عـيـنة 19-8-17 ملفات8 (spora,cerber, injector..)

المصدر: 19-8-17 ملفات8 (spora,cerber, injector..)
في منتدى : منتدى نقاشات واختبارات برامج الحماية

تنبيه هام جداً صادر عن إدارة المنتدى
كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم
فهذا القسم مخصص للتجارب على ملفات ضارة مختلفة الأنواع
ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة بما سوف يجربه
والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم وتجريبه على جهازه
والإدارة تخلي مسؤوليتها بهذا الشأن

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

​

 

eset internet security 10

بعد فك العينة اكتشف 7 من 8



المتبقي 1

 

السلام عليكم

Nod32 Antivirus



حذف جميع الملفات بمجرد فك الضغك​

 

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

اف سيكيور حذف6 بفك الضغط وتبقى 2 لم اجرب التشغيل

 

الملفات مرفوعين و اعتقد لو يعيد التجربة سيكتشف اكثر

 

السلام عليكم

بعد تحليل الملف التنفيذي
الملف مبرمج بالدوت نت و مضغوط بالPowered by Smart Assembly
بعد فك الضغظ و محاولة التحليل بالreflector




مسار الملفات temp
الملفات :newrunn.txt
thnewins.vbs



​

 

احد ملفات الـ vps يشغل ملف البات

الآخر داونلودر

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الملف الـ js الآخر ايضا داونلودر

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

الروسي هذا ينشئ ملف exe(عجبتني الطريقة)

عبارة عن ملف native

لذلك ساحلله بالتشغيل





,وبتشغيله بدأت هذة الرسالة تظهر من الساندبوكس



وصار لدي شك أنه رانسوم وير لاقدر الله

فرفعته على التوتال والنتيجة


evasive #ransomware


https://www.virustotal.com/#/file/3...ccf5aa810230f732397073aec67c4569e35/community

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذة أطول سترنجات في الذاكرة
أخمن أنها مفاتيح تشفير أو نص مشفر ما

Base64


الملف هذا عبارة عن سكربت باور شيل بصيغة link والامر مكتوب في target

فكرة حلوة








الملف

README_sTlLoTpq.hta

لايعمل شيئ





الملف

22428.exe

https://www.hybrid-analysis.com/sam...9898d12ec9275d56487fcf9711235ef6d06978c27718?
https://www.virustotal.com/#/file/1...9275d56487fcf9711235ef6d06978c27718/detection
دوت نت

نلعب معه شوية

يحتوي على هذا الرابط

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

يحوي ملفين exe



خوارزم الفك

كود PHP:

Imports System.Text
Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        IO.File.WriteAllBytes("D:\one.exe", sm("gdsgsgsdgsdss", Convert.FromBase64String(IO.File.ReadAllText("D:\1.txt"))))
        IO.File.WriteAllBytes("D:\two.exe", sm("gdsgsgsdgsdss", Convert.FromBase64String(IO.File.ReadAllText("D:\2.txt"))))
    End Sub
    Shared Function sm(ByVal string_0 As String, ByVal byte_0 As Byte()) As Byte()
        Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
        Dim num2 As Integer = (byte_0((byte_0.Length - 1)) Xor &H70)
        Dim buffer3 As Byte() = New Byte((byte_0.Length + 1) - 1) {}
        Dim num4 As Integer = (byte_0.Length - 1)
        Dim i As Integer = 0
        Do While (i <= num4)
            Dim num As Integer
            buffer3(i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
            If (num = (string_0.Length - 1)) Then
                num = 0
            Else
                num += 1
            End If
            i += 1
        Loop
        Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer3, Array), New Byte(((byte_0.Length - 2) + 1) - 1) {}), Byte())
    End Function
End Class


كذلك يتم كتابة ملفات vbs و bat و txt لغرض التشغيل ليس ألا لن أهتم بها كثيرا

الملف الـ txt هو نفس الملف الأصلي

لكن سنجد في الملف دوال كثيرة مختصة بهذي الملفات





الولد لاعب في هذا الملف لعب


المشكلة ان الملفات المستخرجة واحد نيتف والتاني عليه حماية قوية

لتحميلهم

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

@black007

 

الهوست

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

تابع ل
GigeNET



الملف يحقن في الانترنت اكسبلورر

 

الملف عبارة عن كيلوجر يسجل الشاشة والصوت

#ياخراشي سجلي وهو في الساندبوكس ازاي !! #\




ويرفعه الى تلك الاستضافة

الملف يعمل كمسؤول ويحقن في الاكسبلورر اعتقد انه تخطى الساندبوكس هكذا