دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[A M ! N]

سلام..

علی به نظر میرسه کسپر یکی ازون 7711 تا رو از بین نبرده Kidding

[jolan57]

سلام دوستان

امروز یه فلش مموری به دستم رسید تا به سیستم وصل کردم کسپر پرید وسط خودتون نتیجه رو ببینید



چندتا از مخربا شکار کردم

لینک دانلود

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اوه اوه چه ویروس هایی هم داره این فلش
Zbot و Sality و ...
هر کی این فلش رو بدون آنتی ویروس باز کنه فکر کنم با هاردش باید خداحافظی کنه
البته اگه مسیرش به اورژانس سیستم های آلوده انجمن خودمون نخوره

[*Batman*]

سلام دوستان

امروز یه فلش مموری به دستم رسید تا به سیستم وصل کردم کسپر پرید وسط خودتون نتیجه رو ببینید
چندتا از مخربا شکار کردم
لینک دانلود

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نورتون و بیت دیفندر هر 4 مورد رو شناسایی و پاک کردن.
بیت دیفندر داخل فایلهای فشرده با فرمت ZIP رو میگرده و فایلهای آلوده رو پاک میکنه بدون اینکه فایلهای سالم حذف بشن.
برای اینکه Real-time Protection هم این قابلیت رو داشته باشه باید تنظیمش کرد.
در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه.
یکی از فایلها به اسم nurrrb.pif حاوی یکی از انواع مخربW32.Sality بود.*(نورتون و بیت دیفندر به همین نام شناسایی میکنن اما با پسوندهای مختلف)*
من این فایل رو با فرمت ZIP فشرده و اسکن کردم.مخرب شناسایی و پاکسازی شد اما فایل مخرب به طور کامل حذف نشد.
بخشی از فایل با حجم 56 کیلو بایت (از 128 کیلوبایت اولیه) باقی موند.
بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.
تکه‌ی باقیمانده رو با نورتون اسکن کردم و شناسایی شد *اما با نامی متفاوت*>>Suspicious.MH690.A
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اکثر آنتی ویروسها از جمله نورتون تشخیص هوریستیکی رو این مورد داشتن و ممکنه اشتباه باشه.

[A M ! N]

سلام

فایل zujbknna.exe تروجان Zbot رو به وسیله ی Buster Sandbox analyzer آنالیز کردم به نتایج زیر رسیدم :

اینجا نشون میده که تروجان چه اقداماتی رو انجام میده چه اقداماتی رو انجام نمیده :










**اینجا هم میبینید که در بخش اول در حین تزریق کد به فایرفاکس بوده..
**درمرحله ی بعدی فایلی رو برای استارت آپ ایجاد کرده..
**همچنین فایل رو در استارت آپ رجیستری ثبت کرده..
**اطلاعات سیستمی و کاربری من رو جمع آوری کرده..
**در آخر هم میخواسته اطلاعات طبقه بندی شده رو برای سرور خودش از طریق پورتهای 80 و 443 ارسال کنه.









****اطلاعات جامع تر :







موفق باشید

[kases]

سلام..

علی به نظر میرسه کسپر یکی ازون 7711 تا رو از بین نبرده

سلام امین خان بیا عزیز اینو ببین تا یه کم از مرام کسپر اگاه بشی



سلام مسعود جان

ریل تایم پروتکشن کسپر غیر فعال کردم و فایل اکسترکت کردم و کسپر دوباره فعال کردم کسپر فایل nurrrb.pif به صورت کامل پاکسازی کرد و حجم فایل شد 56 کیلوبایت

بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.

اما کسپر بعد از اکسترکت فایل dicinfect کرد و تیکه ای به حجم 56 کیلو باقی موند و مثل بیت دفندر فایل کامل حذف نکرد

بیت دیفندر داخل فایلهای فشرده با فرمت ZIP رو میگرده و فایلهای آلوده رو پاک میکنه بدون اینکه فایلهای سالم حذف بشن.
برای اینکه Real-time Protection هم این قابلیت رو داشته باشه باید تنظیمش کرد.
در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه.

با ریل تایم پروتکشن کسپر در فایل zip و پاکسازی کامل

در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه

اتفاقا کسپر مخربها رو در فایل rar به صورت ریل تایم پاکسازی کرد عجیب به نظر میرسه بیت دفندر نمیتونه مخرب در فایل rar پاکسازی کنه



در مورد فایل nurrrb.pif کسپر فایل بعد از پاکسازی مخرب نمیشناسه و من اجراش کردم و در حافظه رم قرار گرفت با تنظیماتی که کسپر داشت رفتار مشکوکی نداشت

[A M ! N]

آویرا هم مخرب آلوده به سالیتی رو تعمیر کرد..




بعد از تعمیر

بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.

اما کسپر بعد از اکسترکت فایل dicinfect کرد و تیکه ای به حجم 56 کیلو باقی موند و مثل بیت دفندر فایل کامل حذف نکرد

در مورد بیت دیفندر هم بعید میدونم پاک کرده باشه کامل ، ویروسهای علی مخفی سیستمی هستند ، منم اول فکر کردم آویرا کامل پاک کرده ولی بعد که مخفی هارو باز کردم دیدم به خوبی تعمیر کرده و قسمت 55 کیلوبایتی فایل در دسترس هست. داخل زیپ هم که همه ی مخفی ها به حالت پیشفرض دیده میشند

موفق باشید.

[xman681]

سلام

[Karkas20]

در مورد فایل nurrrb.pif کسپر فایل بعد از پاکسازی مخرب نمیشناسه و من اجراش کردم و در حافظه رم قرار گرفت با تنظیماتی که کسپر داشت رفتار مشکوکی نداشت

یعنی الان الوده شدید؟

[*Batman*]

در مورد بیت دیفندر هم بعید میدونم پاک کرده باشه کامل ، ویروسهای علی مخفی سیستمی هستند ، منم اول فکر کردم آویرا کامل پاک کرده ولی بعد که مخفی هارو باز کردم دیدم به خوبی تعمیر کرده و قسمت 55 کیلوبایتی فایل در دسترس هست. داخل زیپ هم که همه ی مخفی ها به حالت پیشفرض دیده میشند

بله الان که اسکن کردم DisInfect کرد.
Event هاش رو که داشتم نگاه میکردم یه مورد Move to quarantine برای این فایل داشت!


آویرا تو ویروس توتال اون بخش کوچیک رو هم شناسایی کرده! برای شما پیغامی نداد؟

[A M ! N]

بله الان که اسکن کردم DisInfect کرد.
Event هاش رو که داشتم نگاه میکردم یه مورد Move to quarantine برای این فایل داشت!


آویرا تو ویروس توتال اون بخش کوچیک رو هم شناسایی کرده! برای شما پیغامی نداد؟

من با آویرا دیشب تعمیرش کردم 55 کیلوبایتش باقی موند..




دیگه با خود آویرا اسکن نزدم ، اما الان که اون باقی مونده رو با Dr web اسکن کردم دیدم باز دکتر وب اون رو به عنوان ویروت میشناسه :








البته دکتر وب اون باقی مونده ( 55 کیلوبایت ) رو تعمیر نکرد و کامل پاکش کرد.



دیشب که میخواستم تروجان zujbknna.exe رو Run sandboxed کنم اشتباهی زدم

Run as administrator !!!! و آلوده شدم درحالتی که سوییتم کاملا Off بود.. بعد امروز که سیستم رو روشن کردم به محض بالا اومدن دیدم فایروال دکتر وب تند تند داره پیغام میده که یک برنامه ی ناشناخته میخواد از طریق فایرفاکس به فعلان سرور وصل بشه ، هرچی Block once کردم دیدم بازم سرور داره !! خلاصه یک Express scan با دکتر وب زدم دیدم بله.. دقیقا همون تروجان هستش.


Dr web این آلودگی رو برطرف کرد در آخر..





یکیش با پروسه ی قلابی فایرفاکس داشت داخل رم پردازش میشد که بلافاصله بلاک شد.



موفق باشید.