haitham653
زيزوومى مبدع
غير متصل
السلام عليكم
اليوم اقدم لكم روتكيت مدمج مع فلاش بلير
الفيروس باختصار هو Kernel Level Screen logger
وهو ينتمي الى عائلة الروتكيت
يقوم بتسجيل الشاشة screen logger ومن ثم يخترق النظام من منطقة الكيرنل حتى لا ينكشف امرة
ويرسل البيانات عن طريق svchost الى جهاز المخترق !!!!
الوندوز يستخدم svchost للاتصال بالنت اي الجدار الناري لن يرصدة بل سيرصد svchost وهو ملف امن !!
هام جدا لاتجرب على نظام حقيقي جربت منذ الصباح اكثر من 7 ادوات ولا واحدة رصدت حركاته و اكتشافه صعب ولا ينفع معه الا الفورمات
التجربة الاولى
Online Armor
يريد ان يأخذ صورة للشاشة Screen Logger
تحميل ملف dll في ال Temp
حقن النظام ب Payload او ما يعرف ب API hook
الهدف اصابة منطقة Kernel
بعد ذلك تمت السيطرة بشكل مطلق على svchost
اتصال لانترنت من ملفات ال Temp
طبعا بعد انتهاء العملية تمت السيطرة على النظام والروتكيت سيتصل عن طريقsvchost
طبعا علامة اصابة النظام
العلامة الكاملة للاونلاين ارمر
فيديو التجربة
OA.rar
التجربة الثانية
Bitdefender Internet Security 2011
البعض قد يسال لماذا 2011
نصبته بالامس للقيام ببعض التجارب وكان محدث فقمت بتجربته اليوم
الروتكيت محمي بكلمة سر حتى لا تكتشفه برامج الحماية
لحظة التشغيل البتدفندر قضى عليه بضربة واحدة من خلال وحدة
Intrusion Detection System
علامة كاملة للبتدفندر
فيديو التجربة
BDavi.rar
التجربة الثالثة
كاسبرسكي انترنت سيكيورتي 2013
بالوضع الافتراضي
اذا اخترت Yes I trust It
سيتم اختراق النظام بنجاح
اذا اخترت Restrict
سيوقف الملف
فيديو التجربة
KIS.rar
الكاسبرسكي بالوضع اليدوي
لم ينجح في رصد الكيلوجر
لم يرصد عمليات ال Kernel
انذارات كثيرة ومبهمة نوعا ما حتى المستخدم المحترف قد يصاب
باعتقادي الكاسبر فشل بالوضعين ولكن ساعطيه 50%
فيديو التجربة
KIS2.rar
التجربة الرابعة
ايست سمارت سيكيورتي 5
باقصى الاعدادات
فشل بامتياز مع مرتبة الشرف
Eset.rar
التجربة الخامسة
كمودو انترنت سيكيوروتي
جربت الكمودو في جميع الاعدادات الفرق كان في رصد الاتصال في النت فقط على العموم
رسالة الكمودو Unlimited Access to your Computer اي ان البرنامج يريد ان يحصل على تصريح مطلق
ويقصد الكمودو هنا انه اذا سمحت للملف قد لا يستطيع الكمودو رصد حركاته في النظام
الخلاصة اذا تم تشغيله في الساندبكس فان الروتكيت لم يعمل !!!!
اذا اخترت Allow راحت عليك وسيتم اختراق النظام
العملية الاخرى التى رصدها الكمودو بعد رفع الاعدادات محاولة الاتصال بالنت
حتى الاتصال لا يبدو خطيرا من تحذير الكمودو !!!
ايضا لم يرصد الكيلوجر ولم يرصد عمليات الكيرنل مثل الاونلاين ارمر !!!
السؤال المهم هل Unlimited Access to your Computer تظهر كثيرا وكيف يتعامل معها عادة مستخدمي الكمودو !!!
باعتقادي الكمودو بنفس مستوى الكاسبر مع افضلية بسيطة لصالح الكمودو لانه حذرك من الملف قد يسيطر على النظام !!!
فيديو التجربة
comodo.rar
التجربة السادسة
نورتون انترنت سيكيورتي 2013
فشل مع مرتبة الشرف
فيديو التجربة
Norton 2013.rar
التجربة السابعة
هام جدا : للاسف هنالك الكثير من المتعصبين الذين يجادلون بغير المنطق , انا لست متحيزا لاي برنامج بل قمت بعمل التجارب
وقمت بوضع جميع الاحتمالات والخيارت حتى يستفيد القارئ الكريم ..... وارسلت الملف لمن طلبه فاين التحيز ؟!!
الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافح على التعامل مع الروتكيت من خلال حماية منطقة الكيرنل !!!
البعض يعتقد انه اذا شغل اي ملف بوجود برنامج هيبس فانه قادر على رصد جميع حركات الملف وهذا اعتقاد خاطئ !!
الهدف الثاني اظهار مرونة المكافح وقدرتة على الحماية او منع الاصابة من نقطة الصفر....
تنويه
ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها
Adware او Riskware
Adware - Wikipedia, the free encyclopedia
Riskware - Wikipedia, the free encyclopedia
رابط الفحص على فيروس توتال
https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/
اليوم اقدم لكم روتكيت مدمج مع فلاش بلير
الفيروس باختصار هو Kernel Level Screen logger
وهو ينتمي الى عائلة الروتكيت
يقوم بتسجيل الشاشة screen logger ومن ثم يخترق النظام من منطقة الكيرنل حتى لا ينكشف امرة
ويرسل البيانات عن طريق svchost الى جهاز المخترق !!!!
الوندوز يستخدم svchost للاتصال بالنت اي الجدار الناري لن يرصدة بل سيرصد svchost وهو ملف امن !!
هام جدا لاتجرب على نظام حقيقي جربت منذ الصباح اكثر من 7 ادوات ولا واحدة رصدت حركاته و اكتشافه صعب ولا ينفع معه الا الفورمات
التجربة الاولى
Online Armor
يريد ان يأخذ صورة للشاشة Screen Logger
تحميل ملف dll في ال Temp
حقن النظام ب Payload او ما يعرف ب API hook
الهدف اصابة منطقة Kernel
بعد ذلك تمت السيطرة بشكل مطلق على svchost
اتصال لانترنت من ملفات ال Temp
طبعا بعد انتهاء العملية تمت السيطرة على النظام والروتكيت سيتصل عن طريقsvchost
طبعا علامة اصابة النظام
العلامة الكاملة للاونلاين ارمر
فيديو التجربة
OA.rar
التجربة الثانية
Bitdefender Internet Security 2011
البعض قد يسال لماذا 2011
نصبته بالامس للقيام ببعض التجارب وكان محدث فقمت بتجربته اليوم
الروتكيت محمي بكلمة سر حتى لا تكتشفه برامج الحماية
لحظة التشغيل البتدفندر قضى عليه بضربة واحدة من خلال وحدة
Intrusion Detection System
علامة كاملة للبتدفندر
فيديو التجربة
BDavi.rar
Bitdefender Internet Security 2013
في وضع Auto Pilot
اوقف الروتكيت بدون اي سؤال
فيديو التجربة
BD2013.rar
هذه التجربة هدية لمن يقول ان جدار البتدفندر ضعيف
في وضع Auto Pilot
اوقف الروتكيت بدون اي سؤال
فيديو التجربة
BD2013.rar
هذه التجربة هدية لمن يقول ان جدار البتدفندر ضعيف
التجربة الثالثة
كاسبرسكي انترنت سيكيورتي 2013
بالوضع الافتراضي
اذا اخترت Yes I trust It
سيتم اختراق النظام بنجاح
اذا اخترت Restrict
سيوقف الملف
فيديو التجربة
KIS.rar
الكاسبرسكي بالوضع اليدوي
لم ينجح في رصد الكيلوجر
لم يرصد عمليات ال Kernel
انذارات كثيرة ومبهمة نوعا ما حتى المستخدم المحترف قد يصاب
باعتقادي الكاسبر فشل بالوضعين ولكن ساعطيه 50%
فيديو التجربة
KIS2.rar
التجربة الرابعة
ايست سمارت سيكيورتي 5
باقصى الاعدادات
فشل بامتياز مع مرتبة الشرف
Eset.rar
التجربة الخامسة
كمودو انترنت سيكيوروتي
جربت الكمودو في جميع الاعدادات الفرق كان في رصد الاتصال في النت فقط على العموم
رسالة الكمودو Unlimited Access to your Computer اي ان البرنامج يريد ان يحصل على تصريح مطلق
ويقصد الكمودو هنا انه اذا سمحت للملف قد لا يستطيع الكمودو رصد حركاته في النظام
الخلاصة اذا تم تشغيله في الساندبكس فان الروتكيت لم يعمل !!!!
اذا اخترت Allow راحت عليك وسيتم اختراق النظام
العملية الاخرى التى رصدها الكمودو بعد رفع الاعدادات محاولة الاتصال بالنت
حتى الاتصال لا يبدو خطيرا من تحذير الكمودو !!!
ايضا لم يرصد الكيلوجر ولم يرصد عمليات الكيرنل مثل الاونلاين ارمر !!!
السؤال المهم هل Unlimited Access to your Computer تظهر كثيرا وكيف يتعامل معها عادة مستخدمي الكمودو !!!
باعتقادي الكمودو بنفس مستوى الكاسبر مع افضلية بسيطة لصالح الكمودو لانه حذرك من الملف قد يسيطر على النظام !!!
فيديو التجربة
comodo.rar
التجربة السادسة
نورتون انترنت سيكيورتي 2013
فشل مع مرتبة الشرف
فيديو التجربة
Norton 2013.rar
التجربة السابعة
زيمانا انتي لوجر
فشل بامتياز مع مرتبة الشرف
السبب
يستطيع ان يحمي الشاشة في الوضع العادي فقط User Mode
لا يستطيع ان يحمي الشاشة اذا كانت عملية التصوير من ال Kernel Mode
لذلك تم تخطيه بسهولة
فيديو التجربة
Zemana A.L.rar
فشل بامتياز مع مرتبة الشرف
السبب
يستطيع ان يحمي الشاشة في الوضع العادي فقط User Mode
لا يستطيع ان يحمي الشاشة اذا كانت عملية التصوير من ال Kernel Mode
لذلك تم تخطيه بسهولة
فيديو التجربة
Zemana A.L.rar
هام جدا : للاسف هنالك الكثير من المتعصبين الذين يجادلون بغير المنطق , انا لست متحيزا لاي برنامج بل قمت بعمل التجارب
وقمت بوضع جميع الاحتمالات والخيارت حتى يستفيد القارئ الكريم ..... وارسلت الملف لمن طلبه فاين التحيز ؟!!
الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافح على التعامل مع الروتكيت من خلال حماية منطقة الكيرنل !!!
البعض يعتقد انه اذا شغل اي ملف بوجود برنامج هيبس فانه قادر على رصد جميع حركات الملف وهذا اعتقاد خاطئ !!
الهدف الثاني اظهار مرونة المكافح وقدرتة على الحماية او منع الاصابة من نقطة الصفر....
تنويه
ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها
Adware او Riskware
Adware - Wikipedia, the free encyclopedia
Riskware - Wikipedia, the free encyclopedia
رابط الفحص على فيروس توتال
https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/
