrator\AppData\Local\Temp
FileName = C:\Windows\system32\kernel32.dll
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_*_cd3634eb20f2ce5be1371a777149d7b62dd23bc_*_cab_*
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportArchive\*_*_*_b3295a47_cab_*
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_*_cd3634eb20f2ce5be1371a777149d7b62dd23bc_*_cab_*
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportQueue\*_*_*_b3295a47_cab_*
FileName = C:\Windows\system32\drivers\*.mrk
FileName = C:\ProgramData\Microsoft\Windows\WER\ReportQueue\*_*_*_*_*
行為描述: 修改文件内容
詳細信息: C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp ---> Offset = 4096
C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp ---> Offset = 28672
C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp ---> Offset = 32768
C:\Users\Administrator\AppData\Local\Temp\WAX7A3B.tmp ---> Offset = 53248
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> Offset = 2
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> Offset = 108
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> Offset = 228
C:\Users\Administrator\AppData\Local\Temp\WER7A4C.tmp.appcompat.txt ---> Offset = 2248
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> Offset = 0
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> Offset = 2
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> Offset = 80
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> Offset = 84
C:\Users\Administrator\AppData\Local\Temp\WER7BF3.tmp.WERInternalMetadata.xml ---> Offset = 122

註冊表行為

行為描述: 修改注册表
詳細信息: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\ExceptionRecord
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CheckingForSolutionDialog
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CheckingForSolutionDialog
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LastRateLimitedDumpGenerationTime
\REGISTRY\USER\S-1-5-21-1170589654-2814428265-349930785-500\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CloseDialog
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles\CloseDialog

其他行為

行為描述: 检测自身是否被调试
詳細信息: IsDebuggerPresent
行為描述: 创建互斥体
詳細信息: Local\WERReportingForProcess2044
Global\f2df799a-8026-11e8-8b8b-080027cb969f
Local\SessionImmersiveColorMutex
行為描述: 创建事件对象
詳細信息: EventName = Local\WERReportingForProcessComplete2044
EventName = DbgEngEvent_000004FC
EventName = Local\WerDumpGenerationThrottle
行為描述: 打开事件
詳細信息: 2044-AppRecorderEnabled
\KernelObjects\MaximumCommitCondition
MSFT.VSA.COM.DISABLE.1276
MSFT.VSA.IEC.STATUS.6c736db0
\KernelObjects\LowMemoryCondition
\KernelObjects\HighCommitCondition
\KernelObjects\MemoryErrors
行為描述: 调整进程token权限
詳細信息: SE_LOAD_DRIVER_PRIVILEGE
SE_DEBUG_PRIVILEGE
行為描述: 枚举窗口
詳細信息: N/A
行為描述: 隐藏指定窗口
詳細信息: [Window,Class] = [,CtrlNotifySink]