-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع ALmehob
- تاريخ البدء
- 614
- الحالة
- إنضم
- 16 مايو 2014
- المشاركات
- 5,332
- مستوى التفاعل
- 8,023
- النقاط
- 2,895
- الإقامة
- Egypt
- الموقع الالكتروني
- forum.zyzoom.net
غير متصل
بفك الضغط الأفاست
توقيع : ahmed@salah
Ahmed_Albosife
زيزوومى محترف
غير متصل
يسلمو برهوووم
مكتشف من الكاسبر 2016
مكتشف من الكاسبر 2016
توقيع : Ahmed_Albosife
MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,235
- مستوى التفاعل
- 27,167
- النقاط
- 6,750
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
تحليل أولي للدوال ,,
أقول رانسوم وير
...
أقول رانسوم وير
...توقيع : MagicianMiDo32
MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,235
- مستوى التفاعل
- 27,167
- النقاط
- 6,750
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
بسم الله الرحمن الرحيم
أشكرك أخي ابراهيم على هذة العينة المسلية حقا Trojan mickey
,التجربة والتحليل باستخدام التراست بورت
أولا الملف كان مكتشفا من المحرك فقمت باغلاقه لتجربة محلل السلوك الذي ابهرني بصراحة على القاعدة restrict التي تجعل منه هيبس لا يقهر .,
أولا ظهر أنذار بأن الملف يحاول التعديل على إعدادات النظام العامة >> ريستريكت
يليه أنذار بأن " الملف يحاول الوصول الى ملف آخر تابع للنظام قد يعطيه صلاحيات عالية "
وبالفعل هذة عملية حقن في العملية Taskhostex.exe لإستخدامها في الإتصال بعنوان معين
كما قام الملف بنسخ نفسه الى مجلد الـ roaming
,وبعد ذلك تم رصد أتصال
[hide]
[/hide]
الهوست
[hide]
[/hide]
والعملية التي تتصل هي Taskhostex.exe التي تم حقنها .,,
[hide]
[/hide]
نلاحظ أيضا دوال البرنامج وهو السبب الذي جعلني أفكر فيه على أنه راسنسوم وير في البداية
تلكما الدالتين
GetStartupInfoA
و
GetDesktopWindow
على أساس انه سيضيف نفسه للستارت اب وبالفعل حدث
ويقوم بإغلاق نوافذ سطح المكتب وهذا لم يحدث وحتى الآن لا أعرف الغرض من هذة الدالة ممكن لتصوير سطح المكتب ~
والله أعلم
قمت بعمل restart للنظام الوهمي لمعرفة ما إذا كان الملف سيعمل مع بدء التشغيل أم لا وبالفعل عمل وظهر إنذار من التراست بورت
مدخلة الستارت أب بأداة autoruns .,
;,كويس المنتدى صار يسمح لك برفع أكثر من 10 صور بمشاركة الواحدة
صورة للـ Handles الخاصة بالعملية
وللـ Environment
للـ memory
نعود الآن للـ أي بي
بالدخول أليه تبين أنه تابع للـ Cloud Flare
,;`وكذلك بالبحث عنه في , Who.is
أي يحتمل أن يكون الملف أدوير مثلما قال الأخ بايدو العالمي
أشكرك أخي ابراهيم على هذة العينة المسلية حقا Trojan mickey
,التجربة والتحليل باستخدام التراست بورت
أولا الملف كان مكتشفا من المحرك فقمت باغلاقه لتجربة محلل السلوك الذي ابهرني بصراحة على القاعدة restrict التي تجعل منه هيبس لا يقهر .,
أولا ظهر أنذار بأن الملف يحاول التعديل على إعدادات النظام العامة >> ريستريكت
يليه أنذار بأن " الملف يحاول الوصول الى ملف آخر تابع للنظام قد يعطيه صلاحيات عالية "
وبالفعل هذة عملية حقن في العملية Taskhostex.exe لإستخدامها في الإتصال بعنوان معين
كما قام الملف بنسخ نفسه الى مجلد الـ roaming
,وبعد ذلك تم رصد أتصال
[hide]
الهوست
[hide]
والعملية التي تتصل هي Taskhostex.exe التي تم حقنها .,,
[hide]
نلاحظ أيضا دوال البرنامج وهو السبب الذي جعلني أفكر فيه على أنه راسنسوم وير في البداية
تلكما الدالتين
GetStartupInfoA
و
GetDesktopWindow
على أساس انه سيضيف نفسه للستارت اب وبالفعل حدث
ويقوم بإغلاق نوافذ سطح المكتب وهذا لم يحدث وحتى الآن لا أعرف الغرض من هذة الدالة ممكن لتصوير سطح المكتب ~
والله أعلم
قمت بعمل restart للنظام الوهمي لمعرفة ما إذا كان الملف سيعمل مع بدء التشغيل أم لا وبالفعل عمل وظهر إنذار من التراست بورت
مدخلة الستارت أب بأداة autoruns .,
;,كويس المنتدى صار يسمح لك برفع أكثر من 10 صور بمشاركة الواحدة
صورة للـ Handles الخاصة بالعملية
وللـ Environment
للـ memory
نعود الآن للـ أي بي
بالدخول أليه تبين أنه تابع للـ Cloud Flare
,;`وكذلك بالبحث عنه في , Who.is
أي يحتمل أن يكون الملف أدوير مثلما قال الأخ بايدو العالمي
توقيع : MagicianMiDo32
Ahmed_Albosife
زيزوومى محترف
غير متصل
ياسلام...بسم الله الرحمن الرحيم
أشكرك أخي ابراهيم على هذة العينة المسلية حقا Trojan mickey
,التجربة والتحليل باستخدام التراست بورت
أولا الملف كان مكتشفا من المحرك فقمت باغلاقه لتجربة محلل السلوك الذي ابهرني بصراحة على القاعدة restrict التي تجعل منه هيبس لا يقهر .,
أولا ظهر أنذار بأن الملف يحاول التعديل على إعدادات النظام العامة >> ريستريكت
مشاهدة المرفق 93458
يليه أنذار بأن " الملف يحاول الوصول الى ملف آخر تابع للنظام قد يعطيه صلاحيات عالية "
وبالفعل هذة عملية حقن في العملية Taskhostex.exe لإستخدامها في الإتصال بعنوان معين
مشاهدة المرفق 93459
كما قام الملف بنسخ نفسه الى مجلد الـ roaming
مشاهدة المرفق 93460
,وبعد ذلك تم رصد أتصال
[hide]مشاهدة المرفق 93461[/hide]
الهوست
[hide]
مشاهدة المرفق 93462[/hide]
والعملية التي تتصل هي Taskhostex.exe التي تم حقنها .,,
[hide]
مشاهدة المرفق 93463
مشاهدة المرفق 93464[/hide]
نلاحظ أيضا دوال البرنامج وهو السبب الذي جعلني أفكر فيه على أنه راسنسوم وير في البداية
تلكما الدالتين
GetStartupInfoA
و
GetDesktopWindow
على أساس انه سيضيف نفسه للستارت اب وبالفعل حدث
ويقوم بإغلاق نوافذ سطح المكتب وهذا لم يحدث وحتى الآن لا أعرف الغرض من هذة الدالة ممكن لتصوير سطح المكتب ~
والله أعلم
مشاهدة المرفق 93465
قمت بعمل restart للنظام الوهمي لمعرفة ما إذا كان الملف سيعمل مع بدء التشغيل أم لا وبالفعل عمل وظهر إنذار من التراست بورت
مشاهدة المرفق 93466
مدخلة الستارت أب بأداة autoruns .,
مشاهدة المرفق 93467
;,كويس المنتدى صار يسمح لك برفع أكثر من 10 صور بمشاركة الواحدة
صورة للـ Handles الخاصة بالعملية
مشاهدة المرفق 93469
وللـ Environment
مشاهدة المرفق 93468
للـ memory
مشاهدة المرفق 93470
نعود الآن للـ أي بي
بالدخول أليه تبين أنه تابع للـ Cloud Flare
مشاهدة المرفق 93471
,;`وكذلك بالبحث عنه في , Who.is
مشاهدة المرفق 93472
أي يحتمل أن يكون الملف أدوير مثلما قال الأخ بايدو العالمي
تحليل ممتاز ميدو الله ينور عليك
توقيع : Ahmed_Albosife
MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,235
- مستوى التفاعل
- 27,167
- النقاط
- 6,750
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
شكرا لك أخي الغالي
@Ahmed_Albosife
@Ahmed_Albosife
توقيع : MagicianMiDo32
غير متصل
+1
توقيع : Shrieef Al Tite
- الحالة