عـيـنة ems client loader / trojan

اليوناني · ‏أغسطس 15, 2017

المصدر: ems client loader / trojan
في منتدى : منتدى نقاشات واختبارات برامج الحماية

تنبيه هام جداً صادر عن إدارة المنتدى
كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم
فهذا القسم مخصص للتجارب على ملفات ضارة مختلفة الأنواع
ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة بما سوف يجربه
والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم وتجريبه على جهازه
والإدارة تخلي مسؤوليتها بهذا الشأن

هذا المحتوى يظهر للاعضاء المسجلين فقط:
هذا المحتوى يظهر للاعضاء المسجلين فقط:

فتى محاسن · ‏أغسطس 15, 2017

eset internet security10

لم يكتشف العينة

ALmehob · ‏أغسطس 15, 2017

غير مكتشف بالفحص من السمول
بالتشغيل صيغة غير مدعومة

awake · ‏أغسطس 16, 2017

يلموني بحبك ياملك الحمايه
بالفحص لاشيىء
بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

التميمي14 · ‏أغسطس 16, 2017

مقتبس من awake: ↑

يلموني بحبك ياملك الحمايه
بالفحص لاشيىء
بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

مشاهدة المرفق 142432 مشاهدة المرفق 142433
أنقر للتوسيع...

تحياتي لك

البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل

awake · ‏أغسطس 16, 2017

مقتبس من التميمي14: ↑

تحياتي لك

البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل

مشاهدة المرفق 142464
أنقر للتوسيع...

اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك

التميمي14 · ‏أغسطس 16, 2017

مقتبس من awake: ↑

اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
أنقر للتوسيع...

لا اعتمد تشغيل العينات بتاتا على جهازي مجرد فحص فقط

vallecano · ‏أغسطس 16, 2017

السلام عليكم
Nod32 antivirus

النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود

الأن لنأتي للتحليل اليدوي
العينة مبرمجة بلغة delphi

أولا يتم البحث عن مسار temp
بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

أحد العمليات التي يتم انشاؤها

أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
يتم انشاؤها في temp عن عبر سطلر الأوامر

داخل المجلد ملف يتم حذفه مباشرة بعد العملية

يتم الاتصال و التحكم عبر ftp
ip=50.8.8.13
port=21111
هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.

اليوناني · ‏أغسطس 16, 2017

مقتبس من vallecano: ↑

السلام عليكم
Nod32 antivirus

النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود

الأن لنأتي للتحليل اليدوي
العينة مبرمجة بلغة delphi

أولا يتم البحث عن مسار temp
بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

أحد العمليات التي يتم انشاؤها

أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
يتم انشاؤها في temp عن عبر سطلر الأوامر

داخل المجلد ملف يتم حذفه مباشرة بعد العملية

يتم الاتصال و التحكم عبر ftp
ip=50.8.8.13
port=21111
هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.

أنقر للتوسيع...

ماشاء الله تحليل رائع سلمت يداك

تسجيل الدخول

عـيـنة ems client loader / trojan

اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

فتى محاسن زيزوومى مميز

ALmehob إداري سابق ★ نجم المنتدى ★ كبار الشخصيات

awake زيزوومي VIP

التميمي14 .: خبراء نقاشات الحماية :.

awake زيزوومي VIP

التميمي14 .: خبراء نقاشات الحماية :.

vallecano زيزوومي جديد

اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

مشاركة هذه الصفحة

تسجيل الدخول

عـيـنة ems client loader / trojan

اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

فتى محاسن زيزوومى مميز

ALmehob إداري سابق ★ نجم المنتدى ★ كبار الشخصيات

awake زيزوومي VIP

التميمي14 .: خبراء نقاشات الحماية :.

awake زيزوومي VIP

التميمي14 .: خبراء نقاشات الحماية :.

vallecano زيزوومي جديد

اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

مشاركة هذه الصفحة

عمليات بحث مفيدة