تجربتى مع البرنامج المزعج الجاسوس Baidu PC Faster وكيفية التخلص منه

[أحمد البدارنة]

^


بالاول حابب اعرف اسمك ياخي من زمان


المحدد بالاصفر [ لانها توصف محركات الفحص ]

اما اللي راح اضع شرح لها [ فهي تعطي نتيجة السلوك ]

يعني الفايروس توتال يعطيك نتيجتين واصبح يحلل السلوك و يعتمد برضو على محرك سمعات ( النورتن ) ( اللي موجوده بالاجهزه المثبت عليها نورتن ) السمعات

وبرضو الهيروستيك لـ برنامج (كلام ) الغير مشهور

من نفس رابط الفايروس توتال اللي وضعته اخي قيصر
ادخل على ( المعلومات السلوكيه )

راح تشاهد وصف آخر ب أن الملف يشن هجوم

نشوف برضو ( هنا النتيجه للوصف اختلف عن قبل )
ب انه كما هو موجود بمربع الترجمه المضلل ان له سلوك يتم شنه اما من خلال الملف نفسه او عن طريق ملفات اخرى

ولو نزلنا بنفس الصفحه ( لاسفل الفايروس توتال )

لو جدنا النتيجه القطعيه كما في الصوره

كما هو في الوصف انه يرسل " اكواد تحكم " للنظام


،،،

الفايروس توتال تطور عن قبل


يعني يقدر المبتدئ انه يستكشف لب الملف المشكوك فيه بمتابعة التقرير والهاش لكل علميه ومن ثم الدخول لتفاصيل التفاصيل

يعني كأنن شغلنا الملف

هنا احدى ملفات التثبيت للبرنامج
من سلوكياته كما ذكرت ب ردي السابق

حقن

Mute

shell

Code injections

تقرير الفايروس توتال
( لاننتبه لنتيجة الفحص ) ننتقل للمعلومات والسلوكيات ( ننقر عليها )
وراح نشاهد السلوكيات الخاصه بالبرنامج

https://www.virustotal.com/ar/file/...4aa463e9c63f574b8eee72d72b6678475f9/analysis/

=============

نشوف الملف اللي يبقى

ك درايفر مع درايفرات النظام ( خفي )

مع العلم ان اي برنامج حمايه ( كالكاسبر مثلا ، البرايفت فايرول ... ) تقوم بكشف عملية ( Hook ) اللي هي تثبيت ( خطاف ) باول مرحلة بالتثبيت

نشوف مساره بعد ماتم حذفه وتنظيف الجهاز من بقاياه يبقى في ( الكرنل ) يعني ( لاصق بالنظام ) لكن عن طريق برنامج حذف القيم ( الرن سكنر )

اللي احنا نستخدمه بقسم مشاكل الحاسوب لتصحيح قيم بعض البرامج وحذف المتبقي من الملفات المحذوفه قادر بقوة الله على حذفه بكل سلاسه بدون اي مشاكل


مثل مانشوف بالصوره تفاصيل الملف من ( الهاش ) وقيمة الرجستري الخاصه فيه و اقلاعه كـ خدمه مع النظام

س / هو ايش يعمل البرنامج بشكل موجز ؟
ج / يثبت ملف ( هووك ) من احدى سلوكيات الملفات الخبيثه الذكيه المختصه بالمزامنه ( اهم شي انها من السلوكيات الضاره )


س / طيب فيه توضيح اكثر لفكرة عمله ؟
ج / نعم ، تطرق موقع برنامج الحمايه الافج ( هذا مو دلاله مني لقوة الافج لا لا ،، بل ان الموقع تكلم عن فكرة الهووك ) اللي تثبتها البرامج الضاره

الموقع / http://www.avgthreatlabs.com/virus-and-malware-information/info/hook/


هذا تعريف لما يسمى ( تثبيت هووك / خطاطيف )

الاهم انه مع البرامج اللي مافيها رصد وتكون ع اليدوي
بتتثبت بدون علم الادمنستور

س / طيب يعني لو انا مثبت الكاسبر او البرايفت فايرول ، هل يكشف هالخطوه هذي ؟
ج / نعم ، مثل مانشوف بالصور

س / هل هذا دلاله لقوة البرايفت فايرول ( يعني تنصحنا فيه ) ؟

ج / لا ليس دليل للقوه انما للاستشهاد ان برامج الحمايه تقوم بتنبيه المستخدم ان كانت (((( ع اليدوي )))) ب السلوك
ولازم برضو المستخدم يعرف انها من سلوكيات البرامج الضاره

يعني ممكن يكون المستخدم مبتدئ ويدوس على ( نعم )

الصوره اعلاه مقتبسه من احدى مشاركات اخي ( وجدي )

السلام عليكم ورحمة الله وبركاتة

الحمد لله على السلامة استاذ احمد منور المنتدى وان شاء الله دائما موجود في المنتدى


لا اعتقد ان هذا دليل على انة ضار البرنامج يقوم الشركة المصنعة بالاتفاق مع شركات اخرى مشهورة بدمجة معها ليصبح اكثر شهرة

وبخصوص الرسائل التى استشهدت بها هذا ايضا ليس دليل فاي برنامج سليم يشترك مع البرامج الخبيثة بعدة سلوكيات لذالك تحد ان معظم البرامج التى تحتوى على هبس اذا قمت بتشغيل اي برنامج غير معروف او غير موقع تقول البرنامج يحتاج الى صلاحيات المسؤول ويضعو فيها خيار UPDATER OR INSTAELER طبعا اي برنامج سليم اذا تتبعت تحركاتة وهو يقوم بتنصيب نفسة سوف يقوم بالتعديل على المفاتيح المحمية وغيرها فما بالك ببرنامج حماية حيث يتطلب صلاحيات المسؤول لحذف الفايروسات و برامج الحماية اكثر البرامج التى تتطلب الوصول الى مكونات النظام لسيطرة علية

طبعا بخصوص الخصوصية لا استبعد انة جاسوس او اي شئ من هذا القبيل لكن لا ارى مشكلة في هذا السبب

المتصفح اكبر جاسوس برنامج الحماية مهما كان نوعة مجاني او مدفوع جاسوس الويندوز عملاق التجسس العم قوقل جاسوس اذا هل تركنا كل هذا واتينا الى هذا البرنامج المسكين

============

طبعا البرنامج موثوق من فايروس توتال ولا داعي للفحص لماذا ؟ لانه محرك
Baidu موجود في فايروس توتال

هذا عالم لا يوجد بة خصوصية الا اذا اصررت على هذا ومن يريد الخصوصية فاليترك الويندز الذي هو اكبر
جاسوس

============

رابط مهم :

تقرير AV-Comparatives لبرامج الحمايه التي تقوم بارسال البيانات الشخصيه

===========

 

[الخفـوق]

وعليكم السلام والرحمه جميعا ً ، أهلا اخي احمد
ربي يسلمك
انا معك اخي انا اشرت ل نقطة Hook التابعه لبرنامج البايدو

بخصوص تواجد محركات البرامج بالفايروس توتال ( هذي مسأله بحته ) ممكن تجاريه [ ماديه ] مثل الاختبارات الحاصله تقييم برامج الحمايه خصوصا ً ان الفايروس مافيه ربح مادي
يغطي تكاليف الموقع والضغط الحاصل عليه


شاكر لك

 

[الخفـوق]

هذا عالم لا يوجد بة خصوصية الا اذا اصررت على هذا ومن يريد الخصوصية فاليترك الويندز الذي هو اكبر
جاسوس

===========

صدقت اخي
لكن الحل موجود ( هو تشفير جميع اتصالاتك )
خصوصا ً على نظام ويندوز 8 لان فيه تطبيقات ومزامنه ( الخصوصيه فيه مكشوفه بقوه ) لكن مع وعي المستخدم ان شاء الله مافي شي مستحيل


الكل يعلم عن برامج التخفي اثناء التصفح [ يعتقد انه محمي ] هذا اعتقاد غير صحيح لان التشفير تم للتصفح فقط


يوجد برنامج يقوم باخفاء اتصالاتك بشكل كامل عن النت لكن للاسف البرنامج يتشابه مع برامج التخفي الثانيه واتجنب عدم ذكره لان ممكن يستخدم مثل بقية البرامج لتجاوز الحجب

لكن البرنامج من خلال استخدامي له ،، لاحظت التالي :

1- التخفي لكل عمليات النظام ( متصفح + تطبيقات / عمليات النظام )
2- يتصل بسيرفرات سريعه ( مثل المدفوعه ) ولمست سرعة التصفح والحمايه فيه

البرنامج يعمل لمدة 3 ايام للاسف ويرغم المستخدم على الشراء
لكن وجدت له تفعل ( لودر ) بس اتضح بعد الفحص انه باك دور من مصمم التفعيل


،،،،

للاسف حتى قوقل لم يحترم خصوصية التصفح
اكثر محرك مهتم بتتبع بحث المستخدم + تسجيل التأريخ + عملية المزامنه اكبر مشكله يرتكبها المستخدم بتسليمه كل محتويات المتصفح ( هنا الكارثه )

ولا انصح بالمزامنه بل استخدام برامج تعمل باك اب للمتصفح

 

[أحمد البدارنة]

صدقت اخي
لكن الحل موجود ( هو تشفير جميع اتصالاتك )
خصوصا ً على نظام ويندوز 8 لان فيه تطبيقات ومزامنه ( الخصوصيه فيه مكشوفه بقوه ) لكن مع وعي المستخدم ان شاء الله مافي شي مستحيل


الكل يعلم عن برامج التخفي اثناء التصفح [ يعتقد انه محمي ] هذا اعتقاد غير صحيح لان التشفير تم للتصفح فقط


يوجد برنامج يقوم باخفاء اتصالاتك بشكل كامل عن النت لكن للاسف البرنامج يتشابه مع برامج التخفي الثانيه واتجنب عدم ذكره لان ممكن يستخدم مثل بقية البرامج لتجاوز الحجب

لكن البرنامج من خلال استخدامي له ،، لاحظت التالي :

1- التخفي لكل عمليات النظام ( متصفح + تطبيقات / عمليات النظام )
2- يتصل بسيرفرات سريعه ( مثل المدفوعه ) ولمست سرعة التصفح والحمايه فيه

البرنامج يعمل لمدة 3 ايام للاسف ويرغم المستخدم على الشراء
لكن وجدت له تفعل ( لودر ) بس اتضح بعد الفحص انه باك دور من مصمم التفعيل


،،،،

للاسف حتى قوقل لم يحترم خصوصية التصفح
اكثر محرك مهتم بتتبع بحث المستخدم + تسجيل التأريخ + عملية المزامنه اكبر مشكله يرتكبها المستخدم بتسليمه كل محتويات المتصفح ( هنا الكارثه )

ولا انصح بالمزامنه بل استخدام برامج تعمل باك اب للمتصفح

حاليا اعتقد ان تور + شبكات VPN هي حل للمشكلة + التخلي عن الويندز مقابل لينكس مع اني سمعت ان هناك توزيعات تابعة لمايكروسفت

 

[الخفـوق]

هو ممكن تكون كـ حماية تصفح وتمويه
لكن حماية كل تطبيقاتك اللي تعمل مزامنه ( هنا المشكله )

برضو التويتر ( تحديد الموقع )
واستعلام عن موقعي بويندوز 8
ضرورري المستخدم يكون حذر

واللي يحبون تثبيت تطبيقات الويندوز لازم ينتبهوا ( حقوق الوصول ) للتطبيقات المكتوبه

 

[tarkanbounce]

واضف الى زلك تقييم سوفت بيديا للبرنامج وانه خالى من التجسس ونظيف 100 %

 

[sabir_2007]

السلام عليكم ورحمة الله وبركاتة

الحمد لله على السلامة استاذ احمد منور المنتدى وان شاء الله دائما موجود في المنتدى


لا اعتقد ان هذا دليل على انة ضار البرنامج يقوم الشركة المصنعة بالاتفاق مع شركات اخرى مشهورة بدمجة معها ليصبح اكثر شهرة

وبخصوص الرسائل التى استشهدت بها هذا ايضا ليس دليل فاي برنامج سليم يشترك مع البرامج الخبيثة بعدة سلوكيات لذالك تحد ان معظم البرامج التى تحتوى على هبس اذا قمت بتشغيل اي برنامج غير معروف او غير موقع تقول البرنامج يحتاج الى صلاحيات المسؤول ويضعو فيها خيار UPDATER OR INSTAELER طبعا اي برنامج سليم اذا تتبعت تحركاتة وهو يقوم بتنصيب نفسة سوف يقوم بالتعديل على المفاتيح المحمية وغيرها فما بالك ببرنامج حماية حيث يتطلب صلاحيات المسؤول لحذف الفايروسات و برامج الحماية اكثر البرامج التى تتطلب الوصول الى مكونات النظام لسيطرة علية

طبعا بخصوص الخصوصية لا استبعد انة جاسوس او اي شئ من هذا القبيل لكن لا ارى مشكلة في هذا السبب

المتصفح اكبر جاسوس برنامج الحماية مهما كان نوعة مجاني او مدفوع جاسوس الويندوز عملاق التجسس العم قوقل جاسوس اذا هل تركنا كل هذا واتينا الى هذا البرنامج المسكين

============

طبعا البرنامج موثوق من فايروس توتال ولا داعي للفحص لماذا ؟ لانه محرك
Baidu موجود في فايروس توتال

هذا عالم لا يوجد بة خصوصية الا اذا اصررت على هذا ومن يريد الخصوصية فاليترك الويندز الذي هو اكبر
جاسوس

============

رابط مهم :

تقرير AV-Comparatives لبرامج الحمايه التي تقوم بارسال البيانات الشخصيه

===========

اشكرك عزيزي احمد على التوضيح

التجسس نوعان الأول سلبي والثاني ايجابي ويجب الاقرار بهذه النظرية .

السلبي هو التجسس على الخصوصية والسرقة وغيرها وأما الايجابي فيخص الشركة لعمل احصائياتها وعدد مستخدميها وشهرتها .

هل تتفق معي بأن هذا التعريف صحيح ؟

ومع انه لا يفتى ومالك في المدينة ولكن لا باس من التحرش بمالك للوصول الى نتيجة :لو ارادت الحكومة الامريكية معلومات عن مستخدمي الكومودو او التجسس على مستخدميه فهل تستطيع الشركة رفض الطلب خصوصا بعد ظهور patriotism act بعد أحداث سبتمر هذا اولا .

ثانيا - الأتراك نسبة نجاحهم في الدين صراحة لا تتجاوز 50% فما بالك بالذين يعيشون في امريكا والغرب ؟ ولأضرب لك مثلا : كنت ادرس في بريطانيا وكان بالجوار من الكلية مطعم تركي كتب عبارة حلال على مطعمه ونحن مجموعة من الطلبة نذهب اليه فرارا من اللحم غير المذكى في الكلية الى ان جائنا صديق ملتزم وقال لنا كيف تاكلون عند هذا التركي فقلنا له يدعي انه مسلم وكاتب على محله حلال .

فقال مستحيل لان اللحم الحلال غالي بسبب العرب في لندن وقام بتوجيه سؤال لصاحب المطعم : ماذا تقصد بكلمة حلال ؟ فقال يعني ليس خنزيرا وللتاكيد قال له : يعني لا تقصد بانه مذبوح بالسكين فقال : لا .

فهل يا شيخي الكريم تعتقد بان هذا التركي سيراعينا ولن يتجسس ويضحي بمصلحته؟

اليست صعبة شوية ؟

الصينيين ايضا لديهم ما يتجسسون عليه ولا ننسى بانهم اصبحوا اكبر اقتصاد نامي في العالم ناهيك عن ان الحكومة الصينية تفرض على المتصفحات الاجنبية التجسس على مواطنيها 1.3 مليار وقد قامت شركة ياهو بتسليم البريد الاليكتروني لأحد النشطاء المعارضين الصينيين وتسببت في سجنه مدى الحياة بتهمة الخيانة كونه ناشطا وفرضت حظرا على جوجل الى ان رضخت الأخيرة لشروطهم فما بالك بشركاتها ؟

ثم ان هذا المنتج لم ينزله أحد الا وسمعت أنه قام بحذفه بعد فترة .. فهل يعقل ان يكون المستخدمين بطرانين نعمة كون المنتج مجاني ام تعتقد أن المسألة فيها سر ؟

وتقبل أرق تحياتي

 

[sabir_2007]

واضف الى زلك تقييم سوفت بيديا للبرنامج وانه خالى من التجسس ونظيف 100 %

مين يشهد للعروس ؟

 

[tarkanbounce]

مين يشهد للعروس ؟

اثق فى السوفت بيديا تماماً

 

[sabir_2007]

اثق فى السوفت بيديا تماماً

احنا بنتكلم عن حاجة ثانية يا عزيزي وكل الاخوة الموجودين هنا السوفت بيديا بتقول ثقات :

http://forum.zyzoom.net/threads/226979/

 

[Burger]

الناس اللي بتتكلم عن ان البرنامج نظيف 100%

ليه معظم برامج المالوير ومنها الحصان تعطي تنبيهات عند تسطيبه ع الجهاز

طالما موثوق فيه من جميع المواقع التي يرفع عليها العينات مثل فيروس توتال

ده بقا عيب ف المحركات ولا ف الموقع ؟​

 

[الخفـوق]

ممكن يكون من طريقة الفحص اللي تستخدمها المواقع

الفحص السطحي لايكشف مثل مانعرف اي شي حتى يتم التشغيل + الاستخراج + مراقبة السلوك

مستحيل مواقع مثل السوفت بيديا و cnet يفحصون بشكل يدوي كل سلوكيات البرامج
هذا راح يكلف ميزانية ووقت
وحتى ان تم
ف يتم بشكل مو مجاني + لازم يتم ببرامج مراقبة سلوك
يعني برنامج من طبقات

cnet اذكر قبل سنه حملت برنامج لتحويل الفيديو كان له موقع رسمي
عند حذف البرنامج وعمل فحص ببرامج عن الروتكيت
لقيت الجهاز غرقان اذكر بوقتها كان الكومودو نبهني بس ما استطاع الحذف وهذا طبيعي مع كل البرامج
استخدمت بحينها اداة Gmer

 

[qysr]

يا شباب حتى اذا كان البرنامج يقوم بالتجسس ... فعلى حسب السمعات التي تعطيها له شركات الحمايه لابد ان يكون جزء من مؤامره كونيه يتواطأ فيها الجميع
ممكن بالمناسبه ... كل شئ ممكن
و بالنسبه للصين فمعلوم سلفا ان الصين تراقب استخدام الانترنت بشكل رهيب ,, هذا الامر تعارف الناس على تسميته جدار الصين الناري العظيم the great firewall of China
لكن لنكن واقعيين ,, ما دام المستخدم يستخدم الجهاز بشكل عادي و لا يتبع للانونيموس مثلا .. اعتقد لا داعي للتهويل

 

[elmasry2006elmasry2006 is verified member.]

البيدو ليس برنامج صيانة بل برنامج تنظيف و تخفيف للجهاز جربت كل البرامج التي ذكرتها اخي الغالي لكن لم تف بالغرض الا cclener
والبيدو اما الباقي فلا خير فيها ابدا خاصة wise car الذي يحذف الملفات المهمة من الويندوز لا انصح احدا باستخدامه ..

مع احترامي لك كلام غير صحيح
يااخي حتى متصفح spark عند تثبيته يعطي كثير من التنبيهات
وبعد ذلك كل تلك البرامج تنظيف وصيانه
هل انت تستخدم نسخه معدله ؟ اذا كانت اجابتك نعم فاعلم ان برامج الصيانه ستضرك اكثر مما تنفع لان النسخه بها نواقص
البايدو لم يعجبني بتاتا

 

[الخفـوق]

متصفح Spark
تشتبه فيه اداه اخاصه بتنظيف الجهاز و المتصفحات من التولبارات والادوير وبعض القيم التالفه بالرجستري

اللي يمتلك المتصفح ( Spark ) يحمل اداة adwcleaner
ويعمل فحص
راح يلاحظ ان الاداه تضمه من ضمن القيم الواجب حذفها
بعد تطبيق الحذف والاعاده الاجباريه للجهاز ( راح يتلف المتصفح )

على ما اذكر انه يضع مجلدات في مسارات مالازم تكون موجوده لبرنامج يستخدم كـ متصفح

هالكلام قبل مده

​

 

[يـــاســيـن عــمـرو]

متصفح Spark
تشتبه فيه اداه اخاصه بتنظيف الجهاز و المتصفحات من التولبارات والادوير وبعض القيم التالفه بالرجستري

اللي يمتلك المتصفح ( Spark ) يحمل اداة adwcleaner
ويعمل فحص
راح يلاحظ ان الاداه تضمه من ضمن القيم الواجب حذفها
بعد تطبيق الحذف والاعاده الاجباريه للجهاز ( راح يتلف المتصفح )

على ما اذكر انه يضع مجلدات في مسارات مالازم تكون موجوده لبرنامج يستخدم كـ متصفح

هالكلام قبل مده

​

 

[أبو رمش]

في النهاية المستخدم هو من يحدد ماذا يريد ! ولكن أقول تجنب الشبهات واجب و البديل كثير و ربما يرتقي أعلى مرتبة من هذا البرنامج .......

 

[الخفـوق]

البرنامج يثبت " هووك "
Install Hook
عمله نفس الكيلو جر ويقلع مع النظام كـ Service
يرصد ضربات المفاتيح

برنامج البايدو ( لمستخدميه ) يلاحظوا انه كل فتره يرفع Log لموقع البرنامج
( هذا يتضح فقط للي يستخدمون جدار ناري مثل الارمور والكومودو ــ الجدران الناريه اليدويه بشكل عام )

بمشاركاتي السابقه وضعت مسار وقيمة الرجستري للهوك
وهي من احد اخطر العمليات الضاره والمدرجه بقائمة الكومودو للتنبيه

اللي منها :

• • Scanned Online and Found Malicious

• • Access Memory

• • Create Process

• • Terminate Process

• • Modify Key

• • Modify File

• • Direct Memory Access

• • Direct Disk Access

• • Direct Keyboard Access

• • Direct Monitor Access

• • Load Driver

• • Send Message

• • Install Hook

• • Access COM Interface

• • Execute Image

• • DNS/RPC Client Access

• • Change Defense+ Mode

• • Shellcode Injection

وهذي صوره لاصدار قديم للكومودو تشرح فيه وتنبه بالوصف
من ان سلوك " تثبيت هوك " ممكن يكون كـ keyloger

وبحق البرنامج لما كنت مثبته بوجود الزيمانا للحمايه من لقط الشاشه

انه اكتشفه
+ بعد دقائق البرنامج ( البايدو ) يريد يرسل Log على اساس انو احصائيه ل مشاكل البرنامج لتصحيحها كما تزعم بعض البرامج بقصد امر اخر

 

[ahmad123422]

بارك الله فيك اخى الكريم

 

[sabir_2007]

يا شباب حتى اذا كان البرنامج يقوم بالتجسس ... فعلى حسب السمعات التي تعطيها له شركات الحمايه لابد ان يكون جزء من مؤامره كونيه يتواطأ فيها الجميع
ممكن بالمناسبه ... كل شئ ممكن
و بالنسبه للصين فمعلوم سلفا ان الصين تراقب استخدام الانترنت بشكل رهيب ,, هذا الامر تعارف الناس على تسميته جدار الصين الناري العظيم the great firewall of China
لكن لنكن واقعيين ,, ما دام المستخدم يستخدم الجهاز بشكل عادي و لا يتبع للانونيموس مثلا .. اعتقد لا داعي للتهويل

شكرا لك أخي الكريم

أنا لا أمانع أن يقوم البرنامج بأي عمل يود القيام به طالما اني أصبحت على الشبكة ودخلت عش الدبابير بشرط أن يقوم به بهدؤ ودون ازعاجي أو ادخال الشكوك لدي بأن الجهاز فيه خلل ويضيع وقتي في السؤال والبحث على المشكلة فكثير من شركات العصائر الطبيعية تدعي بأن عصائرها طازجة ولا يوجد بها سكر مضاف بينما الحقيقة تقول بأن السكر مضاف بنسبة 95% ولا تنجلي هذه الحقيقة للأسف الا للمصابين بداء السكري حماكم الله .

جميع أو أغلب البرامج لها سلوك تجسسي ولكن هناك أنواع تقوم به باحتراف مثل شركات العصائر الطبيعية ولذلك لن تتأثر سوى الأجهزة المريضة أصلا ولن ينصرف حهد صاحب الجهاز الى الوسواس والتفكير في ماذا حدث للجهاز .