مركز تحميل الخليج

  1. إستبعاد الملاحظة

عـيـنة ems client loader / trojan

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 15, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر نجم المنتدى عضو المكتبة الإلكترونية فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    14,210
    الإعجابات المتلقاة:
    21,092
    نقاط الجائزة:
    2,965
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
  2. فتى محاسن

    فتى محاسن زيزوومي مميز

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    272
    الإعجابات المتلقاة:
    673
    نقاط الجائزة:
    560
    الجنس:
    ذكر
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security10

    لم يكتشف العينة
     
    التميمي14 و اليوناني معجبون بهذا.
  3. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    16,184
    الإعجابات المتلقاة:
    40,283
    نقاط الجائزة:
    2,050
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    غير مكتشف بالفحص من السمول
    بالتشغيل صيغة غير مدعومة
     
  4. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,719
    الإعجابات المتلقاة:
    4,956
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    يلموني بحبك ياملك الحمايه
    بالفحص لاشيىء
    بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

    1.PNG 2.PNG
     
  5. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :.

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,496
    الإعجابات المتلقاة:
    9,849
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10

    تحياتي لك

    البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل


    upload_2017-8-16_19-47-25.png
     
    wikihow و محمد توفيق لمين معجبون بهذا.
  6. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,719
    الإعجابات المتلقاة:
    4,956
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
     
    أعجب بهذه المشاركة التميمي14
  7. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :.

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,496
    الإعجابات المتلقاة:
    9,849
    نقاط الجائزة:
    1,595
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    لا اعتمد تشغيل العينات بتاتا على جهازي مجرد فحص فقط
     
    أعجب بهذه المشاركة wikihow
  8. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم
    Nod32 antivirus

    [​IMG]

    النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود


    الأن لنأتي للتحليل اليدوي
    العينة مبرمجة بلغة delphi

    أولا يتم البحث عن مسار temp
    بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

    [​IMG]

    [​IMG]
    [​IMG]
    أحد العمليات التي يتم انشاؤها

    [​IMG]

    أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

    [​IMG]

    نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
    يتم انشاؤها في temp عن عبر سطلر الأوامر

    [​IMG]


    [​IMG]

    داخل المجلد ملف يتم حذفه مباشرة بعد العملية

    [​IMG]
    يتم الاتصال و التحكم عبر ftp
    ip=50.8.8.13
    port=21111
    هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.


     
    التميمي14 و اليوناني معجبون بهذا.
  9. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر نجم المنتدى عضو المكتبة الإلكترونية فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    14,210
    الإعجابات المتلقاة:
    21,092
    نقاط الجائزة:
    2,965
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ماشاء الله تحليل رائع سلمت يداك
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...