دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

**wordist** · 21-09-2010, 10:27

نوشته شده توسط drhaniball [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نمی دونم دوستان متوجه HTML.malware کاربر kazme_gheyz توی پست 919 گذاشته بود شدن یا خیر.

واقعا ناراحت شدم

فروم محل پخش آلودگی نیست.

کاربر kazme_gheyz به گفته خودتون شما از آنتی ویروس کسپرکسی استفاده می کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کسپرسکی هم این کد رو شناسایی میکنه فکر نمیکنم سهوا این عکس آلوده رو قرار داده بودید.

پست ارسالي ايشون بدليل آلودگي صفحه پاك شده و بدليل نقض قوانين تاپيك يك اخطار در كارنامه ايشون ثبت شد

**wordist** · 21-09-2010, 11:03

سلام به دوستان عزيزم

بعلت فعاليت نادرست تعدادي يوزر(هاي) معلوم الحال در انجمن آنتي ويروس ، اين تاپيك و برخي ديگر از تاپيكهاي اين انجمن سودمند تا اطلاع ثانوي بسته خواهد شد.

ممنون ميشم اگه دوستان ضمن به خرج دادن سعه صدر تا بازشدن دوباره تاپيكهاي بسته شده ، فعاليت كاربران خطاكار رو بصورت مستند و مستدل از طريق پيغام خصوصي براي بنده گزارش داده و از زدن تاپيك جديد خودداري كنن

بسته شد
wordist

**wordist** · 06-10-2010, 09:10

سلام به دوستان عزيزم

1- عنوان تاپيك كمي تغيير كرد

2- پست ايجاد كننده تاپيك ويرايش شد و موارد ذيل ، بهش اضافه شد:

قوانين قرار دادن ويروس در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

روش گذاشتن ويروس و ... :

فایل آلوده را با برنامه winrar آرشیو کنيد.
فایل آرشیو شده جدید را درون پوشه ای قرار داده و یک بار دیگه این بار با پسورد آرشیو کنيد.
فایل مورد نظر را با توضیحات و پسورد قرار داده شده در تاپیک قرار بديد.

قوانين:

قرار دادن لینک سایت های آلوده ممنوع.
قرار دادن لینک مخرب به طور مستقیم ممنوع.
قرار دادن لینک آرشیو بدون پسورد ممنوع.
قرار دادن HTML.malware به صورت مستقیم در فروم ممنوع.
کاربران خطا کار به میزان تخلفی که انجام میدهند جریمه می شوند.

3- پيشنهاد ميشه كه دوستاني كه در تاپيك كار ميكنن تا چند وقت توي امضاي خودشون آدرس پستي كه اين قوانين توش ذكر شده رو بدن

4- در برخورد با كاربراي تازه واردي كه ميخوان ويروس معرفي كنن با متانت و خوش رويي و در صورت عدم رعايت قوانين تاپيك رو متذكر بشن

5- هرگونه رفتار و پستهاي مشكوك كاربران رو (نه از روي غرض ورزي) گزارش بدن

تاپيك باز شد
موفق و پيروز باشيد
wordist

**M E H R A N** · 06-10-2010, 14:24

با تشکر از wordist و مدیران عزیز دیگه که دوباره این تاپیک رو بازگشایی کردند. امیدوارم که دوستان در یک جمع صمیمی با در نظر گرفتن قوانین ذکر شده به فعالیتشون در جهت بالا بردن سطح اطلاعات دوستان و مقایسۀ آنتی ویروسها و نرم افزار های امنیتی ادامه بدند.

برای شروع کار چند تا تروجان و Fake AV براتون میزارم. متاسفانه سایت VirusTotal فعلا از کار افتاده و نتونستم گزارش آنلاینی رو تهیه کنم. اما در اولین فرصت اگر VT دوباره کار کرد گزارش اسکن آنلاین رو به همین پست اضافه خواهم کرد.

فکر نکنم که در هر پستی که داده میشه به چند لایه بودن این تروجانها و روتکیت ها اشاره بشه. اما برای دوستان تازه وارد اشاره مختصری رو میکنم.

این تروجانها و روتکیت ها در 2 لایۀ RAR شده فشرده شده اند. لایۀ اول رو با زدن پسورد 123 باز خواهید کرد تا به لایۀ دوم RAR شده برسید. لایۀ دوم پسورد نداره و راحت قابل Extract شدن هستند.

اگر شما لایۀ دوم را هم Extract کنید حتی در صورت نداشتن آنتی ویروس هم سیستم شما آلوده نمیشه بلکه سیستم شما زمانی آلوده خواهد شد که شما از طریقی مانند دابل کلیک کردن اونها رو اجرا بکنید. پس ریسک اجرا کردن هر کدوم از این نمونه ها بر عهدۀ خودتونه.

دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پسورد: 123

ویرایش:
لینک جدید به دلیل مشکلی که وجود داد گذاشته شد.

گزارش اسکن آنلاین فایل های آپلود شده در VT.

35 آنتی ویروس از 42 تا شناسایی کردند.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

13 از 42

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

12 از 43

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

17 از 43

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

6 از 41

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

7 از 43

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**Mohsen khan** · 06-10-2010, 15:19

**jax2** · 06-10-2010, 16:26

سلام
من وقتی آرشیو اسکن کردم کسپرسکای اینا رو شناخت:
setup.exe
Adobe-FlashPlayer.Version.11.3.1.exe
djkiwdxjo2o3.exe

بعد باقی فایل ها رو تک تک اجرا کردم و کسپر از طریق هوش مصنوعی و proactive defence
دوتای دیگه رو تروجان جنریک تشخیص داد به غیر از ard12.exe که با هوش مصنوعی هم نشناخت

**M E H R A N** · 06-10-2010, 17:07

نوشته شده توسط jax2 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
من وقتی آرشیو اسکن کردم کسپرسکای اینا رو شناخت:
setup.exe
Adobe-FlashPlayer.Version.11.3.1.exe
djkiwdxjo2o3.exe

بعد باقی فایل ها رو تک تک اجرا کردم و کسپر از طریق هوش مصنوعی و proactive defence
دوتای دیگه رو تروجان جنریک تشخیص داد به غیر از ard12.exe که با هوش مصنوعی هم نشناخت

ممنون بابت نتیجه ای که گفتی

اما این نکته رو در نظر داشته باش که حتی وقتی که کسپرسکی از روی Proactive خرابکاری های فایل اجرا شده رو بهت خبر میده دلیل نمیشه که اون فایل نتونسته آسیبی رو به سیستم برسونه. البته کسپرسکی در این زمینه قویه و اگر پیغامی رو نشون بده و کاربر بدونه که کدام گزینه رو انتخاب کنه تا حد زیادی میشه مطمئن شد که از خرابکاری های فایل مخرب اجرا شده جلوگیری کرده.

برای اینکه مطمئن بشید که سیستم شما بعد از اجرا کردن این نمونه ها پاکه شما باید توسط برنامه های مختلفی مانند Malwarebytes Antimalware و یا Hitman Pro سیستم خودتون رو اسکن کنید تا اگر مخرب تونسته باشه کلید های رجیستری رو دستکاری کنه و یا فایلی رو در جایی کپی کنه اطلاع پیدا کنید.

**sougand1389** · 06-10-2010, 17:11

این هم نتیجه کمودو comodo internet security 2011 :

البته بعد از اجرای بقیه ویرسها به هیچ کدوم اجازه اجرا شدن کامل و نداد و مشکوک تشخیص داد

**M E H R A N** · 06-10-2010, 17:15

تست COMODO Internet Security در مقابل مخرب های پست 944

من همچین تست هایی رو بندرت انجام میدم چون توضیح دادن و عکس گرفتن هاش وقت زیادی رو میبره. اما برای اینکه برای دوستانی که هنوز در امنیت کمودو دو دل هستند این تست را انجام دادم تا قدم به قدم با هم بریم جلو.
این تست با تنظیمات شخصی خودم بر روی CIS انجام شده. قسمتی از این تنظیمات در پست زیر...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

گفته شده.

بعد از Extract کردن لایۀ دوم آنتی ویروس کمودو تونست 2 فایل آلوده رو از روی دیتابیس تشخیص بده.

بعد اومدم و دونه به دونۀ فایل های باقی مونده ای که بعد از Extract کردن لایۀ دوم rar شده توسط آنتی ویروس کمودو به عنوان فایل آلوده تشخیص داده نشد رو با دابل کلیک کردن روشون اجرا کردم.

فایل ard12.exe: با دابل کلیک کردن بر روی این فایل اتوماتیک داخل سند باکس رفت و هیچ پیغام دیگه ای از طرف کمودو نشون داده نشد چون خود سند باکس باعث میشه که تمام خرابکاریهایی رو که این مخرب قرار بود به سیستم من بزنه رو اتوماتیک جلوشو بگیره.

ناگفته نمونه بعضی از تروجانها, ویروسها و کرمها طوری نوشته شدند که اگر در سیستم مجازی مانند VMware اجرا بشند خودشون رو غیر فعال میکنند و سعی در خرابکاری و یا آسیب رساندن به هیچ کجای سیستم رو نمیکنند. دلیل این کار هم اینه که نویسنده این نوع مخربها میخواهند که این مخرب ها به یک سیستم واقعی آسیب برسونند نه به یک سیستم مصنوعی که تنها دلیلش هم پیدا کردن رد و پای مخربهاست.

فایل djkiwdxjo2o3.exe: با اجرا کردن این فایل 2 پیغام از طرف CIS به من نشون داده شد. اولین پیغام از طرف آنتی ویروس بود که میگفت من این رو به عنوان یک روتکیت TDSS شناسایی کردم. دومین پیغام هم مربوط به فایروال کمودو بود و مخرب اجرا شده سعی داشت به اینترنت وصل بشه.

بنابراین اول بر روی Clean در پیغام آنتی ویروس کلیک کردم و بعد هم به درخواست وصل شدنش به اینترنت جواب منفی دادم. هر چند که اگر بهش اجازۀ وصل شدن هم میدادم کاری نمیتونست بکنه چون با زدن Clean خود فایل از سیستم پاک میشه و بنابراین فایلی وجود نداره که بخواد به اینترنت وصل بشه.

فایل p2p.exe: بعد از اجرا کردن این فایل Behavior Blocker که یکی از لایه های محافظتی CIS است با پیغامی به من خبر داد که یک مخرب احتمالی رو از روی هوش مصنوعی و رفتار شناسی, شناسایی کرده.

خب وقتی در پیغامی که به رنگ قرمز هست نشانۀ خطرناک بودن اونه و از طرفی هم در توضیحات گفته شده که احتمال مخرب بودن فایل وجود داره بهترین و عقلانی ترین راه Block کردن اون هست.

بعد از بلاک کردن فایل و وقتی که پیغام بالا غیب شد متوجه شدم که حتی اگر من در پیغام بالا Allow را هم میزدم خطری سیستم من رو تهدید نمیکرد چون فایل اجرا شده اتوماتیک وارد Sandbox شده بود.

فایل setup.exe: بعد از اجرا شدن این فایل اتوماتیک داخل سند باکس رفت و چون این مخرب نمیتونست داخل سند باکس و با محدودیت هایی که براش وجود داره کارش رو بکنه یک ارور داد که من نمیتونم اجرا باشم و باید بسته بشم.

من هم OK رو زدم.

تمام فایل ها تا اینجا اجرا شدند. وقتی به سند باکس کمودو رفتم دیدم که فقط یکی از این مخرب های اجرا شده در سند باکس بصورت فعال باقی مونده که البته کاری هم نمیتونه بکنه. من هم با کلیک راست کردن روش و زدن Terminate بستمش.

+Defense هم گزارش داد که تا حالا 30 نوع حمله ای که از طرف این مخربها بعد از اجرا شدنشون به سیستم انجام دادن را جلوشو گرفته.

بعضی از این حملات و خرابکاری ها همونطور که از عکس بالا معلومه شامل دسترسی مستقیم به کیبرد, دستکاری فایل های سیستم, اضافه کردن کلید های رجیستری و غیره رو شامل میشه.

تا اینجای کار فقط پیغامهایی از طرف Firewall و Behavior Blocker از طرف CIS نشون داده شد. یعنی حتی کار این مخرب ها به جایی کشیده نشد که پیغامهای HIPS در کمودو آسیب رسانی رو به سیستم اعلام کنند. HIPS هم بخشی از +Defense در کمودو است که مثلا میتونه پیغامهایی رو در صورت کپی کردن توشته های تایپ شده در کیبرد و یا فیلم برداری کردن و عکس گرفتن از صفحۀ دسکتاپ و یا ساخته شدن نوع جدیدی از ویروس و یا تزریق کردن کدهای آلوده به فایل های دیگر و غیره ... رو به کاربر اعلام کنه.

برای اینکه مطمئن بشم که این مخربها فایل هایی رو در پوشه های Program Files و Appdata کپی نکردند اومدم و با برنامه های MalwareBytes Antimalware و Hitman Pro سیستم رو فول اسکن کردم. این پوشه هایی که نام بردم توسط Automatic Sandbox در کمودو جزو پوشه های محافظت شده نیستند و دلیلش رو هم قبلا در تاپیک کمودو گفتم. اگر دوست داشتید میتونید برید بحث های اونجا رو بخونید.Automatic Sandbox یعنی همین پیغامهایی که در بالا در صورت اجرا شدن یک فایل ناشناخته از طرف سند باکس کمودو دریافت میشه با Manual Sandbox که از طریق کلیک راست کردن و یا بصورت دستی وارد سند باکس کردن فرق میکنه. در Manual Sandbox حتی پوشه های نامبرده شده نیز محافظت شده هستند و خربها در صورت اجرا شدن از طریق Manual Sandbox اجازۀ کپی کردن فایل های خودشون رو به این پوشه ها ندارند.

نتیجۀ اسکن توسط MalwareBytes AntiMalware

همینطور که از عکس مشخصه یکی از این مخربها تونسته 2 تا فایل رو به پوشۀ Appdata در سیستم من کپی کنه., حالا کدومشون نمیدونم اما اگر کسی خواست میتونم دوباره تست بگیرم تا این دفعه بفهممم کدومش بوده.

این فایل ها فقط کپی شدند اما بصورت فعال نیستند و در مموری هم قرار ندارند بلکه مخرب ناشناس فقط تونسته فایل های خودش رو به این پوشه کپی کنه اما چون اجازۀ اجرا کردن فایل svchost.exe رو که از طرف sandbox تعیین میشه رو نداشته بنابراین نتونسته فایل آلودۀ svchost.exe رو اجرا بکنه.

اگر این فایل اجرا میشد و در سیستم فعال میشد برنامۀ MBAM در قسمت Category که با فلش قرمز نشون دادم کلمۀ Memory را مینوشت.

نتیجۀ اسکن توسط Hitman Pro
بعد از پاک کردن این 2 فایل که MBAM در سیستم ن پیدا کرد این دفعه اومدم و توسط Hitman Pro که از دیتابیس آنتی ویروس های زیر جهت اسکن استفاده میکنه, استفاده کردم و سیستم رو باهاش اسکن کردم.

Ikarus
Avast
Bitdefender
Dr.WEB
Emsisoft -Asquared
PrevX

بعد از تمام شدن اسکن توسط Hitman Pro فقط برنامه های سالم من به عنوان فایل ناشناخته پیدا شد.

این تشخیص ها درست نبوده و به عنوان False Positive مرفی میشه. به همین دلیل خود Hitman Pro در رو بروی هر فایلی که پیدا کرده اتوماتیک Do not delete را انتخاب کرده بود. البته من فکر میکنم که دلیل پیدا کردن فایل ها و برنامه های من استفاده از پچ برای کرک کردن فایل اجرایی نرم افزار های پیدا شده باشه. مثلا برنامۀ Trillian Astra و یا Babylon رو من توسط پچ کرک کردم تا بتونم ازشون استفاده کنم.

نتیجۀ اسکن توسط Avira Antivir

مخلصیم

**Dr Hannibal** · 06-10-2010, 17:28

تشکر از wordist عزیز برای بازگشایی مجدد تاپیک.

=============================

مهران جان عالی بود.

موقع اجرا مخرب ها اون چند فایل رو توی پروتکت فایل مگه ثبت نکرده بودید ؟

نام تاپيک: دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

اختيارات تاپيک

5 کاربر از wordist بخاطر این مطلب مفید تشکر کرده اند

13 کاربر از wordist بخاطر این مطلب مفید تشکر کرده اند

11 کاربر از wordist بخاطر این مطلب مفید تشکر کرده اند

9 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از Mohsen khan بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از jax2 بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از sougand1389 بخاطر این مطلب مفید تشکر کرده اند

29 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

3 کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده اند

Thread Information

Users Browsing this Thread

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن