دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[M E H R A N]

شما فكر كنم تا به حال يه بار هم Avast نصب نكردي. وگرنه اين حرف رو نميزدي.

دوست عزیز تازه وارد و تعصبی شما بهتره در مورد من فکر نکنی. تا زمانیکه کسی رو نشناختی در موردش فکر نکن. یکم صفحات اول این تاپیک رو بخون تا بدونی که ما قبلا با دکتر و دوستان دیگه بحث های خیلی تخصصی تری داشتیم که اصلا شاید شما فکرش را هم نکنید. به هر حال...

Avast علاوه بر تشخيص از طريق ديتابيس داراي امكانات زير هم هست :

SandBox : براي اجراي نرم افزارها در يك محيط اختصاصي در هارد و بدون دسترسي به جاهاي ديگه‌‌‌‌‌‌ سيستم
Behavior Shield : براي آناليز رفتارهاي مشكوك در سيستم

Code Emulator : براي اجراي كدهاي نرم افزاري در يك محيط ايزوله

Boot Time Scan: براي از بين بردن بدترين ويروسها

Heuristics engine : براي شناسايي ويروسهاي ناشناخته

Behavior Blocker و Boot TimeScan در نسخه های 64 بیتی هیچ ویندوزی کار نمیکنند و غیر فعال هستند. این قابلیت ها به قول Avast ممکنه که در نسخۀ 5.1 برای سیستم عامل های 64 بیتی هم فعال بشند.

در سیستم عامل های 32 بیتی هم Behavior Blocker تا کنون هیچ عکس العملی رو از خودش نشون نداده. تا کنون هیچ کس پیغامی رو از طرف Avast AV دریافت نکرده که نشون بده فلان ویروس یا تروجان توسط Behavior Blocker پیدا شده. اگر شما همچین پیغامی رو دریافت کردید میتونید Log اون فایل رو اینجا بزارید و یا عکسی ازش بگیرید تا ما هم مطمئن بشیم که Behavior Blocker در Avast بر روی سیستم عامل های 32 بیتی کار میکنه.

Heuristic و یا Code Emulator رو هر آنتی ویروسی چه آشکار و چه مخفی داره و هیچ ربطی به بحثی که من کردم و شما اومدیم مثلا جواب بدید نداره. این قابلیت ها همشون به انجین آنتی ویروس مربوط میشند.

Sandbox در Avast هم فقط در نسخۀ Pro و Internet Security وجود داره اما با وجود اینکه سند باکس رو در این نسخه ها داره اما متاسفانه در مقابل بعضی ویروسها و تروجانها ضعیف عمل میکنه و اونها رو بیرون از سندباکس اجرا میکنه و باعث میشه که این مخرب ها بتونند به سیستم آسیب برسونند.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

شما فكر ميكني Sonar و HIPS يك تكنولوژي فضايي هستند كه هيچ شركتي نداره !

بابا اينا همون هوش مصنوعي هستن كه تمام آنتي ويروسها دارن ، فقط براي عمليات Marketing و بازاريابي اومدن و اين اسمها رو گذاشتن تا افرادي مثل شما رو به اشتباه بندازن.

خیلی با حالی ... HIPS یعنی هوش مصنوعیه؟ یکی بیاد جلو منو بگیره ... دوست عزیز HIPS مخفف host-based intrusion prevention system هست که هیچ ربطی هم به هوش مصنوعی یک آنتی ویروس نداره. هوش مصنوعی یک آنتی ویروس در صورت آپدیت نشدن دیتابیس بعد از مدتی تقریبا میشه گقت هیچ کارایی نداره و تشخیص رو نمیتونه انجام بده اما HIPS ها به آپدیت احتیاج ندارند و اگر ماهها هم آپدیت نشند همون کاری رو که باید روز اول میکردند رو انجام میدند.

Sonar در نورتون هم هوش مصنوعی نیست بلکه Behavior Blocker هست. همانطور که Avast اومده و اسم Behavior Blocker را عوض کرده و گذاشته Behavior Shield , نورتون هم اسم این قسمت رو گذاشته Sonar .
هوش مصنوعی یک آنتی ویروس همیشه فعاله و حتی در اسکن های دستی نیز گاهی شاهدیم که یک آنتی ویروس بعضی فایل ها را از طریق هوش مصنوعی پیدا کرده اما Behavior Blocker فقط در صورت اجرا کردن مخربها است که میتونه خودش رو نشون بده و تا زمانی که فایل آلوده اجرا نشده Behavior Blocker نقشی نمیتونه داشته باشه.

Behavior Blocker یک تشخیص دهندۀ رفتار است و برعکس هوش مصنوعی که یک تشخیص دهندۀ کدهای آلوده است. فرق این 2 تا به همین سادگیه و چیز زیاد پیچیده ای نیست که شما بیاد این 2 را قاطی کنید و بگید که هر دو هوش مصنوعی هستند.

در ضمن شما كه اينهمه Sonar , Sonar راه انداختي بد نبود كه به آخرين نتيجه VB100 يه نگاه مينداختي. توي اين آزمايش Avast در مقام بسيار بالاتري از Norton بوده.

من Sonar رو راه ننداختم بلکه فقط جهت یک مثال و خط و نشون دادن به بحث اصلی و جهت فهم بهتر دوستان بهش اشاره کردم. در تستی هم که شما اشاره کردید من تعجبی نمیکنم حتی اگر نورتون و یا آنتی ویروسهایی که Behavior Blocker دارند از Avast مقام (چقدر مسخره... آنتی ویروس هم مقام داره) داشته باشند چون همانطور که در بالا اشاره کردم Behavior Blocker فقط در صورت اجرای فایل های مخرب میتونه فعالیتش رو نشون بده و از سیستم محافظت بکنه و تا زمانی که فایلی اجرا نشده بود و نبود Behavior Blocker یکیه.

در اینگونه تست ها هم به دلیل حجم زیاد آلودگی ها و وقت کم اینها وقت این رو ندارند که یک ملیون نمونه را دونه به دونه اجرا کنند تا ببینند کدام آنتی ویروس یا بسته امنیتی محافظت بهتری رو از سیستم انجام داده. بلکه اینها میان و به شیوۀ کاملا سنتی مثل همین شیوه ای که در این تاپیک ما داریم انجام میدیم تمام نمونه ها رو که گاهی بیشتر از یک ملیون نمونه میشه در داخل یک فولدر قرار میدند و با کلیک راست کردن روی فولدر و انتخاب Scan With XXX Antivirus اون فولدر رو اسکن میکنند.

در این شیوۀ سنتی که من به شخصه به هیچ عنوان قبولش ندارم Behavior Blocker و تکنولوژی های دیگه که بعدا بهش اشاره خواهم کرد نقشی ندارند و فقط و فقط دیتابیس و هوش مصنوعی یک آنتی ویروس که اون هم بر اساس Signature کار میکنه تست میشند.

در همچین تست های سنتی حتی اگر یک آنتی ویروس پیدا بشه که بتونه بطور مثال ویروس X را پیدا کنه دلیل نمیشه که ما فکر کنیم این آنتی ویروس میتونه در مقابل ویروس X از سیستم محافظت کنه. ویروس X میتونه در صورت اجرا شدن سرعت اسکن Real-Time Protection اون آنتی ویروس رو دور بزنه و در نهایت خودش رو بعد از اجرا کردن مخفی کنه.. اشاره به روتکیت TDSS. این نوع ویروس ها و یا تروجانها تعدادشون کم نیست و یکی از دلایلی که بعضی ها بعد از فول اسکن کردن سیستمشون متوجه وجود آلودگی هایی در System32 میشند همینه. در حالی که قبلا آنتی ویروس آپدیت بوده و فول اسکن هم چیزی نشون نداده اما بعد از مدتی یا همان آنتی ویروس و یا یک آنتی ویروس دیگه که قدرت اسکن روتکیت ها رو داره اون رو پیدا میکنه.

Rootkit Scanner در Avast بر روی سیستم عامل های 64 بیتی کار نمیکنه.
Disinfect یعنی گند زدایی کردن یک فایل سالم از ویروس در Avast کلا کار نمیکنه. هم 32 بیتی و هم 64 بیتی.


در این تکنولوژی ها که بگذریم آنتی ویروسهایی مانند Norton و یا Kaspersky به آنلایز رفتاری از طریق Cloud روی آوردند. این بسیار قوی هست اما تا جایی که من میدونم Cloud Scanner در نورتون مانند Behavior Blocker فقط در صورت اجرا شدن فایل آلوده میتونه عمل بکنه. این مورد رو من مطمئن نیستم و اگر اشتباه میکنم یکی بعدا بیاد درستش کنه. چون من در هیچ یک از تست هایی که دیدم تنظیماتی جهت فعال یا غیر فعال کردن Cloud Scanner جهت اسکن دستی در نورتون ندیدم.

Kaspersky هم جهت اسکن همچین تنظیماتی نداره و از Cloud جهت دریافت لیست سفید برنامه ها جهت بهتر کردن Application Control و کم کردن پیغامها استفاده میکنه.

در ضمن دوست عزیز من الان نه کسپرسکی و نه نورتون رو استفاده میکنم اما این دلیل نمیشه که قابلیت هاشون رو زیر سوال ببریم و بگیم که فقط Avast. اگر پست های اول این تاپیک رو بخونی متوجه میشی که Avast رو با تست هایی که قبلا بر روش انجام دادم امتحان کردم و اون رو با نتیجۀ بقیه دوستان که زحمت کشیدند مقایسه کردیم. Avast این قابلیت هایی رو که بهتون گفتم نداره و یا اگر داره کار نمیکنه. مثلا همین Disinfect کردن... وقتی Avast از روی اسکن دستی مخربی رو پیدا کنه یکی از آلترناتیو هایی که بهتون میده همین Disinfect کردن هست اما هیچ وقت موفق به این کار نمیشه

موفق باشید.

[kazme_gheyz]

اقا مهران بابت توضیحات جامعی که دادید خیلی کم بود فقط یه تشکر کنم زیر پستتون خیلی خیلی ممنون

[M E H R A N]

مهران جان ، موردی که توی این پک های ویروس به تعداد بالا وجود داره دقیقا همین هست. توی صفحه قبل گفتم باقی ماندن فایل ها اصلا نشون دهنده تشخیص نیست.

حالا نگاه کنید اگر این فایل ها رو بخواهیم برسی کنیم این نتیجه نهایی میشه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مرسی دکتر جان. این پست رو ندیده بودم. اگر میدونستم شما هم امتحان کردید دیگه من امتحان نمیکردم
من بازم رفتم و یک چند تایی شون رو اجرا کردم اما هیچ کدومشون اجرا نمیشدند. منم آخر سر پاکشون کردم.
همون که گفتم اینها فسیل شده بودند

---------- Post added at 02:09 PM ---------- Previous post was at 02:08 PM ----------

اقا مهران بابت توضیحات جامعی که دادید خیلی کم بود فقط یه تشکر کنم زیر پستتون خیلی خیلی ممنون

مرسی عزیز. قابلی نداشت.

[kazme_gheyz]

سلام اینجا جاش نیست ولی جای دیگه هم تاپیکی نداره تا بپرسم!
کسی از شرکت های امنیتی عکسی داره؟
اگر داره لطفا بزاره بخصوص نود 32 خیلیدوست دارم ببینم کمپانیش رو

[M E H R A N]

New Trojan

این تروجان جدیده و تقریبا اکثر آنتی ویروسهای معروف قادر به شناسایی اون از طریق دیتابیس نیستند. اما ممکنه آنتی ویروسهایی که Behavior Blocker دارند بتونند بعد از اجرا کردنش اون رو تشخیص بدند. ریسک اجرا کردنش بر عهدۀ خودتونه و به هیچ کسی هم پیشنهاد نمیکنم که ندانسته و بدون آگاهی این تروجان رو اجرا کنه.

بعد از اجرا کردن این تروجان سعی میکنه به اینترنت وصل بشه و به احتمال زیاد تروجانهای دیگری رو هم دانلود کنه.



دانلود از لینک زیر.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: 123

نتیجۀ اسکن آنلاین تا این لحظه.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[Karkas20]

ويروس پست 926 به ازمايشگاه كاسپرسكي ارسال شد

[Karkas20]

اين هم جواب دادن كاسپرسكي در مورد ويروس پست 926.Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

video-plugin.40030.exe

This file is in process.

Best Regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


>> From: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
>> Sent: 20.09.2010 1401
>> To: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:EN][L:0]
>>
>>
>> LANG: en
>> email: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
>>
>> description:
>> malware
>>
>> uploaded files:
>> C:\Documents and Settings\Dear-User\Desktop\video-plugin.40030.zip

[edi2]

نورتون متاسفانه نشناخت و از اجرا کردنش هم میترسم ارزش ریسک فکر نکنم داشته باشه هر چند که اگه اجرا کنم نورتون= با سونار میشناسه

[kazme_gheyz]

من اجراش کردم کسپر2011 هم دارم حالا دیگه هرچی بادا باد!
مرسی.

[jax2]

سلام
گفتم منم یه چیزی بزارم
دوستان این یه عکس gif هست با حجم 2.64 کیلو بایت
که یه تروجان هست و داخلش کدهای html داره
کسپر راحت شناسایی می کنه
لینک دانلود:
http://176447.20upload.net/files/sh2/12850008901.rar
پسورد: 123

نتیجه ی کسپر:


اینم لینک ویروس توتال

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نود32 و اوست نمیشناسن