Hep Birlikte Zararlı Yazılım Analizi Yapalım / Black Turtle

CassPort

Uzman üye
31 Ara 2015
1,594
38
root@cass:~#
Uygulama Adı (Numarası) : Bruteforce Spesial Edition.exe (5)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\********s\MSDCSC\msdcsc.exe, Bruteforce Special Edition.exe.colors


Port dinlemesi.varmi ? : iexplore.exe 4908 TCP 51929 192.168.1.57 96 34.73.46.0 C:\Program Files\Internet Explorer\iexplore.exe


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\Windows\********s\MSDCSC\msdcsc.exe , iexplore.exe, cmd.exe, notepad.exe


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıçta kendini gizliyor. Dropladığı dosya (iexplore) üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : MSRSAAPP.exe , remote service application


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: Programı çalıştırdığımız gibi kendini gizliyor
 

Black Turtle

Adanmış Üye
28 Ocak 2015
6,615
35
Remote Admin
Uygulama Adı (Numarası) : Bruteforce Spesial Edition.exe (5)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\********s\MSDCSC\msdcsc.exe, Bruteforce Special Edition.exe.colors


Port dinlemesi.varmi ? : iexplore.exe 4908 TCP 51929 192.168.1.57 96 34.73.46.0 C:\Program Files\Internet Explorer\iexplore.exe


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) :C:\Users\Windows\********s\MSDCSC\msdcsc.exe , iexplore.exe, cmd.exe, notepad.exe


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor ve başlangıçta kendini gizliyor. Dropladığı dosya (iexplore) üzerinden port dinlemesi gerçekleşiyor.


Strings değerlerinde neler bulabildiniz ? : MSRSAAPP.exe , remote service application


Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok


Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz: Programı çalıştırdığımız gibi kendini gizliyor

güzel gayet iyi böyle devam. :incele
 

CassPort

Uzman üye
31 Ara 2015
1,594
38
root@cass:~#
Uygulama Adı (Numarası) :TeraBIT_Virus_Maker_3.2.exe (6)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe,
TVIRUS~1.EXE


Port dinlemesi.varmi ? : yok


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : iexplore.exe, taskman.exe, TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE, dllhost.exe, svchost.exe


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, meredrop özelliğine sahip



Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini



Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok



Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:tVirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış.



Yapılan analiz ile ilgili bir kaç görsel :

kqEOVN.png

kqE5Ts.png

kqESUS.png

kqEuAb.png
 

Black Turtle

Adanmış Üye
28 Ocak 2015
6,615
35
Remote Admin
Uygulama Adı (Numarası) :TeraBIT_Virus_Maker_3.2.exe (6)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\Windows\svchost.exe,TeraBIT_Virus_Maker_3.2.exe,
TVIRUS~1.EXE


Port dinlemesi.varmi ? : yok


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : iexplore.exe, taskman.exe, TeraBIT_Virus_Maker_3.2.exe, TVIRUS~1.EXE, dllhost.exe, svchost.exe


Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, meredrop özelliğine sahip



Strings değerlerinde neler bulabildiniz ? : dropladığı dosyaları ve meredrop özelliğini



Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok



Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:tVirusMaker (TVIRUS~1.EXE) droplandığı gibi "CrashHandler.exe" çalışmaya başlıyor ve hata raporu yolluyor, svchost.exe bilgisayara +18 görüntü ekliyor, meredrop özelliği ile karmaşık bir şekilde yapılandırılmış ve okunmasını zorlaştırmış.



Yapılan analiz ile ilgili bir kaç görsel :

kqEOVN.png

kqE5Ts.png

kqESUS.png

kqEuAb.png

Listeye ekledim. Eline sağlık
 

CassPort

Uzman üye
31 Ara 2015
1,594
38
root@cass:~#
Uygulama Adı (Numarası) :Benioku.exe (7)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\svchost.exe, Benioku.exe, C:\Users\Windows\AppData\Local\Temp\sss.exe


Port dinlemesi.varmi ? :svchost.exe 972 TCP 49154 WIN-N4K1LL6ETEU Listening


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe, sss.exe, BeniOku.exe



Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor



Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi



Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok



Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:Crypter programını çalıştırınca masaüstü arkaplanı siyaha dönüyor. "Benioku" bir txt dosyası değil exe dosyasıdır tüm virüs o programda. Portun dinlendiği adres "alekazam123-44794.portmap.io". BeniOku Visual Basic ile oluşturulmuş



Yapılan analiz ile ilgili bir kaç görsel :

kqjkPS.png

kqOdWG.png

kqjoYb.png

kqjnSt.png
 
Moderatör tarafında düzenlendi:

Black Turtle

Adanmış Üye
28 Ocak 2015
6,615
35
Remote Admin
Uygulama Adı (Numarası) :Benioku.exe (7)


Program başlangıca bir şey ekliyormu? : evet : C:\Users\Windows\AppData\Roaming\svchost.exe, Benioku.exe, C:\Users\Windows\AppData\Local\Temp\sss.exe


Port dinlemesi.varmi ? :svchost.exe 972 TCP 49154 WIN-N4K1LL6ETEU Listening


Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: rat


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe, sss.exe, BeniOku.exe



Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor



Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi



Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): hayır bypass yok



Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:Crypter programını çalıştırınca masaüstü arkaplanı siyaha dönüyor. "Benioku" bir txt dosyası değil exe dosyasıdır tüm virüs o programda. Portun dinlendiği adres "alekazam123-44794.portmap.io". BeniOku Visual Basic ile oluşturulmuş



Yapılan analiz ile ilgili bir kaç görsel :

kqjkPS.png

kqOdWG.png

kqjoYb.png

kqjnSt.png

çok serisin :)) ekledim listeye
 

CassPort

Uzman üye
31 Ara 2015
1,594
38
root@cass:~#
Uygulama Adı (Numarası) :Adwind RAT v3.0 Mod DamaTT.exe (11)


Program başlangıca bir şey ekliyormu? : evet : C:\Windows\System32\mobsync.exe, C:\Windows\System32\svchost.exe, C:\Users\Windows\Desktop\Adwind RAT v3.0 Cracked\Adwind RAT v3.0 Mod DamaTT.exe, C:\Windows\system32\dllhost.exe, mscvin.exe


Port dinlemesi.varmi ? :svchost.exe 884 TCP 49153 WIN-N4K1LL6ETEU Listening



Ratmi keyloggermi (veya başka bir şey minner virüsü vb.) ?: keylogger


Programi açtiginiz zaman başka bir şey açılıyormu ? (Dropluyormu) : svchost.exe ,iexplore.exe, notepad.exe, serverrrrrrr.exe, cmd.exe, conhost.exe, Adwind RAT v3.0 Mod DamaTT.exe, msdt.exe, msdtc.exe, dllhost.exe, mscvin.exe



Neye dayanarak rat,keyloggerdir veya vb bir virüs dediniz ?: program başka programlar dropluyor, port dinlemesi yapıyor


Strings değerlerinde neler bulabildiniz ? : dropladığı programı, portun dinlendiği adresi (smtp)



Programı açtığınız zaman herhangi bir Windows dosyasını bypass ediyormu?(kapatiyormu): Windows defender, windows güvenlik duvarı



Sizin eklemek istediniz.seyler varmı ? Varsa yaziniz:HAKOPS tarafından oluşturulan keylogger. Mail üzerinden port dinlemesi, webcam görüntüsü, log kaydı yapılıyor. Program kendini yönetici hale getiriyor;

Kod:
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <assemblyIdentity
    version="1.0.0.0"
    processorArchitecture="X86"
    name="msvin"
    type="win32"
    />
  <description></description>
    <dependency>
        <dependentAssembly>
            <assemblyIdentity
                type="win32"
                name="Microsoft.Windows.Common-Controls"
                version="6.0.0.0"
                processorArchitecture="X86"
                publicKeyToken="6595b64144ccf1df"
                language="*"
             />
        </dependentAssembly>
    </dependency>
<!-- Identify the application security requirements: Vista and above -->
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
      <security>
        <requestedPrivileges>
          <requestedExecutionLevel
            level="requireAdministrator"
            uiAccess="false"
            />
        </requestedPrivileges>
      </security>
  </trustInfo>
</assembly>



Yapılan analiz ile ilgili bir kaç görsel :

kqqcye.png

kqqhtP.png

kqqgiN.png

kqqDAv.png
 

Anonim6

Yeni üye
29 Şub 2012
0
5
Ben konu başlığının amacını kavrayamadım. Gördüğüm kadarıyla analizler yalnızca belli bir formata uygun olacak biçimde raporlanıyor, analizlere ilişkin adımlar detaylandırılmıyor. Gövde Gösterisi patlayınca yerine, kişisel tatmin maksatlı açılan bir başlıktan öte bir şey göremedim. Zararlı yazılım bitmez, kafamıza estiği gibi paylaşabiliyorsak sıkıntı epey büyük.

Tersine mühendislik kategorisi duruyor iken ek bir kategorinin açılmasını da anlamsız buldum.
 
Moderatör tarafında düzenlendi:

Black Turtle

Adanmış Üye
28 Ocak 2015
6,615
35
Remote Admin
Ben konu başlığının amacını kavrayamadım. Gördüğüm kadarıyla analizler yalnızca belli bir formata uygun olacak biçimde raporlanıyor, analizlere ilişkin adımlar detaylandırılmıyor. Gövde Gösterisi patlayınca yerine, kişisel tatmin maksatlı açılan bir başlıktan öte bir şey göremedim. Zararlı yazılım bitmez, kafamıza estiği gibi paylaşabiliyorsak sıkıntı epey büyük.

Tersine mühendislik kategorisi duruyor iken ek bir kategorinin açılmasını da anlamsız buldum.

Konuda ki başlığın amacı üyeleri malware analizine teşvik etmektir. Bu yuzden espirili bir baslik koydum :)) Tersine mühendislik bolumune artik analiz konulari acilmiyor. Analiz ile ilgili her seyi burda paylasiyoruz. Varsa virüslü dosyalariniz listeye ekliyelim , veya sizde listeden dosya secip analiz yapabilirsiniz.
 
Son düzenleme:

umutkalay

Katılımcı Üye
26 Nis 2019
276
0
Ben konu başlığının amacını kavrayamadım. Gördüğüm kadarıyla analizler yalnızca belli bir formata uygun olacak biçimde raporlanıyor, analizlere ilişkin adımlar detaylandırılmıyor. Gövde Gösterisi patlayınca yerine, kişisel tatmin maksatlı açılan bir başlıktan öte bir şey göremedim. Zararlı yazılım bitmez, kafamıza estiği gibi paylaşabiliyorsak sıkıntı epey büyük.

Tersine mühendislik kategorisi duruyor iken ek bir kategorinin açılmasını da anlamsız buldum.
İnsanoğlu, yabancısı olduğu şeyi, barbarca; kendi aklına uyduramadığını ise akıldışı olarak tanımlar.

Par4d0x1D
 

esesskitw

Yeni üye
20 Ağu 2019
10
0
42.zip https://anonfile.com/0e84C33fnf/42_zip
42.zip, iç içe birçok sıkıştırılmış dosya içeriyor. Temelde 4.5 GB boyutunda ".dll" dosyaları içeren ve her katmanda 16 sıkıştırılmış dosya barındıran 42.zip, 4.5 PB boyutuna ulaşıyor.
/Dikkat\ Bilgisayarınızda açmayı denemeyin çökebilir.

Rar Pass: 42
 
Son düzenleme:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.