الفريق العربي للهندسة العكسية
طلب مساعدة في معرفة المتجسس - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : مختبر الفايروسات - Virus & Malware Labs (https://www.at4re.net/f/forum-30.html)
+--- الموضوع : طلب مساعدة في معرفة المتجسس (/thread-879.html)

طلب مساعدة في معرفة المتجسس - trustmeee - 01-06-2019

السلام عليكم
انا مبرمج PHP واحتاج مساعدة شخصية (لقد قرأت الفقرة الأولى من قوانين المنتدي والتي ربما لها علاقة بطلبي " 1- ممنوع طلب كسر أو فك أي برنامج، طلب أي كراك/رقم تسجيل/برنامج مكسور/رابط لأيما سلف/..."  ولكن لا أظن ان طلبي يقع في نطاق هذه الفقرة لاني لا أبحث عن طلب كسر برنامج لذلك سجلت عضوية هنا وكتبت هذا الموضوع)

لقد وجدت ملف تجسس يعمل في الويندوز باسم "صور خاصة.exe" في جهاز شخصي لأحد أقاربي وأريد بشدة أن اعلم لصالح من سيعمل هذا الملف ؟ وليست لدي الخبرة الكافية في مجال الهندسة العكسية , هل أستطيع أن أطلب مساعدة الخبراء في هذا المجال في المنتدى لفحص الملف ومساعدتي في معرفة المتجسس ؟
شاكر لكم تعاونكم وخبراتكم Heart

RE: طلب مساعدة في معرفة المتجسس - STRELiTZIA - 03-06-2019

السلام علسكم و رحمة الله
البرنامج الضار قديم يعود الى 2015 مكشوف و قد تم حرق مركز التحكم خاصته...

1- كانت مهمته تتمركز فقط في جمع المعلومات كتلويث اولي (جمع الضحايا) دون محاولة التحكم في جهاز الضحية...
2- البرنامج الضار اسمبلي دوت نت محمي بــ Crypto Obfuscator
3- بعد فك الحماية جزئيا تظهر النصوص التي تعطي فكرة عن ما ينفذه من مهام اولية.
4- رابط موقع صاحبة و الذي بدوره يخزن المعلومات التي تم جمعها تم حرقه و عمل sinkhole  له من احد اطراف شركات الحماية، بمعنى انه لن يستطيع البرنامج الضار ارسال اي معلومات للموقع.

للاستزادة يمكنك البحث في قوقل عن هاش الملف الضار: 3c0a1d657448b90997fd303ce6ac4cf8148faaa45a735a5afc1eea83f3f16fd0

هذه بعض الصور بعد فك الحماية جزئيا:

[صورة مرفقة: attachment.php?aid=634]

[صورة مرفقة: attachment.php?aid=635]

[صورة مرفقة: attachment.php?aid=636]

[صورة مرفقة: attachment.php?aid=637]

RE: طلب مساعدة في معرفة المتجسس - Gu-sung18 - 03-06-2019

السلام عليكم و رحمة الله
قمت بتعديل الموضوع وحذف الموضوع الاول لانه تم اهمالة ونقل النقاش هنا.

RE: طلب مساعدة في معرفة المتجسس - trustmeee - 03-06-2019

(03-06-2019, 01:00 AM)STRELiTZIA كتب : للاستزادة يمكنك البحث في قوقل عن هاش الملف الضار: 3c0a1d657448b90997fd303ce6ac4cf8148faaa45a735a5afc1eea83f3f16fd0

انا عاجز عن الشكر يا اخي الكريم, بما ان الموقع الإلكتروني الذي يتصل به الملف لا يعمل الان
hXXp://upgrade.newshelpyou.com
فهذا يعني أن الملف وصل إلى جهاز قريبتي بشكل عشوائي وليس بشكل متعمد من شخص محدد يريد التجسس عليها كما كنت أظن

تقبل مني كل الإحترام لك ولموقع الفريق العربي للهندسة العكسية, لقد كنت أسمع عن فريقكم من عدة سنوات واعلم انكم فخر لنا كعرب في هذا المجال العميق والشيق, بارك الله لكم , وبرجاء لا تقوموا بكسر حماية برامج تعب فيها أصحابها :-))

تقبل مني هذه الهدية البسيطة جدا جدا, هذه ال add-on الصغيرة لمتصفح فايرفوكس انتهيت منها من كم يوم تتيح لك التنقل بين العديد من سيرفرات البروكسي التي نقوم باختبارها بشكل دوري, اذا أعجبتك وأردت استخدامها فقط ارسل لي في رسالة خاصة بريدك الإلكتروني لاسجل لك حساب مفتوح بدون مقابل

كل الشكر لك على وقتك واهتمامك ولكل من قام بتحميل الملف ويقوم بفحصه الان وللفريق العربي للهندسة العكسية. Heart

RE: طلب مساعدة في معرفة المتجسس - Gu-sung18 - 03-06-2019

البرنامج مشلول لانه لا يمكن ان يتصل بالسيرفر لتلقي الاوامر او ارسال اي شيء
عند تشغيل برنامج صور خاصة.exe يقوم بانزال برامج في هذه المسارات
C:\Users\admin\AppData\Local\Manger Folder.exe
MD5:58bca84038530b20cf6e0d0b56637b54

C:\Users\admin\AppData\Local\file.ico
MD5:d56468b29575d9cce7ed51c9a6d95ddf

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Manger Folder.lnk
MD5:41052b38872202e870cb33b63800e2f2
الاول هو البرنامج الذي سيتصل بالسيرفر
الثاني ايقونة للبرنامج  تشبة ايقونة  مجلدات ويندوز الافتراضية
الثالث هو طريقة لتشغيل البرنامج عند تشغيل الحاسوب، يقوم بانشاء اختصار في مجلد الـ Startup وكلما يتم تشغيل الحاسوب سيعمل البرنامج مباشرة.
برنامج Manger Folder.exe عندما يعمل سيحاول الاتصال بالسيرفر
hXXp://upgrade.newshelpyou.com
السيرفر تم اغلاقة من احدى شركات الحماية  والان Manger Folder.exe لا يمكنه فعل شيء لانه لا يمكنه تلقي الاوامر او ارسال بياناته.

شركة كاسبر سكاي تراقب هذه العينات ولها اكثر من تقرير عن هذه المجموعة، هنا تقرير مفصل
https://securelist.com/gaza-cybergang-updated-2017-activity/82765/
اذا كان تقرير تقرير كاسبر سكاي  صحيحاً اضن قريبتك اصيبت بالبرنامج الضار بالصدفة الا اذا كانت قريبتك تعمل لدى الحكومه Smile.
البرنامج يقوم برفع الملفات وماذا تكتب على الكيبورد وكذلك ياخذ لقطات لشاشة الجهاز المصاب حسب التقرير


RE: طلب مساعدة في معرفة المتجسس - STRELiTZIA - 03-06-2019

(03-06-2019, 03:11 AM)trustmeee كتب : وبرجاء لا تقوموا بكسر حماية برامج تعب فيها أصحابها :-))

نحن نحترم جهد المبرمج العربي و نشاطنا يدور في محور Grey Hat
 
(03-06-2019, 03:11 AM)trustmeee كتب : اذا أعجبتك وأردت استخدامها فقط ارسل لي في رسالة خاصة بريدك الإلكتروني لاسجل لك حساب مفتوح بدون مقابل

بارك الله فيك اخي الحبيب على مبادرتك، لكن دعوة طيبة فقط تكفينا...

و في الأخير نصيحة ان تقوم بتحديث او تثبيت برنامج الحماية قي الجهاز المصاب لان البرنامج الضار مكشوف و بما انه استطاع تلويث الجهاز فامكانية ان يصاب ببرنامج ضار اخطر موجودة (فيروس الفدية مثلا)

RE: طلب مساعدة في معرفة المتجسس - soukdok - 21-09-2019

السلام عليكم أخي العزيز,تلك addon التي أضفتها وهي تعتمد على ما أرى على socks 4 بغض النضر عن مستويات البروكسي,أردت أن أسئل عن ماهي نسبة تسريب ip حقيقي,وتقنية WebRTC,أعتقد بأن socks 4 ضعيفة مقارنة مع اصدار الخامس الذي لن تجده الا في vip72 عن تجربة.