جوابیه کسپرسکی در مورد مخرب پست 2094
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Printable View
جوابیه کسپرسکی در مورد مخرب پست 2094
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
منم فرستادم کسپر:دی دقیقا مثله شما متنم رو نوشتمنقل قول:
مختصر و مفید
fake av
:دی
نشات گرفته از انگلیسی بسیار خوبه هردومونه:دی
:11:
سلام
اگر از دیتا بیس شناخته باشه که یعنی یکی مثله من براش فرستادهنقل قول:
اگه نود با دیتا بیس شناخت خسته نباشه
من اجراش کردم کسپر پیغام داد که میخواد از رجیستری یک سری چیز رو حذف کنه من هم ترمینیت رو زدم و کلا برنامه رو پاک کرد (منظور از برنامه فایل مخرب هست)
ولی از رویه هوش مصنوعی شناخته یعنی هوش بسیار قوی داره
اینم عکس: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
sslo.exe یک تروجان یا یک فیک آنتی ویروس هست. فکر میکنم COMODO به اشتباه safe ثبت کرده.نقل قول:
ویروس توتالش:
مختصری از کاری که میکنه اینه:کد:http://www.virustotal.com/file-scan/report.html?id=6ddc9a4639e4ef61b553da6cf9520a14dc90780d2f4de95f6f3ebe9fa68521fc-1297071322
اینا رو اجرا میکنه:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\smss.exeو.....این ریجیستری رو ایجاد میکنه:
Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\_CHAR(0x03)_
این رو باز میکنه:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\SecurityService
==============
نتورک اکتیویش جالبه
به این هاست ها متصل میشه:
dempsre.in
webabado.in
plaveo.in
این هاست ها هم از این عکس مشخصه چی کار میکنند:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
===========
در مورد فایل macroluncher.exe اگر آنالیز آویرا ثبت کرد در حال آنالیز بعد جواب چند ساعت بعد ارسال شد بله احتمالا مشکلی نداره. اما اگه موقع ارسال به سرعت نوشت clean خیر اشتباهه. گاهی اوقات آویرا این اشتباه رو میکنه دلیلش چیه نمیدونم.
توتال:
مثلا اینجا کسپرسکی با این نام شناسایی کرده Backdoor.Win32.Poison.cfhv و در حالی که آنتی ویروس های دیگه با این نام شناسایی شده Backdoor/Win32.Poison.gen و Backdoor.Win32.Poison!IK و W32/Poison.CACX!tr.bdr و Backdoor.Win32.Poison و Backdoor.Poison.cacxکد:http://www.virustotal.com/file-scan/report.html?id=d377fef852479bafc80b506a0c98afe20c5bfbefe134dab83af6547180c0b10b-1297071624
این نشون میده که این شناسایی ها false positive نیست و آویرا بدون آنالیز clean شناسایی کرده.
ولی وقتی من اجراش کردم،کومودوفایروالش این آلارم رو داد،نقل قول:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
چند بارم تست کردم،ولی یکبارم کومودو نگفت safe هست....
کلا" مخرب جالب و پیچیده ای هست....
دکتر جان میشه بگی فایروال کسپر چه نوع پورت و پروتکلی رو برا ارتباط این مخرب با اینترنت مشخص کرده؟
من با سانبلت بازش کردم این dllنقل قول:
C:\WINDOWS\system32\urlmon.dll
فعالیت میکنه
- Transport Protocol: TCP
- Remote Address: 69.10.39.18
- Remote Port: 80
- Protocol: HTTP
- Connection Established: 1
- Socket: 1468
- Socket: 1480
- Remote Address: 91.217.153.56
- Remote port: 80
- Successful: 1
تمام ارتباطش پورت 80 بود و تمام آدرسش هاش اینا هستند:
202.248.110.243
220.181.100.33
69.10.39.18
91.217.153.56
91.222.65.31
69.10.39.18
91.217.153.56
91.222.65.31
و اون آدرسی که شما گذاشتید نیست.
دکتر جان من بازم تست کردم در حالات مختلف،نقل قول:
ولی بازم از طریق پورت 53 و پروتکل udp کانکت میشه....
نظرتون چی هست؟
I dont knowنقل قول:
: )
یادم رفت بگم. sslo.exe اصلیت چینی داره : )
این هم یکی از هاست هاشه که متصل میشه و این رو ثابت میکنه : دی
محتوای مخفی: !
دکتر جان،یک اسکرین شات از دسکتاپم می زارم...
می بینی که در دو بازه زمانی مختلف هر دو بار دقیقا" از طریق پروتکل udp و پورت 53 می خواسته کانکت شه....
کلا این رفتارش شبیه اس.تاک.س.net هست!!!
بهش مشکوکم!!!