عـيـنة تطبيق ضار للفحص

[ALmehob]

تطبيق ضار للفحص


رابط التحميل
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]


لفك الضغط
[hide]infected[/hide]

 

[kimo7]

البولجارد

 

[أبو رمش]

عليكم السلام و رحمة الله و بركاته ... ألف شكر لك ..

 

[zizoshx13]

ESET Smart Security 8
[hide]

[/hide]​

 

[MagicianMiDo32]

الحماية UPX
قمت بفكها بسهولة

البرمجة C++


,وبالنظر لدوال الملف فإنها تعطيه صلاحيات واسعة جدا وأخمن انه تطبيق أختراق متطور ذو صلاحيات واسعة جدا
أذ يستطيع إنشاء وحذف والتعديل على الملفات والعمليات ومفاتيح الريجستري وكذلك يضيف نفسه في بدأ التشغيل ويستطيع حماية نفسه من عمليات التنقيح أضافة الى قدرته على تحديث نفسه والإتصال بحاسوب بعيد هو حاسوب الهاكر وكذلك تحميل ملفات من على الإنترنت ... والكثير من الأمور الأخرى التي يستطيع هذا الملف القيام بها .~


بعض المحددات توضح خطورة الملف ,

الملف مكتشف بتسميتين مختلفتين قبل وبعد فك الحماية


قبل فك الحماية

بعد فك الحماية

حجم الملف كبير نسبيا ,, حوالي 3 ميجا
لذلك أضطررت للتعديل على إعدادات التراست بورت كي يستطيع إكتشافه




بتشغيل الملف ظهرت رسالة عامة أنه يحاول التعديل على إعدادات النظام العامة ,, ريستريكت

بعد ذلك ظهرت رسالة من الجدار الناري تفيد محاولة هذا التطيق الإتصال بالإنترنت

[hide]

239.192.152.143

[/hide]
ما لاحظته أن الملف يقوم بالعديد من الإتصالات الوهمية بلا إي جهة

الملف لم يقم بإضافة نفسه لبدء التشغيل ,,

فقط إتصل بذلك العنوان بالأعلى



لعل أنه توجد عليه حماية ضد الأنظمة الوهمية والله أعلم


~

 

[Mr. Abdul Bari]

كنت راح اجرب التراس بورت ولاكن هو يحجب النت ولا استطيع فتح اي صفحة

@medo32

 

[MagicianMiDo32]

أخي عندما تغلق الفايروول يعمل
ام عندما تغلق حماية الويب

 

[ahmed@salah]

بالتشغيل فقط تم رصد الأتصال

[hide]

[/hide]

 

[Mr. Abdul Bari]

لا يعمل ابدا حتى لو اغلقت البرنامج

 

[ALmehob]

الحماية UPX
قمت بفكها بسهولة

البرمجة C++


,وبالنظر لدوال الملف فإنها تعطيه صلاحيات واسعة جدا وأخمن انه تطبيق أختراق متطور ذو صلاحيات واسعة جدا
أذ يستطيع إنشاء وحذف والتعديل على الملفات والعمليات ومفاتيح الريجستري وكذلك يضيف نفسه في بدأ التشغيل ويستطيع حماية نفسه من عمليات التنقيح أضافة الى قدرته على تحديث نفسه والإتصال بحاسوب بعيد هو حاسوب الهاكر وكذلك تحميل ملفات من على الإنترنت ... والكثير من الأمور الأخرى التي يستطيع هذا الملف القيام بها .~


بعض المحددات توضح خطورة الملف ,

مشاهدة المرفق 94175


الملف مكتشف بتسميتين مختلفتين قبل وبعد فك الحماية


قبل فك الحماية

مشاهدة المرفق 94177


بعد فك الحماية
مشاهدة المرفق 94176

حجم الملف كبير نسبيا ,, حوالي 3 ميجا
لذلك أضطررت للتعديل على إعدادات التراست بورت كي يستطيع إكتشافه



بتشغيل الملف ظهرت رسالة عامة أنه يحاول التعديل على إعدادات النظام العامة ,, ريستريكت

مشاهدة المرفق 94178

بعد ذلك ظهرت رسالة من الجدار الناري تفيد محاولة هذا التطيق الإتصال بالإنترنت


مشاهدة المرفق 94179

[hide]
مشاهدة المرفق 94180
239.192.152.143

[/hide]
ما لاحظته أن الملف يقوم بالعديد من الإتصالات الوهمية بلا إي جهة
مشاهدة المرفق 94181


الملف لم يقم بإضافة نفسه لبدء التشغيل ,,

فقط إتصل بذلك العنوان بالأعلى



لعل أنه توجد عليه حماية ضد الأنظمة الوهمية والله أعلم


~

جميل ياميدو

 

[black007]

الحماية UPX
قمت بفكها بسهولة

البرمجة C++


,وبالنظر لدوال الملف فإنها تعطيه صلاحيات واسعة جدا وأخمن انه تطبيق أختراق متطور ذو صلاحيات واسعة جدا
أذ يستطيع إنشاء وحذف والتعديل على الملفات والعمليات ومفاتيح الريجستري وكذلك يضيف نفسه في بدأ التشغيل ويستطيع حماية نفسه من عمليات التنقيح أضافة الى قدرته على تحديث نفسه والإتصال بحاسوب بعيد هو حاسوب الهاكر وكذلك تحميل ملفات من على الإنترنت ... والكثير من الأمور الأخرى التي يستطيع هذا الملف القيام بها .~


بعض المحددات توضح خطورة الملف ,

مشاهدة المرفق 94175


الملف مكتشف بتسميتين مختلفتين قبل وبعد فك الحماية


قبل فك الحماية

مشاهدة المرفق 94177


بعد فك الحماية
مشاهدة المرفق 94176

حجم الملف كبير نسبيا ,, حوالي 3 ميجا
لذلك أضطررت للتعديل على إعدادات التراست بورت كي يستطيع إكتشافه




بتشغيل الملف ظهرت رسالة عامة أنه يحاول التعديل على إعدادات النظام العامة ,, ريستريكت

مشاهدة المرفق 94178

بعد ذلك ظهرت رسالة من الجدار الناري تفيد محاولة هذا التطيق الإتصال بالإنترنت


مشاهدة المرفق 94179

[hide]
مشاهدة المرفق 94180
239.192.152.143

[/hide]
ما لاحظته أن الملف يقوم بالعديد من الإتصالات الوهمية بلا إي جهة
مشاهدة المرفق 94181


الملف لم يقم بإضافة نفسه لبدء التشغيل ,,

فقط إتصل بذلك العنوان بالأعلى



لعل أنه توجد عليه حماية ضد الأنظمة الوهمية والله أعلم


~

تحليل جيد ياميدو

ولكن

الملف بعد فك الحمايه الى عليه يقوم باسقاط ملف تورنت

ولا عجب ان الملف يقوم بالالاف من الاتصالات لانه يتصل بتراكر

tracker.openbittorrent.com
open.demonii.com
tracker.publicbt.com
router.utorrent.com

ملف التورنت هذا يقوم بتحميل ملف من نوع dat بحجم 25 ميجا

ومشكوك فى امره Windows Shell Common

بمطابقه الهاش على موقع فايرس توتل الملف مرفوع منذ اسبوع تقريبا على توتل ( التوتل يقول نظيف )

هاش ملف BCC9F741E3B8CAE43A6681EACF4CD423

نتيجه التوتل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اعد تحليلك مره اخرى واخبرنى بالنتيجه

 

[MagicianMiDo32]

بصراحة أخي بلاك لم يقم بتحميل شيئ فقط قام بالاتصال
ربما لأن رابط التحميل غير موجود
لكن بفحصي لدوال الملف فهو بالفعل من نوع Trojan Dropper يمكنه تحميل ملفات من الإنترنت

 

[black007]

بصراحة أخي بلاك لم يقم بتحميل شيئ فقط قام بالاتصال
ربما لأن رابط التحميل غير موجود
لكن بفحصي لدوال الملف فهو بالفعل من نوع Trojan Dropper يمكنه تحميل ملفات من الإنترنت

ليس تحميل ملف التورنت

ولكن بتفكيك الملف الاصلى بعد فك حمايته ستجد ملفين احدهما تورنت واخر باسم AF.dat

ستجدهم فى مسار التمب

الاول فى مسار

C:\Users\YOUR USER \AppData\Local\Temp\AF\AF.dat

وملف التورنت فى مسار

C:\Users\YOUR USER\AppData\Local\Temp\AF.a4a75d2e4095d457467777673e96cd331575b511.torrent

راقب جيدا

 

[MagicianMiDo32]

ربما أخي بلاك
أنا أتابع ملف التيمب عادة لكن لم ألحظ إنشاء هذا هذا الملف إذ لا التفت سوى للملفات التنفيذية
عموما ساعيد التجربة إن شاء الله
وهذة المرة سأراقب عملية إنشاء الملفات

 

[MagicianMiDo32]

لا يعمل ابدا حتى لو اغلقت البرنامج

من الأيقونة جنب الساعة ؟
هكذا فقط نافذة البرنامج ستنغلق ,, فقط
بينما تظل كافة وحدات الحماية تعمل
يجب إيقاف وحدات الحماية من البرمنامج نفسه
كما لاتنسى إعداد شبكتك فور تنصيب البرنامج