-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع Abdelkarim
- تاريخ البدء
- الحالة
ausama-vet
زيزوومى ذهبى
غير متصل
نحن بانتظارك اخي مصطفى
ausama-vet
زيزوومى ذهبى
غير متصل
السلام عليكم
زونا الارم اكستريم سيكيورتي
بمجرد فك الضغط تم الفحص مباشرتا ونسف العينة بلكامل
زونا الارم اكستريم سيكيورتي
بمجرد فك الضغط تم الفحص مباشرتا ونسف العينة بلكامل
black007
إداري سابق وداعم للمنتدى (خبير فحص ملفات)
داعــــم للمنتـــــدى
★★ نجم المنتدى ★★
عضوية موثوقة ✔️
كبار الشخصيات
غير متصل
- إنضم
- 14 يوليو 2014
- المشاركات
- 4,808
- مستوى التفاعل
- 19,465
- النقاط
- 2,095
غير متصل
توقيع : tiktoshi
غير متصل
بارك الله فيك و زادك من علمه
غير متصل
العينه كبيره نوع ما لذلك ساخذ وقت فى تحليلا
لذلك اعتزر للجميع
------------------------
الملف الاول
بوت نت
يتصل على الاى بى 151.248.116.221 البروت 1443
-------------------------
الثانى
يتصل بالى بى
الهوست 91.211.17.201 الاى بى 91.211.17.201 البورت 13342
يقوم بزراعه عدده مفاتيح رجيسترى
HKLM\SOFTWARE\Microsoft\Security Center /v AntiVirusDisableNotify /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v AntiVirusOverride /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v FirewallDisableNotify /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v FirewallOverride /t reg_dword /d 1 /f
HKLM\SOFTWARE\Microsoft\Security Center /v UpdatesDisableNotify /t reg_dword /d 1 /f
يقوم بزراعه ملفات فى المسار
C:\Users\AppData\Local\Temp\TISO4BD3.txt
C:\Users\AppData\Local\Temp\tisocod.exe
C:\Users\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QA0UPEJW\icanhazip_com[1].txt
-------------------------
الثالث
الملف يتصل بالهوست stun.ipshka.com
الاى بى 193.28.184.4 البورت 3478
يقوم بزراعه ملف فى الويندوز بشكل مباشر
C:\Windows\ShULMKPMyVMsvAF.exe
------------------------
الرابع
يقوم بسرقه الحسابات من المتصفح
يقوم بالتعديل على اعدادات الجدار النارى للويندوز
يقوم بزرع نفسه فى الاستارت اب
يقوم بالاتصال
الهوست 91.211.17.201 الاى بى 91.211.17.201 البورت 13337
يقوم بزراعه عده ملفات
C:\Users\AppData\Local\Temp\UMA7A13.txt
C:\Users\AppData\Local\Temp\umaprogo.exe
-------------------------
الخامس
الملف من نوع دونلودر
يقوم بزراعه ملفين
C:\Users\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QA0UPEJW\putty[1].exe
C:\Users\AppData\Roaming\csrss_9.exe
لم اقوم بتحليل الملفات المزروعه
------------------------
السادس
الملف من النوع التخريبى
-------------------------
السابع
الملف يقوم بكتابه شل كود على احدى العمليات التى تعمل على التاسك مانجر
يقوم بالاتصال على الاى بى 46.36.217.227 بورت 3443
----------------------
الثامن
سرفر مشفر
احدى برامج الرات المشهوره
اكستريم رات او سباى نت
----------------------
التاسع
يقوم بالاتصال بعده ايبهات
91.211.17.201 البورت 13341
الاى بى 217.10.68.152 البورت 3478 الهوست stun.ekiga.net
يقوم بزراعه عده ملفات
C:\Users\AppData\Local\Temp\TISO4BD3.txt
C:\Users\AppData\Local\Temp\tisocod.exe
C:\Windows\ndYhbHagfRmAEws.exe
---------------------
العاشر
يقوم بالاتصال بالاى بى 23.229.167.6 على بورت 80
الهوست panaflamematcuxz.net
يقوم بزرع ملف
C:\Users\AppData\Local\Temp\130203.bat
يقوم بتثبيت نفسه فى الاستارت اب
--------------------
الحادى عشر
يقوم بالاتصال على الاى بى 91.211.17.201 البورت 13343
واضح ان الاى بى هذا بسبب تكراره اكثر من مره فى اكثر من عينه فهو لنفس الشخص او الموقع الذى يتصل به
يقوم بزرع عده ملفات
C:\Users\AppData\Local\Temp\LOREE50E.txt
C:\Users\AppData\Local\Temp\loremoment.exe
---------------------
الثانى عشر
ملف من النوع التخريبى
يبدا العمل عند توصيل اى فلاشات او هارادات خارجيه
---------------------
الثالث عشر
يقوم بالاتصال بالهوست docscountry.com الاى بى 62.76.179.132 البورت 80
و
الهوست diamondlogosacademy.org الاى بى 50.62.52.1 البورت 80
ليقوم بتحميل عده ملفات
C:\Users\AppData\Local\Temp\168578.exe
C:\Users\AppData\Roaming\BackUp1302908072.exe
---------------------
It Is Too Big To Analysis All In One
اعانك الله على هذا التحليل اخي مصطفى
الف شكر لك
توقيع : SkY MaRvEL
- إنضم
- 16 مايو 2014
- المشاركات
- 5,332
- مستوى التفاعل
- 8,023
- النقاط
- 2,895
- الإقامة
- Egypt
- الموقع الالكتروني
- forum.zyzoom.net
غير متصل
[hide]الافاست يتقدم
[/hide]
توقيع : ahmed@salah
- الحالة