تم الفحص ملف مشبوه

[khaled_jtv]

نتائج فحص الملف على اكثر من موقع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ttps://opentip.kaspersky.com/16F0FFCDD242A0D514B9D96AE1535F48A2E2811D45A8094E98BB0A26EA2FEBBA/results?tab=upload

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[khaled_jtv]

صحيح هذه النسخ الجديده من الموقع
V3

 

[باسل القرشباسل القرش is verified member.]

الملف سليم بإذن الله
كل المسميات HackTool

 

[Ramy BadraanRamy Badraan is verified member.]

عم خالد بعد اذنك المكان دة تحط فيه الملفات الملغومة لفحصها
انما انت حاطط ملف نضيف وانا شخصيا فعلت بيه اوفيس دلوقتى

ودة التحليل بتاعه

الملف بيعدل الريجسترى لاضافة kms auto

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform" /v KeyManagementServiceName /t REG_SZ /d kms.server.com /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f

وبيستخدم اوامر تجاوز الامان علشان يتخطى ويندوز ديفندر

powershell -ExecutionPolicy Bypass -File script.ps1
schtasks /create /tn "Windows Update Service" /tr "C:\Windows\system32\cmd.exe /c script.cmd" /sc onlogon /ru System /f

ودى الاتصالات بتاعته كلها خاصة بسيرفرات مايكروسوفت ماعدا الاي بى الاخير

http://officecdn.microsoft.com/pr/%_updch%
https://1.1.1.1
http://www.microsoft.com/DRM/SL/GenuineAuthorization/1.0
222.184.9.98

وبعد البحث فى الاى بي الاخير اتضح انه لسيرفر صينى لتفعيل مايكروسوفت بطريقة غير شرعية وغالبا هو تابع ل Kms
والحمد لله مفيش أكواد تحميل أوامر من الإنترنت (مثل curl أو wget)، وده معناه إنه مش بيحاول ينزل أو يشغل ملفات خارجية من سيرفرات غير معروفة.

الملف سليم باذن الله