عـيـنة 9-5-2015#5

Abdelkarim · 9 مايو 2015

السلام عليكم و رحمة الله و بركاته

5 ملفات جديدة لاختبار حماياتكم

حجم العينة 2 ميغا

رابط التحميل

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

لفك الضغط استعملو برنامج فك الضغط

في امان الله و حفظه

ALI 145 · 9 مايو 2015

وعليكم السلام

فحص فقط

الملف المتبقي darkcomet backdoor

prince.egy · 9 مايو 2015

kaspersky small office security 4

كمال احمد · 9 مايو 2015

الكاسبر بمجرد فك الضغط :

tiktoshi · 9 مايو 2015

عمرعوض الجريري · 9 مايو 2015

وين رمز فك الضغط

elmasry2006 · 9 مايو 2015

tiktoshi قال:
مشاهدة المرفق 85172

والله انا مابقيتش كيفية عمل سحاب الافيرا ؟؟
هل هو رفع للملف وتحليله ؟؟ والا اكتشافات وفق لقاعدة بيانات موجوده بالشركة ؟؟
افهــــــــــــــــــــــــــم

black007 · 9 مايو 2015

الملف 6eb5b047f8c296c8a80aafd27edf0e76ff75e02cfe185bc88f62916fb79c1e09

يتصل بالاى بى

121.50.46.81

البورت

8080

الاى بى

64.50.182.224

الدومين

blog.windjammerpromotions.com

البورت

80
--------------------------------------------------

الملف 9cf576d2c44bc5f4a61f6e02032d132f0323f4f833395ce5fdf52b859c2095ec

كان محمى وتم فك الحمايه عنه

وواضح انه حاطط اكثر من استدعاء كلها فى الريسورس

السورس

PHP:

Private Shared Function CQygRqh() As Object
    Return PvlxVrgDAStNnrKT.lkGJVbtdjhBNwxVzyzW(Type.GetType(PvlxVrgDAStNnrKT.AMVxeMgjLGAYYCc("16#58#48#55#38#46#109#17#38#37#47#38#32#55#42#44#45#109#2#48#48#38#46#33#47#58", PvlxVrgDAStNnrKT.dxjsQaZrxtpoYtbroQh)), PvlxVrgDAStNnrKT.AMVxeMgjLGAYYCc("4#38#55#6#59#38#32#54#55#42#45#36#2#48#48#38#46#33#47#58", PvlxVrgDAStNnrKT.dxjsQaZrxtpoYtbroQh), New Type(0  - 1) {}).Invoke(Nothing, Nothing)
End Function

الفانكشنات

PHP:

Private Shared Function lkGJVbtdjhBNwxVzyzW(ByVal IYTVaWwelrSbHaQ As Type, ByVal ZugWLiIM As String, ByVal OHOGqZYHKLDn As Type()) As MethodInfo
    Dim methods As MethodInfo() = IYTVaWwelrSbHaQ.GetMethods
    Dim infoArray2 As MethodInfo() = New MethodInfo(1  - 1) {}
    Dim info As MethodInfo
    For Each info In methods
        If Not (info.Name = ZugWLiIM) Then
            Continue For
        End If
        Dim parameters As ParameterInfo() = info.GetParameters
        If (parameters.Length = OHOGqZYHKLDn.Length) Then
            Dim index As Integer = 0
            Do While (index < parameters.Length)
                If (Not parameters(index).ParameterType Is OHOGqZYHKLDn(index)) Then
                    Exit Do
                End If
                index += 1
            Loop
            If (index = parameters.Length) Then
                infoArray2(0) = info
            End If
        End If
    Next
    Return infoArray2(0)
End Function

ايضا

PHP:

Private Shared Function AMVxeMgjLGAYYCc(ByVal IYTVaWwelrSbHaQ As String, ByVal yzBzyfqdVTGkTEx As Byte()) As String
    yzBzyfqdVTGkTEx = PvlxVrgDAStNnrKT.GetKey
    Dim strArray As String() = IYTVaWwelrSbHaQ.Split(New Char() { "#"c })
    Dim lJgkSwegvtOXaXOcoU As Byte() = New Byte(strArray.Length  - 1) {}
    Dim i As Integer
    For i = 0 To strArray.Length - 1
        lJgkSwegvtOXaXOcoU(i) = Byte.Parse(strArray(i))
    Next i
    lJgkSwegvtOXaXOcoU = PvlxVrgDAStNnrKT.JeJkfRdWDyMnQuCLBY(lJgkSwegvtOXaXOcoU, yzBzyfqdVTGkTEx)
    Dim chArray As Char() = New Char(lJgkSwegvtOXaXOcoU.Length  - 1) {}
    Dim j As Integer
    For j = 0 To lJgkSwegvtOXaXOcoU.Length - 1
        chArray(j) = DirectCast(CInt(DirectCast(lJgkSwegvtOXaXOcoU(j), nZYUlO)), Char)
    Next j
    Return New String(chArray)
End Function


  Private Shared Function AMVxeMgjLGAYYCc(ByVal IYTVaWwelrSbHaQ As String, ByVal yzBzyfqdVTGkTEx As Byte()) As String
    yzBzyfqdVTGkTEx = PvlxVrgDAStNnrKT.GetKey
    Dim strArray As String() = IYTVaWwelrSbHaQ.Split(New Char() { "#"c })
    Dim lJgkSwegvtOXaXOcoU As Byte() = New Byte(strArray.Length  - 1) {}
    Dim i As Integer
    For i = 0 To strArray.Length - 1
        lJgkSwegvtOXaXOcoU(i) = Byte.Parse(strArray(i))
    Next i
    lJgkSwegvtOXaXOcoU = PvlxVrgDAStNnrKT.JeJkfRdWDyMnQuCLBY(lJgkSwegvtOXaXOcoU, yzBzyfqdVTGkTEx)
    Dim chArray As Char() = New Char(lJgkSwegvtOXaXOcoU.Length  - 1) {}
    Dim j As Integer
    For j = 0 To lJgkSwegvtOXaXOcoU.Length - 1
        chArray(j) = DirectCast(CInt(DirectCast(lJgkSwegvtOXaXOcoU(j), nZYUlO)), Char)
    Next j
    Return New String(chArray)
End Function

البرنامج نسخه مزيفه من برنامج Steam

------------------------------------------------------------------

الملف 94d0d0299fe44b857c99754519a50cc766bc5bcceefefba9d1b029a27c8a5107

الاى بى

189.38.90.66

الدومين

bimedamogivet.com

الاى بى

189.38.90.51

الدومين

brosina.com.br

الاثنين على بورت 80

الملف نسخه RAT مشفر بالدلفى

----------------------------------------------------------

الملف 832d8cc107c9e6e16c5ddb2ba8c2e372f5d83373da48a21e9f16389b39b7d835

يتصل على الاى بى

31.9.48.78

ببورت

4445

الاى بى

104.74.10.21

بورت

443

الاى بى

107.14.32.34

بورت

80

ويقوم بزراعه عده ملفات منها

C:\Users\AppData\Local\Temp\Bookmarks.db

C:\Users\AppData\Local\Temp\Skype.exe

C:\Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Skype Phone.lnk

C:\Users\AppData\Roaming\dclogs\2015-05-09-7.dc

-------------------------------------------------------------

الملف 22246109b96484b5e7622f1703289bf2785b49e6b17f07301c14b8ec498a1c13

يتصل بعده ايبهات مختلفه

173.243.125.195
8.5.1.16
184.168.221.61
98.139.135.198
107.14.32.34

على بورت 80

-----------------------------------------------------

ودى

elmasry2006 · 9 مايو 2015

عمرعوض الجريري قال:
وين رمز فك الضغط

infected

sabir_2007 · 9 مايو 2015

عمرعوض الجريري قال:
وين رمز فك الضغط

infected

Abdelkarim · 9 مايو 2015

عمرعوض الجريري قال:
وين رمز فك الضغط

اخي الملفات التي في الارشيف خطيرة، فكن على حذر و لا تشغلها

hitman samir12 · 9 مايو 2015

prince.egy قال:
kaspersky small office security 4

كمال احمد قال:
الكاسبر بمجرد فك الضغط :

نتيجتين مختلفتين

Abdelkarim · 9 مايو 2015

G data
الفحص 3 ملفات مكتشفة

الباقي 2

بالتشغيل
الاول

الثاني اظنه مخصصا لاستغلال ثغرة
فبالتزامن مع تشغيله تحركت وحدة exploit protection و توقف الفلاش بلاير

عمرعوض الجريري · 9 مايو 2015

Abdelkarim قال:
اخي الملفات التي في الارشيف خطيرة، فكن على حذر و لا تشغلها

شكرا لك على تنبيهي كنت سأقع في شر هذه الملفات

أبو رمش · 9 مايو 2015

البتد فيندر عند فك الضغط ..

تشغيل المتبقي ..

Abdelkarim · 9 مايو 2015

عمرعوض الجريري قال:
شكرا لك على تنبيهي كنت سأقع في شر هذه الملفات

العفو
هناك تحذير في اعلى هذا القسم

tiktoshi · 9 مايو 2015

elmasry2006 قال:
والله انا مابقيتش كيفية عمل سحاب الافيرا ؟؟
هل هو رفع للملف وتحليله ؟؟ والا اكتشافات وفق لقاعدة بيانات موجوده بالشركة ؟؟
افهــــــــــــــــــــــــــم

هده العينة مكشوفة من سحابة وتم رفع الملف وتخليله واعطائه تسمية

مثلا

اما الملفات التي قيد التخليل يعطيه هده التسمية

مثلا

Abdelkarim · 10 مايو 2015

black007 · 10 مايو 2015

Abdelkarim قال:
مشاهدة المرفق 85189

الشباب يرغبون فى الفحص والتحليل

ما شاء الله الهمه واضحه

بالتوفيق للجميع

Abdelkarim · 10 مايو 2015

trend micro
1 بالفحص

و بقي 4

بتشغيلهم ثم صدهم جميعا

(خبراء زيزووم)

زيزوومي ماسى

توقيع : ALI 145

زيزوومى ذهبى

توقيع : prince.egy

زيزوومي ماسى

توقيع : كمال احمد

(خبراء زيزووم)

توقيع : tiktoshitiktoshi is verified member.

زيزوومى مبدع

توقيع : عمرعوض الجريري

.: خبير نقاشات الحماية :. (خبراء زيزووم)

إداري سابق وداعم للمنتدى (خبير فحص ملفات)

توقيع : black007

.: خبير نقاشات الحماية :. (خبراء زيزووم)

زيزوومي VIP

(خبراء زيزووم)

زيزوومي VIP

توقيع : hitman samir12

(خبراء زيزووم)

زيزوومى مبدع

توقيع : عمرعوض الجريري

.: خبير نقاشات الحماية :.

توقيع : أبو رمش

(خبراء زيزووم)

(خبراء زيزووم)

توقيع : tiktoshitiktoshi is verified member.

(خبراء زيزووم)

إداري سابق وداعم للمنتدى (خبير فحص ملفات)

توقيع : black007

(خبراء زيزووم)

توقيع : tiktoshi

توقيع : tiktoshi