1. إستبعاد الملاحظة

عـيـنة 19-8-17 ملفات8 (spora,cerber, injector..)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 19, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر نجم المنتدى عضو المكتبة الإلكترونية فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    14,147
    الإعجابات المتلقاة:
    20,996
    نقاط الجائزة:
    2,965
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



     
  2. فتى محاسن

    فتى محاسن زيزوومي مميز

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    272
    الإعجابات المتلقاة:
    673
    نقاط الجائزة:
    560
    الجنس:
    ذكر
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security 10

    بعد فك العينة اكتشف 7 من 8

    1.png

    المتبقي 1

    2.png
     
  3. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    16,077
    الإعجابات المتلقاة:
    40,098
    نقاط الجائزة:
    2,050
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    السمول بفك الضغط اكتشف7من8

    [​IMG]
    ترك ملف بالتشغيل يظهر خطاء
    [​IMG]
     
  4. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    Nod32 Antivirus

    [​IMG]

    حذف جميع الملفات بمجرد فك الضغك​
     
  5. mha1m

    mha1m زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 21, 2012
    المشاركات:
    3,240
    الإعجابات المتلقاة:
    7,987
    نقاط الجائزة:
    1,275
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    محمد توفيق لمين و ALmehob معجبون بهذا.
  6. ALmehob

    ALmehob كبير المراقبين و مسئول فريق تفعيلات مايكروسوفت طـــاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    16,077
    الإعجابات المتلقاة:
    40,098
    نقاط الجائزة:
    2,050
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    اتعرف اخى لماذا الباندا اكتشف ملف واحد ...لان الملفات لم ترفع على التوتال الى الان
    هذا الذى اقوله ..ياريت تعمل تجارب على الباندا فى عينات جديدة
     
  7. ahmedibrahim

    ahmedibrahim زيزوومي محترف

    إنضم إلينا في:
    ‏فبراير 14, 2013
    المشاركات:
    918
    الإعجابات المتلقاة:
    2,395
    نقاط الجائزة:
    820
    الجنس:
    ذكر
    برامج الحماية:
    Dr.Web
    نظام التشغيل:
    Windows8.1
    اف سيكيور حذف6 بفك الضغط وتبقى 2 لم اجرب التشغيل

    [​IMG]
     
    اليوناني, ALmehob, mha1m و 1 شخص آخر معجبون بهذا.
  8. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية نجم الشهر نجم المنتدى عضو المكتبة الإلكترونية فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    14,147
    الإعجابات المتلقاة:
    20,996
    نقاط الجائزة:
    2,965
    الجنس:
    ذكر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    الملفات مرفوعين و اعتقد لو يعيد التجربة سيكتشف اكثر
     
    آخر تعديل: ‏أغسطس 19, 2017
    MagicianMiDo32 و ALmehob معجبون بهذا.
  9. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    51
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    80
    الجنس:
    ذكر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    بعد تحليل الملف التنفيذي
    الملف مبرمج بالدوت نت و مضغوط بالPowered by Smart Assembly
    بعد فك الضغظ و محاولة التحليل بالreflector

    [​IMG]


    مسار الملفات temp
    الملفات :newrunn.txt
    thnewins.vbs

    [​IMG]

     
  10. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,450
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    احد ملفات الـ vps يشغل ملف البات

    الآخر داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الملف الـ js الآخر ايضا داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الروسي هذا ينشئ ملف exe(عجبتني الطريقة)

    عبارة عن ملف native

    لذلك ساحلله بالتشغيل


    Capture.PNG


    ,وبتشغيله بدأت هذة الرسالة تظهر من الساندبوكس
    kjhg.PNG


    وصار لدي شك أنه رانسوم وير لاقدر الله

    فرفعته على التوتال والنتيجة


    evasive #ransomware


    https://www.virustotal.com/#/file/3...ccf5aa810230f732397073aec67c4569e35/community

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    fgr.PNG

    هذة أطول سترنجات في الذاكرة
    أخمن أنها مفاتيح تشفير أو نص مشفر ما

    Base64


    الملف هذا عبارة عن سكربت باور شيل بصيغة link والامر مكتوب في target

    فكرة حلوة


    fgfg.PNG لقثلق.PNG





    الملف

    README_sTlLoTpq.hta

    لايعمل شيئ





    الملف

    22428.exe

    https://www.hybrid-analysis.com/sam...9898d12ec9275d56487fcf9711235ef6d06978c27718?
    https://www.virustotal.com/#/file/1...9275d56487fcf9711235ef6d06978c27718/detection
    دوت نت

    نلعب معه شوية

    يحتوي على هذا الرابط

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    لثلل.PNG


    يحوي ملفين exe
    قف.PNG


    خوارزم الفك


    كود PHP:
    Imports System.Text
    Public Class Form1
        
    Private Sub Form1_Load(sender As System.ObjectAs System.EventArgsHandles MyBase.Load
            IO
    .File.WriteAllBytes("D:\one.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\1.txt"))))
            
    IO.File.WriteAllBytes("D:\two.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\2.txt"))))
        
    End Sub
        Shared 
    Function sm(ByVal string_0 As StringByVal byte_0 As Byte()) As Byte()
            
    Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
            
    Dim num2 As Integer = (byte_0((byte_0.Length 1)) Xor &H70)
            
    Dim buffer3 As Byte() = New Byte((byte_0.Length 1) - 1) {}
            
    Dim num4 As Integer = (byte_0.Length 1)
            
    Dim i As Integer 0
            
    Do While (<= num4)
                
    Dim num As Integer
                buffer3
    (i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
                If (
    num = (string_0.Length 1)) Then
                    num 
    0
                
    Else
                    
    num += 1
                End 
    If
                
    += 1
            Loop
            
    Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer3, Array), New Byte(((byte_0.Length 2) + 1) - 1) {}), Byte())
        
    End Function
    End Class
    كذلك يتم كتابة ملفات vbs و bat و txt لغرض التشغيل ليس ألا لن أهتم بها كثيرا

    الملف الـ txt هو نفس الملف الأصلي

    لكن سنجد في الملف دوال كثيرة مختصة بهذي الملفات

    لا3.PNG
    قلقث.PNG


    الولد لاعب في هذا :222ROFLMAO:الملف لعب


    المشكلة ان الملفات المستخرجة واحد نيتف والتاني عليه حماية قوية

    لتحميلهم


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    @black007
     
  11. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,450
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الهوست



    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    تابع ل
    GigeNET
    gggg.PNG


    الملف يحقن في الانترنت اكسبلورر
     
    محمد توفيق لمين ،ALmehob و vallecano معجبون بهذا.
  12. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,493
    الإعجابات المتلقاة:
    25,450
    نقاط الجائزة:
    1,220
    الجنس:
    ذكر
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الملف عبارة عن كيلوجر يسجل الشاشة والصوت

    #ياخراشي سجلي وهو في الساندبوكس ازاي !! #\

    لالا.PNG


    ويرفعه الى تلك الاستضافة

    الملف يعمل كمسؤول ويحقن في الاكسبلورر اعتقد انه تخطى الساندبوكس هكذا
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...