دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

Printable View

31-10-2010, 16:15
M E H R A N

2 نمونۀ بسیار خطرناک و سخت جون
TidServ TDL4 & SafeSys Worm

این نمونه ها رو من برای افراد حرفه ای میزارم که میخوان ویروسها و روتکیت ها رو بررسی و آنلایز کنند.

نمونۀ اول کرم Safesys است. این کرم تونسته بود تمام سیستم هایی که توسط Deep Freeze و نرم افزار های مشابه مانند Rollback فریز شده اند و یا بک آپ گرفته شده اند رو دور بزنه و آلوده کنه. البته با اینکه این کرم از نوع چینی بوده اما فکر کنم به دلیل صادراتی بودن اون درجه یکش رو دادن بیرون. :31:

توضیحات بیشتر...

کد:

http://news.softpedia.com/news/New-Chinese-Worm-Bypasses-System-Rollback-Software-113677.shtml

نمونۀ دوم روتکیت TDL از نوع 4 است. یعنی TDL4 . قبلا روتکیت TDL3 فقط هستۀ درایوهای سیستم عامل 32 بیتی را هدف قرار میداد اما نوع جدید آن یعنی TDL4 به سیستم عامل های 64 بیتی حمله میکنه و تا زمانی هم که سیستم ریستارت نشده و یا خاموش نشده سیستم رو آلوده نمیکنه. :21:

درست خوندید ایک روتکیت Master Boot Record رو مورد حمله قرار میده و این کار رو هم فقط موقع ریستارت و یا خاموش شدن سیستم میتونه انجام بده. اما نکتۀ بسیار بسیار بسیار.... جالب و حتی خطرناکتر آن این است که این روتکیت در سکتورهای انتهایی هارد میشینه و جایی هم که کپی شده را رمزگذاری میکنه تا قابل اسکن نباشه :27: یعنی توسط آنتی ویروسها نمیتونه اسکن بشه :18:

مشخصات دقیق ترش رو میتونید در لینک زیر که حتی از طریق کیجن Paint Shop Pro هم پخش شده را ببینید.

کد:

http://www.threatexpert.com/report.aspx?md5=052a13b3364a3029bef42235b7cb10ef

پس نکته این شد که اول MBR رو که اول هارد قرار داره آلوده میکنه و خودش هم در انتهای هارد میشینه. :46:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توضیحات بیشتر برای این روتکیت که با اسم Tidserv هم شناخته میشه را میتونید در لینک زیر بخونید.

کد:

http://www.symantec.com/connect/de/blogs/tidserv-64-bit-goes-hiding

تذکر: کاربران عادی لطفا با این 2 نمونه بازی نکنید :46:

نتیجۀ تست این دو نمونه رو بر روی برنامه هایی که اسمشون برده شده را در عکس زیر میتونید ببینید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دانلود: لینک های کمکی گذاشته شد.

کد:

http://up.--------.com/Files73/f72edeefd5f044f3a297.rar

کد:

http://rapidshare.com/files/428127202/TDL4_Safesys_Deepfreeze.rar

کد:

http://uploaded.to/file/gccici

کد:

http://www.4shared.com/file/DSt2TRq1/TDL4_Safesys_Deepfreeze.html

پسورد: 123
31-10-2010, 16:47
santamove

نقل قول:

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

2 نمونۀ بسیار خطرناک و سخت جون
TidServ TDL4 & SafeSys Worm

این نمونه ها رو من برای افراد حرفه ای میزارم که میخوان ویروسها و روتکیت ها رو بررسی و آنلایز کنند.

نمونۀ اول کرم Safesys است. این کرم تونسته بود تمام سیستم هایی که توسط Deep Freeze و نرم افزار های مشابه مانند Roolback فریز شده اند و یا بک آپ گرفته شده اند رو دور بزنه و آلوده کنه. البته با اینکه این کرم از نوع چینی بوده اما فکر کنم به دلیل صادراتی بودن اون درجه یکش رو دادن بیرون. :31:

توضیحات بیشتر...

کد:

http://news.softpedia.com/news/New-Chinese-Worm-Bypasses-System-Rollback-Software-113677.shtml

نمونۀ دوم روتکیت TDL از نوع 4 است. یعنی TDL4 . قبلا روتکیت TDL3 فقط هستۀ درایوهای سیستم عامل 32 بیتی را هدف قرار میداد اما نوع جدید آن یعنی TDL4 به سیستم عامل های 64 بیتی حمله میکنه و تا زمانی هم که سیستم ریستارت نشده و یا خاموش نشده سیستم رو آلوده نمیکنه. :21:

درست خوندید ایک روتکیت Master Boot Record رو مورد حمله قرار میده و این کار رو هم فقط موقع ریستارت و یا خاموش شدن سیستم میتونه انجام بده. اما نکتۀ بسیار بسیار بسیار.... جالب و حتی خطرناکتر آن این است که این روتکیت در سکتورهای انتهایی هارد میشینه و جایی هم که کپی شده را رمزگذاری میکنه تا قابل اسکن نباشه :27: یعنی توسط آنتی ویروسها نمیتونه اسکن بشه :18:

پس نکته این شد که اول MBR رو که اول هارد قرار داره آلوده میکنه و خودش هم در انتهای هارد میشینه. :46:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توضیحات بیشتر برای این روتکیت که با اسم Tidserv هم شناخته میشه را میتونید در لینک زیر بخونید.

کد:

http://www.symantec.com/connect/de/blogs/tidserv-64-bit-goes-hiding

تذکر: کاربران عادی لطفا با این 2 نمونه بازی نکنید :46:

دانلود:

کد:

http://www.4shared.com/file/DSt2TRq1/TDL4_Safesys_Deepfreeze.html

پسورد: 123

دانلود نمیشن،
آی دی ام وسط دانلود یهویی غیب میشه!!!
31-10-2010, 16:54
M E H R A N

نقل قول:

نوشته شده توسط santamove [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

دانلود نمیشن،
آی دی ام وسط دانلود یهویی غیب میشه!!!

4shared رو چک کردم مشکلی نداشت. احتمالا مشکل از طرف اینترنت خودتون هست. اما لینک های کمکی را هم به پست قبلی اضافه کردم. میتونید یکی اون لینک ها رو امتحان کنید. :46:
31-10-2010, 17:04
Karkas20

مهران جان سلام. با اجازه از اقا مهران وديگر كاربران اين تايپيك .از من به شما دوستان يك توصيه و نصيحت ميكنم .يك وقت جوگير نشيد واين دو را اجرا كنيد وخودتون را بدبخت كنيد وبعد كاسه چه كنم چه كنم دستتان بگيرد چون ديگه كاري ازدست خودتان بر مياد ونه از انتي ويروستان.با تشكر
31-10-2010, 17:14
M E H R A N

نقل قول:

نوشته شده توسط Karkas20 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مهران جان سلام. با اجازه از اقا مها وديگر كاربران اين تايپيك .از من به شما دوستان يك وقت توصيه وقت جوگير نشيد واين دو را اجرا كنيد وخودتون را بدبخت كنيد وبعد كاسه چه كنم چه كنم دستتان بگيرد چون ديگه كاري ازدست خودتان بر مياد ونه از انتي ويروستان.با تشكر

امیر جان با تایید حرفتون, این دو نمونه وقتی آنتی ویروس فعال باشه میتونند شناسایی کنند و در نتیجه پاکش کنند. در توضیحات هم اشاره کردم که این 2 نمونه بعد از فعال شدن و ریستارت شدن, سیستم را آلوده میکنند. اگر کسی بخواد نتیجۀ آلوده شدن با این 2 نمونه رو ببینه باید اول آنتی ویروس و نرم افزار امنیتی را غیر فعال کنه, بعد نمونه ها رو اجرا کنه و سیستم رو ریستارت کنه. بعدش آنتی ویروس را فعال کنه و اسکن کنه ببینه که آنتی ویروس میتونه اونها رو پیدا کنه :46:

این 2 نمونه فقط 2 نمونه از این کرم و روتکیت هستند در حالی که نمونه های جدیدتر آن هر روز دارند باز نویسی میشند و ممکنه آنتی ویروسها از وجودشون خبر نداشته باشند. پس غیر فعال کردن آنتی ویروس و اجرای نمونه ها فرقی با نمونۀ شناسایی نشده توسط دیتابیس و هوش مصنوعی رو نداره.

مثلا برای تست کسپرسکی اول باید File-Antivirus را غیر فعال کنید و بعد از اجرا کردن ببینید که آیا Application Control و یا Behavior Blocker میتونه جلوی خرابکاریهاشون رو بگیره. که البته نمونۀ اول یعنی SafeSys برای دور زدن آنتی ویروسها نوشته نشده بلکه برنامه های بک آپ گیری و یا برنامه هایی مانند Deep Freeze رو دور میزنه.
31-10-2010, 17:38
Karkas20

نقل قول:

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

امیر جان با تایید حرفتون, این دو نمونه وقتی آنتی ویروس فعال باشه میتونند شناسایی کنند و در نتیجه پاکش کنند. در توضیحات هم اشاره کردم که این 2 نمونه بعد از فعال شدن و ریستارت شدن, سیستم را آلوده میکنند. اگر کسی بخواد نتیجۀ آلوده شدن با این 2 نمونه رو ببینه باید اول آنتی ویروس و نرم افزار امنیتی را غیر فعال کنه, بعد نمونه ها رو اجرا کنه و سیستم رو ریستارت کنه. بعدش آنتی ویروس را فعال کنه و اسکن کنه ببینه که آنتی ویروس میتونه اونها رو پیدا کنه :46:

این 2 نمونه فقط 2 نمونه از این کرم و روتکیت هستند در حالی که نمونه های جدیدتر آن هر روز دارند باز نویسی میشند و ممکنه آنتی ویروسها از وجودشون خبر نداشته باشند. پس غیر فعال کردن آنتی ویروس و اجرای نمونه ها فرقی با نمونۀ شناسایی نشده توسط دیتابیس و هوش مصنوعی رو نداره.

مثلا برای تست کسپرسکی اول باید File-Antivirus را غیر فعال کنید و بعد از اجرا کردن ببینید که آیا Application Control و یا Behavior Blocker میتونه جلوی خرابکاریهاشون رو بگیره. که البته نمونۀ اول یعنی SafeSys برای دور زدن آنتی ویروسها نوشته نشده بلکه برنامه های بک آپ گیری و یا برنامه هایی مانند Deep Freeze رو دور میزنه.

حرف شما تاييد ميشود ولي من موقعي را گفتم كه كاربر بيا انتي ويروس را غير فعال كند و ديپ فريز هم غير فعال كند وبعد بيا دو نمونه را اجرا كند چون شما گفتيد نمونه اول حتي از ديپ فريز هم رد ميشود.اما تصميم با خود اقاي اجرا كننده اين دو مخرب خطر ناك ميباشد.با تشكر از مهران
31-10-2010, 18:09
01110362

نتیجه اسکن پست 1469 با kisc2011 v .556 :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
31-10-2010, 18:19
M.Hashemi

با سلام
اقا مهران در صورتی که comodo فعال باشه (به جز antivirus چون پاکشون میکنه) و تنظیمات را هم انجام داده باشم اجرای این ویروس ها که مشکلی ندارد (ایا در sandbox اجرا می شوند)؟
با تشکر
31-10-2010, 18:24
M E H R A N

نقل قول:

نوشته شده توسط Karkas20 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حرف شما تاييد ميشود ولي من موقعي را گفتم كه كاربر بيا انتي ويروس را غير فعال كند و ديپ فريز هم غير فعال كند وبعد بيا دو نمونه را اجرا كند چون شما گفتيد نمونه اول حتي از ديپ فريز هم رد ميشود.اما تصميم با خود اقاي اجرا كننده اين دو مخرب خطر ناك ميباشد.با تشكر از مهران

جهت تست کرم اول یعنی SafeSys دیپ فریز نباید غیر فعال بشه وگرنه اصلا نمیشه نتیجۀ تست را متوجه شد. این کرم برای درو زدن دیپ فریز نوشته شده و باید زمانی که دیپ فریز فعال است اجرا شود. در ضمن این کرم نمونۀ قدیمی آن است و الان نمونه های جدیدتری هم وجود دارند که حتی آخرین نسخۀ دیپ فریز و برنامه های مشابه مانند Rollback را دور میزنند.

اما در مورد نمونۀ دوم ... جهت تست این روتکیت یا بک دور باید گارد آنتی ویروس غیر فعال بشه نه تمام لایه های دفاعی آن. چون ما میخوایم متوجه بشیم که اگر نمونۀ جدیدی از طریق فلش مموری, اکسپلویت و یا روشهای دیگر در سیستم ما اجرا شد و آنتی ویروس نتونست اون رو از روی هوش مصنوعی و دیتابیس شناسایی کند آیا لایه های دفاعی دیگر آنتی ویروس قدرت محافظت کردن از سیستم را دارند یا نه.

تست Kaspersky Internet Security 2011 در مقابل روتکیت TDL3 و یا Mebroot یا TidServ از نوع TDL3
در فیلم زیر متوجه میشید که این روتکیت توسط دیتابیس آنتی ویروس کسپرسکی شناسایی میشه اما شخص تست کننده اومده و File -Antivirus را موقتا غیر فعال میکند و ویروس رو اجرا میکنه. بعد از اجرا کردن ویروس دوباره کسپرسکی را فعال میکنه تا نتیجه رو ببینه. :46:

کد:

http://www.youtube.com/watch?v=-wAjCT6L_tc

لینک دانلود با نرم افزار های دانلود منیجر:

کد:

http://v5.cache8.c.youtube.com/videoplayback?ip=0.0.0.0&sparams=id%2Cexpire%2Cip%2Cipbits%2Citag%2Calgorithm%2Cburst%2Cfactor%2Coc%3AU0dXTVVQVl9FSkNNN19NSlpJ&fexp=904528&algorithm=throttle-factor&itag=34&ipbits=0&burst=40&sver=3&expire=1288558800&key=yt1&signature=D2FF236A8D1075164146A4CA814E31118AEB6817.59C529CB49A7FCAE95EE115BA65AE8232E304AE4&factor=1.25&id=fb0023093e8bfed7&redirect_counter=1

خب این ویروس همانطور که قبلا توضیح دادم بعد از اجرا شدن سیستم رو آلوده نمیکنه و کسپرسکی هم صدایی ازش در نمیاد. پس شخص تست کننده سیستم رو ریستارت میکنه تا این روتکیت بتونه قشنگ MBR رو آلوده کنه. :46:

بعد از ریستارت شدن سیستم, سیستم توسط کسپرسکی اسکن میشه اما نتیجه اینکه آلودگی پیدا نمیشه :31: و سیستم توسط کسپرسکی پاک اعلام میشه.

بقیه اش رو هم خودتون میتونید ببینید...

کسانی هم که youtube براشون بسته شده میتونند فیلم رو از طریق یکی از لینک های زیر دانلود کنند.

کد:

http://www.4shared.com/file/EZlhrXuo/Kaspersky_KIS_2011_VS_rootkit_.html

کد:

http://rapidshare.com/files/428141633/Kaspersky_KIS_2011_VS_rootkit_Mebroot.rar

و این هم تست KIS 2011 در مقابل نمونۀ جدیدتری از TDL3 .

در این تست کسپرسکی کاملا فعلا است اما نمونۀ جدید در دیتابیس کسپرسکی ثبت نشده. بنابراین موقع اجرا شدن هم نمیتونه اون رو تشخیص بده .

یکی از لینک های زیر را برای دانلود انتخاب کنید.

کد:

http://www.4shared.com/file/1wESDfEr/Kaspersky_2011__KIS__vs_Rootki.html

کد:

http://rapidshare.com/files/428143150/Kaspersky_2011__KIS__vs_Rootkit_Olmarik_tdl3.rar
31-10-2010, 18:41
M E H R A N

نقل قول:

نوشته شده توسط 01110362 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نتیجه اسکن پست 1469 با kisc2011 v .556 :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

دوست عزیز من میگم 26 نمونه گذاشتم اونوقت شما 29 تا آلودگی پیدا کردی؟ :31:

شما باید لایۀ دوم RAR شده را Extract بکنی. هر تعدادی که بعدا باقی موند یعنی تشخیص نداده. :46:

---------- Post added at 04:11 PM ---------- Previous post was at 04:09 PM ----------

نقل قول:

نوشته شده توسط M.Hashemi [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

با سلام
اقا مهران در صورتی که comodo فعال باشه (به جز antivirus چون پاکشون میکنه) و تنظیمات را هم انجام داده باشم اجرای این ویروس ها که مشکلی ندارد (ایا در sandbox اجرا می شوند)؟
با تشکر

خیر از سند باکس کمودو رد نمیشه چون این کرم باید در هستۀ ویندوز که در پوشۀ System32 قرار داره بشینه و این پوشه هم توسط کمودو محافظت شده. :20:

ریسک اجرای هر ویرسی هم بر عهدۀ خودتونه... من هیچ تظیمینی را به هیچ کس نمیکنم.

موفق باشید.