دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

Printable View

11-10-2010, 17:06
M E H R A N

نقل قول:

نوشته شده توسط drhaniball [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

1_ شما app control کسپرسکی رو هیستوریک گذاشتید.

2_ شما نباید MBAM رو فعال میکردید. ( همین الان در کار کسپرسکی اختلال پیش اومده )

3_ نظر من نصب comodo به همراه کسپرسکی کاره اضافی هست. یا کسپرسکی رو انتخاب کنید یا کمودو.

با هر 3 نظر بشدت موافقم :10:
11-10-2010, 17:16
M E H R A N

نقل قول:

نوشته شده توسط *hamedkhatar* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

و بعد هم این
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حامد جان در مورد این پیغام بالا یک توضیحی بدم.

در این پیغام کمودو جلوی خرابکاری های ویروس رو نگرفته بلکه به شما پیغام داده که:

Explorer یک فایل قابل اعتماد است اما میخواد که یک فایل ناشناخته به اسم Fake Av.exe را اجرا بکند. به هر حال فایل Fake AV.exe قابل شناسایی توسط کمودو نیست, لطفا اون رو از طریق انتخاب کردن Submit the files to COMODO برای کمودو ارسال کنید.

پس شما در پیغام بالا فقط از اجرا شدنش جلوگیری کرید. اگر میخواهید که واقعا عکس العمل کمودو رو بعد از اجرا شدنش ببینید باید به این درخواست پاسخ مثبت بدید یعنی اینکه اول Allow this request را انتخاب کنید و بعد OK کنید :46:

اگر کمودو قرار باشه عکس العملی از خودش نشون بده بعد اجرا کردنش این کار رو خواهد کرد. :10:

البته جلوگیری از اجرا شدن فایل های ناشناخته جهت محافظت از سیستم بهتر از اجرا شدنشون و بعد محافظت از سیستم است
11-10-2010, 17:37
Karkas20

ویروس پست 1074 برای کاسپرسکی ارسال شد
11-10-2010, 18:24
M E H R A N

6 مخرب جدید به همراه Exploit

داخل این بسته یدونه هم PDF Exploit قرار داره. لطفا کسانی که آنتی ویروسشون قادر به تشخیص این Exloit نیست اون رو اجرا نکنند. البته اجرا کردن این Exploit توسط یک برنامۀ Foxit اشکالی نداره و خطری سیستم رو تهدید نمیکنه. ویندوز های آپدیت شده هم تا حد زیادی نسبت به اکسپلویت ها امن هستند و باگهای ویندوز گرفته شده.

سیستم های عامل 64 بیتی هم تقریبا خودش صدیه برای اجرا شدن اکسپلویت ها و همچنین روتکیت ها. با این شرایط تصمیم با خودتونه اما ریسک اجرا کردنش هم بر عهدۀ خودتون هست.

اما نتیجۀ بعضی از مخربها که خیلی جالبه :31:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نتیجۀ اسکن آنلاین در VT تا این لحظه.

کد:

http://www.virustotal.com/file-scan/report.html?id=380087229a5a6182c5b1ccd78e1cd4ac6e0275f2b3623f78272c816fd07b2d71-1286807504

کد:

http://www.virustotal.com/file-scan/report.html?id=e6e50960474f6815fb6fb8cb4fe05695c89d18c3091e179f4e97f10332588568-1286807712

کد:

http://www.virustotal.com/file-scan/report.html?id=8ed1737e661c2cd6f0a8faff36707496f789dbd59c15a90bc7485ea76b03e3f9-1286807793

کد:

http://www.virustotal.com/file-scan/report.html?id=5ee4ab467cfecb1d5ec4c89dff745e66a99e6babbaf847b57694184cb2e4f3ad-1286807930

کد:

http://www.virustotal.com/file-scan/report.html?id=05f2bc74307b54d9a1c3dca4d9a1c4f634aac3124df28e5250a663861e2d8e0e-1286807982

کد:

http://www.virustotal.com/file-scan/report.html?id=6a5f3adbe8061deee3850ca63371b51a802da2e3fea346ec41e00628e5353687-1286808067

دانلود:

کد:

http://www.4shared.com/file/quE0kL9m/6_New_Malware_Mehran.html

پسورد: 123

ویرایش:
آنالیز فایل us.exe در CIMA /// :18: عچب خرابکاریهایی میکنه این جونور :18:

کد:

http://camas.comodo.com/cgi-bin/submit?file=6a5f3adbe8061deee3850ca63371b51a802da2e3fea346ec41e00628e5353687

آنالیز us.exe در Sunbelt CWSandbox

کد:

http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12067221&cs=BD97F071EA5B15120B81D7D4FA6E549F
11-10-2010, 18:50
M E H R A N

اخطار

فایل US.exe را آنتی ویروسهایی که قادر به تشخیصش نیستند را به هیچ وجه اجرا نکنید.

این فایل بعد از اجرا شدن کدهای آلوده ای رو به برنامه ها و فایل های سیستمی تزریق میکنه و اونها رو خراب میکنه. مهمتر از همه اینکه بعد از آلوده کردن سیستم خودش رو از روی سیستم شما پاک میکنه.

خرابکاریهاش زیاده اما همینا رو گفتم که آمار دستتون باشه.

موفق باشید
11-10-2010, 19:22
santamove

نقل قول:

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اخطار

فایل US.exe را آنتی ویروسهایی که قادر به تشخیصش نیستند را به هیچ وجه اجرا نکنید.

این فایل بعد از اجرا شدن کدهای آلوده ای رو به برنامه ها و فایل های سیستمی تزریق میکنه و اونها رو خراب میکنه. مهمتر از همه اینکه بعد از آلوده کردن سیستم خودش رو از روی سیستم شما پاک میکنه.

خرابکاریهاش زیاده اما همینا رو گفتم که آمار دستتون باشه.

موفق باشید

یعنی کومودو هم از پسش بر نمیاد؟؟؟
11-10-2010, 19:32
M E H R A N

نقل قول:

نوشته شده توسط santamove [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یعنی کومودو هم از پسش بر نمیاد؟؟؟

اختیار داری :46:
کمود بعد از اجرا کردنش مثل همۀ ویروسها و تروجانهای ناشناخته باهاش برخورد میکنه و اونو در سند باکس قرار میده و جلوی تزریق کردن کدهای آلوده, تغییرات در رجیستری, کپی کردن فایل ها به پوشۀ سیستم 32 و و و ... رو میگیره. اما به دلایلی که قبلا گفته شده ممکنه بعد از اجرا کردنش 3 فایل به پوشه های زیر کپی بشند...

کد:

C:\Documents and Settings\User\Application Data\Wyafm\ypla.exe C:\Documents and Settings\User\Application Data\Ygpe\leebc.bov C:\Documents and Settings\User\Application Data\Ygpe\leebc.tmp

در بین این فایل ها هم ypla.exe اگر اجرا بشه که میشه باز هم داخل سند باکس اجرا خواهد شد نه بیرون سند باکس.
اگر خواستید اجرا بکنید به مسیر های گفته شده برید و اگر همچین فایل هایی وجود داشت اونها رو دستی پاک بکنید.

دلیل اینکه این فایل ها رو باید دستی پاک بکنی اینه که فعلا هیچ آنتی ویروسی در دنیا اینها رو نمیشناسه و اسکن کردن سیستم توسط هر آنتی ویروسی بی نتیجه خواهد بود. :46:
11-10-2010, 19:51
mehdi_08

سلام
یه سوال داشتم موقعی که یه فایلی رو در CIMA انالیز می کنم بر چه معیار هایی می شه تشخیص داد که یه فایل ویروسه مثلا لینک زیر

کد:

http://camas.comodo.com/cgi-bin/submit?file=f5980ec7d4e71e7c2fc06206b68f2ec74040fa3bf304a0e6eb678d8bfc23636e

چون یه خرمن از این جور فایلا دارم می خوام ببینم کدوم ویروسه
11-10-2010, 20:19
ALI16437

مهران جان یک سوال واسم پیش اومد
وقتی حتی یک انتی ویروس نمیتونه اونو شناسایی کنه
چطور میشه گفت ویروسه و چه معیاری داره که به عنوان
ویروس شناخته میشه
من خودم هرچی مشکوکم تو ویروس توتال اپلود میکنم
اگر نتیجه 0/43 بود دیگه با خیال راحت ازش استفاده میکنم.
پس ویروس توتال پرت دیگه.

مسیر این جک جونورهای که باید دستی پاک کنیم در SEVEN هم می شه بگی
بعد از اجرا کردنش سه فایل به سندبکس اضافه شد که یکیش همون فایل us بود
دو تای دیگه defo exe , tmp...bat یکیش هم تو رم فعال بود که بستم .
11-10-2010, 20:37
M E H R A N

نقل قول:

نوشته شده توسط mehdi_08 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
یه سوال داشتم موقعی که یه فایلی رو در CIMA انالیز می کنم بر چه معیار هایی می شه تشخیص داد که یه فایل ویروسه مثلا لینک زیر

کد:

http://camas.comodo.com/cgi-bin/submit?file=f5980ec7d4e71e7c2fc06206b68f2ec74040fa3bf304a0e6eb678d8bfc23636e

چون یه خرمن از این جور فایلا دارم می خوام ببینم کدوم ویروسه

نقل قول:

نوشته شده توسط ALI16437 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مهران جان یک سوال واسم پیش اومد
وقتی حتی یک انتی ویروس نمیتونه اونو شناسایی کنه
چطور میشه گفت ویروسه و چه معیاری داره که به عنوان
ویروس شناخته میشه
من خودم هرچی مشکوکم تو ویروس توتال اپلود میکنم
اگر نتیجه 0/43 بود دیگه با خیال راحت ازش استفاده میکنم.
پس ویروس توتال پرت دیگه.

این 2 سوال تقریبا یکین.
VirusTotal از انجین آنتی ویروسها جهت اسکن استفاده نمیکنه و این مطلب در خود VT هم توضیح داده شده. VirusTotal از دیتابیس آنتی ویروسها استفاده میکنه. بطور مثال BheaviorBlocker در کمودو و یا کسپرسکی و همچنین Sonar در نورتن نقشی در VT ندارند. در بعضی از آنتی ویروسها هم تا زمانی که فایل اجرا نشه هوش مصنوعی نمیتونه اونو تشخیص بده پس در VT فایلی اجرا نمیشه که حتی این نوع آنتی ویروسها بتونند از هوش مصنوعی خودشون استفاده کنند.

اما برای تشخیص در CIMA: تشخیص و آنلایز در CIMA بستگی به اطلاعات خودتون داره و کسی نمیتونه بگه اون فایل آلوده است یا نه. این اطلاعات رو خودتون باید نسبت به فایلی که آپلود کردید بدست بیارید. مثلا همۀ ما میدونیم که یک کیجن کارش فقط درست کردن سریال است و بس اما اگر این کیجن بعد از اجرا شدن تغییراتی رو در رجیستری بده, فایل هایی رو در پوشه های مختلف درست کنه و یا کدهایی رو به پروسه های فعال تزریق کنه چی فکر میکنید؟ مشکوک نمیشید که یک کیجن چرا باید اینکار رو بکنه؟ با کمی فکر کردن در مورد این موضوع به راحتی آلوده بودن اون رو تشخیص میدید و چیز زیاد پیچیده ای نیست.

یک مثال دیگه اینکه مثلا مهمدی جان شما همین گزارشی رو که از CIMA قرار دادی و یا همونی که من از فایل us.exe قرار دادم رو دقیق نگاه کن و بخون ببین چه فایل هایی دستکاری میشه و کدام کلید های رجیستری اضافه و یا پاک میشند.

در گزارشی که شما قرار دادی 2 فایل در مسیر های زیر درست میشه...
C:\Program Files\Internet Explorer\rasadhlp.dll
C:\Program Files\Outlook Express\rasadhlp.dll

آیا فکر نمکنی که این 2 فایل چرا باید در داخل پوشۀ Internet Explorer و Outlook درست بشه؟ آیا غیر از اینه که میتونه یک مخرب همچین کاری بکنه نه مایکروسافت؟ :46:

راحت ترین کار برای شناسایی مخرب ها اینه که شما اونها رو به شرکت های آنتی ویروس بفرستید تا اونجا متخصصین تصمیم بگیرند که فایل های فرستاده شده آلوده هستند یا خیر. اگر بخواهید خودتون تشخیص بدید اونوقت این اطلاعاتی رو که گفتم باید داشته باشید وگرنه نتیجه گیریتون درست از آب در نمیاد.

در ضمن فایلی که گزارش رو قرار دادی آلوده است. :10:

---------- Post added at 07:07 PM ---------- Previous post was at 07:05 PM ----------

نقل قول:

نوشته شده توسط ALI16437 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مسیر این جک جونورهای که باید دستی پاک کنیم در SEVEN هم می شه بگی
بعد از اجرا کردنش سه فایل به سندبکس اضافه شد که یکیش همون فایل us بود
دو تای دیگه defo exe , tmp...bat یکیش هم تو رم فعال بود که بستم .

هر چیزی که در سند باکس اجرا بشه داخل رم قرار میگیره. اما در رم قرار گرفتن دلیل بر اجرا شدن بیرون سند باکس نیست. :46: