عـيـنة 11-05-2015#13

[Abdelkarim]

السلام عليكم و رحمة الله و بركاته

رابط العينة
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
لفك الضغط infected

 

[ABDELHAK AS]

.

 

[Shrieef Al Tite]

الأفاست
11 من 13 :]

 

[elmasry2006elmasry2006 is verified member.]

البولجارد فك الضغط بدون تشغيل


[hide]
بفك الضغط

::::::::::::::::::::::::::::::::::::::::::::::::::::
المتبقي

[/hide]

 

[SkY MaRvEL]

الافاست عند فك الضغط

[hide]

[/hide]

 

[elmasry2006elmasry2006 is verified member.]

البولجارد بتشغيل المتبقي
[hide]

[/hide]

 

[black007]

العينه كبيره نوع ما لذلك ساخذ وقت فى تحليلا

لذلك اعتزر للجميع

------------------------

الملف الاول

بوت نت

يتصل على الاى بى 151.248.116.221 البروت 1443

-------------------------

الثانى

يتصل بالى بى

الهوست 91.211.17.201 الاى بى 91.211.17.201 البورت 13342

يقوم بزراعه عدده مفاتيح رجيسترى

HKLM\SOFTWARE\Microsoft\Security Center /v AntiVirusDisableNotify /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v AntiVirusOverride /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v FirewallDisableNotify /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v FirewallOverride /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v UpdatesDisableNotify /t reg_dword /d 1 /f

يقوم بزراعه ملفات فى المسار

C:\Users\AppData\Local\Temp\TISO4BD3.txt
C:\Users\AppData\Local\Temp\tisocod.exe
C:\Users\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QA0UPEJW\icanhazip_com[1].txt

-------------------------
الثالث

الملف يتصل بالهوست stun.ipshka.com

الاى بى 193.28.184.4 البورت 3478

يقوم بزراعه ملف فى الويندوز بشكل مباشر

C:\Windows\ShULMKPMyVMsvAF.exe

------------------------

الرابع

يقوم بسرقه الحسابات من المتصفح

يقوم بالتعديل على اعدادات الجدار النارى للويندوز

يقوم بزرع نفسه فى الاستارت اب

يقوم بالاتصال

الهوست 91.211.17.201 الاى بى 91.211.17.201 البورت 13337

يقوم بزراعه عده ملفات

C:\Users\AppData\Local\Temp\UMA7A13.txt
C:\Users\AppData\Local\Temp\umaprogo.exe

-------------------------
الخامس

الملف من نوع دونلودر

يقوم بزراعه ملفين

C:\Users\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QA0UPEJW\putty[1].exe

C:\Users\AppData\Roaming\csrss_9.exe

لم اقوم بتحليل الملفات المزروعه

------------------------
السادس

الملف من النوع التخريبى

-------------------------

السابع

الملف يقوم بكتابه شل كود على احدى العمليات التى تعمل على التاسك مانجر

يقوم بالاتصال على الاى بى 46.36.217.227 بورت 3443



----------------------

الثامن

سرفر مشفر

احدى برامج الرات المشهوره

اكستريم رات او سباى نت

----------------------

التاسع

يقوم بالاتصال بعده ايبهات

91.211.17.201 البورت 13341

الاى بى 217.10.68.152 البورت 3478 الهوست stun.ekiga.net

يقوم بزراعه عده ملفات

C:\Users\AppData\Local\Temp\TISO4BD3.txt
C:\Users\AppData\Local\Temp\tisocod.exe
C:\Windows\ndYhbHagfRmAEws.exe

---------------------

العاشر

يقوم بالاتصال بالاى بى 23.229.167.6 على بورت 80

الهوست panaflamematcuxz.net

يقوم بزرع ملف

C:\Users\AppData\Local\Temp\130203.bat

يقوم بتثبيت نفسه فى الاستارت اب

--------------------

الحادى عشر

يقوم بالاتصال على الاى بى 91.211.17.201 البورت 13343

واضح ان الاى بى هذا بسبب تكراره اكثر من مره فى اكثر من عينه فهو لنفس الشخص او الموقع الذى يتصل به

يقوم بزرع عده ملفات

C:\Users\AppData\Local\Temp\LOREE50E.txt
C:\Users\AppData\Local\Temp\loremoment.exe
---------------------
الثانى عشر

ملف من النوع التخريبى

يبدا العمل عند توصيل اى فلاشات او هارادات خارجيه

---------------------

الثالث عشر

يقوم بالاتصال بالهوست docscountry.com الاى بى 62.76.179.132 البورت 80
و
الهوست diamondlogosacademy.org الاى بى 50.62.52.1 البورت 80

ليقوم بتحميل عده ملفات

C:\Users\AppData\Local\Temp\168578.exe
C:\Users\AppData\Roaming\BackUp1302908072.exe
---------------------


It Is Too Big To Analysis All In One

 

[SkY MaRvEL]

العينه كبيره نوع ما لذلك ساخذ وقت فى تحليلا

لذلك اعتزر للجميع

------------------------

الملف الاول

جارى التحليل >>>>>>>>>>

-------------------------

الثانى

جارى التحليل >>>>>>>>>>

-------------------------
الثالث

جارى التحليل >>>>>>>>>>

------------------------

الرابع

جارى التحليل >>>>>>>>>>

-------------------------
الخامس

جارى التحليل >>>>>>>>>>

------------------------
السادس

جارى التحليل >>>>>>>>>>

-------------------------

السابع

جارى التحليل >>>>>>>>>>

----------------------

الثامن

سرفر مشفر

احدى برامج الرات المشهوره

اكستريم رات او سباى نت

----------------------

التاسع

جارى التحليل >>>>>>>>>>

---------------------

العاشر

جارى التحليل >>>>>>>>>>

--------------------

الحادى عشر

جارى التحليل >>>>>>>>>>

---------------------
الثانى عشر

جارى التحليل >>>>>>>>>>

---------------------

الثالث عشر

جارى التحليل >>>>>>>>>>

---------------------


It Is Too Big To Analysis All In One

طيب اخي مصطفى كيف بأمكاني ان اساعدك ؟؟

 

[black007]

طيب اخي مصطفى كيف بأمكاني ان اساعدك ؟؟

يمكنك النظر فى كل من ملف 7 و ملف 10

ولكن لا تفزع عندما تجد الاكواد لانك ستتوه جدا خصوصا مع ملف 7 ستجد به كميه اكواد عشوائيه بطريقه تخليج تجن

لكن قبل التحليل فك الحمايه الى على الملف

 

[mohamed gouch]

العينه كبيره نوع ما لذلك ساخذ وقت فى تحليلا

لذلك اعتزر للجميع

------------------------

الملف الاول

بوت نت

يتصل على الاى بى 151.248.116.221 البروت 1443

-------------------------

الثانى

جارى التحليل >>>>>>>>>>

-------------------------
الثالث

جارى التحليل >>>>>>>>>>

------------------------

الرابع

جارى التحليل >>>>>>>>>>

-------------------------
الخامس

جارى التحليل >>>>>>>>>>

------------------------
السادس

جارى التحليل >>>>>>>>>>

-------------------------

السابع

جارى التحليل >>>>>>>>>>

----------------------

الثامن

سرفر مشفر

احدى برامج الرات المشهوره

اكستريم رات او سباى نت

----------------------

التاسع

جارى التحليل >>>>>>>>>>

---------------------

العاشر

جارى التحليل >>>>>>>>>>

--------------------

الحادى عشر

جارى التحليل >>>>>>>>>>

---------------------
الثانى عشر

جارى التحليل >>>>>>>>>>

---------------------

الثالث عشر

جارى التحليل >>>>>>>>>>

---------------------


It Is Too Big To Analysis All In One

متى سنتعلم فك التشفير يا أخي مصطفى هههههههه ؟

 

[black007]

متى سنتعلم فك التشفير يا أخي مصطفى هههههههه ؟

لا تقلق اخى ساقوم بعمله دوره ان شاء الله

ساشرح فيها كل شى

الله يعننى على البداء فيها

لانها ستاخذ بعض الوقت

وستكون منقسمه الى جزئين

تحليل الملفات بالتشغيل ( وهو المستوى المبتداء )

تحليل الملفات بدون تشغيلها او حتى عمل dump ( مستوى من متوسط الى احترافى )

اسال الله ان يعننى على البدا فى تسجيل الدروس ان شاء الله ليستفيد الجميع

 

[SkY MaRvEL]

يمكنك النظر فى كل من ملف 7 و ملف 10

ولكن لا تفزع عندما تجد الاكواد لانك ستتوه جدا خصوصا مع ملف 7 ستجد به كميه اكواد عشوائيه بطريقه تخليج تجن

لكن قبل التحليل فك الحمايه الى على الملف

بعض الاحيان احاول فك حماية بعض الملفات بالادوات الي عندي لكن لا تنجح في فك الحماية

 

[mohamed gouch]

لا تقلق اخى ساقوم بعمله دوره ان شاء الله

ساشرح فيها كل شى

الله يعننى على البداء فيها

لانها ستاخذ بعض الوقت

وستكون منقسمه الى جزئين

تحليل الملفات بالتشغيل ( وهو المستوى المبتداء )

تحليل الملفات بدون تشغيلها او حتى عمل dump ( مستوى من متوسط الى احترافى )

اسال الله ان يعننى على البدا فى تسجيل الدروس ان شاء الله ليستفيد الجميع

بالتوفيق يا أخي مصطفى أعانك الله نحن في إلانتظار وإن شاء الله سأجتهد حتى أتمكن من التعلم

 

[black007]

بعض الاحيان احاول فك حماية بعض الملفات بالادوات الي عندي لكن لا تنجح في فك الحماية

الملف 7 الحمايه الى عليه .net obfuscator

يمكنك تمريره على اداه de4dot اصدار de4dot-3.1.41592 من الموقع الرسمى للاداه

الملف 10 الحمايه الى عليه smart assembly v6.9

تمريره ايضا على الاداه

وستجد ان الحمايه تم فكها ان شاء الله

يمكنك ايضا بعد الفك ب de4dot ابحث عن اداه اسمها Universal_Fixer ستقوم بتصحيح بعض الاخطاء بعد الفك

بالتوفيق

 

[tiktoshitiktoshi is verified member.]

12/13

 

[tiktoshitiktoshi is verified member.]

الملف الباقي بتشغيل

 

[mohamed gouch]

ممكن أحد منكم يرفع لي العينة على موقع أخر مركز الخليج أو .....الله يجازيه بخير

 

[black007]

ممكن أحد منكم يرفع لي العينة على موقع أخر مركز الخليج أو .....الله يجازيه بخير

تم اضافه رابط اخر

بالتوفيق

 

[ALmehob]

كاسبر سمول4
التهم العينة بمجرد فك الضغط هذا المتيقى

 

[ALmehob]

[hide]

[/hide]

[hide]

[/hide]