THT DUYURU

chat
Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

ugursuz reklam
takipci
Seçenekler

Hep Birlikte Zararlı Yazılım Analizi Yapalım / Black Turtle

Black Turtle - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.559
Konular:
1380
Teşekkür (Etti):
1085
Teşekkür (Aldı):
1924
Ticaret:
(0) %
42
10790
05-07-2019 11:19
#1
Selam arkadaşlar bildiğiniz üzere "Zararlı Yazılım Analizi" kategorisi açıldı. Ve bu kategoriyi canlandırmak adına böyle bir uygulama yapmak istedim.



Peki Ne Yapıcağız ?

Size vermiş olduğum "Zararlı (virüs) içeren" dosyaları analiz etmenizi isteyeceğim.

Analiz Araçları İçin : https://www.turkhackteam.org/zararli...ck-turtle.html



Analizi şu kriterlere göre yapmanız gereklidir.

Kod:
Uygulama Adı (Numarası) :


Program başlangıca bir şey ekliyormu? : 


Port dinlemesi varmi ? : 


Ne çeşit bir virüs ? (rat, keylogger, miner, şaka, rogue (dolandırıcılık), ransomware,  vb.) :


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : 


Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: 


Strings değerlerinde neler bulabildiniz ? : 


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatıyormu):


Sizin eklemek istediniz şeyler varmı ? Varsa yazınız :


Yapılan analiz ile ilgili bir kaç görsel :


Bu şekilde hem kendimizi geliştirmiş, hemde neyin ne olduğunu az çok öğrenmiş olacağız.


Analiz eden arkadaşlar yoruma aynen bu şekilde atabilirler ;

Kod:
Uygulama Adı (Numarası): bilmemne.exe


Program başlangıca bir şey ekliyormu? : evet svchost ekliyor


Port dinlemesi varmi ? : 65 portundan dinleme gerçekleşiyor
 

Ne çeşit bir virüs ? (rat, keylogger, miner, şaka, rogue (dolandırıcılık), ransomware,  vb.) :  rat (spy-net)


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : defender.exe dropluyor


Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: başlangıça eklediği exe ile port dinlemesi gerçekleştiriyor. Durduk yere defender.exe dropladı vs vs 


Strings değerlerinde neler bulabildiniz ? :  Remote Administratör Tool , msraap.exe, begin darkcomet rat, vs vs 


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): Uac ı devre dışı bırakmaya çalışıyor


Sizin eklemek istediniz şeyler varmı ? Varsa yazınız : Hepsi bu kadar :) veya evet var şunlar şunlarda vardı . Örnek program otamatik internet üzerinden "temp" klasörüme  bir exe daha indirmeye çalıştı vs vs.


Yapılan analiz ile ilgili bir kaç görsel :




Verilen linkleri sakın kendi bilgisayarınızda çalıştırmayın ! Analiz edeceğiniz bilgisayarda çalıştırınız. (Örnek ; sanal pc vb.)



Analiz Edilecek Virüslü Dosya Listesi ;

Kod:
  1. Safe3WVS-9.0.rar İndir
  2. https://www86.zippyshare.com/v/aEGyq6BB/file.html
  3. https://s7.dosya.tc/server14/cqdubc/...unsuz.rar.html
  4. https://s7.dosya.tc/server13/rq5joe/...6_THT.rar.html (Rar Pas : vatanbölünmez)
  5. https://s7.dosya.tc/server15/bp45my/...ition.zip.html
  6. https://dosya.co/ti7dxwd3jovb/TeraBI....2(2).rar.html
  7. https://mega.nz/#!mZVl3QaZ!dkJJodFJc...0T3LAKqus6-M4Y
  8. https://mega.nz/#!3iQW2ISS!j8Xcf2ztP...4aKGMBS%20IfiQ
  9. https://anonfile.com/y2D0F8s6b8/Safe3WVS-9.0_rar
  10. https://yadi.sk/d/2Kjub_mIjv5k9
  11. https://yadi.sk/d/1Gg5a4_qixmJv
  12. https://www.mediafire.com/file/zsse6...igins.exe/file
  13. https://www.dosya.tc/server21/7lqkih...N.eml.zip.html ( Rar pas : infected )
  14. https://www.dosya.tc/server21/o8h75s/Cros.zip.html ( Rar pas : infected )
  15. https://s4.dosya.tc/server6/6rawoa/Adwind.zip.html ( Rar pas : infected )
  16. Winlocker.VB6.Blacksod (Rar pas : mysubsarethebest)
  17. NoMoreRansom (Rar pas : mysubsarethebest)
  18. PolyRansom (Rar pas : mysubsarethebest)
  19. BadRabbit (Rar pas : mysubsarethebest)
  20. Cerber 5 (Rar pas : mysubsarethebest)
  21. Petya.A (Rar pas : mysubsarethebest)
  22. ViraLock (Rar pas : mysubsarethebest)
  23. DeriaLock (Rar pas : mysubsarethebest)
  24. WannaCrypt0r (Rar pas : mysubsarethebest)
  25. Xyeta (Rar pas : mysubsarethebest)
  26. Birele (Rar pas : mysubsarethebest)
  27. Krotten (Rar pas : mysubsarethebest)
  28. DesktopPuzzle (Rar pas : mysubsarethebest)
  29. HMBlocker (Rar pas : mysubsarethebest)
  30. FakeActivation (Rar pas : mysubsarethebest)
  31. 000 (Rar pas : mysubsarethebest)
  32. MEMZ (Rar pas : mysubsarethebest)
  33. Ana (Rar pas : mysubsarethebest)
  34. ColorBug (Rar pas : mysubsarethebest)
  35. Illerka.C (Rar pas : mysubsarethebest)7
  36. https://s2.dosya.tc/server10/xtq3jq/WannaCry.rar.html (Rar pas : virus123321 )
  37. https://anonfile.com/0e84C33fnf/42_zip (Rar pas : 42)
  38. https://dosya.co/v6l93othc8lj/Darktr..._Beta.rar.html (Rar pas + Dosya.co pas : 06l12l2010%08l08l1925# )
  39. https://www.dosyayukle.biz/8ww/Netflix_Generator.zip (Rar pas : 1234)
  40. https://www.dosya.tc/server22/w6hl68...ecker.zip.html
Analiz Edilmiş Virüslü Dosya Listesi ;

Kod:
1-) Uygulama Adı : safe3


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181  96  34.73.46.0  Syn-Sent     C:\Program Files (x86)\Internet Explorer\iexplore.exe      



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat 


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.

2-) Öncelikle 2. Program MEMZ virüsüdür ve gayet ünlü bir virüstür Zaten dosya içerisinde de kaynak kodları verilerek zararlı olduğu söylenmiş dolayısıyla analiz etme gereği duymadım. https://malware.wikia.org/wiki/MEMZ https://github.com/Leurak/MEMZ
3-) Uygulama Adı (3) : DARKCOMET Program başlangıca bir şey ekliyormu? : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: c:\users\ieuser\favorites\msdcsc\msdcsc.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : c:\users\ieuser\favorites\msdcsc\msdcsc.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : MicroUpdate= C:\Windows\system32\MSDCSC\Apa2laHi8YD9\msdcsc.exe .exe Port dinlemesi varmi ? : 127.0.0.1:1604 Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: RAT Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : ,explorer.exe, cmd.exe, notepad.exe, "C:\Users\IEUser\Favorites\MSDCSC\grRGiAbP7aSa\msd csc.exe", "C:\Users\IEUser\Desktop\grRGiAbP7aSa.dcp" , \Internet Explorer\iexplore.exe Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: Strings değerlerinde neler bulabildiniz ? : Remote Service Application, \Internet Explorer\iexplore.exe, explorer.exe, kernel32.dll, advapi32.dll Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu)- hayır en azından ben fark etmedim. Sizin eklemek istediniz şeyler varmı ? Varsa yazınız : "This program cannot be run DOS mode" bu header bilgisi dikkatimi çekti, hex editörden ilgili alanı dışarıya aktararak biraz daha detaylı inceledim ve sonun da şu fonksiyona ulaştım --->> "URLDownloadToFileA" burdan da şunu anlıyoruz ki internet bağlantısı yaparak bir indirme işlemi yapıyor. kernel32.dll, advapi32.dll kütüphaneleri import edilerek CreateFile gibi fonksiyonlar ile sistem üzerinde dosyalar oluşturduğu iddasını ortaya atabiliriz. Yine araştırdığım da advapi32.dll kütüphanesi registery kayıtları, servis yöneticisi vb. gibi windows yapılarına ulaşmak için kullanılıyormuş.
4-) Uygulama Adı (Numarası) : spynet.exe (4) Program başlangıca bir şey ekliyormu? : evet : windefender.exe Port dinlemesi.varmi ? : 80 portunu dinliyor Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : windefender.exe (hata raporu), cmd.exe, WerFault.exe, NOTEPAD.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor. Strings değerlerinde neler bulabildiniz ? : dropladığı programları, oluşturduğu dosyaları Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: windefender.exe açıldığı zaman belirli aralıklarla crash vermesi yazılmış
5-) Uygulama Adı (Numarası) : Bruteforce Spesial Edition.exe (5) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\********s\MSDCSC\msdcsc.exe, Bruteforce Special Edition.exe.colors Port dinlemesi.varmi ? : iexplore.exe 4908 TCP 51929 192.168.1.57 96 34.73.46.0 C:\Program Files\Internet Explorer\iexplore.exe Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\Windows\********s\MSDCSC\msdcsc.exe , iexplore.exe, cmd.exe, notepad.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıçta kendini gizliyor. Dropladığı dosya (iexplore) üzerinden port dinlemesi gerçekleşiyor. Strings değerlerinde neler bulabildiniz ? : MSRSAAPP.exe , remote service application Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: Programı çalıştırdığımız gibi kendini gizliyor
6-) Uygulama Adı (Numarası) :TeraBIT_Virus_Maker_3.2.exe (6) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE Port dinlemesi.varmi ? : yok Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : iexplore.exe, taskman.exe, TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE, dllhost.exe, svchost.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, meredrop özelliğine sahip Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:tVirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış. Yapılan analiz ile ilgili bir kaç görsel :
7-) Uygulama Adı (Numarası) :Benioku.exe (7) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\svchost.exe, Benioku.exe, C:\Users\Windows\AppData\Local\Temp\sss.exe Port dinlemesi.varmi ? :svchost.exe 972 TCP 49154 WIN-N4K1LL6ETEU Listening Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe, sss.exe, BeniOku.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:Crypter programını çalıştırınca masaüstü arkaplanı siyaha dönüyor. "Benioku" bir txt dosyası değil exe dosyasıdır tüm virüs o programda. Portun dinlendiği adres "alekazam123-44794.portmap.io". BeniOku Visual Basic ile oluşturulmuş Yapılan analiz ile ilgili bir kaç görsel :
11-) Uygulama Adı (Numarası) :Adwind RAT v3.0 Mod DamaTT.exe (11) Program başlangıca bir şey ekliyormu? : evet : C:\Windows\System32\mobsync.exe, C:\Windows\System32\svchost.exe, C:\Users\Windows\Desktop\Adwind RAT v3.0 Cracked\Adwind RAT v3.0 Mod DamaTT.exe, C:\Windows\system32\dllhost.exe, mscvin.exe Port dinlemesi.varmi ? :svchost.exe 884 TCP 49153 WIN-N4K1LL6ETEU Listening Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: keylogger Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe ,iexplore.exe, notepad.exe, serverrrrrrr.exe, cmd.exe, conhost.exe, Adwind RAT v3.0 Mod DamaTT.exe, msdt.exe, msdtc.exe, dllhost.exe, mscvin.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi (smtp) Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): Windows defender, windows güvenlik duvarı Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:HAKOPS tarafından oluşturulan keylogger. Mail üzerinden port dinlemesi, webcam görüntüsü, log kaydı yapılıyor. Program kendini yönetici hale getiriyor;
Kod:
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <assemblyIdentity
    version="1.0.0.0"
    processorArchitecture="X86"
    name="msvin"
    type="win32"
    />
  <description></description>
    <dependency>
        <dependentAssembly>
            <assemblyIdentity
                type="win32"
                name="Microsoft.Windows.Common-Controls"
                version="6.0.0.0"
                processorArchitecture="X86"
                publicKeyToken="6595b64144ccf1df"
                language="*"
             />
        </dependentAssembly>
    </dependency>
<!-- Identify the application security requirements: Vista and above -->
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
      <security>
        <requestedPrivileges>
          <requestedExecutionLevel
            level="requireAdministrator"
            uiAccess="false"
            />
        </requestedPrivileges>
      </security>
  </trustInfo>
</assembly>
Yapılan analiz ile ilgili bir kaç görsel :
Analiz Yapan Üyelerimiz ( Teşekkürler )

Kod:
  1. CassPort
  2. Phemis
  3. RTFM
  4. CassPort
  5. CassPort
  6. CassPort
  7. CassPort
  8. -
  9. -
  10. -
  11. CassPort
Eklemek istediğiniz exeler var ise konu altından bildirebilirsiniz.



Yapıp yapmamak tamamen size aittir. Hiç bir sorumluluk kabul etmem. O yüzden lütfen analiz edeceğiniz uygulamaları sanal bilgisayarınızda çalıştırınız !

---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu Black Turtle tarafından (15-09-2019 17:29 Saat 17:29 ) değiştirilmiştir.
AhmetKaan46 - ait Kullanıcı Resmi (Avatar)
Hesap Askıya Alındı
Üyelik tarihi:
02/2019
Nereden:
root@Kaan:~#
Yaş:
26
Mesajlar:
1.409
Konular:
138
Teşekkür (Etti):
747
Teşekkür (Aldı):
428
Ticaret:
(0) %
05-07-2019 11:42
#2
Liste İkiye Bunu da Eklersen Sevinirim

https://www86.zippyshare.com/v/aEGyq6BB/file.html
Black Turtle Teşekkür etti.
"Tranquila - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
08/2017
Nereden:
Trabzon
Yaş:
2
Mesajlar:
1.999
Konular:
229
Ticaret:
(0) %
05-07-2019 11:56
#3
Merhaba hocam birşey soracaktım bu virüsleri analiz ederken herhangi bir programa ihtiyaç duyarmıyız(sanal makine hariç)
Black Turtle - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.559
Konular:
1380
Teşekkür (Etti):
1085
Teşekkür (Aldı):
1924
Ticaret:
(0) %
05-07-2019 11:57
#4
Alıntı:
"Tranquila´isimli üyeden Alıntı Mesajı göster
Merhaba hocam birşey soracaktım bu virüsleri analiz ederken herhangi bir programa ihtiyaç duyarmıyız(sanal makine hariç)
Selam aradığın her şey burada : https://www.turkhackteam.org/zararli...ck-turtle.html
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
"Tranquila Teşekkür etti.
CassPort - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2015
Nereden:
root@cass:~#
Mesajlar:
1.561
Konular:
224
Teşekkür (Etti):
490
Teşekkür (Aldı):
673
Ticaret:
(0) %
05-07-2019 12:53
#5
1. Program


Uygulama Adı : safe


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w 3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent C:\Program Files (x86)\Internet Explorer\iexplore.exe



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.ex e , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.
---------------------
| Cahille girme münakaşaya. Ya sinirini zıplatır tavana, ya da yazık olur adabına. |
Konu CassPort tarafından (05-07-2019 13:22 Saat 13:22 ) değiştirilmiştir.
Black Turtle - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.559
Konular:
1380
Teşekkür (Etti):
1085
Teşekkür (Aldı):
1924
Ticaret:
(0) %
05-07-2019 15:32
#6
Alıntı:
CassPort´isimli üyeden Alıntı Mesajı göster
1. Program


Uygulama Adı : safe


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w 3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent C:\Program Files (x86)\Internet Explorer\iexplore.exe



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.ex e , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.

Baya hızlısınız cassport bey Teşekkürler ekledim konuya.
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
CassPort Teşekkür etti.
MrXCyberQ - ait Kullanıcı Resmi (Avatar)
Hesap Askıya Alındı
Üyelik tarihi:
05/2019
Mesajlar:
1.400
Konular:
139
Ticaret:
(0) %
05-07-2019 15:34
#7
Hocam virüs programları daha iyiydi ya (Şaka Amaçlı Yazılmıştır!)
Black Turtle - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.559
Konular:
1380
Teşekkür (Etti):
1085
Teşekkür (Aldı):
1924
Ticaret:
(0) %
05-07-2019 17:09
#8
Alıntı:
MrXCyberQ´isimli üyeden Alıntı Mesajı göster
Hocam virüs programları daha iyiydi ya (Şaka Amaçlı Yazılmıştır!)
Onlar daha basite kaçıyor bu yöntem ile %99 zararlımı değilmi inceliyebilirsin
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
M3m0ry - ait Kullanıcı Resmi (Avatar)
Çevirmen
Üyelik tarihi:
06/2017
Nereden:
xD
Mesajlar:
4.101
Konular:
317
Teşekkür (Etti):
10723
Teşekkür (Aldı):
1431
Ticaret:
(0) %
05-07-2019 20:17
#9


Bu 2 numaralı dosyanın içinde exe yok sanırım neyi taratacağım ?
Konu PALA tarafından (06-07-2019 01:23 Saat 01:23 ) değiştirilmiştir.
Black Turtle - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.559
Konular:
1380
Teşekkür (Etti):
1085
Teşekkür (Aldı):
1924
Ticaret:
(0) %
05-07-2019 22:45
#10
Alıntı:
M3m0ry´isimli üyeden Alıntı Mesajı göster
Reis konu guzelmiş

Bu 2 numaralı dosyanın içinde exe yok sanırım neyi taratacağım ?
2 tane daha ekledim diğerlerine bakıp analiz edebilirsin.2. ye en kısa sürede bakıcağım @M3m0ry
---------------------
⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu PALA tarafından (06-07-2019 01:23 Saat 01:23 ) değiştirilmiştir.
M3m0ry Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler