• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

Backdoor Trojan njRAT

  • بادئ الموضوع بادئ الموضوع ABDELHAK AS
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,310
الحالة
مغلق و غير مفتوح للمزيد من الردود.
ABDELHAK AS

ABDELHAK AS

عضو شرف
إنضم
28 نوفمبر 2008
المشاركات
3,571
مستوى التفاعل
13,253
النقاط
1,220
الإقامة
MOROCCO
غير متصل


السلام عليكم ورحمة الله تعالى وبركاته


هدا باكدور Backdoor Trojan njRAT نزل قبل اقل من ساعة على موقع اجنبي متخصص... غير مكتشف من اي برنامج حماية ..قوي جدا ...تم ارساله لكل برامج الحماية.....


https://www.virustotal.com/file/7e1...dbc58639d8c933cf206e2788/analysis/1402397586/




[hide] mega.co.nz/#!zFBQga6L!dluB_fKkKHxovpVylXJZg7i6trusK3M3Q0tXGLeg6Ws

Password is : infected
[/hide]
 

توقيع : ABDELHAK AS
تحليل سريع
نسخ نفسه الى بدء التشغيل


اتصل بالانترنت

[hide]
1%20%28182%29.png
[/hide]

تم اكتشاف عملية له فى الذاكرة



وايضا قام بالتعديل فى الريجسترى " كل هذا والايست يغط فى سبات عميق " لم يكتشف سوى عملية فى الذاكرة ولم يمنع اتصاله بالنت او حتى التعديل فى الريجسترى
وايضا انشئ ملف مؤقت " اكيد لحفظ المعلومات "
4%20%28120%29.png
 
التعديل الأخير:
توقيع : White Man
Untitled.webp
 
توقيع : مصرى ولى الفخر
securalive internet security

فشل فشلاً ذريعاً ..

تم تفعيل الحماية وتحديث القواعد على اخر اصدار

ثم قمت بعمل تشغيل للباتش
الباتش قام بنسخ هذا الملف على سطح المكتب
UgbB6w.png


. مهما حذفته يرجع على السطح


عموما شغلت الملف ولم يتحرك الحماية ابداً ..

فـ دخلت على ادارة المهام ... وهاقد بدأ الباتش بالعمل

EraeZj.png



والحمايه في نوم عميق -_-

هذا يثبت ان البرنامج مجرد محرك لا اكثر.. حتى الفايروول ميت كلياً ولا فائده منه
 
f-secure

نجح فقط في حجب نصف العملية

والعملية الاخرى مازالت تعمل


بمجرد التشغيل تحركت وحده DeepGuard
3gaQWp.png


بعدها اختفت واحده من العمليات في ادارة المهام

وبقت مهمة واحده

ieDoHC.png


بختصار هذا فشل جزئي للأف سكيور
 
الكاسبر غير مكشوف:bookworm:

الملف معروف اليوم:joyful:
1.webp

تم تحويل الكاسبر للوضع الافتراضي اليدوي

وتشغيل الملف

وتتألق طبقة SW

سلوك PDM:Trojan.w32.Genric

وغير مكشوف بفحص الهاش
3.webp


وتم حجب الملف
4.webp

تفاصيل
5.webp


وتم عمل روول باك وحذف الملفات المزروعة
7.webp


وتم عمل رووول باك وحذف مفاتيح الريجستري
6.webp


التقارير
ملف مكشوف في الذاكرة
وملف محذوف من مجلد التيمب اثناء الروول باك
8.webp


الحجز
الملف المكتشف في الذاكرة وتوابعة:punch:
9.webp


:pompus::pompus::pompus:
 
توقيع : pro george
وعليكم السلام ورحمة الله وبركاته تمت التجربة على الكاسبر عند فك الضغط اكتشفه
AntiLogger وعملت له سماح فنسفه الوحش الروسي







2014-06-10_135755.webp
2014-06-10_135553.webp
 
فاعل الخير قال:
f-secure

نجح فقط في حجب نصف العملية

والعملية الاخرى مازالت تعمل


بمجرد التشغيل تحركت وحده DeepGuard
3gaQWp.png


بعدها اختفت واحده من العمليات في ادارة المهام

وبقت مهمة واحده

ieDoHC.png


بختصار هذا فشل جزئي للأف سكيور
أنقر للتوسيع...
قام بحجب سلوك وهو

نسخ الملف في ستارت اب

كما تري AUTORUN

ولكنة لم يكتشف سلوك خبيث اخر

ادخل في مجلد الtemp

لان الكاسبر حذف ملف مزوع فية

وابحث عن ملف باسم rhwrzlfm.exe
 
توقيع : pro george
التفصيص بالتنين ..


: أولا . الملف غير مكشوف بالمحرك . : :eek:


~

تم التشغيل ورصد السلوكيات ( بدون ساندبوكس )


~


تنبيه جبار من الديفنس + فاحص الهيروستيك .. باكتشاف مالوير خطير

hwEEuq.jpg



يحاول الوصول مباشره للقرص


2bXmqD.jpg



يحاول تشغيل reg.exe

WfZrqC.jpg



التعديل علي مفتاح الريجستري المحمي .. المذكور بوصف الكومودو ..


CurcJQ.jpg



يحاول تشغيل cmd :eek:

Nop4yt.jpg



تعديل واجهه المستخدم المحميه من خلال ... csrss.exe

jcICgl.jpg



تشغيل netsh.exe

ksNe8f.jpg




كي لوجر .... الوصول مباشره للوحه المفاتيح .. يشرح لك انك اذا وافقت علي هذه الخيار سيقوم الملف بقراءه ضغطات المفاتيح :King:eek:

aG6wBf.jpg




الوصول للواجهه المحميه ..

kQa5m7.jpg



أنشاء ملف جديد ف التمب

cdbW4q.jpg




ثم الجدار ..


cmC5kb.jpg



kmj-by0000%20%2872%29.gif




 
توقيع : alaa8iniesta
:embarrased::woot:

نو آي بي المخترق
و الاتصال الصادر

 
توقيع : الخفـوق
اين الرابط يا ريت اغلاق الموضوع ما دام تم تحرير الرابط
 
توقيع : tarkanbounce
.
 
توقيع : pro george
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى