ملف مشبوه لتجربة الاعضاء

[Abdulmuhaimen]

السلام عليكم ورحمة الله وبركاته

أخواني و أخواتي أعضاء منتدى زيزوووم الغالي

كل عام وأنتم بخير بمناسبة حلول شهر رمضان المبارك

أعاده الله علينا وعلى الامة الاسلامية بخير والبركة

أما بعد

أقدم لكم اليوم ملف مشبوه غير مكتشف الا من 3 شركات

وهذا هو تقرير موقع VirusTotal

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الطلب على الخاص

:: تحياتي ::

​

 

[stimulator32]

وعليكم السلام ورحمة الله وبركاته

وكل عام وأنت بخير .. وأمتنا الإسلامية بألف ألف خير ..

وجزاك الله عنا كل خير

أرسل بارك الله فيك

​

 

[SN!PER]

وعليكم السلام

كل عام و الامه الاسلاميه بالف خير

ارسل يالغالي
​

 

[صغير بس خطير]

وعليكم السلام ةكل عام اونتم بالف خير ارسل تنشوف بسرعة مستعجل

 

[Abdulmuhaimen]

تم الارسال ... للجميع

الرجاء توفير الملف من بعدى لم يطلبه

:: تحياتي ::
​

 

[صغير بس خطير]

جربت الملف على الجهاز ومش على الوهمي وما عمل اشي بس حاول الاتصال بالانترنت مباشرة لاكن الافيرا كشف الاتصال وقمت بمنعه تمام ولاكن للاسف قمت بحذفا لملف و ونسيت اقلكو رفعتوا على فايرس توتال لاكن اعطاني تقرير غير التقرير االاو هي التقرير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بس 1 الي مكتشفوا شكلها انذارية كاذبة

 

[stimulator32]

طريقة اكتشاف النود للملف:​

لم يتم الاكتشاف عن طريق التواقيع المحددة لنوع الفيروس تماما (أو أصنافه) .. ولا عن طريق الهيوريستك
السلبي (أي الباحث عن الأكواد الخبيثة) .. بل تم اكتشافه عن طريق تشغيل الملف ضمن بيئة وهمية أثناء
الفحص .. وتسجيل نقاط لسلوكه حسب خطورتها .. ومن ثم إعطاءه المسمى المناسب ..​

المسمى وإن كان اكتشافه بالهيوريستك .. إلا أنه يتضمن اسم التروجان الأصل الذي ينتمي هذا التروجان لفصيلته .. وهذا شيء نادر
بالنسبة للاكتشاف بالهيوريستك ..​

هذه أهمية مثل هذه التقنية التي يمتلكها محرك البحث ThreatSense .. والتي شرحناها مرارا وتكرارا .. فجاء مثل هذا الملف
في وقته المناسب للتطبيق العملي .. فبارك الله بصاحبه (مش صاحبه يللي صنعه، بل صاحبه هنا يللي نقله
لنا، أخونا مهيمن :d​

وهذا تقرير ThreatExpertحول هذا التروجان:​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[Abdulmuhaimen]

أخي الكريم صغير بس خطير

يبدو أنك قمت بتحميل الملف المضغوط بكلمة السر لموقع VirusTotal

أكيد حتكون النتيجة لاشي

يجب عليك أولا فك ضغط الملف بكلمة السر المرفقة

بعد فك ضغط الملف سوف تجد ملف يسمى file.exe

قم برفع هذا الملف وسوف تجد ما يرضيك :d:

:: تحياتي ::
​

 

[DrHoOoDa]

مع كشف النود و كشف دكتور ويب

اعتقد ان الملف 95 % مصاب فعلا
​

 

[Abdulmuhaimen]

مشكور أخي أبو أسامة المقدسي على التوضيح الرائع

ولو أنني أعتقد أن برنامج النود كشف الملف من خلال الهيوريستك

لانه جاء تحت مسمى

a variant of Win32/Injector.XJ

الغريب في الامر هو إضافة هذا التعريف للفيروس

بتاريخ يوم أمس

19-08-2009

تحت رقم
Update 434

بنفس الاسم

Win32/Injector.XJ

يعني أنه أستطاع كشفه قريبا :d:

للمعلومية أول من كشفه برنامج Dr.Web

:: تحياتي ::


​

 

[Abdulmuhaimen]

​

مع كشف النود و كشف دكتور ويب

اعتقد ان الملف 95 % مصاب فعلا

​

​

أهلا بأخي محمود ... أعتقد أن الملف مصاب بنسبة 100% :d:
​

 

[DrHoOoDa]

أهلا بأخي محمود ... أعتقد أن الملف مصاب بنسبة 100% :d:
​

:hh:

اهلا حبيبى :bleh: مهيمن


يا سيدى مجتش على ال 5 %

انا كنت هكتب 99 % بس قلت اخليها 95 % و لحد دلوقتى مش عارف اشمعنى اخترت 95

:hh:
​

 

[صدوق الود]

اخواني ادري ان مشاركاتي ما تسمح
لكن ارجوكم ارسلوا لي الملف
ابغا اجرب اف سكيور انترنت سكيوريتي 2010
وان شاء الله ارد لكم الجواب في اسرع وقت
في الفحص
والتشغيل
وبعد التشغيل

 

[moad3]

اررررررررررسل

 

[ahmed1000]

السلام عليكم ورحمه الله وبركاته رمضان كريم يعود على الجميع المسلمين اجمعين يارب
ارسل الملف لو سمحت جزاك الله كل الخير

 

[Mr.Najem]

طريقة اكتشاف النود للملف:​

لم يتم الاكتشاف عن طريق التواقيع المحددة لنوع الفيروس تماما (أو أصنافه) .. ولا عن طريق الهيوريستك
السلبي (أي الباحث عن الأكواد الخبيثة) .. بل تم اكتشافه عن طريق تشغيل الملف ضمن بيئة وهمية أثناء
الفحص .. وتسجيل نقاط لسلوكه حسب خطورتها .. ومن ثم إعطاءه المسمى المناسب ..​

المسمى وإن كان اكتشافه بالهيوريستك .. إلا أنه يتضمن اسم التروجان الأصل الذي ينتمي هذا التروجان لفصيلته .. وهذا شيء نادر
بالنسبة للاكتشاف بالهيوريستك ..​

هذه أهمية مثل هذه التقنية التي يمتلكها محرك البحث ThreatSense .. والتي شرحناها مرارا وتكرارا .. فجاء مثل هذا الملف
في وقته المناسب للتطبيق العملي .. فبارك الله بصاحبه (مش صاحبه يللي صنعه، بل صاحبه هنا يللي نقله
لنا، أخونا مهيمن :d​

وهذا تقرير ThreatExpertحول هذا التروجان:​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ظننت ان خاصية Threat Sense هى تقنية تقوم بإرسال اكتشافات الهيروستك
الى مختبرات النود فقط :?:

 

[virus and spyware]

ارسل قبل النوم

 

[stimulator32]

مشكور أخي أبو أسامة المقدسي على التوضيح الرائع​

ولو أنني أعتقد أن برنامج النود كشف الملف من خلال الهيوريستك​

لانه جاء تحت مسمى​

a variant of Win32/Injector.XJ​

الغريب في الامر هو إضافة هذا التعريف للفيروس ​

بتاريخ يوم أمس​

19-08-2009​

تحت رقم
Update 434​

بنفس الاسم​

Win32/Injector.XJ​

يعني أنه أستطاع كشفه قريبا :d:​

للمعلومية أول من كشفه برنامج Dr.Web​

:: تحياتي ::​

بارك الله فيك ..​

أخي مهيمن .. الاكتشاف تم بواسطة تقنية الـ advanced heuristic وهي تقنية تنفيذ الملف ضمن
البيئة الوهمية وحساب نقاط السلوك .. ومقارنتها مه القواعد التي تتضمنها هذه التقنية .. والتي
يتم تحديثها باستمرار ..​

الاكتشاف نعم بالهيوريستك .. لكن كلنا نعلم أن الهيوريستك متعدد التقنيات .. فالتوقيع العام هيوريستك .. والبحث عن كود
ضار هيوريستك .. وتحليل السلوك هيوريستك ..​

في حال ملفنا هذا .. الاكتشاف تم بالهيوريستك الفاعل أو الإيجابي .. وللتأكد .. حاول تعطل الكشف بالهيوريستك
المتقدم advanced heuristic .. ستجد أن البرنامج لن يكتشف الملف!​

ثم أخي الكريم .. كلمة a variant غير مخصصة للهيوريستك العادي ..​

فقد تأتي للهيوريستك العادي (أي البحث عن أكواد ضارة بالملف) ..​

وقد تأتي بتحليل السلوك (كما هو الحال في الملف هذا) ..​

وقد تأتي بالتواقيع العامة ..​

 

[stimulator32]

الغريب في الامر هو إضافة هذا التعريف للفيروس ​

بتاريخ يوم أمس​

19-08-2009​

تحت رقم
update 434​

بنفس الاسم​

win32/injector.xj​

طريقة كتابة التواقيع في شركة الإيسيت .. ليس الاعتماد على التواقيع المفردة لكل فيروس .. وإنما كتابة
توقيع صالح لاكتشاف أغلب أصناف الفيروس ..​

هذا التروجان تم اكتشافه البارحة كما تفضلت .. ولكن لاحظ أن التوقيع المضاف صالح لاكتشاف أصناف أخرى تنتمي لنفس فصيل التروجان
الجديد .. وهذا الاكتشاف حتما بالتوقيع المضاف البارحة .. أو بجملة أدق (باستخدام التوقيع) ..

يعني .. تم تنفيذ الملف ضمن بيئة وهمية .. وتم تسجيل سلوكياته وإعطائه النقاط المناسبة لكل سلوك .. ثم وجد
البرنامج أن مثل هذا السلوك هو مشابه لأحد أصناف هذا التروجان ..

أنا أفضل هكذا كتابة للتواقيع .. ولا أشجع كتابة توقيع مفرد خاص بكل فيروس ..​

 

[stimulator32]

ظننت ان خاصية Threat Sense هى تقنية تقوم بإرسال اكتشافات الهيروستك
الى مختبرات النود فقط :?:

يا حبي .. :hh:

هذيك الخاصية اسمها ThreatSense.Net .. وبعدين هذه الخاصية لإرسال بيانات عن الجهاز .. وإرسال أي ملف
مشبوه .. بالإضافة لما تفضلت به من إرسال للملفات المكتشفة بالهيوريستك ..

الظاهر أخوي محمد أنك نعسان .. ومؤثرة عليك جاذبية النوم .. :d:​