سلام محسن جاننقل قول:
من از انتی ویروسش استفاده میکنم 2010
بعد از 2 الی 3 دقیقه شناختش
ولی چرا حتما باید اجرا بشن تا نورتون بشناسه؟
Printable View
سلام محسن جاننقل قول:
من از انتی ویروسش استفاده میکنم 2010
بعد از 2 الی 3 دقیقه شناختش
ولی چرا حتما باید اجرا بشن تا نورتون بشناسه؟
سلامنقل قول:
این یعنی اینکه این مخرب در دیتا بیس نورتون به ثبت نرسیده و آنتی ویروس شما اونو بوسیله ی گزینه ی رفتار شناسی
( Behavior Blocker یا Behavior Monitoring ) شناسایی کرده ، اگه در این مورد هم توضیحات خواستید یه سر به تاپیک
امضای من بزنید ، این اصطلاحات در اونجا توضیح داده شدن .
عشق ، هم آمدنی است و هم آموختنی .
نه كسپر فقط همون پاسخ خودكار رو براي من ارسال كرد من ديشب كه ويروس پست 111 رو براش ارسال كردم امروز صبح كه كسپر رو آپ كردم اون رو شناختنقل قول:
3نقل قول:
. خب این هم از پیامد های ویروسی شدنه دیگه. شما میتونی برای تست آنتی ویروس ها و ویروس باز کردن و اجرا کردن از سیستم های ویرچوال ( مجازی) استفاده کنی تا خیالت از نظر آلوده شدن سیستم خودت 99% راخت باشه ( شاید 1% از طریق آلودگی از راه شبکه مجازی سیستم خودت هم آلوده بشه )
سلام
ممنون از راهنمایی تون علیرضا جان
دوستان من میخوام برای اجرای این مخربها از نرم افزار دیپ فریز و یا مجازی سازها استفاده کنم و حالا مثل همیشه سئوال دارم
1 - کدوم بهتره و چرا .؟ 2 - آیا در اون شرایط آنتی ویروس به خوبی محک میخوره ؟
عشق ، هم آمدنی است و هم آموختنی .
اقا NOD 32 V 4 تمام ویروس ها را پاک کرد...
حتی 12 JUNE را.....
trustport شناسایی کرد
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]کد:http://www.av-comparatives.org/images/stories/test/ondret/avc_report26.pdf
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:
اینم عکس:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
محسن جان کم بود شما هم اجرا کردید : دینقل قول:
لطفا اجرا نکنید ! ریسک بالاست. حتی اگرم بعد از 2 دقیقه پاکش کرد مشخص نمیشه تونسته تمام مسیر اجرا شده Exe اولی رو بسته باشه یا نه. درون هر exe کلی دستور وجود داره مشخص نمیشه اون ها اجرا شدن یا نه !
این تاپیک رو ببینید من توی هر صفحه حداقل یک بار گفتم Exe ویروس رو باز نکنید.
نقل قول:
شما دیر تستون رو انجام دادید این طبیعی هست. این ویروس احتمالا توسط یکی از دوستان به نود32 ارسال شده یا شانسی توی 24 ساعت وارد دیتا بیس نود32 شده. (شوخی) یا خود نود32 اومده این تاپیک دانلود کرده :دی. اما این ویروس و تروجان ها توی سایتی یا فرومی چه ایرانی و چه خارجی وجود نداره و حتی همون 12 ژوئنی که گذاشته بودم تاریخ پست من بود. نه تاریخ ساخته شدن اون. به عبارتی تاریخ که من میزنم تاریخ پیدا کردن مخرب توسط من هست. مثلا تروجان پست دوم همین تاپیک رو توی فلش مموری پیدا کرده بودم و بعد از آنالیز دیدم 2 سال پیش این تروجان توسط آویرا وارد دیتا بیس شده بود. حالا بعد از 2 سال دیدید که دیگه تمام آنتی ویروس ها اون رو شناسایی کردند. مهم اینه که آنتی ویروس اون رو خودش وارد دیتا بیس کنه نه ارسال بشه و بعد... : دی
نود32 روزانه نقریبا 50 تا 100 ویروس رو وارد دیتا بیسش می کنه.
نقل قول:
امیر جان کار با sandbox کسپر و کومودو خیلی راحت هست. اما این برنامه میتونه کمکت کنه. من باهاش زیاد کار نکردم اما قبلش با نرم افزار های دیگه تست بگیر و کار باهاش رو کاملا یاد بگیر بعد تست کن.
فقط این نکته هست که توی محیط sandbox هم اون فایل ها باقی می مونه و حتما قبلش تنظیم کنی که هرچی توی sandbox اجرا شد بعد از بسته شدن پاک بشه.
با این برنامه کار نکردم و توی تنظیماتش نمی تونم کمکت کنم.
کد:http://www.tebyan.net/index.aspx?pid=18390&softwareID=3713&softwareKeyword=Sandboxie
حالا این رو مد نظر داشته باش تا ببینیم دوستان دیگه چه برنامه ای رو معرفی می کنند.
پس یعنی این 12 june هم قدیمی بود...؟نقل قول:
پس چرا با انتی ویروس تستش میکنید احتمالا همه ویروس ها را میشناسن دیگه...
حالا میگم این تروجا ن ها جدید اومدن توی نت یا نه همه اینطوری قدیمی اند؟؟؟
توی هر پستی که گذاشتم یک لینک هست برای اسکن.نقل قول:
اون لینک هارو ببینی نشون میده در اون تاریخ چه آنتی ویروس هایی شناسایی می کردند. دقت کنی میبینی که مثلا نود32 تعدادی رو شناسایی نمیکرده. این لینک ثابت هستش. کاره ویروس توتال اینه که فایل مشکوکی رو که می فرستید با تمام انتی ویروس ها اون هم اپدیت اسکن میکنه ویه لینک گزارش میده که توی هر پست لینک گزارش موجود هست.کد:http://www.virustotal.com/
یه ویروس برای یه انتی ویروس جدید هست و برای یکی دیگه قدیمی. اما تاریخ دقیق ساخته شدنش رو نمیتونم بگم.
حالا اون ویروسی که گفتی نود32 شناسایی کرده رو توی همین سایت اپلود کنی میبینی که شناسایی شده.
دوستان این ویروسا رو به هیج وجه اجرا نکنید
فکر کنم نارنجکه ترکید ، شهید شدم
نمیدون این چه ویروسیه گرفتم ،
اینترنت اکسپرورر منهدم کرده ،به محض باز کردن بسته میشه
البته فعلا اینو فهمیدم دیگه کجاها خرابکاری شده هنوز معلوم نیست
فعلا بار اهنمایی های دکتر دارم میرم به جنگش تا ببینیم چی میشه
برام دعا کنید
نقل قول:
اجرای ویروسها توی ویندوز اشتباهه.حداقل از برنامه هایی نظیر Deep Freeze استفاده کنید تا بعد از Restart شدن همه چیز به حالت عادی برگرده.
به این ترتیب میتونید ویروسها رو با خیال آسوده آزمایش کنید.
در حالت پیشرفته تر میتنید از یک ویندوز قربانی استفاده کنید.
مخرب به تاریخ 14 ژوئن 2010
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
eeby.exe
این مخرب هم به احتمال زیاد یک تروجان و یا به احتمال کمتر یک ویروس هست.
فقط آنتی ویرس های معروفی مثل کسپرسکی آواست نورتون این ویروس رو شناسایی نمیکنند.
مثل همیشه بازم می گم فایل exe باز نشه و فقط از روی دستوری که همیشه در انتها میدم اسکن انجام بشه.
دانلود:
کد:http://www.4shared.com/file/wLT-5PYz/dr_eeby.html
پسورد فایل: drhaniball
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
فایل رو دانلود کنید Rar اولیه با پسورد هست آن را extract کنید بعد از خارج کردن برای تست اسکن کنید بعد از تست تمام فایل هارو پاک کنید..( تروجان اصلی در rar لایه بعدی است که تا زمانی آن را خارج نکنید هیچ خطری وجود نخواهد داشت )
دوست عزیز من دانلودش کردم و کسپر 2011 من نشناخت
مرسی
آویرا آپدیت رو ارسال کرده. نورتون نمی شناسه.
توتال خراب شده شانس ما !
این پست اخری 135 را نود نذاشت دانلود کنم.ویروس شناختش.
مگه پسورد نداشت؟؟؟
عجب..
راستی همون ویروسی که EXE هستش اگر روی فایل EXE کلیک کنم ویروس اجرا میشه یا نه همین که فایل EXE را استخراج کنم یعنی ویروس اجرا شده؟؟؟
نقل قول:
پست رو اصلاح میکنم. نه تا زمانی که روی خود Exe دبل کلیک نشه یا open نشه هیچ خطری نیست اما برای اطمینا باز من داخل یک rar جداگانه گذاشتم شما فقط اسکن کنید پوشه باز شده اولی رو.
می تونید برای کسپر ارسال کنید.نقل قول:
مخرب به تاریخ 14 ژوئن 2010
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دومین مخرب 14 ژوئن:
توتال خراب بود نتونستم مخرب جدید بذارم قبلی قدیمی شد : دی .حالا مجبور شدم دومین مخرب رو هم توی یک روز بذارم.
akjo.exe
خب دومین مخرب امروز عکس قبلی خیلی جدید شد !
آنتی ویروس های معروفی که شناسایی می کنند:
Avira
آنتی ویروس های معروفی که این مخرب رو در این تاریخ شناسایی نمی کنند:
Avast
AVG
BitDefender
Comodo
eSafe
DrWeb
GData
Kaspersky
McAfee
Microsoft
NOD32
Norman
Panda
PCTools
Prevx
Sophos
Symantec
توتال:
دانلود:کد:http://www.virustotal.com/analisis/871484a14675c496e6173b19f730bf05f9ec7ace31e2f3fe706e3459bdc74a69-1276531283
پسورد فایل: drhaniballکد:http://www.4shared.com/file/B9fgBJuY/dr_win_32_virus_jadid.html
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
فایل رو دانلود کنید Rar اولیه با پسورد هست آن را extract کنید بعد از خارج کردن برای تست اسکن کنید بعد از تست تمام فایل هارو پاک کنید..( تروجان اصلی در rar لایه بعدی است که تا زمانی آن را خارج نکنید هیچ خطری وجود نخواهد داشت )
با سلام.
ویروس eeby.exe بعد از اجرا شناسایی شد.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ویروس akjo.exe هم به همین ترتیب شناسایی و حذف شد.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
چی جوری باید ارسالش کنم یادم بدید همیشه که نشناخت میفرستم
---------- Post added at 09:01 PM ---------- Previous post was at 08:57 PM ----------
کسپر من موقع دانلود یه جورایی فایل مشکوک شناخت و موقع اسکن دو تا ویرووس ازش شناخت دمش گرم:31:
---------- Post added at 09:01 PM ---------- Previous post was at 09:01 PM ----------
منظورم دومیه هست
براي كسپر ارسال شدنقل قول:
اینو که فرستادی من قبلن اسکن کردم شناخت؟ اون فایل اولی رو نشناخت
سلامنقل قول:
بت من جان خیلی ممنون که تست کردی و نظر دادی. اولی که عالی بود اما دومی همونطور که اسم اصلی ویروس هست akjo اما دیتکت برای Drhxdasx بوده. درون هر exe چندین exe دیگه وجود داره. به نظر میرسه نورتون اصل مخرب رو حذف نکرده و یکی از کد های اجرایی رو ریمو کرده. احتمالا بقیه Exe ها نصب شده. حالا این مخرب با این نقص بتونه فعالیت کنه نمیدونم چی میشه. راستی این DR اولش برای من نیست : دی احتمالا سازنده این مخرب جدی دکتر بوده : )
سلام.نقل قول:
خوب شد اشاره کردید. من یادم رفت در موردش توضیح بدم.
راستش این فایل تو پوشه Temp ایجاد شد و حذف شد.(Drhxdasx)
فایل akjo رو هم حذف کرد و من خودم دیدم که از این فایل که Extract شده بود خبری نیست.
اما تو بخش گزارش اسمی از این فایل نیاورده بود.
ممکنه خود akjo فقط Drhxdasx رو تو خودش داشته و نقش کلیدی به عهده این فایل بوده.
اما هر دو کاملا حذف شدن.
نقل قول:
توی قرنیطینه نورتون akjo نباشه نمیشه گفت فقط Drhxdasx بوده. اگه تونسته باشه حذف کنه حتما توی قرنیطینه میبره اگه هست که هیچی.
شما معمولی اجرا کردید یا sandbox یا چیزی داشتید.
تشکر
سلام
پست 135 رو هم جی دیتا و هم آویرا شناسایی کردند .
پست 141 رو فقط آویرا شناسایی کرد .
عشق ، هم آمدنی است و هم آموختنی .
اين هم همون فايل اول هست كه كسپر نشناختنقل قول:
اگه منظورتون این بود که پست دوم همین تاپیک خیر اون حجمش 3 مگ هست.نقل قول:
اگه منظورتون ویروس قبلی بود. حجم ها تقریبل یکسان هستند اما اکثر ویروس و تروجان ها حجمی معادل با 50 تا 200 کیلو بایت دارند.
که اینجا تمام تلاش کردم که تکراری نشه و تاحالا نشده مهمتر از همه تفاوت این دوتا رو باید توی توتال ببینید که جای بحثی نمی ذاره نه از حجم های اونها.
پست آخر :File akjo.rar received on 2010.06.14 16:01:23 (UTC)
پست قبلی اون زمان که توتال خراب بود:File eeby.rar received on 2010.06.14 1555 (UTC)کد:http://www.virustotal.com/analisis/871484a14675c496e6173b19f730bf05f9ec7ace31e2f3fe706e3459bdc74a69-1276531283
یک بار نشد توی توتال اپلود بشه اما صحبت دوستان دیگه هم خودش سند بود و تفاوت رو نشون می داد.کد:http://www.virustotal.com/analisis/400e1f779bfe6207a819ff54b87c949746fb8bdcef21a7ab343068bf8c6a9e21-1276530295
نقل قول:
سلام
پست 135 رو هم جی دیتا و هم آویرا شناسایی کردند .
پست 141 رو فقط آویرا شناسایی کرد .
متاسفانه کسپر 2011 با آپدیت آخر eeby.exe را نشناخت
دوستان ESET Smart Security 4.2.40 مثله اسب هر دو ویروس eeby.exe و akjo.exe رو شناخت و حذف کرد.
راستی drhaniball جان ، من چطور میتونم عکس بیارم توی پیامم. هر کاری میکنم نمیتونم عکس نرم ازفراهایی که توی ویندوز ازشون عکس گرفنم رو بزارم اینجا برای بچه ها برای اثبات اون چیزی رو که میگم.
ممنون
بعد از اجرا، فایل akjo رو حذف میکنه اما گزارش نمیده!نقل قول:
حتی این فایل رو از داخل یک پوشه Exclude شده هم حذف کرد!
من از Deep Freeze استفاده کردم.
نقل قول:
باز هم تشکر ، معمولا مخرب ها بعد از اجرا خودشون رو پنهان می کنند. احتمالا بازم نورتون نتونسته حذف کنه و گرنه مخرب حذف نشده بلکه مخفی شده.(البته اگر توی قرنطینه نرفت و گزارشی نیومد این جملم می تونه درست باشه)
عکس برای اثبات لازم نیست.توتال آپلود کنید. این ویروس ها رو احتمالا دوستان هم برای کسپر و هم برای نود32 ارسال کردند. وگرنه دیروز شناسایی نمیشد:نقل قول:
لینک دیروز:
لینک امروز:کد:http://www.virustotal.com/analisis/871484a14675c496e6173b19f730bf05f9ec7ace31e2f3fe706e3459bdc74a69-1276531283
می بینید که کسپر و نود32 دیروز شناسایی نمی کردند اما امروز اپدیت رو ارسال کردند. اون دوستانی که ارسال کردند ، مارو هم در ثوابش شریک کنند : دی. یکی از هدف های این تاپیک توی پست اول هم گفتم ارسال ویروس ها و تروجان های جدید برای آنتی ویروس مورد علاقه شماست.کد:http://www.virustotal.com/analisis/871484a14675c496e6173b19f730bf05f9ec7ace31e2f3fe706e3459bdc74a69-1276583150
فعلا که فقط کاربران نود32 و کسپر ارسال کردند اکثر آنتی ویروس های معروف هنوز از این توفیق بهره مند نشدند :-) .
دوست عزیز برای کسپر چه جوری باید ارسال کرد؟
پست 141 را آویرا شناسایی کرد در ضمن تو مشخصات ویروس نوشته مال سال 2007 [DETECTION] Is the TR/Dropper.Gen Trojan
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در مورد تاریخ:نقل قول:
کد:http://forum.p30world.com/showpost.php?p=5059435&postcount=129
سلامنقل قول:
راستی drhaniball جان ، من چطور میتونم عکس بیارم توی پیامم. هر کاری میکنم نمیتونم عکس نرم ازفراهایی که توی ویندوز ازشون عکس گرفنم رو بزارم اینجا برای بچه ها برای اثبات اون چیزی رو که میگم.
ممنون
شما عکستون رو در سایتهای آپلود عکس آپلود کنید که بعد اون سایت به شما یه آدرس میده ، اون آدرس رو سیو کنید و هر وقت که
بخواهید عکستون رو وارد کنید گزینه وارد کردن عکس رو در بالای صفحه بزنید و اون موقع از شما آدرس میخواد که بعدش شما باید اون
آدرس سیو شده رو بهش بدین .
عشق ، هم آمدنی است و هم آموختنی .