روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

المصدر: روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!
في منتدى : منتدى نقاشات واختبارات برامج الحماية

السلام عليكم


اليوم اقدم لكم روتكيت مدمج مع فلاش بلير

الفيروس باختصار هو Kernel Level Screen logger

وهو ينتمي الى عائلة الروتكيت


يقوم بتسجيل الشاشة screen logger ومن ثم يخترق النظام من منطقة الكيرنل حتى لا ينكشف امرة

ويرسل البيانات عن طريق svchost الى جهاز المخترق !!!!

الوندوز يستخدم svchost للاتصال بالنت اي الجدار الناري لن يرصدة بل سيرصد svchost وهو ملف امن !!


هام جدا لاتجرب على نظام حقيقي جربت منذ الصباح اكثر من 7 ادوات ولا واحدة رصدت حركاته و اكتشافه صعب ولا ينفع معه الا الفورمات



التجربة الاولى


Online Armor

يريد ان يأخذ صورة للشاشة Screen Logger



تحميل ملف dll في ال Temp

حقن النظام ب Payload او ما يعرف ب API hook

الهدف اصابة منطقة Kernel
​

بعد ذلك تمت السيطرة بشكل مطلق على svchost




اتصال لانترنت من ملفات ال Temp




طبعا بعد انتهاء العملية تمت السيطرة على النظام والروتكيت سيتصل عن طريقsvchost

طبعا علامة اصابة النظام




العلامة الكاملة للاونلاين ارمر

فيديو التجربة

OA.rar


التجربة الثانية

Bitdefender Internet Security 2011

البعض قد يسال لماذا 2011

نصبته بالامس للقيام ببعض التجارب وكان محدث فقمت بتجربته اليوم

الروتكيت محمي بكلمة سر حتى لا تكتشفه برامج الحماية





لحظة التشغيل البتدفندر قضى عليه بضربة واحدة من خلال وحدة

Intrusion Detection System



علامة كاملة للبتدفندر

فيديو التجربة

BDavi.rar

Bitdefender Internet Security 2013

في وضع Auto Pilot

اوقف الروتكيت بدون اي سؤال



فيديو التجربة

BD2013.rar

هذه التجربة هدية لمن يقول ان جدار البتدفندر ضعيف ​

التجربة الثالثة

كاسبرسكي انترنت سيكيورتي 2013

بالوضع الافتراضي





اذا اخترت Yes I trust It

سيتم اختراق النظام بنجاح

اذا اخترت Restrict

سيوقف الملف

فيديو التجربة

KIS.rar


الكاسبرسكي بالوضع اليدوي

لم ينجح في رصد الكيلوجر

لم يرصد عمليات ال Kernel

انذارات كثيرة ومبهمة نوعا ما حتى المستخدم المحترف قد يصاب

باعتقادي الكاسبر فشل بالوضعين ولكن ساعطيه 50%

فيديو التجربة

KIS2.rar

التجربة الرابعة

ايست سمارت سيكيورتي 5

باقصى الاعدادات

فشل بامتياز مع مرتبة الشرف

Eset.rar


التجربة الخامسة

كمودو انترنت سيكيوروتي

جربت الكمودو في جميع الاعدادات الفرق كان في رصد الاتصال في النت فقط على العموم



رسالة الكمودو Unlimited Access to your Computer اي ان البرنامج يريد ان يحصل على تصريح مطلق

ويقصد الكمودو هنا انه اذا سمحت للملف قد لا يستطيع الكمودو رصد حركاته في النظام

الخلاصة اذا تم تشغيله في الساندبكس فان الروتكيت لم يعمل !!!!

اذا اخترت Allow راحت عليك وسيتم اختراق النظام

العملية الاخرى التى رصدها الكمودو بعد رفع الاعدادات محاولة الاتصال بالنت



حتى الاتصال لا يبدو خطيرا من تحذير الكمودو !!!

ايضا لم يرصد الكيلوجر ولم يرصد عمليات الكيرنل مثل الاونلاين ارمر !!!

السؤال المهم هل Unlimited Access to your Computer تظهر كثيرا وكيف يتعامل معها عادة مستخدمي الكمودو !!!

باعتقادي الكمودو بنفس مستوى الكاسبر مع افضلية بسيطة لصالح الكمودو لانه حذرك من الملف قد يسيطر على النظام !!!

فيديو التجربة

comodo.rar



التجربة السادسة

نورتون انترنت سيكيورتي 2013

فشل مع مرتبة الشرف

فيديو التجربة

Norton 2013.rar


التجربة السابعة

زيمانا انتي لوجر

فشل بامتياز مع مرتبة الشرف

السبب


يستطيع ان يحمي الشاشة في الوضع العادي فقط User Mode

لا يستطيع ان يحمي الشاشة اذا كانت عملية التصوير من ال Kernel Mode

لذلك تم تخطيه بسهولة


فيديو التجربة

Zemana A.L.rar
​

هام جدا : للاسف هنالك الكثير من المتعصبين الذين يجادلون بغير المنطق , انا لست متحيزا لاي برنامج بل قمت بعمل التجارب

وقمت بوضع جميع الاحتمالات والخيارت حتى يستفيد القارئ الكريم ..... وارسلت الملف لمن طلبه فاين التحيز ؟!!

الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافح على التعامل مع الروتكيت من خلال حماية منطقة الكيرنل !!!

البعض يعتقد انه اذا شغل اي ملف بوجود برنامج هيبس فانه قادر على رصد جميع حركات الملف وهذا اعتقاد خاطئ !!

الهدف الثاني اظهار مرونة المكافح وقدرتة على الحماية او منع الاصابة من نقطة الصفر....





تنويه

ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها

Adware او Riskware

Adware - Wikipedia, the free encyclopedia

Riskware - Wikipedia, the free encyclopedia

رابط الفحص على فيروس توتال

https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/


​

 

السلام عليكم
اخيرا تجربة رائعة ..اخى هيثم هو دة نفس التروجان فى هذا الموضوع
http://www.zyzoom.org/vb/zyzoom280015.html

انا جربتة على الحقيقى والكاسبر اعطانى نفس الرسالة وعملت سمامح وفحصت بالهيتمان والمالوير واداة الحصان..ولم تظهر اى اصابة​

 

الحمدلله يا اخوان اقتنعتو بالتروجان من موضوعي

 

الروتكيت يصيب منطقة الكيرنل افحص بما تشاء من الادوات والبرامج يستحيل حذفة الا اذا قامت شركة حماية بصنع اداة خاصة له...راجع رسائل الاونلاين ارمر

الكاسبر بالوضع اليدوي حذرني من اتصال svchost وفي الحقيقة هو اتصال للروتكيت عن طريق svchost

تشغيل ملف تحديث الفلاش يعني انه تم اختراق النظام وبنجاح 100%
​

 

:hh:
الله يطمنك...يعنى انا كدا خلاص بقيت شاب مخترق....طب الحل اية...
:u:​

 

:u:

لكن ماذا عن برامج الحماية التى تمتلك خاصية Kernel Level

:u:

 

يااخى العفو لم يكذبك احد...بارك الله فيك انت والاخ هيثم
​

 

منطقة ال Kernel او Kerenl Mode Ring 0 هذه المنطقة محرمة ولا يستطيع اي برنامج من منطقة

ال User Mode Ring 3 ان يصل اليها وان حاول ستظهر شاشة زرقاء , مايكروسفت صممت نظام التشغيل بهذه الطريقة

لحمايتة من الفيروسات او الاختراق بشكل عام ولكن......

يوجد مبرمجين خبراء وعلماء في انظمة التشغيل , نجحوا في الوصول الى ال Kernel Mode من ال User Mode

وبدون مشاكل.....

من برامج الحماية التي تحتوى على Kernel Level Protection

الاونلاين ارمر والبتدفندر

الكاسبر سكي لا يحمي منطقة الكيرنل !!!!!

لا يمتلك هذه التقنية لذلك اختراقة ممكن !!

اي برنامج يحتوى على Kernel Protection

باعتقادي سيكون قادر على صد الروتكيت

ولكن هذا ليس بالسهل من يمتلك هذه التقنية يعرف الكثير عن اسرار نظام التشغيل وقد يتفوق على مايكروسوفت نفسها
​

 

انا جربته علي الحقيقي و البولغارد لم يكتشفه ماذا افعل ........

 

طيب بغض النظر ..هو فين محرك الكاسبر العملاق ومحرك الروتكيت الجبار...وتطوير خاصية exploit preventation
كل دة كلام بس
​

 

مشكور جدا اخي هيثم علي التجارب الرائعه
لكن هل ممكن تطبق التجربه علي البلجارد الجديد 2013 لاني من مستخدمي البيدفيندر 2013 والتجارب النمساويه تثبت ان البلجارد تفوق علي البيدفيندر وكنت افكر الي التغيير الي البلجارد

 

يأخي انا جربته عليه وانزلت الصور في موضوع العينة ...و ما اكتشف شيئ :q: :q:

 

هل الكومودو يمتلك هذه الخاصية

 

انصح من جربه على الحقيقي ان لا يفتح ايمله لانه يحتوي على Screen Logger اي سيسرق كل شي من النظام

وكونه يعمل من منطقة Kernel فهو يمتلك اعلى تصريح بالنظام ولا يمكن رصده او ايقافه

الحل الاسلم هو الفورمات..............​

 

الكاسبر سكي حتى بالوضع اليدوي اي خيار غير

Restrict او Block

سيخترق النظام ويصيب منطقة ال Kernel لان الكاسبر لا يحمي هذه المنطقة ​

 

اكيد تقصد فورمات السى ..وتنصيب ويندوز جديد...مش فورمات للهارد كلة..
:cr:​

 

كارثة ....غيرت القرص الصلب وانا علي وندوز8 واقوم بتغير كلمات المرور خخخخخخ لماذا لم تقولو روتكيت خطير

 

نعم لل C ولكن بعد تنصيب الوندوز الجديد لا تفتح اي بارتشن على الجهاز غير ال C قم بتصيب البتدفندر وقم بتحديثة وعمل فل سكان للنظام كاملا و بعد الانتهاء من الفحص افتح اي بارتيشن عادي...


​

 

هل اصلاح الوندوز وحده فقط يقوم بإتلاف الروتكيت؟؟

ان كان الإصلاح يقوم بالمهمـة فهذا أفضـل

 

ساجرب الكمودو​