دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[Karkas20]

جوابیه کسپرسکی در مورد مخرب پست 2094

[wordship]

جوابیه کسپرسکی در مورد مخرب پست 2094

منم فرستادم کسپر دقیقا مثله شما متنم رو نوشتم
مختصر و مفید
fake av

نشات گرفته از انگلیسی بسیار خوبه هردومونه

[wordship]

سلام

اگه نود با دیتا بیس شناخت خسته نباشه
من اجراش کردم کسپر پیغام داد که میخواد از رجیستری یک سری چیز رو حذف کنه من هم ترمینیت رو زدم و کلا برنامه رو پاک کرد (منظور از برنامه فایل مخرب هست)

اگر از دیتا بیس شناخته باشه که یعنی یکی مثله من براش فرستاده
ولی از رویه هوش مصنوعی شناخته یعنی هوش بسیار قوی داره
اینم عکس:

[Dr Hannibal]

آویرا 5 فایل را شناخت و فایل های sslo.exe,, macrolauncher.exe,,New-Video.exe را نشناخت که برای آویرا فرستاده شد

جالب اینجاست فایل sslo که قصد وصل شدن به اینترنت را داشت کمودو اون رو safe شناخت!!


جواب آویرا در مورد فایل macroluncher.exe

sslo.exe یک تروجان یا یک فیک آنتی ویروس هست. فکر میکنم COMODO به اشتباه safe ثبت کرده.

ویروس توتالش:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مختصری از کاری که میکنه اینه:

اینا رو اجرا میکنه:

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\System32\smss.exeو.....این ریجیستری رو ایجاد میکنه:

Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\_CHAR(0x03)_

این رو باز میکنه:

Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\SecurityService

==============

نتورک اکتیویش جالبه

به این هاست ها متصل میشه:

dempsre.in

webabado.in

plaveo.in

این هاست ها هم از این عکس مشخصه چی کار میکنند:








===========

در مورد فایل macroluncher.exe اگر آنالیز آویرا ثبت کرد در حال آنالیز بعد جواب چند ساعت بعد ارسال شد بله احتمالا مشکلی نداره. اما اگه موقع ارسال به سرعت نوشت clean خیر اشتباهه. گاهی اوقات آویرا این اشتباه رو میکنه دلیلش چیه نمیدونم.

توتال:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مثلا اینجا کسپرسکی با این نام شناسایی کرده Backdoor.Win32.Poison.cfhv و در حالی که آنتی ویروس های دیگه با این نام شناسایی شده Backdoor/Win32.Poison.gen و Backdoor.Win32.Poison!IK و W32/Poison.CACX!tr.bdr و Backdoor.Win32.Poison و Backdoor.Poison.cacx

این نشون میده که این شناسایی ها false positive نیست و آویرا بدون آنالیز clean شناسایی کرده.

[santamove]

sslo.exe یک تروجان یا یک فیک آنتی ویروس هست. فکر میکنم COMODO به اشتباه safe ثبت کرده.

ویروس توتالش:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مختصری از کاری که میکنه اینه:

اینا رو اجرا میکنه:

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\System32\smss.exeو.....این ریجیستری رو ایجاد میکنه:

Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\_CHAR(0x03)_

این رو باز میکنه:

Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\SecurityService

==============

نتورک اکتیویش جالبه

به این هاست ها متصل میشه:

dempsre.in

webabado.in

plaveo.in

این هاست ها هم از این عکس مشخصه چی کار میکنند:








===========

در مورد فایل macroluncher.exe اگر آنالیز آویرا ثبت کرد در حال آنالیز بعد جواب چند ساعت بعد ارسال شد بله احتمالا مشکلی نداره. اما اگه موقع ارسال به سرعت نوشت clean خیر اشتباهه. گاهی اوقات آویرا این اشتباه رو میکنه دلیلش چیه نمیدونم.

توتال:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مثلا اینجا کسپرسکی با این نام شناسایی کرده Backdoor.Win32.Poison.cfhv و در حالی که آنتی ویروس های دیگه با این نام شناسایی شده Backdoor/Win32.Poison.gen و Backdoor.Win32.Poison!IK و W32/Poison.CACX!tr.bdr و Backdoor.Win32.Poison و Backdoor.Poison.cacx

این نشون میده که این شناسایی ها false positive نیست و آویرا بدون آنالیز clean شناسایی کرده.

ولی وقتی من اجراش کردم،کومودوفایروالش این آلارم رو داد،


چند بارم تست کردم،ولی یکبارم کومودو نگفت safe هست....
کلا" مخرب جالب و پیچیده ای هست....

دکتر جان میشه بگی فایروال کسپر چه نوع پورت و پروتکلی رو برا ارتباط این مخرب با اینترنت مشخص کرده؟

[Dr Hannibal]

ولی وقتی من اجراش کردم،کومودوفایروالش این آلارم رو داد،


چند بارم تست کردم،ولی یکبارم کومودو نگفت safe هست....
کلا" مخرب جالب و پیچیده ای هست....

دکتر جان میشه بگی فایروال کسپر چه نوع پورت و پروتکلی رو برا ارتباط این مخرب با اینترنت مشخص کرده؟

من با سانبلت بازش کردم این dll

C:\WINDOWS\system32\urlmon.dll

فعالیت میکنه

• Transport Protocol: TCP
• Remote Address: 69.10.39.18
• Remote Port: 80
• Protocol: HTTP
• Connection Established: 1
• Socket: 1468

• Socket: 1480
• Remote Address: 91.217.153.56
• Remote port: 80
• Successful: 1

تمام ارتباطش پورت 80 بود و تمام آدرسش هاش اینا هستند:

202.248.110.243
220.181.100.33
69.10.39.18
91.217.153.56
91.222.65.31
69.10.39.18
91.217.153.56
91.222.65.31

و اون آدرسی که شما گذاشتید نیست.

[santamove]

من با سانبلت بازش کردم این dll

C:\WINDOWS\system32\urlmon.dll

فعالیت میکنه

• Transport Protocol: TCP
• Remote Address: 69.10.39.18
• Remote Port: 80
• Protocol: HTTP
• Connection Established: 1
• Socket: 1468

• Socket: 1480
• Remote Address: 91.217.153.56
• Remote port: 80
• Successful: 1

تمام ارتباطش پورت 80 بود و تمام آدرسش هاش اینا هستند:

202.248.110.243
220.181.100.33
69.10.39.18
91.217.153.56
91.222.65.31
69.10.39.18
91.217.153.56
91.222.65.31

و اون آدرسی که شما گذاشتید نیست.

دکتر جان من بازم تست کردم در حالات مختلف،
ولی بازم از طریق پورت 53 و پروتکل udp کانکت میشه....

نظرتون چی هست؟

[Dr Hannibal]

دکتر جان من بازم تست کردم در حالات مختلف،
ولی بازم از طریق پورت 53 و پروتکل udp کانکت میشه....

نظرتون چی هست؟

I dont know

: )

[Dr Hannibal]

یادم رفت بگم. sslo.exe اصلیت چینی داره : )

این هم یکی از هاست هاشه که متصل میشه و این رو ثابت میکنه : دی

  محتوای مخفی: ! 

http://www.kaixin001.com/

[santamove]

دکتر جان،یک اسکرین شات از دسکتاپم می زارم...

می بینی که در دو بازه زمانی مختلف هر دو بار دقیقا" از طریق پروتکل udp و پورت 53 می خواسته کانکت شه....

کلا این رفتارش شبیه اس.تاک.س.net هست!!!

بهش مشکوکم!!!