keylogger جاهز للتجربة

ملخص مفيد

إلى من يعتقد بقوة جدران الحماية

إلى من ما زال يؤمن بالإعتماد على برنامج ما

أهدي هذه الصورة



ملتقطة صباح اليوم لاحد اتصالات الملف googei.exe .....اكتشفتها صدفة :?: -اتصال متقطع للملف-

اعتقد جازما ان الاتصال للملف لان الويندوز منصب خصيصا لتجريب googei.exe !!!!!

googei مصمم ليعمل مع الفايرفوكس = عند تشغيل الفايرفوكس يبدأ الكيلوجر بالعمل في الخلفية :d:

لذلك لا تكشف اتصالاته الا مع تشغيل الفايرفوكس :king:



*******************************************

اقوى جدار ناري موجود (comodo)....سمح باتصال دون اعلامي حتى :?: فما بالك بالآخرين :hh:

عندنا لا ياتي التحذير من هذا الملف من طبقات الحماية الاخرى، لا ينفع الجدار الناري في منع الاتصال

عنوان ايبي غريب :?: .........بحثت عنه فوجدت ما لا يسر الناظرين :er:






http://www.mywot.com/en/scorecard/72.21.91.19

نعم ....... ببساطة اتصل بعنوان للتحكم عن بعد .....بمعنى تم قرصنة جهازي (جهاز احتياطي :bleh

بهذا يكون للملف عدة سرفرات للاتصال...:i: كيلوجر وعليه الكلام k:

لا تنفع معه جدران الحماية :y: ......

الحل الان هو فرمتة الجهاز وتغيير الايبي ...وكذلك انصح كل من جرب googei.exe على جهازه الحقيقي

فالتخلص من هذا الكيلوجر شبه مستحيل ....فقد حقن نفسه في المتصفح + عدة خدمات في الويندوز

تحليل مفصل لعمليات الكيلوجر : هنا

دمتم .

​

 

مشكورين يا الغوالي

تحياتي
​

 

فى المواقف الى زى دى الجرى نص المجدعه عشان كدا انا بدخل اتفرج بس انا ادخل بأيدى جهازى فيرس ولا كيلوجر ليه؟

:cr: :hh:
​

 

يافديتــــك يا كريــم يأخي قسم بالله أنـــك كذا .. k: )
ما استنتجته من هذا العنييد
:q:
الكيلوجر يعمل مع انظمه وانظمه لأ
مضاد للاجهزه الوهميه
ربمأ يتم رصده مع اول محاوله تشغيل وربماً لاحقاً
:u:
يستخدم تقنيةة تضليل للجدران الناريه لم ارى لهاً مثيل
:no:
جعل الكل في حيره من امرهم وجعل البعض يتسرع في احكامه
:i:
كيلوجر غير عن اي كيلوجر
كاد ان يتسبب في قفل عضويه عزيزه جداً على قلبي ولكن ولله الحمد جت الامور سليمه
:b:
العلامات لمخترع هذه البرمجيه ترتفع الى السماء ثم تنزل الى الاسفل ثم ترتفع مثل الاسهم ب الضبط
ولكن استقرت في العلالي
:king:
يلوموني فيك ي كريم ويا جعلنا ما نننحرم من تحليلاتك الاحترافيـه
أحلى شخصي محقون في التقيييم مدمج ب هذا الكيلوجر المضلل
:d:
قد يعمل الان وقد يرفض العمل والسبب هو جدأر الزيزوم الاقوى المسمى
( سمعات )
:hh:
تحيأتي ي بعدهم
:king:
تعديل
كما توقعت تم رصده من جدأر السمعات



:king:
​

 

بارك الله فيك
5/5
:king:
​

 

جميل جدا على الرغم من ذلك الملف لم يتصل عندي نهائيا باي شكل و عضدت ذلك بالفيديو مرتين ,

قد يمر الملف على الكومودو باعدادات افتراضية , لكن تجربتي كانت تحليليه

فيها حذفت فيها جميع قواعد الكومودو حتى للويندوز ,

و وضعت الجدار على اليدوي ,, يعني سينبهني على الفايرفوكس ايضا !! :u:

و قمت بتقديم الوقت و كنت مع مراقبة الاتصال بغير الكومودو

اذا ظهر اتصال و لم انتبه له فهذا امر ,,, اما عند عدم ظهور اتصال نهائيا كما حدث معي فهذا يعني ان الملف لم يتصل

تحليلي لعدم اتصال الملف عندي صحيح 100% و لا اعرف السبب في ذلك بصراحه
لكه لــــــــم يتــــصــــل عندي .

لذا يبقى الملف فشل في الاتصال عندي

ربما الملف مشفر عن جهازي بالتحديد ؟؟ :d:
​

 

عاشت يمينك

بارك الله فيك

5/5


​

 

k:k:k:k:

بارك الله فيك اخي كريم على تحليل رائع مثل هذا

لكن

للاسف طلع الملف مشفر على جهاز عضو في زيزووم :d::hh:
​

 

التجربة الاولى

نظام حقيقي وندوز 7 32 bit

عملت snapshot للنظام باداة الايست
SysInspector

KIS 2010 الوضع الافتراضي

قمت بتعطيل الانتي فيروس

الكاسبر عمل بلوك على الملف ووضعه فى Blocked



فيديو التجربة

http://www.mediafire.com/?12c9d1z5r0r3cd5


التجربة الثانية

ساجعل الكاسبر يشغل الملف لمراقبة نشاطاته
​

 

ارسل

 

تشغيل الملف على نظام حقيقي

windows 7 32 bit

KIS 2010

تم تعطيل الانتي فيروس

هذه جميع نشاطات الملف


































الملف لم يتصل بالانترنت الجهاز متصل بالانترنت اكثر من 3 ساعات والملف يعمل فى الذاكرة


لم تتم عملية حقن لاي ملفات النظام او برنامج يعمل فى الوندوز

خلاصة تنبيهات الكاسبر

البرنامج قام بتشغيل ملف اخر فى الذاكرة اسمة googei.exe بعد ذلك قام بحذف هذا الملف ثم قام بتشغيله من جديد ظهرت رسالة خطأ ان ملف
Mozsqlite3.dll
غير موجود

باقى الاوامر

مخصصة لمراقبة التصفح والمواقع التي تزورها من خلال متصفح الاوبرا والفايرفكس

اي ان الملف عبارة عن Bot كما قلت في مشاركة سابقة لى

يمكن ان يرسل عنوانك فى المستقبل Remote الى موقع من اجل الاختراق

Ddoss Attack

استخدامه الاكثر من اجل السبام


فحصت جميع ملفات النظام والاتصالات باداة الايست

كل شي طبيعي لم تتم عملية حقن او تغير قيد انملة فى النظام


لمن شغل البرنامج على جهازه ويقول انه تم حقن ملفات الوندوز والفايرفكس

ممكن يشغل الكيلوجر مرة ثانية

وبعد ان يتم الحقن والاتصال بالانترنت ارجو ان يحمل اداة الايست

من هنا

eset systeminspector

http://go.eset.com/us/download/free-antivirus-utilities

بعد تشغيل الاداة قم بحفظ التقرير وارفقه فى المشاركة القادمة

اختر File من اعلى الشاشة فى اليمين

ثم

Save log




فعلا غريب امر هذا الملف يعمل على اجهزة واجهزة لا يعمل عليها؟؟
؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
​

 

بارك الله فيك ..ومنك نتعلم المزيد اخى هيثم
ولكن استفسار لماذا تمت التجربة على نسخة 2010 وليست نسخة 2012 وهل لهذا علاقة بعدم تشغيل الملف حيث من قبل تم التجربة على نسخة 2012 والملف اتصل بدون مشاكل....هل فى رايك ان نسخة 2010 اقوى ​

 

بارك الله فيك أستاذ : هيثم

أنا شغلته على جهازي الحقيقي وليس الوهمي
حاول أن يتصل بالنت وكشفه الكومودو
وعطيته بلوووووووك
وبعد البلوك فتحت الدوس وكتبت الأمر
netstat -ano
وكانت النتيجة : لايوجد أي إتصال بالنت

مافيه داعي للتهويل وإعطاء هذا الملف أكبر من حجمه


أشكرك جزيل الشكر على التجربة الرائعه

والبعيدة عن التهويل والمبالغة
​

 

هلا اخوى فهد

لا اقصد التهويل او اي شي

ولكن ربما البرنامج لم يعمل بشكل صحيح عندى وهذا غريب جدا؟؟!!!!!!!!!!!!!

التجربة كانت على جهازي الشخصي وندوز حقيقي وليس وهمي

كل قصدي اردت مراقبة نشاطاته على الاجهزة التي عمل عليها؟؟

ولم اقصد الاتصال بالنت


​

 

البرنامج مكشوف من الكاسبر على انه
Trojan Dropper


​

 

السلام عليكم .....

قالها أبو العباس ...وأقولها أنا أيضا .......

بعض الاعضاء ....لو اعطيناهم STuxNet او Duku لقالوا أنه لا يصل ......ولا يعمل :i:

السؤال لمن يدعون الخبرة : هل جربتم تحليل الملف لمعرفة ما يفعله ؟؟؟؟

هل علمتم علاقة الكيوجر بالمتصفح ؟؟؟؟؟

ثم هل شغلتم المتصفح ؟؟؟ لمعرفة عدد الاتصالات الصادرة و اتجاهها وعنوانها ؟؟؟؟

هل تستطيعون التفريق بين الاتصال الوهمي والحقيقي ؟؟؟؟؟

ما مدى إلمامكم بتقنيات القرصنة و كشف التلغيم ؟؟

كم امضيتم من وقت وجهد في مراقبة الاتصالات ؟ .......أياما بلياليها ؟؟؟؟

السؤال يبقى مطروح هاهنا ....ولا يهمني الحصول على إجابات.....

فقط : فاقد الشيئ لا يعطيه ....وذلك يشملني ويشملكم

أنا أعطيت تحليلي موثقا بالصور وتحليل الخبراء .....جهازي تمت قرصنته بعد تشغيل googei.

وأعطيتكم تحليل مفصل من موقع anubis ....من المفروض ان تشغلوا متصفحكم مع برنامج رصد اتصالات

متقدم ....لكشف الاتصالات المشبوهة :?: ثم نتناقش ....وليس العودة الى نقطة الصفر والتشكيك :?:

هكذا يكون النقاش العلمي وهكذا نرتقي ...يا عرب :f:

ولكن : لمن تقرأ زابورك يا داوود !!!!!!

تسجيل خروج من الموضوع


​

 

TrojanDropper:Win32/Injector

هو عبارة عن backdoor يعمل فى الخفاءbackground وعادة يبحث عن ثغرة ويرسل Remote الى جهاز الهكرز من الاختراق والسيطرة على جهاز الضحية (DDoS) attacks

الملف ليس بكيلوجر
​

 

تعلم فليس المرء يولد عالما *****وليس أخو علم كمن هو جاهــــل‏

TrojanDropper:Win32 ينتمي لعائلة الكيلوجر ........لمن يصر على الخطأ :?:

http://www.threatexpert.com/report.aspx?md5=96ed12eca2c5b2253d15c8a653622065


​

 

من الجاهل؟؟؟

لم ارى فى حياتي شخص يتلاعب فى التقارير وفى كل شي ويرواغ لابعد الحدود

ولن ارد عليك بل ساشتكيك للادراة

لانك لا تحترم احد وتتلاعب بالنتائج وتستخف بعقول الجميع

اولا تقرير ثريت اكسبرت الذي رفعتة هو لملف مختلف عن ملف التجربة

انظر لرقم الهاش بنفسك وحجم الملف

http://www.threatexpert.com/report.aspx?md5=830b0848b05b3bbc7193cbaa2abd9993

طلبت منك ان تشغل الملف بجهازك وان تشغل اداة الايست وان ترفع لى التقرير

لكنك رفضت لانني كشفتك واصبحت تتصرف كالاطفال





​

 

وهذا فحص بتاريخ اليوم قبل قليل من ثريت اكسبرت

http://www.threatexpert.com/report.aspx?md5=830b0848b05b3bbc7193cbaa2abd9993

رقم الهاش وحجم الملف
مختلف
فلماذا المرواغة؟؟

​