Hep Birlikte Zararlı Yazılım Analizi Yapalım / Black Turtle

'Chan

Uzman üye
1 Nis 2020
1,801
1,458
Shibuya
Konu revize edilmiştir.. Silinen görseller yenilenmiş, metinlerde yeni renkler kullanılmıştır... (y)
 

ilbeyli3527

O Şimdi Asker
23 Haz 2015
350
34
UZAY VE MARS
1. Program


Uygulama Adı : safe


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent C:\Program Files (x86)\Internet Explorer\iexplore.exe



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.
hocam sız boyle dınledıgı portları ratmı keylogger mı oldugunu baslangıca bır sey eklıyor mu gıbı detayları nereden analız ederek gordunuz hangı prgramı veya sıteyı kullanıyorsunuz bunun ıcın daha detaylı analızler ıcın portlara kadar nasıl buldunuz ?
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.