دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[Dr Hannibal]

مرسی دکتر جان.
انگاری ویروس توتال فقط نتیجه هایی رو برای کسپرسکی نشون میده که از طریق signatures شناسایی بشند.
کسپرسکی از طریق Heuristic شناساییش میکنه.
البته من بارها دیدم که هوش مصنوعی آواست یا ناد32 و یا اویرا در موتورهای اسکن VirusTotal کار میکنند اما انگار برای کسپرسکی فرق میکنه.
ویرایش....
نتیجه ی اسکن جدید در ویروس توتال

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بله واقعا فرق فوکوله و هوش مصنوعی کسپرسکی در کار نیست.

درسته AVA UK جان خیلی از موارد هوش مصنوعی کسپر (روی ریپروت که می نویسه هوش مصنوعی اما به behaviour blocker بیشتر شبیه هست ) توی توتال دیده نمیشه. به نظر من کسپر فایل هارو یک تست کوچیک میکنه منظورم یه اجرای کوچیک ویا هر چیزه دیگه چرا اینو میگم ؟ هوش مصنوعی باشه قطعا توی توتال دیده میشه اما پست های اولی رو ببینی چندتا ویروس بود کسپر فقط باید دانلود میکرد و بدون اجرا شناسایی می کرد. حتی توی خود سایت کسپر اپلود کردم تا از دیتابیس لحظه ای استفاده کنم دیدم بله از اسکن پیدا نمیکنه و توی دیتابیس نرفته و توتال مشکل نداره و عقب نیست حتی فکر کردم نکنه توتال روزی یکبار اپدیت میکنه که این مشکل بوجود میاد که با اپلود خود سرور کسپر متوجه شدم نه توتال لحظه ای عمل میکنه.

این لینک رو ببیند برای اوایل تاپیک هست.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چیزی که من فکر میکنم احتمالا کسپر یک تست کوچیک میکنه و یه رفتارشناسی خفیف بدون دبل کلیک انجام میده.

[Ava UK]

درسته AVA UK جان خیلی از موارد هوش مصنوعی کسپر (روی ریپروت که می نویسه هوش مصنوعی اما به behaviour blocker بیشتر شبیه هست ) توی توتال دیده نمیشه. به نظر من کسپر فایل هارو یک تست کوچیک میکنه منظورم یه اجرای کوچیک ویا هر چیزه دیگه چرا اینو میگم ؟ هوش مصنوعی باشه قطعا توی توتال دیده میشه اما پست های اولی رو ببینی چندتا ویروس بود کسپر فقط باید دانلود میکرد و بدون اجرا شناسایی می کرد. حتی توی خود سایت کسپر اپلود کردم تا از دیتابیس لحظه ای استفاده کنم دیدم بله از اسکن پیدا نمیکنه و توی دیتابیس نرفته و توتال مشکل نداره و عقب نیست حتی فکر کردم نکنه توتال روزی یکبار اپدیت میکنه که این مشکل بوجود میاد که با اپلود خود سرور کسپر متوجه شدم نه توتال لحظه ای عمل میکنه.

این لینک رو ببیند برای اوایل تاپیک هست.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چیزی که من فکر میکنم احتمالا کسپر یک تست کوچیک میکنه و یه رفتارشناسی خفیف بدون دبل کلیک انجام میده.

drhaniball عزیز اگر عکسی رو که از کسپرسکی در مورد شناسایی این مورد گذاشتم دقت کنی متوجه میشی که برای شناسایی از کلمه Heur که مخفف کلمه Heuristic و به معنی هوش مصنوعی است استفاده کرده.

در ضمن من برای اینکه کسپرسکی شناسایی بکنه فایل رو اجرا نکردم که بخواد از Behavior Blocker استفاده بکنه. فایل رو فقط با اسکن معمولی و توسط File Anti-Virus تشخیص میده. اگر File Anti-Virus یعنی Real Time Protection کسپرسکی برای اسکن فایل ها از طریق آنتی ویروس خاموش باشه چیزی رو تشخیص نمیده.

عکس زیر... File-Anti-Virus خاموشه و فایل هم راحت اکسترکت میشه و پیغامی از کسپرسکی دیده نمیشه.



در ضمن Behavior Blocker در KIS به اسم Proactive Defense معرفی شده و تنظیمات این قسمت به File Anti-Virus یا Web Anti-Virus ربطی نداره.

[Dr Hannibal]

drhaniball عزیز اگر عکسی رو که از کسپرسکی در مورد شناسایی این مورد گذاشتم دقت کنی متوجه میشی که برای شناسایی از کلمه Heur که مخفف کلمه Heuristic و به معنی هوش مصنوعی است استفاده کرده.

AVA UK جان دست کم گرفتی مارو ها منم اینارو بلدم توضیح دادم که :

درسته AVA UK جان خیلی از موارد هوش مصنوعی کسپر (روی ریپروت که می نویسه هوش مصنوعی اما به behaviour blocker بیشتر شبیه هست ) توی توتال دیده نمیشه

خوب متوجه منظورم نشدی عزیز بیشتر توضیح میدم.

شما که خودت استاد مایی و این هارو میدونی اما هوش مصنوعی آنتی ویروس روی دیتابیس آنتی ویروس هست. یعنی چطور ؟ یعنی وقتی یک ویروس بازنویسی میشه و یک سری کد هاش تغییر میکنه آنتی ویروس چون یک یا چند نوع از اون ویروس رو در دیتابیسش ثبت کرده باشه دیگه با تغیر یکم از کدهاش قدرت شناساییش رو از دست نمیده.

مثلا میگم یک ویروس ساخته میشه کاملا جدید هست انتی ویروس فرداش وارد دیتابیسش میکنه پسفردا ویروس بازنویسی میشه و یکم از کدهاش عوض میشه اما چون هنوز ترکیب اصلی وجود داره انتی ویروس که هوش مصنوعی خوبی داره شناسایش میکنه.( هوش مصنوعی )

حالا من این ویروس رو با آنلاین اسکن کسپرسکی در همین ساعت اسکن میکنم نتیجه رو ببین.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

میبینی که اگه فایل اسکن و دیتابیس و هوش مصنوعی عادی بوده باشه حتما اینجا خودش رو نشون میداد.

حالا نتیجه ای که شما میگیری فایل رو دانلود میکنی آنتی ویروس میگه این ویروس هست. پس این یه اسکن ساده نیست . حالا چی میتونه باشه ؟ نظرم رو بالا گفتم :

چیزی که من فکر میکنم احتمالا کسپر یک تست کوچیک میکنه و یه رفتارشناسی خفیف بدون دبل کلیک انجام میده.

[amir.7]

سلام

دوستان مادر برد سیستم ما سوخته یه چند وقت نیستم ، میخوام ارتقا بدم ، به خدا می سپارمتون .


عشق ، هم آمدنی است و هم آموختنی .

[Ava UK]

AVA UK جان دست کم گرفتی مارو ها منم اینارو بلدم توضیح دادم که :

خوب متوجه منظورم نشدی عزیز بیشتر توضیح میدم.

شما که خودت استاد مایی و این هارو میدونی اما هوش مصنوعی آنتی ویروس روی دیتابیس آنتی ویروس هست. یعنی چطور ؟ یعنی وقتی یک ویروس بازنویسی میشه و یک سری کد هاش تغییر میکنه آنتی ویروس چون یک یا چند نوع از اون ویروس رو در دیتابیسش ثبت کرده باشه دیگه با تغیر یکم از کدهاش قدرت شناساییش رو از دست نمیده.

مثلا میگم یک ویروس ساخته میشه کاملا جدید هست انتی ویروس فرداش وارد دیتابیسش میکنه پسفردا ویروس بازنویسی میشه و یکم از کدهاش عوض میشه اما چون هنوز ترکیب اصلی وجود داره انتی ویروس که هوش مصنوعی خوبی داره شناسایش میکنه.( هوش مصنوعی )

حالا من این ویروس رو با آنلاین اسکن کسپرسکی در همین ساعت اسکن میکنم نتیجه رو ببین.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

میبینی که اگه فایل اسکن و دیتابیس و هوش مصنوعی عادی بوده باشه حتما اینجا خودش رو نشون میداد.

حالا نتیجه ای که شما میگیری فایل رو دانلود میکنی آنتی ویروس میگه این ویروس هست. پس این یه اسکن ساده نیست . حالا چی میتونه باشه ؟ نظرم رو بالا گفتم :

سلام دکتر جان. امضا رو حال مکنی پاکش کردند و deleted بهش اضافه شده. اینم نتونستن تحمل کنند این انسانهای قرون وسطا.

بهر حال بله عزیز درست میگید, منم به خاطر همین File Anti-Virus رو غیر فعال کردم که بگم که با غیر فعال کردن این قسمت یعنی دیتابیس و signature آنتی ویروس رو از کار انداختم. پس وقتی این قسمت یعنی signature در خاموش باشه دیدید که هوش مصنوعی کسپرسکی هم کار نکرد و پیغامی رو مبنی بر آلوده بودن فایل نشون نداد.
منظور من هم دقیقا همین بود. که اگر این تشخیص از روی هوش مصنوعی انجام نمیشد پس چرا با از کار انداختن File Antivirus هوش مصنوعی هم کار نمیکنه. اینجای کار به نظرم هر چیزی که باشه هم سایت کسپرسکی و هم سایت ویروس توتال یک جای کار رو اشتباه میکنند.

چون الان چیزی که جلوی چشم همه مون هست داریم میبینم. روی یک سیستم واقعی, با آنتی ویروس واقعی, پیغام و همچنین آزمایشات نشون میده که از روی هوش مصنوعی تشخیص داده. پس اگر در یک سیستم غیر واقعی که فقط از موتور جستجوی آنتی ویروسها و دیتابیسشون استفاده میکنه موردی مثل همین موردی که الان داریم در موردش بحث میکنیم دیده بشه, کدومش رو میتونیم واقعی تر بدونیم؟

البته نمیگم حرف شما درست نیست, چون اگر اینطور باشه به قول شما چرا هوش مصنوعی که از روی دیتابیس میتونه رفتار و کدهای آلوده رو تشخیص بده در موتور های جستجوری آنلاین که بر همین اساس کار میکنند چیزی نشون نمیده؟ این معمایی هست که با یک ایمیل زدن به ویروس توتال و یا حتی خود کسپرسکی ممکنه جواب قانع کننده ای داشته باشند.

من فقط این رو میدونم که نه اسکن آنلاین سایت کسپرسکی و نه اسکن آنلاین سایت ویروس توتال از انجین هیچ آنتی ویروسی استفاده نمیکنه و به همین دلیل نتایج نشون داده شده در ویروس توتال و سایتهای مشابه نمیتونه همیشه با نتایجی که در کامپیوتر با آنتی ویروس نصب شده نشون داده میشه یکی باشه.

این موضوع رو من تقریبا 2 سال پیش در انجمن wilderssecurity دنبال میکردم. به طور مثال شما فایل Anal_----_Movie_162.mpeg.exe را که در پک 30 تایی که قبلا گذاشته بودم در ویروس توتال آپلود کن و نتیجه اسکن یک فایل واقعی exe را نگاه کن. عکس زیر...



همانطور که میبینی این فایل توسط 11 آنتی ویروس که تاریخ و ساعت اسکن هم مشخصه شناسایی شده.

حالا شما اگر همین فایل رو توسط winrar به یک فایل ISO تبدیل کنید فکر میکنید چه اتفاقی بیوفته؟ خب معلومه خیلی از آنتی ویروسها ممکنه نتونند داخل فایل های ISO رو اسکن کنند در نتیجه باید از تعداد 11 آنتی ویروسی که در بالا خود فایل exe را بدون فشرده سازی تشخیص دادند کمتر بشه.

اما نتیجه کار کاملا بر عکسه... بیشتر از 2 برابر به تعداد این آنتی ویروسها اضافه میشه...
Antivir یکی از نمونه هاش هست. قبلا فایل اصلی رو تشخیص نمیداد, الان میگه WORM داره اونم به چه گندگی.




دکتر بیا و پیدا کن پرتقال فروش را

نتایج اسکن در ویروس توتال به ترتیب عکس ها...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

تمام نتایج بالا به کنار. حالا اگر فایل .exe را که قبلا در نتیجه اسکن آنلاین ویروس توتال گفته شده کسپرسکی اون رو تشخیص نمیده با یک سیستم واقعی که آنتی ویروس کسپرسکی روش نصبه اسکن کنید متوجه میشید که کسپرسکی اون رو از روی دیتابیس تشخیص میده.



ویروایش : نتیجه ی شک بر انگیز.

نتیجه خیلی جالب شد در عرض 30 دقیقه نتیجه از این رو به این رو شد.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[mohsenpj]

مخرب

توتال :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دانلود :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: Dr

نود32 هم شناسایی کرد.

[Ava UK]

مخرب

توتال :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دانلود :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: Dr

امروز تصمیم گرفتم Sandbox خودم رو آزمایش کنم. البته قبلا همچین آزمایشاتی رو روش انجام داده بودم اما این اولین دفعه هست که در انجمن نتیجه اش رو میزارم.

برای کسانی که نمیدونند SandBox چیه این توضیح رو بدم که این برنامه قادر به این هست که مرورگر اینترنتی شما و یا هر فایلی که دلتون خواست رو در یک ماشین مصنوعی که هیچ دسترسی به ویندوز و سیستم شما ندارند اجرا کنه. به این صورت که اگر شما خطرناکترین ویروسها و کرمها رو توسط مرورگرتون Firefox, IE یا هر چیز دیگه ای دانلود کنید و یا اتوماتیک توسط اکسپلویت ها اجرا بشند این آلودگی ها نمیتونند وارد سیستم شما بشند. حتی اگر آنتی ویروس هم نداشته باشید!

مخربها داخل سیستم شما اجرا میشند, کارشون رو که بعضی مواقع میتونه دانلود کردن نمونه های جدیدتر که توسط آنتی ویروسها شناسایی نمیشند باشه اما خارج از این هیچ کار دیگه ای رو نمیتونند انجام بدند. شما فقط کافیه مرورگر خودتون رو ببندید تا همه این آلودگی ها و مخرب ها از سیستم شما پاک بشند و هیچ رد پایی ازشون باقی نمونه. چون شما مرورگرتون رو زیر نظر SandBox اجرا کردید.

بعضی از آنتی ویروسها و نرم افزارهای امنیتی یکی دو ساله که پی بردند Sandbox را جهت یک لایه محافظتی در برنامه هاشون بکار ببرند. مثلا آنتی ویروسهایی مانند KIS, CIS, AVAST جزو آنتی ویروسهایی هستند که SandBox دارند. من SandBox آنتی ویروس Avast Internet Security را امتحان کردم اما در تستی که انجام دادم ناموفق بود و فایل هایی را که میخواستم در Sandbox اجرا کنه را اجرا نمیکرد.

Sandbox در کسپرسکی اینترنت سکیوریتی با اسم SafeRun معرفی شده اما متاسفانه در ویندوزهای 64 بیتی با محدودیت کار میکنه و تمام امکانات ویندوزهای 32 بیتی را نداره. دلیل این را هم قبلا در پست های قبلیم توضیح دادم.

Comodo Internet Security یکی از بهترین Sandbox ها را فعلا در بین تمام برنامه های امنیتی داره. چون اولین برنامه امنیتی است که تمام فایل های شناخته شده مانند یاهو مسنجر با امضای دیجیتالی را خارج از Sandbox اجرا میکنه تا بتونید برنامه هاتون رو اجرا کنید و تمام فایل های ناشناخته بدون امضای دیجیتالی را اتوماتیک داخل Sandbox اجرا میکنه. فایل های ناشناخته بدون امضای دیجیتالی فرقی نمیکنه به چه طریقی وارد سیستم شما بشه و بخواد اجرا بشه. هر نوع فایلی در Sandbox اجرا میشه و تا شما تعیین نکردید که اون فایل سالم است و ضرری برای سیستم نداره از Sandbox خارج نمیشه.



اما من خودم از برنامه SandBoxie نسخه ی 64 بیتی استفاده میکنم. این برنامه هم یک Sandbox است اما دلیل انتخاب من در بین Sandbox ها این است که تمام جزئیات فایل ها و دسترسی فایل ها به نقاط مختلف رو نشون میده. بطور مثال شما اگر ویروسی را داخل Sandboxie اجرا کنید, بهتون نشون میده که اون ویروس اگر داخل یک سیستم معمولی اجرا میشد چه کارهایی را میتونست انجام بده و چه فایل هایی را میتونست دانلود کنه و در سیستم شما اجرا کنه. کلا برای آنلایز کردن رفتار تروجانها و فایل های مشکلوک بهترین برنامه ای است که تا حالا دیدم.

اگر کسی خواست بعدا میتونه در مورد Sandbox ها بیشتر تحقیق کنه چون مطالب زیاده اما متاسفانه به زبان فارسی خیلی کم وجود داره چون هنوز بین فارسی زبانان Sandbox جا نیوفتاده و با طرز کارش آشنایی کامل را ندارند.

به همین دلیل من امروز اومدم و تروجانی را که drhaniball عزیز در پستی که نقل قول کردند گذاشتند را داخل Sandboxie بدون داشتن هیچ آنتی ویروس و لایه ی محافظتی اجرا کردم.

نتیجه این شد که این تروجان اگر در سیستم کسی که به اینترنت وصل هست اجرا بشه فایل های آلوده و ناشناس دیگه ای رو دانلود میکنه و اسم خودش را هم تغییر میده تا شناسایی نشه و بعد خودش غیر فعال میشه و فایل های آلوده ای که دانلود کرده فعال میمونند.

دلیل اینکه خودش یعنی فایل اصلی غیر فعال میشه میتونه این باشه که میخواد ناشناس بمونه تا اگر فایل های آلوده دانلود شده پیدا و غیر فعال شدند دوباره بتونه نمونه های جدیدتری رو دانلود کنه.

در عکس زیر فایل هایی را که دانلود کرد و بعد در سیستم اما زیر نظر Sandboxie فعالشون کرد رو با فلش قرمز نشون دادم.



بعد از فعال کردن فایل های آلوده بالا که هر کدومشون ممکنه جایی از سیستم رو دستکاری و خراب کنند فایل های دیگه ای نیز به داخل پوشه Windows کپی کردند. عکس زیر نشون میده به چه قسمت هایی از ویندوز در صورت نداشتن Sandbox میتونست آسیب برسونه.



با بستن مرورگر اینترنتیم و همچنین بستن Sandboxie تمام اینها از سیستم پاک شدند. البته از اولشم داخل سیستم نبودند بلکه Sandbox ها کاری میکنند که تروجانها و ویروسها فکر کنند به یک سیستم واقعی حمله کردند در حالی که در یک جای محافظت شده قرار دارند.

سیستم الان با بستن Sandboxie سالمه و اتفاق خاصی هم روی نداده.

یک نکته ای هم یادم افتاد بگم که تا حالا در هیچ گزارش امنیتی و هیچ خبری گزارش نشده که ویروس یا کرمی بتونه از لایه ی دفاعی برنامه رایگان Sandboxie عبور کنه و بتونه وارد سیستم بشه. اما گزارش شده که برنامه هایی مانند DeepFreez که یکی از سخت جون ترین برنامه هاست توسط کرمی به اسم W32.SafeSys.Worm آسیب پذیر بوده و مورد حمله قرار گرفته. فقط در کشور ویتنام این کرم تونسته بود روی سیستم هایی که Deep Freeze نصب بوده 46000 مورد رو نابود کنه. اما همین کرم رو که بعدا در انجمن Wilders Security بر روی برنامه ی SandBoxie آزمایش کردند نتونسته بود ازش رد بشه.

همه اینها دلیل نمیشه که Sandboxie آسیب پذیر نیست به همین دلیل بهتره در کنارش از یک آنتی ویروس هم استفاده بشه تا اگر نمونه ای پیدا شد که بتونه از لایه ی دفاعی Sandboxie رد بشه, آنتی ویروس و یا HIPS ها بتونند خرابکاری های اون رو شناسایی کنند.

لینک خبری در مورد کرم W32.SafeSys.Worm و آسیب رسانی به 46000 سیستم در ویتنام.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سایت رسمی برنامه Sandboxie

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

معذرت میخوام اگر جایی از تکست غلط املایی دارم. دیگه حوصله نکردم از اول بخونم. خسته شدم.

[Dr Hannibal]

ava uk جان راستش در اون مورد که اولا من نظر شخصی دادم و گفتم احتمالا بی خیال اون مهم این بود که تونست تشخیص بده

اون تروجان هم پس به نظر میرسه واقعا خطرناک بوده باشه و با تست شما همه چی روشن شد دستت درد نکته

[Ava UK]

ava uk جان راستش در اون مورد که اولا من نظر شخصی دادم و گفتم احتمالا بی خیال اون مهم این بود که تونست تشخیص بده

اون تروجان هم پس به نظر میرسه واقعا خطرناک بوده باشه و با تست شما همه چی روشن شد دستت درد نکته

مرسی دکتر جان
بله عزیز, اصل اینه که تشخیص داده. تشخیص هم نده از Application Control رد نمیشد چون امضا نشده بود.

در مورد تستی هم که در مورد اون تروجان انجام دادم, یکی از هدفهام هم این بود که بعضی دوستان که نمیدونند SandBox چیه با قدرت و طرز کارش آشنابشند و برای اجرا کردن کیجن و فایل های مشکوک بیشتر ازش استفاده کنند.
تروجانه هم عجب جونوری بود هی داشت دانلود میکرد و پروسه های ناشناس رو اجرا میکرد

[Dr Hannibal]

مرسی دکتر جان
بله عزیز, اصل اینه که تشخیص داده. تشخیص هم نده از Application Control رد نمیشد چون امضا نشده بود.

در مورد تستی هم که در مورد اون تروجان انجام دادم, یکی از هدفهام هم این بود که بعضی دوستان که نمیدونند SandBox چیه با قدرت و طرز کارش آشنابشند و برای اجرا کردن کیجن و فایل های مشکوک بیشتر ازش استفاده کنند.
تروجانه هم عجب جونوری بود هی داشت دانلود میکرد و پروسه های ناشناس رو اجرا میکرد

مشخصه که فعال بوده هرچی هست. خیلی تروجان ها هستند که دیگه اصلا از سرور قطعند بی خطر شدند یا صاحبش دیگه حال نداره به این بانک اطلاعتی که از ملت جمع آوری کرده سر بزنه. عجب جونورایی هستند که این تروجان هارو می نویستند.