• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

عـيـنة عينة خطيرة تحتوي على عدة اتصالات لتحليل

الحالة
مغلق و غير مفتوح للمزيد من الردود.
prooonet

prooonet

زيزوومي VIP
إنضم
16 ديسمبر 2008
المشاركات
2,075
مستوى التفاعل
2,929
النقاط
1,270
الإقامة
مملكة البحرين
غير متصل
السلام عليكم

عينة خطيرة تحتوي على عدة اتصالات ونشطة يكتمل الاتصال عند تشغيلها
لذى يرجى الحذر تم تشغيلها بوجود الكاسبر وحذر منها لكن لم يرصد اي اتصال
ولم يتصل الملف لكن بعد ايقاف الكاسبر عمل الاتصال بشكل تلقائي هذا يبين
انها تتنصت على برنامج الحماية لكي لايتم الكشف , السيرفر محمي UPX لم احاول
تحليلها لضيق الوقت لذى اترك لكم التجربة ولافادة بالمعلومات



[hide]

باسوورد فك الضغط

infected

باسورد تشغيل العينة

12345


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


[/hide]
 

التعديل الأخير:
توقيع : prooonet
الظاهر الكل خاف من العينة :222D:222D:222D

G-data

imagef-149893929502991-png.html

imagef-149893947090591-png.html

imagef-149893929516453-png.html
 
توقيع : النوميديالنوميدي is verified member.
تم التصدي للعينة eset internet security 10
 

المرفقات

  • eset.webp
    eset.webp
    20.7 KB · المشاهدات: 14
توقيع : prooonet
prooonet قال:
اعتقد هكذا لايوجد تجارب :222D
أنقر للتوسيع...
العينة تقوم بتحميل لبعض الملفات في ال temp و في أماكن أخرى
و فيها تشفير قوي لم أتمكن من حله ضف الى ذلك الأخ واضع كلمات مرور للملفات المضغوطة :222D
 
توقيع : النوميديالنوميدي is verified member.
النوميدي قال:
العينة تقوم بتحميل لبعض الملفات في ال temp و في أماكن أخرى
و فيها تشفير قوي لم أتمكن من حله ضف الى ذلك الأخ واضع كلمات مرور للملفات المضغوطة :222D
أنقر للتوسيع...

دام الموضوع فيه تشفير لن اهلك نفسي بالتحليل يكفي الديناميكي في الوضع الحالي ،
لكن استطعت مشاغبة المخترق قليلا اثناء التشغيل بواسطة X-NetStat وتفعيل خيار
kill and add rule to aotokill لاحظت تغيير الايبي عدة مرات اعتقد انزعج الرجال برسائل
التبليغ وحاول حلها بتغيير الايبي وعمل ريستارت للراوتر :222D اليوم راح احاول عمل ping -t
للهوست والايبي :ogre: لاكن لا اعلم اذا الطريقة الى الان ناجحة او لا ، لن اتركة الهوست
الخاص فيه لدي قهرني واضع الملف على انه keygen لتفعيل وفي النهاية راح احاول التواصل
مع شركة اتصالة ومراسلة شركة الهوست ليتم احراق الهوست وارسال معلومات العينة
لهم بواسطة payload لتثبيت التهمه عليه وادخاله في ستين داهية ان امكن هذا جزاء
من يضع ملفات اختراق ليست لتجارب :rage:
 
توقيع : prooonet
كاسبر سمول 5بالتشغيل

WbzWhJw.png


dytiLMB.png
 
توقيع : ALmehob
لقد القيت نظره سريعه على الملف البارحه

وهو ليس صعب الفك

تابع معى هذه الصوره المتحركه للفك واستخراج محتويات الملف

بعد فك العينه بالباس المشهور لدينا وهو infected

149900591941461.gif


ستقول لى ما هى الباس التى ادخلتها لكى اقوم بفكها للمره الثانيه

انظر هنا اثناء فك العينه

14990057428791.png


النتيجه النهائيه كما رائيت

الملفين بشكل خام

تحليل للملف بشكل عام دون التعمق فيه

عباره عن بوت نت

للعلم العينه تحتاج للتحليل بالمنقح OLLYDBG

لكن غير محدد بعد سلويكاته وذلك لانى نظرت فيه بشكل سريع

بالتوفيق للشباب فى التحليل
 
توقيع : black007
black007 قال:
لقد القيت نظره سريعه على الملف البارحه

وهو ليس صعب الفك

تابع معى هذه الصوره المتحركه للفك واستخراج محتويات الملف

بعد فك العينه بالباس المشهور لدينا وهو infected

149900591941461.gif


ستقول لى ما هى الباس التى ادخلتها لكى اقوم بفكها للمره الثانيه

انظر هنا اثناء فك العينه

14990057428791.png


النتيجه النهائيه كما رائيت

الملفين بشكل خام

تحليل للملف بشكل عام دون التعمق فيه

عباره عن بوت نت

للعلم العينه تحتاج للتحليل بالمنقح OLLYDBG

لكن غير محدد بعد سلويكاته وذلك لانى نظرت فيه بشكل سريع

بالتوفيق للشباب فى التحليل
أنقر للتوسيع...


اقوم بالرد من الهاتف

الباسوورد الاول انا من ضغت الملف وقمت بكتابتة داخل
الملف رار والباسوورد الثاني موضوع من قبل صانع الملف
لكن الغريب الملف dwm.exe هو من يتصل اخذت نسخة
منه وارسلتة الى موقعين payload و malwr
ولم يتم رصد اي اتصال 222o_O
 
التعديل الأخير:
توقيع : prooonet
ولامر الغريب الاخر قمت بتشغيل العينة ولم يتم رصد اي اتصال ولم يعمل dwm.exe
وفي التجرية الثانية قمت بتشغيل داخل sandbox وعمل الملف وعمل الاتصال هذا
يثبت انه العينة لاتعمل في البيئة الوهمية لكن تم خداعها بي sandbox وايهامها انه
نظام حقيقي مجرد تحليل شخصي
 
توقيع : prooonet
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى