الاصدار الحادى عشر من تشفيره TRY IT للفحص والشتغيل بتاريخ 17/7/2014

[MagicianMiDo32]

و الله منكم نستفيد .. انا بصراحه لم اسمع بان هناك اشخاص اسمهم هوني بوت ... ما افهمه هو ما ذكره اخونا جورج

لو عرضوآ عَليكـَ 10000دُولار مُقابل إِرسآآل العَيِّنات ...
ماهُوَ رَأيُكـ

~

 

[qysr]

لو عرضوآ عَليكـَ 10000دُولار مُقابل إِرسآآل العَيِّنات ...
ماهُوَ رَأيُكـ
~

لم يكن قصدي بوجود شخص كهذا ام لا ... انا اتحدث عن التسميه
بعدين 10000 دولار اظن فيها مبالغه ... هو اصلا مالوير ولا حاجه تانيه

 

[الخفـوق]

بكل بساطه
اعملوا من خصائص الملف " انه مايتم ارساله للفايروس توتال "

هالفكره تم تطبيقها من احد الاخوه هنا المحترفين بس والله ناسي اسمه

وياليت لو يكون فيه عينات ( ماتقبل الساندبوكس ) حتى نجرب ساندبوكسات بقية البرامج

 

[MagicianMiDo32]

بكل بساطه
اعملوا من خصائص الملف " انه مايتم ارساله للفايروس توتال "

هالفكره تم تطبيقها من احد الاخوه هنا المحترفين بس والله ناسي اسمه

وياليت لو يكون فيه عينات ( ماتقبل الساندبوكس ) حتى نجرب ساندبوكسات بقية البرامج

@ahmed antivirus


لَكنها قَد تُكتشف بعد فترة ~
أذا أُرسلت الى مُختبرات الشَّركة ليُحللها الـ Security IT's في الشَّركة ~
~

 

[عين الطيف]

طيب نشرح طريقه فكره الخدعه

بساطه شديده كما لاحظ الجميع ان الخدعه هذه المره سهله جدا وان الملف كان يعمل بكل سلاسه وحريه دون التفاف

وكل من جرب استطاع رصد الملف المعنى Shack Uploader.exe المسار C:\Windows\System32\da-DK

ولكن لم ينتبه احد الى كيف يعمل الملف

اذا دققنا النظر جيدا فى امر الملف سنجد انه كان مرفق مع البرنامج شى جديد وهى ملفات من نوع DLL ما فائدتها

من كان يدقق او بالاصح ان الملف بعد رفعه للفايرس توتل كالعاده وانا نبهت وطلبت عدم رفع الملف الى التوتل

لا يهم

المهم ان من رفع الملف لم ينظر الى التقرير الذى قام به فايرس توتل وقال ان الملف يشتغل عن طريق هذا الملف msvcr100.dll

ببساطه شديده الفكره تعتمد الملف msvcr100.dll

حيث ان تم بناء مكتبه DLL مستقله وتم زرع بداخله كود دونلودر يقوم باحضار الملف الذى يتم من خلاله الاختراق

كيف ذلك

بعد ان قمت بتكوين المكتبه واصبحت جاهزه قمت بتكوين البرنامح وهو هنا الاصدار TRY IT V11 وقمت بعمل استدعاء لهذه المكتبه ومن ثمه يقوم البرنامج من استخدام المكتبه

يقوم البرنامج باستدعاء المكتبه DLL >>> تقوم المكتبه باستدعاء رابط الدونلودر >>>>> يقوم الدونلودر باستدعاء الملف الاصلى الى هيتم الاختراق به >>>>> يقوم بتحميله على الجهاز

لتبدا عمليه الاختراق

ولا ننسى ان الملف كان مشفر جيدا قبل كل هاذا

اتمنى ان اكون شرحت الفكره بشكل مبسط وسريع وايضا اتمنى ان اكون اوصلت فكره فى كل مره اطرح فيها اصدار جديد فى هذه النوعيه من البرامج

تحياتى للجميع

انتظورنى ان شاء الله مع خدعه جديده

محبكم دوما مصطفى Black007

ما هي الملفات المتبقية بعد التجربة لحذفها ؟

 

[عين الطيف]

عند التشغيل تم وضعه في الساند بوكس

 

[عين الطيف]

فعلا ظهر خطأ في ملف net frame work ربما بسبب حجز الكومودو للملف ؟
وندوز 7 32 بت