• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

عـيـنة ems client loader / trojan

الحالة
مغلق و غير مفتوح للمزيد من الردود.
اليوناني

اليوناني

مصمم زيزوومي مميز (خبراء زبزووم)
★★ نجم المنتدى ★★
نجم الشهر
فريق التصميم
عضوية موثوقة ✔️
كبار الشخصيات
فريق دعم البرامج العامة
إنضم
13 نوفمبر 2014
المشاركات
18,202
مستوى التفاعل
29,608
النقاط
13,764
غير متصل
تنبيه هام جداً صادر عن إدارة المنتدى
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والإدارة تخلي مسؤوليتها بهذا الشأن



[hide]
ems client loader / trojan


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




infected
[/hide]
 

توقيع : اليوناني
غير مكتشف بالفحص من السمول
بالتشغيل صيغة غير مدعومة
 
توقيع : ALmehob
يلموني بحبك ياملك الحمايه
بالفحص لاشيىء
بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

1.webp
2.webp
 
توقيع : awake
توقيع : التميمي14
التميمي14 قال:
تحياتي لك

البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل


مشاهدة المرفق 142464
أنقر للتوسيع...

اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
 
توقيع : awake
awake قال:
اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
أنقر للتوسيع...

لا اعتمد تشغيل العينات بتاتا على جهازي مجرد فحص فقط
 
توقيع : التميمي14
السلام عليكم
Nod32 antivirus

264753913.jpg


النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود


الأن لنأتي للتحليل اليدوي
العينة مبرمجة بلغة delphi

أولا يتم البحث عن مسار temp
بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

722017461.jpg


282519727.jpg

322322534.jpg

أحد العمليات التي يتم انشاؤها

812572664.jpg


أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

851089655.jpg


نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
يتم انشاؤها في temp عن عبر سطلر الأوامر

547439377.jpg



902533502.jpg


داخل المجلد ملف يتم حذفه مباشرة بعد العملية

209713853.jpg

يتم الاتصال و التحكم عبر ftp
ip=50.8.8.13
port=21111
هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.


 
vallecano قال:
السلام عليكم
Nod32 antivirus

264753913.jpg


النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود


الأن لنأتي للتحليل اليدوي
العينة مبرمجة بلغة delphi

أولا يتم البحث عن مسار temp
بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

722017461.jpg


282519727.jpg

322322534.jpg

أحد العمليات التي يتم انشاؤها

812572664.jpg


أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

851089655.jpg


نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
يتم انشاؤها في temp عن عبر سطلر الأوامر

547439377.jpg



902533502.jpg


داخل المجلد ملف يتم حذفه مباشرة بعد العملية

209713853.jpg

يتم الاتصال و التحكم عبر ftp
ip=50.8.8.13
port=21111
هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.


أنقر للتوسيع...
ماشاء الله تحليل رائع سلمت يداك
 
توقيع : اليوناني
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى