1. إستبعاد الملاحظة

عـيـنة ems client loader / trojan

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 15, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر عضو المكتبة الإلكترونية نجم المنتدى فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    15,699
    الإعجابات المتلقاة:
    23,483
    نقاط الجائزة:
    4,125
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
  2. فتى محاسن

    فتى محاسن زيزوومي مميز

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    325
    الإعجابات المتلقاة:
    887
    نقاط الجائزة:
    590
    الجنس:
    ذكر
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security10

    لم يكتشف العينة
     
    التميمي14 و اليوناني معجبون بهذا.
  3. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم المنتدى

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    18,205
    الإعجابات المتلقاة:
    42,460
    نقاط الجائزة:
    2,575
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    غير مكتشف بالفحص من السمول
    بالتشغيل صيغة غير مدعومة
     
  4. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,814
    الإعجابات المتلقاة:
    5,160
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    غزه -فلسطين
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    يلموني بحبك ياملك الحمايه
    بالفحص لاشيىء
    بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

    1.PNG 2.PNG
     
  5. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :. الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,843
    الإعجابات المتلقاة:
    10,891
    نقاط الجائزة:
    1,795
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    AVG
    نظام التشغيل:
    Windows 10

    تحياتي لك

    البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل


    upload_2017-8-16_19-47-25.png
     
    wikihow و محمد توفيق لمين معجبون بهذا.
  6. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,814
    الإعجابات المتلقاة:
    5,160
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    غزه -فلسطين
    برامج الحماية:
    COMODO
    نظام التشغيل:
    Windows 10
    اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
     
    أعجب بهذه المشاركة التميمي14
  7. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :. الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,843
    الإعجابات المتلقاة:
    10,891
    نقاط الجائزة:
    1,795
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    AVG
    نظام التشغيل:
    Windows 10
    لا اعتمد تشغيل العينات بتاتا على جهازي مجرد فحص فقط
     
    أعجب بهذه المشاركة wikihow
  8. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    55
    الإعجابات المتلقاة:
    141
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم
    Nod32 antivirus

    [​IMG]

    النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود


    الأن لنأتي للتحليل اليدوي
    العينة مبرمجة بلغة delphi

    أولا يتم البحث عن مسار temp
    بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

    [​IMG]

    [​IMG]
    [​IMG]
    أحد العمليات التي يتم انشاؤها

    [​IMG]

    أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

    [​IMG]

    نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
    يتم انشاؤها في temp عن عبر سطلر الأوامر

    [​IMG]


    [​IMG]

    داخل المجلد ملف يتم حذفه مباشرة بعد العملية

    [​IMG]
    يتم الاتصال و التحكم عبر ftp
    ip=50.8.8.13
    port=21111
    هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.


     
    التميمي14 و اليوناني معجبون بهذا.
  9. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر عضو المكتبة الإلكترونية نجم المنتدى فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    15,699
    الإعجابات المتلقاة:
    23,483
    نقاط الجائزة:
    4,125
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ماشاء الله تحليل رائع سلمت يداك
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...