عليكم السلام ورحمة الله
الملف الأول GetHWID1
سليم
ترخيصه الرقمي سليم
لا يتضمن تعليمات برمجية خبيثة
تم تشغيله على عدة أجهزة دون نتيجة
سبب الإشتباه:
1) Certificate expired
valid-from,21/12/2012 - 00:00:00
valid-to,30/12/2020 - 23:59:59
2) كود سورس مبرمج باللغة الصينية
Code source in chinese-simplified
3) يقوم بعمليات تندرج ضمن القائمة السوداء
Collect and transmit user data without proper disclosure
gain knowledge about the system and internal network
4) القيام بعمليات Defense Evasion
التهرب من الدفاع:
يتحقق من التشغيل في Virtual
+
Modify Registry
يعدل قيم رجستري نظام التشغيل ويقوم بحذفها
(مسح آثار العملية)
interact with the Windows Registry to hide configuration information within Registry keys
remove information as part of cleaning up
or as part of other techniques to aid in Persistence and Execution
5) القيام بعمليات Discovery
اكتشاف معلومات النظام
System Information Discovery
attempt to get detailed information about the operating system and hardware
including version, patches, hotfixes, service packs, and architecture
هذه هي المنافذ التي يستعملها:
Port 443: This is the standard port for HTTPS, which uses encryption to secure communication
While some vulnerabilities might exist in specific implementations,
a simple attempt like this wouldn't be effective
GET request: This is a standard way to request information from a web server
It doesn't involve uploading malicious code or performing actions that could compromise your system
msftconnecttest.com: a Microsoft service for testing connectivity
لم يعمل معي للمهمة التي ذكرت في تعريف عمل البرمجية
سواء تم تشغيله في نظام حقيقي أو وهمي تظهر رسالة:
请不要在虚拟机中运行此程序。= Please do not run this program in a virtual machine
ملاحظة:
تسبب في انهيار نظام تشغيل وهمي على حاسوب مختلف PCSP Z440 Workstation Tower Desktop PC
شاشة زرقاء
Your device ran into a problem and needs to restart. We're just collecting some error info, and then we'll restart for you
100% complete
For more information about this issue and possible fixes, visit https://www.windows.com/stopcode
If you call a support person, give them this info:
Stop code: KERNEL SECURITY CHECK FAILURE
كما سبق الإشارة إليه لم يحدث أي شيء عملي من هذه التعليمات البرمجية بسبب تلك الرسالة:
请不要在虚拟机中运行此程序。= Please do not run this program in a virtual machine
(للأسف جميع الأجهزة نفس النوع)
لكن حسب تصنيفVIRUS TOTAL
الملف نظيف إن شاء الله
باعتماد نتيجة فحص: (Static ML)&(Theta)
Static ML:
Since it doesn't run the program
Static ML: يشير هذا إلى نموذج التعلم الآلي المستخدم للتحليل
Static الثابت هنا يعني أن التحليل يحدث قبل تنفيذ البرنامج
Theta:
تستخدم Theta خوارزميات التعلم الآلي لتحليل سلوك الملف وخصائصه لتحديد البرامج الضارة المحتملة حتى المتغيرات الجديدة وغير المرئية تماما
تركز خوارزميات Theta على السلوك حيت تبحث في كيفية تفاعل البرنامج مع النظام والبيانات مما يجعله أكثر فعالية ضد التهديدات المتطورة
و الثاني ملف لاحقة sys لتثبيت دونجل وهمي
----------------------------------------------------
الملف يستدعي عدة تعليمات لا يمكن تنفيذها دون البرنامج الأساسي
الترخيص الرقمي للملف غير سليم تم التعديل عليه
سبب الإشتباه:
Data-Manipulation
Encode data using XOR
Manually build AES constants
Anti-Analysis
Packed with VMProtect
VMProtect: The packing or obfuscation technique used the VMProtect software
which is sometimes employed by malware authors
to make their code harder to analyze and reverse-engineer
VMProtect في حد ذاته ليس ضارًا و ولكن يمكن استخدامه لحماية البرامج بما فيها الضارة
مما يجعل من الصعب تحليلها واكتشافها
هذه التعليمة
HUNT_WIN_DRIVER_CONTAINS_RSRC_00
تحمل تعريف /بصمة
malicious attempt to exploit vulnerabilities in drivers
وهي سبب تعريف كاسبرسكي :
Heuristic detection: This type of detection looks for suspicious activity
such as the file or program trying to access sensitive data or modify system settings
تعليمة تستخدم في استغلال التعريفات للحقن
HUNT_WIN_DRIVER_CONTAINS_RSRC_00
refers to a process searching for drivers containing a specific resource (RSRC_00)
This could be legitimate system maintenance or security research
but it could also be a malicious attempt to exploit vulnerabilities in drivers
دون تشغيل البرنامج لايمكن التأكد
بالإستناد إلى محركات الفحص VIRUS TOTAL
AhnLab-V3
BitDefenderTheta
DrWeb
Acronis (Static ML)
Kaspersky:
أجمعت على نظافة هذا الملف
ملاحظة:
لم أتمكن من تحليل السلوك يدوياً بالتشغيل العملي للأداتين للأسباب المذكورة سابقا
حظاً طيباً وفقك الله