روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

[qysr]

TrojWare.Win32.Trojan.Agent.Gen

اكتشاف عام من الكومودو اخي هيثم , منذ متى اصبحت اكتشافات الكومودو العامة موثوقة جدا :d:


الملف قديم اخي هيثم , و معروف من سحابة الكاسبر و النود لا يعقل ان جميع شركات الحماية القوية كانت نائمة طوال هذه الفترة !!!


و اكدت مختبرات الافيرا سلامته في مشاركة الاخ الفاضل امير العذاب ,

من مختبر افيرا وصلني ان الملف نظيف وهو جزء من فلاش بليير

هل يوجد شك بعد الان ؟؟

​

 

[مصرى ولى الفخر]

السلام عليكم
شكرا اخى يونس على اهتمامك على مصلحة الاعضاء والمنتدى...بالنسبة لموضوع الفرمتة مش مهم اوى السفن مش بتاخد اكتر من ربع ساعة فى التصطيب كانى نزلت وندوز جديد لاى سبب...اما بقى الموضوع الاهم...انا شايف ان الموضوع ابتدى ياخد شكل شخصى وتصميم على اثبات وجهة النظر الشخصية...وانا لا اتحدث عن هيثم ..بل عن الكافة...كل عضو اصبح كلامة لايرد وهو صاحب الراى الاوحد...ياخى هذا اسمة ركن النقاشات...اذا كان هيثم مخطئ فهو ليس كلامة قران...وانت ايضا ممكن ان تكون على صواب او خطاء...اما موضوع وضع ادلة انا ارى ان هيثم قام بوضع تجارب وادلة كافية...وانتم ايضا..فالامر غير محسوم
لا تقطعوا روابط الحب والمودة بهذا الكلام الفارغ...فى النهاية برامج الحماية تزول وانتم من تبقون لبعض
تقبل كلامى من اخ اكبر.
​

​

 

[qysr]

السلام عليكم
شكرا اخى يونس على اهتمامك على مصلحة الاعضاء والمنتدى...بالنسبة لموضوع الفرمتة مش مهم اوى السفن مش بتاخد اكتر من ربع ساعة فى التصطيب كانى نزلت وندوز جديد لاى سبب...اما بقى الموضوع الاهم...انا شايف ان الموضوع ابتدى ياخد شكل شخصى وتصميم على اثبات وجهة النظر الشخصية...وانا لا اتحدث عن هيثم ..بل عن الكافة...كل عضو اصبح كلامة لايرد وهو صاحب الراى الاوحد...ياخى هذا اسمة ركن النقاشات...اذا كان هيثم مخطئ فهو ليس كلامة قران...وانت ايضا ممكن ان تكون على صواب او خطاء...اما موضوع وضع ادلة انا ارى ان هيثم قام بوضع تجارب وادلة كافية...وانتم ايضا..فالامر غير محسوم
لا تقطعوا روابط الحب والمودة بهذا الكلام الفارغ...فى النهاية برامج الحماية تزول وانتم من تبقون لبعض
تقبل كلامى من اخ اكبر.
​

و الله انت كدا k:


و في هذه الامور نصيحة , احسن حاجة تاخذ راي المختبرات المختصة , يعني الواحد لما يجي يعمل فحوصات طبية مش بيمشي المختبرات المختصة برضو ؟ :d:


اما بالنسبة للفرمته فانا بفرمت احيانا من باب التسلية :hh: و رب ضارة نافعة من يعلم ممكن جهازك كان فيه روتكيت تاني :hh::hh:

​

 

["الشبح"]

.....​

 

[haitham653]

يا اخوان الموضوع بسيط وليس تعصب او غيرة ولا يوجد انسان لا يخطئ سواء انا او غيري !!

من ارسل لي العينة اخبرني ان الملف Fake Flash + Screen Logger

انا بنيت الحكم على رسائل الاونلاين ارمر وعلى الاتصالات التي قام بها !!!

عند محاولة استخراج الملفات من install.exe الخاص بادوبي ,

الملف محمي بكلمة مرور ولا اعرف لماذا ملف فلاش نظامي محمي بكلمة مرور ؟!!!

ما العبرة من ذلك ؟!!

حتى مختبرات الكاسبرسكي لم تستطع فحص الملف وتم ارسالة للمختبر لتحليله

النقطة الخطيرة وهي ان هذا الملف المفروض ان يكون نظامي لماذا اتصل بالانترنت عن طريق svchost ومن اخطر

منفذين في الوندوز , DNS over TCP و DNS over UDP من المنفذين 135 و 139 :hh::hh::hh:

المنفذ 135 يستخدمة الوندوز فقط عندما تكون متصل على شبكة Lan ما علاقة تحديث الفلاش بذلك ؟!!!

لم اسمع بحياتي كلها ببرنامج نظامي يقوم بهذا الاتصال !!!!! :no::no::no:

البرنامج النظيف يتصل مباشرة ومن منافذ امنة !!!! وبدون لف ودوران !!!

فقط الفيروسات تقوم بهذا الاتصال !!

ايضا ما علاقة موجة اوامر الدوس بالفلاش ؟؟؟؟؟؟؟

ايضا قام بتحميل ملف dll في مجلد ال Temp


قمت بتحميل 3 ملفات فلاش من موقع ادوبي وجربتهم على الاونلاين ارمر

سلوكها طبيعي 10000%

ليس لها علاقة او دخل بهذا الملف من قريب او من بعيد !!!

رسالتين فقط من الاونلاين واتصال TCP عن طريق البورت 80 !!!


من هنا حكمت ان الملف روتكيت لان سلوكة مشبوه 100000%

والامر ليس تعصب او عناد لا سمح الله !!!

على العموم راسلت عدة مختبرات وانا انتظر النتيجة ؟!!​

 

[wajdi abu lail]

اخواني هذه اقوى رساله من اون لاين ارمور على فلاش بليير من الشركه وقمت بفصل الانترنت عن الوهمي وهذه النتيجه
اعتبر ان فلاش بليير يريد ان يستخدم الانترنت عن طريق الملف SVCHOST!!
هل هذا اذن روتكيت :d::d:
تمعنوا في الرساله وما بداخلها

:i:


​

 

[haitham653]

البورتات التي استخدمها ملف الفلاش للاتصال 135 و 139 مغلقة بالكاسبر سكي بالوضع الافتراضي


انا من سمح بالاتصال لهذه المنافذ بالاونلاين ارمر !!!! من باب التجربة !!!

لا اعرف اي برنامج نظامي يقوم بهذا الاتصال

قد يكون سليم وسلوكه مشبوه

انتظر رد المختبرات


​

 

["الشبح"]

......
​

 

[wajdi abu lail]

البورتات التي استخدمها ملف الفلاش للاتصال 135 و 139 مغلقة بالكاسبر سكي بالوضع الافتراضي


انا من سمح بالاتصال لهذه المنافذ بالاونلاين ارمر !!!! من باب التجربة !!!

لا اعرف اي برنامج نظامي يقوم بهذا الاتصال

قد يكون سليم وسلوكه مشبوه

انتظر رد المختبرات


​

جهاز نظيف مع اون لاين ارمور لاحظ ان النظام استخدم هذه المنافذ :i:

​

 

[haitham653]

جهاز نظيف مع اون لاين ارمور لاحظ ان النظام استخدم هذه المنافذ :i:

​

ملف ال system معزول عن باقي العمليات واخبرتك ان الوندوز يستخدم هذا البورت للاتصال بالشبكة


انا اتحدث عن svchost الذي استخدمه الفلاش للاتصال عن طريق البورت 135 و 139 !!!​

 

[wajdi abu lail]

فحص الملف عن طريق اون لاين ارمور بشكل اون لاين !!

​

 

[SeCuRiTy-DZ]

فهل من مزيد ؟

قبـل ساعات وضعت رد أقول فيه أعطوني الملف لأبعثه لشركـة أفاست لكن لم ير أحد ردي :no:

 

[haitham653]

قبـل ساعات وضعت رد أقول فيه أعطوني الملف لأبعثه لشركـة أفاست لكن لم ير أحد ردي :no:

تفضل اخي الكريم

الارسال عن طريق التقييم او الخاص//.meemo.
​

 

[haitham653]

اخي وجدي راجع اخر 2 او 3 ردود لي , الموضوع ليس تعصب او عناد ؟!!!

ملف فلاش التجربة , اكثر من 25 رسالة من الاونلاين ارمر ونصفها مشبوه ؟!!!

جربت ملف فلاش اخر من ادوبي 3 او 4 رسائل عادية تقريبا من الاونلاين ارمر ؟!!!


بكل بساطة اذا قالت مختبرات الحماية الملف نظيف اذا فهو نظيف 100% ولا غبار على ذلك​

 

[SeCuRiTy-DZ]

هيثم الملف محمي بكلمة مرور أعطيني كلمـة السر الله يسعدكـ

 

[أبو عائشهأبو عائشه is verified member.]

متابع بصمت

وحدوا الله يا جماعة كلها لا راحت ولا جات مثل ما قال أخونا (مصري ولي الفخر) ولكن أنت أخي مصري قلت أنا أخوكم الكبير ما قلت لي كم عمرك عشان أشوف أنت أكبر أو أنا
​

 

[wajdi abu lail]

اخي وجدي راجع اخر 2 او 3 ردود لي , الموضوع ليس تعصب او عناد ؟!!!

ملف فلاش التجربة , اكثر من 25 رسالة من الاونلاين ارمر ونصفها مشبوه ؟!!!

جربت ملف فلاش اخر من ادوبي 3 او 4 رسائل عادية تقريبا من الاونلاين ارمر ؟!!!


بكل بساطة اذا قالت مختبرات الحماية الملف نظيف اذا فهو نظيف 100% ولا غبار على ذلك​

:hh::hh: اخي هيثم جربت اخر اصدار من فلاش بليير اوف لاين وصدمت لتحليل اون لاين ارمور كلو بلوك وتم فتح موضوع هنا

http://www.zyzoom.org/vb/zyzoom280252.html

انا متأكد ان هناك خلل فسي اخر تحديثات اون لاين ارمور حتى النود حجبه من بدء التشغيل :q:

 

["الشبح"]

.....

 

[Amar007]

بما انو ناوي افرمت لابتوبي قلت اجرب و النتيجه

Malwarebytes Anti-Malware 1.65.0.1400
Malwarebytes : Free anti-malware download

Database version: v2012.09.19.12

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Maestro :: MAESTRO-PC [administrator]

19/09/2012 23:53:01
mbam-log-2012-09-20 (00-02-05).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | PUP | PUM
Scan options disabled: Heuristics/Shuriken | P2P
Objects scanned: 221809
Time elapsed: 8 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKCR\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\loadtbs-3.0 (PUP.LoadTubes) -> No action taken.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Data: îحïكدبOˆ*کrƒr -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{DFEFCDEE-CF1A-4FC8-88AD-129872198372} (PUP.LoadTubes) -> Data: -> No action taken.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 3
C:\Users\Maestro\AppData\Roaming\loadtbs (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\html (PUP.LoadTubes) -> No action taken.

Files Detected: 18
C:\Users\Maestro\AppData\Roaming\loadtbs\toolbar.dll (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\ytdl.exe (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\keyHash.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\config.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\domHash.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\evHash.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\license.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\uninstall.exe (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\updateHash.txt (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com\background.html (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com\background.js (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com\download.js (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com\fire.js (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\chrome@loadtubes.com\manifest.json (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\html\dimensions.ini (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\html\install.html (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\html\uninstall.html (PUP.LoadTubes) -> No action taken.
C:\Users\Maestro\AppData\Roaming\loadtbs\html\uninstallComplete.html (PUP.LoadTubes) -> No action taken.

(end)
​

 

[SeCuRiTy-DZ]

تقرير عمـار يثبت أن الملفـات عبارة عن أدوير فقط

Detected by Malwarebytes as - PUP.LoadTubes

#####

It is flagged as PUP, because it is BHO adware. That means it is an undesirable browser helper object,

هذا كان من موقع أفاست, و أنا أنتظر نتيجتهم الآن ان شاء الله بعد الارسـال