عـيـنة 9-5-2015#5

ahmed@salah · ‏مايو 10, 2015

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

elmasry2006 · ‏مايو 10, 2015

مقتبس من tiktoshi: ↑

هده العينة مكشوفة من سحابة وتم رفع الملف وتخليله واعطائه تسمية

مثلا

مشاهدة المرفق 85184

اما الملفات التي قيد التخليل يعطيه هده التسمية

مثلا

مشاهدة المرفق 85185
أنقر للتوسيع...

تسمياته غريبه لاافهم ماالمقصود ( apc )

nasa3 · ‏مايو 10, 2015

مقتبس من black007: ↑

الملف 6eb5b047f8c296c8a80aafd27edf0e76ff75e02cfe185bc88f62916fb79c1e09

يتصل بالاى بى

121.50.46.81

البورت

8080

الاى بى

64.50.182.224

الدومين

blog.windjammerpromotions.com

البورت

80
--------------------------------------------------

الملف 9cf576d2c44bc5f4a61f6e02032d132f0323f4f833395ce5fdf52b859c2095ec

كان محمى وتم فك الحمايه عنه

وواضح انه حاطط اكثر من استدعاء كلها فى الريسورس

السورس

كود PHP:

Private Shared Function CQygRqh() As Object     Return PvlxVrgDAStNnrKT.lkGJVbtdjhBNwxVzyzW(Type.GetType(PvlxVrgDAStNnrKT.AMVxeMgjLGAYYCc("16#58#48#55#38#46#109#17#38#37#47#38#32#55#42#44#45#109#2#48#48#38#46#33#47#58", PvlxVrgDAStNnrKT.dxjsQaZrxtpoYtbroQh)), PvlxVrgDAStNnrKT.AMVxeMgjLGAYYCc("4#38#55#6#59#38#32#54#55#42#45#36#2#48#48#38#46#33#47#58", PvlxVrgDAStNnrKT.dxjsQaZrxtpoYtbroQh), New Type(0  - 1) {}).Invoke(Nothing, Nothing) End Function

الفانكشنات

كود PHP:

Private Shared Function lkGJVbtdjhBNwxVzyzW(ByVal IYTVaWwelrSbHaQ As Type, ByVal ZugWLiIM As String, ByVal OHOGqZYHKLDn As Type()) As MethodInfo     Dim methods As MethodInfo() = IYTVaWwelrSbHaQ.GetMethods     Dim infoArray2 As MethodInfo() = New MethodInfo(1  - 1) {}     Dim info As MethodInfo     For Each info In methods         If Not (info.Name = ZugWLiIM) Then             Continue For         End If         Dim parameters As ParameterInfo() = info.GetParameters         If (parameters.Length = OHOGqZYHKLDn.Length) Then             Dim index As Integer = 0             Do While (index < parameters.Length)                 If (Not parameters(index).ParameterType Is OHOGqZYHKLDn(index)) Then                     Exit Do                 End If                 index += 1             Loop             If (index = parameters.Length) Then                 infoArray2(0) = info             End If         End If     Next     Return infoArray2(0) End Function

ايضا

كود PHP:

Private Shared Function AMVxeMgjLGAYYCc(ByVal IYTVaWwelrSbHaQ As String, ByVal yzBzyfqdVTGkTEx As Byte()) As String     yzBzyfqdVTGkTEx = PvlxVrgDAStNnrKT.GetKey     Dim strArray As String() = IYTVaWwelrSbHaQ.Split(New Char() { "#"c })     Dim lJgkSwegvtOXaXOcoU As Byte() = New Byte(strArray.Length  - 1) {}     Dim i As Integer     For i = 0 To strArray.Length - 1         lJgkSwegvtOXaXOcoU(i) = Byte.Parse(strArray(i))     Next i     lJgkSwegvtOXaXOcoU = PvlxVrgDAStNnrKT.JeJkfRdWDyMnQuCLBY(lJgkSwegvtOXaXOcoU, yzBzyfqdVTGkTEx)     Dim chArray As Char() = New Char(lJgkSwegvtOXaXOcoU.Length  - 1) {}     Dim j As Integer     For j = 0 To lJgkSwegvtOXaXOcoU.Length - 1         chArray(j) = DirectCast(CInt(DirectCast(lJgkSwegvtOXaXOcoU(j), nZYUlO)), Char)     Next j     Return New String(chArray) End Function   Private Shared Function AMVxeMgjLGAYYCc(ByVal IYTVaWwelrSbHaQ As String, ByVal yzBzyfqdVTGkTEx As Byte()) As String     yzBzyfqdVTGkTEx = PvlxVrgDAStNnrKT.GetKey     Dim strArray As String() = IYTVaWwelrSbHaQ.Split(New Char() { "#"c })     Dim lJgkSwegvtOXaXOcoU As Byte() = New Byte(strArray.Length  - 1) {}     Dim i As Integer     For i = 0 To strArray.Length - 1         lJgkSwegvtOXaXOcoU(i) = Byte.Parse(strArray(i))     Next i     lJgkSwegvtOXaXOcoU = PvlxVrgDAStNnrKT.JeJkfRdWDyMnQuCLBY(lJgkSwegvtOXaXOcoU, yzBzyfqdVTGkTEx)     Dim chArray As Char() = New Char(lJgkSwegvtOXaXOcoU.Length  - 1) {}     Dim j As Integer     For j = 0 To lJgkSwegvtOXaXOcoU.Length - 1         chArray(j) = DirectCast(CInt(DirectCast(lJgkSwegvtOXaXOcoU(j), nZYUlO)), Char)     Next j     Return New String(chArray) End Function

البرنامج نسخه مزيفه من برنامج Steam

------------------------------------------------------------------

الملف 94d0d0299fe44b857c99754519a50cc766bc5bcceefefba9d1b029a27c8a5107

الاى بى

189.38.90.66

الدومين

bimedamogivet.com

الاى بى

189.38.90.51

الدومين

brosina.com.br

الاثنين على بورت 80

الملف نسخه RAT مشفر بالدلفى

----------------------------------------------------------

الملف 832d8cc107c9e6e16c5ddb2ba8c2e372f5d83373da48a21e9f16389b39b7d835

يتصل على الاى بى

31.9.48.78

ببورت

4445

الاى بى

104.74.10.21

بورت

443

الاى بى

107.14.32.34

بورت

80

ويقوم بزراعه عده ملفات منها

C:\Users\AppData\Local\Temp\Bookmarks.db

C:\Users\AppData\Local\Temp\Skype.exe

C:\Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Skype Phone.lnk

C:\Users\AppData\Roaming\dclogs\2015-05-09-7.dc

-------------------------------------------------------------

الملف 22246109b96484b5e7622f1703289bf2785b49e6b17f07301c14b8ec498a1c13

يتصل بعده ايبهات مختلفه

173.243.125.195
8.5.1.16
184.168.221.61
98.139.135.198
107.14.32.34

على بورت 80

-----------------------------------------------------

ودى

أنقر للتوسيع...

ما شاء الله عليك
الله يبارك فيك و يزيدك

elmasry2006 · ‏مايو 10, 2015

مقتبس من Abdelkarim: ↑

G data
الفحص 3 ملفات مكتشفة
مشاهدة المرفق 85175
الباقي 2
مشاهدة المرفق 85176

بالتشغيل
الاول
مشاهدة المرفق 85177 مشاهدة المرفق 85178

الثاني اظنه مخصصا لاستغلال ثغرة
فبالتزامن مع تشغيله تحركت وحدة exploit protection و توقف الفلاش بلاير
مشاهدة المرفق 85179 مشاهدة المرفق 85180
أنقر للتوسيع...

مقتبس من أبو رمش: ↑

البتد فيندر عند فك الضغط ..
مشاهدة المرفق 85181

تشغيل المتبقي ..
مشاهدة المرفق 85182

أنقر للتوسيع...

::::::::::::::::::::::::::::::::::::::::::

البولجارد العلامه الكامله بفك الضغط .............لم يتبقى شئ
::::::::::::::::::::::::::::::::::::::::::::::::::::::::

nasa3 · ‏مايو 10, 2015

ESET Smart Security 8
5/4

الملف 832d8cc107c9e6e16c5ddb2ba8c2e372f5d83373da48a21e9f16389b39b7d835.exe
مكتشف من المالوير بايتس على انه باك دور
الغير فى الأمر كليك يمين على هذا الملف فى القائة التى تظهر لا يظهر من ضمنها خيارات الفحص بالنود

elmasry2006 · ‏مايو 10, 2015

ومالمقصود HEUR /CLOUD
@tiktoshi
الهيروستيك الية عمل
والسحاب الية اخرى
انظروا لتلك الصور اكتشافات غريبه

:::::::::::::::::::::::::::::::::::::::::

:::::::::::::::::::::::::::::::::::::::

مره heur
مرةheur/cloud
مرة cloud
ارجو ان يحضرنا الغالي فتحي او مصطفى اوعمرو
@black007

@Amr Saad

@m0d!s@r7@n

elmasry2006 · ‏مايو 10, 2015

مقتبس من nasa3: ↑

ESET Smart Security 8
5/4
مشاهدة المرفق 85240
الملف 832d8cc107c9e6e16c5ddb2ba8c2e372f5d83373da48a21e9f16389b39b7d835.exe
مكتشف من المالوير بايتس على انه باك دور
الغير فى الأمر كليك يمين على هذا الملف فى القائة التى تظهر لا يظهر من ضمنها خيارات الفحص بالنود
أنقر للتوسيع...

في هذا الملف اما في جميع الملفات

nasa3 · ‏مايو 10, 2015

مقتبس من elmasry2006: ↑

في هذا الملف اما في جميع الملفات
أنقر للتوسيع...

هذا الملف فقط

elmasry2006 · ‏مايو 10, 2015

مقتبس من nasa3: ↑

هذا الملف فقط
أنقر للتوسيع...

غريبه جدا ممكن يكون علشان
9-5-2015#5
لكن عندي بفحص اليمين بالبولجارد يظهر عادي جدا

ausama-vet · ‏مايو 10, 2015

مقتبس من hitman samir12: ↑

نتيجتين مختلفتين
أنقر للتوسيع...

السلام عليكم
لبرنامجين مختلفين في النوع والاصدار والسعر وكلشى
ود

ausama-vet · ‏مايو 10, 2015

السلام عليكم

زونا الارم اكستريم سكيورتي
بلفحص اكتشف كامل العينة وتم حذفها
الباقي لاشئ

ساجرب تشغيل العينة بعد التجميد
حاسس انو هل برنامج مافي محلل سلوك خالص

hitman samir12 · ‏مايو 10, 2015

مقتبس من ausama-vet: ↑

السلام عليكم
لبرنامجين مختلفين في النوع والاصدار والسعر وكلشى
ود
أنقر للتوسيع...

حبيبي نفس المحرك ونفس قاعدة البيانات

black007 · ‏مايو 10, 2015

مقتبس من elmasry2006: ↑

ومالمقصود HEUR /CLOUD
@tiktoshi
الهيروستيك الية عمل
والسحاب الية اخرى
انظروا لتلك الصور اكتشافات غريبه
مشاهدة المرفق 85241
:::::::::::::::::::::::::::::::::::::::::
مشاهدة المرفق 85242
:::::::::::::::::::::::::::::::::::::::

مره heur
مرةheur/cloud
مرة cloud
ارجو ان يحضرنا الغالي فتحي او مصطفى اوعمرو
@black007

@Amr Saad

@m0d!s@r7@n
أنقر للتوسيع...

التسميات مختلفه لعده اسباب

ساوضح لك الامر

التسميه الاولى

TR/ APC (Cloud ) هذه التسميه تمت على اساس الهيروستك السحابى وان الملف غير معروف لدى مختبرات افيرا وتم رفعه الملف للتحليل ولم يتم تحديد التسميه بعد

التسميه الثانيه

TR/RedCap .xxxx(Cloud) هذه التسميه تمت على اساس ان الملف تم اكتشافه عن طريق الهيروستك السحابى وتم تحليل الملف واعاده تسميته بعد تحلله مره اولى من APC الى الاسم الذى عليه الان

يعنى نقدر نقول ان الملف تم وضع التسيمه بعد تحليله مرتين

التسيمه الثالثه والاخيره

HEUR/ Malware هذه التسميه تمت على اساسه الهيروستيك البرنامج نفسه وليس السحاب

نعم فالافيرا يحتوى على هيروستك ولكن ليس على المستوى ولا يقارع البرامج الكبرى ولكنه يعمل والتسميه تكون على الشكل الذى تراه

ودى

ausama-vet · ‏مايو 10, 2015

السلام عليكم

زونا الارم
التشغيل لم يكتشف شئ على ما اضن

Abdelkarim · ‏مايو 10, 2015

مقتبس من elmasry2006: ↑

::::::::::::::::::::::::::::::::::::::::::

البولجارد العلامه الكامله بفك الضغط .............لم يتبقى شئ
::::::::::::::::::::::::::::::::::::::::::::::::::::::::
مشاهدة المرفق 85239
أنقر للتوسيع...

مسألة تحذيتات فقط

فحتى الجي داتا الان يكتشف كامل العينة

elmasry2006 · ‏مايو 10, 2015

مقتبس من black007: ↑

التسميات مختلفه لعده اسباب

ساوضح لك الامر

التسميه الاولى

TR/ APC (Cloud ) هذه التسميه تمت على اساس الهيروستك السحابى وان الملف غير معروف لدى مختبرات افيرا وتم رفعه الملف للتحليل ولم يتم تحديد التسميه بعد

التسميه الثانيه

TR/RedCap .xxxx(Cloud) هذه التسميه تمت على اساس ان الملف تم اكتشافه عن طريق الهيروستك السحابى وتم تحليل الملف واعاده تسميته بعد تحلله مره اولى من APC الى الاسم الذى عليه الان

يعنى نقدر نقول ان الملف تم وضع التسيمه بعد تحليله مرتين

التسيمه الثالثه والاخيره

HEUR/ Malware هذه التسميه تمت على اساسه الهيروستيك البرنامج نفسه وليس السحاب

نعم فالافيرا يحتوى على هيروستك ولكن ليس على المستوى ولا يقارع البرامج الكبرى ولكنه يعمل والتسميه تكون على الشكل الذى تراه

ودى

أنقر للتوسيع...

جزيت خيرااااااااا
يبدو من كلامك انها سوف تربط الهيروستيك الضعيف بالسحاب وهذا سيتضح اكثر مع النسخ القادمه

Abdelkarim · ‏مايو 10, 2015

مقتبس من nasa3: ↑

ESET Smart Security 8
5/4
مشاهدة المرفق 85240
الملف 832d8cc107c9e6e16c5ddb2ba8c2e372f5d83373da48a21e9f16389b39b7d835.exe
مكتشف من المالوير بايتس على انه باك دور
الغير فى الأمر كليك يمين على هذا الملف فى القائة التى تظهر لا يظهر من ضمنها خيارات الفحص بالنود
أنقر للتوسيع...

هذا عائد ربما الى طبيعة امتداد الملف فهو ليس exe بل pif

elmasry2006 · ‏مايو 10, 2015

مقتبس من Abdelkarim: ↑

مسألة تحذيتات فقط

فحتى الجي داتا الان يكتشف كامل العينة

مشاهدة المرفق 85251
أنقر للتوسيع...

ممكن اسأل سؤال انت ليه بتفحص من الدوس

nasa3 · ‏مايو 10, 2015

مقتبس من Abdelkarim: ↑

هذا عائد ربما الى طبيعة امتداد الملف فهو ليس exe بل pif
مشاهدة المرفق 85252
أنقر للتوسيع...

ممكن
انا اول ارى هذا الأمتداد

tiktoshi · ‏مايو 10, 2015

مقتبس من elmasry2006: ↑

تسمياته غريبه لاافهم ماالمقصود ( apc )
أنقر للتوسيع...

APC المقصود بها
Avira Protection Cloud

HEUR المقصود بها

heuristique

والهيروستيك في تطور

في الايام السابقة عند كشف ملف غير معروف من السحاب يسميه بهدا الاسم HEUR/APC

وبعد تطور في الهيروستيك اصبح يسمي ملف غير معروف من سحاب ب

(TR/xxxx .xxxx Cloud)

(heur/xxxx .xxxx Cloud)

تسجيل الدخول

عـيـنة 9-5-2015#5

ahmed@salah زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

ausama-vet زيزوومى ذهبى

ausama-vet زيزوومى ذهبى

hitman samir12 زيزوومي VIP

black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

ausama-vet زيزوومى ذهبى

Abdelkarim زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

Abdelkarim زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

tiktoshi زيزوومي VIP ★ نجم المنتدى ★

مشاركة هذه الصفحة

تسجيل الدخول

عـيـنة 9-5-2015#5

ahmed@salah زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

elmasry2006 .: خبير نقاشات الحماية :.

ausama-vet زيزوومى ذهبى

ausama-vet زيزوومى ذهبى

hitman samir12 زيزوومي VIP

black007 إداري سابق وداعم للمنتدى (خبير فحص ملفات) داعــــم للمنتـــــدى ★ نجم المنتدى ★ كبار الشخصيات

ausama-vet زيزوومى ذهبى

Abdelkarim زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

Abdelkarim زيزوومي VIP

elmasry2006 .: خبير نقاشات الحماية :.

nasa3 زيزوومي ماسى

tiktoshi زيزوومي VIP ★ نجم المنتدى ★

مشاركة هذه الصفحة

عمليات بحث مفيدة