VBS/Downloader #2

[White Man]

السلام عليكم ورحمة الله


[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

infected

[/hide]


روابط الفحص :

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]


ــــــــــــــــــــــــــــــ

[hide]

هذا هو الملف الذى سيتم تحميله من خلال الداونلودر

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

جزء من السورس

[/hide]

 

[kimo7]

البول جارد بمجرد فك الضغط

 

[أبو رمش]

البتد فيندر أثناء فك الضغط ...
الملف الأول ..

الملف الثاني ..

 

[Ali Ramadan]

البتد فيندر أثناء فك الضغط ...
الملف الأول ..

الملف الثاني ..

كنت جالس أجرب البت قبل شوي
لكن إلي لاحظته على البت أنه عندما صد الملف الثاني "торрент_база_сотовых_операторов_россии.vbe" قام فقط بصد ملف منه وهو "winmm.dll ",أي أنه لم يصد العمليه كلها, أتوقع لو ذهبت لاداره المهام أتوقع تجد عمليه الملف الثاني شغاله في الستارت اب, ولها عمليه أخرى بإسم Remote Utility.
الملف صراحه أخترق البت, ونفس الشئ مع الحصان والنود ( من تجربه).

الوحيد الذي صد الملفين كاملات من أثر لباقي العمليات هو النورتن 2015, سأقوم بوضع الصوره خلال لحظات

 

[أبو رمش]

أنا لم أقم بتشغيل الملف !

 

[Ali Ramadan]

تجربه النورتن

بالفحص لا شئ
عند تشغيل الملف الاول تم صيده

وبعدها ظهرت رساله أن الملف لا يعمل

لان النورتن قام بحجب العمليه الرئيسيه للملف وهي " Windowsupdate.exe "

عند تشغيل الملف الثاني لم يعمل

والسبب أن النورتن قام بحجبه مع الملف الاول .
اقول لكم كيف.

الملفان يملكان نفس العمليه الرئيسيه وهي " windowsupdate.exe ", وعندما قام النورتن بحجب العمليه الاولى للملف الاول, بقيت محجوبه حتى مع تشغيل الملف الثاني لهذا لم يعمل.

 

[Ali Ramadan]

أنا لم أقم بتشغيل الملف !

هل قمت بتحميل ملف الـ windowsupdate.exe فقط؟

 

[أبو رمش]

نعم عندما قمت بتحميلة قمت بفكه أيضا و أثناء فك الضغط اكتشف البتد فيندر الملف ....

 

[Ali Ramadan]

نعم عندما قمت بتحميلة قمت بفكه أيضا و أثناء فك الضغط اكتشف البتد فيندر الملف ....

الرابط الاخير بالموضوع هو لاحد عمليات الملف الاصلي إلي في أول الموضوع وليس الملف كامل.
أنا قمت بتجربه الملف الثاني "торрент_база_сотовых_операторов_россии.vbe" إلي في أول الموضوع على البت وكانت النتيجه أن البت أوقف ملف إسمه " winmm.dll " من داخل عمليه windowsupdate.exe وليس الملف كاملاً وهو ما حصل معك بالصوره.
لكن المشكله أن الفيروس كان يعمل, قمت بعمل ريستارت للجهاز وما زال يعمل...

 

[Ali Ramadan]

أنا لم أقم بتشغيل الملف !

أنا لم أقل أنك شغلت الملف
كانت من تجربتي

كنت جالس أجرب البت قبل شوي

 

[أبو رمش]

ما دمت تقول أنك قمت بتشغيل الملف و أن البتد فيندر اكتشف فيه ملف دل !
و مازال البرنامج يشتغل ربما يكون البتد قد أزال الخطر من البرنامج !

 

[Ali Ramadan]

ما دمت تقول أنك قمت بتشغيل الملف و أن البتد فيندر اكتشف فيه ملف دل !
و مازال البرنامج يشتغل ربما يكون البتد قد أزال الخطر من البرنامج !

المشكله حتى بعد الاكتشاف بعض عمليات الملف كانت شغاله!
عكس النورتن لم أرى أي عمليه للبرنامج أبداً

شوف هذه بعد تشغيل الملف على البت وعمل ريستارت:

العمليات مريبه صراحه, وحتى ولو كان الخطر قد زال.

 

[عين الطيف]

يبدو ان النورتون 2015 جاء بشراسة شديدة

 

[عين الطيف]

لكن أستاذ "علي " الحصان حتي وان كان يستعمل محرك البت ديفندر لكنه يراقب كل عمليات التغيير في النظام - جربت تشغيل برنامج استرجاع الملفات أمسك الملف لانه يبحث في قطاعات الهارد -أخاف أجرب حتي في وجود private wall

 

[White Man]

الرابط الاخير بالموضوع هو لاحد عمليات الملف الاصلي إلي في أول الموضوع وليس الملف كامل.
أنا قمت بتجربه الملف الثاني "торрент_база_сотовых_операторов_россии.vbe" إلي في أول الموضوع على البت وكانت النتيجه أن البت أوقف ملف إسمه " winmm.dll " من داخل عمليه windowsupdate.exe وليس الملف كاملاً وهو ما حصل معك بالصوره.
لكن المشكله أن الفيروس كان يعمل, قمت بعمل ريستارت للجهاز وما زال يعمل...

بالفعل الرابط الاخير هو للملف الذى سيتم تحميله من خلال الداونلودر .. تم التوضيح بالموضوع