ليلة سقوط الكاسبرسكي...لكل تقنية حديثة حدود !!

[الخفـوق]

بارك الله فيك ورحم والديك
وزادك علم على علمك


احب انوه لنقطه انت اشرت لها بارك الله فيك

هي ان مانعتمد ع برامج الحمايه بكل شي ...


اللي اريد اقوله


التجربه كانت على " مالوير " برنامج خبيث " يسر ق ، يتصل ، يرسل "

ولازم تركيب برنامج " مضاد للمالوير + يكون فيه دراسة سلوك ورصد "


ولا نترك هالمسؤوليه على برنامج الحمايه فقط .. حتى لو تعددت طبقات الحمايه



حتى لو جاء احد وقال فيه / سحاب .. هيبس و و و ...........


اهتمام برامج الحمايه : بـ الديدان والفايروسات وشويات " تروجان "

وكرم منهما ان لقط مكافح الفيروسات كم تروجان


///


اللي اريد اوصل له

ان اصابات الجهاز تختلف

فيه فايروس
فيه ديدان
فيه تروجانات
فيه مالوير : خبيث ------- > للرجستري [ حقن ]
فيه مالوير : خبيث --------> للملفات بالنظام

حقن مالوير الرجستري تكشفه بـ المالوير بايت [ ولاتفكر انك تصيده بـ برامج الحمايه لان لها اختصاص محدد حتى لو تم كشف كمية بسيطة ]


حقن مالوير للملفات [ افحصه بـ اي برنامج انتي مالوير ... وسيد هالبرامج في المجال الحصان ]

وهالكــلام مو للاشاده بالحصان الذهبي لا والله

لا بس عشان يتوفر به مرحله متطوره من كشف سلوك " المالوير "

لا احد يجي يقول هيبس المكافح ولاسحابته " دع هالميزات لكشف اختصاص البرنامج الفايروس ، التروجان ]



لازم برنامج فحص مالوير [ ياحبذا يكون فيه حارس رصد سلوك ]

وهالميزه موجوده بـ الحصان الذهبي


وفيه تجربه ع برنامج خبيث مالوير لسرقة حسابات بنكيه وأيضا ً لسرقة حساب بالفيس بوك

برنامج الحمايه هنا اكيد يقف مكتوف الايدي [ الاختصاص مو اختصاصه ]

اختصاص برامج

ِِِِAnti Malware


+

استخدام برنامج لكشف التواقيع

وعدم الاكتفاء ببرنامج الحمايه للكشف



ارشح برنامج الرادار التلقائي للتواقيع


كان عندي يقوم بتصنيف التواقيع بشكل تلقائي للنظام

واي برنامج يحمل توقيع غير صحيح او موثوق يقوم بتنبيهك



+

برامج كشف صادر ووارد + تحليل العمليه


" لاتعتمد ع برنامج الحمايه "



اشكرك من اعماق قلبي لاخلاصك في تقديم المعلومه

بارك الله فيك

 

[الخفـوق]

أأسف ع الازعاج الثاني بالمداخله ههههه


لكن حابب اضيف تجربه مثل تجربتك اخي العزيز

لاثبت نفس كلامك


ان فيه شي اسمه " مالوير = برنامج خبيث ، مزيف ، مخادع ، سارق ، لص "


والكل يضع جل اهتمامه فقــط بالديدان + اشكال عديده من الفيروسات


ويتناسى [ البرامج المخادعه نفس ماتمت التجربه عليه بموضوعك ]



المالــــــــــــــــوير



هنا تجربه تمت على برنامجين مخادعين [ مالوير ]


+

موقع ويب مزور [ يعتبر خبيث ايضا ً - تصيد حسابات وبيانات شخصيه بالفيس بوك ]



[[ تشغيل عدد هائل من المالوير البرامج المخادعه بكافة المجالات ]]

سرقة حسابات + مواقع + برامج حمايه



نفس الحاصل بنفس تجربة الموضوع برامج خبيثه

بارك الله فيك اصبت الصميم




مقصد كلامي من الدقيقه

12:23

لاحظوا برامج كشف المالوير الخبيث للسرقه كيف تكشف البرامج المخادعه

[ البرنامج اللي تمت عليه التجربه بالموضوع مالوير خبيث برنامج مخادع ]


لاحظوا بالدقيقه اللي حددت عليه

يقوم بتشغيل برنامج خاص للفيس بوك [ مخادع ] يسرق البيانات الشخصيه

الحصان الذهبي قام برصده .......... بالميزه الخاصه المتفرده فيه عن باقي برامج كشف المالوير


اللي هي حارس الملفات التلقائي



جهازك ممكن يصيبه

دوده
باك دور
مالوير
ادوير
سباي وير


لاتتكل على برنامج الحمايه

+
اكشف العمليات الحاليه + حلل سلوكها [ لاتقول برنامج له طبقات حمايه ا و او او ......... ]



اكرر اسفي
وشكري لشخصك

 

[qysr]

مشكور اخي الفاضل ,
تقييم كامل للتجربة ,,, و لكل تجربة

انا لم اجرب الملف لكن يبدو لي ان تحليلك منطقي

مع ذلك و بشكل عام ,, لكل شركة حماية سياسة في كشف الملفات

و كمثال كان عندي كراك لبرنامج مكتشف على انه مصاب من كل برامج الحماية , عدا كاسبرسكي !!!
لكن بتحليلي الشخصي لم اجد مؤشرا يدل على انه مصاب :i:
قمت لمرتين بارسال الملف الى مختبرات كاسبرسكي بينهما فارق زمني شهر كامل !!! و من بريدين مختلفين ,
و كانت الاجابة في المرتين ::: الملف نظيف :d:
و انا بالفعل مقتنع بانه نظيف ,, و استخدم هذا الباتش حتى الآن !!!

مع ذلك و كما اسلفت هذا لا يعني ان الشركة لا تخطيء

+

اخيرا توجد قاعدة تقول ::: كل برنامج حماية جيد بقدر جودة مستخدمه :d:​

 

[qysr]

​

 

[Karimium]

بارك الله فيك ورحم والديك
وزادك علم على علمك


احب انوه لنقطه انت اشرت لها بارك الله فيك

هي ان مانعتمد ع برامج الحمايه بكل شي ...

يا هلا بأخي الخفوق

مداخلة جميلة من عضو ذو ثقة :king:

اصلا الموضوع كان للمناقشة وحسنا ما فعلت يا طيب

تحياتي الخالصة

​

 

[Karimium]

​

:king::king::king:


الله يسلمك اخي....

للاضافة على ماقلت،الباتشات لا تحمل تواقيع رقمية، لذلك ينبهك الكاسبرسكي عند استعمالها ويضعها

في التقييد المنخفض، اذا استعملها الكثير من الناس ولم تكتشف لها تحركات مشبوهة،مع الوقت تصبح

موثوقة من السحاب.....كان لنا تجربة مع احدها وهو باتش IDman وموثوق من الكاسبر" 500 الف مستخدم" .

***هنا في الموضوع ما خدع الكاسبرسكي والمستعملين هو التوقيع الرقمي المزيف،الذي جعل

الكاسبر يعطي الحرية للملف المزيف للاتصال بكوريا الجنوبية والله اعلم ماذا ارسل لهم من عندي :i: ولولا

التوقيع ما سمح له لأنه سيكون مقيد.

دمت يا غالي.​

 

[wajdi abu lail]

هلا بالغالي كريم
فعلا سؤال جيد بما ان الملف وصل مختبرات كاسبرسكي وشبكاتها وتم تحليله
لم يم يدرج بالتوقيع !!
كل شركه ولها سياستها
انا ايضااستخدم باتش 33 اكتشاف في فيروس توتال لكنه نظيف 100% واعتبره الكاسبر نظيف وكان فعلا هكذا *!!
ارسل لي الملف ليس هناك هيبس افضل من الكاسبر يدوي والكومودو واون لاين ارمور
نريد التجربه هكذا لنثبت عدم اصابة الملف
تجربته على الكاسبر بالوضع اليدوي وعدم الوثوق بالبرامج الموقعه رقميا ونرى ردة فعله !!
بالاضافه الى فحصه بتشغيله بوجود اون لاين ارمور وكومودو
5/5 + تقييم شخصي اخيرا رضي يقييم :hh:
رأي مجتمع فيروس توتال بالملف :kmj-by0000 (72):

نحن نسعى الى مناقشه هادفه للجميع وبارك الله فيك


​

 

[Karimium]

هلا بالغالي كريم
فعلا سؤال جيد بما ان الملف وصل مختبرات كاسبرسكي وشبكاتها وتم تحليله
لم يم يدرج بالتوقيع !!
كل شركه ولها سياستها
انا ايضااستخدم باتش 33 اكتشاف في فيروس توتال لكنه نظيف 100% واعتبره الكاسبر نظيف وكان فعلا هكذا *!!
ارسل لي الملف ليس هناك هيبس افضل من الكاسبر يدوي والكومودو واون لاين ارمور
نريد التجربه هكذا لنثبت عدم اصابة الملف
تجربته على الكاسبر بالوضع اليدوي وعدم الوثوق بالبرامج الموقعه رقميا ونرى ردة فعله !!
بالاضافه الى فحصه بتشغيله بوجود اون لاين ارمور وكومودو
5/5 + تقييم شخصي اخيرا رضي يقييم :hh:
رأي مجتمع فيروس توتال بالملف :kmj-by0000 (72):

نحن نسعى الى مناقشه هادفه للجميع وبارك الله فيك


​

صباح الورد اخي وجدي

شكرا لحلمك وكلامك الجميل

***************************

وجدي ....عندما يكون لديك باتش ...يجري اتصالا بجهة مجهولة بعد تنصيبه

ماذا يمكن ان نستنتج ===== ملغوم

لا يهم ان كشفه برنامج المكافحة فلا يهمنا فعله التخريبي في الجهاز

بل فعله التجسسي....قد لا يكشف ابدا اذا لم نتنصت على الاتصالات التي يجريها

****************************
الملف هو انتي فايرس مزور Rogue لديه توقيع رقمي شغال..........ليس له علاقة بالباتشات

ويجري اتصال بمصدر مشبوه Malware calls

ولديك تحليل Anubis للملف : anubis.iseclab.org

احسن تعريف للملف Easysafe هو من الميكروسفت نفسها

microsoft.com-security-portal-threat

ولاحظ ما يلي :

Aliases
Trojan.Fakealert.15309 (Dr.Web)
Win32/Adware.IScan.A (ESET)
SoftwareBundler:Win32/NetPumper.A (other)
TROJ_FAKEAV.SMTF (Trend Micro)

ببساطة ميكروسفت فسرت الاختلاف في الفايرس توتال ==تعددت الاسماء و الملف واحد

******************************
الله يكثر من امثالك في المنتدى يا وجدي وفي انتظار نتائج برامجك k:

:king::king::king:​

 

[Karimium]

تم مراسلة الكاسبرسكي .....وجاء الرد

ادخلوها ايها الكوريون بسلام آمنين

*****************************************

كلام الكاسبرسكي ضد :

1/ تجربتي شخصيا بتتبع اتصالات الملف المخفية

2/ شركة الميكروسفت التي اعطت تحليلا تفصيليا للخطر......افضل ما يمكن قوله عن هذا Rogue

***********************************************

ختاما بعقلية مستعمل بسيط .....ما العمل ؟

1/لاحظ ان الملف تم تنصيبه بنقرة زر واحدة....دبل كليك على ملف التنصيب وانتهى الامر ... قد ينصب

عندك من صفحة واب....عند الضغط على اي رابط :?:

2/انتي فيروس جديد على المستخدم !!! يقول ان هناك 20 فيروس خطر في جهازك ولابد من الشراء

الفوري للبرنامج ويعطيك نافذة لادخال رقم البطاقة البنكية وكلمة السر:er: .......

3/يتم ارسال البيانات الى الجهة صاحبة المالوار في كوريا ثم ماذا .......راحت عليك

4/ اتصل بكاسبرسكي قل لهم انك اشتريت برنامج جديد افضل من برنامجهم :hh: وقل لهم انه يعمل

بدون تعارض ويضمن حماية الواب .....:er: فعلا امر مؤسف من برنامج يفشل في حماية زبون بسيط

لما يسرقون بيانات بطاقتك البنكية-اهم شيئ عندك على النت....فما فائدة الكاسبر ؟

لماذا لم يكشفه الكاسبر؟ التوقيع الرقمي المزيف سبب كل مصائبه .... وخدمة الفحص بالرسائل لم

يكلفوا نفسهم عناء مراقبة اتصالاته...بل قالوا : لا يوجد كود خبيث :er: .....فعلا شيئ محير :i:

************************************************

*************************************************

سلام لكم ​

 

[mr_lover-55]

فعلا اخي كريم هذي لوحدها كارثه ان يرسل الملف لتحليل ويقولو سليم :?:

 

[' فـلسفـه ..]

:kmj-by0000 (82):
:kmj-by0000 (7):
​

 

[wajdi abu lail]

اخي كريم كما قلت لك جربت الملف على الكاسبر 2012 على اليدوي مع عدم الوثوق بالبرامج الموقعه رقميا من الحمايه الاستباقيه والتحكم في التطبيقات
وهذه النتيجه باختصار النت ضعيف بهالوقت اخذت الصور من داخل الفيديو

بمجرد تشغيله تم وضع الملف وتصنيفه تحت تقييد منخفض

تشغيل خدمه للكتابه

يتم ارسال معلومات عبر dns بالتخفي

الفيروول :

خصائص الملف بعد ذلك في التحكم في التطبيقات
السحاب احيانا يفصل على الوهمي

التطبيق لا يقوم بتحميل اي ملفات من الانترنت والاتصال خارجي
الاتصال من بورت 53 و 80

لا يقوم بزرع قيم بدء تشغيل مع ويندوز !!
لم يقم بتعديل اي قيم ريجيستري محميه
القيمه التي قام باضافتها هي :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International]
W2KLpk = 0x00000001

ربما الملف موقت لتحميل الملفات فيما بعد لانه قام بالاتصال بالسيرفر
115.68.7.212
لم اسمح له بالاتصال :er:









​

 

[wajdi abu lail]

زيارة الموقع الكوري التابع للملف :i:

الموقع معروف من برامج الحمايه على انه موقع فيروسات وليس تحديدا هذا الملف
:d:
​

 

[Karimium]

الله يعطيك العافية اخي وجدي

على الافتراضي الكاسبرسكي للاسف :no:

>>> لكن على اليدوي + منع الوثوق بالتواقيع الرقمية، نجح في كشف ما يقوم به الملف

ومنع اتصالاته الخفية ..........بعد اذن المستخدم(لابد ان يكون خبير)

ببساطة قوة الكاسبرسكي هنا ستكون من قوة مستخدمه وفهمه للخطر k:

مشكور وما قصرت يا وجدي تستاهل احلى تقييمات موجودة :king:
​

 

[Karimium]

زيارة الموقع الكوري التابع للملف :i:

الموقع معروف من برامج الحمايه على انه موقع فيروسات وليس تحديدا هذا الملف
:d:
​

ادهشتني يا اخي :king:k:

أين الكاسبرسكي من كل هذا
​

 

[wajdi abu lail]

ادهشتني يا اخي :king:k:

أين الكاسبرسكي من كل هذا
​

:d: باجازه اسبوعيه
​

 

[avirato]

السلام عليكم
و كأنني أقرأ رواية لأغاتا كريستي صفحة وراء صفحة
تعليق وراء تعليق ببساطة لأن الموضوع جيد و المداخلات زادته جمالا كل الشكر للأعضاء و لصاحب الطرح رغم أنني لم أشارك بالتحليل:b:
تم التقييم

 

[Karimium]

:d: باجازه اسبوعيه
​

:hh::hh::hh:

وجدي لو سمحت ....اعمل زيارة خفيفة على التوقيع الرقمي للملف المزيف

وشوف حكاية md 5 اللي حيرتك وشوف مدة التوقيع الرقمي ومصدره.

******************************

هو مزيف ولكن لا يمكن معرفة ذلك باي شكل من الاشكال :i:

>>> سادتي اهل زيزوم نقدم لكم مالوار بتوقيع رقمي شغال وصحيح .....لكنه مزيف :bleh:

*******************************

ونحن سنذهب في اجازة بحثا عن الكاسبر


​

 

[haitham653]

السلام عليكم

لا اعرف من اين ابدأ ولكن؟؟؟

ولا اعرف اضحك ام ابكي؟؟

ان لست متعصبا لاي برنامج فى العالم؟؟؟

لكن انا ضد نشر معلومات خاطئة قد تضلل الاخرين او تضر بهم؟؟

ولنتحدث بواقعية او منطقية نوعا ما؟؟؟

ما هو ال Fake AV ؟؟
او
ٌRouge

هو برنامج ضار يخدع المستخدم بان جهازه مصاب بفيروس من اجل شراء برامج او برنامج معين للتخلص من الاصابة او محاوله سرقة ارقام البطاقات الائتمانية عند شراء البرنامج؟؟؟

كيف تحصل الاصابة ؟

الانتي فيروس المزور دائما يحتوي على كود خبيث , 90% من هذا النوع تقوم بحقن ملفات النظام الحيوية وعلى الاغلب يكون svchost بملف ddl وذلك للاتصال بالانترنت عن طريق النظام

اي لوكان عندك جدار ناري لن ترصد الاتصال لان الانتي فيروس المزور حقن احد ملفات النظام الحيوية واصبح الان يتصل عن طريقها للانترنت لخداع المستخدم

الجدار الناري سيرصد اتصال svchost فقط
وعادة ما يحذرك جدار الكاسبر ان svchost ملف موثوق ولكن يمكن ان يستخدم من قبل الفيروسات او البرامج الضارة

ما علامات الاصابة ب Fake AV ??

دائما تظهر شاشات منبثقة تحذرك من وجود اصابة فيروسات بنظامك وتدعوك لشراء
برنامج حماية

يتم قرصنة متصفخ الانترنت اكسبلورر وذلك من خلال اعادة توجيك الى مواقع ضارة

يتم حجب معظم مواقع الانتي فيروس المعروفة عالميا وذلك من خلال تغير ملف ال Host
فلو بحثت فى الجوجل عن free antivirus

لن تستيع الدخول لموقع الافيرا او AVG او سيمنانتك او الكاسبر او مكافي ...الخ

هل يستطيع ال Fake AV ان يسرق معلومات من جهازي؟؟

لا يستطيع ابدا؟؟ لو كان يستطيع لما فضح نفسة وحجب مواقع الانتي فيروس وطلب منك شراء برنامج حتى تستخدم بطاقتك الائتمانية ويحصل عليها بدوره


ما مدى خطورة ال Fake AV ?

يعتبر

Medium Security Risk

لو بحثت فى الجوجل صباحا مساء لن تجد هذه المعلومات فى اي موقع عربي او اجني لاني لخصت

خبرة وممارسة سنوات فى كلمتين

فاين ما ذكرت مما ذكرت

اذكر لي نشاط واحد مشبوه فقط

ببساطة لا يوجد؟؟!!

----------------------------------
هنالك برامج تعتبر

Unwanted Program

تؤثر على كفائة النظام

وهنالك

Unsafe Application

برامج غير امنة

يمكن ان تكون مصدر تهديد فى المستقبل

النوعين ليسوا بفيروسات ولا يؤثروا على النظام ولا على خصوصية المستخدم

هنالك بعض الشركات تحذف النوعين؟؟

النود يخيرك فى النوعين لاكتشافهم او عدم اكتشافهم اثناء تنصيب البرنامج

غدا ستقول ان شركة الكاسبر تتواطئ مع مواقع فيروسات لا استبعد ذلك

وما التفسير ان الملف فيروس والكاسبر تثق به

وهو قديم معروف للكاسبر عمرة اكثر من 5 شهور؟؟؟

لا يوجد تفسير غير ان الملف ليس بفيروس ؟؟


لماذا لا نسال مختبرات الكاسبر

انا متأكد من الاجابة ؟؟
10000%
​

 

[haitham653]

اخي كريم كما قلت لك جربت الملف على الكاسبر 2012 على اليدوي مع عدم الوثوق بالبرامج الموقعه رقميا من الحمايه الاستباقيه والتحكم في التطبيقات
وهذه النتيجه باختصار النت ضعيف بهالوقت اخذت الصور من داخل الفيديو

بمجرد تشغيله تم وضع الملف وتصنيفه تحت تقييد منخفض

تشغيل خدمه للكتابه

يتم ارسال معلومات عبر dns بالتخفي

الفيروول :

خصائص الملف بعد ذلك في التحكم في التطبيقات
السحاب احيانا يفصل على الوهمي

التطبيق لا يقوم بتحميل اي ملفات من الانترنت والاتصال خارجي
الاتصال من بورت 53 و 80

لا يقوم بزرع قيم بدء تشغيل مع ويندوز !!
لم يقم بتعديل اي قيم ريجيستري محميه
القيمه التي قام باضافتها هي :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International]
W2KLpk = 0x00000001

ربما الملف موقت لتحميل الملفات فيما بعد لانه قام بالاتصال بالسيرفر
115.68.7.212
لم اسمح له بالاتصال :er:

​

كلها انشطة عادية بل اقل من عادية؟؟؟

اتحدى ان يثبت اي شخص نشاط خطر مما ذكر؟؟

لم تحصل عمليات حقن للنظام؟؟

لم يتم العبث بملف الهوست؟؟

لم يتم اضافة اي درايفر للنظام؟؟

حتي البرنامج لا يعمل مع النظام عند اعادة التشغيل؟؟

فلا اعلم اين الخطورة؟؟

لاحظ تحذيرات الكاسبر باللون البرتقالى

نشاطات متوسطة الخطورة؟؟





​