عـيـنة ems client loader / trojan

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 15, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,746
    الإعجابات المتلقاة:
    20,408
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
  2. فتى محاسن

    فتى محاسن زيزوومي مميز الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    254
    الإعجابات المتلقاة:
    597
    نقاط الجائزة:
    530
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security10

    لم يكتشف العينة
     
    التميمي14 و اليوناني معجبون بهذا.
  3. abrahim2014

    abrahim2014 مراقب عام طاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    15,070
    الإعجابات المتلقاة:
    38,402
    نقاط الجائزة:
    1,600
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    غير مكتشف بالفحص من السمول
    بالتشغيل صيغة غير مدعومة
     
  4. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,712
    الإعجابات المتلقاة:
    4,918
    نقاط الجائزة:
    1,220
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    يلموني بحبك ياملك الحمايه
    بالفحص لاشيىء
    بتحويل امتداد الملف الى exe وبالتشغيل تم الفبض عليه بوحدة safe file الرائعه

    1.PNG 2.PNG
     
  5. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :. نجم الشهر

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,401
    الإعجابات المتلقاة:
    9,566
    نقاط الجائزة:
    1,570
    الإقامة:
    السعوديه ـ الرياض جعلها السيل
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10

    تحياتي لك

    البت 2016 بفك الضغط لاشي وبالفحص كذلك لم اجرب التشغيل


    upload_2017-8-16_19-47-25.png
     
    wikihow و محمد توفيق لمين معجبون بهذا.
  6. awake

    awake زيزوومي VIP

    إنضم إلينا في:
    ‏سبتمبر 13, 2011
    المشاركات:
    2,712
    الإعجابات المتلقاة:
    4,918
    نقاط الجائزة:
    1,220
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    اخي هذا الاكتشاف ليس بالمحرك وانما بالتشغيل بطبقة الحمايه الجديده وهي غير موجوده بذلك الاصدار جرب وشغل العينه احتمال يكتشفها بمحلل السلوك
     
    أعجب بهذه المشاركة التميمي14
  7. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :. نجم الشهر

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    3,401
    الإعجابات المتلقاة:
    9,566
    نقاط الجائزة:
    1,570
    الإقامة:
    السعوديه ـ الرياض جعلها السيل
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    لا اعتمد تشغيل العينات بتاتا على جهازي مجرد فحص فقط
     
    أعجب بهذه المشاركة wikihow
  8. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    47
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم
    Nod32 antivirus

    [​IMG]

    النود نائم في العسل رغم تغيير امتداد الملف من bin=binary الى exe و رغم أخر تحديث لنود


    الأن لنأتي للتحليل اليدوي
    العينة مبرمجة بلغة delphi

    أولا يتم البحث عن مسار temp
    بعدها يقوم بانشاء ملجد يحتوي على عدة ملفات java

    [​IMG]

    [​IMG]
    [​IMG]
    أحد العمليات التي يتم انشاؤها

    [​IMG]

    أذا نجحت العملية في مهمتها فقيمة العودة مغايرة لصفر أما ان فشلت فالقيمة صفر

    [​IMG]

    نلاحظ أن العملية نجحت فارجاع القيمة تساوي 1
    يتم انشاؤها في temp عن عبر سطلر الأوامر

    [​IMG]


    [​IMG]

    داخل المجلد ملف يتم حذفه مباشرة بعد العملية

    [​IMG]
    يتم الاتصال و التحكم عبر ftp
    ip=50.8.8.13
    port=21111
    هناك أكثر من عملية يقوم بها الملف لان التحليل اليدوي يلزمه الكثير من الوقت.


     
    التميمي14 و اليوناني معجبون بهذا.
  9. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,746
    الإعجابات المتلقاة:
    20,408
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ماشاء الله تحليل رائع سلمت يداك
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...