• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

عـيـنة 19-8-17 ملفات8 (spora,cerber, injector..)

الحالة
مغلق و غير مفتوح للمزيد من الردود.
اليوناني

اليوناني

مصمم زيزوومي مميز (خبراء زبزووم)
★★ نجم المنتدى ★★
نجم الشهر
فريق التصميم
عضوية موثوقة ✔️
كبار الشخصيات
فريق دعم البرامج العامة
إنضم
13 نوفمبر 2014
المشاركات
18,202
مستوى التفاعل
29,608
النقاط
13,764
غير متصل
تنبيه هام جداً صادر عن إدارة المنتدى
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والإدارة تخلي مسؤوليتها بهذا الشأن

[hide]


19-8-17 ملفات8 (spora,cerber, injector..)



يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



[/hide]​
[hide]
infected

[/hide]



 

توقيع : اليوناني
eset internet security 10

بعد فك العينة اكتشف 7 من 8

1.webp


المتبقي 1

2.webp
 
السمول بفك الضغط اكتشف7من8

150313589706361.png

ترك ملف بالتشغيل يظهر خطاء
150313597692781.png
 
توقيع : ALmehob
[hide]
p_5960gj7j1.png
[/hide]

[hide]
p_596r9f1b2.png
[/hide]
 
توقيع : mha1m
mha1m قال:
[hide]
p_5960gj7j1.png
[/hide]

[hide]
p_596r9f1b2.png
[/hide]
أنقر للتوسيع...
اتعرف اخى لماذا الباندا اكتشف ملف واحد ...لان الملفات لم ترفع على التوتال الى الان
هذا الذى اقوله ..ياريت تعمل تجارب على الباندا فى عينات جديدة
 
توقيع : ALmehob
abrahim2014 قال:
اتعرف اخى لماذا الباندا اكتشف ملف واحد ...لان الملفات لم ترفع على التوتال الى الان
هذا الذى اقوله ..ياريت تعمل تجارب على الباندا فى عينات جديدة
أنقر للتوسيع...
الملفات مرفوعين و اعتقد لو يعيد التجربة سيكتشف اكثر
 
التعديل الأخير:
توقيع : اليوناني
السلام عليكم

بعد تحليل الملف التنفيذي
الملف مبرمج بالدوت نت و مضغوط بالPowered by Smart Assembly
بعد فك الضغظ و محاولة التحليل بالreflector

565281034.jpg



مسار الملفات temp
الملفات :newrunn.txt
thnewins.vbs

142967167.jpg


 
احد ملفات الـ vps يشغل ملف البات

الآخر داونلودر


[hide]

mm7758.com/89yhFA?

74jhdrommdtyis.net/af/89yhFA



[/hide]

الملف الـ js الآخر ايضا داونلودر


[hide]
aitree.com/89yhFA?
74jhdrommdtyis.net/af/89yhFA

[/hide]

الروسي هذا ينشئ ملف exe(عجبتني الطريقة)

عبارة عن ملف native

لذلك ساحلله بالتشغيل


Capture.webp



,وبتشغيله بدأت هذة الرسالة تظهر من الساندبوكس
kjhg.webp



وصار لدي شك أنه رانسوم وير لاقدر الله

فرفعته على التوتال والنتيجة


evasive #ransomware


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


[hide]
domains:"5pr6hirtlfan3j76.onion"
hosts:"31.192.105.180:8123"
[/hide]



fgr.webp


هذة أطول سترنجات في الذاكرة
أخمن أنها مفاتيح تشفير أو نص مشفر ما

Base64


الملف هذا عبارة عن سكربت باور شيل بصيغة link والامر مكتوب في target

فكرة حلوة


fgfg.webp
لقثلق.webp






الملف

README_sTlLoTpq.hta

لايعمل شيئ





الملف

22428.exe

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

دوت نت

نلعب معه شوية

يحتوي على هذا الرابط

[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

لثلل.webp



يحوي ملفين exe
قف.webp



خوارزم الفك


PHP: 
Imports System.Text
Public Class Form1
    Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
        IO.File.WriteAllBytes("D:\one.exe", sm("gdsgsgsdgsdss", Convert.FromBase64String(IO.File.ReadAllText("D:\1.txt"))))
        IO.File.WriteAllBytes("D:\two.exe", sm("gdsgsgsdgsdss", Convert.FromBase64String(IO.File.ReadAllText("D:\2.txt"))))
    End Sub
    Shared Function sm(ByVal string_0 As String, ByVal byte_0 As Byte()) As Byte()
        Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
        Dim num2 As Integer = (byte_0((byte_0.Length - 1)) Xor &H70)
        Dim buffer3 As Byte() = New Byte((byte_0.Length + 1) - 1) {}
        Dim num4 As Integer = (byte_0.Length - 1)
        Dim i As Integer = 0
        Do While (i <= num4)
            Dim num As Integer
            buffer3(i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
            If (num = (string_0.Length - 1)) Then
                num = 0
            Else
                num += 1
            End If
            i += 1
        Loop
        Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer3, Array), New Byte(((byte_0.Length - 2) + 1) - 1) {}), Byte())
    End Function
End Class
كذلك يتم كتابة ملفات vbs و bat و txt لغرض التشغيل ليس ألا لن أهتم بها كثيرا

الملف الـ txt هو نفس الملف الأصلي

لكن سنجد في الملف دوال كثيرة مختصة بهذي الملفات

لا3.webp

قلقث.webp



الولد لاعب في هذا :222ROFLMAO:الملف لعب


المشكلة ان الملفات المستخرجة واحد نيتف والتاني عليه حماية قوية

لتحميلهم


[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



infected
[/hide]



@black007
 
توقيع : MagicianMiDo32
الهوست



[hide]216.38.2.197[/hide]


تابع ل
GigeNET
gggg.webp



الملف يحقن في الانترنت اكسبلورر
 
توقيع : MagicianMiDo32
الملف عبارة عن كيلوجر يسجل الشاشة والصوت

#ياخراشي سجلي وهو في الساندبوكس ازاي !! #\

لالا.webp



ويرفعه الى تلك الاستضافة

الملف يعمل كمسؤول ويحقن في الاكسبلورر اعتقد انه تخطى الساندبوكس هكذا
 
توقيع : MagicianMiDo32
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى