1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

عـيـنة 19-8-17 ملفات8 (spora,cerber, injector..)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 19, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    18,087
    الإعجابات :
    29,227
    نقاط الجائزة:
    12,534
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



     
  2. فتى محاسن

    فتى محاسن زيزوومى مميز

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    325
    الإعجابات :
    889
    نقاط الجائزة:
    590
    الجنس:
    ذكر
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security 10

    بعد فك العينة اكتشف 7 من 8

    1.png

    المتبقي 1

    2.png
     
  3. ALmehob

    ALmehob إداري سابق ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    18,201
    الإعجابات :
    42,476
    نقاط الجائزة:
    2,575
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    السمول بفك الضغط اكتشف7من8

    [​IMG]
    ترك ملف بالتشغيل يظهر خطاء
    [​IMG]
     
  4. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    57
    الإعجابات :
    143
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    Nod32 Antivirus

    [​IMG]

    حذف جميع الملفات بمجرد فك الضغك​
     
  5. mha1m

    mha1m زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 21, 2012
    المشاركات:
    3,287
    الإعجابات :
    8,056
    نقاط الجائزة:
    1,275
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    محمد توفيق لمين و ALmehob معجبون بهذا.
  6. ALmehob

    ALmehob إداري سابق ★ نجم المنتدى ★ كبار الشخصيات

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    18,201
    الإعجابات :
    42,476
    نقاط الجائزة:
    2,575
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    اتعرف اخى لماذا الباندا اكتشف ملف واحد ...لان الملفات لم ترفع على التوتال الى الان
    هذا الذى اقوله ..ياريت تعمل تجارب على الباندا فى عينات جديدة
     
  7. ahmedibrahim

    ahmedibrahim زيزوومى ذهبى

    إنضم إلينا في:
    ‏فبراير 14, 2013
    المشاركات:
    1,203
    الإعجابات :
    2,779
    نقاط الجائزة:
    1,020
    الجنس:
    ذكر
    الإقامة:
    Alexandria - Egypt
    برامج الحماية:
    Trend Micro
    نظام التشغيل:
    Windows 10
    اف سيكيور حذف6 بفك الضغط وتبقى 2 لم اجرب التشغيل

    [​IMG]
     
    اليوناني, ALmehob, mha1m و 1 شخص آخر معجبون بهذا.
  8. اليوناني

    اليوناني مصمم زيزوومي مميز ★ نجم المنتدى ★ نجم الشهر فريق التصميم فريق دعم البرامج العامة

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    18,087
    الإعجابات :
    29,227
    نقاط الجائزة:
    12,534
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    الملفات مرفوعين و اعتقد لو يعيد التجربة سيكتشف اكثر
     
    آخر تعديل: ‏أغسطس 19, 2017
    MagicianMiDo32 و ALmehob معجبون بهذا.
  9. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    57
    الإعجابات :
    143
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    بعد تحليل الملف التنفيذي
    الملف مبرمج بالدوت نت و مضغوط بالPowered by Smart Assembly
    بعد فك الضغظ و محاولة التحليل بالreflector

    [​IMG]


    مسار الملفات temp
    الملفات :newrunn.txt
    thnewins.vbs

    [​IMG]

     
  10. MagicianMiDo32

    MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    9,197
    الإعجابات :
    26,990
    نقاط الجائزة:
    5,150
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    احد ملفات الـ vps يشغل ملف البات

    الآخر داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الملف الـ js الآخر ايضا داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الروسي هذا ينشئ ملف exe(عجبتني الطريقة)

    عبارة عن ملف native

    لذلك ساحلله بالتشغيل


    Capture.PNG


    ,وبتشغيله بدأت هذة الرسالة تظهر من الساندبوكس
    kjhg.PNG


    وصار لدي شك أنه رانسوم وير لاقدر الله

    فرفعته على التوتال والنتيجة


    evasive #ransomware


    https://www.virustotal.com/#/file/3...ccf5aa810230f732397073aec67c4569e35/community

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    fgr.PNG

    هذة أطول سترنجات في الذاكرة
    أخمن أنها مفاتيح تشفير أو نص مشفر ما

    Base64


    الملف هذا عبارة عن سكربت باور شيل بصيغة link والامر مكتوب في target

    فكرة حلوة


    fgfg.PNG لقثلق.PNG





    الملف

    README_sTlLoTpq.hta

    لايعمل شيئ





    الملف

    22428.exe

    https://www.hybrid-analysis.com/sam...9898d12ec9275d56487fcf9711235ef6d06978c27718?
    https://www.virustotal.com/#/file/1...9275d56487fcf9711235ef6d06978c27718/detection
    دوت نت

    نلعب معه شوية

    يحتوي على هذا الرابط

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    لثلل.PNG


    يحوي ملفين exe
    قف.PNG


    خوارزم الفك


    كود PHP:
    Imports System.Text
    Public Class Form1
        
    Private Sub Form1_Load(sender As System.ObjectAs System.EventArgsHandles MyBase.Load
            IO
    .File.WriteAllBytes("D:\one.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\1.txt"))))
            
    IO.File.WriteAllBytes("D:\two.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\2.txt"))))
        
    End Sub
        Shared 
    Function sm(ByVal string_0 As StringByVal byte_0 As Byte()) As Byte()
            
    Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
            
    Dim num2 As Integer = (byte_0((byte_0.Length 1)) Xor &H70)
            
    Dim buffer3 As Byte() = New Byte((byte_0.Length 1) - 1) {}
            
    Dim num4 As Integer = (byte_0.Length 1)
            
    Dim i As Integer 0
            
    Do While (<= num4)
                
    Dim num As Integer
                buffer3
    (i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
                If (
    num = (string_0.Length 1)) Then
                    num 
    0
                
    Else
                    
    num += 1
                End 
    If
                
    += 1
            Loop
            
    Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer3, Array), New Byte(((byte_0.Length 2) + 1) - 1) {}), Byte())
        
    End Function
    End Class
    كذلك يتم كتابة ملفات vbs و bat و txt لغرض التشغيل ليس ألا لن أهتم بها كثيرا

    الملف الـ txt هو نفس الملف الأصلي

    لكن سنجد في الملف دوال كثيرة مختصة بهذي الملفات

    لا3.PNG
    قلقث.PNG


    الولد لاعب في هذا :222ROFLMAO:الملف لعب


    المشكلة ان الملفات المستخرجة واحد نيتف والتاني عليه حماية قوية

    لتحميلهم


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    @black007
     
  11. MagicianMiDo32

    MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    9,197
    الإعجابات :
    26,990
    نقاط الجائزة:
    5,150
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الهوست



    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    تابع ل
    GigeNET
    gggg.PNG


    الملف يحقن في الانترنت اكسبلورر
     
    محمد توفيق لمين ،ALmehob و vallecano معجبون بهذا.
  12. MagicianMiDo32

    MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    9,197
    الإعجابات :
    26,990
    نقاط الجائزة:
    5,150
    الجنس:
    ذكر
    الإقامة:
    Egypt
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الملف عبارة عن كيلوجر يسجل الشاشة والصوت

    #ياخراشي سجلي وهو في الساندبوكس ازاي !! #\

    لالا.PNG


    ويرفعه الى تلك الاستضافة

    الملف يعمل كمسؤول ويحقن في الاكسبلورر اعتقد انه تخطى الساندبوكس هكذا
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...