• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

رانسيوم وير جديد .. وسلوكيات مرعبه .. مكتشف من 10 حمايات

  • بادئ الموضوع بادئ الموضوع alaa8iniesta
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,313
الحالة
مغلق و غير مفتوح للمزيد من الردود.
tarkanbounce قال:
يا سلام ربنا يخليك لينا والله كان نفسى اشوف رسالة فيروس فى الميمورى بس :) بارك الله فيك على التجربة جارى تنزيل نسخة النود وتثبيتها
أنقر للتوسيع...
ثم ستعود بعد عدة ايام الى الافاست او الافيرا :LOL:
انا اعرف انك عاشق لهذين البرنامجين ;)
 

qysr قال:
ثم ستعود بعد عدة ايام الى الافاست او الافيرا :LOL:
انا اعرف انك عاشق لهذين البرنامجين ;)
أنقر للتوسيع...

عشرة سنين يا اخ قيصر بس ادينا بنجرب
 
توقيع : tarkanbounce
قمت بالتجربة على افاست بدون عمل ابديت له وقام بحذف الملف عند تشغيله وللعلم بالفحص كان غير مكتشف من الافاست

q9RR6A.png
 
توقيع : tarkanbounce
توقيع : مصرى ولى الفخر
qysr قال:
المشكله ليست في نوع الضغط
الملف موجود مرتين .. مره مضغوط بكلمة السر المطلوبه و مره اخرى بدون كلمة السر ... هذه هي المشكله فقط
أنقر للتوسيع...

اعرف ياغالي ان هذه هي المشكله .. الملف موجود مرتين ف الملف المضغوط بكلمه السر .. ولكن هذا ليس مني انا .. الاصل من صاحب العينه في موقع virusexchange .. ... . رابط العينه المرفوعه علي موقع MEGA
[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/hide]

اطلع علي العينه ف موقع اخي ياسر وستعرف اين كانت المشكله
 
توقيع : alaa8iniesta
السلام عليكم ورحمه الله وبركأأته ... اخواني الكرام .. تم تفصيص الملف ورصد كل سلوكياته بتنيني :love:

الملف كما ذكرت .. خطير جدا وسلوكيات مريعه جدا ... تم السماح لكل العمليات لنري كيف سيتعامل معه التنين

اولا .. نرصد بعض رسائل الكومودو وليس جميعها .. :happy:

غير مكتشف بالمحرك كالعاده المريره :arghh: .. ولكن التنين :King:eek:

uLAIaq.png



تم تشغيل الملف ... ورصد تحركاته ..

تنفيذ العمليه .. svchost.ese
37Lq5Q.png


تنفيذ العمليه . clculator .EXE .. الحاسبه :)
NZJyRd.png


الوصول لملفات السيستم ( الويندوز ) في الذاكره
TxUYwo.png


يحاول انهاء العمليه . smss . الخاصه ب Winodows NT Manager
zw1ywM.png


الوصول لملفات تسجيل الدخول للويندوز :eek::eek::eek: في الذاكره :p
2NcLKh.png


الوصول للخدمات الخاصه بالويندوز في الذاكره

v4xXVD.png


الوصول للخدمات الخاصه بالكومودو .. في الذاكره :ROFLMAO:
CTbsx7.png


الوصول للخدمات الخاصه بالفيرشوال بوكس .. في الذاكره
VvTRny.png


الوصول لملفات الجيك بودي .. الدعم الفني للتنين .. في الذاكره :LOL:
rmhwu7.png

الوصول للملف التنفيذي الخاص بالفيرشوال بوكس .. في الذاكره :D
KNfNiR.png


الوصول للبروسيس هكر ( برنامج مراقبه العمليات النشطه ) في الذاكره :ROFLMAO::ROFLMAO:
d1pBkK.png


الوصول للنوت باد .. في الذاكره :cool:
3MXsiC.png


وبعد السماح لكل العمليات الخطيره جدا .. تتألق خاصيه VIRUSCOPE ..
gbh3gd.png


وتكتشف سلوك مشوبه وتتطلب التنظيف .. ليعيد الكومودو كل شئ علي ما كان عليه .. وكأن لم يحدث شئ .. وقام بقتل كل عمليات الملف النشطه .. :king:eek:


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



تم تصوير فيديو للتجربه .. التجربه حوالي 10 دقائق من التنبيهات في قمه الخطوره والروعه من التنين ...

حج الفيديو حوالي 5 ميجا تقريبا :eek:

الفيديو ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 
التعديل الأخير:
توقيع : alaa8iniesta
qysr قال:
المشكله ليست في نوع الضغط
الملف موجود مرتين .. مره مضغوط بكلمة السر المطلوبه و مره اخرى بدون كلمة السر ... هذه هي المشكله فقط
أنقر للتوسيع...
:)
 
توقيع : MagicianMiDo32
  • Like
التفاعلات: qysr
alaa8iniesta قال:
السلام عليكم ورحمه الله وبركأأته ... اخواني الكرام .. تم تفصيص الملف ورصد كل سلوكياته بتنيني :love:

الملف كما ذكرت .. خطير جدا وسلوكيات مريعه جدا ... تم السماح لكل العمليات لنري كيف سيتعامل معه التنين

اولا .. نرصد بعض رسائل الكومودو وليس جميعها .. :happy:

غير مكتشف بالمحرك كالعاده المريره :arghh: .. ولكن التنين :King:eek:

uLAIaq.png



تم تشغيل الملف ... ورصد تحركاته ..

تنفيذ العمليه .. svchost.ese
37Lq5Q.png


تنفيذ العمليه . clculator .EXE .. الحاسبه :)
NZJyRd.png


الوصول لملفات السيستم ( الويندوز ) في الذاكره
TxUYwo.png


يحاول انهاء العمليه . smss . الخاصه ب Winodows NT Manager
zw1ywM.png


الوصول لملفات تسجيل الدخول للويندوز :eek::eek::eek: في الذاكره :p
2NcLKh.png


الوصول للخدمات الخاصه بالويندوز في الذاكره

v4xXVD.png


الوصول للخدمات الخاصه بالكومودو .. في الذاكره :ROFLMAO:
CTbsx7.png


الوصول للخدمات الخاصه بالفيرشوال بوكس .. في الذاكره
VvTRny.png


الوصول لملفات الجيك بودي .. الدعم الفني للتنين .. في الذاكره :LOL:
rmhwu7.png

الوصول للملف التنفيذي الخاص بالفيرشوال بوكس .. في الذاكره :D
KNfNiR.png


الوصول للبروسيس هكر ( برنامج مراقبه العمليات النشطه ) في الذاكره :ROFLMAO::ROFLMAO:
d1pBkK.png


الوصول للنوت باد .. في الذاكره :cool:
3MXsiC.png


وبعد السماح لكل العمليات الخطيره جدا .. تتألق خاصيه VIRUSCOPE ..
gbh3gd.png


وتكتشف سلوك مشوبه وتتطلب التنظيف .. ليعيد الكومودو كل شئ علي ما كان عليه .. وكأن لم يحدث شئ .. وقام بقتل كل عمليات الملف النشطه .. :king:eek:


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



تم تصوير فيديو للتجربه .. التجربه حوالي 10 دقائق من التنبيهات في قمه الخطوره والروعه من التنين ...

حج الفيديو حوالي 5 ميجا تقريبا :eek:

الفيديو ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنقر للتوسيع...
هو هيعمل أيه بالآلة الحاسبة بالظبت
عاوز يحسب أيه
وبعدين محاولة الاتصال بملفات الكومودو والفيرشوال بوكس :\

الملفات دي كانت موجودة على الديسك توب
أو شكله مبرمج انه يتعرف على الكومودو و يقدر يعرف الفيرشوال بوكس كمان
دا غير ان الحقن الي أكتشفه التراست في ملف dwn.EXE
عموما جاري مشاهدة الفيديو
 
توقيع : MagicianMiDo32
medo32 قال:
هو هيعمل أيه بالآلة الحاسبة بالظبت
عاوز يحسب أيه
وبعدين محاولة الاتصال بملفات الكومودو والفيرشوال بوكس :\

الملفات دي كانت موجودة على الديسك توب
أو شكله مبرمج انه يتعرف على الكومودو و يقدر يعرف الفيرشوال بوكس كمان
دا غير ان الحقن الي أكتشفه التراست في ملف dwn.EXE
عموما جاري مشاهدة الفيديو
أنقر للتوسيع...

ياغالي .. هو بيحاول السيطره علي ملف يكون شغال .. ومش مبرمج انه يتعرف علي الكومودو .. ازاي يعني هيكون مبرمج علي الكومودو . حاجه بالعقل كدا يعني ؟ .. والفيرشوال بوكس عشان بيبقي شغال تحت جنب الساعه ..

وبعدين dwn.EXE دا مش حقن خالص .. دا ان الملف اتوقف عن العمل .. لمشاكل خاصه بعدم التوافق
 
توقيع : alaa8iniesta
alaa8iniesta قال:
ياغالي .. هو بيحاول السيطره علي ملف يكون شغال .. ومش مبرمج انه يتعرف علي الكومودو .. ازاي يعني هيكون مبرمج علي الكومودو . حاجه بالعقل كدا يعني ؟ .. والفيرشوال بوكس عشان بيبقي شغال تحت جنب الساعه ..

وبعدين dwn.EXE دا مش حقن خالص .. دا ان الملف اتوقف عن العمل .. لمشاكل خاصه بعدم التوافق
أنقر للتوسيع...
أنا لسة بشوف الفيديو وبعدين دا تخمين احج انيستا:)
عموما انا كنت عاوز أربط بين السلوكيات الي عملها الفيروس
ويظهر أن العمليات دي كانت شغالة جنب الساعة
أنا عاوز اعرف بس أيه علاقة الآلة الحاسبة بالفيرشوال بوكس والكومودو ؟؟؟؟؟!!
تقريبا هو حقن في مجموعة خدمات موجودة في ملف SVHOST.exe و ملف ال svhost.exe دا حاضن لخدمات البرامج Serviceبخلاف أنواعها يعني كل برنامج له خدمة معينة
فالملف دا بيتكون من مجموعات كل مجموعة بتضم خدمات مختلفة
ممكن تشترك في أستخدام ملف معين
فهو لما يحقن ف المجوعة دي ويحاول ياخد
صلاحيات غير محدودة عليها أكي ح يحقن ف كل الخدمات الي موجودة ف المجموعة
وصلت أدرSh :) عندي م كلة في الكي بورد (م _ كلة )
لكنه بيحقن فملفات البوت الرئيسية
ال Winlogon.exe و ال Crss.exe وأخذ الصلاحيات لملف Smss.exe
وبعدين قتله
= سلوك قديم + عاوز يعدل على البوت (0يحط آلية غلق الشاشة ف ملفات الأقلاع دي)
يعني دا هو السلوك الرئيسي بتاع قفل الشاشة (هيه الكيبورد رجعت تشتغل) والباقي سلوكيات فرعية

أما الحقن في ملف DWN.exe في تجربة التراست ف الملف ا موجو ف السيفين بس وم Sh(هف بقى) موجود


ف الأكس بي :( حيحقن فين !!!
كمان ملف ال Smss.exe مش موجود ف السيفين

يبقى المبرمج عمل فيروسين ف بعض
واحد للأكس بي والتاني ل7 و ال8

أنما يسيطر على أي ملف شغال
فيش حاجة أسمها يسيطر على ملف شغال أدرش :)
هو بيسيطر على الملف علىشان ياخد صلاحياته
يعني يلبس لبسه ويعمل فيها هو :)
وبعدين يحقنه بالأوامر الي عاوزة صلاحيات مش موجودة في الملف نفسه Ng.exe
لكنها موجودة في الملف الي ح يحقن فيه
زي واحد موظف خطف رئيس الشركة ولبس لبسه وعمل فيها هو
وتاني يوم الشركة انفجرنت
وبعدين ال Calc.exe الآلة الحاسبة و ال Notpad.exe صلاحياتهم عادية
هم بس ممكن يكونو موثوقين من برامج الحماية مش أكتر
(هيعمل بيهم أيه لم يحقن فيهم مش فارقة :))
وملفات الكومودو والفيرشوال بوكس محمية من الحقن
م يتحقنشي فيها أدرش
يبقى حكاية ملفات البوت ومجموعات ال svhost.exe هي الأقرب :\
وبعدين أحج أنيستا أختصر ف تجاربك كدا أحج
5 ميجا دول أحج كتير قوي عليا أحج
أحج بقولك سارق نت يعني بقيت حرامي
وكل الي يشوفني يقول العبيط اهه
ياحرامي النت:)

أنصحكو بس تشوفو الدقيقة 2و 30 م الفيديو
أخرابي
ميموري ميمور ميموري
خلاص أعم انيستا كفاية تأشير بالفارة أعم
لأ ميموري ميموري ميموري
أخراااااابيييييييييي
عرفنا أعم memory وبتبدأ بحرف ال m ومكتوبة بالأنجليزي
هههههههههههه
تسلم أساحبي على التجربة الطويلة حبتين :)
 
التعديل الأخير:
توقيع : MagicianMiDo32
alaa8iniesta قال:
السلام عليكم ورحمه الله وبركأأته ... اخواني الكرام .. تم تفصيص الملف ورصد كل سلوكياته بتنيني :love:

الملف كما ذكرت .. خطير جدا وسلوكيات مريعه جدا ... تم السماح لكل العمليات لنري كيف سيتعامل معه التنين

اولا .. نرصد بعض رسائل الكومودو وليس جميعها .. :happy:

غير مكتشف بالمحرك كالعاده المريره :arghh: .. ولكن التنين :King:eek:

uLAIaq.png



تم تشغيل الملف ... ورصد تحركاته ..

تنفيذ العمليه .. svchost.ese
37Lq5Q.png


تنفيذ العمليه . clculator .EXE .. الحاسبه :)
NZJyRd.png


الوصول لملفات السيستم ( الويندوز ) في الذاكره
TxUYwo.png


يحاول انهاء العمليه . smss . الخاصه ب Winodows NT Manager
zw1ywM.png


الوصول لملفات تسجيل الدخول للويندوز :eek::eek::eek: في الذاكره :p
2NcLKh.png


الوصول للخدمات الخاصه بالويندوز في الذاكره

v4xXVD.png


الوصول للخدمات الخاصه بالكومودو .. في الذاكره :ROFLMAO:
CTbsx7.png


الوصول للخدمات الخاصه بالفيرشوال بوكس .. في الذاكره
VvTRny.png


الوصول لملفات الجيك بودي .. الدعم الفني للتنين .. في الذاكره :LOL:
rmhwu7.png

الوصول للملف التنفيذي الخاص بالفيرشوال بوكس .. في الذاكره :D
KNfNiR.png


الوصول للبروسيس هكر ( برنامج مراقبه العمليات النشطه ) في الذاكره :ROFLMAO::ROFLMAO:
d1pBkK.png


الوصول للنوت باد .. في الذاكره :cool:
3MXsiC.png


وبعد السماح لكل العمليات الخطيره جدا .. تتألق خاصيه VIRUSCOPE ..
gbh3gd.png


وتكتشف سلوك مشوبه وتتطلب التنظيف .. ليعيد الكومودو كل شئ علي ما كان عليه .. وكأن لم يحدث شئ .. وقام بقتل كل عمليات الملف النشطه .. :king:eek:


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



تم تصوير فيديو للتجربه .. التجربه حوالي 10 دقائق من التنبيهات في قمه الخطوره والروعه من التنين ...

حج الفيديو حوالي 5 ميجا تقريبا :eek:

الفيديو ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنقر للتوسيع...
تجربه رائعه يبدو ان محرك الكمودو لم يصبح ذو اهميه في ظل كل تلك التقنيات......الهايبس والهيروستيك والفايروس سكوب والساندبوكس ........
 
alaa8iniesta قال:
السلام عليكم ورحمه الله وبركأأته ... اخواني الكرام .. تم تفصيص الملف ورصد كل سلوكياته بتنيني :love:

الملف كما ذكرت .. خطير جدا وسلوكيات مريعه جدا ... تم السماح لكل العمليات لنري كيف سيتعامل معه التنين

اولا .. نرصد بعض رسائل الكومودو وليس جميعها .. :happy:

غير مكتشف بالمحرك كالعاده المريره :arghh: .. ولكن التنين :King:eek:

uLAIaq.png



تم تشغيل الملف ... ورصد تحركاته ..

تنفيذ العمليه .. svchost.ese
37Lq5Q.png


تنفيذ العمليه . clculator .EXE .. الحاسبه :)
NZJyRd.png


الوصول لملفات السيستم ( الويندوز ) في الذاكره
TxUYwo.png


يحاول انهاء العمليه . smss . الخاصه ب Winodows NT Manager
zw1ywM.png


الوصول لملفات تسجيل الدخول للويندوز :eek::eek::eek: في الذاكره :p
2NcLKh.png


الوصول للخدمات الخاصه بالويندوز في الذاكره

v4xXVD.png


الوصول للخدمات الخاصه بالكومودو .. في الذاكره :ROFLMAO:
CTbsx7.png


الوصول للخدمات الخاصه بالفيرشوال بوكس .. في الذاكره
VvTRny.png


الوصول لملفات الجيك بودي .. الدعم الفني للتنين .. في الذاكره :LOL:
rmhwu7.png

الوصول للملف التنفيذي الخاص بالفيرشوال بوكس .. في الذاكره :D
KNfNiR.png


الوصول للبروسيس هكر ( برنامج مراقبه العمليات النشطه ) في الذاكره :ROFLMAO::ROFLMAO:
d1pBkK.png


الوصول للنوت باد .. في الذاكره :cool:
3MXsiC.png


وبعد السماح لكل العمليات الخطيره جدا .. تتألق خاصيه VIRUSCOPE ..
gbh3gd.png


وتكتشف سلوك مشوبه وتتطلب التنظيف .. ليعيد الكومودو كل شئ علي ما كان عليه .. وكأن لم يحدث شئ .. وقام بقتل كل عمليات الملف النشطه .. :king:eek:


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



تم تصوير فيديو للتجربه .. التجربه حوالي 10 دقائق من التنبيهات في قمه الخطوره والروعه من التنين ...

حج الفيديو حوالي 5 ميجا تقريبا :eek:

الفيديو ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنقر للتوسيع...
:eek::eek::eek::eek::eek::eek::eek::eek::eek::eek:

وهل يوجد لدي راي بعد هذة التجربة تجربة في قمة الروعة (y)(y)(y)(y)(y)(y)

حقا تجاربك ممتعة جدا :D

ملاحظة صغيرة viruscope يقوم بعمل رول بال فقط للعملية المشبوهه وليس لكل عمليات الفايروس
يعني تخيل لو استخرج الفايروس خمسة عمليات وكتشف viruscope احدى العمليات سوف يعمل لها رول بال للعملية المكتشفة فقط السبب تقول الشركة انها تريد ان يعمل اي برنامج بسلاسة بعد عملية الحظر لاي عملية مشبوهه
وهذا تخلف بحد عينة :cry:


مشكور على التجربة وننتظر جديدك
 
medo32 قال:
ممكن اخي توضحلي كيف يصاب الملف المضغوط نفسه
عند ضغط ملف يتحول نوع البيان الخاص Data Type به الى بيان نصي (Character Data Type (String يعني كأنه ملف بالنوت باد -( لايصاب بفيروس)-
وعند فكه يتم اعادة ترتيب أجزاؤه ليتحول الى بيان ديناميكي (بشتى أنواعه ) Dynamic Data Type

هو ياعم خبير الكاسبر
بيسحجب الملف ولا بيعمل رول باك
عمل رول باك يعني أن ال Inject تم والفيروس تم تنفيذه كاملا
بعد ذلك يقتله الكاسبر ويعيد القيم كما كانت
ونفس التقنية بيعتمد عليها محلل سلوك الجي داتا أعتمادا كاملا
ودي ثغرة خطيرة
لأن بعض التغيرات التي يقوم بها الفيروس لايمكن أرجاعها
زي حذف ملف كمثال
- منتظرك
أنقر للتوسيع...
لا يا برنس الكاسبر بيعمل روول باك لحذف الملف اللي زرعة وقيم الريجستري بس
فعندما ع الرانسومير ملف في جزء حساس هكذا يكتشف الكاسبر انة خبيث ويقوم بحذة وحذف الملف المزروع اللي هي روول باك ومال الكاسبر
بيعرف انة خبيث ازاي
 
توقيع : pro george
pro george قال:
لا يا برنس الكاسبر بيعمل روول باك لحذف الملف اللي زرعة وقيم الريجستري بس
فعندما ع الرانسومير ملف في جزء حساس هكذا يكتشف الكاسبر انة خبيث ويقوم بحذة وحذف الملف المزروع اللي هي روول باك ومال الكاسبر
بيعرف انة خبيث ازاي
أنقر للتوسيع...
يعني لو الفيرس حذف ملف مفيش رول باك ولا يحزنون
 
توقيع : MagicianMiDo32
medo32 قال:
يعني لو الفيرس حذف ملف مفيش رول باك ولا يحزنون
أنقر للتوسيع...
لو الفيرس اول يحذف ملف من النظام والمناظق الحساسة االكاسبر مش بيستناة يمسح
لا بيمنعة من الحذف
 
توقيع : pro george
pro george قال:
لو الفيرس اول يحذف ملف من النظام والمناظق الحساسة االكاسبر مش بيستناة يمسح
لا بيمنعة من الحذف
أنقر للتوسيع...
يعني بيعمله بلوك على سلوك الحذف
لكن الباقي بيسمحله وبعدين يعمله رول باك
اوك ياجو
طب جربته على بات الموت لانه بيعمل حذف بردو
 
توقيع : MagicianMiDo32
medo32 قال:
يعني بيعمله بلوك على سلوك الحذف
لكن الباقي بيسمحله وبعدين يعمله رول باك
اوك ياجو
طب جربته على بات الموت لانه بيعمل حذف بردو
أنقر للتوسيع...
ممممم مش عارف اصلة بقي مكشوف ومش هيسمحلة بالتشغيل حتي لو وقفت الحماية بالوقت الحقيقي حيطو في غير موثوق
 
توقيع : pro george
medo32 قال:
يعني بيعمله بلوك على سلوك الحذف
لكن الباقي بيسمحله وبعدين يعمله رول باك
اوك ياجو
طب جربته على بات الموت لانه بيعمل حذف بردو
أنقر للتوسيع...
راجع مشكاركة الاخ طارق في موضوع بات الموت تدمر الوندز
 
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى