قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums مختبر الفايروسات - Virus & Malware Labs v
طلب مساعدة في معرفة المتجسس

تقييم الموضوع :
  • 3 أصوات - بمعدل 3.33
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
طلب مساعدة في معرفة المتجسس
trustmeee غير متصل
.: عضو نشيط :.
*
المشاركات : 2
المواضيع : 1
الإنتساب : Jun 2019
السمعة : 0
الإعجاب المعطى : 5
الإعجاب المحصل : 4
#1
01-06-2019, 11:54 PM (آخر تعديل لهذه المشاركة : 03-06-2019, 02:27 AM بواسطة Gu-sung18.)
السلام عليكم
انا مبرمج PHP واحتاج مساعدة شخصية (لقد قرأت الفقرة الأولى من قوانين المنتدي والتي ربما لها علاقة بطلبي " 1- ممنوع طلب كسر أو فك أي برنامج، طلب أي كراك/رقم تسجيل/برنامج مكسور/رابط لأيما سلف/..."  ولكن لا أظن ان طلبي يقع في نطاق هذه الفقرة لاني لا أبحث عن طلب كسر برنامج لذلك سجلت عضوية هنا وكتبت هذا الموضوع)

لقد وجدت ملف تجسس يعمل في الويندوز باسم "صور خاصة.exe" في جهاز شخصي لأحد أقاربي وأريد بشدة أن اعلم لصالح من سيعمل هذا الملف ؟ وليست لدي الخبرة الكافية في مجال الهندسة العكسية , هل أستطيع أن أطلب مساعدة الخبراء في هذا المجال في المنتدى لفحص الملف ومساعدتي في معرفة المتجسس ؟
شاكر لكم تعاونكم وخبراتكم Heart


الملفات المرفقة
.zip   infected.zip (الحجم : 131.41 KB / التحميلات : 33)
البحث
أعضاء أعجبوا بهذه المشاركة : rce3033
STRELiTZIA غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 173
المواضيع : 16
الإنتساب : May 2019
السمعة : 4
الإعجاب المعطى : 187
الإعجاب المحصل : 254
#2
03-06-2019, 01:00 AM
السلام علسكم و رحمة الله
البرنامج الضار قديم يعود الى 2015 مكشوف و قد تم حرق مركز التحكم خاصته...

1- كانت مهمته تتمركز فقط في جمع المعلومات كتلويث اولي (جمع الضحايا) دون محاولة التحكم في جهاز الضحية...
2- البرنامج الضار اسمبلي دوت نت محمي بــ Crypto Obfuscator
3- بعد فك الحماية جزئيا تظهر النصوص التي تعطي فكرة عن ما ينفذه من مهام اولية.
4- رابط موقع صاحبة و الذي بدوره يخزن المعلومات التي تم جمعها تم حرقه و عمل sinkhole  له من احد اطراف شركات الحماية، بمعنى انه لن يستطيع البرنامج الضار ارسال اي معلومات للموقع.

للاستزادة يمكنك البحث في قوقل عن هاش الملف الضار: 3c0a1d657448b90997fd303ce6ac4cf8148faaa45a735a5afc1eea83f3f16fd0

هذه بعض الصور بعد فك الحماية جزئيا:

[صورة مرفقة: attachment.php?aid=634]

[صورة مرفقة: attachment.php?aid=635]

[صورة مرفقة: attachment.php?aid=636]

[صورة مرفقة: attachment.php?aid=637]


الملفات المرفقة الشكل المصغر
               
البحث
أعضاء أعجبوا بهذه المشاركة : Gu-sung18 , trustmeee , [email protected] , soukdok , fantazma , rce3033
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#3
03-06-2019, 02:29 AM
السلام عليكم و رحمة الله
قمت بتعديل الموضوع وحذف الموضوع الاول لانه تم اهمالة ونقل النقاش هنا.
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : trustmeee , Venox
trustmeee غير متصل
.: عضو نشيط :.
*
المشاركات : 2
المواضيع : 1
الإنتساب : Jun 2019
السمعة : 0
الإعجاب المعطى : 5
الإعجاب المحصل : 4
#4
03-06-2019, 03:11 AM (آخر تعديل لهذه المشاركة : 03-06-2019, 04:13 AM بواسطة Gu-sung18. تعديل السبب: وضع الرابط داخل مربع الكود )
(03-06-2019, 01:00 AM)STRELiTZIA كتب : للاستزادة يمكنك البحث في قوقل عن هاش الملف الضار: 3c0a1d657448b90997fd303ce6ac4cf8148faaa45a735a5afc1eea83f3f16fd0

انا عاجز عن الشكر يا اخي الكريم, بما ان الموقع الإلكتروني الذي يتصل به الملف لا يعمل الان
hXXp://upgrade.newshelpyou.com
فهذا يعني أن الملف وصل إلى جهاز قريبتي بشكل عشوائي وليس بشكل متعمد من شخص محدد يريد التجسس عليها كما كنت أظن

تقبل مني كل الإحترام لك ولموقع الفريق العربي للهندسة العكسية, لقد كنت أسمع عن فريقكم من عدة سنوات واعلم انكم فخر لنا كعرب في هذا المجال العميق والشيق, بارك الله لكم , وبرجاء لا تقوموا بكسر حماية برامج تعب فيها أصحابها :-))

تقبل مني هذه الهدية البسيطة جدا جدا, هذه ال add-on الصغيرة لمتصفح فايرفوكس انتهيت منها من كم يوم تتيح لك التنقل بين العديد من سيرفرات البروكسي التي نقوم باختبارها بشكل دوري, اذا أعجبتك وأردت استخدامها فقط ارسل لي في رسالة خاصة بريدك الإلكتروني لاسجل لك حساب مفتوح بدون مقابل

كل الشكر لك على وقتك واهتمامك ولكل من قام بتحميل الملف ويقوم بفحصه الان وللفريق العربي للهندسة العكسية. Heart
البحث
أعضاء أعجبوا بهذه المشاركة : STRELiTZIA , fantazma , rce3033
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#5
03-06-2019, 04:27 AM (آخر تعديل لهذه المشاركة : 05-06-2019, 10:30 PM بواسطة Gu-sung18.)
البرنامج مشلول لانه لا يمكن ان يتصل بالسيرفر لتلقي الاوامر او ارسال اي شيء
عند تشغيل برنامج صور خاصة.exe يقوم بانزال برامج في هذه المسارات
C:\Users\admin\AppData\Local\Manger Folder.exe
MD5:58bca84038530b20cf6e0d0b56637b54

C:\Users\admin\AppData\Local\file.ico
MD5:d56468b29575d9cce7ed51c9a6d95ddf

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Manger Folder.lnk
MD5:41052b38872202e870cb33b63800e2f2
الاول هو البرنامج الذي سيتصل بالسيرفر
الثاني ايقونة للبرنامج  تشبة ايقونة  مجلدات ويندوز الافتراضية
الثالث هو طريقة لتشغيل البرنامج عند تشغيل الحاسوب، يقوم بانشاء اختصار في مجلد الـ Startup وكلما يتم تشغيل الحاسوب سيعمل البرنامج مباشرة.
برنامج Manger Folder.exe عندما يعمل سيحاول الاتصال بالسيرفر
hXXp://upgrade.newshelpyou.com
السيرفر تم اغلاقة من احدى شركات الحماية  والان Manger Folder.exe لا يمكنه فعل شيء لانه لا يمكنه تلقي الاوامر او ارسال بياناته.

شركة كاسبر سكاي تراقب هذه العينات ولها اكثر من تقرير عن هذه المجموعة، هنا تقرير مفصل
https://securelist.com/gaza-cybergang-updated-2017-activity/82765/
اذا كان تقرير تقرير كاسبر سكاي  صحيحاً اضن قريبتك اصيبت بالبرنامج الضار بالصدفة الا اذا كانت قريبتك تعمل لدى الحكومه Smile.
البرنامج يقوم برفع الملفات وماذا تكتب على الكيبورد وكذلك ياخذ لقطات لشاشة الجهاز المصاب حسب التقرير
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : trustmeee , STRELiTZIA , eslamelhadedy , rce3033
STRELiTZIA غير متصل
.: عضو سابق بـ AT4RE :.
*****
Retired
المشاركات : 173
المواضيع : 16
الإنتساب : May 2019
السمعة : 4
الإعجاب المعطى : 187
الإعجاب المحصل : 254
#6
03-06-2019, 10:41 PM
(03-06-2019, 03:11 AM)trustmeee كتب : وبرجاء لا تقوموا بكسر حماية برامج تعب فيها أصحابها :-))

نحن نحترم جهد المبرمج العربي و نشاطنا يدور في محور Grey Hat
 
(03-06-2019, 03:11 AM)trustmeee كتب : اذا أعجبتك وأردت استخدامها فقط ارسل لي في رسالة خاصة بريدك الإلكتروني لاسجل لك حساب مفتوح بدون مقابل

بارك الله فيك اخي الحبيب على مبادرتك، لكن دعوة طيبة فقط تكفينا...

و في الأخير نصيحة ان تقوم بتحديث او تثبيت برنامج الحماية قي الجهاز المصاب لان البرنامج الضار مكشوف و بما انه استطاع تلويث الجهاز فامكانية ان يصاب ببرنامج ضار اخطر موجودة (فيروس الفدية مثلا)
البحث
أعضاء أعجبوا بهذه المشاركة : Gu-sung18 , trustmeee , eslamelhadedy
soukdok غير متصل
.: عضو نشيط :.
*
المشاركات : 10
المواضيع : 0
الإنتساب : Sep 2019
السمعة : 0
الإعجاب المعطى : 62
الإعجاب المحصل : 12
#7
21-09-2019, 09:30 AM (آخر تعديل لهذه المشاركة : 21-09-2019, 09:31 AM بواسطة soukdok.)
السلام عليكم أخي العزيز,تلك addon التي أضفتها وهي تعتمد على ما أرى على socks 4 بغض النضر عن مستويات البروكسي,أردت أن أسئل عن ماهي نسبة تسريب ip حقيقي,وتقنية WebRTC,أعتقد بأن socks 4 ضعيفة مقارنة مع اصدار الخامس الذي لن تجده الا في vip72 عن تجربة.
البحث
أعضاء أعجبوا بهذه المشاركة : eslamelhadedy , rce3033


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم