عـيـنة 19-8-17 ملفات8 (spora,cerber, injector..)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة اليوناني, بتاريخ ‏أغسطس 19, 2017.

حالة الموضوع:
مغلق
  1. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,720
    الإعجابات المتلقاة:
    20,359
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



     
  2. فتى محاسن

    فتى محاسن زيزوومي مميز الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏يناير 2, 2010
    المشاركات:
    252
    الإعجابات المتلقاة:
    586
    نقاط الجائزة:
    530
    الإقامة:
    المملكة العربية السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    eset internet security 10

    بعد فك العينة اكتشف 7 من 8

    1.png

    المتبقي 1

    2.png
     
  3. abrahim2014

    abrahim2014 مراقب عام طاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    15,004
    الإعجابات المتلقاة:
    38,329
    نقاط الجائزة:
    1,600
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    السمول بفك الضغط اكتشف7من8

    [​IMG]
    ترك ملف بالتشغيل يظهر خطاء
    [​IMG]
     
  4. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    Nod32 Antivirus

    [​IMG]

    حذف جميع الملفات بمجرد فك الضغك​
     
  5. mha1m

    mha1m زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 21, 2012
    المشاركات:
    3,239
    الإعجابات المتلقاة:
    7,985
    نقاط الجائزة:
    1,275
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:
     
    محمد توفيق لمين و abrahim2014 معجبون بهذا.
  6. abrahim2014

    abrahim2014 مراقب عام طاقم الإدارة فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏نوفمبر 29, 2012
    المشاركات:
    15,004
    الإعجابات المتلقاة:
    38,329
    نقاط الجائزة:
    1,600
    الإقامة:
    هنا وهناك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    اتعرف اخى لماذا الباندا اكتشف ملف واحد ...لان الملفات لم ترفع على التوتال الى الان
    هذا الذى اقوله ..ياريت تعمل تجارب على الباندا فى عينات جديدة
     
  7. ahmedibrahim

    ahmedibrahim زيزوومي محترف

    إنضم إلينا في:
    ‏فبراير 14, 2013
    المشاركات:
    916
    الإعجابات المتلقاة:
    2,393
    نقاط الجائزة:
    820
    برامج الحماية:
    Dr.Web
    نظام التشغيل:
    Windows8.1
    اف سيكيور حذف6 بفك الضغط وتبقى 2 لم اجرب التشغيل

    [​IMG]
     
    اليوناني, abrahim2014, mha1m و 1 شخص آخر معجبون بهذا.
  8. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,720
    الإعجابات المتلقاة:
    20,359
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    الملفات مرفوعين و اعتقد لو يعيد التجربة سيكتشف اكثر
     
    آخر تعديل: ‏أغسطس 19, 2017
    MagicianMiDo32 و abrahim2014 معجبون بهذا.
  9. vallecano

    vallecano زيزوومي جديد

    إنضم إلينا في:
    ‏مايو 30, 2017
    المشاركات:
    44
    الإعجابات المتلقاة:
    107
    نقاط الجائزة:
    70
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    السلام عليكم

    بعد تحليل الملف التنفيذي
    الملف مبرمج بالدوت نت و مضغوط بالPowered by Smart Assembly
    بعد فك الضغظ و محاولة التحليل بالreflector

    [​IMG]


    مسار الملفات temp
    الملفات :newrunn.txt
    thnewins.vbs

    [​IMG]

     
  10. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    احد ملفات الـ vps يشغل ملف البات

    الآخر داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الملف الـ js الآخر ايضا داونلودر


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    الروسي هذا ينشئ ملف exe(عجبتني الطريقة)

    عبارة عن ملف native

    لذلك ساحلله بالتشغيل


    Capture.PNG


    ,وبتشغيله بدأت هذة الرسالة تظهر من الساندبوكس
    kjhg.PNG


    وصار لدي شك أنه رانسوم وير لاقدر الله

    فرفعته على التوتال والنتيجة


    evasive #ransomware


    https://www.virustotal.com/#/file/3...ccf5aa810230f732397073aec67c4569e35/community

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    fgr.PNG

    هذة أطول سترنجات في الذاكرة
    أخمن أنها مفاتيح تشفير أو نص مشفر ما

    Base64


    الملف هذا عبارة عن سكربت باور شيل بصيغة link والامر مكتوب في target

    فكرة حلوة


    fgfg.PNG لقثلق.PNG





    الملف

    README_sTlLoTpq.hta

    لايعمل شيئ





    الملف

    22428.exe

    https://www.hybrid-analysis.com/sam...9898d12ec9275d56487fcf9711235ef6d06978c27718?
    https://www.virustotal.com/#/file/1...9275d56487fcf9711235ef6d06978c27718/detection
    دوت نت

    نلعب معه شوية

    يحتوي على هذا الرابط

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    لثلل.PNG


    يحوي ملفين exe
    قف.PNG


    خوارزم الفك


    كود PHP:
    Imports System.Text
    Public Class Form1
        
    Private Sub Form1_Load(sender As System.ObjectAs System.EventArgsHandles MyBase.Load
            IO
    .File.WriteAllBytes("D:\one.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\1.txt"))))
            
    IO.File.WriteAllBytes("D:\two.exe"sm("gdsgsgsdgsdss"Convert.FromBase64String(IO.File.ReadAllText("D:\2.txt"))))
        
    End Sub
        Shared 
    Function sm(ByVal string_0 As StringByVal byte_0 As Byte()) As Byte()
            
    Dim bytes As Byte() = Encoding.Default.GetBytes(string_0)
            
    Dim num2 As Integer = (byte_0((byte_0.Length 1)) Xor &H70)
            
    Dim buffer3 As Byte() = New Byte((byte_0.Length 1) - 1) {}
            
    Dim num4 As Integer = (byte_0.Length 1)
            
    Dim i As Integer 0
            
    Do While (<= num4)
                
    Dim num As Integer
                buffer3
    (i) = CByte(((byte_0(i) Xor num2) Xor bytes(num)))
                If (
    num = (string_0.Length 1)) Then
                    num 
    0
                
    Else
                    
    num += 1
                End 
    If
                
    += 1
            Loop
            
    Return DirectCast(Microsoft.VisualBasic.CompilerServices.Utils.CopyArray(DirectCast(buffer3, Array), New Byte(((byte_0.Length 2) + 1) - 1) {}), Byte())
        
    End Function
    End Class
    كذلك يتم كتابة ملفات vbs و bat و txt لغرض التشغيل ليس ألا لن أهتم بها كثيرا

    الملف الـ txt هو نفس الملف الأصلي

    لكن سنجد في الملف دوال كثيرة مختصة بهذي الملفات

    لا3.PNG
    قلقث.PNG


    الولد لاعب في هذا :222ROFLMAO:الملف لعب


    المشكلة ان الملفات المستخرجة واحد نيتف والتاني عليه حماية قوية

    لتحميلهم


    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:




    @black007
     
  11. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الهوست



    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:



    تابع ل
    GigeNET
    gggg.PNG


    الملف يحقن في الانترنت اكسبلورر
     
    محمد توفيق لمين ،abrahim2014 و vallecano معجبون بهذا.
  12. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,490
    الإعجابات المتلقاة:
    25,429
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    الملف عبارة عن كيلوجر يسجل الشاشة والصوت

    #ياخراشي سجلي وهو في الساندبوكس ازاي !! #\

    لالا.PNG


    ويرفعه الى تلك الاستضافة

    الملف يعمل كمسؤول ويحقن في الاكسبلورر اعتقد انه تخطى الساندبوكس هكذا
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...