"الشبح"
زيزوومى متألق
غير متصل
-
[ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.
- بادئ الموضوع haitham653
- تاريخ البدء
- الحالة
- إنضم
- 8 فبراير 2012
- المشاركات
- 6,374
- مستوى التفاعل
- 13,617
- النقاط
- 1,955
غير متصل
السلام عليكم
الموقع الذي طرح العينة ذكر انها ملف فلاش مزور
Fake Flash
طبعا قمت اليوم باستخراج محتويات الملف
وهي كالاتي
كما تلاحظون يوجد ملف فلاش يحمل توقيع رقمي مزور او مسروق
التولبار هنا
قمت بتشغيل ملف الفلاش بشكل منفصل install.exe
عند تشغيلة اظهر الاونلاين ارمر رسائل كثيرة جميعها عمليات مشبوهه ولكن من باب الاختصار هذه رسالة لتصوير الشاشة
هذه صورة المنافذ التي يستخدمها الروتكيت ومن ضمنها ملفات النظامsvchost
عند تشغيل الملف الخارجي install_flashplayer11x64.exe هو في الحقيقة قام بتشغيل ملف الفلاش install.exe
عند التشغيل اول مرة الاونلاين ارمر اكتشف عملية التصوير
والبتدفندر اوقف الملف بدون تدخل المستخدم بوضع Auto Pilot من خلال الجدار الناري للبتدفندر
باقي البرامج وعلى راسها الكاسبرسكي والكمودو تم اختراقها وتم تصوير الشاشة بلحظة تشغيل
install_flashplayer11x64.exe
تحية كبيرة للاونلاين ارمر وللبتدفندر
فيديو التجربة
OA_Beats_ Fake Flash.rar
متابع بصمت ولكن اذا كان البيتدفندر اوقفه auto pilot فثق تمام التقه ان شاء الله ان الكومودو سوف يوقفها عندما يصبح تلقائي من خلال تفعيل كلمه السر وكبح الرسائل وتركه يعمل بصمت تحياتي اخي المبدع هيثم وارجوك جرب
Pilent ReX
زيزوومي ماسى
غير متصل
ارسل روتكيت للتجربة
توقيع : Pilent ReX
غير متصل
"الشبح"
زيزوومى متألق
غير متصل
:d:
سؤال اخ قيصر وللجميع اذا كان الملف فعلا خطر لكنه يحمل توقيع رقمي يفيد بانه ملف رسمي لشركة ادوبي
هل الشركات راح تحلله ام ستعتمد على الشهادة الرقمية وتثق به !!!
كذلك مارأيكم بتحميل نسخة افلاش رسمية اوف لاين من شركة ادوبي وتشغليها بوجود اون لاين امورو بما انه الاخ هيث اعتمد عليه هل ستطهر نفس النتائج ؟؟
هل الشركات راح تحلله ام ستعتمد على الشهادة الرقمية وتثق به !!!
كذلك مارأيكم بتحميل نسخة افلاش رسمية اوف لاين من شركة ادوبي وتشغليها بوجود اون لاين امورو بما انه الاخ هيث اعتمد عليه هل ستطهر نفس النتائج ؟؟
wajdi abu lail
زيزوومى ذهبى
- إنضم
- 5 مايو 2009
- المشاركات
- 4,498
- مستوى التفاعل
- 1,156
- النقاط
- 1,020
- الإقامة
- فلسطين وأفتخر
- الموقع الالكتروني
- www.facebook.com
غير متصل
اخواني الملف نظيف 100% ويحمل توقيع فلاش بليير الاصلي اين الروتكيت في الموضوع !!!!!!!
تم التشغيل في الوضع الامن للكاسبر 2012 والملف قام فعلا بالاتصال لكن الى اين ؟؟؟ الى شركة ادوبي :hh:
يا ريت الكل يجرب اذا حدا ما يثق في تجربتي هذه على كاسبر 2012 وضع امن ليرى ان يتصل الملف
مع التأكيد على ازالة الاعدادات الخاصه بالشهادات الرقميه والتطبيقات الموثوقه ليتم تحليله
تم التشغيل في الوضع الامن للكاسبر 2012 والملف قام فعلا بالاتصال لكن الى اين ؟؟؟ الى شركة ادوبي :hh:
يا ريت الكل يجرب اذا حدا ما يثق في تجربتي هذه على كاسبر 2012 وضع امن ليرى ان يتصل الملف
مع التأكيد على ازالة الاعدادات الخاصه بالشهادات الرقميه والتطبيقات الموثوقه ليتم تحليله
توقيع : wajdi abu lail
heka
زيزوومى مميز
- إنضم
- 3 نوفمبر 2011
- المشاركات
- 747
- مستوى التفاعل
- 497
- النقاط
- 570
- الإقامة
- مصر
- الموقع الالكتروني
- forum.zyzoom.net
غير متصل
k:
++++
الملف معروف منذ 6 أشهر او اكثر
++++
استخدمه 100 ألف شخص في شبكة الكاسبرسكي
++++
ولحد الآن غير مكشوف بالتواقيع ؟؟؟؟ وهو روت كيت خطير ؟؟؟؟
اين برامج الحماية الأخرى ؟
شركات الحماية نائمة في العسل والبعض يجي يفتي في المنتدى
إلعب غيرها من فضلك
:king::king::king:
توقيع : heka
غير متصل
"الشبح"
زيزوومى متألق
غير متصل
haitham653
زيزوومى مبدع
غير متصل
يا اخوان راجعوا هذه المشاركة وشاهدوا الفيديو
الملف الذي يحمل توقيع لادوبي مكتشف من الكمودو بالتواقيع !!!!!
الموقع الي وضع العينة ذكر انه Fake Flash Update
وهو يتصل بدومين كاذب في ايرلندا وقد رصد الاونلاين ارمر الدومين مع اسم البلد
ليس له علاقةبادوبي لا من قريب او من بعيد
الملف الذي يحمل توقيع لادوبي مكتشف من الكمودو بالتواقيع !!!!!
الموقع الي وضع العينة ذكر انه Fake Flash Update
وهو يتصل بدومين كاذب في ايرلندا وقد رصد الاونلاين ارمر الدومين مع اسم البلد
ليس له علاقةبادوبي لا من قريب او من بعيد
توقيع : haitham653
wajdi abu lail
زيزوومى ذهبى
- إنضم
- 5 مايو 2009
- المشاركات
- 4,498
- مستوى التفاعل
- 1,156
- النقاط
- 1,020
- الإقامة
- فلسطين وأفتخر
- الموقع الالكتروني
- www.facebook.com
غير متصل
من مختبر افيرا وصلني ان الملف نظيف وهو جزء من فلاش بليير
هل يوجد شك بعد الان ؟؟
هل يوجد شك بعد الان ؟؟
توقيع : wajdi abu lail
"الشبح"
زيزوومى متألق
غير متصل
qysr
زيزوومي VIP
- إنضم
- 26 نوفمبر 2008
- المشاركات
- 3,415
- مستوى التفاعل
- 14,177
- النقاط
- 1,220
غير متصل
بالطبع اذا ارسلت الملف سيتم تحليله ,
و لا اعتقد ان الملف خطر او يحتوي على اي ملف خطر و هو قديم نسبيا
حتى الملف الذي صنفه الافيرا ادوير موثوق من سحابة النود !!!
المرحلة التي تصنف فيها الملفات كادوير تختلف من شركة حماية لاخرى و اكثرها مرونة مع الآدوير كاسبرسكي على ما اعتقد
والادوير كلام فارغ و ليس اصابة اصلا
على العموم انا ارسلت الملف للعديد من مختبرات الحماية لكن الرد يتطلب وقتا :f:
Pilent ReX
زيزوومي ماسى
غير متصل
الملف سليم و ليس روتكيت و إنما برنامج دعائي ( ادوير )
الكومودو يصنفه على أنه TrojWare.Win32.Trojan.Agent.Gen
يصنفه على أنه Trojan و ايضاً الأفيرا يصنفه على أنه Adware/BHO.S بمعنى أدوير
لذلك نقول عليه على أنه ملف سليم ولا ضرر منه
الكومودو يصنفه على أنه TrojWare.Win32.Trojan.Agent.Gen
يصنفه على أنه Trojan و ايضاً الأفيرا يصنفه على أنه Adware/BHO.S بمعنى أدوير
لذلك نقول عليه على أنه ملف سليم ولا ضرر منه
توقيع : Pilent ReX
SeCuRiTy-DZ
زيزوومى محترف
غير متصل
شبـاب أرسلوا لي الملف أرسله لشركـة أفاست للتحليل اذا كان مازال هناكـ شكوكـ
توقيع : SeCuRiTy-DZ
haitham653
زيزوومى مبدع
غير متصل
المصيبة ان الكل يقرأ بدون تركيز ؟!!!!
هذا الاكتشاف ليس للتولبار بل لملف الفلاش الذي يحمل توقيع والله تعبت يا اخوان
الكمودو اكتشف ملف الفلاش بالتواقيع ليش ولا واحد مركز
بالعربي قمت بفحص الملف الذي يحمل توقيع من ادوبي على فايروس توتال
مكتشف من قبل الكمودو فقط
TrojWare.Win32.Trojan.Agent.Gen
اكتشاف الافيرا للتولبار وليس له علاقة بملف الفلاش !!!
توقيع : haitham653
"الشبح"
زيزوومى متألق
غير متصل
Pilent ReX
زيزوومي ماسى
غير متصل
يا غالي هذا ادوير و لذلك يسمى ب PUP بملف غير مرغوب به أو برنامج دعائي
مثل ما قال أخي يونس أنه ملف نظيف 100% و غير مكشوف ابداً من برامج الحماية
الكومودو كشفه لكن اكتشاف خاطئ و تعرف الكومودو اكتشافاته خاطئة نادرة جداً
بالتوفيق
توقيع : Pilent ReX
- الحالة