تعريف Tdss-rootkit + اداة كاسبر للقضاء على الروت كيت

الموضوع في 'منتدى الشروحـات المميزة لبرامج الحمـاية' بواسطة البارون, بتاريخ ‏فبراير 8, 2012.

  1. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    بسم الله الرحمن الرحيم

    والصلاة والسلام على سيد الانبياء والمرسلين وزوجه وصحبه اجمعين

    اللهم اني احبهم فاحشرني معهم

    اللهم لا علم لنا الا ماعلمتنا



    ملخص وفكره عن النوع من البرمجيات الضاره


    ماهي عائلة Tdss-rootkit

    هي عباره عن برمجيات معينه ظهرت في عام 2008 وبدات في التطور ولا زالت تتطور الهدف منها السيطرة على الاجهزة المصابة وابتزاز اصحابها

    وجعلت شركات الحماية تعاني الامرين بسبب هجماتها المتكرره

    للا ستفاده وقرات تاريخ هذا النوع من الاصابات


    وكانت ولا زالت تستهدف بشكل خاص Master Boot Record (( سجل التمهيد الرئيسي للوندوز ))


    هذا النوع من الاصابات ذاتي الانتشار وينتقل عن طريق الشبكة العنكبوتيه وخاصه المواقع الربحيه ومواقع الكركات والسريالات
    وينتقل تلقائيا من جهاز كمبيوتر إلى آخر من خلال الاتصال بالشبكة


    ويصيب جميع انظمة الوندوز حتى الفيستا والسفن


    مجال خطورته


    يتمكن هذا النوع من البرمجيات باخترق هذا نظام (ويندوز API) وتعديل وظائفه



    ماهو (ويندوز API)


    هي اختصار لهذه الجملة بالانجليزية :Windows Application Programming Interface
    و تعني واجهة برمجة التطبيقات و التي تتعامل بالأساس مع مكتبات الربط الديناميكي أو DLL
    (Dynamic Link libraries) و أغلب هذه المكتبات مخزنة في المسار التالي :
    \WINDOWS\system32\



    ويمكن إخفاء مثل هذه البرمجيات الخبيثة بشكل فعال ووجودها في هذا النظام. وعلاوة على ذلك الجذوروالملفات الخفية لهذا النوع من الروت قادرا على اخفاء نفسها في عمليات والمجلدات والملفات الموجودة على القرص
    الخاص بنظام التشغيل و مفاتيح التسجيل المذكورة في التكوين الخاص بها (مخبأة كذلك) في النظام


    اعراضه


    جعل جهاز الكمبيوتر الخاص بك يعمل بشكل أبطأ بكثير، وحتى تتوقف عن الاستجابة في يوم من الأيام ويبداء التهديد الحقيقي في الظهور من خلال رسائل تطالبك بالدفع وخدعت ان كمبيوتر انتهك وعمل ووو


    صورة لمشكلة السيطرة على الجهاز بهذا النوع من الروت كيت


    [​IMG]



    الحل الانجع من ناحية دراستي لهذا النوع من الاصابات


    طبعا توجد ادوات كثيره للتعامل مع الروت كيت ولكن افضل الادوات هي الادوات التي تعمل بدون تثبيت بورتبل كالاداة في شرحنا هنا

    اداة الكاسبر

    TDSSKiller

    اولا حمل الاداة من هنا


    رابط مباشر من الشركة ومحدث دوريا

    موصفات الاداة

    تعمل على جميع الانظمه 86 و64

    الاداة تفحص في الوضع الامن



    الاصابات التي تتعامل معها


    Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b, Rootkit.Boot.Bootkor.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.SST.b, Rootkit.Boot.Fisp.a, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Backdoor.Win32.Phanta.a,b, Trojan-Clicker.Win32.Wistler.a,b,c, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Cmoser.a, Virus.Win32.Zhaba.a,b,c, Trojan-Dropper.Boot.Niwa.a, Rootkit.Boot.Clones.a.

    ------------------------------------------------

    طريقة الفحص


    تابع الصور

    [​IMG]




    [​IMG]



    [​IMG]




    [​IMG]



    عند ظهور الرسالة الاخير اضغط reboot computer لاعادة تشغيل الجهاز

    وستجد التقرير في هذا المسار على شكل ملف نصي

    C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt


    الدرايف المثبت عليه النظام

    اسم الاداة واصدارها

    تاريخ الفحص

    وقت الفحص




    الاداة تلقائيا تقوم بالتنظيف وبالعزل والحذف
     
    5 شخص معجب بهذا.
  2. iadobe

    iadobe زيزوومي مميز

    إنضم إلينا في:
    ‏نوفمبر 28, 2011
    المشاركات:
    511
    الإعجابات المتلقاة:
    38
    نقاط الجائزة:
    530
    الإقامة:
    earth
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows 7
    بسم الله الرحمن الرحيم

    شكرا ليك موضوع مميز
    ربنا يجعلك من أهل الجنة
     
  3. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7

    جزاك الله خير اخوي وجعلك من اهل جنته ايضا
     
  4. د. أفاست

    د. أفاست عضو شرف

    إنضم إلينا في:
    ‏ديسمبر 8, 2009
    المشاركات:
    13,057
    الإعجابات المتلقاة:
    1,932
    نقاط الجائزة:
    1,070
    الإقامة:
    بين الفيافي الزيزومية
    برامج الحماية:
    Emsisoft
    نظام التشغيل:
    Windows 7
    تسلم يالغلا الأداة جداً رائعة

    ولا يمكن الاستغناء عنها

    تقييم بنوعيه ..
     
  5. laz

    laz زيزوومي محترف

    إنضم إلينا في:
    ‏مايو 6, 2008
    المشاركات:
    2,624
    الإعجابات المتلقاة:
    244
    نقاط الجائزة:
    820
    الإقامة:
    زيزوميه وبس
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    [​IMG]
     
    laz,
  6. سهران يا ليل

    سهران يا ليل زيزوومي VIP

    إنضم إلينا في:
    ‏يناير 11, 2012
    المشاركات:
    6,402
    الإعجابات المتلقاة:
    4,536
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
  7. الخفـوق

    الخفـوق خبراء تحليل ملفات نجم المنتدى

    إنضم إلينا في:
    ‏أكتوبر 29, 2009
    المشاركات:
    14,406
    الإعجابات المتلقاة:
    8,708
    نقاط الجائزة:
    1,220
    الإقامة:
    zyzoom
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    بارك الله فيك
    ورضي عليك

    أداه رائعـه من شخص أروع

    :king:
     
  8. إلى متى

    إلى متى زيزوومي مبدع

    إنضم إلينا في:
    ‏يناير 1, 2010
    المشاركات:
    1,199
    الإعجابات المتلقاة:
    120
    نقاط الجائزة:
    650
    الإقامة:
    .
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows XP
    اداه قويه وميزتها سرعه بالفحص

    لاهنت البارون
     
  9. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    جزاكم الله خير الجزاء اخواني تم طرح صورة للانتشار الجديد من هذه البرمجيات الخبيثه

    خلال هالفتره من قسم المشاكل ​
     
  10. manar58

    manar58 زيزوومي مبدع

    إنضم إلينا في:
    ‏نوفمبر 2, 2007
    المشاركات:
    1,213
    الإعجابات المتلقاة:
    117
    نقاط الجائزة:
    650
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    [​IMG]
     
  11. 3zoz

    3zoz زيزوومي ذهبي

    إنضم إلينا في:
    ‏أغسطس 11, 2009
    المشاركات:
    6,122
    الإعجابات المتلقاة:
    1,255
    نقاط الجائزة:
    1,020
    الإقامة:
    KSA > Zulfi
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    [​IMG]
     
    3zoz,
  12. wajdi abu lail

    wajdi abu lail زيزوومي ذهبي

    إنضم إلينا في:
    ‏مايو 5, 2009
    المشاركات:
    4,484
    الإعجابات المتلقاة:
    1,140
    نقاط الجائزة:
    1,020
    الإقامة:
    فلسطين وأفتخر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    تسلم بارك الله فيك
    استخدم الاداه منذ زمن طويل وهي فعلا رائعه
    هناك خيارات اخرى للاداه للبحث عن الدرايفات المشكوك بامرها او لا تحمل توقيع رقمي للخبراء فقط لان اي حذف لملف خاطىء قد يتسبب بمشكله ما

    [​IMG]

    تم التقييم
     
  13. الخفـوق

    الخفـوق خبراء تحليل ملفات نجم المنتدى

    إنضم إلينا في:
    ‏أكتوبر 29, 2009
    المشاركات:
    14,406
    الإعجابات المتلقاة:
    8,708
    نقاط الجائزة:
    1,220
    الإقامة:
    zyzoom
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1


    عضو آخر تم اصاابته
    بنفس الاصابه
     
  14. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    جزاكم الله خير اخواني على المرور الكريم ولا تنسونا من صالح الدعاء
     
    1 person likes this.
  15. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7

    الله يجزاك خير لا اهتم بالتقييم دعوة تكفي

    عشان كذا اخوي الافضل ندعها على الافتراضي في البحث عند الاستخدام
     
  16. الختيار

    الختيار زيزوومي محترف

    إنضم إلينا في:
    ‏فبراير 13, 2010
    المشاركات:
    1,364
    الإعجابات المتلقاة:
    879
    نقاط الجائزة:
    720
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    بارك الله فيك
     
  17. مفارق

    مفارق زيزوومي ذهبي

    إنضم إلينا في:
    ‏نوفمبر 27, 2011
    المشاركات:
    2,121
    الإعجابات المتلقاة:
    1,812
    نقاط الجائزة:
    970
    الإقامة:
    منار الهدى
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows8.1
    هلا وسهلا فيك مبدعنا / البارون

    الأداة جرّبتها اليوم لعلّها تنقذ الويندوز من مشكة لم يكن يخطر ببالي أنّ سببها (الروتكيت) ولكن قلت لعلّ وعسى .. والنّتيجة سيئة (لا إصابات) !!

    وبعدها فحصت بالمالوير بايتس .. ووجدت عدد 3 روتكيت ,, وبعهدها تحرّر الجهاز بعد إعادة التشغيل

    ملاحظة: الجهاز لم يكن يعمل إلّا بطريقين: الأولى.. عن طريق تشغيل كلّ برنامج أريده كمسئول .. والثانية: السيف مود

    القصد من هذه المداخلة الاستفادة عن هذا الخلل في الأداة ، هل الفايروسات غير محدّثة في القاعدة من قبل .. وكيف استطاعت المالوير الاكتشاف ؟

    بارك الله فيك
    [​IMG]


    [​IMG]


    هذا .. والله على ما أقول شهيد

    ...
     
  18. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    حياك الله اخوي ماعندنا فيك شك ولا ريب والله يجزاك خير تثري الموضوع بطرحك

    انا ماقلت كل الروت كيت انا تكلمت عن عائلة Tdss-rootkit

    وهي من اخطر انواع الروت كيت بسبب سيطرتها وخبثها ومحاولة استغلال المستخدم من خلالها

    وبالله اسدح لي تقرير المارلوبيت اشوف نوع الروت كيت اللي عندك
     
  19. مفارق

    مفارق زيزوومي ذهبي

    إنضم إلينا في:
    ‏نوفمبر 27, 2011
    المشاركات:
    2,121
    الإعجابات المتلقاة:
    1,812
    نقاط الجائزة:
    970
    الإقامة:
    منار الهدى
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows8.1
    هذا التقرير .. ولا زلت أفحص على فترات وأجد روتكيت

    لاحظ الصورة اللي بعد التقرير

    وللمعلوميّة .. فحصت تقريباً بجميع الأدوات ومنها الأدوات المحمولة للأفيرا .. والنورتون حتى بأداته (باور إيريزر) و د . ويب ، والحصان الذهبي

    وكلّها لم تكتشف شئ



    Malwarebytes Anti-Malware (PRO) 1.60.1.1000
    www.malwarebytes.org
    نسخة قاعدة البيانات : v2012.02.07.04
    Windows 7 Service Pack 1 x86 NTFS (الوضع الآمن/عمليات الشبكة)
    Internet Explorer 9.0.8112.16421
    dell :: DELL-PC [مدير]
    الحماية: معطلة
    16/03/33 04:15:56 ص
    mbam-log-2012-02-08 (04-15-56).txt
    نوع الفحص : فحص سريع
    خيارت الفحص الممكنة: الذاكرة | بدء التشغيل | الريجستري | نظام الملفات | أساليب بحثية/غير ذلك | Shuriken/أساليب بحثية | PUP | PUM
    خيارات الفحص المعطلة: P2P
    الكائنات المفحوصة : 156427
    الوقت المنقضي : 3 دقيقة, 8 ثانية
    عمليات الذاكرة المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    وحدات الذاكرة المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    مفاتيح الريجستري المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    قيم الريجستري المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    مواد بيانات الريجستري المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    المجلدات المصابة : 0
    (لم يتم إكتشاف مواد ضارة)
    الملفات المصابة : 3
    C:\Windows\1197791.exe (Rootkit.Agent) -> تم بنجاح العزل و الحذف
    C:\Windows\4418868.exe (Rootkit.Agent) -> تم بنجاح العزل و الحذف
    C:\Windows\7842544.exe (Rootkit.Agent) -> تم بنجاح العزل و الحذف
    (و)

    [​IMG]


    أشكرك مبدعنا .. على التوضيح

    ولك غالي تحيّاتي
     
  20. البارون

    البارون زيزوومي فضي

    إنضم إلينا في:
    ‏مارس 1, 2008
    المشاركات:
    13,589
    الإعجابات المتلقاة:
    501
    نقاط الجائزة:
    870
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    والله ياخوك الروت كيت ماهو واضح من اي عائله

    تقدر ترفعه لي

    تحصلها في المسار هذا

    C:\Documents and Settings\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine



    اضغط الملفQuarantine وارفعه لي وارسله على الخاص ​
     

مشاركة هذه الصفحة

جاري تحميل الصفحة...