هل هذا الملف ضار أم سليم ؟ وهل تحليل مختبر الأفيرا صحيح أم خاطئ ؟ وهل زوار الشات الصوتي في خطر أم لا

[Juve GuardJuve Guard is verified member.]

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته

من فترة طويله كنت ادخل شات صوتي >> بعيداً عن الشات الخاصه بنظام ( allchat )
وبعد ما تجي النافذه الي تطلب مني الإنتظار لتثبيت برنامج خاص للتمكن من الدخول على الشات
يظهر عنصر ( ActiveX ) يطالبني بالسماح لتنزيل ملفين
مع العلم ان واحد من الملفات مكتشف من الأفيرا والى الآن وهو مكتشف
وسبق أن فحصت الملف على موقع فايروس توتل وكان فيه اكتشافات كثيره لأكثر من برنامج حمايه
لكن اليوم جاء على بالي أشيك وتفاجأت بالنتيجه
أغلب برامج الحمايه تقول عن الملف أنه سليم ما عدى ما وجد بالقائمه :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وتمت مراسلة مختبر الأفيرا وكان ردهم التالي :

The file 'ucx0.dll' has been determined to be 'MALWARE'. Our analysts named the threat TR/BHO.Spondl.87872. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 6.39.00.168

والمعنى من الكلام
أن الملف المرسل عباره عن ملف تجسس وليس ترجوان حسب المسمى
السؤال !!
هل تظنون أن أغلب برامج الحمايه سمحت للبرنامج بالدخول على الجهاز على سبيل أنه ملف سليم والأفيرا ومختبره اكتشافهم خاطئ أم العكس ؟

دققوا في النصّين باللون الأزرق
وفكروا زين

الملف بامتداد ( DLL )
الي مستعد يرسله لأكثر من مختبر يعلمني على شان ارسله ونشوف الرد
لأن الملف غير مخصص للتجربه ولا يمكن تشغيله
محتاجين مجموعة منهم يرسله لمختبر النود والثاني لمختبر الكاسبر والثالث للمكافي والرابع والخامس ... الخ
بانتظار الجميع



نتائج وردود بعض مختبرات برامج الحمايه
الرد الأول من شركة سيمانتيك نورتن نت أخونا / FABs
وقالوا أن الملف سليم

this message is an automatically generated reply. This system is designed to analyze and process virus submissions into the symantec security response and cannot accept correspondence or inquiries.
please contact your technical support representative if more detailed
information about your submission is required. Do not reply to this
message.

below is a status update on your virus submission:

date: May 18, 2009

fouad ballan



dear fouad ballan,

we have analyzed your submission. The following is a report of our
findings for each file you have submitted:

filename: Ucx0.zip
machine: Machine
result: See the developer notes

filename: Ucx0.dll
machine: Machine
result: See the developer notes

customer notes:
I have suspect about this file where avira consider this file as a trojen


developer notes:
ucx0.zip is a container file of type zip
ucx0.dll our automation was unable to identify any malicious content in this submission.
the file will be stored for further human analysis this file is contained by ucx0.zip




should you have any questions about your submission, please contact
your regional technical support from the symantec website and give them
the tracking number in the subject of this message.

-----------------------------------------------------------------------
this message was generated by symantec security response automation.

for usa:
For electronic support options, symantec provides on-line services at

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

--------------------------------------------

الرد الثاني جانا من الأخ / ibis
من مختبر برنامج ( Sophos ) وقيل ان الملف مصاب

عندما ذكرت لهم انى من مستخدمى البرنامج و اعطائهم البيانات لم يتأخروا

تقرير Sophos

thank you for your email. The file ucx0.dll that you sent to us for analysis is a Trojan, Troj/FakeAV-RD, further details of which can be found on our web site at

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

and an IDE file that will allow Sophos to detect this is now available on the Databank

الترجمة بإذن الله

شكرا لبريدك الالكترونى, الملف الذى ارسلته ucx0.dll للتحليل هو تروجان. و اسمه Troj/FakeAV-RD. للمزيد من المعلومات تجدها على موقعنا بالرابط التالى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و ملف IDE ( تعريف الأصابة ) الذى يمكن Sophos من اكتشافه الأن متواجد ضمن قاعدة البيانات.
​

الرد الثالث وصلنا من الأخ / Al jNtEeL
من مختبر شركة الكاسبر سكي وقالوا ان الملف سليم

Hello,


ucx0.dll

No malicious code was found in this file.

>From: ********@gmail.com
>Sent: May 18 2009 11:05PM
>To: "New Virus" <newvirus@kaspersky.com>
>Subject: Fwd: infected files
>
>Pass : 1
>
-----------------
Regards, Vitaly Butuzov
Virus Analyst, Kaspersky Lab.

 

[Al jNtEeL]

وعليكم السلاام ورحمة الله وبركاته

بيض الله وجهك يالنشمي .. ولاتهون ع الخاص

وان شاء الله سيتم ارساله لـ مختبرات الكاسبر سكاي

 

[FABs]

ارسل رح اراسل السمانتك​

 

[FABs]

في شغلة غريبة صرت ملاحظها اكثر من مرة لو تشوف المكافي gw والافيرا مكتشفين الفايروس بنفس المسمى بالظبط فهل يعني انهم يملكون نفس قاعدة البيانات ؟؟​

 

[Juve GuardJuve Guard is verified member.]

يعطيكم العافيه
وان شاء الله توصلكم الرساله

في شغلة غريبة صرت ملاحظها اكثر من مرة لو تشوف المكافي gw والافيرا مكتشفين الفايروس بنفس المسمى بالظبط فهل يعني انهم يملكون نفس قاعدة البيانات ؟؟​

نعم
والمحرك الموجود في المكافي النسخة الثالثه الموضحه في موقع فايروس توتل
هو الخاص بالأفيرا

 

[FABs]

يعطيكم العافيه
وان شاء الله توصلكم الرساله

نعم
والمحرك الموجود في المكافي النسخة الثالثه الموضحه في موقع فايروس توتل
هو الخاص بالأفيرا

الله يعطيك العافية على التوضيح ولكن سؤالي هو هل محرك الافيرا موجود بس في gw

 

[افراح الروح]

والمحرك الموجود في المكافي النسخة الثالثه الموضحه في موقع فايروس توتل
هو الخاص بالأفيرا

معلومة جديدة :king:

بارك الله فيك
​

 

[Juve GuardJuve Guard is verified member.]

الله يعطيك العافية على التوضيح ولكن سؤالي هو هل محرك الافيرا موجود بس في gw

نعم اخي الكريم
هذي النسخة الوحيده الي تمتلك محرك الأفيرا
والبرنامج كان له اسم قديم معروف بـ ( Web-Washer Getway )
والله اعلم

معلومة جديدة :king:

بارك الله فيك
​

حياك الله

 

[FABs]

رد شركة السمانتك ::​

والملف سليم​

this message is an automatically generated reply. This system is designed to analyze and process virus submissions into the symantec security response and cannot accept correspondence or inquiries.

please contact your technical support representative if more detailed

information about your submission is required. Do not reply to this
message.​

below is a status update on your virus submission:​

date: May 18, 2009​

fouad ballan​

dear fouad ballan,​

we have analyzed your submission. The following is a report of our
findings for each file you have submitted:​

filename: Ucx0.zip
machine: Machine
result: See the developer notes​

filename: Ucx0.dll
machine: Machine
result: See the developer notes​

customer notes:
I have suspect about this file where avira consider this file as a trojen​

developer notes:
ucx0.zip is a container file of type zip
ucx0.dll our automation was unable to identify any malicious content in this submission.
the file will be stored for further human analysis this file is contained by ucx0.zip​

should you have any questions about your submission, please contact
your regional technical support from the symantec website and give them
the tracking number in the subject of this message.​

-----------------------------------------------------------------------
this message was generated by symantec security response automation.​

for usa:
For electronic support options, symantec provides on-line services at

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

--------------------------------------------​

​

​

 

[Al jNtEeL]

تم الإرسال لـ newvirus@kaspersky.com

وبانتظار الرد ان شاء الله
​

 

[Abo Raneem]

يا رجال سلم لي على الافيرا وبس

الافيرا صادق وباقي البرامج تقول يا ليتنا اخذنا محرك البحث بتاع الافيرا خخخخخخخخخخخخخخخخخخ بس سبقه بها مكافي بيه

 

[Juve GuardJuve Guard is verified member.]

ما قصرتوا شباب
وهذي اول شركة للسيمانتيك تقول عن الملف أنه سليم
بانتظار الباقين

 

[باتريوت]

متابع

ْْْ~ْ~ْْْ~ْ~ْ~ْ~ْ~ْ

 

[Juve GuardJuve Guard is verified member.]

متابع

ْْْ~ْ~ْْْ~ْ~ْ~ْ~ْ~ْ

معصي :cr:

 

[ibis]

السلام عليكم

ممكن الملف للأرسال لمختبر Sophos ؟
​

 

[Juve GuardJuve Guard is verified member.]

السلام عليكم

ممكن الملف للأرسال لمختبر Sophos ؟
​

تم

 

[protection]

لي عوده

 

[G Data]

السلام عليكم

على الخاص يالغالي

جاي طامر وبس​

 

[ابو زيـــــاد]

شلون يعني المكافي نفس قوة محرك الافيرا ؟؟ يعني بس اللي يختلف الاسم بس

 

[باتريوت]

معصي :cr:

هووووع هآآآآآآآع