İPUCU

Zararlı Yazılım Analizi Zararlı Yazılım Analizi , CrackMe gibi uygulamaların paylaşıldığı bölüm.

Seçenekler

Hep Birlikte Zararlı Yazılım Analizi Yapalım / Black Turtle

2 Hafta önce
#1
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.410
Teşekkür (Etti):
1029
Teşekkür (Aldı):
1851
Konular:
1335
Ticaret:
(0) %
Selam arkadaşlar bildiğiniz üzere "Zararlı Yazılım Analizi" kategorisi açıldı. Ve bu kategoriyi canlandırmak adına böyle bir uygulama yapmak istedim.



Peki Ne Yapıcağız ?

Size vermiş olduğum "Zararlı (virüs) içeren" dosyaları analiz etmenizi isteyeceğim.

Analiz Araçları İçin : https://www.turkhackteam.org/zararli...ck-turtle.html



Analizi şu kriterlere göre yapmanız gereklidir.

Kod:
Uygulama Adı (Numarası) :


Program başlangıca bir şey ekliyormu? : 


Port dinlemesi varmi ? : 


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: 


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : 


Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: 


Strings değerlerinde neler bulabildiniz ? : 


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu):


Sizin eklemek istediniz şeyler varmı ? Varsa yazınız :


Yapılan analiz ile ilgili bir kaç görsel :


Bu şekilde hem kendimizi geliştirmiş, hemde neyin ne olduğunu az çok öğrenmiş olacağız.


Analiz eden arkadaşlar yoruma aynen bu şekilde atabilirler ;

Kod:
Uygulama Adı (Numarası): bilmemne.exe


Program başlangıca bir şey ekliyormu? : evet svchost ekliyor


Port dinlemesi varmi ? : 65 portundan dinleme gerçekleşiyor
 

Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat (spy-net)


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : defender.exe dropluyor


Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: başlangıça eklediği exe ile port dinlemesi gerçekleştiriyor. Durduk yere defender.exe dropladı vs vs 


Strings değerlerinde neler bulabildiniz ? :  Remote Administratör Tool , msraap.exe, begin darkcomet rat, vs vs 


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): Uac ı devre dışı bırakmaya çalışıyor


Sizin eklemek istediniz şeyler varmı ? Varsa yazınız : Hepsi bu kadar :) veya evet var şunlar şunlarda vardı . Örnek program otamatik internet üzerinden "temp" klasörüme  bir exe daha indirmeye çalıştı vs vs.


Yapılan analiz ile ilgili bir kaç görsel :




Verilen linkleri sakın kendi bilgisayarınızda çalıştırmayın ! Analiz edeceğiniz bilgisayarda çalıştırınız. (Örnek ; sanal pc vb.)



Analiz Edilecek Virüslü Dosya Listesi ;

Kod:
  1. Safe3WVS-9.0.rar İndir
  2. https://www86.zippyshare.com/v/aEGyq6BB/file.html
  3. https://s7.dosya.tc/server14/cqdubc/...unsuz.rar.html
  4. https://s7.dosya.tc/server13/rq5joe/...6_THT.rar.html (Rar Pas : vatanbölünmez)
  5. https://s7.dosya.tc/server15/bp45my/...ition.zip.html
  6. https://dosya.co/ti7dxwd3jovb/TeraBI....2(2).rar.html
  7. https://mega.nz/#!mZVl3QaZ!dkJJodFJc...0T3LAKqus6-M4Y
  8. https://mega.nz/#!3iQW2ISS!j8Xcf2ztP...4aKGMBS%20IfiQ
  9. https://anonfile.com/y2D0F8s6b8/Safe3WVS-9.0_rar
  10. https://yadi.sk/d/2Kjub_mIjv5k9
  11. https://yadi.sk/d/1Gg5a4_qixmJv
  12. https://www.mediafire.com/file/zsse6...igins.exe/file
  13. https://www.dosya.tc/server21/7lqkih...N.eml.zip.html ( Rar pas : infected )
  14. https://www.dosya.tc/server21/o8h75s/Cros.zip.html ( Rar pas : infected )
  15. https://s4.dosya.tc/server6/6rawoa/Adwind.zip.html ( Rar pas : infected )
Analiz Edilmiş Virüslü Dosya Listesi ;

Kod:
1-) Uygulama Adı : safe3


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181  96  34.73.46.0  Syn-Sent     C:\Program Files (x86)\Internet Explorer\iexplore.exe      



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat 


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.exe , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.

2-) Öncelikle 2. Program MEMZ virüsüdür ve gayet ünlü bir virüstür Zaten dosya içerisinde de kaynak kodları verilerek zararlı olduğu söylenmiş dolayısıyla analiz etme gereği duymadım. https://malware.wikia.org/wiki/MEMZ https://github.com/Leurak/MEMZ
3-) Uygulama Adı (3) : DARKCOMET Program başlangıca bir şey ekliyormu? : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: c:\users\ieuser\favorites\msdcsc\msdcsc.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : c:\users\ieuser\favorites\msdcsc\msdcsc.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : MicroUpdate= C:\Windows\system32\MSDCSC\Apa2laHi8YD9\msdcsc.exe .exe Port dinlemesi varmi ? : 127.0.0.1:1604 Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: RAT Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : ,explorer.exe, cmd.exe, notepad.exe, "C:\Users\IEUser\Favorites\MSDCSC\grRGiAbP7aSa\msd csc.exe", "C:\Users\IEUser\Desktop\grRGiAbP7aSa.dcp" , \Internet Explorer\iexplore.exe Neye dayanarak rat,keylogger veya başka bir virüs dediniz ?: Strings değerlerinde neler bulabildiniz ? : Remote Service Application, \Internet Explorer\iexplore.exe, explorer.exe, kernel32.dll, advapi32.dll Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu)- hayır en azından ben fark etmedim. Sizin eklemek istediniz şeyler varmı ? Varsa yazınız : "This program cannot be run DOS mode" bu header bilgisi dikkatimi çekti, hex editörden ilgili alanı dışarıya aktararak biraz daha detaylı inceledim ve sonun da şu fonksiyona ulaştım --->> "URLDownloadToFileA" burdan da şunu anlıyoruz ki internet bağlantısı yaparak bir indirme işlemi yapıyor. kernel32.dll, advapi32.dll kütüphaneleri import edilerek CreateFile gibi fonksiyonlar ile sistem üzerinde dosyalar oluşturduğu iddasını ortaya atabiliriz. Yine araştırdığım da advapi32.dll kütüphanesi registery kayıtları, servis yöneticisi vb. gibi windows yapılarına ulaşmak için kullanılıyormuş.
4-) Uygulama Adı (Numarası) : spynet.exe (4) Program başlangıca bir şey ekliyormu? : evet : windefender.exe Port dinlemesi.varmi ? : 80 portunu dinliyor Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : windefender.exe (hata raporu), cmd.exe, WerFault.exe, NOTEPAD.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor. Strings değerlerinde neler bulabildiniz ? : dropladığı programları, oluşturduğu dosyaları Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: windefender.exe açıldığı zaman belirli aralıklarla crash vermesi yazılmış
5-) Uygulama Adı (Numarası) : Bruteforce Spesial Edition.exe (5) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\********s\MSDCSC\msdcsc.exe, Bruteforce Special Edition.exe.colors Port dinlemesi.varmi ? : iexplore.exe 4908 TCP 51929 192.168.1.57 96 34.73.46.0 C:\Program Files\Internet Explorer\iexplore.exe Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\Windows\********s\MSDCSC\msdcsc.exe , iexplore.exe, cmd.exe, notepad.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıçta kendini gizliyor. Dropladığı dosya (iexplore) üzerinden port dinlemesi gerçekleşiyor. Strings değerlerinde neler bulabildiniz ? : MSRSAAPP.exe , remote service application Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: Programı çalıştırdığımız gibi kendini gizliyor
6-) Uygulama Adı (Numarası) :TeraBIT_Virus_Maker_3.2.exe (6) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE Port dinlemesi.varmi ? : yok Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : iexplore.exe, taskman.exe, TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE, dllhost.exe, svchost.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, meredrop özelliğine sahip Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:tVirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış. Yapılan analiz ile ilgili bir kaç görsel :
7-) Uygulama Adı (Numarası) :Benioku.exe (7) Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\svchost.exe, Benioku.exe, C:\Users\Windows\AppData\Local\Temp\sss.exe Port dinlemesi.varmi ? :svchost.exe 972 TCP 49154 WIN-N4K1LL6ETEU Listening Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe, sss.exe, BeniOku.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:Crypter programını çalıştırınca masaüstü arkaplanı siyaha dönüyor. "Benioku" bir txt dosyası değil exe dosyasıdır tüm virüs o programda. Portun dinlendiği adres "alekazam123-44794.portmap.io". BeniOku Visual Basic ile oluşturulmuş Yapılan analiz ile ilgili bir kaç görsel :
11-) Uygulama Adı (Numarası) :Adwind RAT v3.0 Mod DamaTT.exe (11) Program başlangıca bir şey ekliyormu? : evet : C:\Windows\System32\mobsync.exe, C:\Windows\System32\svchost.exe, C:\Users\Windows\Desktop\Adwind RAT v3.0 Cracked\Adwind RAT v3.0 Mod DamaTT.exe, C:\Windows\system32\dllhost.exe, mscvin.exe Port dinlemesi.varmi ? :svchost.exe 884 TCP 49153 WIN-N4K1LL6ETEU Listening Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: keylogger Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe ,iexplore.exe, notepad.exe, serverrrrrrr.exe, cmd.exe, conhost.exe, Adwind RAT v3.0 Mod DamaTT.exe, msdt.exe, msdtc.exe, dllhost.exe, mscvin.exe Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi (smtp) Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): Windows defender, windows güvenlik duvarı Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:HAKOPS tarafından oluşturulan keylogger. Mail üzerinden port dinlemesi, webcam görüntüsü, log kaydı yapılıyor. Program kendini yönetici hale getiriyor;
Kod:
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <assemblyIdentity
    version="1.0.0.0"
    processorArchitecture="X86"
    name="msvin"
    type="win32"
    />
  <description></description>
    <dependency>
        <dependentAssembly>
            <assemblyIdentity
                type="win32"
                name="Microsoft.Windows.Common-Controls"
                version="6.0.0.0"
                processorArchitecture="X86"
                publicKeyToken="6595b64144ccf1df"
                language="*"
             />
        </dependentAssembly>
    </dependency>
<!-- Identify the application security requirements: Vista and above -->
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
      <security>
        <requestedPrivileges>
          <requestedExecutionLevel
            level="requireAdministrator"
            uiAccess="false"
            />
        </requestedPrivileges>
      </security>
  </trustInfo>
</assembly>
Yapılan analiz ile ilgili bir kaç görsel :
Analiz Yapan Üyelerimiz ( Teşekkürler )

Kod:
  1. CassPort
  2. Phemis
  3. RTFM
  4. CassPort
  5. CassPort
  6. CassPort
  7. CassPort
  8. -
  9. -
  10. -
  11. CassPort
Eklemek istediğiniz exeler var ise konu altından bildirebilirsiniz.



Yapıp yapmamak tamamen size aittir. Hiç bir sorumluluk kabul etmem. O yüzden lütfen analiz edeceğiniz uygulamaları sanal bilgisayarınızda çalıştırınız !

Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu Black Turtle tarafından (bir Hafta önce Saat 13:27 ) değiştirilmiştir.

2 Hafta önce
#2
Üyelik tarihi:
02/2019
Nereden:
AR-GE Tim
Yaş:
19
Mesajlar:
214
Teşekkür (Etti):
3
Teşekkür (Aldı):
64
Konular:
105
Ticaret:
(0) %
Liste İkiye Bunu da Eklersen Sevinirim

https://www86.zippyshare.com/v/aEGyq6BB/file.html
Kullanıcı İmzası
“Takdir ediliyorsan değil, taklit ediliyorsan başarmışsın demektir.”

█║▌│█│║▌║││█║▌║▌║
Copyright 2018 - 2019
Black Turtle Teşekkür etti.
2 Hafta önce
#3
"Tranquila - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
Trabzon
Yaş:
1
Mesajlar:
2.011
Konular:
225
Ticaret:
(0) %
Merhaba hocam birşey soracaktım bu virüsleri analiz ederken herhangi bir programa ihtiyaç duyarmıyız(sanal makine hariç)
Kullanıcı İmzası
Eski bilgi teknolojileri ekibi ve sosyal medya timi albayı

^{_SolidStar_}^
2 Hafta önce
#4
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.410
Teşekkür (Etti):
1029
Teşekkür (Aldı):
1851
Konular:
1335
Ticaret:
(0) %
Alıntı:
"Tranquila´isimli üyeden Alıntı Mesajı göster
Merhaba hocam birşey soracaktım bu virüsleri analiz ederken herhangi bir programa ihtiyaç duyarmıyız(sanal makine hariç)
Selam aradığın her şey burada : https://www.turkhackteam.org/zararli...ck-turtle.html
Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
"Tranquila Teşekkür etti.
2 Hafta önce
#5
CassPort - ait Kullanıcı Resmi (Avatar)
Çaylak
Üyelik tarihi:
12/2015
Nereden:
root@cass:~#
Mesajlar:
1.203
Teşekkür (Etti):
265
Teşekkür (Aldı):
392
Konular:
175
Ticaret:
(0) %
1. Program


Uygulama Adı : safe


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w 3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent C:\Program Files (x86)\Internet Explorer\iexplore.exe



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.ex e , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.
Kullanıcı İmzası
| Zulümle zenginleşenin, sonu berbat olur. |



Konu CassPort tarafından ( 2 Hafta önce Saat 13:22 ) değiştirilmiştir.
2 Hafta önce
#6
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.410
Teşekkür (Etti):
1029
Teşekkür (Aldı):
1851
Konular:
1335
Ticaret:
(0) %
Alıntı:
CassPort´isimli üyeden Alıntı Mesajı göster
1. Program


Uygulama Adı : safe


Program başlangıca bir şey ekliyormu? : evet : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MicroUpdate=C:\users\\********s\MSDCSC\zeJ4krq7Z5w 3\msdcsc.exe


Port dinlemesi.varmi ? : iexplore.exe 3380 TCP 49181 96 34.73.46.0 Syn-Sent C:\Program Files (x86)\Internet Explorer\iexplore.exe



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\\********s\MSDCSC\zeJ4krq7Z5w3\msdcsc.ex e , iexplore.exe, cmd, notepadd.exe , C:\Users\\AppData\Local\Temp\SAFE3WVS_EN.EXE


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıça bir exe yüklüyor. Dropladığı dosya üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : msraap.exe , remote service application , Clipboard


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: upx ile sıkıştırmış bir dosya , wsock32.dll (bağlanması için), advapi32.dll (regedir işlemleri için), netapi32.dll gibi zararlı dll kullanılmaktadır.

Baya hızlısınız cassport bey Teşekkürler ekledim konuya.
Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
CassPort Teşekkür etti.
2 Hafta önce
#7
MrXCyberQ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2019
Nereden:
Nereye
Mesajlar:
128
Teşekkür (Etti):
0
Teşekkür (Aldı):
15
Konular:
19
Ticaret:
(0) %
Hocam virüs programları daha iyiydi ya (Şaka Amaçlı Yazılmıştır!)
Kullanıcı İmzası
Bir Milletin Ahlak Değeri , O Milletin Yükselmesini Sağlar . Bir Millet , Zenginliğiyle Değil , Ahlak Değeri İle Ölçülür.


MUSTAFA KEMAL ATATÜRK
2 Hafta önce
#8
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.410
Teşekkür (Etti):
1029
Teşekkür (Aldı):
1851
Konular:
1335
Ticaret:
(0) %
Alıntı:
MrXCyberQ´isimli üyeden Alıntı Mesajı göster
Hocam virüs programları daha iyiydi ya (Şaka Amaçlı Yazılmıştır!)
Onlar daha basite kaçıyor bu yöntem ile %99 zararlımı değilmi inceliyebilirsin
Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
2 Hafta önce
#9
M3m0ry - ait Kullanıcı Resmi (Avatar)
Sosyal Medya Yöneticisi
Üyelik tarihi:
06/2017
Mesajlar:
3.545
Teşekkür (Etti):
8473
Teşekkür (Aldı):
1038
Konular:
235
Ticaret:
(0) %


Bu 2 numaralı dosyanın içinde exe yok sanırım neyi taratacağım ?
Konu Tegin tarafından ( 2 Hafta önce Saat 01:23 ) değiştirilmiştir.
2 Hafta önce
#10
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.410
Teşekkür (Etti):
1029
Teşekkür (Aldı):
1851
Konular:
1335
Ticaret:
(0) %
Alıntı:
M3m0ry´isimli üyeden Alıntı Mesajı göster
Reis konu guzelmiş

Bu 2 numaralı dosyanın içinde exe yok sanırım neyi taratacağım ?
2 tane daha ekledim diğerlerine bakıp analiz edebilirsin.2. ye en kısa sürede bakıcağım @M3m0ry
Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
Konu Tegin tarafından ( 2 Hafta önce Saat 01:23 ) değiştirilmiştir.
M3m0ry Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı