Gunceldir
CassPort
Phemis
RTFM
CassPort
İki kere Cassport yazıldı ! Faydalı olacak.
Uygulama Adı (Numarası) : Bruteforce Spesial Edition.exe (5)
Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\********s\MSDCSC\msdcsc.exe, Bruteforce Special Edition.exe.colors
Port dinlemesi.varmi ? : iexplore.exe 4908 TCP 51929 192.168.1.57 96 34.73.46.0 C:\Program Files\Internet Explorer\iexplore.exe
Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat
Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\Windows\********s\MSDCSC\msdcsc.exe , iexplore.exe, cmd.exe, notepad.exe
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıçta kendini gizliyor. Dropladığı dosya (iexplore) üzerinden port dinlemesi gerçekleşiyor.
Strings değerlerinde neler bulabildiniz ? : MSRSAAPP.exe , remote service application
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok
Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: Programı çalıştırdığımız gibi kendini gizliyor
Uygulama Adı (Numarası) :TeraBIT_Virus_Maker_3.2.exe (6)
Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe,
TVIRUS~1.EXE
Port dinlemesi.varmi ? : yok
Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat
Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : iexplore.exe, taskman.exe, TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE, dllhost.exe, svchost.exe
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, meredrop özelliğine sahip
Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok
Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:tVirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış.
Yapılan analiz ile ilgili bir kaç görsel :
Uygulama Adı (Numarası) :Benioku.exe (7)
Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\svchost.exe, Benioku.exe, C:\Users\Windows\AppData\Local\Temp\sss.exe
Port dinlemesi.varmi ? :svchost.exe 972 TCP 49154 WIN-N4K1LL6ETEU Listening
Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat
Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe, sss.exe, BeniOku.exe
Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor
Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi
Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok
Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:Crypter programını çalıştırınca masaüstü arkaplanı siyaha dönüyor. "Benioku" bir txt dosyası değil exe dosyasıdır tüm virüs o programda. Portun dinlendiği adres "alekazam123-44794.portmap.io". BeniOku Visual Basic ile oluşturulmuş
Yapılan analiz ile ilgili bir kaç görsel :
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="1.0.0.0"
processorArchitecture="X86"
name="msvin"
type="win32"
/>
<description></description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="X86"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
<!-- Identify the application security requirements: Vista and above -->
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security>
<requestedPrivileges>
<requestedExecutionLevel
level="requireAdministrator"
uiAccess="false"
/>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>
Ben konu başlığının amacını kavrayamadım. Gördüğüm kadarıyla analizler yalnızca belli bir formata uygun olacak biçimde raporlanıyor, analizlere ilişkin adımlar detaylandırılmıyor. Gövde Gösterisi patlayınca yerine, kişisel tatmin maksatlı açılan bir başlıktan öte bir şey göremedim. Zararlı yazılım bitmez, kafamıza estiği gibi paylaşabiliyorsak sıkıntı epey büyük.
Tersine mühendislik kategorisi duruyor iken ek bir kategorinin açılmasını da anlamsız buldum.
Ben konu başlığının amacını kavrayamadım. Gördüğüm kadarıyla analizler yalnızca belli bir formata uygun olacak biçimde raporlanıyor, analizlere ilişkin adımlar detaylandırılmıyor. Gövde Gösterisi patlayınca yerine, kişisel tatmin maksatlı açılan bir başlıktan öte bir şey göremedim. Zararlı yazılım bitmez, kafamıza estiği gibi paylaşabiliyorsak sıkıntı epey büyük.
Tersine mühendislik kategorisi duruyor iken ek bir kategorinin açılmasını da anlamsız buldum.
İnsanoğlu, yabancısı olduğu şeyi, barbarca; kendi aklına uyduramadığını ise akıldışı olarak tanımlar.
42.zip https://anonfile.com/0e84C33fnf/42_zip
42.zip, iç içe birçok sıkıştırılmış dosya içeriyor. Temelde 4.5 GB boyutunda ".dll" dosyaları içeren ve her katmanda 16 sıkıştırılmış dosya barındıran 42.zip, 4.5 PB boyutuna ulaşıyor.
/Dikkat\ Bilgisayarınızda açmayı denemeyin çökebilir.
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.