PDA

نسخه کامل مشاهده نسخه کامل : Security News : اخبار و هشدارهاي امنيتي



صفحه ها : [1] 2 3 4 5 6 7 8 9 10 11

mahan
16-10-2004, 15:26
اينجا با جديدترين و يروسها آشنا بشيد


مایکل جکسون هم به جمع ویروسهای اینترنتی پیوست


SetarehSorkh : خرابكاران در تلاش هستند تا با پخش كردن فايلي كه گوياي فيلم از بی بندوباریهای مايكل جكسون است اما در واقع شامل تروجان مي باشد ، راه را براي حمله از راه دور در كامپيوترها باز كنند.
بنابر خبر اختصاصی [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] از سوفوس و ایج ، شركت آنتي ويروس McAfee اعلام كرد كه نوع جديدي از كرم Netsky با نام Netsky.ag كشف شده است . این ویروس از طريق دانلود فايلي که حاوي یک فيلم سكسي از مايكل جكسون بوده و بوسیله ايميل ، منتشر مي شود . متخصصین امنیتی اعلام كردند بيش از صد نمونه از Netsky.ag را در برزيل و آرژانتين دريافت كرده اند.پيغامهايي به تعدادي از newsgroup ها فرستاده شده و اصرار دارند كاربران فايلي را كه مي گويد یک فيلم غیراخلاقی از مايكل جكسون مي باشد ، دانلود كنند.
اين عكسها شامل تصاويري از سوء استفاده مایکل جکسون از پسرهاي جوان مي باشد كه در حقيقت چنين چيزي وجود ندارد و اين عكسها ساختگي است.
موضوع اين فايلها " فيلمهاي وحشتناكي از همجنس بازي مايكل جكسون " میباشد
متن پيغام:
عكسهايي در اينجا موجود مي باشد كه واضحا مايكل جكسون را در حال اعمال غير طبيعي با پسر بچه ها نشان مي دهد. او مدتهاي طولاني است كه براي آنها مزاحمت ايجاد مي كند.
هكرها در پي مجادله هايي كه در اين مورد در باره مايكل جكسون به وجود آمد تروجاني را نهفته و با بكار گيري اين حيله آن را در شبكه رها كردند.
اين دومين بار در هفته است كه ویروس نویسان با استفاده از شخصيتهاي مشهور سعي در به تباهي كشيدن كاربران دارند.پیش از این تروجان Hackarmy سعی داشت از طريق دانلود عكسهاي افشاگرانه اي از ستاره فوتبال, ديويد بكهام به كاربران اينترنتی منتقل شود .
مايكل جكسون تا امروز آخرين شخصيت انتخاب شده توسط هكرها براي سوءاستفاده بوده است پيش از اين هكرها از ستاره هايي مثل :Halle Berry, Avril Lavigne, Anna Kournikova, Julia Roberts, Jennifer Lopez, Britney Spears و شخصيتهايي مثل بيل كيلينتون ، جورج دبلیو بوش و بیل گیتس و شخصیتهای کارتونی مثل: Pikachu و Kyle براي پيش برد اهداف خود استفاده كرده اند.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Sina
16-10-2004, 21:05
لاتين ديگه لازم نيست :wink:

mahan
17-10-2004, 02:40
گفتم شايد زبون لاتين بعضي ها از فارسي بهتر باشه
بهر حال باشه لا تينش رو حذف ميكنم
:idea:

mahan
17-10-2004, 02:45
ویروس بکهام

متخصصين امنيتي به كاربران كامپيوتر درمورد فايلي حاوي عكسهاي ديويد بكهام ستاره فوتبال جهان كه به اسب تروجان آلوده است هشدار دادند. اين اسب تروجان Hackarmy نام دارد .
اين عكسها كه آلوده به اسب تروجان هستند از زندگي شخصي ديويد بكهام شايعاتي را در بين كاربران در مورد ازدواج وی با Spice Girl Victoria Beckham پخش كرده اند .
تروجان یاد شده به صورت گسترده اي در بين فايلهاي حاوي شايعات ازدواج بازيكن فوتبال انگليسي توزيع شده است.
هكرها و ويروس نويسان سعي مي كنند تا از هر حيله اي در فريب دادن كاربران براي دانلود كدهاي مخربشان استفاده كنند, و هم اكنون هم با ابراز اينكه اطلاعاتي از زندگي شخصي كاپيتان فوتبال انگلستان در اختيار كاربران قرار مي دهند آنها را براي وارد كردن كدهاي مخرب در كامپيوترهايشان فريب مي دهند.
اين پيغامها كه همراه با عكسهاي اين ستاره فوتبال هست و از طريق اينترنت امكان دانلود آنها نيز وجود دارد , پس از اينكه كاربران را كنجكاو كرده وآنان را وادار به دانلود مي كنند راه را براي كنترل كامپيوترها باز مي كنند.
نمونه اي از اين شايعات بي اساس را در زير مي خوانيم :
( ديويد بكهام از رئال مادريد عكسهايي با همسرش در مراسم عروسي خود گرفته كه اين عكسها هنوز در روزنامه ها بازتاب نشده و شما آنها را در اينجا خواهيد ديد. )
اشتياق همگاني در فهميدن اين شايعات بي اساس جلوبرنده آلودگي هاي خطرناك در اينترنت است.فريب دادن كاربران با Hackarmy شبيه به حيله هايي است كه قبلا در مورد مرگ بن لادن و آرنولد در اينترنت شايع شده بود.

mahan
17-10-2004, 23:43
تروجان Tometa-A

شرح:
Tometa-A يك تروجان در پشتي است كه در سيستم هاي ويندوزي منتشر مي شود و خودش را در فايل Windows\System\mfm\msrll.exe كپي مي كند ومدخل زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Rll
همچنين تروجان اطلاعات را در پوشه تعيين شده قبلي قرار مي دهد و به پورت 2200 گوش كي دهد تا مهاجم از راه دور دستورات را به تروجان ارسال كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري و زير مدخل
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Rll
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد . سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.



كرم Helex-A

شرح:Helex-A كرمي ساده است كه فايل هاي بازي را تغيير نام مي دهد و خودش را در مكاني در آنها كپي مي كند. كرم مي تواند در تمامي ديسك سخت و شبكه هاي share شده منتشر شود. كرم نام فايل هاي زير را تغيير مي دهد:
hl.exe -> 3.dll
gta-vc.exe -> D3D.dll
quake3.exe -> def.dll
speed.exe -> D3Dconfig.dll
dmcr.exe -> img.dll
porsche.exe -> cars.dll
اين فايل ها در قسمتي از نامشان تغيير ايجاد نمي شود.
پس از اجرا كرم ديسك سخت و شبكه هاي share شده را براي پيدا كردن فايل هاي بيشتر و تغيير دادن آنها جستجو مي كند و سپس Helex-A فايل بازي اصلي را اجرا مي كند.

توصيه :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

mahan
18-10-2004, 11:27
تروجان Bancos-Z

Bancos-Z يك تروجاني مي باشد كه اطلاعات محرمانه برخي بانك ها را پس از جمع آوري به يك سيستم راه دور ارسال مي كند.
Bancos-Z تمامي اطلاعات درون فرم هاي مرورگر اينترنت را جمع آوري مي كند.
فايل اجرايي اين تروان به صورت RAR مي باشد. فايل اجرايي آن به نام tsknet.exe در شاخه سيستمي ويندوز كپي مي كند كه اين فايل داراي خصوصيت مخفي و سيستمي مي باشد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \tsknet
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\tskne

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky

mahan
19-10-2004, 10:37
كرم Xbot-D

شرح:Xbot-D كرمي است با قابليت در پشتي IRC كه از طريق شبكه منتشر مي شود.
Xbot-D از طريق شبكه هايي كه داراي پسورد ضعيف هستند منتشر مي شود. كامپيوتر آلوده از طريق كانالهاي IRC توسط يك مهاجم از راه دور كنترل مي شود.
كرم با اجراي ويندوز به طور خودكار اجرا مي شود و فايل هاي dhcp\csrss.exe و Webchecks.dllرا در پوشه ويندوز ايجاد مي كند. همچنين ممكن است فايل هاي زير را نيز در پوشه ويندوز ايجاد كند:
msvcp60.dll (if it doesn''t already exist)
dhcp\msadm.dll
dhcp\msusr.dll
dhcp\mspwd.dll
dhcp\msdb.dll
updater.exe
كرم Xbot-A از طريق شبكه هاي share شده و SQL server هايي با پسورد ضعيف منتشر مي شود.
Xbot-A به يك سرور IRC كه به شكل قديمي است متصل مي شود و با يك كانال ارتباط برقرار مي كند. و دستوراتي را از نويسنده خود دريافت مي كند كه اين دستورات مي تواند به صورت هاي زير باشد:
flood another machine with ping packets
execute arbitrary files/commands
download an updated version of the bot
close network services that have commonly-exploited vulnerabilities
kill security-related processes
كرم مدخل زير را در رجيستري ايجاد مي كند:
HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
@ = "C:\Windows\System32\webchecks.dll"
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
@ = "C:\Windows\System32\webchecks.dll"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و تمامي فايل هايي كه در بالا اشاره شده است را از سيستم خود پاك كنيد و در آخر دوباره سيستم خود را راه اندازي كنيد.

فعلا........

mahan
19-10-2004, 12:14
اينم يه دردسر ديگه واسه امروز

تروجان Perflog-A

شرح:Perflog-A تروجاني است كه يك درخواست نامه Keylogging قانوني را در فايل هايي با هدف تخريب ثبت مي كند.
Perflog-A پوشه "C:\Windows\Microsoft" را ايجاد مي كند و فايل هاي Keylogging زير را در آنجا قرار مي دهد.
SYSTEM.exe
SYSTEMr.exe
SYSTEMhk.dll
SYSTEMwb.dll
همچنين دو فايل پيكر بندي شده inst.dat و pk.binرا در پوشه اي شبيه آن قرار مي دهد. اين فايلها كليد هاي ثبت شده را در ايميلي براي نويسنده تروجان ارسال مي كنند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \system = "C:\Windows\Microsoft\SYSTEM.exe"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
SYSTEMwb.dll به صورت يك سرور Com ثبت شده است و مدخل هاي زير را در رجيستري ايجاد مي كند:
HKCR\CLSID\(1E1B2879-88FF-11D3-8D96-D7ACAC95951A)
HKCR\Interface\(1E1B2878-88FF-11D3-8D96-D7ACAC95951A)
HKCR\TypeLib\(1E1B286C-88FF-11D3-8D96-D7ACAC95951A)
HKCR\PK.IE
HKCR\PK.IE.1

مدخل هاي رجيستري زير در دفتر ثبت SYSTEMwb.dll به صورت يك كمك كننده جستجوگر BHO)) براي Internet Explorer ثبت مي شود.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
Browser Helper Objects\(1E1B2879-88FF-11D3-8D96-D7ACAC95951A)
مدخل زير ايجاد مي شود تا حتماKeylogger در سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \system = "C:\Windows\Microsoft\SYSTEM.exe"
اين تروجان برنامه هاي زير را از كار مي اندازد:
ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
alertsvc.exe
alogserv.exe
amon9x.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
autodown.exe
autotrace.exe
avconsol.exe
avgcc32.exe
avgctrl.exe
avguard.exe
avwupsrv.exe
avgserv.exe
avgserv9.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
avsched32.exe
avsynmgr.exe
avwinnt.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
avxw.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
connectionmonitor.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe

30naa
20-10-2004, 10:24
چرا بیشتر ویروسها رو با وی بی مینویسند؟

mahan
20-10-2004, 16:29
اينم از كرم امروز !!!!!!!!! :lol:

كرمBagz-B

شرح:Bagz-B جزء آن دسته از كرمهايي است كه از طريق پيغامهاي اينترنتي منتشر مي شود.اين كرم يك در پشتي را در بر دارد تا اجازه دهد مهاجم فايلهاي بيشتري را به سيستم آلوده وارد كند و تركيبات بيشتري را نصب كند.
كرم Bagz-B ممكن است ديواره آتش سيستم را از كار بيندازد.
كرم آدرسهاي ايميلي را كه نامهايي شبيه *.txt, *.htm, *.htm, *,dbx, *.tbi, *.tbb. دارند را جمع آوري مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \syslogin.exe = syslogin.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.
شرح اضافه:
ايميلي فرستاده مي شود كه محتوي آن يك فايل الحاقي با پسوند ZIP يا يك فايل دودويي مي باشد.محتوي آن از موضوعات زير مي باشد:
"last request before refunding"
"re: user id update"
"fwd: your funds are eligible for withdrawal"
"find a solution with this customer"
"no subject"
"re: help desk registration"
"failure notice"
"fwd: password"
"when should i call you?"
"re: re: a question"
"knowledge base article"
"open invoices"
"returned mail: see transcript for details"
"building maintenance"
"[fwd: broken link]"
"winxp"
"troubles are back again"
"questions"
"order approval"
"units available"
"progress news"
"big announcements"
"need help pls"
"you have recieved an ecard!"
"what is this ????"
"deactivation notice"
"message recieved, please confirm"
"my funny stories"
"cost inquiry"
"re: payment"
"referrences"
"webmail invite"
"re: quote request"

فايل الحاقي از نامهاي زير استفاده مي كند:

arch.doc<spaces>.exe
arch.zip
archive.doc<spaces>.exe
archive.zip
atach.doc<spaces>.exe
atach.zip
att.doc<spaces>.exe
att.zip
contact.doc<spaces>.exe
contact.zip
db.doc<spaces>.exe
db.zip
dl.exe
doc.doc<spaces>.exe
doc.zip
documents.doc<spaces>.exe
documents.zip
file.doc<spaces>.exe
file.zip
ipdb.dll
jobdb.dll
mail.doc<spaces>.exe
mail.zip
message.doc<spaces>.exe
message.zip
messages.doc<spaces>.exe
messages.zip
msg.doc<spaces>.exe
msg.zip
read.doc<spaces>.exe
read.zip
readme.doc<spaces>.exe
readme.zip
support.doc<spaces>.exe
support.zip
syslogin.exe
tutorial.doc<spaces>.exe
warning.doc<spaces>.exe
warning.zip
كرم يك كپي از فايل هاي بالا را در پوشه %system32% قرار مي دهد .همچنين تركيبات زير را ايجاد خواهد كرد:
%system32%/dl.exe
%system32%/syslogin.exe
%system32%/ipdb.dll
%system32%/jobdb.dll
و مدخل زير را در رجيستري ايجاد خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \syslogin.exe = syslogin.exe

راستي سينا جان سوال كوروشي پرسيدي ها ؟؟؟!!! :wink:

30naa
20-10-2004, 16:41
راستي سينا جان سوال كوروشي پرسيدي ها

منظورت چیه؟
نه این سوال رو بره این پرسیدم که تا حالا هر چی ویروس(نه ویروس درس حسابی مث jeef... یا blaster و یا sesser.. ولی ویروسهایی که ویندوز رو خراب می کنن و به هم میریزن یا کلا بیشتر بوتر ها و ... با وی بی نوشته شده؟ :?:

pcockz80
20-10-2004, 17:38
واسه اینکه یادگرفتنش راحت تره وگرنه VC چیز دیگه اس 8)

mahan
20-10-2004, 17:43
منظوری نداشتم بابا چرا بهت بر خورد
شاید دلیلش همینه که گمنام گفت
شاید هم بلد نیستن :wink:

30naa
20-10-2004, 17:58
ماهان جان شما چجوری تونستی حدث بزنی که به من برخورد؟
پس بیشتر اونایی که دوس دارن هکر و ... باشن همینان آره؟

mahan
20-10-2004, 18:41
اره همین ادمهای از خدا بی خبر
بی دین و ایمون
:mrgreen:

mahan
21-10-2004, 10:01
تروجان theMouse-A

83.7.30
شرح :theMouse-A يك تروجان در پشتي مي باشد كه مي تواند با ايجاد پورتهاي باز ارتباط هايي را با بيرون برقرار كند.همچنين اين تروجان فايلهايي را از بيرون دريافت و اجرا مي كند.
theMouse-A وقتي اجرا مي گردد ابتدا فايل هايي را در مسيرهاي زير كپي مي كند و سپس خيلي سريع سيستم آلوده را دوباره راه اندازي مي كند.
وقتي دوباره كامپوتر شروع به كار مي كند اين تروجان مدخل هاي زير را نيز در سيستم ايجاد مي كند :
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد
فعلا..........

mahan
21-10-2004, 10:10
كرم Zafi-B

83.8.30
كرم Zafi-B كرمي است كه لز طريق ايميل در شبكه هاي P2P منتشر مي شود و خودش را در پوشه ويندوز با يك نام تصادفي با پسوندEXE كپي مي كند و مدخل زير را در رجيستري قرار مي دهد تا مطمئن شود كه با اجراي ويندوز خودش نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>
شاخه رجيستري زير نيز ايجاد خواهد شد:
HKLM\Software\Microsoft\_Hazafibb\

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
اين كرم conection هاي اينترنت را براي متصل شدن به سايت هاي google و Microsoft چك مي كند.
Zafi-B آدرسهاي ايميل را با جستجو در فايل هايي با پسوند زير جمع آوري مي كند:
HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR
سپس آنها را با يك نام تصادفي با پسوند DLL در پوشه ويندوز ذخيره مي كند، سپس خودش را به صورت يك فايل الحاقي به آدرسهايي كه به دست آورده ارسال مي كند .
همچنيني كرم خودش را در پوشه هاي shareشده p2p به يكي از صورتهاي زير كپي مي كند:
''WINAMP 7.0 FULL_INSTALL.EXE'' or
''TOTAL COMMANDER 7.0 FULL_INSTALL.EXE''.
Zafi-A ممكن است پيغام را با يك متن مجارستاني با محتوي زير جابجا كند:
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).
ترجمه انگليسي آن به صورت زير مي باشد:
We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY
to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)
در زير مثال هايي از ايميلي كه كرم مي فرستد وجود دارد:
Subject: Ingyen SMS!
Message:

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] oldalon tal=E1lsz, de siess,
mert az els=F5 ezerfelhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Subject: Importante!
Message: Informacion importante que debes conocer, -
Subject: E-Kort!
Message: Mit hjerte banker for dig!
Subject: Ecard!
Message: De cand te-am cunoscut inima mea are un nou ritm!
Subject: E-vykort!
Message: Till min Alskade...
Subject: E-Postkort!
Message: Vakre roser jeg sammenligner med deg...
Subject: E-postikorti!
Message: Iloista kesaa!
Subject: Atviruka!
Message: Linksmo gimtadieno!
Subject: E-Kartki!
Message: W Dniu imienin...
Subject: Cartoe Virtuais!
Message: Te amo...
Subject: Flashcard fuer Dich!
Message: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Viel Spass beim Lesen wuenscht Ihnen ihr...
Subject: Er staat een eCard voor u klaar!
Message: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka
Subject: Elektronicka pohlednice!
Message: Ahoj!
Elektronick pohlednice ze serveru [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Subject: E-carte!
Message: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l''adresse suivante link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
Subject: Ti e stata inviata una Cartolina Virtuale!
Message: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
Subject: You`ve got 1 VoiceMessage!
Message: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
Subject: Tessek mosolyogni!!!
Message: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:
Subject: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:
Subject: Don`t worry, be happy!
Message: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Subject: Check this out kid!!!
Message: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

mahan
21-10-2004, 10:16
كرم Zafi-B

83.8.30
كرم Zafi-B كرمي است كه لز طريق ايميل در شبكه هاي P2P منتشر مي شود و خودش را در پوشه ويندوز با يك نام تصادفي با پسوندEXE كپي مي كند و مدخل زير را در رجيستري قرار مي دهد تا مطمئن شود كه با اجراي ويندوز خودش نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>
شاخه رجيستري زير نيز ايجاد خواهد شد:
HKLM\Software\Microsoft\_Hazafibb\

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
اين كرم conection هاي اينترنت را براي متصل شدن به سايت هاي google و Microsoft چك مي كند.
Zafi-B آدرسهاي ايميل را با جستجو در فايل هايي با پسوند زير جمع آوري مي كند:
HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR
سپس آنها را با يك نام تصادفي با پسوند DLL در پوشه ويندوز ذخيره مي كند، سپس خودش را به صورت يك فايل الحاقي به آدرسهايي كه به دست آورده ارسال مي كند .
همچنيني كرم خودش را در پوشه هاي shareشده p2p به يكي از صورتهاي زير كپي مي كند:
''WINAMP 7.0 FULL_INSTALL.EXE'' or
''TOTAL COMMANDER 7.0 FULL_INSTALL.EXE''.
Zafi-A ممكن است پيغام را با يك متن مجارستاني با محتوي زير جابجا كند:
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).
ترجمه انگليسي آن به صورت زير مي باشد:
We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY
to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)
در زير مثال هايي از ايميلي كه كرم مي فرستد وجود دارد:
Subject: Ingyen SMS!
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] oldalon tal=E1lsz, de siess,
mert az els=F5 ezerfelhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Subject: Importante!
Message: Informacion importante que debes conocer, -
Subject: E-Kort!
Message: Mit hjerte banker for dig!
Subject: Ecard!
Message: De cand te-am cunoscut inima mea are un nou ritm!
Subject: E-vykort!
Message: Till min Alskade...
Subject: E-Postkort!
Message: Vakre roser jeg sammenligner med deg...
Subject: E-postikorti!
Message: Iloista kesaa!
Subject: Atviruka!
Message: Linksmo gimtadieno!
Subject: E-Kartki!
Message: W Dniu imienin...
Subject: Cartoe Virtuais!
Message: Te amo...
Subject: Flashcard fuer Dich!
Message: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Viel Spass beim Lesen wuenscht Ihnen ihr...
Subject: Er staat een eCard voor u klaar!
Message: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka
Subject: Elektronicka pohlednice!
Message: Ahoj!
Elektronick pohlednice ze serveru [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Subject: E-carte!
Message: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l''adresse suivante link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
Subject: Ti e stata inviata una Cartolina Virtuale!
Message: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
Subject: You`ve got 1 VoiceMessage!
Message: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
Subject: Tessek mosolyogni!!!
Message: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:
Subject: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:
Subject: Don`t worry, be happy!
Message: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Subject: Check this out kid!!!
Message: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

mahan
22-10-2004, 11:48
تروجان Natas-A

شرح : Natas-A تروجاني است كه سعي مي كند اطلاعات بيش از ظرفيت به conection اينترنت كاربر ارسال كند.
تروجان توانايي اجرا شدن روي ماشينهاي non-US/Canada را ندارد و پيغام خطاي "ActiveX component cannot create object" را مي دهد .
Natas-A به صورت ممتد به يك سرور از پيش تعيين شده logon مي كند . فرستنده تروجان ، تروجاني را در %windows%\plugin\csrss.exe كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[random clsid]\
Stubpath = %windows%\plugin\csrss.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[random clsid]\
Stubpath = %windows%\plugin\csrss.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
23-10-2004, 10:37
كرم Olatsky-A

همكاران :Olatsky-A كرمي است كه از طريق ايميل و با استفاده از عملكرد MAPI در Microsoft Outlook در سيستم هاي ويندوزي منتشر مي شود.
كرم Olatsky-A ممكن است همراه ايميلي با خصوصيات زير ارسال شود:
Subject: "Muahahahaha see that stupid teacher!"
Message body: "Download and open the movie and ROTFL now!"
Attachment: "teachermovie.exe"

Subject: "Microsoft Security Patch"
Message body: "This patch protect your Windows for the Worm MyDoom or Novarg,
download the patch and install it now!"
Attachment: "antisassernetsky.exe"

Subject: "Mail Delivery Status"
Message body: "Your Email Account is corrupt please install the patch now!"
Attachment: "mailaccountpatch.exe"

Subject: "E-mail Address not found!"
Message body: "The e-mail address wasnt'' found, please read the attachment for more information"
Attachment: "readme.exe"

Subject: "Sasser virus bugfix from McAfee"
Message body: "Please scan your computer, the MyDoom worm is very dangerous"
Attachment: "Sasser.exe"

Subject: "Die E-Mail konnte nicht versendet werden"
Message body: "Glauben sie nicht? Schauen sie selbst das angehngte Bild an!"
Die von ihnen angegebene Adresse wurde nicht gefunden,
bitte downloaden sie die Liesmich Datei fr weitere Informationen!"
Attachment: "liesmich.exe"

Subject: "Russische Spionage Satelliten haben sie fotografiert"
Message body: -
Attachment: "satellitenfoto.exe"

Subject: "Wichtige Informationen fr Morgen"
Message body: "Hi ich habe hier noch die Arbeitspl fr Morgen"
Attachment: "arbeit.exe"
پس از انتشار، كرم Olatsky-A خودش را به صورت ايميل به آدرسهايي كه ازدفترچه آدرسهاي Microsoft Outlook به دست آورده ارسال مي كند.
به اين طريق كرم توانايي اين را دارد كه با اجراي ويندوز آن نيز اجرا شود و فولدر زير را درست مي كند.
C:\WINDOWS\All Users\Startmen\Programme\Autostart\systrayw.exe.
بخشي از اين كرم نيز به عنوان يك ثبت كننده كليد عمل مي كند و تمامي كليد هاي فشرده شده توسط كاربر را ثبت مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در فولدر زير فايل مورد نظر را حذف كنيد :
C:\WINDOWS\All Users\Startmen\Programme\Autostart\systrayw.exe.
پرسش هاي خود را در اين زمينه مي توانيد در اينجا مطرح كنيد

mahan
23-10-2004, 11:16
تروجان Scob-A

اينو همين الان ديدمش :

Scob-A يك تروجان جاوا اسكريپت مي باشد كه درون فايل هاي HTML گزارش شده است كه اين فايل ها در IIS اجرا مي شود.

اين تروجان يك فايل را از يك سايت روسي دانلود مي كند،اين سايت در حال حاضر در دسترس نمي باشد.

Amir_P30
23-10-2004, 16:40
آخرين اخبار از آخرين ويروس ها:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به زبان فارسي

mahan
24-10-2004, 02:13
دستت درد نکنه امیر جان
نونه مارو آجر کردی .... ایول
:shock: :mrgreen:

mahan
24-10-2004, 02:21
کشف دو حفره امنیتی خطرناک در گوگل


متخصصین فني گوگل اعلام كرده اند كه حفره امنيتي در موتور جستجوي گوگل وجود دارد كه گوگل patch آنرا ارائه داده است و مشكل ديگري نيز شناسايي شده است كه patch آن تا آخر هفته منتشر مي شود.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در موتور جستجوي گوگل اختلالي وجود دارد كه به هكرها اين امكان را مي دهد كه در نتايج جستجوي گوگل تغيير به وجود بياورند و اين امكان وجود دارد ، چون گوگل به سايتهاي ثالثي اجازه استفاده از محتويات جستجوي درون گوگل را مي دهد.

اين حفره به Cracker ها امكان جاسازي كدهاي جاوا اسكريپت را در عوض لينكهاي فايلهاي تصويري مي دهد و اجازه مي دهد آنها نمود و نمايش صفحه نتايج جستجوي گوگل را تغيير دهند و اطلاعات جستجو شده را بدزدند.

Achilles' Heel اختلال ديگري را بوسيله Netcraft پيدا كرد كه امكان تزريق يا داخل كردن محتويات مخرب از قبيل scam ها و يا ديگر اهداف را در وب سايت گوگل به هكرها مي دهد .
patch مربوط به اين مشكل هم تا آخر هفته انجام مي شود.

mahan
24-10-2004, 10:00
تروجان Banker-EK

همكاران : Banker-EK يك تروجان دستبرد زننده به اطلاعات مي باشد.اين تروجان كاربر هايي را كه از اينترنت استفاده مي كنند و جزئياتي را از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ثبت مي كنندرا ديده باني مي كند و اطلاعات ثبت شده به آدرس ايميلي در برزيل ارسال مي شود.


توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

mahan
24-10-2004, 10:02
آسیب‌پذیری تلفن‌های همراه دارای جاوا


۲ آبان ۱۳۸۳
تراشه : محققان لهستانی از وجود دو آسیب‌پذیری در تلفن‌های همراه دارای نسخه جاوا سان مایکروسیستمز خبر دادند که تحت یک شرایط غیرعادی به برنامه‌های بداندیش امکان خواندن اطلاعات و یا از کار انداختن تلفن را می‌دهد.

آدام گودیاک 29 ساله، محقق امنیتی در Poznan Supercomputing and Networking Center که این آسیب‌پذیری را کشف کرد، اعلام کرده است: "بهره‌برداری از این حفره‌ها کار مشکلی است زیرا برنامه‌ها باید برای هر یک از مدل‌های تلفن همراه بطور جداگانه نوشته شود." او کشف کرده است که چگونه می‌توان به موبایل نوکیا 6310i حمله کرد، اما این تلاش 4 ماه زمان برده است.

گودیاک اظهار داشت: "قبل از اینکه بتوان از این آسیب‌پذیری بهره‌برداری کارد، کاربران تلفن همراه می‌بایست یک برنامه بداندیش را دانلود و اجرا کرده باشند."

او اعلام کرد که در ماه آگوست، سان را از این موضوع مطلع کرده است و این شرکت اعلام کرد که برای این مشکل یک وصله امنیتی ظرف 2 هفته آینده ارسال می‌کند.

mahan
25-10-2004, 10:45
كرم Ourtime-A

83.8.4

شرح :Ourtime-A كرم مخصوص ويندوز مي باشد كه از طريق فايلهاي share شده شبكه منتشر مي شود.
كرم Ourtime-A داراي يك ماشين ZIP مي باشد كه آرشيوي از فايلهايي با نام به ظاهر درست ايجاد مي كند تا كاربر هاي ديگر p2p را بيابد سپس كرم اين فايل ها را با client هاي Kazzaa, eDonkeyو eMule ، share مي كند.
با اجراي ويندوز كرم نيز به طور خودكار اجرا مي شود و مدخل رجيستري زير را ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Poet=C:\WINDOWS\system32\Inf\poet.exe
اندازه فايل هاي درون آرشيو زياد مي باشد تا فايلها براي پر كردن فضا مناسب باشند. كرم پس از اضافه شدن به فايلها فشرده شده كپي هاي خود را روي اينترنت مي فرستد.
عباراتي كه براي نام آرشيو ها استفاده مي شود شامل تيتر هاي زير مي باشد:
games, software hacks/cracks and sexual
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''Export Registry File'''''''' و در پنل ''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Poet=C:\WINDOWS\system32\Inf\poet.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

تا بعد ....... :wink:

mahan
25-10-2004, 10:51
نسخه‌ي جديد كرم Netsky در كره‌ي جنوبي
83.8.4
همكاران : محققان ضد ويروس نسخه‌ي جديدي از كرم Netsky را كشف كرده‌اند كه حاوي متني بوده كه آن را به دانشگاهي در كره‌ي جنوبي متصل مي‌سازد.

Mikko Hypponen، مدير تحقيقات ضد ويروس در شركت اروپايي و ضد ويروس F-Secure گفته است كه اين گونه‌ي اخير كرم Netsky حاوي دو عبارت مخفي با نام‌هاي SoonChunHyang و Bucheon است.

وي همچنين گفته است: «دانشگاهي با نام Soonchunhyang در شهر Bucheon واقع در كره‌ي جنوبي وجود دارد. بنابراين، اين طور حدس مي‌زنيم كه هدف اين نسخه‌ي جديد كرم Netsky، كره‌ي جنوبي است.»

بر طبق اظهارات شركت ضد ويروس Sophos، نسخه‌ي اصلي Netsky توسط Sven Jaschan نوشته شده كه ظاهرا مسئول 70 درصد از تمامي آلودگي‌هاي ناشي از ويروس‌ها در نيمه‌ي نخست سال جاري بوده است.

Jaschan در ماه مه توسط پليس آلمان توقيف و به زندان فرستاده شد. وي اعتراف كرده كه برنامه نويسي هر دو كرم Netsky و Sasser را وي انجام داده بوده است. در طي پنج ماه پيش از دستگيري Jaschan، دست كم بيست و پنج گونه‌ي مختلف از كرم Netsky و يك نسخه از Sasser موجود بوده‌اند.

Jaschan مدت كوتاهي پس از دستگيري، گفته است كه كد منبع كرم Netsky را توزيع كرده و اين كرم قادر بوده است كه به هر تعدادي از افراد امكان دهد تا نسخه‌هاي گوناگوني از اين كرم را توليد كنند.

Hypponen گفته است كه چنانچه كد منبع اين كرم منتشر شده باشد، همه‌ افراد از آن استفاده خواهند كرد. وي همچنين گفته است كه كد منبع Netsky، بسيار فوق العاده بوده زيرا اين كرم در عملكردهاي خود بسيار موفق بوده است.

از زماني كه Jaschan دستگير شده است، دست كم بيست گونه‌ي ديگر از كرم Netsky يافت شده است.

Hypponen عقيده دارد كه تمامي گونه‌هاي اخير Netsky توسط مقلدها (copycats) توليد شده‌اند. وي گفته است از آن جايي كه نويسنده‌ي نسخه‌ي اصلي خانواده‌ي Netsky هم‌اكنون قادر به ادامه‌ي كار خود نيست، به نظر مي‌رسد كه اين نسخه‌هاي اخير

تا بعد ........... :wink:

mahan
26-10-2004, 10:03
نقايص امنيتي در مرورگرها، دربر دارنده‌ي خطرات phishing
83.8.5
منبع: مشورت : یك مسئله‌ي امنيتي در ساختمان و شكل رايج و عمومي مرورگرهاي متعددي چون موزيلا، فاير فاكس، اپرا، Konqueror و كارنينو كشف شده است.
اين نقص ياد شده كه توسط شركت تحقيقات امنيتي Secunia يافت شده است، مرورگرهاي داراي tab را كه به كاربران امكان مي‌دهد تا سايت‌هاي چندگانه را مشاهده كنند، مورد هدف قرار داده است. با پيدايش اين آسيب پذيري، يك box مكالمه ممكن است ايجاد شود كه كاربران را به سمت download كردن نرم‌افزار جاسوسي هدايت كرده و يا كامپيوترها در معرض خطر دسترسي غير مجاز به آن‌ها قرار مي‌دهد.
Thomas Kristensen، مدير تكنولوژي شركت Secunia گفته است كه توليد كنندگان در حال بر طرف كردن مشكل موجود در مرورگرهاي آلوده هستند. وي خاطر نشان كرده است كه مسئولان موزيلا در حال آزمايش كردن patch اين مرورگر بوده و ساير سرپرستان به سرعت تلاش مي‌كنند تا نقص موجود را بر طرف سازند.
حفره‌ي Phishing
اگرچه مشكلات امنيتي هميشه به مرورگرها آسيب خواهند رساند، اما از آن جايي كه از بخش‌ها و قسمت‌هاي ديگر تكنولوژي استفاده مي‌كنند، توجه به اين آسيب پذيري به خصوص، داراي اهميت بسياري بوده، زيرا كاربران را در معرض خطر حملات فريب دهنده قرار مي‌دهد.
مشكل اصلي آن است كه اين نقص مي‌تواند براي حملات phishing مورد استفاده قرار گيرد.
شركت Secunia توصيه كرده است كه كاربران وبي كه از مرورگرهاي داراي tab استفاده كرده و متكي به آن‌ها هستند، بايد JavaScript خود را از كار انداخته و يا از بازديد و مشاهده‌ي وب سايت‌هاي غير مطمئن به طور هم‌زمان با مشاهده‌ي سايت‌هاي قابل اطمينان، خودداري فرمايند.
حملات و آسيب رساني‌هايي كه با موفقيت انجام مي‌شوند، نيازمند آن هستند كه كاربران فريب
خورده و لينك‌هايي را كه از سوي وب سايت‌هاي آلوده به سايت‌هاي مورد اطمينان فرستاده مي‌شوند، بر روي tab جديدي باز كنند.
آينده‌ي غير ايمن
علاوه بر نقص موجود در مرورگرهاي داراي tab، شركت Secunia اخيرا دو نقص جديد را در عمومي‌ترين و مورد استفاده‌ترين مرورگر، Internet Explore كشف كرده است.
اين دو آسيب پذيري جديد كه از لحاظ خطرناك بودن در رديف آسيب پذيري‌هاي بسيار خطرناك و بحراني قرار گرفته‌اند، مي‌توانند سيستم كامپيوتر كاربران را در اختيار گرفته، آن‌ها را به منابع عمومي اتصال داده و مسير قابليت‌هاي امنيتي سرويس پك 2 ويندوز XP مايكروسافت را مسدود سازند.
Kristensen گفته است كه متاسفانه، پيدايش اين آسيب پذيري‌هاي جديد بدان معناست كه مشكلات امنيتي به طور مداوم و مكرر در آينده رخ خواهند داد.

تابعد ............ :wink:

mahan
27-10-2004, 09:54
تروجان Tinytest-A


83.8.6
Tinytest-A يك تروجان دانلود كننده مي باشد كه طوري برنامه ريزي شده است تا فايلهايي را از مكانهاي دور دانلود كند و آنها را اجرا نمايد.
اين تروجان يك adware executable از webinstall.tscash.com دانلود مي كند و آنرا با نام SysUpd.exe در پوشه ويندوز كپي و اجرا مي كند.
مدخل زير را در رجيستري ايجاد مي كند وسپس فايل SysUpd.exe را روي سيستم اجرا مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \SysUpd = %SYSTEM%\SysUpd.exe

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \SysUpd = %SYSTEM%\SysUpd.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
27-10-2004, 10:13
و يروسي براي کاربران eBay

83.8.6
متخصصان مسائل امنيتي از کشف ويروسي خبر دادند که در قالب يک نامه الکترونيک براي کاربران ebay ارسال مي شود.

در اين نامه که ظاهراً از سوي سايت مشهور ebay براي کاربران ارسال مي شود چنين ادعا شده که اين سايت خواستار انجام يک پژوهش در ميان کاربران خود است که شرکت در آن جوايزي را نيز به دنبال دارد.

اين نامه همچنين داراي يک ضميمه آلوده به نام Login.exe است که اجراي آن امکان دسترسي ويروس نويسان به اطلاعات شخصي افراد را فراهم مي آورد.

کارشناسان خطر اين ويروس را بسيار بالا ارزيابي کرده اند.

mahan
29-10-2004, 11:09
راهي جديد براي مبارزه با ويروس هاي آن لاين

83.8.8
گروه دانش: محققان پيش بيني كرده اند اگر زمان تأخير پخش ويروس هاي كامپيوتري به كمتر از سه ساعت كاهش پيدا كند، ميزان تأثير ويروس هاي آن لاين به حداقل مي رسد. به گزارش پي سي ورلد، تحقيقات اخير دانشمندان بيانگر آن است كه يك ويروس كامپيوتري براي تأثيرگذاري كافي به بيش از سه ساعت زمان نياز دارد و اگر طراحان برنامه هاي ضد ويروس بتوانند زمان تأخير پخش را به كمتر از سه ساعت برسانند، ميزان تأثير ويروس هاي ايميلي و آن لاين به كمترين مقدار خود خواهد رسيد و چه بسا از بين مي رود.
تاخير زمان پخش ويروس ها هم اكنون ۱۰ ساعت است.
الكس شيب، متخصص فناوري نرم افزارهاي ضد ويروس مي گويد: برنامه هاي خراب كارانه شديداً دچار تحول شده، اما نرم افزارهاي ضدويروس همچنان برپايه الگوهايي استوار است كه ۲۰ سال پيش طراحي شده است.
تحليلگران مركز تحقيقاتي IDC سه ماه قبل طي گزارشي اعلام كردند با توجه به گسترش سريع ويروس هاي پيچيده و مخرب انتظار مي رود سازمان ها به طور فزاينده اي به تكنيك ها و برنامه هاي شناسايي و انهدام ويروس روي بياورند.

mahan
29-10-2004, 11:10
تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:

service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
30-10-2004, 10:10
كرم Krogo-Q

83.8.9
Korogo-Q كرم شبكه و كرمي است كه در سيستم هاي ويندوزي منتشر مي شود.كرم از طريق جستجوي سيستم و يافتن آسيب پذيري LSASS منتشر مي شود.

كرم Korogo-Q براي در يافت دستورات به يك پورت تصادفي گوش مي دهد.كرم IP هاي تصادفي را پيدا مي كند و سعي مي كند از طريق نيرنگ به port 445 روي كامپيوتر قرباني متصل شود .هر كامپيوتري كه آسيب پذيري LSASS داشته باشد به كامپيوتر آلوده متصل شود يك كپي از كرم را دانلود خواهد كرد و سپس با اجراي آن سيستم را آلوده خواهد كرد.

Korgo-Q همچنين به چندين URL ارتباط برقرار مي كند وآنها را از آلوده كردن سيستم قرباني آگاه مي سازد. برخي از اين URL ها سايت هاي آنتي ويروس و بانكهاي الكترونيك مي باشند.

اين كرم همچنين خود را به نامهاي تصادفي و با پسوند MSC در پوشه سيستمي ويندوز كپي مي كند.

همچنين يك فايل DLL را نيز با يك نام تصادفي در پوشه سيستم كپي مي كند.

براي اينكه Korgo-Q فايل DLL را اجرا كند آنها را به عنوان يكي از اشياي مرورگر ويندوز در سيستم ثبت مي كند و مدخل هاي زير را به همين منظور ايجاد مي كند:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

كرم همچنين مدخل زير را نيز ايجاد مي كند :



HKLM\SOFTWARE\Microsoft\DataAccess\Database

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3- اصلاحيه هاي مايكروسافت نيز نصب گردد.

4 -روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

mahan
30-10-2004, 10:13
حفره امنیتی خطرناک در RealPlayer


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

83.8.9
سایت امنیتی eEye Digital به آسیب پذيري مهمی در RealPlayer پي برده است كه به هكرها امكان مي دهد مجموعه اي از داده هاي اختياري را با كدهاي اختياري در متن اجرايي كاربران RealPlayer اجرا كنند.

در این نوع آسیب پذیری skin فايل RealPlayer يا (.rjs) مي تواند دانلود شود و بدون اجازه كاربر در سراسر جستجوگر وب به طور اتوماتيك اجرا شود.
skin فايلها مجموعه اي از گرافيك و فايل .ini ذخيره شده باهم در فرمت ZIP مي باشند.DUNZIP32.DLL, كه RealPlayer را در بر مي گيرد در استخراج مندرجات skin فايلها استفاده مي شود. وقتي كه فايل (.rjs) داراي نام فايل طولاني ( بزرگتر از 0x8000 بايت) باشد در RealPlayer و جستجو گر وب باز نمي شود و به توده اي از buffer ها امكان دزديدن برنامه هاي ثبت شده ورودي , خروجي استثنائي را مي دهد.

راه حل و چاره سازي :
RealNetwork براي اين آسيب پذيري patch هايي منتشر كرده است كه از طريق منوی "Check for Update " در زير Tools ، در منو بار RealPlayer و از طریق گزينه " Security Update - Skin File Overflow " قابل دسترسي است و بهتر است كه خود Player نيز آپديت شود.

سيستم هاي تحت تاثير واقع شده RealPlayer 10.5 (6.0.12.1053 and earlier) RealPlayer 10 RealOne Player v2 RealOne Player v1 در ويندوز مايكروسافت میباشند .

mahan
31-10-2004, 10:29
تروجان Ariel-A


Ariel-A يك تروجان در پشتي در سيستم هاي ويندوزي است .كرم خودش را در پوشه ويندوز با نام REGCXCOMPFTP.EXE ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا در هنگام شروع ويندوز تروجان نيز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

Ariel-A كليد هاي سيستم را ثبت مي كند و در ميان آنها به دنبال پسورد هاي بانك هاي برزيلي مي گردد.

اين تروجان همچنين دستوراتي را از راه دور مي تواند دريافت كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

mahan
31-10-2004, 10:32
حمله به گوگل , مايكروسافت و وب سايت نخست وزير مجارستان

83.8.10
در روز چهارشنبه ورژن جديدي از كرم Zafi با نام Zafi.C گزارش شد كه كه برعكس ورژنهاي قبلي Zafi ، كد دار بوده و قصد روانه كردن حمله DDoS در برابر گوگل , مايكروسافت و وب سايت نخست وزير مجارستان را دارد .
اولين نوع ورژن كرم Zafi كه به متن مجارستاني بود و Zafi.A نام داشت در آپريل امسال كشف شد وسعي در فرستادن خودش به آدرس ايميلهاي مجارستان داشت, اما زياد مخرب نبود.
دو ماه بعد Zafi.B منتشر شد واين بار كرم قادر به محدود كردن عملكردهاي آنتي ويروسها و فايروال بود و به زبانهاي زيادي از جمله انگليسي , اسپانيايي , روسي و سوئدي صحبت مي كرد.
Mikko Hyppönen رئيس آنتي ويروس F-Secure مي گويد : كرم Zafi.C خيلي بدتر و وخيم تر از Zafi.B هست و مي تواند مزاحمت هاي زيادي را ايجاد كند, اگر چه از ويراني هاي اين كرم خيلي كم گزارش به ما رسيده است.
Zafi.C بازتاب خبري بزرگي در مجارستان بر پا كرده است .كرم Zafi.C آدرس بوك ويندوز و ايميل آدرسها را آلوده كرده است .
Paul Ducklin, کارشناس ارشد Sophos مي گويد اين ويروس فعلا در سطح پاييني از آلودگي قرار دارد و در استراليا و بيشتر جاها گزارش زیادی از آلودگي نداشته ايم. وي مي افزايد ، قابل توجه است كه ماهانه حدود 1000 ويروس جديد گزارش مي شود كه این یعنی تقريبا هر 45 دقيقه يك ویروس!!
چهار شنبه روز پر مشغله اي براي كمپاني هاي آنتي ويروس بود, آنها نوع جديدي از كرم MyDoom و نوع ديگري از كرم Agobot را نیز كشف كردند كه از سرور Internet Relay Chat (IRC) براي دستيابي هكرها در آلوده كردن سيستمها استفاده مي كنند.
Ducklin اضافه كرد كه اين سیصد و پنجاهمین ورژن Agobot مي باشد.
SuSE از وجود حفره‌ي امنيتي در هسته‌ي لينوكس خبر مي‌دهد .
مشخصات اون رو در چند روز آینده همینجا ببینید .

mahan
31-10-2004, 10:47
هك شدن 1000 سايت اينترنتي توسط تيم آشيانه


بنابر ایمیل رسیده از سایت آشیانه ، این تیم شنبه شب حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. توجه شما را به متن ایمیل ارسالی جلب مینمائیم :

با سلام و عرض احترام خدمت مدیران سایت های خبری و IT کشور.
من یکی از مدیران تیم امنیتی آشیانه هستم.

در پروژه جدید، تیم آشیانه شنبه شب مورخ 83/8/9از ساعت 30/8 شب تا 30/1 بامداد حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. این هزار سایت توسط سه تن از اعضای تیم آشیانه یعنی "Behrooz Ice" & "Lucifer" & "Q7X" هک وDeface شد.

رکورد تعداد سایت های هک شده در یک روز با این کار شکسته شد که البته رکورد قبلی یعنی هک 600 سایت نیز در اختیار همین تیم بود.

اینکار فقط بخاطر بی تفاوتی مسئولان این سرور به مقوله امنیت و Security سرور Windows خود و تذکر به آنها انجام شد. هیچ خسارتی به این سرور وارد نشده و اطلاعاتی پاک نشده است، تنها صفحهIndex (اصلی) سایت ها با صفحه هک ما جایگزین شده است.

این کار توسط باگی مربوط به ضعفASP انجام شد و ما توانستیم با دور زدن Permission این سرور به سایت های Host شده بر روی آن دسترسی پیدا کنیم. ما دسترسی کاملی بر روی این سرور داشتیم. به علت زیاد بودن تعداد سایت ها مجبور به نوشتن برنامه ای شدیم که به صورت اتوماتیک عملیات Deface کردن را انجام بدهد.


در این لیست اسم سایت های معروفی همچون سایت توسعه صنعت پارس - سایت اداره کل بازرگانی مازندران - سایت بانک هندوستان - سایت iranmusiccenter.com - سایت horizondiamonds.com - سایت ایران E-Cards و چندین سایت در رابطه با تجارت الماس ... به چشم می خورد.

این سرور یک سرور بزرگ بین المللی در آمریکا بود که از ویندوز 2000 سرور SP 4استفاده می کرد و بر روی آن 1000 سایت از کشورهایی نظیر آمریکا – اسراییل – هند – نیوزلند – پاکستان – امارات – عربستان – ایران – عمان و چند کشور دیگر قرار داشت.

لینکhtml ای که جایگزینindex این سایت ها شده است:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لینک لیست کامل سایتهای هک شده:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

امیدواریم روزی برسد که مدیران سرورها بیشتر به امنیت سرور خود توجه کنند.

ممنون و موفق باشید
گروه امنیتی آشیانه

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

mahan
05-11-2004, 10:45
طوفان نسخه هاي جديد كرم Bagle و ارائه ابزار پاکسازی آن


كرم Bagle با سه ورژن جديد و متفاوت براي فریب دادن آنتي ويروسها در رديابي ، با سرعتی زیاد از كما بازگشته است.

سه كمپاني بزرگ آنتي ويروس McAfee, Symantec و Sophos گزارش دادند كه از تعداد زيادي از ورژن هاي جديد Bagle جلوگيري كرده اند و از كاربران خواستند كه حتما آنتي ويروس كامپيوترهايشان را آپديت كنند.
McAfee فقط در روز پنجشنبه حدود 200 بار Bagle.bb را گزارش كرده است اما دونوع ديگر Bagle.bc و Bagle.bd فقط دو بار ديده شده اند.

ورژن هاي جديد تقريبا يكسان هستند اما با كاهش نشانه هاي ويروس براي گول زدن برنامه هاي آنتي ويروس ، متفاوت از نمونه هاي قبليBagle مي باشند .

Sophos نيز اعلام كرد هزاران گزارش از Bagle.bb كه با نام Bagle.au خوانده مي شود داشته است اما دو ورژن جديد ديگر كمترين شدت را داشته اند.ورژن هاي جديد Bagle در ايميلهايي از آدرس منابع جعلي و با موضوعات مبهمي از قبيل Re:Hello, Re: Thank you! و Re: مي آيند.

سیمانتک جهت پاکسازی انواع کرم یاد شده Remover آنرا آپدیت نموده که آخرین نسخه آنرا میتوانید از لینک زیر دریافت نمائید :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

mahan
05-11-2004, 10:57
Bagle چی میگه اصلا .......

نسخه‌هاي جديد كرم Bagle بر روي اينترنت منتشر شده و شركت‌هاي ضد ويروس شروع به هشدار دادن به مشتريان درباره‌ي اين تهديد جديد و روزآمد ساختن نرم‌افزارها براي شناسايي اين كرم‌هاي جديد كرده‌اند.
سه گونه‌ي جديد از كرم Bagle توسط شركت‌هاي ضد ويروس مشاهده شده كه هر كدام مشابه نسخه‌هاي قديمي‌تر اين كرم بوده‌اند كه ابتدا در ماه ژانويه به اينترنت حمله كرده و از طريق فايل‌هاي پيوست آلوده در ايميل‌ها منتشر گشته‌اند.
شركت مكافي، دو مورد از اين كرم‌هاي جديد را از نظر خطرناك بودن در رده‌ي متوسط قرار داده است. ساير فروشندگان ضد ويروس از جمله Symantec و Sophos PLC نيز گزارش‌هايي درباره‌ي جلوگيري از بسياري از نمونه‌هاي اين كرم جديد منتشر و به مشتريان توصيه كرده است كه در اولين فرصت، نرم‌افزارهاي ضد ويروس خود را روزآمد سازند.

تيم پاسخ به فوريت‌هاي ضد ويروس مكافي اولين نمونه‌ي كرم Bagle.bb را كه يكي از گونه‌هاي جديد منتشر شده، شناسايي كرده است. سپس اين شركت در حدود 200 گزارش درباره‌ي اين ويروس دريافت كرده و از انتشار دو مورد ديگر با نام‌هاي Bagle.bc و Bagle.bd جلوگيري كرده است.

شركت مكافي، كرم‌هاي Bagle.bb و Bagle.bd را بر اساس تعداد گزارش‌هاي دريافت شده، از لحاظ خطرناك بودن در رده‌ي متوسط قرار داده است.

گونه‌هاي جديد اين كرم تقريباً با يكديگر يكسان بوده، اما از نسخه‌هاي متفاوت كه با عنوان يك برنامه‌ي بسته‌بند (packer) شناخته مي‌شوند استفاده مي‌كنند تا اندازه‌ي ويروس را تغيير داده و profile جديدي ايجاد كند كه بتواند برخي از برنامه‌هاي ضد ويروس را فريب دهد.

محققان ويروس در شركت Sophos، هزاران گزارش از ويروس Bagle.bb را از سوي مشتريان دريافت كرده‌اند. اين شركت، كرم جديد را Bagle.au ناميده است.

اولين كرم Bagle در تاريخ نوزدهم ژانويه منتشر شده است. از آن زمان تاكنون، بيش از چهل نسخه از اين كرم شناسايي شده‌اند. همانند نخستين كرم، تمامي نسخه‌هاي منتشر شده سيستم‌هاي اجرا كننده‌ي ويندوز مايكروسافت را مورد هدف قرار داده، آدرس‌هاي ايميل را از ماشين‌هاي آلوده جمع آوري مي‌كنند و از پروتوكل انتقال ايميل خود (SMTP) استفاده مي‌كنند تا از اين طريق ايميل‌هاي آلوده به ويروس را به آدرس‌هاي ياد شده ارسال كند.

گونه‌هاي مختلف كرم Bagle از طريق ايميل‌هاي فريبنده و يا آدرس‌هاي منبع ساختگي و با موضوعاتي مبهم و نامشخص مانند "Re:Hello"، "Re:Thank you!" و "Re:Hi" منتشر مي‌شوند.

با وجود تعداد بسيار كپي‌هاي اين ويروس، Sophos گزارش‌هاي اندكي از از سوي مشتريان آلوده شده دريافت كرده است.

Graham Cluley، مشاور عالي رتبه‌ي تكنولوژي در شركت Sophos گفته است: « نرم‌افزارهاي ضد ويروس را مي‌توان روزآمد ساخت، اما مغز و فكر مردم را نمي‌توان patch كرد. كاربران بايد بدانند پيش از باز كردن پيوست ايميل‌ها بر روي كامپيوترهاي خود، كمي تآمل و تفكر كنند

mahan
06-11-2004, 10:56
IE ، آسيب پذيرترين ابزار تحت وب

تراشه : طبق گزارش سرويس هاي امنيتي IE ،ScanSafe يا همان مرورگر مايكروسافت به عنوان پر خطر ترين و سريع ترين تهديد امنيتي شناخته شد.

بيشترين استفاده از آسيب پذيري Exploit.Html.Mht مي باشد كه دو برابر ديگر آسيب پذيري ها سازمانها و شركت ها را در سال 2004 مورد تهديد قرار داده است.
هر چند كه تروجان ها و كرم ها به عنوان تاثير گذارترين حملات باقي ماندند اما آسيب پذيري ها نيز در حدود 19 درصد از حملات را براي خود توسط ScanSafe ثبت كردند كه هنوز هم در حال افزايش مي باشد.
به گفته مسوولان ScanSafe آسيب پذيرترين ابزار تحت وب همان مرورگر مشهور و دوست داشتني مايكروسافت مي باشد كه باعث حملات زيادي به كاربران شده است. اين سركرده مرورگرهاي وب به راحتي امكاني را فراهم مي كند كه كاربران فقط با ديدن يك سايت به سادگي به انواع ديگري از خطرات و تهديدات تحت وب دچار شوند.

Jphn Edward مدير فني ScanSafe پيش بيني مي كند كه در آينده نيز IE به خطرناك ترين ابزار براي سازمانها و شركت هاي IT مي تبديل مي شود.

او مي گويد: هر زماني كه يك آسيب پذيري جديد در مرورگر ويندوز پيدا مي شود تا زماني كه شركت مايكروسافت اين آسيب پذيري را اصلاح كند و مديران شبكه در جهت نصب اصلاحيه ها برآيند زمان مرده اي وجود دارد كه نفوذگران و هكرها از اين زمان مرده حداكر استفاده را مي كنند.

همچنين در اين گزارش Webmail ها ده درصد خطرات و Spyware ها 12 درصد از اينگونه تهديد ها را به خود اختصاص داده اند.

mahan
06-11-2004, 10:58
مايكروسافت در حال بررسي حفره‌ي امنيتي جديد در IE است

منبع : مشورت


مايكروسافت در حال بررسي گزارش‌هايي درباره‌ي يك نقص امنيتي بسيار جدي در مرورگر Internet Explorer است، اما هنوز هيچ كد مخربي را كه به آسيب پذيري گزارش شده حمله كرده و موجب تخريب و آسيب آن شود، مشاهده نكرده است.

متخصصان امنيت اوايل اين هفته هشدار داده‌اند كه كدي كه حفره‌ي امنيتي تازه يافت شده در IE را تحت تاثير قرار مي‌دهد، در حال گردش و منتشر شدن بر روي اينترنت است. بنا بر اظهارات شركت امنيتي دانماركي، Secunia، اين كد موجب ايجاد سر ريز بافر در IE 6 شده و بر روي كامپيوترهايي كه ويندوز XP به همراه سرويس پك 1 و ويندوز 2000 بر روي آن‌ها اجرا مي‌شوند، مستقر گرديده است.

تيم آمادگي فوريت‌هاي كامپيوتري آمريكا (CERT) هشدار مشابهي را به كاربران داده است. اين تيم اعلام كرده است كه علاوه بر مرورگر وب، برنامه‌هاي كاربردي مانند كلاينت‌هاي ايميل كه مبتني بر كنترل‌هاي مرورگر هستند نيز ممكن است آسيب پذير باشند.

حمله كنندگان مي‌توانند با استفاده از نقص موجود، كنترل و تسلط كاملي بر روي كامپيوتر قرباني به دست آورند. مايكروسافت در حال بررسي آسيب پذيري ياد شده است.

در حالي كه شركت امنيتي Secunia و CERT درباره‌ي كد مخرب و منتشر شدن اين آسيب پذيري هشدارهايي ارايه كرده‌اند، مايكروسافت اعلام كرده است كه هنوز نشانه‌اي از اين آسيب پذيري مشاهده نكرده است. اين شركت گفته است: « ما از وجود كدهاي مخرب و آسيب پذيري گزارش شده اطلاعي نداشته‌ايم، اما با پشتكار فراوان در حال بررسي گزارش‌هاي عمومي هستيم.»

هنوز patchي براي اين نقص موجود نيست، اما كامپيوترهايي كه سرويس پك 2 ويندوز XP بر روي آن‌ها اجرا مي‌شود، در مقابل اين آسيب پذيري ايمن هستند.

مايكروسافت اعلام كرده است كه به بهترين نحو از كاربران ويندوز حمايت خواهد كرد. اين پشتيباني ممكن است شامل ارايه‌ي برنامه‌اي براي برطرف كردن آلودگي‌ها از طريق عرضه‌ي patch ماهيانه و يا برنامه‌ي روزآمد ساز امنيتي برون از چرخه‌اي باشد.

30naa
06-11-2004, 17:01
قابل توجه امیر پی سی

mahan
07-11-2004, 10:56
وجود حفره امنيتي در هسته لينوكس

همشهري : يكي از اصلي ترين توزيع كنندگان لينوكس، از وجود يكي از خطرناك ترين حفره هاي امنيتي در هسته اصلي نسخه ۶/۲ لينوكس خبر داد.
به گزارش زد دي نت، SuSE اعلام كرده است كه اين حفره امنيتي مي تواند به حمله كنندگان امكان دهد تا سيستم هاي عامل نرم افزار مبتني بر نسخ ۶/۲ را از كار بياندازند.
هسته ۶/۲ كه اواخر سال گذشته به توليد رسيد، برخي از ويژگي ها و قابليت هاي سازماني را به لينوكس مي افزايد، اما همچنان در بازار به عنوان يك محصول آزمايشي شناخته مي شود.
شركت Red Hat، بسياري از ويژگي هاي مهم ۶/۲ را براي استفاده در Enterprice Linux به هسته ۴/۲ منتقل كرده و در اين باره گفته است كه هسته قديمي تر داراي ثبات بيشتري است. در حالي كه شركت ManddrakeSoft نسخه ۶/۲ را براي كاربران عادي معرفي كرده است.
SuSE ادعا كرده است كه اولين شركتي خواهد بود كه نسخه ۶/۲ را براي سيستم عامل لينوكس و به همراه SuSE Linuxe9.۱ در بهار آينده معرفي خواهد كرد.
گفته شده است كه مهاجمان مي توانند براي از كار انداختن سيستم ها، از بسته هاي makform استفاده كنند.
كاربران مي توانند به عنوان جانشيني براي روزآمد ساختن اين هسته، ديوار آتش فعال شده بخش هاي IP و TCP را از كار بياندازند، اما به آنان توصيه نمي شود كه اقدام به انجام چنين امري كنند. محصولاتي كه از هسته ۴/۲ استفاده كرده و آن را اجرا مي كنند، شامل محصولات سرورهاي سازماني شركتهاي Red Hat و ManddrakeSoft بوده كه توسط باگ ها آلوده نمي شوند.
اين باگ ها، محصولاتي چون SuSE Linuxe9.۱ و سرور SuSE Linuxe Enterprice9 را تحت تأثير قرار مي دهند، اما SuSE Linuxe9.۲ به اين دليل كه از نسخه ۸/۶/۲ هسته اصلي استفاه مي كند كه مشكلات موجود در آن برطرف شده، تحت تأثير آلودگي هاي موجود واقع نمي شود. SuSE ، نقص ها و آسيب پذيري هاي كم خطرتري را Patch كرده است كه قادر بوده اند امكان دستيابي به امتيازات اساسي را براي كاربران فراهم سازند. اين باگ تنها SuSE9 را كه بر روي s/۳۹۰ قرار دارد، تحت تأثير قرار مي دهد.
شركت امنيتي Secunia اعلام كرده است كه اين نقص بازدارنده سرويس از نظر خطرناك بودن در رده متوسطي قرار مي گيرد، زيرا به حمله كنندگان امكان ناسازگار كردن سيستم ها را نمي دهد. اين دومين باگ در نسخه ۶/۲ بوده كه از نظر خطرناك بودن در چنين سطحي قرار مي گيرد.
نخستين باگ از نوع بازدارنده سرويس بوده كه در ژوئيه گذشته منتشر شده است.

mahan
07-11-2004, 10:58
انتشار اسامي 10 ويروس برتر ماه اکتبر توسط Sophos

شرکت امنيتي Sophos فهرست ده ويروس مخربي را که بيشترين مشکل را براي شرکتهاي تجاري و کاربران کامپيوترهاي شخصي در ماه اکتبر سال 2004 ايجاد کرده بودند اعلام کرد.

به گزارش بخش خبر تراشه از سايت امنيتي Sophos، اين گزارش که حاوي مانيتور کردن شبکه هاي جهاني مي‌باشد، نشان مي دهد Netsky-P و Zafi-B به ترتيب در مرتبه اول و دوم اين نمودار قرار دارند که ویروس Zafi-B برای اولین بار در ماه ژوئن پدیدار شد.



شما مي توانيد 10 ويروس برتر ماه اکتبر 2004 را در زير مشاهده نماييد:


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


کارول تریالت، مشاور امنیتی در Sophos اعلام داشت: "تنها با یک ثبت جدید که در پایین این جدول قابل مشاهده است، همچنان تسلط و نفوذ دو ویروس Netsky-P و Zafi-B ادامه دارد. این دو ویروس بسیار رایج و مقاوم هستند و و رقیبانی بسیار سخت برای ویروس‌های جدید تلقی می‌شوند. هزاران کپی از آنها در سرتاسر دنیا پخش شده است و برای کلیه کامپیوترهایی که دارای یک سیستم امنیتی مناسب نباشند تهدید جدی و بالقوه‌ محسوب می‌شوند."

mahan
08-11-2004, 10:44
شيوع گسترده hoax در ياهو مسنجر


پژوهشگران امنيتي به كاربران نسبت به شیوع hoax هايي (شوخي فريب آميز) هشدار دادند كه از طريق سرويس ياهو مسنجر در بين كاربران براي ايجاد وحشت در بين آنها پخش شده و به كاربران درمورد ويروس بسيار مخوف و وحشتناكي هشدار مي دهند.

hoax هاي ياهو مسنجر به (قاتل هارد درايو ) نيز مشهور مي باشند كه به كاربران هشدار مي دهد كه كامپيوتر شما در شرف آلودگي با ويروس بسيار وحشتناكي است .Sophos تعداد بسيار زيادي گزارش از شيوع گسترده hoax ها از كاربران دريافت كرده است كه كه حتي از طريق ايميل و message board های اینترنت نيز فرستاده شده است.

Graham Cluley رئيس بخش امنيتي Sophos گفت : كه اين هشدارها كاملا مزخرف و دروغ است و چنين ويروسي اصلا وجود ندارد. اگرچه خود اين hoax ها و نامه هاي زنجيره اي بي ضرر نيستند و پهناباند و زمان را پايمال مي كنند و درد سرهايي براي بخشهاي پشتيباني به وجود مي آورند.

نمونه اي از پيام اين hoax ها را در زير مي خوانيد:

اگر كسي با نام dvorak@yahoo.com شما را add كرد درخواست او را قبول نكنيد زیرا كه وی يك ويروس خطرناك است . اين پيغام را براي همه افراد موجود در ليست خود نيز بفرستید چونكه اگر يكي از افراد درون ليست شما از روي بي اطلاعي اين ويروس را بگيرد تو هم ويروسي مي شوي پس همه افراد درون ليست خود را از از اين مسئله آگاه كن و بگو كه پيامي را كه از angell11, tewwtuler, و sassybitch باشد باز نكنند كه قاتل هارد درايو و ويروس بسيار مخوف و معدومي است.
مخلصانه وصادقانه :رئيس سرويس هاي ياهو
لطفا بر روي ليست خود راست كليك كن و اين پيغام را براي همه بفرست.

فرستادن چنين hoax هايي بسيار آسان مي باشد و متخصصين از كاربران مي خواهند تا قبل از فرستادن هر متني براي دوستان و افراد درون ليست خود حتما آنرا چك كنند تا از ايجاد مزاحمت و وحشت در ديگران جلوگيري شود.

83.8.19

mahan
08-11-2004, 10:45
كرم Forbot-BC


همكاران : Forbot-BC كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد شد.
اين كرم خودش را در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود:
KLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
پس از اولين اجرا كرم فعاليتهاي زير را كه آموزشهايي از طرف مهاجم مي باشد را اجرا مي كند:

- setup a SOCKS4 proxy
- setup a HTTP proxy
- delete network shares
- partake in denial of service (DDOS) attacks
- port scan IP addresses
- download and run files from the Internet
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

mahan
09-11-2004, 11:19
كرم Rbot-PC


Rbot-PC از خانواده كرم هاي Rbot مي باشد كه مانند يك در پشتي عمل مي كند كه در شبكه هاي share شده با پسورد ضعيف منتشر مي شود و هدف آن سيستم هاي ويندوزي است.

كرم منتشر مي شود تا دستورات مخصوصي را از طريق جستجو در آدرسهاي IP تصادفي ارسال كند ،براي اين منشور SMB پورت (445) را باز مي كند و سعي مي كند خودش را در پوشه ويندوز روي share هاي Admin$ و C$ كپي كند.

اين كرم از يك لغت نامه داخلي عمومي استفاده ممي كند تا بتواند به پسورد ها دسترسي داشته باشد.

Rbot-PC يك فهرست از فايل هاي كپي شده تهيه مي كند تا آنها را روي سيستم اجرا كند.همچنين قابليت جستجو كردن روي سيستم هاي ويندوزي را دارد تا در آنها آسيب پذيري هاي عمومي را پيدا كند ،مانند آسيب پذيري LSASS و پورت هاي باز شده توسط كر مهاي ديگرمانند Bagle يا MyDoom .

كرم Rbot-PC همچنين يك در پشتي است كه به مهاجم اجازه مي دهد به سيستم آلوده دسترسي داشته باشد.پس از اجرا كرم به يك كانال IRC نتصل مي شود و يك كانال مخصوص در آنجا ثبت مي كند تا دستورات را از مهاجم دريافت كند.

اين كرم مانند ديگر عضو هاي خانواده Rbot قابليت انجام اعمال زير را دارد:

allow a remote user to set up a proxy server

start a HTTP server on a user specified port

collect system information

add or delete shares and users

kill processes

download and execute files

send email

remotely control a connected web cam

sniff network traffic

log keystrokes

steal keys for certain games or launch various denial-of-service attacks against an attacker-specified target.

كرم پس از اجرا خودش را در پوشه ويندوز با نام csrse.exe كپي مي كند تا با اجراي ويند.وز كرم نيز اجرا شود و مدخل زير را در رجيستري قرار مي دهد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

در ضمن به علت كپي هاي مختلفي كه اين كرم در پوشه هاي Share شده ايجاد مي كند بهتر است كه از آنتي ويروس براي پاك كردن آن استفاده كنيد.

mahan
11-11-2004, 10:22
سهل انگاري I S P ها باعث سرقت اطلاعات كاربران مي شود

همشهري : تنظيم نادرست سرور «حافظه پنهان (CACHE)» در بخش فني مراكز ارائه دهنده خدمات اينترنتي (ISP) باعث در دسترس همگان قرار گرفتن اطلاعات كاربران و سرقت آنها مي شود.
«حافظه پنهان ((CACHE» يك زيرسيستم خاص حافظه است كه در آن يك نسخه از صفحاتي كه اغلب مورد استفاده قرار مي گيرد ذخيره شده تا بتوان سريع تر به آنها دست يافت.
«عليرضا اقتداري» مدير يك مركز ISP در اصفهان در اين باره به ايرنا گفت: برخي از مراكز ISP اقدام به قرار دادن صفحات مربوط به ارسال شناسه كاربري (ID) و رمز (Password) در سرور حافظه پنهان مركز خود به صورت ذخيره شده مي كنند.
وي افزود: اكثر صفحاتي كه عمل ارسال (submit) يا اتصال (Loggin) اين اطلاعات مهم و شخصي را انجام مي دهند و به هنگام قرار گرفتن در سرور حافظه پنهان باعث ايجاد مشكلات فراواني مي شوند.
وي ادامه داد: با ذخيره شدن صفحات ارسال در سرور حافظه پنهان، هرگاه كاربر جديدي به مركز ISP مورد نظر متصل شده و شناسه و رمز خود را وارد سايت ذخيره شده كند با صفحه اصلي كاربر قبلي استفاده كننده از پهناي باند مركز ISP مواجه مي شود.
وي اضافه كرد: در نتيجه، كاربر جديد مي تواند به كليه اطلاعات كاربر قبلي دسترسي پيدا كرده و در صورت تمايل آنها را به نفع خود سرقت و استفاده كند.
اقتداري تصريح كرد: اين پديده در برخي از مراكز ارايه دهنده خدمات اينترنتي در ايران به وجود آمده، به طوري كه اطلاعات شخصي كاربران آنها در اختيار همگان قرار گرفته است.
مدير اين مركز ISP خاطر نشان كرد: بيشتر مشكلات به وجود آمده در باره صفحات پست الكترونيكي (E-mail) محيط هاي گفتمان (Chat) و سايت هاي دوست يابي مانند اركات (Orkut) است.
وي با اشاره به اين كه اكثر صفحات ارسال اطلاعات داراي استانداردهاي نرم افزاري «پي.اچ.پي (PHP)» و «اي .اس.پي (ASP)» هستند، گفت: مديران بخش فني مراكز ISP تا حد امكان بايد از قرار دادن اين صفحات در سرور حافظه پنهان خودداري كنند.
به گفته وي، برخي از مديران فني مراكز ISP بدون توجه به رعايت مسايل امنيتي و ارايه كيفيت مطلوب اينترنت به كاربران و تنها براي صرفه جويي در هزينه ها و مصرف پهناي باند خود اقدام به قرار دادن صفحات پربيننده در سرور حافظه پنهان خود مي كنند.

mahan
11-11-2004, 10:24
تروجان Banker-AA


Banker-AA تروجاني است كه به پسوردها دستبرد مي زند و مشتري هاي بانك هاي برزيلي را زير نظردارد.
اين تروجان اينترنتي كه وقتي به سيستم كاربر دسترسي پيدا كند براي مدتي اعمال او را ديده باني مي كند. وقتي سايتها در حال مشاهده هستند تروجان يك صفحه جعلي را نمايش مي دهد تا كاربر را درباره جزئياتش بفريبد.URL هاي زير ديده باني مي شوند:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
تروجان پس از دستبرد جزئيات را به آدرس ايميلي در برزيل مي فرستد.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky


كرم Pikis-B

همکاران : شرح:Pikis-B كرمي است كه با پست الكترونيكي منتشر مي شود . اين ايميل ها توسط سيستم هاي آلوده ارسال مي گردد و كرم به صورت يك فايل الحاقي به آن منتشر مي گردد.
اين ايميل شامل مشخصات زير مي باشد :
فرستنده از يكي از نام هاي زير انتخاب مي گردد:
lehab_2003@mail.ru
aleksey_lopatin@mail.ru
forsv@inbox.ru
yp@bk.ru
dan-1@mail.ru
umount77@mail.ru
ske2@mail.ru
VGDD@mail.ru
Alex_mist@mail.ru
ded120@mal.ru
85laker@list.ru
kit75@mail.ru
suslov67@bk.ru
mitjavp@mail.ru
sergey_grand@mail.ru
antiwormx@mail.ru
s_sten@mail.ru
موضوع نامه :
Forum
Cracks
Hello

محتواي نامه :
<non-Roman characters with the URL [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] or [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]>
or
You Password: TreWQWQ90 Login:Trast666 For access install package. Enjoy!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Access Denied!!!
Please enter password:JJJK56RtE and install package upgrade!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] Enjoy.
فايل الحاقي يكي از نامهاي زير مي باشد:
Setup.exe
crack.exe
crack_setup.exe
GetAdmin.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در فايل system.ini در زير شاخه [boot] اگر با مدخل زير برخورد كرديد آن را نيز پاك كنيد :
shell=Explorer.exe systems.exe
حال دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

شرح اضافه :
در اولين اجرا پيام زير نمايش داده مي شود :
Install Crack for WindowsXP Sp2 99.006.34?
and
Not found package WindowsXP Sp2!

و سپس خودش را به يكي از نامهاي زير در شاخه سيستمي ويندوز كپي مي كند :
fttp.exe
Crack_Bat.exe
systems.exe
iq.dat

Kipish1.dat
Kipish2.dat
Kipish3.dat

و مدحل هاي رجيستري زير را نيز ايجاد مي كند :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe

همچنين خط زير را نيز به زير شاخه [boot] سيستم نيز در فايل System.ini اضافه مي كند :
shell=Explorer.exe systems.exe
Pikis-B پروسه هاي زير را نيز خاتمه مي دهد :
outpost.exe
zonealarm.exe
guard.exe
spyxx.exe
t ds-3.exe
nprotect.exe
vsstat.exe
mcupdate.exe
taumon.exe
sphinx.exe
atupdater.exe
webscanx.exe
frw.exe
blackice.exe
update.exe
drweb32.exe
netstat.exe
avp.exe
kav.exe

mahan
13-11-2004, 10:18
تروجان Bancos-AC


Bancos-AC تروجاني است كه به پسوردهاي موجود در سيستم هاي ويندوزي دستبرد مي زند. اين تروجان به URL هايي كه در جستجوگر وب وجود دارد گوش مي دهد و صفحات وب جعلي براي سايتهاي بانكهاي برزيلي ايجاد مي كند تا اطلاعات موجود در آنها را گزارش دهد و آنها را به آدرسهاي از پيش تعيين شده بفرستد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن فراموش نكنيد كه پسوردهاي سيستم خود را نيز تغيير دهيد.

mahan
13-11-2004, 10:23
تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:
service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

M.e.h.r.a.n_Swe
13-11-2004, 20:49
نسخه‌ی جدید ویروس MyDoom وارد شبکه‌ی اینترنت شد

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

محققان ضدویروسی اعلام کردند که نسخه‌ی دوم ویروس اینترنتی MyDoom در شبکه‌ی اینترنتی منتشر شده است .
به گزارش سرویس بین‌الملل ایسنا ، این دو نسخه از ویروس MyDoom که در نحوه‌ی ارسال پست الکترونیکی به قربانیان احتمالی با یکدیگر تفاوت دارند از نرم افزار گشایشگر مایکروسافت برای آلوده کردن رایانه‌های شخصی پس از یک کلیک ساده کاربر بر روی لینک WEB استفاده می‌کنند ، اما این ویروس‌ها قادر نیستند در مقیاس‌های بسیار گسترده منتشر شوند .
تاکنون تنها 40 مورد از سیستم‌های آلوده شده به این ویروس در کمپانی ضدویروسی Symantec شناسایی شده است .
مهمترین برای جلوگیری از فعالیت این ویروس احتیاط کاربران در باز کردن فایل‌های ضمیمه و پست‌های الکترونیکی ناخواسته از منابع شناخته شده یا ناشناخته است .
نسخه‌ی جدید ویروس فوق به عنوان یک پست الکترونیکی در Inbox ظاهر ‌شده و پیغامی که در شامل دو عبارت ذیل را اعلام می‌کند :

1- ‌‌Look at my homepage with my last wedcam photos
2- FREE ADULT VIDEO!SIGN UP NOW

گفتنی است تمام پیغام‌ها حاوی متنی هستند که آن‌ها را به یک صفحه‌ی وب که توسط ویروس تولید شده است مرتبط می‌کند

منبع : تالار وب

mahan
14-11-2004, 10:02
كرم Decod-A

كرم Decod از طريق اضافه شدن به يك ايميل خودش را منتشر مي كند.اين كرم خودش را در شبكه هاي share شده كپي مي كند. همچنين قابليت اين را دارد كه گزارشهايي را به سايتهايي كه در آدرسهاي از پيش تعين شده روي كامپيوتر كاربر قرار دارد ارسال كند.
كرم پيغامي را با محتوي ساده اي مثل "Please see attachment for detail" وبه همراه فايل الحاقي با پسوند an .mdb ارسال مي كند تا به database دسترسي پيدا كند.
Decod-A مدخل رجيستري را به صورت زير تغيير مي دهد :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
همچنين كليدها را تغيير مي دهد و در كپي جديدي از كرم با نامي مشابه مثل key. e.g. قرار مي گيرد و اگر فايل اصلي abc.exe است كرم يك كپي از abc<space>.exe ايجاد كند.
كرم ويروسهاي بي ضرري را در فايلهاي text مثل فايلهاي زير ايجاد مي كند:

C:\recycled\attachmailer.att
C:\recycled\submailer.sub
C:\recycled\textmailer.tex
%windows%\decghitienellsid.jef
%windows%\hgeticudowldi.hhh
توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
14-11-2004, 10:03
ويروسي که SMS مي فرستد

به تازگي ويروس جديدي در اينترنت پديدار شده که با در اختيار گرفتن کنترل کامپيوترهاي شخصي از آنها براي ارسال SMS به تلفنهاي همراه استفاده مي کند. اين SMS ها عمدتا حاوي پيامهاي تبليغاتي هستند و کارکردي مشابه با روزنامه هاي اينترنتي دارند.

اين ويروس که Delf-HA نام دارد پس از آلوده کردن کامپيوتر به يک وب سايت متصل شده و هرزنامههاي مورد نظر را از آن دريافت ميکند.

اين ويروس در ادامه خود را براي مجموعه اي از شماره هاي تلفن هاي همراه در روسيه که با شماره هاي 7921 و 7911 آغاز ميشوند ارسال ميکند.

کارشناسان هشدار داده اند که ممکن است تکنيکهاي مشابهي براي ارسال هرزنامه براي کاربران تلفن همراه درآينده به کار گرفته شود.

mahan
15-11-2004, 10:52
كرم Rirc-D

83.8.25
Rirc-D جزء آن دسته از كرمهايي است كه با كپي شدن در شبكه هاي share شده و از طريق آدرسهاي IP تصادفي كه پسورد ضعيف دارند منتشر مي شود.كرم سعي مي كند با يك سرور IRC دور دست ارتباط برقرار كند و به يك كانال مخصوص وصل شود وسپس اطلاعات را براي آن ارسال كند.
پس از اولين اجرا كرم خودش را با نام FF.EXE و الحاقاتش در پوشه ويندوز ذخيره مي كند و هرگاه ويندوز اجرا شود كرم نيز به صورت خودكار اجرا مي شود.
همچنين كرم به ويندوز هاي NT,2000,XP نيز اضافه مي شودو مدخل زير را به رجيستري اضافه مي كند تا روي Startup اجرا شود:
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

هر وقت كرم اجرا شود به آدرسهاي IP تصادفي روي پورت 139و445 متصل مي شود و خودش را به صورت XI.EXE در پوشه هاي زير كپي مي كند:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
كرم سعي مي كند به كامپيوتر مدير مصل شود تا به ليستس از پسورد هاي ضعيف دسترسي پيدا كندو اگر schedule service روي كامپيوتر كاربر فعال است كرم يك ليست جديد از كارها ايجاد كند وكپي از كرم را اجرا كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در دايركتوري هاي زير فايل هاي مربوط به ويروس را پاك كنيد :
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

حال سيستم خود را دوباره راه اندازي كنيد.

mahan
15-11-2004, 10:54
كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

mahan
15-11-2004, 10:56
كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

30naa
15-11-2004, 19:06
یه سوال جدی و مهم
هدف مردم از ساخت ویروسهایی که بره خود سازندهشون کاربرد نداره و کامپیوترا رو داغون میکنه چیه؟

mahan
15-11-2004, 20:19
نمیشه مشخص کرد
چند وقت پیش ویروسی برای حمله به سایتهای دولت مجارستان روی وب اومد که اتفاقا خیلی هم خطر ناک شد
یا جنبه های اقتصادی یا سیاسی و بعضی ها هم بیمارن

mahan
16-11-2004, 10:38
مايكروسافت نقايص يافت شده در XP SP2 را بررسي مي‌كند


۲۵ آبان ۱۳۸۳

مايكروسافت اعلام كرده است كه در حال بررسي ادعاهايي درباره‌ي آسيب پذيري‌هاي متعدد و جديدي است كه در سرويس پك 2 ويندوز توسط شركت امنيتي Finjan Software در سن حوزه يافت شده است. Finjan اعلام كرده است كه در حدود 10 نقص جدي و خطرناك در SP2 كشف كرده است.

بر طبق گفته‌هاي Gil Arditi، مدير امنيت Finjan، برخي از آسيب پذيري‌هاي يافت شده مي‌توانند توسط هكرها مورد سو استفاده قرار گيرند تا بدين طريق بتوانند كنترلي از راه دور بر روي سيستم‌ها به دست آورده و يا كدهاي مخرب را بر روي كامپيوترها اجرا كنند.

Finjan درباره‌ي آسيب پذيري‌هاي ياد شده به مايكروسافت هشدار داده و تمامي جزييات فني مناسب و مربوطه را با اين شركت در ميان گذاشته است. Finjan همچنين براي اثبات گفته‌هاي خود، برنامه‌ي اثبات مفهومي (proof-of-concept) توليد كرده است كه مي‌تواند از نقايص ياد شده موجود در سرويس پك 2 ويندوز XP سو استفاده كند.

Finjan با استفاده از سياست‌هاي معمول خود، تا زماني كه مايكروسافت patch هاي خود را براي نقايص يافت شده در دسترس قرار ندهد، هيچ برنامه‌اي براي عمومي كردن جزييات آسيب پذيري‌ها ندارد، اما اين شركت امنيتي برنامه‌هاي متعددي را ارايه كرده كه به شرح و توصيف چگونگي سو استفاده‌ي هكرهاي مخرب از حفره‌هاي امنيتي SP2 براي دسترسي به فايل‌هاي كاربران از راه دور و اجراي كدهاي مخرب بدون مداخله و اجازه‌ي كاربران مي‌پردازد.

اين شركت گفته است كه با به كار گيري تمامي آسيب پذيري‌هاي كشف شده در SP2 توسط Finjan، هكرها مي‌توانند به آرامي و از راه دور، هنگامي كه كاربران در حال مرور صفحه‌هاي وب هستند، به ماشين‌هاي داراي SP2 دسترسي پيدا كنند.

Finjan گفته است كه اخبار كشفيات خود را به صورت بخش بخش ارايه كرده است، زيرا بسياري از كاربران پس از نصب سرويس پك 2 ممكن است به تصور اين كه ديگر مشكلات امنيتي وجود ندارند، سرويس‌هاي محافظ امنيتي خود را از كار بياندازند.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت از ادعاهاي Finjan مطلع بوده و در حال بررسي آن‌ها است. وي گفته است كه در حال حاضر مايكروسافت نمي‌تواند ادعاهاي Finjan را مبني بر وجود 10 آسيب پذيري در SP2 تاييد و تصديق كند.

مايكروسافت همچنين از وجود حملاتي كه در تلاش براي بهره گيري از نقايص گفته شده توسط Finjan هستند، اطلاعي ندارد. اين شركت گفته است: « بررسي‌ها و تحليل‌هاي اوليه‌ي ما نشان دهنده‌ي آن است كه ادعاهاي Finjan درباره‌ي تعداد و ميزان جدي بودن آسيب پذيري‌هاي سرويس پك 2 ويندوز XP، فريبنده و اشتباه بوده است.

مايكروسافت همچنين اعلام كرده است كه چنانچه هرگونه آسيب پذيري واقعي و صحيحي در Windows XP SP2 يافت شود، اين شركت هرگونه اقدام و فعاليت فوري و مناسبي را براي پشتيباني و حفظت مشتريان در پي خواهد گرفت.

mahan
16-11-2004, 10:41
تروجان Hackarmy


Hackarmy تروجان در پشتي IRC مي باشد كه با نامهاي win32server.scr يا win32server.exe در پوشه ويندوز ذخيره مي كند و يكي ازمدخل زير را در رجيستري ايجاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe

تروجان خودش را در يك سرور IRC كه از پيش تعين شده ثبت مي كند و منتظر دستورات مي ماند تا از در پشتي دريافت كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

mahan
16-11-2004, 10:42
كرم Bagle-AC


Bagle-AC از خانواده كرمهاي Bagle مي باشد كه از طريق ايميل منتشر مي شوند. پس از اجرا كرم خودش را با نام loader_name.exe در پوشه ويندوز ذخيره مي كند و فايلهاي ديگري را كه در نام آنها كلمه open باشد نيز در آنجا ذخيره مي كندسپس در پنجره اي با تيتر eror پيغام زير نمايش داده مي شود:
"Can''t find a viewer associated with the file"

سپس كرم شروع مي كند به پاك كردن مدخل هاي رجيستري كه مربوط به مسائل امنيتي ويندوز و محصولات آنتي ويروس و برنامه هاي امنيتي مي باشد.
به عنوان مثال مدخل هاي زير در صورتي كه به اسامي زير اشاره كند پاك مي شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle-AC زمان را بررسي مي كند و اگر بعد از 25 ژانويه 2005 باشد تمامي برنامه هاي بالا را خاتمه مي دهد.
اين كرم سپس خودش را به اسامي زير در تمامي پوشه هاي share شده كپي مي كند:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, ---, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

كرم خودش را از طريق ايميل منتشر مي كند .Bagle-AC فايلهايي را كه شامل پسوند هاي زير مي باشند براي يافتن آدرسهاي ايميل جستجو مي كند:

WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP
اين كرم به همراه يك فايل HTML در يك ايميل براي كاربران ارسال مي گردد.
ايميلي كه توسط اين كرم ارسال مي شود داراي مسخصات زير است :
موضوع نامه:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

متن نامه :

Read the attach.<br><br>
Your file is attached.<br><br>
More info is in attach<br><br>
See attach.<br><br>
Please, have a look at the attached file.<br>
Your document is attached.<br><br>
Please, read the document.<br><br>
Attach tells everything.<br><br>
Attached file tells everything.<br><br>
Check attached file for details.<br><br>
Check attached file.<br><br>
Pay attention at the attach.<br><br>
See the attached file for details.<br><br>
Message is in attach<br><br>
Here is the file.<br><br>

وپسوردي كه براي باز كردن فايل ZIP نياز است در قالب يك عكس ارسال مي گردد.متني كه در اين عكس قرار دارد به شرح زير است:

<br>For security reasons attached file is password protected.
The password is <img src="cid:<imagefile>"><br>
<br>For security purposes the attached file is password protected.
Password -- <img src="cid:<imagefile>"><br>
<br>Attached file is protected with the password for security reasons.
Password is <img src="cid:<imagefile>"><br>
<br>In order to read the attach you have to use the following
password: <img src="cid:<imagefile>"><br>
<br>Note: Use password <img src="cid:<imagefile>"> to open archive.<br>
<br>Archive password: <img src="cid:<imagefile>"><br>
<br>Password - <img src="cid:<imagefile>"><br>
<br>Password: <img src="cid:<imagefile>"><br>.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از ان تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. در صورت نياز برنامه آنتي ويروس خود را دوباره نصب كنيد.

mahan
17-11-2004, 10:52
حمله كرم اينترنتي به كاربران مكينتاش

كرم جديد، ديوارهاي آتشين مكينتاش را به هم مي ريزد. متخصصان امنيت كامپيوتري در دبي مي گويند: يك كرم جديد اينترنتي مي تواند در ديوارهاي آتشين شبكه كامپيوتري مكينتاش نفوذ كند. كارشناسان به كاربران خدمات مكينتاش هشدار داده اند كه كرم SH/Renepo كه به Opener نيز معروف است، در صدد است ديوار آتشين و ديگر نرم افزارهاي امنيتي اين شركت را از كار بيندازد.
اين كرم عمداً كاربراني را هدف قرار داده كه از سيستم عامل Mac OS-X استفاده مي كنند.

باج خواهي هکرها از يک ISP

يک مرکز ISP در اصفهان در پى تهديد به هك شدن دامنه اينترنتى (domain) اين مركز از طرف يك تيم هكر (نفوذگر اينترنتى) به مراجع قضايى شکايت کرد.
حميد غفارى يکى از مديران اين مرکز ISP در گفت‌وگو با ايرنا افزود: يک تيم هکر سه هفته پيش اقدام به نفوذ به پست الکترونيکى (E-MAIL) ثبت کننده (REGISTER) دامين سايت اينترنتى اين مرکز کرد و توانست به اطلاعات دامنه اين مرکز دسترسى يابد.
وى افزود: اين تيم هکر در تماس‌هاى مکررى که با مديران مرکز ISPداشت تهديد به سرقت دامين‌هاى موجود و تغيير صفحات سايت اينترنتى متعلق به اين مرکز ISP کرد.
به گفته غفارى اين تيم هکر براى عدم تحقق تهديد خود خواستار دريافت مبالغى وجه نقد شده بود.

mahan
18-11-2004, 10:24
كرم Sdbot-QF

كرم Sdbot-QF كرمي است با قابليت هاي در پشتي براي سيستم هايي ويندوزي مي باشد و از طريق شبكه هاي share شده خودش را منتشر مي كند. اجازه مي دهد مهاجمي در دور دست به سيستم آلوده دسترسي داشته باشد.
پس از اجرا كرم خودش را با نام service.exe در پوشه ويندوز كپي مي كند تا با اجراي ويندوز كرم نيز اجرا شود و مدخلهاي زير را در رجيستري ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

كرم Sdbot-QF در سيستم هاي ديگر از طريق آسيب پذيري LSASS منتشر مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3- اصلاحيه هاي مايكروسافت را نصب كنيد (MS04-011 )
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
18-11-2004, 10:25
كرم Funner-A


Funner-A كرمي است كه در سيستم هاي ويندوزي منتشر مي شود كه داراي برنامه مسنجر MSN مي باشند.
پس از اجرا كرم يك كپي از خود با نام rundll32.exe يا يكي از نامهاي explorer.exe, iexplore.exe userinit32.exe در پوشه ويندوز ايجاد مي كند تا با اجراي ويندوز كرم نيز به طور خودكار اجرا شود .كرم مدخل هاي زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \

Funner-A همچنين system.ini را توسط اضافه كردن EXPLORER.EXE در زير شاخه shell= تغيير مي دهد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد در ضمن در فايل SYSTEM.INI در صورتيكه كه در زير شاخه shell= نام فايلي ديده شد آن را نيز حذف كنيد. و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
همچنين اين كرم با اضافه شدن به بخش HOSTS هاي سيستم باعث مي شود تا كاربر در هنگام متصل شدن به يكي از سايتهاي زير به آدرس 222.89.98.219 هدايت شود.
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"9i0.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"9flash.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"nowok.net"
"wisa.com.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wisa.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"zhao99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wo123.com"
"wo99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"page.com.cn"
"wysw.com"
"14.com.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"cnww.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"mv99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"3tom.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"skywz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"hao6.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"zzkan.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"ca183.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"yhjm.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"xx[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"ok135.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"link999.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"001wz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7t7t.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7k7k.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"webcool.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"51sobu.com"
"cy.51sobu.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"msncn.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"8goo.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"baimin.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"bwwz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"howow.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"tongchi.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7o7o.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wangzhiku.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"soyeah.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"sowang.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"look8.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wblink.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"

30naa
18-11-2004, 16:02
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
این مورد با نصب اس پی 2 ایجاد میشه یا از قبل هم بوده؟

mahan
18-11-2004, 17:26
نه مال خود اس پی 2دیگه
اینا البته هنوز از طرف مایکروسافت تائید نشده

mahan
19-11-2004, 10:16
كرم Traxg-B

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Traxg-B كرمي است كه از طريقoutlook Microsoft منتشر مي شود و توانايي اين را دارد كه فايل C:\folder.htt را ايجاد كند اين فايل ممكن است پاك شده باشد.
اين كرم خودش را با نامهاي تصادفي در مكانهاي زيادي كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم بتواند به راحتي روي سيستم اجرا شود:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
همچنين توانايي اين را دارد كه مدخل هاي زير را در رجيستري قرار دهد تا باعث تغيير در عملكرد Windos Explorer شود .
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\HideFileExt = 1

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
19-11-2004, 10:21
كرم Netsky-AD

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


جزء آن دسته از كرمهايي است كه از طريق ايميل و شبكه هاي share شده منتشر مي شود.
پس از اجرا كرم خودش را در پوشه ويندوز با نامي شبيه MsnMsgrs.exe منتشر مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم به طور خودكار روي سيستمي كه reboot شده اجرا شود.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev

كرم Netsky-AD درايوها را براي يافتن فايلهايي با پسوند هاي زير جستجو مي كند تا آدرسهاي ايميل پيدا كند:
SCS, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT and EML
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :
همچنين كرم در پوشه هايي با محتوي كلمات `share` و `sharing` كه با اسامي زير روي درايوها قرار دارند خودش را كپي مي كند:
vota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
ايميلي كه ارسال مي شود داراي مشخصات زير مي باشد:
موضوع به صورت تصادفي از موضوعات زير انتخاب مي شود:
morto
Sua saude esta bem?
pescaria por kilo
massas!
impressao!!
robos!
diga
agradou
متن پيغام به صورت تصادفي از موضوعات زير انتخاب مي شود:

me veja peladinha
gostaria disso e voce???
algo a mais
falea verdade!!!
ganhe muita grana
campanhadafome
pq nao me liga??
sinto voce!!
grana
Lembra?
amor me liga
Hackers do Brasil
Medical Labs Exames!!!
meu telefone liga
ferias nos E.U.A
Surto :(
Vacina contra o HIV!!
sua conta bancaria zerada
olha que isso!!!
parabens!
te amo!
Policia SP
Sua Conta!!
Boleto Pague
veja o que tem no zip e me liga
receitas de bolo!!
acrdito que em voce!!!
promocao de viajens de fim de ano
tudo sobre voce sabe
Proposta de emprego!!
estou doente veja!!!
me diz o queacha?
retorna logo isso!!
arquivo zipado PGP???
voce passou :D!!!
ve ai logo ta
AMA!
AmaVoce
Abra rapido isso!!!!
reza de sao tome!!!!.
veja detalhes!!!.
encontro voce!
preenche ai ta bom
PizzaVeneza!
فايل الحاقي :


AninhaPutinha +55operado6992292246
vaca
tetas
war3!
AIDS!
grana
banco!
revista
lulao!
imposto
jogo!
loterias
vips!
missao
vadias!
email
flipe
botao
sampa!!
contas!!
zerado
:(
criancas!
brasil!
lantrocidade
aqui
ocs
festa!!
LINUSTOR
bingos!
agua!
:D
sorteado!!
grana!!
dinheiro!!
carros!
voce
:-)
???
circular
پسوند ها تركيبي از TXT, DOC, RTF, HTM, PIF, COM, SCR and BAT خواهند بود.
كرم پس از اجرا پيغام زير را نمايش مي دهد:
"File Corrupted replace this!!"

mahan
20-11-2004, 09:59
كرم Forbot-AZ


Forbot-AZ كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد كرد.
اين كرم خودش را با نامي شبيه syshelped.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

همچنين مدخل هاي ديگري را در رجيستري ايجاد مي كند به شرح زير:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFTCORPORATIONS\

HKLM\SYSTEM\CurrentControlSet\Services\MicrosoftCo rporations
سرويسهايي كه كرم استفاده مي كند شامل درهاي پشتي زير مي باشد:
File transfer
Proxy servers
Distributed denial of service attacks
information harvesting (email addresses, account names and passwords)
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

mahan
20-11-2004, 10:00
مايكروسافت از امنيت سخن مي‌گويد

مترجم: مشورت

محصولات متعددي كه در اين هفته براي كاراتر كردن توزيع patch نرم‌افزاري ارايه شده‌اند، تنها بخشي از تلاش‌هاي كلي مايكروسافت براي بهبود امنيت سيستم‌ها هستند.

با وجود آن كه بسياري از ابتكارهاي امنيتي فعلي مايكروسافت، پيش پا افتاده و معمولي هستند، لازم است اين شركت سازنده‌ي نرم‌افزار برنامه‌هاي خود را به صورت واضح و روشني مطرح و ارايه كرده و از همكاري و كمك‌هاي شركا و مشتريان خود در تلاش‌هاي امنيتي نيز استفاده كند.

به علاوه‌ي كار بر روي توليد بيشتر محصولات امنيتي، بهبود آموزش‌هاي ايمني و توليد و آسان كردن مديريت patch، اين شركت در حال همكاري با سازندگان سخت‌افزار و شركت‌هاي امنيتي است.

اين شركت اعلام كرده كه در حال همكاري تيمي با شركت دل است تا ابزاري براي به روز ساختن سخت‌افزار و نرم‌افزار ارايه كند. همچنين بتايي عمومي نيز كه براي روزآمد ساختن خدمات ويندوز براي كمك به سرپرستان در خودكار كردن و كنترل روزآمدسازي‌هاي نرم‌افزار ارايه شده، از ديگر تلاش‌هاي اين شركت در زمينه‌ي امنيت است.

Scott Charney، متخصص Trustworthy Computing مايكروسافت گفته است: « ما به عنوان عضوي مهم و نفوذي در بخشي از آي‌تي، لازم است كه درباره‌ي آنچه در زمينه‌ي بهبود امنيت در حال انجام آن هستيم، گفت‌وگو كنيم.»

Charney امنيت را به عنوان تعهد و مسئوليتي براي خود توصيف كرده و گفته است كه هنگامي كه دولت اينترنت و كامپيوترها را به قلورو عمومي واگذار مي‌كند، نقش وي را نيز به عنوان يك پشتيبان واگذار كرده است. آنچه دولت انجام داده، واگذاري امنيت عمومي و ملي به بازار بوده است.

Charney گفته است كه هر يك از شركت‌ها، شركتي نرم‌افزاري هستند، چه خود از اين مطلب آگاهي داشته باشند و يا خير. وي درباره‌ي موقعيت امنيتي فعلي بسيار جدي است

mahan
20-11-2004, 10:04
اما جديدترين خبر

كرم ياسر عرفات راز مرگ او را افشاء مي كند

كرمي جديد كه مطالب عجيب و جالبي درباره مرگ ياسر عرفات مي گويد با استفاده از آسيب پذيري جديد مايكروسافت موسوم به آسيب پذيري Extended MetaFiles منتشر مي شود.

اين براي بار اول است كه كرمي از اين آسيب پذيري براي انتشار خود استفاده مي كند.

كرم Aler كه از طريق شبكه خودش را منتشر مي كند ابتدا به صورت يك ايميل اينترنتي با موضوع Latest News about Arafat! ظاهر مي شود .

اين ايميل داراي دو فايل الحاقي مي باشد كه اولي يك عكس معمولي و دومي يك فايل EMF مي باشد. وقتي فايل EMF باز مي شود ، با استفاده از آسيب پذيري مشهور و جديد مايكروسافت ، MS04-032 ، سيستم قرباني را آلوده مي كند. پس از آن كرم Aler با استفاده از Share هاي شبكه و ميزبانهاي داراي پسورد هاي ضعيف خود را در شبكه منتشر مي كند.

اين كرم داراي يك Proxy مي باشد كه با استفاده از آن مهاجمين مي توانند ترافيك شبكه خود را از طريق كامپيوترهاي آلوده منتقل كنند و همين امر باعث مي شود كه براي ارسال هرزنامه و يا حمله به سيستم هاي ديگر از طريق كامپيوتر آلوده مورد استفاده قرار گيرند.

mahan
22-11-2004, 09:39
بزرگترين تهديد امنيتي زمستان

گونه جديد كرم سابر منتشر شد


همشهري : نسخه جديدي از كرم ايميلي سابر روز جمعه در اروپا و آمريكا كشف شد.
شركت هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته كرم هاي متوسط قرار داده اند.
به گزارش system group متخصصان امنيت گفته اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه ايميل به پيام هاي انگليسي و آلماني زبان ارسال مي كند، يكي از جدي ترين تهديدهاي زمستان امسال به شمار مي رود.
ميكو هايپونن، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته ويروس هاي درجه دو قرار داده، گفته است: اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي ترين مواردي است كه پاييز امسال با آن مواجه گشته ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي رسد.
همانند ساير ويروس هاي Sober، اين نسخه جديد نيز از موتور SMTP خود براي ارسال كپي هايي از خود به آدرس هاي ايميلي كه بر روي كامپيوترهاي آلوده مي يابد، استفاده مي كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه هايي براي كاربران مورد استفاده قرار مي گيرند.
اين ويروس همچنين به گونه اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي كند، اما تحت عنوان «delivery failure» و يا «oh god» با اين اميد كه فردي ضميمه حاوي فايل zip را كه دربردارنده ويروس ياد شده است، بگشايد. شركت مكافي، اين گونه جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده است. اين كرم جديدترين نسخه Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم هايي تاثير مي گذارد كه ويندوزهاي XP، ،۲۰۰۰ ME، ۹۸ ، ،۹۵ NT و سرور ۲۰۰۳ را اجرا مي كنند.

mahan
23-11-2004, 10:47
كرم Wort-B

شرح: Wort-B از طريق آسيب پذيري LSASS منتشر مي شود همچنين اين كرم پس از آلوده كردن سيستم فايلي را از راه دور دانلود مي كند.

تروجان مدخل زير را در رجيستري ايجاد مي كند تا بتواند روي سيستم اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

و يا مدخل زير را براي اين هدف ايجاد مي كند كه در هنگام خارج شدن از سيستم دوباره اجرا گردد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>
كرم آدرسهاي IP تصادفي راجستجو مي كند و در صورت آسيب پذير بودن به آنها نفوذ مي كند مي كند.
اصلاحييه مورد نظر براي آسيب پذيري كه كرم از آن استفاده مي كند در سايت Microsoft موجود مي باشد.



توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
23-11-2004, 10:48
كرم Forbot-BI


شرح: Forbot-BI در پشتي IRC و كرم شبكه مخصوص سيستم هاي ويندوزي مي باشد.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام systemproc.exe در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKCSoftware\Microsoft\Windows\CurrentVersion\RunOn ce\Microsoftkeysd = "systemproc.exe

همچنين كرم برنامه اي را به نام "MicrosoftCorporations" ايجاد مي كند و آن را با نام "Microsoftkeysd" نمايش مي دهد.
با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:
flood a remote host (by either ping or HTTP)
start a SOCKS4 proxy server
start an HTTP server
start an FTP server
portscan randomly chosen IP addresses
execute arbitrary commands
steal information such as passwords and product keys
upload/download files

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
23-11-2004, 10:50
یک هکر به رایانه‌های دانشگاه بروکلی کالیفرنیا حمله کرد

یک هکر با شکستن سیستم امنیتی کامپیوترهای دانشگاه بروکلی کالیفرنیا به نامها و شماره های امنیتی اجتماعی حدود یک میلیون و چهارصد هزار کالیفرنیایی دسترسی پیدا کرد.
به گزارش بخش خبر تراشه از رویترز، کارلوس راموس معاون بخش امنیت آژانس خدمات انسانی و بهداشتی دانشگاه کالیفرنیا اعلام کرد: "تحقیقات در این زمینه ادامه دارد و ما در حال حاضر هیچ ایده‌ای در مورد اطلاعات شخصی به سرقت رفته نداریم".
او ادامه داد: " آژانس‌های ایالتی و اف.بی.آی در حال بررسی این قضیه هستند اما تاکنون موفق به یافتن هکرها نشده‌اند."
شايان ذکر است اسم‌هایی که در دسترس هکر قرار گرفته است بوسیله مرکز تحقیقات UC Berkeley استفاده می‌شده است که شامل اطلاعات جمع‌آوری شده در مورد جمعیت سالخورده و اشخاصی بوده‌اند که در خانه تحت مراقبت قرار گرفته‌اند.

نويسنده MyDoom كمپاني هاي آنتي ويروس را تهدید کرد


كمپاني هاي آنتي ويروس از طغيان پيغامهايي كه داراي ويروسهايي هستند كه آنها را از طرف نويسندگان كرم MyDoom تهديد به حمله مي كند سرگشته و حیران شده اند.
بنابر خبر اختصاصی [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] از زد دی نت ، نويسندگان كرمها چهار كمپاني بزرگ آنتي ويروسF-Secure, Symantec, Trend Micro و McAfee را تهديد كرده اند. آنها در آخرين ورژن کرم MyDoom با نام MyDoom.AE پيغامهايي جاسازي كرده اند كه در ضمن به تمسخر گرفتن نويسنده كرم NetSky كمپاني هاي آنتي ويروس را تهديد به حمله مي كند.
Mikko Hypponen مدير شركت آنتي ويروس F-Secure گفت:در پيغامها نويسنده كرم NetSky مورد تمسخر قرار گرفته چون وي الان در زندان هست.نمونه اي از اين پيام را در زير مي خوانيد:
خوشبختم:
نويسنده ساسر شغل امنيتي IT به دست آورده است و ما مي خواهيم با كرمهاي Mydoom , P2P و كدهاي برجسته كار كنيم و همچنين قصد حمله به -secure,symantec,trendmicro,mcafee ,etc را داريم .يازدهم مارچ روز skynet هست. ( خنده هايي با صداي بلند) ها ها ها
وقتي كه beagle و mydoom رها شوند ما جلو فعاليت آنها را در Skynet ميگیریم.
Hypponen می گوید: كرم هنوز به شكل قابل توجه اي گسترده نشده است به دليل اينكه كاربران ايميلهاي محتوي كرم را باز نكرده اند.او اضافه كرد كه من بسيار متحير هستم كه چرا نويسندگان كرمها با پيشنهاد انعام و يا دستمزد 250,000 دلاري براي همكاري با مايكروسافت موافقت نكرده و دائما در حال ايجاد كرم و ويروسهاي جديد هستند.
درضمن: در چند روز گذشته مایکروسافت پيشنهاد انعام 250,000 دلاري را براي همكاري با كمپاني به نويسندگان كرم MyDoom داده بود كه با عدم پذيرش از طرف آنها روبرو شد.

mahan
23-11-2004, 10:51
كرم Forbot-BN

Forbot-BN يك كرم شبكه اي كه يك در پشتي IRC براي سيستم هاي ويندوزي مي باشد.

اين كرم با استفاده از آسيب پذيري معروف LSASS خودش را منتشر مي كند.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام RUNDLL.EXE در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

همچنين كرم يك سرويسي به نام "Eatshit" ايجاد مي كند و آن را با نام "Win32 USB Driver". نمايش مي دهد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.



شرح اضافه :

با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:

start an FTP and HTTP server.
delete network shares.
start a SOCKS4, SOCKS5, [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] TCP and GRE proxy.
list and stop existing processes and services.
upload, download, run and delete files.
modify the registry.
add and delete services.
steal the product keys of popular games and applications.
scan other computers for open ports and attempt to exploit them.
take part in distributed denial of service (DDOS) attacks.
flush the DNS cache.
logoff, reboot and shut down the computer

اين كرم همچنين Share هاي ADMIN$ ، RPC$ و D$ و C$ را از سيستم حذف مي كند.

Forbot-BN همچنين قادر است كه سريال هاي بازي هاي زير را از سيستم به سرقت ببرد :

AOL Instant Messenger
Yahoo Pager
Microsoft Messenger Service
Microsoft Windows Product ID
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert 2
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Generals
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Hidden & Dangerous 2
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
Call of Duty
Neverwinter Nights

اين كرم همچنين قادر است سرويس RPC را دوباره راه اندازي كند :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

mahan
24-11-2004, 10:37
كرم Sluter-E


شرح : Sluter-E يك كرم شبكه اي با خاصيت تروجان در پشتي براي سيستم هاي ويندوزي مي باشد. اين كرم از طريق پويش شبكه و يافتن آسيب پذيريهاي معروف در شبكه خودش را منتشر مي كند.

در اولين اجرا كرم خودش را در شاخه سيستمي ويندوز به نام winsci32.exe كپي مي كند. و براي اينكه در شروع ويندوز كرم نيز اجرا گردد مدخل هاي زير را در رجيستري ايجاد مي كند.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

Sluter-E همچنين خودش را به عنوان يكي از سرويس هاي ويندوز نيز اجرا مي كند كه نام اين سرويس هم نام خود كرم مي باشد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

اين كرم همچنين با يك كانال IRC ارتباط برقرار مي كند و ممكن از دستورات زير را از يك كاربر راه دور دريافت كند :

SOCKS4 proxy server
FTP server
send email
keylogger
take part in DDoS attacks (SYN, ICMP, Ping)
steal product registration keys
insert and send insulting text into open IM windows (AIM, Yahoo, MSN Messenger)
gather system information (filesystem, hardware, running processes)
open and close CDROM trays
download/upload files
execute arbitrary commands


همچنين Sluter-E پرسش هاي زير را از رجيستري انجام مي دهد تا مطمئن شود برخي بازيهاي رايانه اي در سيستم قرباني نصب شده اند و در صورت نصب بودن آنها شماره سريال هاي اين بازيها را براي نويسنده خود ارسال مي كند:


HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings

mahan
24-11-2004, 10:40
کشف حفره ای که باعث فریب خوردن آنتی ویروسها میشود


SetarehSorkh : شركت آمريكايي امنيتي iDEFENSE كشف كرد كه در بيشتر نرم افزارهاي آنتي ويروس روزنه هايي وجود دارد كه ويروسها اجازه میدهد به زيركي در قالب فايلهاي ZIP نوشته شوند.
پژوهشگران امنيتي كشف كردند كه اكثر برنامه هاي آنتي ويروس داراي آسيب پذيري هستند كه امكان ايجاد فايلهاي ويروسي را به هكرها مي دهد كه با بزرگترين آنتي ويروسها هم رديابي نمي شود.
اين مشكل در متد استفاده شده در نرم افزار آنتي ويروس در scan فايلهاي فشرده مي باشد و بر روي محصولات شركتهاي آنتي ويروسيMcAfee Computer Associates, Kaspersky, Sophos, Eset و RAV اثر مي گذارد.
بوسيله تغيير دادن اندازه , فايل بد بدون عامليت فايل محرك ,فشرده شده ونويسنده ويروس مي تواند آن را به كاربران فايل آلوده بفرستد كه با تعداد زيادي از برنامه هاي آنتي ويروس كشف نخواهد شد.
مهاجم حداكثر بار را فشرده كرده ودر اندازه فايل غيرفشرده در رد يابي نرم افزار آنتي ويروس درون local و global طفره مي اندازد و دوگانگي ايجاد مي كند.
اين آسيب پذيري به هكرها اين امكان را مي دهد تا حداكثر بار خودشان را بدون رديابي از داده هاي كاربران عبور بدهند.كاربران با آپديت كردن آنتي ويروسها راه را براي فايلها وضمائمي كه در اين آسيب پذيري نفش دارند باز مي كنند.
تایید شده است كه محصولات همه كمپاني هاي نامبرده به استثناء Sophos و RAV
تحت اين آسيب پذيري قرار گرفته اند وهیچ يك از آنها آپديتي براي كار گذاشتن بر روي اين مشكلات ارائه نداده اند.
iDEFENSE اعلام كرد كه فقط آخرين محصولات از Symantec, Bitdefender, Trend Micro و Panda در معرض اين آسيب پذيري نمي باشند.

mahan
24-11-2004, 10:42
ويروس Toraja-I


Toraja-I يك ماكرو ويروس مي باشد كه در سيستم هاي ويندوزي كه داراي Office 97 هستند منتشر مي شود.اين ويروس يك پوشه الوده را در مكان زير ايجاد مي كند تا مطمئن شود كه با اجراي Excel ويروس نيز اجرا خواهد شد:

C:\Program Files\Microsoft Office\Office\Xlstart\start25.xls

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :

اين ويروس به علت اينكه به تمامي فايل هاي اكسل كه بعد از آلوده شدن سيستم اجرا شده اند خودش را مي چسباند بنابر اين نياز است كه حتما براي پاك كردن آن از آنتي ويروسهاي به روز شده استفاده كرد.



كرم Rbot-NA


شرح: Rbot-NA كرمي است كه از طريق شبكه هاي share شده منتشر مي شود و داراي قابليتهاي در پشتي تروجان مي باشد كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و به صورت يك برنامه كاربردي در پس زمينه اجرا شود.

كرم Rbot-NA از طريق شبكه هاي share شده كه با پسورد ضعيف محافظت مي شوند منتشر مي شود و به منظور مورد حمله قرار دادن امنيت شبكه مانند يك تروجان در پشتي دستورات را از مهاجم دريافت مي كند.

اين كرم خودش را با نام TASKMSG.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم در زمان شروع ويندوز اجرا كردد.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

همچنين كرم مدخل هاي زيررا در رجيستري قرار مي دهد :

HKCU\Software\Microsoft\OLE

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1"

كرم ممكن است شبكه هاي share شده را از روي سيستم پاك كند و همچنين كليد هاي فشرده شده توسط كاربر را در يك فايل به نام KEY.TXT ثبت كند كه اين فايل در شاخه ويندوز ذخيره مي گردد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
24-11-2004, 12:47
گونه‌ي جديد كرم Sober منتشر شد

منبع : مشورت
نسخه‌ي جديدي از كرم ايميلي Sober روز جمعه در حالي كه به سرعت در حال لنتشار در اروپا و آمريكا بوده، كشف شده است. شركت‌هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته‌ي كرم‌هاي متوسط قرار داده‌اند.
متخصصان امنيت گفته‌اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه‌ي ايميل به پيام‌هاي انگليسي و آلماني زبان ارسال مي‌دارد، يكي از جدي‌ترين تهديدهاي پاييز امسال به شمار مي‌رود.

Mikko Hypponen، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته‌ي ويروس‌هاي درجه‌ي دو قرار داده، گفته است: « اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده‌ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي‌ترين مواردي است كه پاييز امسال با آن مواجه گشته‌ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي‌رسد.»

همانند ساير ويروس‌هاي Sober، اين نسخه‌ي جديد نيز از موتور SMTP خود براي ارسال كپي‌هايي از خود به آدرس‌هاي ايميلي كه بر روي كامپيوترهاي آلوده مي‌يابد، استفاده مي‌كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه‌هايي براي كاربران مورد استفاده قرار مي‌گيرند.

ويروس Sober.i، ارايه دهنده‌ي attachment اي بوده كه ادعا مي‌كند حاوي تصاوير مبتذلي از دختري بيست و يك ساله است و سپس به سرعت در سراسر اينترنت توزيع و پخش مي‌گردد. اين ويروس طوري برنامه ريزي شده كه خود را تنها به domain هاي آلماني زبان ارسال مي‌كند. مانند آن‌هايي كه به .de (آلمان) و يا .ch (سوييس) ختم مي‌گردند.

اين ويروس همچنين به گونه‌اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي‌كند، اما تحت عنوان "delivery failure" و يا "oh god"، با اين اميد كه فردي ضميمه‌ي حاوي فايل .zip را كه در بر دارنده‌ي ويروس ياد شده است، بگشايد.

Graham Cluley، مشاور فني عالي رتبه‌ي شركا امنيتي Sophos گفته است: « نسخه‌ي آلماني اين ويروس بسيار جالب است. اين نسخه نشانگر آن است كه ايميل از سوي دختري بيست و يك ساله و به همراه عكس‌هاي مبتذلي از وي ارسال شده كه به دنبال يافتن شغلي براي خود است، اما تصاوير در واقع همان كرم جديد هستند.

شركت مكافي، اين گونه‌ي جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده‌اند. اين كرم جديدترين نسخه‌ي Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم‌هايي تاثير مي‌گذارد كه ويندوزهاي XP، 2000، ME، 98، 95، NT و سرور 2003 را اجرا مي‌كنند.


هشدار جدی بانک مرکزی در مورد کلاهبرداری از کارت های عابربانک



بانك مركزى در اطلاعيه‌اى به مشتريان و دارندگان كارت‌ بانك‌ها هشدار داد كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود و درج در وب‌سايت‌ها پرهيز كنند كه زيرا مسووليت سوءاستفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

به گزارش روابط عمومى بانك مركزى اخيرا مشاهده شده است كه كلاهبرداران اينترنتى با بهره‌گيرى از روش‌هاى معمول جعل و سوء استفاده در اينترنت با راه‌اندازى وب‌سايت‌هايى با آدرس‌هاى مانوس و غلط‌انداز نظير [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] و نظاير آنها مدعى شده‌اند كه تحت سرپرستى بانك مركزى جمهورى اسامى ايران و با همكارى بانك‌هاى تجارى عمده مبادرت به راه‌اندازى امكانات مربوط به خريد و فروش اينترنتى كرده‌اند و ضمن آن محلى را براى درج شماره كارت و گذرواژه (كلمه عبور) كارت‌ بانك‌هاى اعضا تعبيه كرده و از بازديد‌كننده مى‌خواهند كه با ورود اطلاعات كار بانك خود از امكانات مربوط به پرداخت‌هاى اينترنتى بهره‌مند شوند.

بدين‌وسيله به كليه مشتريان و دارندگان كارت‌ بانك‌ها در سراسر كشور هشدار داده مى‌شود كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود شامل شماره كارت، شماره حساب و گذرواژه و درج آنها در صفحه وب‌سايت‌ها ـ حتى به منظور كنجكاوى ـ اكيدا پرهيز كرده و اين موارد را به هيچ عنوان در اختيار هيچ وب‌سايتى قرار ندهند در غير اين صورت مسووليت سوء استفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

همچنين به اين وسيله اعلام مى‌شود كه بانك مركزى جمهورى اسلامى ايران تا اين تاريخ هيچ‌گونه مجوزى تحت هيچ عنوان براى انجام امور مربوط به خريد و فروش اينترنتى صادر نكرده و هيچ‌گونه امكاناتى را به منظور پرداخت اينترنتى از طريق ”شتاب” راه‌اندازى نكرده است و در صورت معرفى اين امكان، وب‌سايت‌هاى معتبر براى انجام پرداخت و درج اطلاعات كارت بانك تنها از طريق وب‌سايت رسمى بانك مركزى جمهورى اسلامى ايران واقع در آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] به اطلاع عمومى خواهد رسيد.

بر اين اساس مجددا تاكيد مؤكد مى‌شود كه تا اطلاع ثانوى از هرگونه مراجعه يا درج اطلاعات حساب يا كارت خود در وب‌سايت‌هاى متفرقه و ناشناس كه عمدتا داراى آدرس‌هاى به ظاهر معتبر و مانوس هستند، خوددارى كنند تا از عواقب ناگوار آن پرهيز شود. بديهى است اين بانك اقدامات لازم را در حد امكانات فناورى به منظور تعقيب قانونى و مسدود كردن وب‌سايت‌هاى مزبور به عمل خواهد آورد.

habibi
24-11-2004, 19:07
ماهان جان دستت درد نكنه ولي فكر كنم اين خبر آخر رو توي يه تاپيك جدا مي‌ذاشتي. (ترجيحا با اولويت خبر) چون خيلي مهمه. ممكنه همه اينجا اونو نبينن.
البته مي‌بخشي‌ها!

mahan
25-11-2004, 10:42
كرم Ovbious-A


Ovbious-A جزء آن دسته از كرمهايي است كه توسط پيغامهاي اينترنتي منتشر مي شود.كرم سعي مي كند خودش را مانند يك فايل الحاقي به آدرسهاي ايميلي كه در كتاب آدرسهاي outlook ليست شده است مي فرستد. پيغامها از "msupport" ارسال مي شوندو به صورت واقعي جلوه مي كنند با موضوع "Microsoft Critical Update" و متن پيغام زير :

"Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager."

كرم Ovbious-A خودش را در مكانهاي مختلف كپي مي كند و فايلي را دانلود مي كند كه رمز منبع را از ويروسي از خانواده Melissa درخواست مي كند.همچنين فايلي را كه RudeCDTray ناميده مي شود را دانلود كرده و به نام C:\joke.exe ذخيره كرده و آن را اجرا مي كند .

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد.
به نظر مي رسد كه به علت فايل هاي زيادي كه اين ويروس كپي مي كند بهتر است از يك آنتي ويروس براي پاك كردن آن استفاده كنيد.

شرح اضافه :
كرم سعي مي كند فايل هاي زير را پاك كند:

ICMON.exe
ICNTMON.exe

كرم فايل هاي قبلي را در درايو سخت در مكان هاي جديدي كپي مي كند پس از يك زمان كوتاه كرم كاربر خارجي را ثبت مي كند.
كرم خودش را در مكانهاي زير كپي مي كند:

C:\FHE.exe
C:\winnt\system32\Ginger.exe
C:\winnt\system32\Live ---.exe
C:\winnt\system32\Free ----.exe
C:\windows\system32\Ginger.exe
C:\windows\system32\Live ---.exe
C:\windows\system32\Free ----.exe
C:\Winnt\updtmgr.vbs
C:\Windows\updtmgr.vbs
C:\WinfileDAT.vbs
D:\WinfileDAT.vbs
E:\WinfileDAT.vbs
F:\WinfileDAT.vbs
G:\WinfileDAT.vbs
H:\WinfileDAT.vbs
Z:\WinfileDAT.vbs
Y:\WinfileDAT.vbs
U:\WinfileDAT.vbs
C:\winnt\Jilhu.exe
C:\windows\Jilhu.exe
\Anti-Virus Enhancements.exe
\Shark.jpeg
C:\Winnt\FHEGERM\1.vbs
C:\Windows\FHEGERM\1.vbs
C:\Winnt\FHEGERM\2.vbs
C:\Windows\FHEGERM\2.vbs
C:\Winnt\FHEGERM\3.vbs
C:\Windows\FHEGERM\3.vbs
C:\Winnt\FHEGERM\4.vbs
C:\Windows\FHEGERM\4.vbs
C:\Winnt\FHEGERM\5.vbs
C:\Windows\FHEGERM\5.vbs
C:\Winnt\FHEGERM\6.vbs
C:\Windows\FHEGERM\6.vbs
C:\Winnt\FHEGERM\7.vbs
C:\Windows\FHEGERM\7.vbs
C:\Winnt\FHEGERM\8.vbs
C:\Windows\FHEGERM\8.vbs

كرم Ovbious-A مدخل هاي زير را به رجيستري اضافه مي كند تا كرم با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

همچنين ممكن است مدخل هاي زير را به رجيستري اضافه كند:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\
RegisteredOwner = VBS/FHE.Worm Creator

HKCU\Software\Vbs.FHE\
Sent to ther machines = 1

HKLM\Software\
ComputerLoggedOff = "Logged off"

كرم سعي مي كند فايلي را از C:\documents and settings\melissa.txt دانلود كند.

كرم ممكن است به wm97.melissa.vbs تغيير نام دهد.

Ovbious-A پوشه C:\DRVBACKUP را ايجاد كرده و پوشه هاي زير را در آن كپي مي كند:

C:\program files
C:\documents and settings

كرم آموزش مي بيند كه پوشه C:\DRVBACKUP را در مكانهاي زير كپي كند:

C:\winnt\DRVBackup2
C:\winnt\DRVBackup3
C:\windows\DRVBackup2
C:\windows\DRVBackup3

كرم Spybot-DF


شرح :

Spybot-DF يك كرم در پشتي IRC مي باشد كه به يك سرور IRC در دوردست متصل مي شود و در پيش زمينه مانند يكي از سرويس هاي ويندوز اجرا مي شود و به انتظار دريافت دستورات از فرستنده مي ماند.

كرم ممكن است در share هاي شبكه كه با پسورد ضعيف محافظت مي شوند. يا توسط شبكه هاي peer- to- peer منتشر شود. بدين صورت كه خودش را به DOWNLOAD_ME.EXE در پوشه <system>\kazaabackupfiles كپي مي كند و مدخل زير را در رجيستري فرار مي دهد تا به اين مسير اشاره كند:

HKCU\Software\Kazaa\LocalContent\Dir0

پس از اين كه كرم بار اول روي سيستم اجرا شد خودش را با نام WINDOWSUPDATER.EXE در پوشه ويندوز ذخيره مي كند و مدخلهاي زير را به رجيستري اضافه مي كند تا به صورت اتوماتيك در هنگام شروع ويندوز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

تا وقتي كه كرم فعال باشد برنامه هايي متنوعي كه در سيستم وظيفه ديده باني دارند را پايان مي دهد.
همچنين كرم كليد هايي را كه فشرده مي شوند را ثبت مي كند و يا آنها را در فايلي ذخيره مي كند يا آنها را به يك سرور IRC در دوردست ارسال مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و تمامي فايل هايي كه در بالا اشاره شده است را از سيستم خود پاك كنيد و در آخر دوباره سيستم خود را راه اندازي كنيد.

mahan
25-11-2004, 10:43
كرم Myfip-D

Myfip-D كرمي است از خانواده كرم هاي Myfip كه توسط شبكه هاي share شده منتشر مي شود كه با بدون پسورد هستند يا توسط پسورد هاي ضعيف محافظت مي شوند.
كرم خودش را با نام kernel32dll.exe در پوشه ويندوز ذخيره مي كند .كپي هايي كه روي شبكه هاي share شده هستند worm.txt.exe يا dfsvc.exe ناميده مي شوند.
همچنين كرم ممكن است فايل هايي را با نامهاي temp.exe يا temp.txt ايجاد كند.
Myfip-D خودش را مانند يك سرويس هاي ويندوز با servername يا displayname "Distributed Link Tracking Extensions". ثبت مي كند.
Myfip-D مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

كرم ليستي از نام فايل ها مي سازد كه اسم هاي زير را دارا مي باشد:

Winnt
Windows
I386
Program Files
All Users
Recycler
System Volume Information
Inetpub
Documents and Settings
Wutemp
My Music

سپس كرم محتويات اين فايل ها را به كاربري در دور دست مي فرستد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
25-11-2004, 10:45
اما براي دوستداران اس پي 2

نقص هشدار دانلود IE در SP2



همکاران : مايكروسافت اعلام كرده است كه عمليات و اقدام مناسبي را براي برطرف كردن مشكل موجود در Internet Explorer و سرويس پك دو ويندوز XP انجام خواهد داد. اين نقص به وب سايت‌هاي مخرب امكان مي‌دهد تا هشدارهاي مرورگر را هنگام دانلود كردن برنامه‌هاي مخرب، ناديده انگارد و توجهي به آن‌ها نكند.

اين مشكل، نخستين بار در تاريخ پانزدهم نوامبر و توسط شركت امنيتي Finjan به مايكروسافت گزارش شده است. در آن زمان، مايكروسافت اعلام كرد كه توصيه‌هاي ايمني Finjan، گمراه كننده بوده است. پس از آن، وب سايت فرانسوي K-otik، كدهاي مخربي را كه مي‌توانستند از آسيب پذيري ياد شده سو استفاده كنند، منتشر كرده است.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت همچنان عقيده دارد كه ادعاهاي شركت Finjan گمراه كننده بوده، زيرا پيش از آن كه هرگونه كد مخربي امكان اجرا شدن را بيابد، مي‌بايد تعامل كاربران و مراحل اجراي رابط كاربر به ميزان بسياري صورت گيرد.

در هر حال، اين شركت بزرگ نرم‌افزاري، اين امر را تصديق كرده است كه حتي امكان استفاده از ويندوز XP به همراه سرويس پك دو، امكان ناديده گرفته شدن هشدارهاي امنيتي در Internet Explorer وجود داشته است.

سخنگوي اين شركت گفته است: « مايكروسافت در حال بررسي روش ناديده گرفته شدن (bypass) اخطار و هشدارهاي دانلود در مرورگر Internet Explorer بوده و اقدام مناسبي را جهت برطرف ساختن اين مشكل، در پيش خواهند گرفت تا به شيوه‌ي مناسبي به كاربران توصيه شود كه برنامه‌هاي قابل دانلود از اينترنت، ممكن است خطرناك و مخرب باشند.»

اين سخنگو خاطر نشان كرده است كه چنانچه فايل دانلود شده، بر روي فولدر Startup ذخيره گردد، زماني كه كاربران كامپيوترهاي خود را restart كنند، به صورت خودكار به اجرا در خواهد آمد.

وي در ادامه افزوده است: « چنانچه حمله كنندگان تلاش كنند كه كد مخرب قابل اجرا را در فولدر Windows Startup كاربر ذخيره كنند، كاربران بايد به فولدري كه كد مخرب قابل اجرا در آن ذخيره شده، وارد گشته و آن را اجرا كنند و يا log-off كرده و مجدداً وارد سيستم كامپيوتر خود گردند.»

در هر صورت، سخنگوي مايكروسافت گفته است كه اين مشكل، يك آسيب پذيري امنيتي نبوده، اما استفاده‌اي هوشمندانه و زيركانه از مهندسي اجتماعي است. وي گفته است: « مهم است توجه داشته باشيم كه اين مشكل، سو استفاده از يك آسيب پذيري امنيتي نيست، اما تلاشي است توسط حمله كنندگان براي استفاده از مهندسي اجتماعي، تا بدين طريق كاربران را متقاعد سازند كه فايل مخرب و قابل اجرا را بدون دريافت هشدار دانلود مرورگر Internet Explorer، بر روي ديسك سخت كامپيوتر خود ذخيره كنند.»

mahan
25-11-2004, 10:57
اینم برای دوستداران وینمپ

پيدا شدن حفره‌ي امنيتي خطرناك ديگري در WinAmp


مشورت :Security-Assessment.com جزئيات يك حفره‌ي امنيتي را منتشر كرده‌اند كه به حمله كنندگان امكان مي‌دهد زماني كه كاربري، صفحه‌ي وب به خصوصي را مشاهده مي‌كند، كنترل PC وي را در اختيار گيرند.

اين باگ جديد كه خطايي مرزي در فايل IN_CDDA.dll بوده، جديدترين آسيب پذيري جدي در WinAmp است كه شامل نقصي است كه در ماه آگوست ايجاد شده و كنترل فايل‌هايي را به دست مي‌گرفته كه هكرها پيش از آن كه محققان به وجود آن پي ببرند، شروع به سو استفاده از آن كرده بودند.

اين باگ جديد، نقص موجود در فايل‌هاي بدون پوشش و نقص منتشر شده در ماه آوريل براي در اختيار گرفتن كنترل فايل‌هاي .xm، همگي مي‌توانستند با فريفتن كاربران آلوده و ترغيب و هدايت آنان به سوي وب سايت در بردارنده‌ي فايل ويژه‌اي، از كامپيوترهاي آن‌ها براي برنامه‌هاي مخرب خود سو استفاده كنند كه سپس به صورت خودكار دانلود و اجرا مي‌شده‌اند.

باگ منتشر شده در اين هفته، مي‌تواند به شيوه‌هاي گوناگوني اجرا گردد كه خطرناك‌ترين آن‌ها از طريق فايل فهرست موزيك‌هاي .m3u است.

اين فايل‌ها هنگامي كه بر روي وب سايت ميزبان شوند، به صورت خودكار دانلود شده و بدون هيچگونه تعامل و عمليات كاربر، بر روي WinAmp باز مي‌شوند. همين امر كافي است تا موجب ايجاد سرريزي گردد كه به فهرست موزيك مخرب امكان مي‌دهد كد مخرب مورد دلخواه و انتخاب خود را اجرا كند.

Nullsoft، بخشي از شركت آمريكا آنلاين، باگ موجود در نسخه‌ي 5.06 WinAmp را با patch اي كه از طريق وب سايت شركت در دسترس است، برطرف كرده‌اند. شركت Secunia كه از يك پايگاه داده‌ي آسيب پذيري‌ها پشتيباني و حفاظت مي‌كند، گفته است كه اين باگ از نظر ميزان خطرناك بودن، در درجه‌ي بالا و بسيار خطرناكي قرار گرفته است.

آسيب پذيري ماه آگوست WinAmp، خطرناك‌ترين آسيب پذيري امسال بوده است، زيرا پيش از آن كه patch اي براي آن ارايه گردد، مورد بهره برداري و سو استفاده‌ي باگ‌ها و هكرها واقع شده است.

اين باگ، نسخه‌ي 5.04 را كه تنها يك ماه از زمان انتشار آن مي‌گذرد، آلوده كرده است.
بازگشت

Sinagood
25-11-2004, 11:29
پس ميبينيم كه كارهاي مايكروسافت مشكل ندارند بلكه كارهاي همه مشكل دارند و مايكروسافتم به علت داشتن محصولاتي كه بيشتر مورد مصرف قرار ميگيرد تمامي مشكلات را پيدا ميكند و توسري ميخورد.

mahan
25-11-2004, 18:41
هر که بامش بیش حرفش بیشتر
آره
:mrgreen:

Sinagood
25-11-2004, 23:16
آره ديگه مثل شما كاملا درسته اما اينم هست كه مايكروسافت يك كمي نامرد هم هست :mrgreen:

mahan
26-11-2004, 10:59
كرم موجود در Mac، نگراني‌هاي امنيتي را بر مي‌انگزيد

منبع : مشورت
متخصصان ضد ويروس به كاربران Mac و سرپرستان سيستم هشدار داده‌اند كه پس از كشف كرمي كه سيستم عامل Mac OS X را مورد هدف و حمله قرار مي‌دهد، نبايد درباره‌ي امنيت آسوده خاطر بود.
پلت‌فرم Mac در مقابل تهديدهاي امنيتي ايمن نبوده و از آن جايي كه داراي آسيب پذيري‌هاي بسياري است (كه همگي از مولفه‌هاي يونيكس ناشي مي‌شوند)، به سرعت آلوده به هزاران ويروس مي‌گردد. در هر صورت، بنا بر گفته‌ي متخصصان امنيت، كرم‌ها از اواخر دهه‌ي هشتاد، بر روي Mac وجود داشته، اما به صورت ناشناخته بوده‌اند.
ظاهر كرم Opener و يا Renepo ممكن است نشانه‌اي از آن باشد كه نويسندگان كرم دوباره متوجه پلت‌فرم Mac شده و به آن علاقه‌مند مي‌گردند، زيرا بر طبق اظهارات متخصصان، هم‌اكنون نوشتن و توليد كدهاي مخربي كه بر روي Mac اجرا مي‌شوند، به آساني ديگر گونه‌هاي يونيكس است.
Paul Ducklin، رييس تكنولوژي شركت ضد ويروس Sophos گفته است: « خوشبختانه، وجود كرم Renepo، هشداري براي كاربران Mac خواهد بود كه هنوز تصور مي‌كنند به اين دليل كه افراد بدخواه توجه و علاقه‌اي به پلت‌فرم Mac ندارند، آن‌ها در مقابل خطرات و تهديدها ايمن هستند.»
اين كرم جديد كه شركت Sophos آن را SH/Renepo، Symantec آن را MacOS.Renepo.B مكافي آن را Unix/Opener.Worm ناميده‌اند، روز جمعه (22 اكتبر) كشف شده و تامين كنندگان ضد ويروس، مراقبت‌ها و حفاظت‌هاي را طي تعطيلات آخر هفته انجام داده‌اند.
اين كرم جديد به صورت يك قفسه‌ي Bash درآمده و سپس خود را در شبكه‌ي محلي كپي و منتشر مي‌سازد. از آن جايي كه اين كرم براي توزيع نسخه‌ها و كپي‌هاي خود از ايميل و برنامه‌هاي مربوط به تبادل فايل استفاده نمي‌كند، قابليت آن محدود است.
اين كرم جديد همچنين نيازمند سطحي بالا از دسترسي به كامپيوترهاست تا بتواند آن‌ها را آلوده سازد. با وجود اين محدوديت‌ها، اين كرم همچنان مخرب است و به اين دليل كه موجب از كار افتادن logging و نرم‌افزارهاي امنيتي و ضدويروس مي‌شود، گفتن اين مطلب كه آيا سيستم‌ها توسط مشكلات ديگري آلوده شده‌اند و يا خير، كاري دشوار است. اين كرم جديد، داده‌هاي حساس و مهمي مانند رمزهاي عبور را جمع آوري كرده و سپس گزارشي از سيستم‌هاي آلوده به سرورهاي راه دور ارسال مي‌كند.
به علاوه اين كرم، از تبادل فايل‌ها استفاده كرده، برنامه‌هاي كشف كننده و باز كننده‌ي رمزهاي عبور را نصب مي‌كند و كلمات عبور ويندوز را جمع آوري مي‌كند. سپس يك account جديد ايجاد كرده تا حمله كنندگان بتوانند در آينده از آن استفاده كنند.
شركت Apple Computer به تازگي براي قوت بخشيدن به حفره‌هاي امنيتي Mac OS X و نيز نشان دادن اين مطلب كه كاربران Mac از كاربران پلت‌فرم‌هاي ديگر ايمن‌تر هستند، تحت حمله قرار گرفته است.

mahan
26-11-2004, 11:00
كرم Bagz-D


Bagz-D يك كرم شبكه اي است كه از طريق پيغامهاي اينترنتي منتشر مي شود كه داراي يك در پشتي است كه به يك مهاجم اجازه ورود مي دهد تا تركيبات ديكري را دانلود و اجرا كند.

كرم سعي مي كند آدرسهاي ايميل را از فايل هايTXT, HTM, DBX, TBI و TBB جمع آوري كند و از يكي از آنها براي فرستادن ايميل استفاده كند.

ايميلي كه اترسال مي شود داراي مشخصات زير مي باشد:

موضوع:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل الحاقي به صورت فايل zip :

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل الحاقي با فرمت EXE :

backup.doc (spaces) .exe
admin.doc (spaces) .exe
archivator.doc (spaces) .exe
about.doc (spaces) .exe
readme.doc (spaces) .exe
help.doc (spaces) .exe
photos.doc (spaces) .exe
payment.doc (spaces) .exe
archives.doc (spaces) .exe
manual.doc (spaces) .exe
inbox.doc (spaces) .exe
outbox.doc (spaces) .exe
save.doc (spaces) .exe
rar.doc (spaces) .exe
zip.doc (spaces) .exe
ataches.doc (spaces) .exe
documentation.doc (spaces) .exe
docs.doc (spaces) .exe
sysboot.doc (spaces) .exe

كرم يك كپي از فايلهايي را كه ارسال مي كند در پوشه ويندوز قرار مي دهد.و همچنين تركيبات زير را در پوشه ها قرار مي دهد:

run32.exe

rpc32.exe
ipdb.dll
wdate.dll
jobdb.dll

Bagz-D خودش را مانند يك سرور ويندوز با نام RPC32 روي سيستم نصب مي كند.

كرم Bagz-D فايل %system32%/drivers/etc/hosts را تغيير مي دهد تا سيستم نتواند به سايت هايي كه فروشنده آنتي ويروس هستند دسترسي داشته باشد.



توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

Sinagood
26-11-2004, 13:34
آقا ماهان خودتم قبول داري كه اين تاپيك خيلي مورد توجه نيست؟؟؟

آخه تو اين جهان تا يكي به مشكلي بر نخورده كه دنبالش نميره

mahan
27-11-2004, 10:54
مهم نیست که خیلی مورد توجه هست یا نه
این مهمه که اگه یه نفر یه مشکل بر خورد شاید با مراجعه به اینجا مشکلش بر طرف بشه
ولی این یه ایراده که ما تا دچار مشکل نشیم به فکر چاره نمی افتیم


كرم Forbot-BR


Forbot-BR كرم شبكه و تروجان درپشتي IRC مي باشد كه در سيستم هاي ويندوزي منتشر مي شود.پس از اولين اجرا كرم خودش را با نام windows.exe در پوشه ويندوز ذخيره مي كند.

كرم مدخل هاي زير را در رجيستري ايجاد مي كند تا بتواند با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

در پشتي به يك كانال IRC متصل مي شود و در انتظار در يافت دستورات از مهاجم مي ماند. تروجان در زمينه هاي زير آموزش مي بيند:

ايجاد حمله هاي DDOS

دزديدن اطلاعات ثبت شده.

جستجو كردن سيستم هاي ديگر براي يافتن آسيب پذيري.

جمع اوري اطلاعات از فايل هاي موجود در ديسك سخت.

فعاليت مانند يك سرور(FTP, [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] SOCKS4 ).



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.


كرم Rbot-NG


Rbot-NG كرمي است كه از طريق شبكه هاي share شده منتشر مي شود.اين كرم مانند يك در پشتي تروجان عمل مي كند و به مهاجم اجازه مي دهد از طريق كانالهاي IRC به كامپيوتر آلوده دسترسي داشته باشد تا به صورت يك سرور ويندوز روي پيش زمينه اجرا شود.

كرم Rbot-NG از طريق شبكه هاي share شده اي كه داراي پسورد ضعيف هستند منتشر مي شود و مانند يك تروجان در پشتي منتظر دريافت دستورات از كاربر راه دور مي ماند.

كرم خودش را با نام NETSIS.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيسترسي ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
29-11-2004, 09:21
McAfee و محصولات جدید

امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند.
شرکت McAfee که در زمینه ساخت محصولات امنیتی و ضد ویروس فعال است اعلام کرد که به زودی محصولات جدید خود برای سال 2005 میلادی را عرضه خواهد کرد.
برطبق اعلام مقامات این شرکت محصولات ضدویروس جدید آن قابلیت مقابله با انواع حملاتی را خواهند داشت که با هدف سرقت هویت اشخاص، جاسوسی در کامپیوترهای افراد و نیز سرقت اطلاعات محرمانه آنان طراحی می‌شود. این محصولات همچنین می‌توانند نامه‌‌های الکترونیکی را که حاوی لینک‌های خطرناک و معیوب هستند شناسایی کند.
گفتنی است که امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند .

mahan
29-11-2004, 09:25
AOL 9.0 به همراه نرم‌افزار ضد ويروس ارايه مي‌شود

منبع: مشورت
شركت آمريكا آنلاين، با عنوان اين مطلب كه نيازي فوري به پشتيباني از كاربران خود در مقابل تهديدها و خطرات آنلاين دارد، بسته بندي نرم‌افزار ضد ويروسي را كه متعلق به شركت مكافي است به همراه جديدترين نسخه‌ي نرم‌افزار آن، AOL 9.0، آغاز خواهد كرد.

اين شركت، VirusScan شركت مكافي را به صورت آنلاين و بدون هيچ گونه هزينه‌هاي اضافي براي dial-up مشتريان آمريكا آنلاين، در دسترس قرار خواهد داد و سرويس‌هايي كه داراي هزينه‌هاي اضافي براي پشتيباني ضد ويروس هستند، حذف خواهد كرد.

اين نرم‌افزار به اعضاي شركت آمريكا آنلاين امكان مي‌دهد تا از account هاي AOL خود پشتيباني و حفاظت كرده و ديسك‌هاي سخت كامپيوترهاي خود را از لحاظ وجود ويروس‌ها بررسي كنند و نيز فايل‌هاي آلوده را قرنطينه و آلودگي آن‌ها را بر طرف سازند.

مشترياني كه با ويرايش امنيتي AOL 9.0 روزآمد شده‌اند، قادر خواهند بود VirusScan را پس از تكميل به روز رساني AOL، download و فعال سازند. اعضاي AOL كه از ويرايش‌هاي قديمي‌تر نرم‌افزار 9.0 استفاده مي‌كنند، مي‌بايد نرم‌افزار ياد شده را به صورتي جداگانه از طريق وب سايت شركت آمريكا آنلاين، download كنند.

آمريكا آنلاين، از آوريل سال 2003، در حال ارايه‌ي VirusScan به عنوان سرويسي افتخاري براي كاربران نرم‌افزار AOL 7.0 و 8.0 است. هزينه‌ي اين سرويس سابقاً 2.95 دلار (1.60 پوند) در هر ماه بوده است. اين هزينه، به دليل اندك بودن، مشتريان را قادر به استفاده از VirusScan و نرم‌افزارهاي دوره‌اي و نيز روزآمد سازي‌هاي ويروس‌ها مي‌سازد.

مشترياني كه به فهرست استفاده كنندگان از پشتيباني ضد ويروس ملحق شده‌اند، به طور مداوم از خدمات بهره‌مند خواهند شد، اما هزينه‌اي بابت اين خدمات پرداخت نمي‌كنند.

علاوه بر پشتيباني ضد ويروس desktop، شركت آمريكا آنلاين، فايل‌هاي ضميمه‌ي ورودي و خروجي ايميل‌ها را نيز بررسي و كنترل مي‌كند. AOL، به امنيت آنلاين علاقه و توجه نشان داده و در حال بهبود امنيت به عنوان مزيتي كليدي و اصلي در عضويت AOL است.

در ماه سپتامبر، RSA Security و آمريكا آنلاين، سرويس جديدي را با عنوان كد عبور AOL (AOL PassCode) ارايه كرده كرده‌اند كه به مشتريان شركت آمريكا آنلاين امكان مي‌دهد از رمزهاي عبور ايمن و مطمئن براي پشتيباني و حفاظت از اطلاعات account خود استفاده كنند.
اين شركت در نتايج حاصل از تحقيق و مطالعه‌اي كه با همكاري National Cyber Security Alliance انجام داده، اعلام كرده است كه 20 درصد از كامپيوترهاي خانگي توسط ويروس‌ها و كرم‌ها آلوده شده و بر روي 80 درصد از سيستم‌ها، نرم‌افزار جاسوسي وجود داشته‌اند.

اين بررسي درباره‌ي كامپيوترهاي خانگي و مالكان آن‌ها همچنين نشانگر اختلاف بسيار زياد ميان تهديدها و خطرات اينترنتي و درك كاربران از وجود آن‌هاست. اين نتيجه از آن جايي ناشي مي‌شود كه دو سوم از كاربران كمپيوترهاي خانگي گفته‌اند كه تصور آنان بر اين بوده كه در مقابل خطرات آنلاين ايمن هستند.
ويرايش امنيتي AOL 9.0 در ماه نوامبر به بازار عرضه خواهد شد.

jasad
29-11-2004, 15:01
اي ول
تاپيكت خيلي باحاله.همينجوري ادامه بده.
ارادتمند.

mahan
30-11-2004, 10:31
جسد جان بعضی ها میگن اینجا رو ببندیم بالاخره چی کار کنم

فعلا اینو داشته باشید

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند.

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند. در همين ارتباط است كه در مورد برنامه ها و نرم افزارهاي كامپيوتري هم كلمه trojan هميشه به ياد آورنده برنامه هايي با ظاهر بسيار ساده ولي كارايي هاي مخفي فوق العاده است. بعنوان مثال شما ممكن است برنامه اي را به گمان اينكه يك «بازي» بيش نيست از اينترنت Download كرده باشيد ولي در واقع آن برنامه اي است كه مشغول جمع آوري اطلاعات درباره شما و يادر حال غير فعال كردن عوامل اميني دستگاه شماست تا كار يك نفوذگر (hacker) را ساده تر كند.

اين برنامه ها (تحت عنوان Torjans) مي توانيد به صورت هر نوع برنامه اي ظاهر شوند و فعاليتي كاملاً متفاوت از آن چه از آنها انتظار مي رود را انجام دهند. آنها مي توانند به صورت بازي، Screen saver ، Update كننده نرم افزارهاي مختلف، برنامه هاي نفوذ (----) يا حتي برنامه هاي Anti. Torjan ظاهر شوند و حتي ممكن است به برنامه هايي كه هم اكنون در دستگاه شما نصب است و به آن ها اطمينان داريد ضميمه شوند

از چه راهي وارد مي شوند؟

Download كردن فايل هاي آلوده از اينترنت، معمول ترين شيوه قرار گرفتن در معرض خطر است ولي trojan ها از راههاي زيادي ممكن است به سيستم شما راهيابند از جمله:

ضميمه شدن به يك e-mail

جاسازي شدن در HTML متن يك برنامه

از طريق ديسكت ها

ضميمه شدن به يك برنامه

در حال فرستادن يا دريافت فايلي از طريق IM

از طريق يك Hyperlink به يك URL كه حاوي متن عجيبي است.

از طريق نفوذ به يك فولدر Share شده

يا اينكه يك Hacker شخصاً اقدام مي كند و با وارد كردن يك ديسكت يا CD به كامپيوتر شما، آن را آلوده مي كند.

در هر يك از حالت هاي بالا يك چيز قطعي است و آن اينكه يك Hacker بالاخره به طريقي از سيستم دفاعي كامپيوتر شما عبور خواهد كرد.

شبكه هاي كمي به كاربران و دارندگان كامپيوترهاي شخصي نيروي دفاعي لازم براي جلوگيري از حملات اين چنين را مي دهند. وقتي از يك برنامه آلوده استفاده مي كنيد، قسمت پنهان Trojan خود را در يك قسمت مخفي كپي مي كند اين موضوع تغييراتي در سيستم شما ايجاد مي كند و باعث مي شود كه هر بار كه دستگاهتان را روشن مي كنيد Trojan هم اجرا شود. Trojan مي تواند به يكي از روش هاي زير در يك مكان مخفي شود:

ربودن يك آيكن آشنا

تغيير نام دادن يك فايل

Packaing

Binding

ربودن يك ايكن آشنا يكي از مرسوم ترين شيوه هايي است كه برنامه هاي مخرب به كار مي گيرند، وقتي روي آيكن مورد نظر كليك مي كنيد، Trojan برنامه را در حالت عادي اجرا مي كند تا شما شك نكنيد، ولي در همين حال مشغول انجام دادن عمليات خرابكارانه خود است.

راه ديگر تغيير دادن نام فايل هاست، Trojam نام يكي از فايل هايي كه بسيار مورد استفاده شماست مي گيرد و به خود نامي آشنا چون Dir.exe يا Calc.exe مي دهد، كافيست در هنگام اجراي آن Ctrl+Alt+del را فشار دهيد، خواهيد ديد كه مي تواند حتي به صورت يك تايمر سيستم يا آنتي ويروس ظاهر شود. Packing يك برنامه هم به معناي انجام مراحلي است كه باعث شود آن برنامه فضاي كمتري در هارد اشغال كند. اين كار البته باعث مي شود كه ساختار برنامه به طور كلي عوض شود. كه در نتيجه شناسايي آنها توسط آنتي ويروس ها و Antitrogan ها مشكل مي شود.

Binding هم يعني ضميمه كردن كدهاي خرابكارانه به برنامه ها در اين صورت وقتي برنامه اجرا مي شود، همزمان با آن Trojan هم شروع به فعاليت مي كند.

صدماتي كه Trojan ها مي توانند به سيستم شما وارد كنند:

مهمترين فعاليت آنها اين است كه امكان دستيابي مستقيم به سيستم شما را فراهم مي كنند (در اين صورت به نام RAT شناخته مي شوند) در اينترنت هزاران RAT وجود دارد كه اكثر آنها مجاني هستند و كار با آنها آنقدر ساده است كه حتي افرادي كه اطلاع كمي در زمينه كامپيوتر دارند مي توانند آنها را فعال كنند.

RAT ها مي توانند كنترل سيستم شما را بدست گيرند و يك يا چند عمل زير را انجام دهند:

فايل ها را كپي كنند، نام آنها را تغيير دهند يا آنها را پاك كنند.

نشانگر موس را پنهان كنند.

كامپيوتر شما را Reboot كنند.

كلمات عبور را فاش كنند.

ارتباط شما را به اينترنت وصل يا از آن قطع كنند.

كنترل Web cam شما را به دست گيرند.

e-mail هاي مختلفي را بفرستند يا دريافت كنند.

و اين ليست ادامه مي يابد،....

اما چرا بايد كسي علاقمند به در دست گرفتن كنترل كامپيوتر شما باشند؟

اگر شما فقط كاربري با يك PC هستيد امكان اينكه مورد حمله hacker ها قرار بگيريد چندان زياد نيست. اما با اين حال كافيست يكبار مورد حمله قرار گيريد، پس از آن كامپيوتر شما مثل وسيله اي است كه كامپيوترهاي ديگر هم از طريق آن مي توانند مورد حمله قرار گيرند.

استراتژي آنها اين است كه ابتدا به كامپيوترهاي شخصي حمله مي كنند و سپس از آنها در حمله به سيستم هاي كامپيوتري قوي مثل دانشگاهها يا سازمان ها استفاده مي كنند و بعد از پايان يافتن عمليات، تمام ردپاهاي خود را از بين مي برند، رديابي حملات غير مستقيم معمولاً غير ممكن يا بسيار دشوار است.

چگونه از دستگاه خود محافظت كنيم؟

هيچ برنامه يا ليستي به تنهايي نمي تواند جلوي حملات trojan ها را بگيرد بنابراين شما نيازمند استفاده از تركيبي از تكنيك ها هستيد. شما بايد به كامپيوتر خود به ديد شهري كه در معرض حمله دشمن است نگاه كنيد پس نياز داريد:

براي آن ديوار بسازيد

مراقب افرادي كه در ارتباط با شهر هستند باشيد

دشمان احتمالي را ريشه يابي كنيد.

براي آن ديوار بسازيد

اولين مرحله دفاع بايد توسط تنظيمات امنيتي نرم افزار اينترنت شما باشد (Security setting) شامل email, Messanger, browser .

تا آنجا كه مي توانيد در تنظيم آن دقيق باشيد، مرحله دوم firewall (ديوار آتش) است تا اين جا توانسته ايد جلوي قسمت عظيمي از هجوم ها را بگيريد.

مراقب افرادي كه در ارتباط با شهر هستند باشيد

هربار كه فايلي download مي كنيد يا به هر طريقي مثل email به شما مي رسد، شما يك trajan را به كامپيوتر خود دعوت مي كنيد. عباراتي مثل “Free” يا “exciting” و جملات وسوسه انگيزي از اين قبيل بايد فوراً شما را به فكر وادارد. سايت هاي غير قانوني (Warez) ممكن است در نگاه اول جالب به نظر برسند ولي عموماً حاوي ويروس هاي پر مخاطره اي براي سيستم شما هستند . download كردن فايل از چنين سايت هايي درست مثل كوبيدن يك چكش به هارد ديسك شما عمل مي كند.

موارد بسيار زياد ديگري هم در اين ارتباط وجود دارد. مثلاً چيزهايي كه ما همواره به آنها اعتماد مي كنيم، از تبديل ديسكتي كه يك دوست به ما مي دهد. برنامه هايي كه سايت ها براي Update كردن ارائه مي كنند و هيچ وقت فكر نكنيد كه نرم افزارهايي كه از شركتهاي معتبر تهيه مي كنيد كاملاً سالم هستند.

همه راههاي ووردي فايل ها را چك كنيد.

هر فايلي كه برايتان فرستاده مي شود را نپذيريد.

همه فايل ها را Scan كنيد.

Bios كامپيتر خود ا چك كنيد تا از راه فلاپي boot نشود.

دشمان احتماي را ريشه يابي كنيد.

طراحي Trojan ها طوري است كه شناسايي آنها را مشكل مي كند و اگر طراح آنها شخص با تجربه اي باشد شما هيچ وقت از وجود آنها مطلع نخواهيد شد. ولي يك چيز بين همه آنها مشترك است و آن اينكه آنها تنظيمات دستگاه شما را تغيير مي دهد.

چه بايد كرد؟

مراقب همه تغييراتي كه در سيستمتان رخ مي دهد باشيد. نرم افزارهاي متعددي وجود دارند كه همه تغييرات در تنظيمات(Setting) دستگاهتان را به اطلاعتان مي رسانند. يكي از برنامه ها Intergrity Master قابل Download كردن از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است . از ديگر برنامه هاي مشابه مي توان به Inctrl5 قابل Download از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است. بعد از نصب اين برنامه بايد هر بار كه سيستم خود را روشن مي كنيد يا نرم افزاري جديدي را نصب يا اجرا مي كنيد اين برنامه را فعال كنيد تا در صورتي كه از تغييرات setting دستگاهتان راضي نيستيد با backup گرفتن آنها را به صورت قبلي در بياوريد.

جعبه هاي شني (sand boxes)

يكي از راههاي ديگر هم اين است كه همه برنامه ها و فايل هايي كه مي خواهيم در سيستم خود بريزيد را قبلاً چك كنيد. براي اين منظور مي توانيد از برنامه هايي چون surfingGuard قابل نصب از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده كنيد. اين برنامه به شما اجازه نصب هر برنامه اي را مي دهد ولي در يك محيط كنترل شده(Sand box) تا احتمال وارد شدن هر گونه صدمه اي به دستگاه شما را به حداقل برساند.

شناسايي و پاك كردن trojanها:

بعضي معتقدند بهترين راه پاك كردن hard disk و ريختن دوباره ويندوز است ولي راههاي ساده تري هم براي اين كار وجود دارد. برنامه هاي Antivirus مدرن و قوي توانايي پاك كردن اكثر trojan ها را دارند. براي اطمينان بيشتر مي توانيد از اسكنر Anti-trojan هم استفاده كنيد. براي آشنايي با اسكنرهاي معروف Trojan ها مي توانيد به ليستي كه در سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] آمده نظري بيندازيد. يكي از بهترين نمونه هاي آورده شده در اين سايت the cleaner است.

([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

mahan
01-12-2004, 10:14
اسب تراواي جديد به جاسوسي در وب سايت بانك‌ها مي‌پردازد
مترجم: مشورت

متخصصان امنيت مي‌گويند كه اسب تراواي جديدي را كه جزييات كاربران بانك الكترونيكي و جست‌وجو در وب را ثبت مي‌كند، يافته‌اند.
شركت ضد ويروس Sophos هشدار داده است كه اسب تراواي Banker-AJ، مشتريان بانك‌هاي انگليسي نظير Abbey، Barclays، Egg، HSBC، LIoyds TSB، Nationwide و Natwest را مورد هدف قرار مي‌دهد. اين اسب تراوا بر روي كامپيوترهاي اجرا كننده‌ي ويندوز مايكروسافت تاثير مي‌گذارد.
Sophos اعلام كرده است كه اين اسب زماني كه يك بار بر روي كامپيوتر نصب گردد، منتظر مي‌شود تا كاربران وارد وب سايت‌هاي آنلاين بانك‌هاي مورد نظر خود شوند و سپس اين اسب تراوا كلمات عبور آن‌ها را پيدا كرده و تصاويري لحظه‌اي از بخش‌هاي مورد هدف خود تهيه مي‌كند. اطلاعات كسب شده، در اختيار هكرهايي قرار مي‌گيرد كه از براي سرقت پول از داده‌هاي به دست آمده استفاده كنند.
Graham Cluley، مشاور تكنولوژي شركت Sophos گفته است اين رويداد، نسلي ديگر از حملات phishing است.
حمله كنندگان phishing، وب سايت‌هايي ساختگي و فريبنده ايجاد مي‌كنند تا بدين طريق اطلاعات شخصي قربانيان را به دست آورند. آن‌ها از ايميل‌هايي استفاده مي‌كنند كه به نظر مي‌رسد از سوي شركت‌هاي معتبر و مورد اطمينان ارسال شده باشند تا بدين ترتيب كاربران فريب داده و آن‌ها را تشويق و ترغيب به ورود به سايت‌هاي ساختگي و تقلبي كنند. سايت‌هايي كه در آن جا از قربانيان درخواست مي‌شود تا اطلاعاتي چون داده‌هاي كارت‌هاي اعتباري خود را ارايه دهند. حملات به طور مكرر و مداوم، مشتريان بانك‌ها را نشانه مي‌روند.
بانك Barclays گفته است كه پيش از نيز با تكنيك استفاده از سايت‌هاي ساختگي و غير قانوني مواجه شده است. يكي از نمايندگان شركت مي‌گويد: « اين گونه اسب تراوا، مسئله‌ايست كه ما بارها با آن روبور بوده و از وجود آن آگاهي داشته‌ايم. ما در حال همكاري با صنعت هستيم تا گام‌هاي بعدي را براي جلوگيري از اين برنامه‌هاي فريبنده تعيين كنيم و نيز مشتاقيم تا آموزش‌هاي لازم را در اين زمينه به مشتريان ارايه دهيم.»
Sophos همچنين اعلام كرده است كه چندين ماه پيش، اسب تراواي مشابهي را با عنوان Tofger مشاهده كرده، اما اين تكنيك در كشور برزيل مورد استفاده قرار گرفته شده است. برخي از گونه‌هاي برزيلي اين اسب تراوا، منتظر مي‌مانده تا كاربران به وب سايت يكي از بانك‌ها وارد شوند. اما اين تراواي تازه كشف شده، بسياري از بانك‌هاي مشهور انگليس را مورد هدف قرار داده و همين امر آن را مورد توجه قرار داده است

mahan
01-12-2004, 10:16
هكرهاي پررو محصولات شان را مي فروشند

همشهری : گروهي به نام ازهكرها، فروشگاه آنلايني را راه اندازي كرده اند كه كد منبع به سرقت رفته محصولات نرم افزاري مهم و معروف را مي فروشد و در حال ارايه كدي براي نرم افزار ديوار آتش PIX شركت سيسكو سيستمز به مبلغ ۲۴۰۰۰ دلار (۱۳۰۰۰ پوند) است.
Source Code Club روز دوشنبه (اول نوامبر) به صورت آنلاين پديدار گشته و از پيام هايي براي گروه هاي گفتگوي آنلاين درباره امنيت استفاده كرده تا بدين طريق بازگشت خود را به عرصه كسب و كار اعلام كند.
اين گروه از ايميل ها و پيام هاي ارسالي در گروه Usenet براي مكاتبه و ايجاد ارتباط با مشتريان استفاده كرده و سفارش هايي را براي كد منبع محصولات امنيتي گوناگون دريافت مي كند كه برخي از آن ها عبارتند از ديوار آتش PTX ۶.۳.۱ سيسكو و نرم افزار سيستم رديابي و كشف ورودهاي بدون مجوز (IDS) از شركت Entrasys Networks… اين كلوپ ابتدا در ماه ژوئيه به وجود آمده و با استفاده از صفحه وبي با آدرسي در اوكراين، پيام هايي را به فهرست مباحث امنيتي Full-Disclosure ارسال كرده است تا بدين ترتيب براي محصولات خود تبليغ كند.
اين كلوپ كد منبع، اعلام كرده است كه هوشمندي شركت را به همراه ديگر خدمات بي نام، به مشتريان خود مي فروخته است. اين كلوپ، كد منبع بسياري از نرم افزارهاي كليدي دنياي شبكه را با قيمت هاي مختلفي ارائه كرده، به عنوان مثال كد نرم افزار مبادله فايل (file Sharing) شركت Napster كه هم اكنون بخشي از Roxio است به مبلغ ۱۰۰۰۰ دلار در سايت اين گروه ارائه شده بود.
اين گروه تنها چند روز پس از اين جريان مجبور به متوقف كردن عمليات خود گشته و اعلام كرده است كه نيازمند طراحي مجدد مدل كسب و كار خود است.
اين گروه، قيمت كد Entrasys و Napster را به ترتيب به ۱۹۲۰۰ دلار و ۱۲۰۰۰ دلار افزايش داده است.
اين كلوب هك، همچنين عضويت خصوصي را به همراه وعده دسترسي به فهرست كد منابع بيشتر، به كساني كه يك كپي كامل از كد منبع محصول را خريداري كنند، پيشنهاد مي كند.

jasad
01-12-2004, 11:36
ماهان جان
من خودم هر روز سري به تاپيكت ميزنم و از مقالات جديدت استفاده ميكنم.ولي نميدونم چند نفر ديگه مثل من هستند.ولي من كه كللي فيض بردم.
ارادتمند

mahan
02-12-2004, 03:28
به خاطر توهم که شده مینویسم
:mrgreen:

mahan
02-12-2004, 10:37
آسيب پذيري خطرناك در ويندوز سرور مايكروسافت

آسيب پذيري خطرناكي در يكي از سرويس هاي ويندوز به نام WINS به وجود آمده است كه بسياري از شركت ها را تهديد مي كند.

به گزارش بخش خبر تراشه از سايت امنيت وب، سرويس (WINS (Windows Internet Name Service يكي از اجزاء و سرويس هاي پايه اي براي ويندوز هاي NT4 ،2000 Server و سرور 2003 مي باشد.

مايكروسافت براي حل اين مشكل فعلا يك راه حل زودگذر بيان كرده است تا در آينده بتوان اين آسيب پذيري را اصلاح كند.

اين آسيب پذيري ابتدا توسط شركت سازنده نرم افزارهاي امنيتي Immunity بيان شد كه به عنوان يك آسيب پذيري سرريزي بافر مي باشد. آسيب پذيري سرريزي بافر از راه دور به يك مهاجم اجازه مي دهد كه كنترل سيستم را به دست بگيرد.

مايكروسافت بيان كرده است كه اين آسيب پذيري در ويندوز 2000 حرفه اي و ويندوز XP و ME وجود ندارد.

WINS يك ابزار نامگذاري براي سرور ها مي باشد كه براي هر آدرس IP يك نام مشخصي را در شبكه در نظر مي گيرد.

اين آسيب پذيري توسط شركت امنيتي Secunia به صورت متوسط بحراني بيان شده است.

لازم به ذكر است كه كدهاي مخربي براي اين آسيب پذيري در حال حاضر به صورت عمومي منتشر نشده است ولي به صورت محرمانه بين هكر ها و گروههاي زير زميني منتشر مي شود

mahan
02-12-2004, 10:40
ويروسي جديد که از طريق يک فايل‌ MP3 وارد رايانه‌ مي‌شود


اگر يك پست الكترونيكي با يك فايل ضميمه‌ي MP3 را از آخرين آهنگ‌هاي Stef SuN دريافت كرديد پيش از باز كردن آن بايد بسيار مراقب باشيد چرا كه اين پيغام حامل ويروس جديدي است كه مي‌تواند آسيب زيادي به رايانه‌ي شخصي شما وارد كند.

كارشناسان امنيت رايانه‌يي هشدار دادند كه كاربران بايد مراقب يك كرم جديد شبكه باشند كه از طريق فايل‌هاي MP3 شامل آهنگ‌هاي Sun خواننده‌ي پاپ سنگاپوري است كه آلبوم جديد وي تازه منتشر شده است.

پس از آلوده شدن سيستم، اين ويروس از خود به طور خودكار نسخه‌هاي جديد توليد كرده و از طريق آدرس‌هاي ثبت شده، خود را به اين آدرس‌ها ارسال مي‌كند.

اين امر باعث مصرف حجم عظيمي از منابع سيستم شده و سرعت سيستم را به شدت كاهش مي‌دهد.

mahan
04-12-2004, 10:53
وقتي كه spammer‌‌‌‌ها هرزنامه دريافت مي‌كنند!

Lycos، يكي از پورتال‌هاي اينترنت اروپا، به تازگي نرم‌افزاري ساخته است كه مورد توجه همه كاربران نامه‌هاي الكترونيكي قرار خواهد گرفت؛ راهي براي گرفتار كردن spammer‌‌‌‌ها.

به گزارش بخش خبر تراشه ، اين نرم‌افزار چيزي جز يك screensaver نمي‌باشد و وب‌سايت‌هايي را كه از هرزنامه براي بازاريابي خود استفاده مي‌كنند، هدف قرار مي‌دهد. بدين ترتيب مجموعه‌اي از دريافت‌كنندگان spam قادر خواهند بود تا با تقاضاي مكرر اطلاعات از سرور‌هاي اين سايت‌ها، پهناي باند آنها را كاهش دهند.

اين screensaver در يك‌ماهه اخير به طور پنهاني در سوئد آزمايش شد و تا‌كنون 80 هزار نسخه از آن دانلود شده است. جالب اينكه زمان پاسخگويي برخي از سرور‌ها در اين آزمايش تا 85 درصد افزايش يافته است.

از مزاياي اين نرم‌افزار علاوه بر ايجاد حس انتقام در قربانيان هرزنامه! پوشيده ماندن تقاضاهاي مكرر در زير چتر يك URL است؛ وقتي يكي از نرم‌افزار‌هاي مديريت سرور متوجه افت سرعت مي‌شود، تنها چيزي كه مشاهده مي‌كند تقاضا براي سايت[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مي‌باشد.

البته اين نرم‌افزار تمام پهناي باند سرور را مسدود نمي‌سازد و داراي مكانيزمي است كه پس از اطمينان از محدود شدن ظرفيت سرور، جريان تقاضا‌ را متوقف مي‌سازد.

هرزنامه‌ها براي سرور‌ها بسيار سود‌آور مي‌باشند؛ حتي اگر هر بار تنها يك درصد از دريافت‌كنندگان هرزنامه به آن پاسخ دهند، سود مناسبي نصيب اين سرور‌ها مي‌شود. هدف اين screensaver هم در واقع افزايش مخارجي است كه متوجه صاحبان اين سرور‌ها مي‌باشد.

habibi
05-12-2004, 19:05
ماهان جان اين خبر خيلي بامزه بود! به نظرم حالت امنيتي نداشت. :wink:

mahan
05-12-2004, 21:14
میشه بهش بگی امنیت بامزه
:mrgreen:

mahan
06-12-2004, 10:58
ویروسی که با راهنمائی کاربر به سایتهای سکس وی را فریب میدهد


متخصصين به كاربران درمورد ايميلهايي هشدار دادند كه ادعا مي كنند حاوي عكسهاي طنز گونه اي هستند اما درواقع به وب سايتي كه كرمهاي مخرب مي توانند از آنجا در كامپيوتر دانلود شوند لينك شده اند.

ایمیلهای آلوده نشانه هائی داردن که تعدادي از نشانه هاي گزارش شده از اين ايميلهاي فريبنده را براي آلودگي به كرم Bofra در اينجا مي خوانيد .
اين كرم با موضوع : سلام , عكسهاي بامزه و پيغام متني كه به کاربر می گويد: صفحه home مرا براي ديدن آخرين عكسهاي بامزه و دانلود ويدئو هاي مجاني باز كن و SIGN UP كن ظاهر مي شود.
ايميلها اكثر مواقع حاوي لينكي هستند كه به وب سايتهاي --- ختم مي شوند كه در صورت كليك كاربران در روي آنها كامپيوتر كاربر به خطر مي افتد .

كد مخرب درون وب سايتها با بهره برداري از آسيب پذيري اخير كشف شده در اينترنت اكسپلورر مايكروسافت اجرا مي شوند و سپس كرم خرمني از ايميلهاي آلوده را به ديگر آدرس ايميلها با هدف انتشار خودش مي فرستد .اين كرم با استفاده از علاقه مندي هاي كاربران آنان را قلقلك كرده و خود را به جلو مي راند .
اين آسيب پذيري و كرم در ويندوز XP با Service Pack 2 اثر گذار نمي باشد.

mahan
08-12-2004, 10:42
ویروسی در لباس کارت اعتباری


متخصصين به كاربران اعلام كردند كه در معرض آلودگي با كرم Bofra-B هستند.

كرم Bofra-B فرستنده ايميلهايي است كه وانمود مي كند حامل كارت اعتباري 175 دلاري مي باشند كه به گيرندگان توصيه مي كند بر روي لينك جزئيات كليك كنند و اگر کاربر بروی لینک کلیک کند كامپيوترش بلافاصله آلوده مي شود كه اين نيز به آسيب پذيري اينترنت اكسپلورر بر مي گردد.

Graham Cluley گفت : كليك كردن بر روي لينكهاي ناشناس در كامپيوترهاي بي حفاظ مساوي است با حمله ويروسها .

اين سري از حفره ها فقط در اينترنت اكسپلورر مايكروسافت در هفته گذشته گزارش شده و هنوز هم patch براي آن در دسترس نمي باشد و اين سريعترين بازتاب آسيب پذيري كشف شده مي باشد كه تا كنون مشاهده نشده بود.

كاربران هوشیار باشند كه براي خريداري كارتهاي اعتباري و يا شارژ آنها هرگز براي به دست آوردن جزئيات بيشتر بر روي لينكهاي ناشناس كليك نكنند.

ايميل فرستاده شده توسط كرم W32/Bofra-B ممكن است داراي مشخصات زير باشد:
From:
exchange-robot@paypal.com

Subject line:
تاييد

Message body:
تبريك و شادباش , كارت اعتباري 175 دلار ي شما با موفقيت شارژ شد . A866DEC0 شماره سفارش شما مي باشد و آيتم شما در سه روز كاري پر شده است . براي جزئيات بيشتر بر روي لينك زير كليك كنيد.
وسپس به کار بر می گويد كه اين پيام به صورت اتوماتيك فرستاده شده و پاسخي دريافت نخواهد كرد.

صفحه HTML ایمیل در رنگهايي غير از سفيد ظاهر مي شود.
برخي از ناظران آنتي ويروس حفاظت خود را در برابر كرم Bofra با كدهاي مربوط به كرم MyDoom ارائه داده اند اما Sophos مصمم است كه Bofra از اعضاي خانواده ماي دوم نمي باشد و تفاوت مابين اين دو را از طريق گسترش آنها در بين كاربران تشخيص داده است.


تروجان Bancban-AC

Bancban يك تروجان رباينده پسورد ها مي باشد كه هدفش مشتري هاي مخصوص بانك هاي برزيل مي باشد.اين تروجان كليد هاي فشرده شده را درون وب سايت هاي مخصوص ثيت مي كند و يك صفحه جعلي را نمايش مي دهد تا وقتي كاربر اطلاعات محرمانه خود آنها را در وارد كرد تروجان آنها را بدزدد.

اطلاعات دزديده شده توسط ايميل به كاربري در دور دست ارسال مي شود.

تروجان سعي مي كند آنتي ويروسها و ديواره هاي آتش متعلق به Norton را پيدا كرده و پاك كند. اطلاعات ربوده شده ممكن است در فايلي با نام USER.TXT يا فايلي تصويري به نام BARRA.BMP ذخيره شوند.

تروجان Bancban خودش را با فايلي با نام CSRSS.EXE يا يك Subfolder به نام SYSTEM در شاخه ويندوز ذخيره مي كند و مدخل زير را به رجيستري اضافه مي كند تا تروجان همزمان با اجراي ويندوز اجرا شود:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

توصيه ها :

1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

mahan
09-12-2004, 10:50
آدرسهای دوگانه ، حیله جدید هکرها

مايكروسافت این ادعاي کارشناسان كه spoofing كشف شده در اينترنت اكسپلورر را در اثر يك حفره امنيتي میدانستند ، را نپذيرفت. به گفته متخصصین امر در نرم افزار اينترنت اكسپلورر ورژن 6 امكان وقوع حيله هاي اينترنتي وجود دارد كه به ادعاي مايكروسافت این اشکال نرم افزاری ویندوز نيست .

spoofing تاکتیکی است براي فریب كاربران به اینصورت که آنها بر روی آدرس شناخته شده ای کلیک میکنند ولی بجای آن به يك وب سايت " spoof " شده هدايت میشوند. از تكنيك Spoofing خيلي اوقات در ايميل scam هاي phishing استفاده مي شود و بوسیله آن هکرها كوشش مي كنند اطلاعات شخصي كاربران را با تفهیم این مسئله که از يك منبع قانوني درخواست میشود ، از وی استخراج كنند.

مايكروسافت اين رويداد امنيتي را كه URL غیرواقعی و فریبنده در نوار وضعيت اينترنتت اكسپلورر به كاربر نمايش داده مي شود را در اثر يك حفره امنيتي نمي داند و و ادعا مي كند كه این فقط يكي ديگر از حيله هاي مورد استفاده هكرها مي باشد.

وقتي كه كاربر در صفحه وب بر روي لينكي كليك مي كند يك URL متفاوت از آن چيزي كه كاربر تقاضا كرده در نوار وضعيت اينترنت اكسپلورر ظاهر مي شود كه او را با لينكهاي جعلي به وب سايتي متفاوت خواهد برد. هکرها این عمل را براي کش رفتن اطلاعات امنيتي از قبيل مسائل محرمانه مالي كاربران انجام مي دهند.

مايكروسافت اعلام كرد براي فاتح شدن به چنين حملاتی نياز به مهندسين مجرب دارد.كمپاني به كاربران سفارش مي كند كه قبل از کلیک کردن بر روی هر URL آنرا چك كنند. همچنین ادعا میکند كه ويندوز XP Service Pack 2 تحت تاثير اين رويداد واقع نشده است.

همچنين اعلام شده است كه HTML ايميلها نيز تحت تاثير تكنيك spoofing قرار گرفته اند بنابراين Outlook Express مايكروسافت هم آسيب پذير مي باشد .

بهترین راه حل برای در امان ماندن از حملات اسپوفینگ آنست که کاربران قبل از اجرای هر آدرسی با راست كليك كردن بر روي لينكها مقصد نهائی آنرا با خود آدرس مطابقت دهند .

mahan
11-12-2004, 10:36
كرم Sdbot-SX


Sdbot-QX يك كرو شبكه و در پشتي تروجان مي باشد كه با اجرا شدن در پيش زمينه كامپيوتر به عنوان يك برنامه كاربردي به مهاجم اجازه مي دهد كه از طريق كانال هاي IRC به سيستم آلوده دسترسي داشته باشد.

كرم Sdbot-QX قايليت اين را دارد كه مانند يك در پشتي بربرنامه هايي را بر روي سيستم نصب و اجرا كند.
اين كرم پس از اجرا خودش را با نام BBSBW.EXE در پوشه ويندوز ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا مطمئن شود با اجراي ويندوز كرم نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
كرم خودش را در شبكه هاي share شده كه پسورد ضعيف دارند كپي مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Bagz-F


Bagz-F جزء آن دسته از كرم هاي شبكه است كه از طريق پيغامهاي اينترنتي منتشر مي شود ،و داراي يك در پشتي است كه اجازه مي دهد يك مهاجم فايل هايي را روي سيستم آلوده دانلود و اجرا كند.
اين كرم آدرسهاي ايميل را از فايل هاي TXT, HTM, DBX, TBI وTBB جمع آوري مي كند و ايميلي را به آدرسي كه پيدا كرده و فرستنده ايميل ارسال مي كند.
همچنين برنامه هاي نرم افزاري مربوط به آنتي ويروس را از كار مي اندازد.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

ايميل ارسالي داراي مشخصات زير مي باشد:

موضوع ايميل:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل هاي الحاقي به صورت ZIP:

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل هاي الحاقي به صورت exe:

backup.doc <lots of spaces> .exe
admin.doc <lots of spaces> .exe
archivator.doc <lots of spaces> .exe
about.doc <lots of spaces> .exe
readme.doc <lots of spaces> .exe
help.doc <lots of spaces> .exe
photos.doc <lots of spaces> .exe
payment.doc <lots of spaces> .exe
archives.doc <lots of spaces> .exe
manual.doc <lots of spaces> .exe
inbox.doc <lots of spaces> .exe
outbox.doc <lots of spaces> .exe
save.doc <lots of spaces> .exe
rar.doc <lots of spaces> .exe
zip.doc <lots of spaces> .exe
ataches.doc <lots of spaces> .exe
documentation.doc <lots of spaces> .exe
docs.doc <lots of spaces> .exe
sqlssl.doc <lots of spaces> .exe

كرم Bagz-F يك كپي از فايل هاي بالاو فايل هاي زير در شاخه ويندوز قرار مي دهد :

sysinfo32.exe
ipdb.dll
wdate.dll
jobdb.dll

كرم فايل host ويندوز را تغيير مي دهد تا دسترسي به وب سايت فروشنده هاي آنتي ويروس را غير ممكن كند.

اين كرم فايلي را با نام "Xuy v palto " در مسير "<Windows system folder>\trace32.exe" ايجاد مي كند و مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

همچنين ويروس KaZaA را از طريق پاك كردن مدخل زير در رجيستري از كار مي اندازد:

HKCU\Software\Kazaa\Settings\Quarantine


تروجان Mastseq-D


Mastseq-D يك تروجان در پشتي است كه به طور پيوسته در پيش زمينه ويندوز اجرا مي شود و تعدادي از سرويس ها را براي مهاجم آماده مي كند.
Mastseq-D با استفاده از تزريق كدهاي خود به برنامه مرورگر ويندوز باعث مي شود كه بعد از اجراي برنامه در سطوح دسترسي بالاتر ، اين كرم نيز در همان سطح دسترسي اجرا شود.
اين تروجان اطلاعات را از طريق پورت 80 (HTTP) به مكاني در دور دست ارسال مي كند.و سعي مي كند مدخل زير را از رجيستري حذف كند:
HKLM\Software\Numega\

تروجان دو فايل با نامهاي CHKBYZ.PNF and ZZBMP.APL در شاخه ويندوز ايجاد مي كند كه اين اطلاعات توسط تروجان مورد استفاده قرار مي گيرد و ممكن است بدون آسيب پاك شوند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

mahan
15-12-2004, 10:42
سايت سازمان زندانهاي كشور هك شدند!


برخي سايتهاي متعلق به سازمان زندانهاي كشور شب گذشته توسط هكر ايراني هك شدند.
اين هكر كه به نام HU-Cracker Kurd خودش را معرفي كرده است شب گذشته 11 سايت متعق به سازمانهاي زندانها را هك كرد.
اين هكر كه تا به حال اسمي از او شنيده نشده است در شب گذشته صفحه نخست اين سايتها را به كلي تغيير داد و صفحه خود را جايگزين آن كرد.
سرور اين سايتها كه لينوكس مي باشد آسيب پذير بوده و هكر ها به اين مورد اشاره كرده اند و در صفحه خود تهديد كرده كه منتظر حملات بعدي باشيد.
از مطالب نوشته شده در صفحه اول اين سايت ها مشخص مي شود كه هك شدن اين سايت بنا به دلايل سياسي نبوده است.
اما در ايميل ديگري كه به مدير سايت امنيت وب ارسال شده است علت اين كار فشار روحي وارده بر سربازان زندان سنندج بيان شده است. البته مشخص نشده است كه اين ايميل از طرف هكر سايت ها ارسال شده يا خير.

ليست سايتهاي هك شده:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

mahan
15-12-2004, 10:43
مبارزه‌ي مرورگرDeepnet در برابر حملات phishing


به دنبال ارايه‌ي برنامه‌ي اوليه‌اي از Netscape و عرضه‌ي Firefox 1.0، يك شركت انگليسي، مرورگر وبي ارايه داده كه ادعا مي‌كند از مرورگرهاي Internet Explorer و يا فاير فاكس، ايمن‌تر است.

Deepnet Technologies نسخه‌ي 1.3 مرورگر Deepnet Explorer را عرضه كرده است. اين مرورگر وب رايگان، مبتني است بر IE مايكروسافت، اما داراي ويژگي‌ها و قابليت‌هاي بيشتري است همچون قابليت پشتيباني و حفاظت از كاربران اينترنت در برابر حملات آنلاين و رو به افزايش معروف به حملات phishing است.

Deepnet Explorer، با قرار دادن سايت‌هاي phishing در ليست سياه و تجزيه و تحليل آدرس‌هاي وب و وب سايت‌ها، به دنبال حفاظت از كاربران در برابر چنين حملاتي است. حملات phishing، پيام‌هاي هرزنامه‌ها را با صفحه‌هاي وب كه ظاهري همانند سايت‌هاي تجارت الكترونيكي قانوني دارند، تركيب مي‌كنند تا بدين طريق بتوانند اطلاعات حساس و مهمي مانند اسامي كاربران، رمز عبور آن‌ها و شماره‌هاي كارت اعتباري آنان را سرقت كنند.

سازندگان Deepnet Explorer ادعا مي‌كنند كه مرورگر آن‌ها در مقايسه با IE و يا فاير فاكس، از امنيتي بيشتري برخوردار است، زيرا داراي اخطار phishing و ساير قابليت‌ها و ويژگي‌هاي امنيتي مانند عمليات كنترل محتوا است كه به كاربران امكان مي‌دهد كنترل‌هاي ActiveX و ساير تهديدهاي امنيتي را مسدود و متوقف سازند. همچنين اكثر مشكلات امنيتي IE، بر روي بدنه و ساختار برنامه‌هاي كاربردي تاثير گذار است نه موتور تبديل كننده (rendering) كه توسط Deepnet Explorer نيز مورد استفاده قرار مي‌گيرد.

Thor Larholm، محقق امنيتي ارشد PivX Solutions كه يك شركت خدمات امنيتي است، اعلام كرده است كه سازندگان Deepnet Explorer ادعا مي‌كنند كه اكثر آسيب پذيري‌ها در برنامه‌ي كاربردي IE يافت مي‌شوند نه در موتور تبديل كننده، اما اين گفته با پيدايش صدها آسيب پذيري در موتور تبديل كننده مغايرت دارد.
در حالي كه توليد كنندگان Deepnet ادعا مي‌كنند كه مرورگر آنان بسيار ايمن‌تر از ساير مرورگرهاست، نسخه‌ي 1.3 برنامه‌ي روزآمد ساز، آسيب پذيري‌هاي امنيتي متعددي را برطرف مي‌سازد. همچنين، اين مرورگر جديد در برابر نقص iframe در IE آسيب پذير است.

تنها برتري Deepnet Explorer نسبت به IE، داشتن تحليل‌گر phishing بوده كه دسترسي به سايت‌هاي phishing و URL هايي را كه phishy به نظر مي‌رسند، مسدود مي‌سازد.
هدف ساير ويژگي‌هاي Deepnet Explorer آن است كه مرور و جست‌وجو در وب را خوشايندتر سازند. اين مرورگر شامل مسدودكننده‌ي تبليغات pop-up نيز بوده تا وب سايت‌ها را از باز كردن ساير پنجره‌هاي حاوي تبليغات ناخواسته باز دارد.

Deepnet Explorer همچنين از مرورگرهاي داراي tab پشتيباني مي‌كند. اين مرورگر، يكي از چندين مرورگري است كه با ويژگي‌هاي بهتري نسبت به موتور مرورگر IE مايكروسافت ساخته شده است. Deepnet Explorer از طريق آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] قابل دانلود است

mahan
15-12-2004, 10:45
كرم Mofei-E

Mofei-E كرم شبكه است كه مانند در پشتي عمل مي كند و در شبكه هاي share شده با پسورد ضعيف منتشر مي شود
كرم به واسطه تزريق كردن خود در برخي برنامه هاي ويندوز خودش را از ديد كاربر پنهان مي كندو خودش را مانند يكي از سرويسهاي ويندوز اجرا مي كند.
پس از اجرا كرم خودش را با نام ALERTER.EXE در پوشه ويندوز ذخيره مي كند و دو فايل با نام هاي SPC.EXE وSPTRES.DLL در سيستم نصب مي كند كه به نام ويروس Mofie-M شناخته مي شود.
همچنين اين كرم فايلي ديگر به نام SPC.EXE و SPTRES.DLL را با تزريق در مرورگر ويندوز اجرا مي كند تا جاسوسي كاربر را كند.
SPTRES.DLL سعي مي كند كرم را به share هاي ADMIN$ و IPC$ كپي كند.
Mofie-E مدخل هاي زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\SYSTEM\ControlSet<number>\Services\Alerter\ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
اين كرم همچنين خودش را به صورت يكي از سرويس هاي ويندوز به نام netlog در ويندوز اجرا مي كند كه به نام Net Login Helper ديده مي شود كه فايل SCARDSER.EXE را اجرا مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet<number>\Services\Alerter\ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

mahan
18-12-2004, 10:34
AOL امكانات امنيتي جديد ارايه مي‌دهد

نيويورك- شركت آمريكا آنلاين در برابر افزايش تهديدهاي امنيتي آنلاين، در حال بسته بندي ويژگي‌هاي جديدي براي مبارزه با ويروس‌ها، هرزنامه‌ها و نرم‌افزار جاسوسي است.
مشتركان مي‌توانند ابزارهاي رايگان را از طريق دانلود كردن نرم‌افزار جديدي به نام AOL 9.0 Security Edition كه از روز پنجشنبه قابل دسترس خواهد بود، مورد استفاده قرار دهند.
Danny Krifcher، نايب رييس اجرايي خدمات آمريكا آنلاين گفته است: « هنگامي كه اعضا با مسئله‌ي اجراي برنامه‌اي در كامپيوتر مواجه مي‌شوند، اين طور تصور مي‌كنند كه به واقع با مشكل اجرايي روبرو شده، اما چيزي كه در حقيقت گرفتار آن شده‌اند، ويروس و يا نرم‌افزار جاسوسي است.»
AOL 9.0 Security، جديدترين نسخه‌ي نرم‌افزار آمريكا آنلاين بوده كه نرم‌افزار ضد ويروس مكافي و برنامه‌هاي به روز رساني خود را براي مشتركان dial-up و با سرعت بالا فراهم مي‌سازد.
تأكيد جديد بر امنيت، به دنبال تلاش موفقيت آميز آمريكا آنلاين طي يكسال گذشته براي مبارزه با هرزنامه و ايميل‌هاي تبليغاتي صورت پذيرفته است كه موجب ايجاد اختلال و آشفتگي در ميل باكس بيش از بيست ميليون مشتري مي‌شده‌اند. اين شركت با استفاده از فيلترهاي جديد و ارايه‌ي قوانين جديد ضد هرزنامه، با مشكلات موجود به مقابله و مبارزه پرداخته است.
Jonathan F. Miller، مدير اجرايي آمريكا آنلاين اعلام كرده است كه نسخه‌ي جديد نرم‌افزار AOL مي‌بايد از مشتركان در برابر نرم‌افزارهاي جاسوسي موجود بر روي كامپيوترهاي شخصي آن‌ها، پشتيباني و حفاظت كند.
اين بسته‌ي نرم‌افزاري جديد شامل امكانات ذيل است:

1- نرم‌افزار ضد ويروس شركت مكافي به همراه برنامه‌هاي به روز رساني رايگان و خودكار. در گذشته، فراهم كردن چنين پشتيباني از طريق AOL، 2.95 دلار در ماه، هزينه به دنبال داشته است.
2- پشتيباني در برابر نرم‌افزار جاسوسي. پيش از اين، اسكنر نرم‌افزار جاسوسي آمريكا آنلاين تنها يكبار در هفته اجرا مي‌شده است. هم‌اكنون، يك SpyZapperجديد، هر زمان كه كاربران برنامه‌هاي مخرب را دريافت كنند، حافظه‌ي كامپيوتر را بررسي مي‌كند.
3- كنترل هرزنامه‌ها. براي كنترل تعداد ايميل‌هاي قانوني و مجاز كه به اشتباه پاك مي‌شوند، ----- هرزنامه هم‌اكنون تنظيمات بالا، متوسط و پاييني فراهم مي‌كند. اين ----- همچنين پيام‌هاي فوري ناخواسته را متوقف و مسدود مي‌سازد.
4- مسدود كننده‌ي تبليغات pop-up. اين برنامه، تبليغات رسانه‌اي را كه در سراسر صفحات وب وجود دارند، مسدود مي‌كند.
5- كنترل‌هاي والدين. والدين قادر خواهند بود اشخاصي را كه فرزندانشان مي‌توانند پيام‌هاي فوري با آن‌ها رد و بدل كنند، محدود سازند.

براي مبارزه با سرقت اطلاعات شخصي و هويتي، آمريكا آنلاين همچنين با آژانس اعتباري Experian همكاري كرده تا سرويسي ارايه دهد كه مشتركان هنگامي كه از كارت‌هاي اعتباري‌شان بيش از حد مجاز استفاده شده، با خبر گردند.

mahan
18-12-2004, 10:36
Sybari، محصولات امنيتي براي IM و SharePoint ارايه مي‌كند

Sybari Software، يك Antigen 8.0 را براي SharePoint مايكروسافت و Antigen 8.0 ديگري براي سرويس پيام فوري ارايه كرده است. اين دو محصول ضد ويروس، ضد هرزنامه و نرم‌افزار امنيتي ----- كردن محتوا براي محيط‌هاي سازماني در نظر گرفته شده است.
Joe Licari، مدير مديريت محصول در Sybari گفته است كه هر دوي اين محصولات در محيط‌هاي جديد بسياري از فروشگاه‌هاي آي‌تي قرار مي‌گيرند.
Antigen 8.0 براي SharePoint مايكروسافت براي شركت‌هايي طراحي شده است كه از سرور پورتال SharePoint مايكروسافت براي ارتباط و اتصال با تامين كنندگان، مشتريان و همكاران از طريق مبادله‌ي اسناد و مدارك و ساير هوشمندي‌هاي تجاري استفاده مي‌كنند.
وي در ادامه افزوده است كه از آن جايي كه شركت‌ها بر محصولاتي چون SharePoint مايكروسافت تكيه دارند، نياز و لزوم ايمن كردن اين منابع، امري مهم و ضروري محسوب مي‌شود. اين امر در مورد Antigen 8.0 براي سرويس پيام فوري نيز صدق مي‌كند.
Licari گفته است: « سرويس پيام فوري توسط بسياري از بخش‌ها حتي بدون اطلاعات آي‌تي مورد استفاده قرار مي‌گيرد. اين محصول براي آن طراحي شده تا به مديران آي‌تي امكان دهد بدون آسيب رسيدن به كارايي سرويس پيام فوري، آن را ايمن سازند.»
نسخه‌ي جديد Antigen 8.0 براي SharePoint مايكروسافت شامل امكان تهيه‌ي گزارش و بررسي كليدي اسناد و مدارك و قابليت‌هاي ويژه‌ي روز آمد سازي است.
نسخه‌ي جديد Antigen 8.0 براي IM شامل پشتيباني براي Live Communication Server 2005 مايكروسافت، قابليت بررسي محتواي اسناد و مدارك و تكنولوژي بهبود يافته‌ي به روز رساني موتور بررسي است. IM يكي از ابزارهاي مهم براي ارتباطات شخصي و كاري محسوب مي‌شود.
نود درصد از سازمان‌ها گزارش داده‌اند كه كاربران آن‌ها به برنامه‌هاي كاربردي سرويس پيام فوري (IM) دسترسي دارند.
محصولات جديد در پيش گفته شده، به زودي قابل دسترس خواهند بود. هزينه‌ي اين محصولات بستگي به سايز و پيكربندي شبكه دارد.

mahan
18-12-2004, 10:39
ويروس Primat-C

Primat-C ويروسي است كه از طريق شبكه هاي P2P و شبكه هاي share شده بدون محافظ منتشر مي شود.
ويروس سعي مي كند فايل هايي با پسوند هاي EXE, SCR or PIF را در پوشه هاي زير آلوده كند:

Network shares named "C" on randomly-chosen IP addresses
The Kazaa "DownloadDir"
The top folder of any valid drives
اين ويروس آموزش مخصوص مي بيند كه فايل هاي زير را در share هاي قابل دسترس كه "C\Windows" ناميده مي شود، آلوده كند:
Rundll32.exe
Scanregw.exe
همچنين يك كپي از خودش با نام msdis.dll در پوشه temperory ويندوز ايجاد مي كند و اگر در 18th هر ماه اجرا شود به صورت يك عكس bitmap نمايش داده مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
به علت اينكه اين كرم خودش را در بسياري از Share هاي ويندوز كپي مي كند بنابراين براي پاك كردن آن حتما از آنتي ويروس هاي به روز شده استفاده كنيد.


كرم Sober-I

كرم Sober-I جزء آن دسته از كرم هاي خانواده Sober مي باشد كه خودشان را به وسيله پيغام هاي اينترنتي در سيستم هاي ويندوزي منتشر مي كنند و آدرسهاي ايميل را از فايل هايي با پسوند هاي زير جمع آوري مي كند:

PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VC CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX

كرم پس از اجرا پيغام خطايي قلابي را با عنوان "WinZip Self-Extractor" نمايش مي دهد كه متن آن "WinZip_Data_Module is missing ~Error:..." مي باشد و هنگامي كه اين پيغام را نمايش مي دهد فايل هاي زير را در پوشه ويندوز ايجاد مي كند:

Odin-Anon.Ger
clonzips.ssc text-ascii
clsobern.isc text-ascii
cvqaikxt.apk
dgssxy.yoi
diagdatacrypt.exe win-pack-hackupx
expolerlog.exe win-pack-hackupx
nonzipsr.noz
sysmms32.lla
winroot64.dal
winsend32.dal
zippedsr.piz text-ascii

سپس خودش را با فايلي با پسوند EXE و نامي تشكيل شده از كلمات زير در پوشه ويندوز كپي مي كند:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service,smss32
همچنين مدخل زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد حال فايل اشاره شده را نيز در پوشه Startup ويندوز پيدا كنيد و پاك كنيد. دوباره سيستم خود را راه اندازي كنيد.


شرح اضافه:
كرم ممكن است ايملي را با مشخصات زير ارسال كند:
موضوع:
FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

متن پيغام:

Message Text for Subject ''Oh God'':

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

Message Text for delivery failure subject lines:contructed from

This mail was generated automatically.
More info about --<random name>-- under: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

<random ip><random error message1>
# <random number>: <randomly chosen error message2>

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

_does_not_like_recipient.
_does_not_like_sender

پيغام احتمالي خطا2:

This_account_has_been_discontinued_[#144].
mailbox_unavailable
Remote_host_said:_delivery_error
Giving_up_on_53.32.183.90.
MAILBOX NOT FOUND

پيغام قلابي آنتي ويروس:

*-*-* Mail_Scanner: No Virus
*-*-* <random name>- Anti_Virus Service
*-*-* [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>
(See attached file: <random filename>.zip)

متن پيغام1:

Diese E-Mail wurde automatisch generiert.
Mehr Informationen erhalten Sie unter [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

Folgende Fehler wurden aufgezeichnet:
<random ip><random error message1>
# <random number>: <randomly choosen error message2>

STOP mailer

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

Remote_host_said: _Requested_action_not_taken
_delivery_error

پيغام احتمالي خطا2:

mailbox_unavailable3oes not like

پيغام قلابي آنتي ويروس:

Anti_Virus: Es wurde kein Virus gefunden
Anti_Virus Service

متن پيغام2:

Da Sie uns Ihre Persoenlichen Daten sugesandt haben ist das Password
Ihr Geburts-Datum Viel Vergnuegen mit unserem Angebot!

*****

Im I-Net unter: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

متن پيغام 3:

Aus Datenshutzrechtlichen Gruenden darf die vollstaendige E-Mail incl. Daten
nur angehaengt werden

da unsere Datenbank leider durch einen Programm Fehler zerstoert wurde,
mussten wir leider eine Aenderung bezueglich Ihrer Nutzungs-Daten vornehmen.
Ihre geanderten Account Daten befinden sich im beigefuegten Dokument.

Weitere Informationen befinden sich im Anhang dieser Mail.

فايل ارسالي ممكن است از پسوند هاي زير انتخاب شود:

ZIP, PIF, SCR, BAT, COM.

mahan
19-12-2004, 10:33
هـــك ، آخرين ابزار رقابت


همكاران : فرض كنيد شركت رقيب شما يك ابزار بر پايه وب بسيار قوي دارد كه بسياري از مشتري هاي شما از آن استفاده مي كنند. شما در جواب آن چه مي كنيد ؟
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟

تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!

در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !

Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.

بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.

اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.

صداي آشنا ؟

همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.

بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.

جاسوسي اقتصادي

به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.

نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.

فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.

از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.

بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.

mahan
20-12-2004, 10:37
دومين ويروس كارت كريسمس به كاربران حمله كرد

نويسندگان ويروس ، امروز ويروس را از طريق ايميل منتشر كردند كه حاوي يك كارت كريسمس بوده است.
شركت هاي ضد ويروس ، ويروسي ديگر را كشف كردند كه از طريق ايميل خودش را منتشر مي كند.


طبق گفته شركت آنتي ويروس F-Secure ، كرم Attack-H كه از طريق ايميل خودش را منتشر مي كند ، حاوي يك كارت كريسمس مي باشد تا بدين وسيله كاربران را قانع كند كه ميل حاوي ويروس را باز كنند.


به گفته مدير بخش امنيتي F-Secure ايمن گونه ايميل ها داراي خطرهاي متفاوتي مي باشند در اصل بايد گفت كه هيچ خطري در ديدن اين كارت كريسمس وجود ندارد و خطر در جايي است كه كاربران فايل هاي الحاقي به اينگونه ايميل ها را باز مي كنند.


اين كرم همچون كرم Zafi عمل مي كند و خودش را به تمامي ايميل هايي كه در كتابچه آدرس كاربران وجود دارد ارسال مي كند.اما بر خلاف چند زبان بودن كرم Zafi ، اين كرم فقط خودش را به زبان انگليسي به ديگران ارسال مي كند.


اين كرم حاوي يك تروجان نيز مي باشد. اين تروجان ها اغلب براي دادن دستوراتي از راه دور روي سيستم هاي آلوده استفاده مي شوند.

mahan
22-12-2004, 09:59
رکورد جدید ویروسهای رایانه ای در ژاپن اعلام شد

موسسه Trend Micro در گزارشی شمار ویروسهای رایانه ای منتشر شده در سال 2004 در ژاپن را،63 هزار و 657 هزار اعلام کرد.

موسسه Trend Micro یک موسسه رسمی ژاپنی و بانی حفظ آمار های اینترنتی اعلام کرده است که رکورد سابق ویروسهای اینترنتی 47 هزار و 607 مورد بوده است ، در حالیکه این شمار در سال جاری 63 هزار و 657 مورد است.

موسسه Trend بنا بر گزارشهای سازندگان نرم افزارهای ضد ویروس شمار ویروسهای رایانه ای را به طور سالیانه با کمک آماری که مقامات رسمی امنیتی در ژاپن اعلام می کنند را بسیار مستدل بیان می کنند.

این موسسه اعلام کرده است که شمار ویروسهای کشف شده در سال 2004 نسبت به سالهای گذشته بسیار زیاد بوده است.

mahan
03-01-2005, 10:52
یک اسب تراوا ، جديدترين نسخه‌ي ويندوز XP را تهديد مي‌كند .


تهيه كنندگان برنامه‌هاي مخرب آنلاين، اسب تراوايي عرضه كرده‌اند كه مي‌تواند كامپيوترهاي اجرا كننده‌ي ويندوز XP مايكروسافت را آلوده ساخته و برنامه‌هايي را براي كنترل سيستم‌هاي قرباني از راه دور، نصب و راه اندازي كند.
اين برنامه كه Phel نام داشته و يكي از مشتقات كلمه‌ي Help است، بازديدكنندگان از وب سايت‌هاي ساختگي مخرب را از طريق كنترل‌هاي Help مرورگر Internet Explorer، آلوده مي‌سازد. باگي كه در اين برنامه‌ي مخرب وجود دارد ممكن است آن را از آلوده كردن برخي از كامپيوترها باز دارد.

اين اسب تراوا، آسيب پذيري كشف شده در ماه اكتبر را كه در فايل‌هاي راهنماي Internet Explorer و سرويس پك دو ويندوز XP وجود دارد، مورد هدف و حمله‌ي خود قرار مي‌دهد.
اين نقص با نقص اخير يافت شده در فايل‌هاي راهنما توسط شركت امنيتي چيني ارتباطي ندارد. مايكروسافت به جديت و شدت در حال تلاش براي تجزيه و تحليل اين آسيب پذيري در Phel است تا بدين طريق مسئولان اين فعاليت مخرب را شناسايي كرده و از راه قانوني با آن‌ها برخورد كند.

هنوز patch اي براي نقص يافت شده در ماه اكتبر از سوي مايكروسافت ارايه نشده است. اما اين شركت اعلام كرده است كه برنامه نويسان مايكروسافت در حال كار كردن بر روي اين مسئله هستند.
مايكروسافت اين آسيب پذيري را بسيار جدي و خطرناك دانسته و در حال توليد برنامه‌ي روزآمد ساز براي برطرف كردن آن است.
مايكروسافت با مشكلات قابل توجهي براي ايمن كردن مرورگر خود در سال 2004 مواجه بوده است. به عنوان نتيجه، مرورگر open-source و قابل دانلود به صورت رايگان فاير فاكس، مقداري از سهم بازار را به دست آورده است.
متخصصان امنيت و نيز برخي از مدارس به كاربران كامپيوتر و دانش آموزان توصيه كرده‌اند كه از مرورگرهاي ديگري كه متعلق مايكروسافت نسيتند، استفاده كنند.


كرم ضد Santy در حال تكاپو است

يك كرم ضد Santy كه از موتورهاي جست‌وجو براي گسترش ميان بولتين‌هاي (bulletin) خبري آنلاين استفاده مي‌كنند، شناسايي شده است.

F-Secure گفته است كه از وجود هفت سايتي كه توسط اين كرم آلوده شده‌اند، آگاهي يافته است. در ابتدا به نظر مي‌رسد كه اين كرم براي مبارزه با كرم Santy طراحي شده است. كرم ضد Santy، به جست‌وجوي گوگل مي‌پردازد تا بدين ترتيب سايت‌هايي را بيابند كه از نرم‌افزار بولتين خبري php استفاده مي‌كنند و توسط كرم قبلي آلوده گشته‌اند. كرم ضد Santy سپس سايت‌هاي ياد شده را آلوده كرده و تلاش مي‌كند آن‌ها را با نصب يك patch ايمن‌تر سازد.

Mikko Hypponen، مدير شركت ضد ويروس F-Secure گفته است كه اگرچه اين كرم به نظر سودمند مي‌رسد، در واقع احتمال آن وجود دارد كه مشكلاتي را براي سرپرستاني ايجاد كند كه مسئوليت كنترل ترافيك‌هاي رو به افزايش را دارند.

وي گفته است چنانچه سايتي آلوده شود، اين كرم موجب ايجاد ترافيك‌هايي سنگين و كاهش عملكرد و سرعت سايت مي‌گردد. سايت‌هايي كه توسط كرم ضد Santy مورد حمله واقع شده‌اند، با جملاتي نظير viewtopic.php، ايمن شده توسط كرم V4 ضد Santy مواجه شده‌اند. در ادامه‌ي اين جملات گفته شده است كه سايت شما كمي ايمن‌تر گشته، اما مي‌بايد سايت خود را به نسخه‌ي >=2.0.11 ارتقا دهيد.

Hypponen گفته است كه دو نسخه از صفحات مورد حمله واقع شده را مشاهده كرده است. كرم ضد Santy دو هفته پيش از كريسمس آشكار گشته و تا تاريخ 21 دسامبر در بيش از 40،000 وب سايت منتشر شده است.

روز 22 دسامبر، گوگل قسمت‌هاي آلوده شده توسط كرم را مسدود كرده تا بدين طريق از گسترش بيشتر اين كرم جلوگيري كند. اما چندين روز پس از اين اقدام گوگل، كاشف به عمل آمده است كه اين كرم مشغول استفاده از موتورهاي جست‌وجوي سايت‌هاي آمريكا آنلاين و ياهو است و همچنان گوگل را مورد هدف قرار داده است.


Symantec نقايص بسيار خطرناك را patch مي‌كند

شركت Symantec برنامه‌هايي را براي بر طرف ساختن سه حفره‌ي امنيتي بسيار خطرناك در ابزارهاي ديوار آتش Nexland خود ارايه داده است.


اين نقص‌هاي يافت شده مي‌توانند كاربران را در معرض خطر دست كاري شدن داده‌ها و حملات باز دارنده‌ي سرويس قرار دهند. Secunia اين آسيب پذيري‌ها را از نظر ميزان خطرناك بودن، در دسته‌ي آسيب پذيري‌هاي بسيار خطرناك قرار داده است.

Symantec اين مطلب را تأييد كرده است كه آسيب پذيري‌هاي ياد شده، در مدل‌هاي Symantec Firewall/VPN Appliance 100، 200 و 200R شناسايي گشته است. Symantec Gateway Security 320، 360 و 360R تنها در برابر دو مورد از نقايص يافت شده، آسيب پذير هستند.

تمامي اين آسيب پذيري‌ها از راه دور قابل به كار گيري بوده و مي‌توانند به حمله كنندگان امكان دهند تا حملات باز دارنده‌ي سرويس را در مقابل ابزارهاي ديوار آتش به كار گيرند، سرويس‌هاي فعال در رابط WAN را شناسايي كرده و از يكي از اين سرويس‌ها براي جمع آوري و تغيير و دگرگوني پيكربندي ديوار آتش استفاده كنند.

اين حفره‌هاي امنيتي كه توسط شركت خدمات امنيتي و مشاوره‌ايRigel Kent (Rigel Kent Security & Advisory Services) كشف شده است، Nexland ISB SOHO، Pro100، Pro400، Pro800، Pro800turbo و ابزارهاي ديوار آتش Nexland WaveBase را نيز تحت تأثير قرار مي‌دهد.


مدل‌هاي 320، 360 و 360R از Symantec Gateway Security در مقابل حملات بازدارنده‌ي سرويس، آسيب پذير نيستند، اما مشخص شده است كه در برابر دو نقص موجود ديگر آسيب پذير هستند.

Symantec مشتريان را بر آن داشته است تا هرچه سريع‌تر به نرم‌افزارهاي ساخت شركت با عنوان 1.63 براي مدل‌هاي 100، 200 و 200R ابزار VPN و ديوار آتش Symantec ارتقا يابند.

اين شركت همچنين نرم‌افزار 16U را ابزارهاي ديوار آتش Nexland ارايه داده است. ابزارهاي اين ديوار آتش كه Symantec سال گذشته آن‌ها را كسب كرده، در شعب گوناگون شركت و دفاتر كاري خانگي مورد استفاده قرار مي‌گيرد

mehabbasi
05-01-2005, 17:42
"DownLoader.GK" گسترش يافته ترين نرم افزار مخرب سال ۲۰۰۴

شرکت توليدکننده نرم افزارهاى ضد ويروس "پاندا"، از ميان تمامى ويروسها و برنامه هاى مخرب منتشر شده در اينترنت در سال ۲۰۰۴ ، برنامه اسب تراواى "DownLoader.GK" را به عنوان گسترش يافته ترين نمونه سال برگزيد.

به گزارش بخش خبر تراشه از ايرنا، اين برنامه مخرب، رايانه کاربرانى را که از وب سايتهاى آلوده به "DownLoader.GK"ديدن ميکردند، مورد حمله قرار ميداده است .

"خاوير مرکان " سخنگوى شرکت "پاندا" اعلام کرد که اين شرکت يک نرم افزار ضد ويروس رايگان را در سايت اينترنتى خود ارائه کرده و از نتايج حاصل شده از استفاده همين نرم افزار توسط کاربران ، براى گزينش مخربترين ويروسهاى سال استفاده کرده است .

شرکت "پاندا" اعلام کرد ۱۴ درصد از کل گزارشهاى مربوط به شناسايى نرم افزارهاى مخرب صورت گرفته توسط محصولات اين شرکت در سال ۲۰۰۴، به اسب تراواى "DownLoader.GK" مربوط بوده است که اين ميزان ۲ برابر بيشتر از هر ويروس ديگرى در سال گذشته ميلادى است .

هنگامى که کاربران از وب سايتهاى آلوده به "دانلودر.جيکى" بازديد ميکنند، يک اپليکيشن از نوع "اکتيو.ايکس" روى رايانه آنها نصب ميشود و اين امر به نصب نرم افزارهاى مزاحم موسوم به "اسپايور" در همان رايانه منجر ميشود.

سال ۲۰۰۴ نخستين سالى است که يک نرم افزار اسب تراوا بر صدر فهرست نرم افزارهاى مخرب و ويروسهاى رايانه اى برگزيده سال اين شرکت جاى ميگيرد و به علاوه در فهرست ۱۰ موردى اين شرکت،۴مورد به نرم افزارهاى اسب تراوا مربوط ميشوند.

نرم افزارهاى اسب تراوا، به آن دسته از کدهاى مخرب گفته ميشود که برخلاف ويروسها و کرمهاى اينترنتى، به خودى خود تکثير نميشوند.

در زير فهرست ۱۰ ويروس و اسب تراوايى که از ديد مسوولان شرکت "پاندا" بيشترين مورد گزارش را داشته اند به همراه درصد گسترش هرکدام آورده شده است:

دانلودر.جيکى(Downloader.GK) معادل ۱۴ درصد

نت اسکاي.پى(Netsky.p) معادل 6.92 درصد

ساسر.اف تيپى(Sasser.ftp) معادل 4.97 درصد

گااوبات .جيييان "(Gaobot.gen) معادل 4.31 درصد

ام اچ تردير.جيييان (Mhtredir.gen) معادل 22.4 درصد

نت اسکاي.دى (Netsky.D) معادل 3.98 درصد

دانلودر.ال(Downloader.L) معادل 3.56 درصد

کيوهوست .جيييان (Qhost.gen) معادل 3.48 درصد

نت اسکاي.بى(Netsky.B) معادل 3.45 درصد

استارت پيج .اچ (StartPage.H) معادل 3.34 درصد

Soso
06-03-2006, 19:40
در این تاپیک فقط و فقط اخبار ویروس ها جدید داده میشود ! فکر کنم که تاپیک خوب و مفیدی باشه !

با 10 ویروس برتر ماه فوریه آشنا شوید

شرکت امنیتی sophos مطابق روال همه ماهه خود فهرست 10 ویروس برتر اینترنتی را که بیشترین مشکلات را در جهان مجازی ایجاد کرده‌اند، منتشر کرد.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران ، از خبرگزاری سلام، از مهمترین نکات فهرست جدید ظهور یک تروجان جدید موسوم به Clagger-G است که هم از طریق هرزنامه‌ها و هم با استفاده از ضعف‌های نرم‌افزاری منتقل می‌شود و با هدف سرعت کلمات عبور کاربران طراحی شده است.
ویروس Nyxem-D یا Kama satra هم از رتبه چهارم به رتبه دوم صعود کرده است، اما صدور فهرست کماکان در اختیار Netsky است.
بر طبق اعلام sophos هم‌اکنون از هر 90 email ارسال شده در جهان یکی ویروسی است.
فهرست 7 ویروس برتر فهرست sophos به شرح زیر است: Netsky-p با 9/13 درصد، Nyxem-D با 3/9 درصد، Bagle-zip با 8/8 درصد، zafi با 4/8 درصد، My tob-D با 0/6 درصد، My tob-EX با 7/3 درصد و Bagle-CH با 7/12 درصد.

Soso
06-03-2006, 19:43
با استفاده از يك نرم افزار جديد، كشف ويروس‌هاي رايانه‌يي ناشناخته امكان پذير مي‌شود

تام ليزموس، دانشجوي مقطع دكتري الكترونيك و كامپيوتر، اولين كسي است در جهان كه نرم افزاراي را طراحي كرده است كه قادر است حملات ويروس رايانه‌يي ناشناس را كشف كند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ایسنا، تام ليزموس مي‌گويد: مشكل اصلي نرم افزارهاي ضد ويروسي فعلي اين است كه نرم افزار‌ها از رايانه تنها در برابر ويروس‌هاي شناخته شده حمايت مي‌كنند و درمقابل ويروس‌هاي ناشناس كاري از پيش نخواهند برد.

تعداد قابل ملاحظه‌اي ويروس رايانه‌يي وجود دارد، بعضي از اين ويروس‌ها براي فعال شدن و آلوده ساختن سيستم، نيازمند دخالت و لمس خود از سوي كاربر هستند، مانند آن دسته از هرزنامه‌هايي كه از طريق پست الكتروني ارسال مي‌شوند لازمه‌ي شروع حمله‌ي آن‌ها باز كردن پست الكترونيك از سوي كاربر است.

ويروس‌هاي ديگري هستند كه موزيانه‌تر عمل مي‌كنند و بدون آن كه كاربر متوجه يك اشتباه كوچك خود شود، به نرم افزار‌ها حمله كرده و كنترل رايانه را در اختيار خود مي‌گيرد، براي مثال تمامي‌document‌ها را حذف مي‌كند.

وي مي‌گويد: دليل اين كه چگونه چنين حملات مخربي به راحتي كاربران را تحت الشعاع قرار مي‌دهد اين است كه بسياري از برنامه‌هاي رايانه‌يي به صورت نادرست برنامه نويسي شده است و رايج ترين اشتباه برنامه نويسي به Buffer Orerflow معروف است .

اين اشكالات برنامه نويسي از سوي برنامه نويسان نرم افزار‌هاي آنتي ويروس نيز تكرار مي‌شود، اما چنين اشتباهات برنامه نويسي در ميان تمام برنامه نويساني كه در C يكي از رايج ترين زبان‌هاي برنامه نويسي، مي‌نويسند متداول است .

گشايشگر وب اينترنت الكسپلورر نمونه‌ي يكي از اين موارد است، اشتباهات برنامه نويسي در سيستم IP-technology شركت Skype و نرم افزار پايگاه د اده‌هاي مايكروسافت، موسوم به سرور SQL، به خوبي مشهود است .

وي مي‌گويد: برنامه‌هاي رايانه‌يي در سال 2003 داراي مشكلات فراواني بودند و اشتباهات فاحشي در آن‌ها به چشم مي‌خورد .

در آن زمان بود كه ويروس‌ها به طور خودكار كنترل سرورهاي پايگاه داده‌هاي بسياري از رايانه‌ها را در دست گرفتند .

سرعت زياد رايانه‌ها باعث شد تا ويروس‌ها اين فرصت را داشته باشند تا با سرعت زيادي منتشر شوند .

اگرچه ويروس‌ها آن چنان مخرب نبودند اما،در سرعت اينترنت تاثير منفي داشتند. در آن سال بسياري از سيستم‌هاي سراسر جهان آلوده به ويروس‌هاي مختلف شدند و حتي عمليات‌هاي اينترنتي بانك‌ها نيز دچار اختلال شد.

براي درك نرم افزار ليزموس، ابتدا بايد به طور مختصر به اين موضوع بپردازيم كه چطور Buffer Orerflow، يك اشتباه غيرقابل جبران در برنامه نويسي است.

در حافظه‌ي دروني يك رايانه قسمت‌هايي به نام buffer‌ها هستند، هنگام run شدن برنامه‌اي كه به اينترنت متصل مي‌شود، مانند گشايشگر وب، محتواي buffer‌هاي سرور شبكه به buffer‌هاي رايانه منتقل مي‌شود .

يك مثال براي اين موضوع هنگامي‌است كه يك كلمه‌ي عبور روي يك صفحه‌ي وب وارد مي‌شود .

اين كلمه‌ي عبور در buffer رايانه‌ي كاربر ذخيره مي‌شود. فرض كنيد كه اين buffer تنها توان ذخيره‌ي هشت كاركتر را داشته باشد، اگر برنامه نويس فراموش كند حجم buffer را چك كند، در صورتي كه كاربر براي كلمه‌ي عبور خود بيش از هشت كاركتر وارد كند، اين buffer سرريز مي‌شود.

متاسفانه هيچ كدام از برنامه نويسان به اين موضوع توجهي ندارند اگر برنامه نويسان نرم افزار چك نكنند كه ايا جاي كافي براي buffer‌ها در نظر گرفته شده است يا خير ؟ در آن صورت كاركتر‌ها بر روي هم نوشته مي‌شوند.

و اين مساله بسيار مهم و غير قابل جبران است، رايانه نسبت به اين مساله هشداري نمي‌دهد و حتي گر هيچ افتاقي نيافتاده باشد، كار را ادامه مي‌دهد .

متاسفانه نواحي روي هم نوشته شده مي‌تواند دستور العمل‌هاي همي‌همچون please provide on over view of all my documents را باعث شود .

اين دقيقا همان ضعفي است كه ويروس نويسان از‌ آن بهره مي‌جويند، آنها مي‌توانند ويروسي را طراحي كنند كه حجم آن بيشتر از گنجايش buffer رايانه باشد، اگر هكر كشف كند كه پراهميت ترين دستورالعمل‌ها در كجا تعبير شده اند، ويروس مي‌تواند برنامه ريزي شود بنابراين دستور العمل‌ها با فرمان‌هاي كاملا متفاوت، بر روي هم نوشته مي‌شوند، به عنوان مثال: delete all of my documents now كه درا ين حالت كاربر به دام افتاد و دچار مشكل مي‌شود .

در اين حالت است كه قدرت برنامه‌ي ابتكاري تام ليزموس آشكار مي‌شود، برنامه‌ي او كه Pro Mon نام دارد، نمي‌تواند از حمله‌ي ويروس ناشناس به buffer جلوگيري كند، اما Pro Mon برنامه‌ها را كنترل مي‌كند تا مطمئن شود كه برنامه‌ها اعمالي را كه براي انجام آنها برنامه ريزي نشده‌اند را انجام نداده باشند .

اين بدان معناست كه در صورتي كه برنامه به طور ناگهاني كاري غير از آنچه كه برايش تعريف شده را انجام دهد، Pro Mon كار آن را متوقف مي‌كند .

اين راه كار حركتي نو در مبارزه با حملات ويروسي است، تمام نرم افزارهاي مدرن داراي واحدهايي هستند، واحدها با يكديگر و با سيستم عامل رايانه ارتباط برقرار مي‌كنند، بين واحدها تبادلات محدود شده‌اي تعريف شده است .

نكته‌ي قابل توجه اين است كه Per Mon در برنامه ايي مانند گشايشگر وب اينترنت اكسپلورر كنترل كننده‌ي تبادلات ميان واحدها است. مادامي‌كه برنامه، تبادلات ميان واحدهايشان به صورت صحيح انجام دهند، Per Mon عكس العملي از خود نشان نمي‌دهد، اما اگر يك تبادل غير معمول رخ دهد، Per Mon با فرض اين كه ويروسي حمله كرده است، برنامه را متوقف مي‌كند.

تام ليزموس تاكيد كرد كه نرم افزارش مي‌تواند هر برنامه را كنترل كند.البته‌ي برنامه‌هاي مشابه ديگري نيز در بازار موجود است اما آزمايشاتي كه تام ليزموس انجام داده نشان مي‌دهد كه برنامه‌ي او 30 برابر سريعتر از برنامه‌ي رقيب وي يعني "موسسه فناوري ماساچوست " است .

Soso
06-03-2006, 19:44
طراحي كندوهاي عسل براي جذب ويروس‌‏ها

محققان اميدوارند با طراحي شبكه‌‏هاي جذب ويروس از گسترش كدهاي مخرب در شبكه جلوگيري كند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا، محققان در تل‌‏آويو ، روش جديدي را براي رهايي از ويروس‌‏هاي اينترنتي با استفاده از يك شبكه از سيستم‌‏هاي خودكار پاك سازي ويروس ابداع كرده‌‏اند.
اين طرح برپايه يك شبكه معروف به كندوهاي عسل استوار است كه مشابهه رايانه‌‏هاي وصله نشده طراحي شده‌‏اند.
اين رايانه‌‏ها ويروس‌‏ها را جذب مي‌‏كنند و با ثبت فايل مشخصات ويروس بلافاصله ضد آن را در شبكه پخش مي‌‏كنند، ديگر رايانه‌‏هاي موجود در شبكه نيز به طور خودكار فعال مي شوند و به طور هم‌‏زمان اقدامات مقابله‌‏اي را آغاز مي‌‏كنند.
به گفته محققان ؛ هزينه ايجاد اين شبكه‌‏ها پايين است و به راحتي مي‌‏توان با گسترش شبكه كارآيي آن را تا حد زيادي بالا ببرد.
بنابر ادعاي اين محققان ؛ ضدويروس ارايه شده از سوي سيستم‌‏هاي معروف به كندوي عسل ، سريع‌‏تر از خود ويروس پخش مي‌‏شود.

Soso
08-03-2006, 20:23
درخواستی استیکی شدن تاپیک !!!

يك زوج اسرائيلي به دليل انتشار كرم اينترنتي دستگير شدند

يك زوج اسرائيلي به جرم ايجاد و انتشار اسب هاي تروا در اينترنت به زندان افتادند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از خبرگزاری موج ، اين دو نفر با ساخت اين كرم ها اقدام به جاسوسي از رايانه هاي كاربران مي كردند .
شوهر اين زن به جرم ساخت اين كرم رايانه اي و همسرش به جرم شراكت در اين عمل هر دو به زندان افتاده اند .
گفتني است اين كرم از سال 2004 تا كنون به جاسوسي در رايانه هاي كاربران مشغول بوده است .

Soso
14-03-2006, 23:34
ويروس كش مك آفي اكسل را كشت

برنامه ضد ويروس مك آفي كه از آن به عنوان يكي از قوي‌‏ترين برنامه‌‏هاي شناسايي ويروس نام برده مي‌‏شود در اشتباهي نادر روز جمعه براي مدت كوتاهي دو فايل معروف برنامه Microsoft Office يعني Excel.exe و Graph.exe را به عنوان ويروس شناسايي نمود.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا، ديگر فايل معروفي كه به اشتباه شناسايي شد ، فايل Adobe Update Manager.exe بود كه براي به روز كردن برنامه Adobe به كار مي‌‏رود .

اشتباه در برنامه‌‏نويسي برنامه و شناسايي ويروس W95/ctx به همراه فايل‌‏هاي مذكور دليل اصلي خطا در برنامه ذكر شده است.
چنين اشتباهاتي در برنامه‌‏هاي امنيتي اصطلاحا False Positive ناميده مي‌‏شود كه غيرقابل اجتناب است ، در سه ماه گذشته اين اولين خطا از اين دست در برنامه‌‏هاي مك آفي است.

hesam
17-03-2006, 13:06
با استفاده از يك ويروس جديد؛
هكرها حركت‌هاي موس را شناسايي مي‌كنند
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات


هكرهاي سيستم‌هاي كامپيوتري با استفاده از يك ويروس جديد توانسته‌اند شيوه‌ي جديدي را براي ضبط حركت‌هاي "موس" پيدا كنند.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، هكرها تاكنون هزاران ويروس طراحي كرده‌اند كه اطلاعات كاربران مانند رمزورودي حساب‌هاي بانكي را هنگام وصل به شبكه‌ها شناسايي مي‌كنند.

اما تا به امروز چنين ويروس‌هايي قادر نبودند تا حركت موس را هنگام كار با سيستم‌ها شناسايي كنند. به كمك اين ويروس كه مدل جديدي از PWsteal.Bancon است، حركت‌هاي موس رديابي و شناسايي مي‌شوند و از صفحه وب حساب بانكي كاربر عكس گرفته مي‌شود و رمز ورودي و ديگر اطلاعات مهم نيز جمع‌آوري مي‌شوند.

اين ويروس براي هدف قرار دادن بانك‌هايي طراحي شده است كه از صفحه‌كليد براي ارتقا امنيت هنگام وصل شدن به حساب‌ها استفاده مي‌كنند. گفتني است، برنامه‌هاي آنتي ويروس متعددي براي مقابله با اين ويروس در حال طراحي است.

انتهاي

Soso
28-03-2006, 20:39
کشف دو اسب تراجان جدیدی که پسوردها و اطلاعات بانکی را سرقت می کنند

محققان موفق به کشف دو اسب تراجان جدید با ویژگی های مشخص شدندکه یکی از آنها پسوردهای یک بار مصرف را سرقت می کند و دیگری در قالب نرم افزار Rootkt مخفی می شود.

به گزارش بخش خبر شبکه [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]، شرکت های امنیتی این هفته موفق به کشف برنامه های مخربی شدند که به احتمال زیاد هکرها آنها را تولید کرده اند. این برنامه های مخرب شبیه یک نرم افزار بی ضرر عمل می کنند.
این هفته بانک های انگلیس، آلمان و اسپانیا هدف اسب تراجان Metafisher یا Spy-Agent و PWS قرار گرفتند. این اسب های تراجان بعد از آلوده کردن کامپیوتر منتظر می مانند تا کاربر از یک وب سایت قانونی بازدید کنند بعد از بازدید از وب سایت ،اسب تراجان کدهای HTML مخرب را وارد فیلدهای مخصوص می کند. و زمانیکه کاربر شماره معاملات و PIN های یک بار مصرف خود را وارد می کند اسب تراجان آن را سرقت می کند.
در نتیجه PIN های یک بار مصرف و شماره معاملات هرگز در وب سایت ثبت نمی شوند و همچنان معتبر باقی می مانند. مهاجمان احتمالا قصد دارند یا خود از این اطلاعات استفاده کنند و یا آنها را به دیگران بفروشند.
به گفته شرکت امنیتی سمانتیک مهاجمان با بهره برداری از نقص Windows Metafile نرم افزار اینترنت اکسپلورر سعی می کنند تا اسب های تراجان را جاسازی کنند. قربانی حتما باید از یک وب سایت جعلی بازدید کند تا سیستمش آلوده شود و مهاجمان نیز باید از ایمیل استفاده کنند تا کاربر را به این وب سایت ها راهنمایی کنند.

ashkanbuffon
17-04-2006, 08:28
هنوز چند روزی از کشف و شناسایی اولین ویروس اختصاصی (ویروس Leap ) برای سیستم عامل شرکت Apple (Mac OS X) نگذشته بود که ویروس دوم با نام Inqtana ظهور کرد. این ویروس از یک نقطه ی ضعف قدیمی در فناوری Bluetooth سیستم عامل Mac OS X برای انتشار خود استفاده می کند. نقطه ی ضعف مورد نظر بیش از هشت ماه قبل بوسیله ی شرکت Apple توسط اصلاحیه ای ترمیم شده است. ویورس Inqtana به محض آلوده ساختن یک کامپیوتر، بدنبال تجهیزاتی که از فناوری Bluetooth استفاده می کند، گشته و در صورت یافتن، خود را به تجهیزات ارسال می کند. گرچه ویروس Inqtana تنها یک نمونه ویروس آزمایشگاهی است و خطری از این بابت کاربران را تهدید نمی کند ولی می تواند هشداری باشد به افرادی که سیستم Mac را بجای سیستم عامل ویندوز انتخاب کرده اند به تصور اینکه خطری سیستم عامل را تهدید نمی کند و ویروس ها و دیگر برنامه های مخرب فقط برای ویندوز هستند.
منبع: ماهنامه ی رایانه خبر- شماره ی 21- اسفند 84

mska
17-04-2006, 19:24
گزارشهاي بدست آمده از سوي ويتنام حاكي از آن است ، نويسنده ويروس pretty girl دختر زيبا توسط شركت هاي امنيتي شناسايي شده است.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از خبرگزاری موج، در هفته جاري سازنده ويروس دختر زيبا، شناسايي شده است وي يك دختر 21 ساله ويتنامي مي باشد.اين ويروس به عنوان ويروسي كه با سرعت بسيار بالا انتشار مي يابد شناخته شده است.اين ويروس تا كنون 20 هزار رايانه شخصي را مورد حمله قرار داده است.
مسئولين امنيتي از اينكه نام اين دختر را به عموم اعلام كنند ابراز ناراضايتي كردند و هنوز از اينكه آيا وي بايد دستگير شود و چه جريمه اي داشته باشد ،مطمئن نيستند.اما مسئولين اعلام داشتند در صورتي كه ميزان خسارات وارده را بررسي كنند وي بايد به 7 سال حبس محكوم شود و نيز بايد مبلغ 100 ميليون دانگ ويتنامي (6 هزار و 300 دلار ) جريمه بپردازد.رييس سازمان جرايم رايانه اي اعلام داشت: اين اولين باريست كه ويروسي از سوي كاربران ويتنامي منتشر شده است.در صورتي كه جرم اين دختر ثابت شود وي ملزم به پرداخت جريمه خواهد بود و يا به حبس محكوم مي شود.در طول يك هفته ويروس pretty girl تقريبا 20 هزار رايانه شخصي را مورد حمله قرار داده است و براي اولين بار از سوي يك كاربر ياهو مسنجر منتشر شده است.

Soso
21-04-2006, 23:32
ده ويروس مخرب ماه آوریل معرفي شدند

zifi.B - اين ويروس را به‌عنوان مخرب‌ترين ويروس ماه مطرح ساخته است.
- Netsky-P با ‌٣/١٥ درصد

‌٣- Nyxem-D با ‌٩/٧ درصد

‌٤- NyDoom-AJ با ‌١/٤ درصد

‌٥- Mytob-EX با ‌٦/٣ درصد

‌٦- Clagger با ‌٤/٣ درصد

‌٧- Mytob-BE با ‌١/٣ درصد

‌٨- Netsky-D با سه درصد

‌٩- Mytob-FO با سه درصد

‌١٠- Mytob-z با ‌٨/٢ درصد

Soso
24-04-2006, 21:00
كاربران اينترنتي مواظب برنامه‌هاي جاسوسي جديد تروجان باشيد

بر اساس گزارش‌هاي اعلام شده اخيرا شركت‌هاي امنيتي از برنامه‌هاي جاسوسي تروجان خطرناك كه كاربران اينترنتي را تهديد مي‌كنند خبر دادند.

بر اساس گزارش سايت ايتاليايي ‪ ،kataweb‬اين برنامه‌هاي جاسوسي توانايي تحت نظر داشتن تمام فعاليت‌هاي اينترنتي كاربران را دارند.

بر اين اساس كارشناسان امنيتي اعلام كردند: كرم‌هاي رايانه‌اي جديدي با نام ‪ Win32/inject-h‬و ‪ Trojan.win32‬سيستم‌هاي كاربران اينترنتي را تهديد مي‌كند.

اين نوع كرم‌ها اطلاعات موجود در اين سيستم آلوده را منتشر مي‌كند و علاوه بر اين امر نقش برنامه‌هاي جاسوسي را نيز ايفا مي‌كند.

اين نوع كرم‌هاي خطرناك توانايي تحت كنترل درآوردن تمام فايل‌هاي موجود در هاردديسك رايانه كاربران را دارند.

نحوه فعاليت اين برنامه‌هاي جاسوسي بدين صورت است كه ابتدا يك كپي از خود را در پوشه اشتراكي سيستم‌هاي محلي قرار مي‌دهد بدين ترتيب ساير مشتركان از شبكه محلي نيز ناخواسته گرفتار اين كرم مخرب مي‌شوند.

اين كرم‌هاي رايانه‌اي جديد براي كاربراني كه به فعاليت‌هاي تجاري از طريق اينترنت مي‌پردازند خسارات جبران ناپذيري را وارد مي‌كند.

كارشناسان امنيتي سرعت انتشار اين كرم رايانه‌اي خطرناك را بسيار بالا دانستند.

سرعت پخش بالاي اين كرم خطرناك سبب شده تا فعاليت كارشناسان امنيتي را در زمينه برخورد و جلوگيري از عدم انتشار آن در رايانه‌هاي كاربران سخت تر كند.

اين كارشناسان از كاربران خواستند تا رايانه‌هاي خود را به نرم افزارهاي انتي ويروس مجهز كنند و از باز كردن ايميل‌هاي ناشناس پرهيز كنند.

mtakami
11-05-2006, 14:24
ویروسی که فولدر می سازه رو چطور میشه از بین بردش ؟

Renjer Babi
16-05-2006, 08:54
ممنون خیلی جالب بود

rahim206
26-05-2006, 14:32
يه ويروس افتاده تو كامژيوترم كه فولدر اپشن رو از بين برده وفايلهاي هيدنم از بين رفته ونشون نميده
با كاپسركاي هم ويروسكشي كردم ولي اين فولدر اپشن گم شده چيكارش كنم

anahita2002_anahita2002
02-06-2006, 01:42
کارشناسان امنیتی , نخستين ويروس رايانه‌اي كه مجموعه برنامه‌هاي "استارآفيس StarOffice‬))"را هدف قرار مي‌دهد شناسايي کردند.



به گزارش ICTIr.NET از ایرنا پژوهشگران شرکت ضد ویروس "كاسپرسكي" اعلام کرده اند که این ویروس را از نوع "macro virus" شناسای کرده اند و نگارنده اين ويروس قصد آسيب رساندن به رايانه‌ها و ربودن اطلاعات كاربران را نداشته و تنها خواهان اثبات آسيب‌پذير بودن نرم افزارهای "استارآفيس" بوده است.

مجموعه نرم‌افزاري "استار آفيس" يكي از مهمترين رقباي مجموعه‌نرم‌افزاري "آفيس" شركت مايكروسافت است كه توسط شركت "سان‌مايكروسيستمز" توليده شده‌است. اين مجموعه داراي يك نرم‌افزار از نوع "صفحه گسترده" نظير نرم‌افزار "اكسل" و يك نرم‌افزار واژه‌پرداز نظير نرم‌افزار "وورد" است كه قادرند فايل‌هاي نرم‌افزارهاي "اكسل" و "وورد" را نيز اجرا و يا ويرايش كنند.

ويروس جديد كه "استارداست"Starsust‬نام گرفته از ويژگي "ماكرو"ها براي اجراي خود استفاده مي‌كند. "ماكرو" به قابليتي براي اجراي خودكار برخي فعاليتها درون نرم‌افزارهايي كاربردي نظير "وورد" و "اكسل" گفته مي‌شود.

چنانچه يك كاربر فايل آلوده به ويروس "استارداست" را باز كند، تمامي فايل‌هاي نرم‌افزار واژه‌پرداز مجموعه "استارآفيس" با پسوند swx‬ و همچنين تمامي فايل‌هاي نرم‌افزار صفحه گسترده اين مجموعه با پسوند ‪ stw‬به همين ويروس آلوده مي‌شوند
سپس هنگامي كه كاربر هركدام از اين فايلهاي آلوده شده را باز كند، تصاوير غيراخلاقي كه از سرور ‪ tripod.com‬ دريافت شده‌اند، در صفحه نمايش رايانه كاربر ظاهر مي‌شوند.

كارشناسان عقيده دارند هرچند ويروس "استارداست" خطر جدي براي كاربران محسوب نشده و تنها اثباتي براي آسيب پذير بودن مجموعه "استارآفيس" است، اما هكرها مي‌توانند با تقويت كد اين ويروس، آن را به يك برنامه مخرب و خطرناك تبديل كنند كه كاربران نرم‌افزارهاي داراي كد باز را تهديد خواهد كرد.

Cracki
02-06-2006, 04:01
این خبر منتقل میشه به قسمت خبرها .


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Monica
02-06-2006, 08:47
اسب تروای جدیدی كشف شده است كه كنترل كامپیوترهای آلوده را در شبكه های پیرتوپیر كه از file-sharing استفاده می كنند، به دست می گیرد. اسب تروای Erazer-A فولدرهای پیش فرضی را كه برای دریافت فایل های ام پی تری، ای وی آی، ام پگ، دبلیو ام وی، گیف، گرافیك و زیپ و فایل های ویدئو مورد استفاده قرار می گیرند، هدف قرار داده و اطلاعات موجود در آنها را پاك می كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این فرض بر این اساس است كه این اسب تروا، تنها انواع معینی فایل را در دایركتوری های مخصوص دریافت فایل های ذكرشده توسط برنامه های پیرتوپیر پاك كرده(یكی از منابع اصلی و غیرتعمدی سرایت نرم افزار مضر) و تلاش می كند تا از فایل های آلوده محافظت نماید. همچنین برنامه كوشش می كند تا برای محافظت از خود و سایر برنامه های مخرب، برنامه های امنیتی را متوقف سازد. این اقدام نیز به منظور سرقت اطلاعات ظاهر می شود.
سوفوس كه نخستین بار این خبر را بین مشتریانش منتشر كرد، این اسب تروا را Vigilante عنوان داد و آن را در انواع بی نهایت كمیاب و مضری طبقه بندی كرد كه می تواند اثرات مخربی داشته باشد. گراهام كلولی از سوفوس درباره این تروجان گفت كه تروجان Erazer قابل مقایسه با یكی از فیلم های چارلز برانسون است كه قانون را در دستان خود می گیرد.
با این حال چنین كاری كاملا برای این اسب تروا ممكن می باشد تا ارزیابی ضعیف فایل های بی ضرر را پاك نماید. كلولی گفت: «فكر نمی كنم این اسب تروا با حسن نیت نوشته شده باشد، چون تلاش می كند امنیت را متوقف سازد.»

magmagf
03-06-2006, 20:17
ايالات متحده‌ي آمريكا همچنان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود
در حال حاضر قاره‌ي آسيا بيش از هر قاره ديگري در جهان، توليد اسپم مي‌كند، اين در حالي است كه تا دو سال پيش، آمريكا به تنهايي نيمي‌ از اسپم‌هاي رايانه‌يي را به جهان ارسال مي‌كرد.

به گزارش آژانس خبری پرشین هک، براساس اين گزارش، كشورهاي آسيايي از ميان ‌12 كشور بزرگ توليدكننده‌ي اسپم در سه ماهه‌ي نخست سال ‌2006، منشاء ‌8/42 درصد از اسپم‌هاي جهان هستند، در حالي كه سهم آمريكاي شمالي ‌6/25 درصد و سهم اروپايي‌ها ‌25 درصد اعلام شده است.

اگرچه ايالات متحده‌ي آمريكا اكنون سهم ‌50 درصدي خود از نظر اسپم‌ها را به يك‌چهارم كاهش داده است، اما باز هم اين كشور به عنوان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود. بر اساس گزارش شركت امنيتي سوفوس، چين نيز با سرعت قابل توجهي براي كسب عنوان نخست در حال تعقيب آمريكا است و اين درحاليست كه آمريكايي‌ها با اتخاذ سياست‌هاي مناسب سعي در كاهش ميزان توليد اسپم دارند كه در اين زمينه موفق نيز بوده‌اند. دكتر جان هروسكا - از بنيانگذاران شركت سوفوس - گفت: اسپم ابزاري براي بازاريابي است و به دليل رشد اقتصادي آسيا، سرچشمه‌ي تعداد بيشتري از اسپم‌ها در اين قاره است. همچنين گراهام كلولي - مدير ارشد مشاوره‌ي فناوري سوفوس - اشاره كرد كه روزانه ويروس‌ها، وورم‌ها و اسب‌هاي تروجان جديدي طراحي مي‌شوند تا به كاربران بي‌گناه اينترنت حمله كرده و اطلاعات آن‌ها سرقت كنند، كاهش توليد اسپم در آمريكا نشان مي‌دهد كه آمريكايي‌ها بيش از قبل هشيار شده‌اند و به اهميت حفظ رايانه‌هاي خود در برابر حملات مرموز هكرها، پي برده‌اند.

وي افزود: آمار نشان مي‌دهد كه در حال حاضر از هر ‌40 پست الكترونيك ارسالي در سراسر جهان، يكي آلوده به ويروس است و ‌50 درصد از كل پست‌هاي الكترونيك اسپم هستند، در حقيقت اينترنت تبديل به يك شبكه‌ي آلوده شده است. گراهام در ادامه گفت: اگر كاربر با رايانه‌هايي كه به ويندوز xp مجهز است،‌ بدون هيچ نرم‌افزار يا بسته‌ي امنيتي، به اينترنت وصل شود و هيچ فعاليتي در اينترنت انجام ندهد، به احتمال ‌94 درصد، ظرف مدت ‌60 دقيقه و به احتمال ‌40 درصد، ظرف مدت ‌10 دقيقه آلوده خواهد شد. بازار اسپمرها، اكنون به سه ميليارد دلار رسيده است، با اين پول آن‌ها مي‌توانند فارغ از راهكارهاي آماتور، با ويروس‌ها و كدهاي مخرب حرفه‌يي تري، به كاربران حمله‌ور شوند.

هروسكا همچنين به كاربران رايانه پيشنهاد مي‌كند كه براي حفظ امنيت سيستم‌هاي خود در برابر حملات هكرها، حداقل سه عمل زير را به خوبي انجام دهند؛ مطمئن شوند كه نرم‌افزارهاي جديدي كه استفاده مي‌كنند، براي سيستم عامل به روز شده‌اند. حتما از يك فايروال استفاده كنند و از نرم‌افزار ضد ويروس و ضد اسپم استفاده كنند.

magmagf
03-06-2006, 20:19
دبير نظام صنفي رايانه‌يي خراسان رضوي: استفاده از پسوندهاي ايراني باعث امنيت بيشتر كاربران مي‌شود
دبير سازمان نظام صنفي رايانه‌يي خراسان رضوي تاکيد کرد: استفاده از پسوندهاي ايراني باعث امنيت بيشتر کاربران در استفاده از سايت‌هاي اينترنتي مي‌شود.

به گزارش آژانس خبری پرشین هک از ایسنا محمود بنانژاد در گفت‌وگو با خبرنگار سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، درباره‌ي استفاده از پسوندهاي ir، گفت: اين پسوندها به اين علت كه در داخل ايران ثبت مي‌شوند، امكان دخل و تصرف ميزبانان وب در آن‌ها وجود ندارد و مشخص مي‌كند كه سايت ايراني است.

وي افزود: پسوندهاي ir، بيشتر در سازمان‌هاي دولتي مورد استفاده قرار مي‌گيرند، اما بسياري از شركت‌هاي خصوصي هم با توجه به اين که پسوندهاي ديگري كه مي‌خواهند از آن‌ها استفاده كنند، در كشورهاي ديگر ثبت شده، از اين پسوند استفاده مي‌كنند. بنانژاد، با بيان اين كه استفاده از اين پسوندها در آمار دستيابي كاربران به سايت تاثيري ندارد، گفت: استفاده از اين پسوندها در دستيابي موتورهاي جست‌وجو به آن‌ها تاثير منفي خواهد گذاشت؛ چرا كه اين پسوند به صورت منطقه‌يي تعريف مي‌شود. وي در ادامه گفت: با استفاده از پسوندهاي داخلي، ميزباني وب در ايران و ايجاد ديتا سنترهاي داخلي، امنيت اطلاعات بيشتر شده و وابستگي اينترنتي به شركت‌هاي فناوري اطلاعات در خارج از كشور كمتر مي‌شود.

'POP'
06-06-2006, 08:02
کرم Netsky-P .که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد

شرکت امنيتي Sophos مطابق روال همه ماهه خود فهرستي از مخرب ترين ويروس هاي اينترنتي مي سال 2006 را منتشر نمود.

بر طبق اين گزارش کرم Netsky-P که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد. اين بدافزار از طريق ضمائم نامه هاي الکترونيک منتقل مي شود. علاوه بر اين نسخه هاي مختلف کرم Mytob هم در اين فهرست وجود دارند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

گزارش تازه Sophos نشان مي دهد که در ماه مي 1538 تهديد رايانه اي جديد شناسايي شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم يا ويروس بوده اند. فهرست ده تهديد ويروسي برتر ماه مي از ديد Sophos به شرح زير است:

• 1 W32/Netsky-P 16.7%

• 2 W32/Zafi-B 11.4%

• 3 W32/Nyxem-D 7.5%

• 4 W32/Mytob-AS 6.3%

• 5 W32/Mytob-P 5.3%

• 5 W32/Mytob-M 5.3%

• 7 W32/Netsky-D 3.7%

• 8 W32/MyDoom-O 3.6%

• 9 W32/Mytob-FO 2.9%

• 10 W32/Mytob-C 2.1%
;)
hamvatansalam.com

Monica
11-06-2006, 18:41
نخستین ویروس رایانه ای كه مجموعه برنامه های كاربردی استارآفیس را هدف قرار می دهد شناسایی شد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
كارشناسان كاسپرسكی اعلام كردند نگارنده این ویروس احتمالا قصد آسیب رساندن به رایانه ها و ربودن اطلاعات كاربران را نداشته و تنها خواهان اثبات آسیب پذیر بودن مجموعه استارآفیس بوده است.
مجموعه نرم افزاری استارآفیس یكی از مهمترین رقبای مجموعه نرم افزاری مایكروسافت آفیس است كه توسط سان مایكروسیستمز تولیده شده است.
این مجموعه دارای یك نرم افزار از نوع صفحه گسترده نظیر اكسل و یك نرم افزار واژه پرداز نظیر ورد است كه قادرند فایل های اكسل و ورد را نیز اجرا و یا ویرایش كنند.
ویروس جدید كه استارداست نام گرفته از ویژگی ماكروها برای اجرای خود استفاده می كند. ماكرو به قابلیتی برای اجرای خودكار برخی فعالیتها درون نرم افزارهایی كاربردی نظیر ورد و اكسل گفته می شود.
چنانچه یك كاربر فایل آلوده به ویروس استارداست را باز كند، تمامی فایل های نرم افزار واژه پرداز مجموعه استارآفیس با پسوند swx و همچنین تمامی فایل های نرم افزار صفحه گسترده این مجموعه با پسوندی stw به همین ویروس آلوده می شوند.
سپس هنگامی كه كاربر هركدام از این فایلهای آلوده شده را باز كند، تصاویر غیراخلاقی در صفحه نمایش رایانه كاربر ظاهر می شوند.
كارشناسان عقیده دارند هرچند ویروس استارداست خطر جدی برای كاربران محسوب نشده و تنها اثباتی برای آسیب پذیر بودن مجموعه استارآفیس است، اما هكرها می توانند با تقویت كد این ویروس، آن را به یك برنامه مخرب و خطرناك برای كامپیوتر ها تبدیل كنند كه كاربران نرم افزارها و سیستم عامل های دارای كد باز را تهدید خواهد كرد.

M.B.M
13-06-2006, 20:59
مخرب ترين ويروس هاي ماه مي معرفي شدند

شرکت امنيتي Sophos مطابق روال همه ماهه خود فهرستي از مخرب ترين ويروس هاي اينترنتي مي سال 2006 را منتشر نمود. بر طبق اين گزارش کرم Netsky-P که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد. اين بدافزار از طريق ضمائم نامه هاي الکترونيک منتقل مي شود. علاوه بر اين نسخه هاي مختلف کرم Mytob هم در اين فهرست وجود دارند. گزارش تازه Sophos نشان مي دهد که در ماه مي 1538 تهديد رايانه اي جديد شناسايي شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم يا ويروس بوده اند. فهرست ده تهديد ويروسي برتر ماه مي از ديد Sophos به شرح زير است:

W32/Netsky-P 16.7%

W32/Zafi-B 11.4%

W32/Nyxem-D 7.5%

W32/Mytob-AS 6.3%

W32/Mytob-P 5.3%

W32/Mytob-M 5.3%

W32/Netsky-D 3.7%

W32/MyDoom-O 3.6%

W32/Mytob-FO 2.9%

W32/Mytob-C 2.1%

Monica
14-06-2006, 14:29
خدمات ایمیل "یاهو" هدف حمله یك ویروس اینترنتی جدید به نام "یامنر" (‪ (Yamanner‬قرار گرفته‌است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به گزارش خبرگزاری رویترز، خدمات ایمیل شركت "یاهو" در حال حاضر با ارائه بیش از ‪ ۲۰۰‬میلیون صندوق پست الكترونیك، پركاربرترین خدمات ایمیل در اینترنت است و به گفته مقامات "یاهو"، هم‌اكنون بخش كوچكی از كاربران این خدمات در معرض حمله ویروس جدید قرار گرفته‌اند. ایمیل حاوی ویروس "یامنر" با موضوع "‪ "New Graphic Site‬وارد صندوق پست الكترونیك مشتركان "یاهو" می‌شود. هنگامی كه كاربر این ایمیل را باز كند، ویروس فعال شده و پس از آلوده كردن رایانه كاربر، یك نسخه از خود را به تمامی آدرسهای ایمیل سایر كاربران "یاهو" كه در رایانه آلوده شده موجود است، ارسال می‌كند.
شركت تولیدكننده نرم‌افزارهای امنیتی "سیمانتك" در واكنش به ظهور ویروس "یامنر" اعلام كرد: بر خلاف اغلب ایمیل‌های حاوی ویروسهای اینترنتی كه دارای یك فایل ضمیمه هستند و ویروس پس از كلیك شدن روی این فایل ضمیمه فعال می‌شود، ویروس "یامنر" دارای فایل ضمیمه نبوده و تنها با كلیك كردن كاربر روی خود ایمیل و باز كردن آن، فعال شده و رایانه را مبتلا می‌سازد. "كلی پادبوی" سخنگوی "یاهو" اعلام كرد این شركت اقدامات لازم برای جلوگیری از گسترش ویروس "یامنر" را انجام داده‌است.
وی همچنین از كاربران خدمات ایمیل "یاهو" درخواست كرد برای احتیاط بیشتر نرم‌افزار ضدویروس خود را به روز كرده و هرگونه ایمیل دریافتی از آدرس ‪ av۳@yahoo.com‬را سریعا پاكسازی و مسدود كنند.
ویروس "یامنر" رایانه كاربر را در برابر حملات بعدی هكرها آسیب پذیر ساخته و آدرس ایمیل كاربر را نیز احتمالا برای ارسال انبوه "اسپم" به یك سرور كه توسط نگارنده ویروس مورد استفاده قرار می‌گیرد، ارسال می‌كند.

Cracki
14-06-2006, 18:00
M.B.M عزیز خبر های مربوط به ویروسها رو میتونید در انجمن خبر ها و در تایپک آخرین اخبار مربوط به ویروسها که به صورت
پیوسته شده هم هست مطرح کنید.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Monica
18-06-2006, 17:22
یك ویروس رایانه ای در میان كاربران نرم افزار وینی در حال گسترش است. وینی، نرم افزاری ژاپنی برای به اشتراك گذاری فایل (پیر تو پیر) است. این ویروس، اطلاعات شخصی موجود در رایانه كاربران را ربوده و در اینترنت منتشر می كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به گزارش خبرگزاری آسوشیتدپرس، این ویروس به نام آنتینی (Antinny) به ویژه درمیان كاربران ژاپنی اینترنت كه به میزان زیادی از نرم افزار وینی (Winny) استفاده می كنند، گسترش یافته است. ویروس آنتینی پس از آلوده كردن رایانه كاربران، به صورت تصادفی تعدادی از فایل های موجود در هارد دیسك رایانه كاربر را انتخاب كرده و سپس این فایل ها را درون همین شبكه به اشتراك گذاری فایل، در اختیار سایر كاربران قرار می دهد. این ویروس تاكنون موفق شده با همین روش در كشور ژاپن، فایل های حساسی را از رایانه های كاربران خانگی، شركت های هوایی، ادارات پلیس، شركت های مخابراتی، وزارت دفاع ژاپن و حتی یك شركت تولیدكننده نرم افزارهای ضد ویروس ربوده و در اینترنت منتشر كند.
هر چند ویروس آنتینی در مقایسه با ویروس هایی كه ویندوز را هدف قرار می دهند از گستردگی و شیوع بسیار كمتری برخوردار است، اما نحوه تقابل آن با نرم افزارهای به اشتراك گذاری فایل قابل توجه بوده و به ویژه در میان كاربران ژاپنی نگرانی زیادی را به وجود آورده است.
كارشناسان عقیده دارند نگارندگان این ویروس می توانند كد آن را برای حمله به كاربران خدمات به اشتراك گذاری فایل پركاربرتر نظیر كازا، نوتلا و یا بیت تورنت به روزنگاری كرده و ده ها میلیون كاربر این خدمات را در معرض انتشار اطلاعات شخصیشان در اینترنت، قرار بدهند.

Monica
18-06-2006, 17:24
كارشناسان امنیت رایانه هشدار دادند كه ویروس جدیدی به نامyamanner اخیرا سرویس ایمیل یاهو را مورد حمله قرار داده و پس از ورود به صندوق پست الكترونیكی كاربران ، آدرس های موجود در آن را پاك می كند.

این ویروس آدرس های درون صندوق الكترونیكی كاربران را برای یك پایگاه داده اسپم جمع آوری می كند. به كاربران ایمیل یاهو هشدار داده شده كه از دریافت پیام با آدرس av۳@yahoo.com و تحت عنوان سایت گرافیكی جدید خودداری كنند.سیمانتك اعلام كرد كه كرم یامانر از آسیب پذیری جاوا اسكریپت در وب میل یاهو سود می برد، این وورم آدرس هایی با دامنه yahoo.com و نیز yahoogroups.com را مورد هدف قرار می دهد و در یك پیام HTML محتوای جاوا اسكریپت فرستاده می شود، به محض آن كه كاربر پیام را باز كند، وورم به سرعت IDهای موجود در دفترچه آدرس یاهو را مورد هدف قرار می دهد.

Monica
20-06-2006, 17:18
مقامات سایت گوگل از ورود یك ویروس اینترنتی به شبكه ORKUT خبر دادند.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این ویروس خطرناك پس از ورود به شبكه ، وارد بانك اطلاعات شخصی افراد شده و اطلاعات مهم را جمع‌‏آوری می‌‏كند.گزارشات حاكی است، آزمایشگاه امنیت نرم‌‏افزاری سایت گوگل برای جلوگیری از گسترش هر چه بیشتر این ویروس كه از طریق پیام‌‏های اینترنتی به صفحه اصلی رایانه كاربران نفوذ می‌‏كند ، وارد عمل شده‌‏اند.بنابر توصیه مقامات این سایت ، چنانچه رایانه كاربران سایت ORKUT با ویروس جدید آلوده شود ، كاربران باید از نرم‌‏افزار UICROSOFT COVP.S كه معمولا بر روی سیستم عامل XP نصب است برای یافتن فایل شخصی خود كه ویروس شده است ، استفاده كنند.
گفتنی است ، ۱/۲۱ میلیون كاربر اینترنتی از شبكه ORKUT استفاده می‌‏كنند كه از این تعداد ۵۶/۶۸ درصد كاربر برزیلی، ۶/۱۲ درصد آمریكایی و ۳۲/۵ درصد هندی هستند.

Wisdom
22-06-2006, 21:03
استفاده ويروس رايانه‌اي"سيكسم-اي" از تب جام‌جهاني براي فريب كاربران
تهران، خبرگزاري جمهوري اسلامي ‪۸۵/۰۳/۳۱‬

علمي. جامعه اطلاعاتي. ويروس.

شركتهاي ارائه‌دهنده خدمات امنيت اينترنتي از شناسايي نخستين ويروس رايانه‌اي جديد هشدار مي‌دهند كه با موضوع مرتبط به جام جهاني ‪ ۲۰۰۶‬آلمان و به زبان انگليسي در اينترنت منتشر شده‌است.

به گزارش سايت اينترنتي "پي‌سي‌ورلد"، اين ويروس رايانه‌اي با نام "سيكسم-اي"(‪ (Sixem-A‬با كمك ايميل در حال گسترش در اينترنت است.

ايميل آلوده به اين ويروس با يكي از دو موضوع "‪ "Naked World Cup‬و يا "‪ "Soccer fans killed five teens‬به همراه يك فايل ضميمه كه به نظر مي‌رسد يك عكس است به صندوق ايمل كاربران وارد مي‌شود.

در متن ايميل ادعا شده‌است كه اين عكس مربوط به رفتار غيرعادي طرفداران تيمهاست و كاربر را به باز كردن فايل ضميمه تشويق مي‌كند.

"گراهام كلولي" رييس شركت ارائه‌دهنده خدمات امنيتي "سوفوس" اعلام كرد اين فايل ضميمه در واقع يك نرم‌افزار مخرب است كه پس از اجرا شدن نرم‌افزار ضد ويروس موجود در رايانه را غيرفعال كرده، اقدام به دانلود كدهاي مخرب بيشتر كرده و در نهايت يك نسخه از خود را به تمامي آدرسهاي ايميل موجود در هارد ديسك رايانه كاربر ارسال مي‌كند.

به گفته كارشناسان، هر موضوعي كه به طور گسترده مورد توجه كاربران باشد، از جمله جام جهاني، مي‌تواند به صورت گسترده از طرف هكرها و نويسندگان كدهاي مخرب براي فريب كاربران مورد استفاده قرار بگيرد و ويروس "سيكسم-اي" نيز آخرين مورد از قبيل است.

اغلب شركتهاي توليدكننده نرم‌افزارهاي ضد ويروس هم‌اكنون محصولات خود را براي شناسايي ويروس "سيكسم-اي" به روزنگاري كرده‌اند.

Wisdom
24-06-2006, 10:04
نفوذ کرم اینترنتی به شبکه orkut google

مقامات سایت گوگل از ورود یک ویروس اینترنتی به شبکه ORKUT خبر دادند.

به گزارش آژانس خبری پرشین هک از ایلنا ، این ویروس خطرناک پس از ورود به شبکه ، وارد بانک اطلاعات شخصی افراد شده و اطلاعات مهم را جمع‌‏آوری می‌‏کند.گزارشات حاکی است، آزمایشگاه امنیت نرم‌‏افزاری سایت گوگل برای جلوگیری از گسترش هر چه بیشتر این ویروس که از طریق پیام‌‏های اینترنتی به صفحه اصلی رایانه کاربران نفوذ می‌‏کند ، وارد عمل شده‌‏اند.بنابر توصیه مقامات این سایت ، چنانچه رایانه کاربران سایت ORKUT با ویروس جدید آلوده شود ، کاربران باید از نرم‌‏افزار UICROSOFT COVP.S که معمولا بر روی سیستم عامل XP نصب است برای یافتن فایل شخصی خود که ویروس شده است ، استفاده کنند.گفتنی است ، 1/21 میلیون کاربر اینترنتی از شبکه ORKUT استفاده می‌‏کنند که از این تعداد 56/68 درصد کاربر برزیلی، 6/12 درصد آمریکایی و 32/5 درصد هندی هستند.

Wisdom
24-06-2006, 10:05
نسخه جديد Bagle از 118 نام متفاوت استفاده مي‌كند!

متخصصان شركت سوفوس از كشف نسخه‌ي جديدي از كرم Bagle خبر داده‌اند كه از طريق سيستم‌هاي ايميلي منتشر مي‌گردد.

به گزارش آژانس خبری پرشین هک،
اين گونه‌ي جديد كه W32/Bagle-KL نام گرفته، در قالب يك فايل پيوست Zip با يك رمز عبور پنهان شده است. اين كرم جديد با استفاده از 118 نام متفاوتي كه در كد آن برنامه‌ريزي شده، از طريق ايميل منتشر مي‌شود. فهرست برخي از اين نام‌ها به قرار زير است:


Ann, Anthonie, Constance, Emanual, Frances, Geoffraie, Harrye, Humphrie, Judith, Margerie, Michael, Nicholas, Robert, Winifred, Johen, Thomas.


ايميل‌هاي حاوي اين كرم داراي يك فايل Zip با يكي از نام‌هاي گفته شده، است. در زير به نمونه‌هايي از اسامي اين فايل‌ها اشاره شده است:

Edmund.zip, Nicholaus.zip, Dorithie.zip, Henry.zip, Daniel.zip, Nycholas.zip, Judeth.zip, Sybyll.zip, Winifred.zip, Bennett.zip, and John.zip.

همچنین در ادامه تحقیقات پرشین هک مشخص شد درون هر يك از اين فايل‌هاي Zip يك كپي از كرم Bagle-KL وجود دارد. متن ايميل نيز حاوي عبارت‌هايي نظير “I love you” و يا “To the beloved” است به همراه يك رمز عبور عددي كه براي باز كردن فايل Zip ضميمه به كار برده مي‌شود.


اين كرم زماني كه بر روي كامپيوتر قرباني اجرا شود، خود را در قالب همان فايل Zip پنهان كرده و از طريق ايميل به آدرس‌هاي ديگر ارسال مي‌كند تا بدين ترتيب از طريق gateway شناسايي نشود.


كاربران بايد خيلي عاقل و آكاه باشند تا بتوانند در برابر وسوسه باز كردن اين فايل پيوست مقاومت كنند و اطمينان داشته باشند كه ضد ويروس آن‌ها به روز باشد.

Wisdom
24-06-2006, 10:06
کرم جدیدی زمان مرگ کاربر را پیش‌بینی و نرم‌افزار آنتی‌ویروس را مختل می‌کند

متخصصان امنیت رایانه نسبت به شیوع یک کرم جدید هشدار داده‌اند که زمان مرگ کاربری که آن را دریافت می‌کند، را پیش‌بینی کرده و نرم‌افزار آنتی‌ویروس سیستم را از کار می‌اندازد.

به گزارش آژانس خبری پرشین هک از ایسنا، کرم Black Angle.B که به زبان اسپانیایی است، نوع جدید از کرم "بلک انجل" است که تاکنون سرویس پیام فوری مایکروسافت بسیاری از کاربران را هدف قرار داده است.این کرم خود را در قالب یک کلیپ ویدیو به نام "Fantansma" به‌معنای "روح" گسترش می‌دهد و اگر کاربر برروی ضمیمه‌ی ای‌میل کلیک کند، تصویری با این عبارت بر روی صفحه‌اش ظاهر می‌شود:"روز اول، شما وحشت‌زده می‌شوید، روز دوم ناامید می‌شوید، روز سوم کمک می‌خواهید و روز چهارم خواهید مرد.

این کرم در ادامه یک کپی از خود را برای تمام افرادی که در فهرست تماس کاربر قرار دارد، می‌فرستد و آن کاربران نیز پیامی ‌با عنوان "به این ویدیو نگاه کنید" دریافت خواهند کرد.به‌گفته‌ی متخصصان، این کرم همچنین برنامه‌های امنیتی و آنتی‌ویروس سیستم کاربر را مختل می‌کند تا احتمال از بین رفتن خود را کاهش دهد.

Wisdom
24-06-2006, 10:06
ياهو از مقابله با شيوع كرم «يامانر» در سرويس پست الكترونيكي خود خبر داد

موتور جست‌وجوگر ياهو اعلام كرد توانسته است از شيوع بيشتر كرم "Yamanner" در سرويس اي‌ميل آن جلوگيري كند، با اين حال كاربران ايميل ياهو بايد بسيار مراقب باشند.

به گزارش آژانس خبری پرشین هک از ايسنا، كرم "يامانر" براي نخستين بار، روز دوشنبه شناسايي شد كه ايميل كاربران در ياهو را مورد هدف قرار مي‌دهد. پس از آن‌كه اين كرم وارد جعبه‌ي پستي الكترونيك كاربران شد، به دنبال آدرس‌هاي موجود در آن مي‌گردد و براي تمامي ‌آن‌ها پيام "سايت گرافيكي جديد" ارسال مي‌كند.

ياهو در اطلاعيه‌ي خود اعلام كرد: گام‌هاي اوليه براي حل اين مشكل برداشته شده و توانسته‌ايم كاربران را برابر حملات بعدي اين كرم حمايت كنيم، راه‌حل آن براي تمامي‌ كاربران ايميل ما فرستاده شده است.

Wisdom
24-06-2006, 10:08
رايان پيتيلاك 24 ساله، ارسال كننده 25 ميليون هرزنامه در روز !!!!! ( دمش گرم )

متخصصان سوفوس اعلام كرده‌اند كه مايكروسافت و ايالت تگزاس عليه يك فارغ التحصيل دانشگاهي كه ادعا مي‌كند روزانه به ارسال 25 ميليون هرزنامه اقدام مي‌كرده، شكايت كرده‌اند.

به گزارش آژانس خبری پرشین هک رايان پيتيلاك، 24 ساله اهل Austin محكوم به پرداخت جريمه‌ي يك ميليون دلاري شده و اكنون در حال فروش خانه 430 هزار دلاري، ماشين گران قيمت و ساير دارايي‌هاي خود است تا بتواند جريمه‌ي تأيين شده را پرداخت كند. متخصصان وي را چهارمين ارسال كننده‌ي خطرناك در جهان ناميده‌اند.


پيتيلاك در بلاگ شخصي خود اعلام كرده است كه اكنون در حال ارايه‌ي خدمات خود به شركت‌هاي اينترنتي است تا بتوانند با استفاده از اين سرويس‌ها از هرزنامه‌هاي ارسال شده توسط پيتيلاك جلوگيري كنند. وي در وبلاگ خود اين چنين نوشته است:


«خوشحالم كه اكنون عضوي از جامعه‌ي ضد هرزنامه هستم و يك شركت امنيت اينترنتي را راه اندازي كرده‌ام كه هشدارها و راه كارهايي را براي حفاظت از سيستم‌هاي در برابر هرزنامه‌ها ارايه مي‌دهد. من به اين نتيجه رسيده‌ام كه با نگاه كردن به هرزنامه به عنوان يك بازي موش و گربه با سرپرستان شبكه‌هاي ايميلي، مرتكب استباه بزرگي شده‌ام.»


گراهام كلولي، مشاور ارشد تكنولوژي در سوفوس مي‌گويد كه جامعه بايد مراقب باشد تا هيچ پيامي را به مجرمان اينترنتي كه باعث پشتيباني از آن‌ها مي‌شود، ارسال نكند. مقامات اجرايي بايد اين مسئله را براي ارسال كنندگان هرزنامه كاملاً روشن و واضح كند كه عمل آن‌ها غير قابل قبول و ناپسند است.

Wisdom
24-06-2006, 10:08
تايوان بيشترين ميزان ارسال اسپم را در جهان دارد

نتايج مطالعات نشان مي‌دهد تايوان بيشترين ميزان اسپم ارسالي در جهان را دارد.
به گزارش آژانس خبری پرشین هک از ايسنا، براساس بررسي انجام شده از سوي يك شركت تحقيقاتي، 64 درصد از سيستم‌هايي كه ايميل‌هاي هرزه مي‌فرستند در تايوان قرار دارند.
آمريكا با 23 درصد در مكان دوم قرار دارد و چين نيز با سه درصد، سومين كشور بزرگ ارسال كننده‌ي اسپم و ايميل‌هاي هرزه در جهان معرفي شده است. نتايج اين مطالعه كه در ماه مي انجام شد، حاكي است ترافيك ارسال ايميل‌هاي زيادي براي كاربران در سطح جهاني طي ماه مي 20 درصد افزايش يافت.
در حال حاضر رايج‌ترين شيوه براي ارسال اسپم، لينك ايميل‌هاي نوشتاري به عكس است كه موجب مي‌شود كاربران هنگام جست‌وجوي اينترنتي، عكس‌هاي اسپم شده را دريافت كنند.

Wisdom
24-06-2006, 10:09
مخرب ترین ویروس های ماه می معرفی شدند

شرکت امنیتی Sophos مطابق روال همه ماهه خود فهرستی از مخرب ترین ویروس های اینترنتی می سال 2006 را منتشر نمود.

به گزارش آژانس خبری پرشین هک از خبرگزاری فاوانیوز، بر طبق این گزارش کرم Netsky-P که اولین بار در مارس سال 2004 رویت شد کماکان رتبه اول را در اختیار دارد. این بدافزار از طریق ضمائم نامه های الکترونیک منتقل می شود. علاوه بر این نسخه های مختلف کرم Mytob هم در این فهرست وجود دارند.گزارش تازه Sophos نشان می دهد که در ماه می 1538 تهدید رایانه ای جدید شناسایی شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم یا ویروس بوده اند.

فهرست ده تهدید ویروسی برتر ماه می از دید Sophos به شرح زیر است:

• 1 W32/Netsky-P 16.7%• 2 W32/Zafi-B 11.4%• 3 W32/Nyxem-D 7.5%• 4 W32/Mytob-AS 6.3%• 5 W32/Mytob-P 5.3%• 5 W32/Mytob-M 5.3%• 7 W32/Netsky-D 3.7%• 8 W32/MyDoom-O 3.6%• 9 W32/Mytob-FO 2.9%• 10
W32/Mytob-C 2.1%

منبع : فاوانیوز

Wisdom
24-06-2006, 10:10
تروجان جديد بيش از دو هزار رايانه را آلوده كرد

نوع جديدي از تروجان كه مي‌تواند به كلمات عبور و اطلاعات بانكي آنلاين كاربران دسترسي پيدا كند، كشف شد.

به گزارش آژانس خبری پرشین هک، Briz.I، توسط شركت امنيت رايانه‌يي "Panda Software" كشف شده است و بنابر اعلام اين شركت تاكنون دو هزار و 700 رايانه در 120 كشور جهان را آلوده ساخته است. مدير اين شركت گفت: Birz.I، مي‌تواند با يك تروجان قبلي كه براي دستور دادن نسخه‌هاي Briz ساخته شده است و مي‌توان آن را با 990 دلار خريد، مرتبط باشد، همچنين اين نرم‌افزار مخرب مي‌تواند توسط مبتكر اصلي آن ساخته و فروخته شود. لوئيس كورنز افزود: ممكن است كه خالق اصلي اين تروجان تصميم داشته است با استفاده از همان تروجاني كه قبلا فروخته بود، سودجويي مستقيم كند. اين تروجان مي‌تواند نسخه‌ي جديد يكي از نمونه‌هايي باشد كه در حالي كه تروجان قبلي روي كار هستند، فروخته شود. نرم‌افزار مخرب تازه كشف شده تحت عنوان "iexplore.exe" تغيير حالت مي‌دهد و خود را به عنوان اينترنت اكسپلورر معرفي مي‌كند، سپس هنگامي‌ كه فعال شود، جزيياتي همچون آدرس و محل IP را به وب سايت هكر ارسال مي‌كند. Briz.I خود را به صورت اينترنت اكسپلورر در مي‌آورد و تمامي ‌اطلاعاتي آنلاين از جمله كلمات عبور و جزييات بانكي آنلاين را در اختيار هكر قرار مي‌دهد. پيدا كردن اين تروجان دشوار است، چرا كه ردي از خود به جاي نمي‌گذارد و مي‌تواند از دسترسي به وب سايت‌هاي آنتي ويروس جلوگيري كند.

Wisdom
24-06-2006, 10:10
آسيا بزرگ‌ترين منبع پخش اسپم در جهان است

ايالات متحده‌ي آمريكا همچنان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود
در حال حاضر قاره‌ي آسيا بيش از هر قاره ديگري در جهان، توليد اسپم مي‌كند، اين در حالي است كه تا دو سال پيش، آمريكا به تنهايي نيمي‌ از اسپم‌هاي رايانه‌يي را به جهان ارسال مي‌كرد.
به گزارش آژانس خبری پرشین هک، براساس اين گزارش، كشورهاي آسيايي از ميان ‌12 كشور بزرگ توليدكننده‌ي اسپم در سه ماهه‌ي نخست سال ‌2006، منشاء ‌8/42 درصد از اسپم‌هاي جهان هستند، در حالي كه سهم آمريكاي شمالي ‌6/25 درصد و سهم اروپايي‌ها ‌25 درصد اعلام شده است.
اگرچه ايالات متحده‌ي آمريكا اكنون سهم ‌50 درصدي خود از نظر اسپم‌ها را به يك‌چهارم كاهش داده است، اما باز هم اين كشور به عنوان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود. بر اساس گزارش شركت امنيتي سوفوس، چين نيز با سرعت قابل توجهي براي كسب عنوان نخست در حال تعقيب آمريكا است و اين درحاليست كه آمريكايي‌ها با اتخاذ سياست‌هاي مناسب سعي در كاهش ميزان توليد اسپم دارند كه در اين زمينه موفق نيز بوده‌اند. دكتر جان هروسكا - از بنيانگذاران شركت سوفوس - گفت: اسپم ابزاري براي بازاريابي است و به دليل رشد اقتصادي آسيا، سرچشمه‌ي تعداد بيشتري از اسپم‌ها در اين قاره است. همچنين گراهام كلولي - مدير ارشد مشاوره‌ي فناوري سوفوس - اشاره كرد كه روزانه ويروس‌ها، وورم‌ها و اسب‌هاي تروجان جديدي طراحي مي‌شوند تا به كاربران بي‌گناه اينترنت حمله كرده و اطلاعات آن‌ها سرقت كنند، كاهش توليد اسپم در آمريكا نشان مي‌دهد كه آمريكايي‌ها بيش از قبل هشيار شده‌اند و به اهميت حفظ رايانه‌هاي خود در برابر حملات مرموز هكرها، پي برده‌اند.
وي افزود: آمار نشان مي‌دهد كه در حال حاضر از هر ‌40 پست الكترونيك ارسالي در سراسر جهان، يكي آلوده به ويروس است و ‌50 درصد از كل پست‌هاي الكترونيك اسپم هستند، در حقيقت اينترنت تبديل به يك شبكه‌ي آلوده شده است. گراهام در ادامه گفت: اگر كاربر با رايانه‌هايي كه به ويندوز xp مجهز است،‌ بدون هيچ نرم‌افزار يا بسته‌ي امنيتي، به اينترنت وصل شود و هيچ فعاليتي در اينترنت انجام ندهد، به احتمال ‌94 درصد، ظرف مدت ‌60 دقيقه و به احتمال ‌40 درصد، ظرف مدت ‌10 دقيقه آلوده خواهد شد. بازار اسپمرها، اكنون به سه ميليارد دلار رسيده است، با اين پول آن‌ها مي‌توانند فارغ از راهكارهاي آماتور، با ويروس‌ها و كدهاي مخرب حرفه‌يي تري، به كاربران حمله‌ور شوند.

هروسكا همچنين به كاربران رايانه پيشنهاد مي‌كند كه براي حفظ امنيت سيستم‌هاي خود در برابر حملات هكرها، حداقل سه عمل زير را به خوبي انجام دهند؛ مطمئن شوند كه نرم‌افزارهاي جديدي كه استفاده مي‌كنند، براي سيستم عامل به روز شده‌اند. حتما از يك فايروال استفاده كنند و از نرم‌افزار ضد ويروس و ضد اسپم استفاده كنند.

Wisdom
24-06-2006, 10:11
تراواي جديد در قالب پيام هشدار براي كاربران منتشر مي‌شود

متخصصان SophosLabs، شبكه‌ي جهاني مراكز تحليل ويروس، نرم‌افزارهاي جاسوسي و هرزنامه‌هاي شركت سوفوس، نرم‌افزار مخرب جديدي را كشف كرده كه به محصولات ضد جاسوسي آسيب مي‌رساند.

به گزارش آژانس خبری پرشین هک،
اين نرم‌افزار مخرب كه اسب تراوايي با نام Troj/Paymite-J است، به دنبال كامپيوترهاي موجود در شبكه بوده تا ايميل‌هاي تقلبي خود را با اين ادعا كه اين كامپيوترها به نرم‌افزار جاسوسي مبتلا شده‌اند، به كاربران آن‌ها ارسال كند. اين ايميل، براي برطرف ساختن اين نقص، دريافت كنندگان خود را به بازديد از وب سايتي جعلي دعوت مي‌كند.

گراهام كلولي، مشاور ارشد تكنولوژي شركت سوفوس گفته است كه كاربران غير فني كامپيوتر ممكن است قادر به تشخيص اين ايميل مخرب از پيام‌هاي واقعي نباشند و به سرعت از وب سايت ذكر شده، بازديد كنند. چنانچه آن‌ها وارد اين سايت تقلبي شوند، به سمت نصب نرم‌افزار مخرب ياد شده، هدايت مي‌شوند كه نسخه‌ي كاملي از برنامه‌ي مخرب تازه شناسايي شده را به آن‌ها ارايه مي‌دهد.

كلولي گفته است: «به اين دليل كه اين پيام ايميلي تقلبي، آدرس IP كامپيوتر را به نمايش مي‌گذارد، برخي از افراد ممكن است تصور كنند كه اين پيام قانوني و معتبر است.»


سوفوس از روز جمعه، 26 ماه مه در حال حفاظت از كاربران كامپيوتر در برابر اين تراواي جديد است و به طور خودكار، محصولات مشتريان خود را به روز كرده است.


سوفوس به شركت‌ها توصيه مي‌كند كه راه‌كاري جدي و يكپارچه براي دفاع در برابر ويروس‌ها، نرم‌افزارهاي جاسوسي و هرزنامه‌ها به كار گيرند و اطمينان يابند كه اين راه كار به صورت خودكار در هنگام پيدايش تهديدات جديد به روز مي‌شود.

Wisdom
24-06-2006, 10:12
برنامه جاسوسي جديد از كاربران اينترنتي اخاذي مي كند

شركت هاي امنيتي اخيرا اعلام كردند: برنامه هاي جاسوسي جديدي در اينترنت انتشار يافته است كه كاربران اينترنتي را با وعده هاي دروغين فريب مي دهد و از انها اخاذي مي كند.

به گزارش آژانس خبری پرشین هک از موج، برنامه هاي جديد جاسوسي جديد كاربران اينترنتي را تهديد ميكند . اين برنامه هاي جاسوسي نوين به شيوه اي جديد افراد را فريب مي دهند به اين طريق كه به آنها وعده مي دهند كه مي توانند به آساني به سايت ها و فايل هاي غير اخلاقي دسترسي داشته باشند و كاربران هم آدرس ايميل خود را در اختيار انها قرار خواهند داد بدون اينكه به عواقب آن توجهي داشته باشند.سپس بعد از مدتي ايميلي مبني بر اينكه رايانه آنها آلوده به ويروس است به آنها ارسال مي شود و از آنها خواسته مي شود تا براي رهايي از شر اين ويروس ها مبلغي را به انها بپردازند.مبلغ مورد نظر 50 دلار اعلام شده است.
شركت آنتي ويروس پاندا گفت:اين برنامه هاي جاسوسي Digikeygen نام دارد و به اطصلاح كد هايي را برايدسترسي به سايت هاي غير اخلاقي در اختيار كاربران قرار مي دهد.شركت هاي امنيتي اعلام داشتند تا حتي الامكان از باز كردن ايميل هاي نا شناس و مشكوك خودداري كنند و فريب اين سايت هاي غير اخلاقي را نخورند.

Wisdom
24-06-2006, 10:13
هرزنامه‌ي "كد داوينچي" به آلوده كردن كامپيوترها مي‌پردازد

به گزارش آژانس خبری پرشین هک،متخصصان ضد ويروس شركت سوفوس به مشتريان خود هشدار داده‌اند كه مراقب ايميل‌هاي ناشناخته و فريبنده‌اي باشند كه تلاش مي‌كنند به عنوان ايميلي كه ارايه دهنده نسخه‌اي از پر فروش‌ترين رمان‌هاي "دان براون" يعني "كد داوينچي" است، به آلوده كردن كامپيوترهاي كاربران بپردازند.

سوفوس در شبكه‌ي جهاني مربوط به تله‌هاي هرزنامه‌اي خود، ايميل‌هايي را شناسايي كرده كه دريافت كنندگان خود را به عضو شدن در يك كلوب كتاب ترغيب كرده و ادعا مي‌كند كه نسخه‌اي رايگان از كتاب كد داوينچي را به اين قربانيان اهدا خواهد كرد. اين ايميل همچنين ادعا مي‌كند كه علاوه بر نسخه‌اي رايگان از رمان ذكر شده، پنج رمان پر فروش ديگر را به مبلغ نود و نه سنت ارايه مي‌دهد.

گراهام كلولي، مشاور ارشد تكنولوژي در شركت سوفوس مي‌گويد كه افراد بايد مراقب چنين ايميل‌هاي ناشناخته‌اي باشند. وي گفته است كه اين ايميل‌ها، دريافت كنندگان خود را به وب سايتي هدايت مي‌كنند كه كم‌تر از يك ماه است كه به ثبت رسيده و هدف آن از ارسال چنين ايميل‌هايي هنوز نامشخص است، اما به به طور حتم نسخه‌اي رايگان از رمان‌هاي ياد شده را به مراجعه كنندگان خود ارايه نمي‌دهد.


بر اساس آمار به دست آمده، نه درصد از كاربران كامپيوتر، كالاهايي را خريداري كرده‌اند كه از طريق هرزنامه‌ها ارايه شده‌اند.


كلولي گفته است كه اكنون زمان آن فرا رسيده تا شركت‌هايي را كه از ارسال هرزنامه‌ها براي فروش كالاهاي خود استفاده مي‌كنند، تحريم كنيم. وي به كاربران هشدار داده است كه: «چنانچه ايميلي ناشناخته و مشكوك دريافت كرديد، براي باز كردن آن تلاش نكنيد، چيزي از وب سايت‌هاي ارايه شده در آن خريداري نكنيد و پاسخي نيز ارسال نكنيد.»


سوفوس به شركت‌ها پيشنهاد كرده است كه براي حفاظت از خود از راه‌كارهاي يكپارچه و محكمي استفاده كنند كه بتوان با استفاده از آن‌ها به حمايت از كسب و كارها در برابر تهديد هرزنامه‌ها، نرم‌افزارهاي جاسوسي و ويروس‌ها پرداخت.

Wisdom
24-06-2006, 10:13
كرم جديد اينترنتي ياهومسنجر را آلوده مي‌سازد

محققان ويروسي را شناسايي كرده‌اند كه تهديد جدي براي ياهومسنجر به‌شمار مي‌آيد.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، اين وورم كه yahoo32.explr نام دارد و به خودي خود تكثير مي‌شود، نرم‌افزاري موسوم به Safety Brwoser را نصب كرده و سپس كنترل صفحه‌ي اصلي اينترنت اكسپلورر را در اختيار خود مي‌گيرد و كاربر را ناخواسته وارد سايتي مي‌كند كه يك نرم‌افزار جاسوسي را روي رايانه‌ي او‌ قرار مي‌دهد. به دليل آن كه Safety Brwoser براي مورد شناسايي قرار دادن خودش، از پيام رساني فوري استفاده مي‌كند، كاربر به آساني فريب خورده و آن را به جاي اينترنت اكسپلورر سالم اشتباه مي‌گيرد.

بر اساس اعلام شركت امنيتي Face Time، اين اولين نرم‌افزار مخربي است كه بدون تاييد كاربر، گشايشگر وب خود را نصب مي‌كند. وورم جديد با استفاده از ارسال يك وب سايت لينك كه يك فايل دستوري را بر روي رايانه لوود كرده و Safety Brwoser را نصب مي‌كند، آلودگي را به تمامي ‌بخش‌هاي مرتبط با ياهو مسنجر منتقل مي‌كند.

تيلرولز- مدير آزمايشگاه امنيتي Face Time - اين كرم جديد را عجيب‌ترين در نوع خود دانست؛ چراكه تا به حال سابقه‌ نداشته است كه بدون آگاهي كاربر، كنترل يك گشايشگر وب از دست او خارج شود.

Wisdom
24-06-2006, 10:14
تراواي جديد، كاربران Word را تهديد مي‌كند

كارشناسان امنيتي از ظهور تراواي جديدي خبر مي‌دهند كه كاربران نرم‌افزار MS Word را تهديد مي‌كند.

به گزارش آژانس خبری پرشین هک، شرکت
توليدكننده نرم‌افزارهاي ضد ويروس مكافي اعلام كرده است كه اين تراواي جديد با نام BackDoor-CKB!cfaae1e6 از يك حفره امنيتي اصلاح نشده در نرم‌افزار MS Word سوء استفاده كرده و هم‌اكنون به صورت يك فايل ضميمه آلوده توسط هكرها به صندوق پست الكترونيك كاربران وارد شده و از اين طريق گسترش مي‌يابد.


چنانچه كاربران، اين فايل آلوده نرم‌افزار Word را دانلود و اجرا كنند، تراوا فعال شده و به هكر اجازه مي‌دهد هر نوع كد مخرب را در كامپيوتر اجرا كرده، تراواهاي بيشتري را در كامپيوتر فعال سازد و هر آنچه را كه كاربر در صفحه نمايش خود مي‌بيند، مشاهده كرده و تمامي كلماتي را كه كاربر با صفحه كليد خود تايپ مي‌كند، شناسايي كند.


شركت توليدكننده نرم‌افزارهاي امنيتي سيمانتك نيز در واكنش به ظهور اين تراواي جديد اعلام كرده است كه اين تراوا از قاره آسيا و احتمالاً از كشور چين و يا تايوان منتشر شده و علاوه بر كاربران خانگي نرم‌افزار Word، كامپيوتر‌هاي مورد استفاده در سازمان‌ها و شركت‌هاي بزرگ را نيز مورد هدف گرفته است.


اين تراواي جديد كه هنوز هدف دقيق نويسنده‌ي آن مشخص نشده، كامپيوتر‌هاي استفاده كننده از نسخه‌ي MS Word 2003 را آلوده كرده، اما در كامپيوتر‌هاي استفاده‌كننده از MS Word 2000 تنها سبب از كار افتادن اين نرم‌افزار مي‌شود.


مايكروسافت هم اكنون در حال آماده‌سازي patch اصلاح كننده يك حفره امنيتي است كه توسط تراواي جديد مورد استفاده قرار گرفته و احتمالا اين patch در برنامه ماهيانه به روز سازي محصولات شركت مايكروسافت و در ماه آينده منتشر خواهد شد.

Wisdom
24-06-2006, 10:16
هرزنامه نويس روس اسرائيلي ها را تهديد کرد

جالب آنکه اين هرزنامه نويس براي ارسال هرزنامه هايش ابزار ضدهرزنامه Blue Security را در هم شکسته

هموطن سلام- مشتريان يک شرکت ضدهرزنامه صهيونيستي موسوم به Blue Security از جولاي سال 2005 با تهديدات مکرر يک هرزنامه نويس روس مواجه شده اند که آنان را تهديد مي کند از استفاده از ----- ضدهرزنامه اين شرکت دست بردارند.
جالب آنکه اين هرزنامه نويس براي ارسال هرزنامه هايش ابزار ضدهرزنامه Blue Security را در هم شکسته و نامه هايش را به راحتي براي مشترکان آن ارسال مي کند.
گفتني است Blue Security هم اکنون بيش از 500 هزار نفر مشترک دارد.
اين هکر روس تهديد کرده که درصورت استفاده از اين ----- کاربران آن 20 تا40 برابر بيش از حد معمول هرزنامه دريافت خواهند کرد. مسئولان Blue Security مي گويند هم اکنون در حال بررسي مساله هستند.

Wisdom
24-06-2006, 10:18
ساخت یک ویروس دوزیست

نگارندگان ويروسهاي رايانه‌اي دومين نمونه از يك كد مخرب كه مي‌تواند هر دو سيستم عامل "ويندوز" و "لينوكس" را مبتلا سازد، به صورت محدود و كنترل شده منتشر كرده‌اند.

به گزارش سايت اينترنتي "سي‌نت نيوز.كام"، اين ويروس با نام "باي.اي" (‪ (Bi.a‬هم‌اكنون توسط نگارندگان خود به عنوان يك نمونه، به شركت روسي توليدكننده نرم‌افزارهاي ضد ويروس "كاسپرسكي" ارائه شده‌است.

ويروس "باي.اي" به زبان برنامه‌نويسي "اسمبلر" نوشته شده و قادر است فايلهاي داراي فرمتهاي مورد استفاده در هر دو سيستم‌عامل "ويندوز" و همچنين "لينوكس" را آلوده كند.

كارشناسان عقيده دارند ويروس "باي.اي" اثبات اين مدعاست كه مي‌توان كدهاي مخربي با قابليت حمله به سيستم‌عاملهاي متفاوت ايجاد كرد و احتمالا در آينده شاهد انتشار ويروسهاي واقعي با قابليت مبتلا كردن سيستم‌عاملهاي مختلف خواهيم بود.

به گفته "سوا فرانتزن" از مركز بين‌المللي تحقيقات امنيت اينترنتي "سنس" (‪ ،(SANS‬احتمالا هم‌اكنون هكرها و نگارندگان ويروسهاي رايانه‌اي در حال مطالعه روي ويروسهايي با قابليت جهش از يك سيستم‌عامل به سيستم‌عامل ديگر هستند و در آينده ظهور اين ويروسها مي‌تواند مشكلات امنيتي قابل توجهي ايجاد كند.

Dash Ashki
05-07-2006, 14:03
تحليل گران امنيتي به ويروس جديدي از نوع malware پي بردند كه با اجراي يكي از برنامه‏هاي مايكروسافت براي تشخيص نسخ غيرمجاز سيستم عامل، فعال مي‏شود.
اين malware به عنوان يك worm طبقه‏بندي شده است و به گفته Graham Cluley، مشاور ارشد تكنولوژي شركت Sophos، به سرعت از طريق برنامه پيام فوري AOL رو به گسترش است. شركت Sophos فروشنده خدمات در زمينه امنيت است.
Sophos اين ويروس جديد را W32.Cuebot-K ناميده است كه گونه جديدي است از malwareهاي خانواده Cuebot. اين ويروس نتايج مخربي دارد. بلافاصله پس از نصب، ويروس تلاش مي‏كند تا به دو وب سايت متصل شود كه به نظر مي‏رسد نصب برنامه‏هاي خطرناك ديگري را به دنبال داشته باشد.
Sophos عنوان كرد كه Cuebot-K قادر به از كار انداختن سخت افزارهاي ديگر، مسدود كردن Firewall ويندوز، نصب برنامه‏هاي نامناسب ديگر، اجراي حملات اساسي DDOS يا "اجتناب از ارائه سرويس" و اسكن كردن پرونده‏ها مي‏باشد.
اين ويروس‏ها از طريق برنامه‏هاي پيام فوري و به صورت پيام يا Linkهايي كه به نظر مي‏رسد از سوي دوستان ارسال شده، منتقل مي‏شوند كه به اين ترتيب كاربر را به اجراي آن ترغيب مي‏كنند. طريقه تكثير Cuebot-K به اين صورت است كه خودش را با عنوان پرونده "Wgavn.exe" به آدرس كاربراني كه در فهرستي دوستان يا "Buddy List" هستند، بدون هيچگونه محتوا يا پيغامي ارسال مي‏كند.
به محض نصب بر روي دستگاه، Cuebot-K ،خود را به عنوان ارائه دهنده Device driver جديدي تحت نام Wgavn ثبت مي‏كند. به گفته Sophos اين ويروس به هنگام فراخواني سرويس‏هاي فعال، به عنوان Windows Genuine Advance Validation Notification يا "اعلاميه اعتبار ويندوز" ظاهر مي‏گردد.
مشخصه Cuebot-K در آدرس HKLM\SYSTEM\CurrentControlSet\Services\Wgavn\ در registry ويندوز ثبت مي‏شود.
حقه كنايه‏آميز اين ويروس در زماني بروز كرده است كه انتقادات زيادي از برنامه WGA مايكروسافت به دليل عملكرد جاسوسي مانندش، ابراز شده است. WGA"" اطلاعات سخت‏افزاري و نرم‏افزاري كامپيوتر كاربر را جمع آوري مي‏كند و آنهارا با ديتابيس‏هاي سيستم‏هاي عامل معتبر مقايسه مي‏كند.
مايكروسافت به محض شناسايي يك نسخه نامناسب، به كاربر هشدار مي‏دهد و دسترسي به بعضي دانلودهاي آزاد را قطع مي‏كند.

Monica
06-07-2006, 09:26
شركتهای ارائه‌دهنده خدمات امنیتی از ظهور ویروسی انترنتی جدیدی خبر می‌دهند كه خود را به دروغ ابزار سنجش اصالت سیستم‌عامل "ویندوز" معرفی می‌كند.

بیروس رایانه‌ای جدید با نام "كیوبات-كی"(‪ (W۳۲.Cuebot-K‬هم‌اكنون تنها در خدمات مسنجر شركت "ای او ال" مشاهده شده‌است.
"گراهام كلولی" رییس شركت امنیت رایانه‌ای "سوفوس" اعلام كرد این ویروس پس از نصب در رایانه بلافاصله تلاش می‌كند از طریق اینترنت با دو وب سایت مشخص ارتباط برقرار كند كه این امر احتمالا با هدف دانلود نرم‌افزارهای مخرب بیشتر، توسط ویروس انجام می‌شود.
ویروس "كیوبات - كی" قادر است برخی نرم‌افزارهای ضد ویروس رایانه و همچنین دیوارآتش سیستم‌عامل "ویندوز" را غیر فعال كرده و از رایانه آلوده شده برای حمله به برخی وب سایتها(حملات ‪ (DDOS‬بهره بگیرد. به گفته "كلولی"، ویروسهایی كه از مسنجرها برای گسترش خود استفاده می‌كنند اغلب به شكل پیغامهایی از دوستان كاربر ظاهر شده كه این پیغامها حاوی لینكی به یك وب سایت اینترنتی هستند.
ویروس "كیوبات-كی" در مسنجر "ای او ال" به شكل یك فایل به نام ‪ wgavn.exe‬كه در ظاهر توسط دوستان اینترنتی برای كاربر ارسال شده، ظاهر گشته و خود را نرم‌افزار ویژه سنجش اصالت "ویندوز" معرفی می‌كند.
نرم‌افزار سنجش اصالت ویندوز شركت مایكروسافت(‪Genuine Advantage‬ ‪ (Windows‬هم‌اكنون در وب سایت مایكروسافت به صورت رایگان قابل دانلود است. این نرم‌افزار وضعیت اصیل و یا غیر اصیل(كپی شده به صورت غیرقانونی) بودن سیستم‌عامل "ویندوز" نصب شده در رایانه را بررسی و تعیین كرده و بر همین اساس تنها كاربران نگارشهای اصیل "ویندوز" می‌توانند به برخی خدمات اینترنتی مایكروسافت دسترسی پیدا كنند.

Monica
07-07-2006, 09:52
خبرگزاري سلام- متخصصان مسائل امنيتي از نگارش کرم تازه اي خبر داده اند که خود را به جاي نرم افزار WGA شرکت مايکروسافت جا زده و تلاش مي کند رايانه هاي شخصي را آلوده کند.
WGA نرم افزاري است که توسط مايکروسافت براي شناسايي نسخه هاي تقلبي و جعلي سيستم عامل ويندوز طراحي شده و در سايت اين شرکت قرار گرفته است.
چندي قبل برخي کارشناسان مسائل امنيتي ادعا کردند WGA در عمل يک نرم افزار جاسوس است که دست به جمع آوري اطلاعات غيرضروري و شخصي از رايانه هاي کاربران مي زند. کرم مذکور که Cuebot-K نام گرفته از طريق مسنجر شرکت AOL پخش شده و خود را در قالب پيامي موسوم به 'Windows Genuine Advantage Validation Notification' به نمايش در مي آورد و پس از نصب به طور خودکار پس از اجراي سيستم راه اندازي مي شود.
اين کرم همچنين فايروال ويندوز را هم از کار مي اندازد و زمينه راب راي حمله هکرها و فعاليت نرم افزارهاي جاسوس فراهم مي آورد.

Dash Ashki
07-07-2006, 10:06
ويروس Stardust به نرم‌‏افزار Openoffice حمله كرد.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا ، اين اولين ويروسي است كه مجموعه نرم‌‏افزارهاي Openoffice و Staroffice را مورد حمله قرار داده است.
اين دو مجموعه نرم‌‏افزاري كه توسط شركت سان ميكروسيستم ارايه شده، اصلي‌‏ترين رقباي Open Source مايكروسافت آفيس هستند.
ويروس مذكور كه Stardust نام‌‏گذاري شده در رده مايكرو ويروس‌‏ها قرار دارد كه معمولا برنامه‌‏هاي آفيس را آلوده مي‌‏كنند.
اين ويروس به صورت يك فايل تصويري بزرگ از اينترنت دانلود شده و به هنگام باز شدن در داخل يك فايل آفيس اجرا مي‌‏شود.
گفتني است ، براي جلوگيري از خطر آلوده شدن توسط اين مايكرو ويروس نرم‌‏افزار Openoffice فايل‌‏هايي را كه داراي مايكرو هستند، شناسايي و پيغام هشداري به كاربر مي‌‏دهد.

Dash Ashki
07-07-2006, 10:08
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات

با وجود حمله‌ي ويروس Bagle، در ماه ژوئن، درصد پست‌هاي الكتروني شامل ويروس در حد ‌٣٦ درصد باقي ماند.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، اين رشد نداشتن ميزان ويروس‌ها در نتيجه‌ي شروع فصل تعطيلات و كاهش پست‌هاي الكترونيك تجاري بوده است؛ هرچند كه ميزان كلي هرزه‌نامه‌ها افزايش يافته است و درصد اسپم‌ها نيز هر ماه بيشتر از ماه قبل مي‌شود، به طوري كه در ماه گذشته به ‌١/٨٥ درصد رسيد.

بر اساس اعلام شركت ضد ويروس و ضد اسپم soft scan، ويروس Bagle در طول يك دوره‌ي هجده ساعته، در روز بيست و يكم ژوئن، كاربران بعضي كشورهاي اروپايي را هدف قرار دارد.

اين ويروس، به عنوان يك كلمه‌ي عبوري كه از zip file پشتيباني مي‌كرد، به‌صورت يك تصوير در يك پست الكترونيك نمايش داده مي‌شد.

Soft scan اعتراف كرد كه براي برخي شركت‌هاي آنتي‌ويروس، كشف اين ويروس به مراتب سخت‌تر از و يروس‌هاي ديگر است.

در خاتمه اين شركت، نام پنج تهديد پست الكترونيك برتر ماه ژوئن ‌٢٠٠٦ را اعلام كرد كه براساس آن، حملات فيشينگ

(با ‌٠٥/٤٨ درصد)، ويروس Netsky (با ‌٦٩/١٦ درصد)، ويروس mytob (با ‌٠٥/١٥ درصد)، ويروس Bagle (با ‌٩٤/٥ درصد) و ويروس My doom با (‌٤٤/٣ درصد) به ترتيب اول تا پنجم بوده‌اند.

Dash Ashki
07-07-2006, 10:09
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


خبرگزاري سلام- شرکت Greenborder از فناوري ويژه اي استفاده کرده تا کار متخصصان ضدويروس را ساده کند.
شرکت مذکور محيطي مجازي را در درون سيستم عامل ايجاد مي کند تا ويروس ها و نرم افزارهاي مخرب در درون آن دست به خرابکاري بزنند، بدون انکه سيستم عامل اصلي دچار مشکل شود.

Dash Ashki
07-07-2006, 10:10
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات

نتايج جديدترين گزارش ماهانه‌ي انجمن امنيت رايانه‌ي‌ انگليس حاكي از آن است كه "Netsky.q" براي نخستين بار از سال 2004، از صدر فهرست مخرب‌ترين ويروس‌هاي رايانه‌يي فاصله گرفته است.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، Netsky.q، رايج‌ترين وورم ايميل از سال 2004 بوده است و نسخه‌ي بدل آن با نام Netsky.t نيز از ابتداي سال 2006 رشد سريعي يافته است.

اما اين گزارش نشان مي‌دهد كه انتشار اين دو كرم ايميل در ماه ژوئن با كاهش چشمگير همراه بوده است، به طوري‌كه Netsky.q به رده‌ي پانزدهم و نسخه‌ي بدل آن به رتبه‌ي بيستم سقوط كرده‌اند و پيش‌بيني شده است در پايان ماه ژولاي از فهرست 20 كرم رايج اينترنتي خارج شوند.

نكته‌ي قابل توجه در اين گزارش، بازگشت وورم Nyxem.e به رده‌ي دوم اين فهرست است؛ اين كرم روز سوم هر ماه به رايانه‌ها حمله مي‌كند و فايل‌هاي شخصي كاربران را پاك مي‌كند و در فهرست ماه ژوئن 17 درصد از كل ويروس‌ها متعلق به آن بوده است.

در اين گزارش نسبت به شيوع دوباره‌ي وورم‌هايي نظير Bagle.fy، طي ماه‌هاي آينده هشدار داده شده است.

Dash Ashki
07-07-2006, 10:11
McAfee به عموم مردم لندن توصيه کرده که از نصب هرگونه فايل مشکوک دريافتي بر روي گوشي هايشان خودداري کنند.

شرکت ضدويروس McAfee به ساکنان شهر لندن در مورد استفاده از فناوري بلوتوث در سطح شهر هشدار داد. بنا بر اعلام اين شرکت به تازگي چندين ويروس که از طريق اين سرويس منتقل مي شوند در سطح شهر لندن شناسايي شده است.
اين شرکت با ابتکار عملي جالب، اطلاعاتي را در مورد بلوتوث و نحوه انتقال ويروس از طريق آن در سطح شهر لندن نصب کرده است تا کاربران تلفن همراه به جديدترين اطلاعات در اين مورد دسترسي داشته باشند.
گفتني است که ويروس ياد شده پس از آلوده کردن گوشي فرد خود را در قالب يک پيام براي تمامي شماره هاي ذخيره شده در گوشي ارسال مي کند. کاربر اين ويروس را در قالب پيام MMS دريافت مي کند.
McAfee به عموم مردم لندن توصيه کرده که از نصب هرگونه فايل مشکوک دريافتي بر روي گوشي هايشان خودداري کنند.

H3SAM
15-07-2006, 02:42
ويروس مذكور تحت نام winlor.32 است كه از برنامه هاي ضد ويروس مك آفي و نورتون گذشته و پس از اجرا دفترچه آدرس كاربر را بطور خودكار هدف قرار داده و خود را براي كاربران ثبت شده در باكس مي فرستد.
ويژگي ديگر ويروس ، ارسال خودكار هنگام بالاآمدن مجدد سيستم است كه پس از رسيدن به يك سقف 50 ميليون ارسال روي سرور ، باعث نابودي بايوس سيستم مي شود.
گفته مي شود ويروس مذكور از روي سرورهاي ارمني و آذربايجاني روي ماشين هاي ايراني افتاده است.

ويروس پس از اجرا تحت نام هايي مانند Babyoflife و Binladen و با فرمت JPG روي سيستم افتاده و در قسمت RUNAS رجيستري نشسته و بطور خودكار مانند ويروس چرنوبيل قابل اجرا و انتشار مي شود.
براي ممانعت از پخش ويروس عدم باز كردن ضميمه الكترونيكي مشكوك در فرمت فلش روي باكس كاربر چه در هات ميل و ياهو و يا Pop3 توصيه مي شود.

saviss
22-07-2006, 23:19
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات


شركت مايكروسافت نسبت به انتشار يك ويروس رايانه‌يي جديد هشدار داد كه نرم‌افزار نمايش "پاورپوينت" اين شركت را هدف قرار داده و اين امكان را به هكرها مي‌دهد تا از سيستم‌هاي رايانه عبور كنند.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، مايكروسافت اعلام كرد: اين ويروس جديد از طريق ضميمه شدن PowerPoint به پست الكترونيكي و باز شدن آن از سوي كاربر منتشر مي‌شود.

هكرها همچنين كاربران را به باز كردن يك صفحه‌ي وب تشويق مي‌كنند كه حاوي تبليغات و متن‌هايي است كه نرم‌افزار "پاورپوينت" را دچار اختلال مي‌كند؛ اين آسيب‌پذيري شامل نسخه‌هاي 2000، 2002 و 2003 پاورپوينت مي‌شود.

اين ويروس سيستم كاربر را در مقابل نصب ديگر برنامه‌هاي خرابكارانه‌ي هكرها به اصطلاح باز نگه مي‌دارد؛ به معناي اين‌كه شرايط را براي دانلود و نصب ديگر نرم‌افزارهاي جاسوسي و هرزه فراهم مي‌سازد.
منبع ولینک خبر:[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

*NashenaS*
31-07-2006, 05:32
یک هکر در هر روز ازماه ژوئیه یک حفره امنیتی از مرورگرها را منتشر می‌کند

یک هکر سرشناس به تازگی اعلام کرده‌است که در طول ماه ژوئیه، در هر روز یک حفره امنیتی شناسایی شده در مرورگرهای اینترنتی معروف را منتشر می‌کند.

به گزارش آژانس خبری پرشین هک از ایرنا، هکر ملقب به "اچ‌دی مور" که پیش از این با انتشار یک ابزار نرم‌افزاری ویژه هک کردن به نام "متااسپلویت" به شهرت زیادی دست یافته بود، هم‌اکنون اعلام کرده‌است در هر روز از ماه میلادی یک حفره امنیتی شناسایی نشده از سه مرورگر پرکاربر "اینترنت اکسپلورر"، "فایرفاکس" و "سافاری" را منتشر خواهد کرد.وی برای شناسایی این حفره‌های امنیتی از ابزارهای نرم‌افزاری ویژه‌ای به نام "فازرز" بهره گرفته که به صورت خودکار به جستجوی ایرادهای امنیتی مرورگرها می‌پردازند.

"مور" هدف از اقدام جدید خود را افزایش آگاهی در مورد حفره‌های امنیتی جدیدترین نگارشهای مرورگرهای معروف و همچنین معرفی تکنیکهای خاص برای شناسایی حفره‌های امنیتی مرورگرها اعلام کرده‌است.وی همچنین اعلام کرده‌است در این برنامه، به انتشار جزییات مربوط به حفره‌های امنیتی که می‌توانند توسط هکرهای دیگر برای آسیب رساندن به کاربران مورد استفاده قرار گیرند، اقدام نخواهد کرد."استفن تولوس" از مسئولان بخش اصلاحات امنیتی شرکت "مایکروسافت" در واکنش به اقدام این هکر اعلام کرد این شرکت از ابتدای ماه به بررسی حفره‌های امنیتی معرفی شده توسط "مور" اقدام کرده و متوجه شده برخی از این حفره‌ها توسط آخرین وصله‌های اصلاحی منتشر شده توسط مایکروسافت اصلاح شده و برخی دیگر همچنان اصلاح نشده باقی مانده‌اند.

شرکت "مایکروسافت" اعلام کرده‌است در صورت موجه بودن ایرادهای امنیتی جدیدی که توسط "مور" در "اینترنت اکسپلورر" شناسایی می‌شوند، این شرکت در کمترین زمان ممکن اقدامات لازم را برای اصلاح آنها انجام خواهد داد.بنیاد "موزیلا" سازنده مرورگر اینترنتی "فایرفاکس" و شرکت "اپل" سازنده مرورگر "سافاری" هنوز در واکنش به اقدام این هکر اقدامی انجام نداده‌اند.

1385/04/21 : تاریخ

Source: persianhack

divoonejoon
05-08-2006, 05:53
كارشناسان امنيتي آمريكايي از شناسايي ‪ ۱۰‬ويروس خطرناك در جهان كه در نيمه نخست سال ‪ ۲۰۰۶‬صدمات جبران ناپذيري به رايانه‌ها وارد كرده‌اند خبر دادند.



به گزارش بخش خبر شبكه ٿن آوري اطلاعات ايران، از ایرنا، ‬ويروس ‪ SDBOT.FTP‬در مقام نخست خطرناك‌ترين ويروس‌هاي رايانه‌اي در سال ‪ ۲۰۰۶‬قرار گرٿته است.

ديگر ويروس‌هاي خطرناك عبارتند از ‪EXPLOIT/METAFILE ،W32/SDBOT.FTP‬ ‪TRJ/QHST.GEN W32/GAOBOT.GEN W32/TEAREC.A W32/SOBER.AH W32/NETSKY.P‬ ‪ W32/ALCAN.A.WORM‬و ‪.W32/PARITE.B‬
ويروس خطرناك ‪ SDBOT.FTP‬از طريق سايت اينترنتي آنتي ويروس پاندا شناسايي شده و از طريق ‪ ftp‬به رايانه كاربران وارد مي‌شود.

ويروس ‪ EXPLOIT‬كه در رده دوم ويروس‌هاي خطرناك در جهان قرار دارد براي سوء استٿاده از آسيب پذيري در پردازش تصوير توسط ويندوز طراحي شده و به ٿايل‌هاي ‪ WMA‬اين اجازه را مي‌دهد تا كدهاي مخرب را اجرا كنند.

با توجه به اينكه نرم اٿزارهاي آنتي ويروس قادر به شناسايي ويروس‌هاي جديد نبوده اما باز هم از تعداد ويروس‌هاي رايانه‌اي در سال ميلادي جاري نسبت به سال ‪ ۲۰۰۵‬كاسته شده است.

خالقان ويروس‌هاي رايانه‌اي با توجه به اينكه آنتي ويروس‌ها قادر به شناسايي اين قبيل ويروس‌هاي جديد نيستند در سال ميلادي جاري بيش از ‪ ۲۰‬نوع ويروس جديد در اينترنت منتشر كردند.

از سوي ديگر تحقيقات كارشناسان امنيتي نشان مي‌دهد كه بيش از ‪ ۱۸‬درصد برنامه‌هاي مخرب اينترنت توسط شركت امنيتي پاندا شناساييي و كشٿ شده است.

divoonejoon
05-08-2006, 05:55
كارشناسان شركت توليدكننده نرم‌افزارهاي امنيتي "مك آفي" از شيوع تروجان جديدي خبر مي‌دهند كه كاربران مرورگر معروف "فايرفاكس" را تهديد مي‌كند.



به گزارش بخش خبر شبكه فن آوري اطلاعات ايران ، از ایرنا، اين تروجان به نام "فورم‌اسپاي" (‪ (FormSpy‬به همراه يك ايميل كه در ظاهر از سوي شركت عظيم "وال مارت" ارسال شده به صندوق پست الكترونيك كاربران وارد مي‌شود.

اين ايميل حاوي يك فايل ضميمه است كه خود را يك "اكستنشن"(نرم‌افزار تكميلي) براي مرورگر داراي كد باز "فايرفاكس" معرفي مي‌كند.

"اكستنشن"ها نرم‌افزارهاي تكميلي هستند كه برنامه‌نويسان داوطلب براي افزودن قابليتهاي جديد به مرورگر "فايرفاكس"، طراحي مي‌كنند و كاربران مي‌توانند "اكستنشن"هاي تاييد شده توسط بنياد "موزيلا" را به صورت رايگان از وب سايت فايرفاكس دانلود كنند.

با اين وجود، تروجان "فورم‌اسپاي" كه خود را يكي از همين "اكستنشن"ها معرفي مي‌كند پس از اجرا شدن در مرورگر "فايرفاكس"، حركات "ماوس" و اطلاعات تايپ شده در صفحه‌كليد را زيرنظر گرفته و تلاش مي‌كند اسم رمزها، كلمات عبور و شماره‌هاي كارتهاي اعتباري تايپ شده توسط كاربر را ربوده و تمامي اين اطلاعات را به يك آدرس اينترنتي متعلق به نگارنده خود ارسال مي‌كند.

ظهور اين تروجان كه از مرورگر "فايرفاكس" براي اجرا شدن خود بهره مي‌گيرد سبب انتقاد كارشناسان امنيتي از امكان اجراي "اكستنشن"هاي نامطمئن در اين مرورگر شده‌است.

به گفته كارشناسان، بازنكردن ايميل‌هاي مشكوك و پرهيز از كليك كردن روي فايلهاي ضميمه همراه اين قبيل ايميل‌ها ساده‌ترين روش ممكن براي حفاظت رايانه در برابر اين قبيل تهديدات امنيتي است.

soleares
27-08-2006, 16:07
بیست سال از تولید نخستین ویروس رایانه‌ای شخصی گذشت
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به نوشته سایت ایتالیایی ‪ ،KATAWEB‬این ویروس رایانه‌ای قدرت انتشار چندانی نداشت چون توسط دیسك‌های فلاپی بین كاربران اینترنتی رد و بدل می شد.
در حال حاضر ‪ ۲۰‬سال از ظهور نخستین ویروس رایانه‌ای در جهان می‌گذرد و با وجود بیش از ‪ ۱۵۰‬هزار برنامه مخرب در جهان هنوز مبدا انتشار ویروس ‪ BRIAN‬مشخص نشده است.
البته تصور می‌شود كه این ویروس از سوی یك شركت نرم افزاری پاكستانی و برای حفاظت از نرم افزارهای كه طراحی كرده بود ایجاد شده است.
مهمترین تغییر عمده‌ای كه از آن زمان تاكنون در جهت تكامل ویروس ها صورت گرفته است آن است كه این برنامه از حالت سرگرمی و تفریحی به یك فعالیت تخلفی و خطرناك برای كاربران اینترنتی تبدیل شده است.
ویروس ‪ BRIAN‬چون در حوزه دیسك‌های فلاپی فعالیت می‌كرده به نام دیگر ‪ BOOT-SECTOR‬نیز شهرت یافته است.
با گذشت سال‌ها از ظهور این ویروس از ان برای انجام فعالیت‌های خطرناك در جهت مفاصد مالی و كسب درآمد از راه‌های نادرست استفاده می‌شد.

Dash Ashki
10-09-2006, 09:56
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات

براساس يك مطالعه‌ي انجام شده، ايميل‌هاي تجاري ناخواسته يا همان اسپم، بزرگ‌ترين مشكل امنيتي رايانه براي كاربران اينترنتي محسوب مي‌شوند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)‌، اين مطالعه نشان مي‌دهد: اگرچه اسپم بزرگ‌ترين مشكل امنيتي رايانه در جهان است، اما ويروس‌ها پرهزينه‌ترين مشكل امنيت رايانه براي كاربران هستند، به‌طوري‌كه در سال ‌٢٠٠٥، تنها در آمريكا كاربران ‌٢/٥ ميليارد دلار براي تعمير يا جايگزين كردن سيستم‌هاي رايانه‌يي‌ خود هزينه كرده‌اند؛ با اين حال حجم اسپم‌هاي ارسالي براي كاربران اينترنتي طي شش ماه گذشته كاهش محسوسي يافته است.

تعداد اسپم‌هاي فيشينگ كه ايميل‌هاي تقلبي هستند و از كاربر خواستار دريافت اطلاعات حساسي براي رمز ورود حساب بانكي مي‌شوند،‌ در سال ‌٢٠٠٥، پنج برابر افزايش يافت و بيش از ‌٦٣٠ ميليون دلار به كاربران خسارت وارد كردند.

اين مطالعه همچنين نشان مي‌دهد كه در سال گذشته كاربران اينترنتي در آمريكا از بابت ويروس‌ها و پيام‌هاي هرزه، در مجموع ‌٨/٧ ميليارد دلار خسارت متقبل شدند.



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Dash Ashki
10-09-2006, 09:57
شركت امنيت رايانه‌ي سيمانتك بيشترين حجم فروش محصولات نرم‌افزار آنتي ويروس را در بازار جهاني طي ماه ژوئن داشته است.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ایسنا، سيمانتك كه بزرگ‌ترين فروشنده‌ي نرم‌افزار

آنتي‌ويروس در جهان است، در ماه ژوئن با كاهش ‌١/١٠ درصدي فروش مواجه شد، با اين حال توانست با ‌٨/٥٩ درصد بيشترين سهم را در بازار جهاني نرم‌افزار آنتي‌ويروس داشته باشد.

پس از سيمانتك، مايكروسافت با عرضه‌ي محصول جديد "windows live onecare" به رتبه‌ي دوم صعود كند و ‌١٥درصد از سهم بازار جهاني نرم‌افزار آنتي‌ويروس را به‌دست آورد.

شركت McAfee نيز كه به رتبه‌ي سوم سقوط كرده است، پس از ‌٣/٣ درصد كاهش فروش، اكنون ‌١/٧ درصد از بازار را در اختيار دارد.

بر اساس ارزيابي تحليلگران، ارزش بازار جهاني نرم‌افزار آنتي‌ويروس امسال به ‌٠٢/٤ ميليارد دلار خواهد رسيد.



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Dash Ashki
10-09-2006, 09:58
كارشناسان امنيت اينترنتي در مورد شناسايي نگارش جديدي از ويروس رايانه‌اي "رندكس" خبر مي‌دهند كه علاوه بر قابليتهاي نگارشهاي قبلي، توانايي نفوذ به رايانه با استفاده از يكي از آخرين حفره‌هاي امنيتي شناسايي شده در سيستم‌عامل "ويندوز"، به آن افزوده شده است.

به گزارش سايت اينترنتي "تك وب"، نگارش جديد اين ويروس با نام "رندكس.جل"(‪ (Randex.gel‬از حفره‌امنيتي ‪MS060-40‬سيستم‌عامل "ويندوز" كه وصله اصلاحي آن به تازگي توسط مايكروسافت منتشر شده، براي آلوده كردن رايانه‌هاي آسيب پذير استفاده مي‌كند.

نگارشهاي قبلي ويروس "رندكس" از حفره‌هاي قديمي‌تر سيستم‌عامل "ويندوز" براي نفوذ به رايانه‌هاي كاربران استفاده مي‌كردند كه از جمله اين حفره‌ها مي‌توان به برخي ايرادهاي امنيتي اشاره كرد كه پيش از اين توسط ويروس رايانه‌اي خطرناك "زوتاب" مورد استفاده گرفته بود.

شركت توليدكننده نرم‌افزارهاي ضدويروس "سيمانتك" اعلام كرد ويروس "رندكس" از برخي حفره‌هاي قديمي‌تر و همچنين جديد "ويندوز" براي نفوذ به رايانه‌هايي كه وصله‌هاي اصلاحي "ويندوز" را نصب نكرده‌اند، استفاده مي‌كند و براي گسترش از يك رايانه به رايانه ديگر از خدمات مسنجر پركاربر از جمله "ام‌اس‌اس مسنجر"، "ياهو مسنجر" و مسنجر شركت "اي او ال" استفاده كرده و علاوه بر تمامي اين موارد، رايانه‌هاي استفاده‌كننده از نرم‌افزار بانك اطلاعاتي "اس كيو ال‌سرور" شركت مايكروسافت نيز در شبكه‌هاي رايانه‌اي در برابر نفوذ اين ويروس آسيب‌پذيرند.

به گفته كارشناسان، ويروس "رندكس" از مجموعه‌اي متنوع از روشهاي مختلف براي آلوده كردن رايانه‌ها بهره مي‌گيرد و بهترين روش براي توقف گسترش آن، دانلود و نصب آخرين وصله اصلاحي "مايكروسافت" ويژه ترميم حفره امنيتي ‪MS06-040‬سيستم‌عامل "ويندوز" است كه در هشتم ماه اوت جاري اين شركت ارائه كرد.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Dash Ashki
10-09-2006, 09:59
تحقيقات ‪FBI‬نشان مي‌دهد كه ‪۹۰‬درصد از صاحبان مشاغل در كشور آمريكا از حملات آن لاين زيان‌هاي هنگفتي را متحمل شدند.

به نوشته سايت ايتاليايي ‪،KATAWEB‬صاحبان مشاغل بيشتر مورد هدف نرم افزارهاي جاسوسي و برنامه‌هاي مخرب قرار مي‌گيرند و زيان‌هاي جبران ناپذيري را به آنان وارد مي‌كنند.

موسسه ‪FBI‬اعلام كرد: اين قبيل حملات به طور متوسط سالانه ‪۲۴‬هزار دلار خسارت به صاحبان مشاغل وارد مي‌كند و اين در حالي است كه ‪۹۸‬درصد از آنان از نرم افزارهاي آنتي ويروس استفاده مي‌كنند.

همچنين حدود ‪۸۴‬درصد از صاحبان مشاغل در آمريكا نيز اعلام كردند كه هر ساله با اين مشكل مواجه هستند.

تحقيقات اين موسسه نشان مي‌دهد كه ‪۴۴‬درصد از اين حملات ويروسي از طريق شركت‌هاي تجاري انجام گرفته است.

بر اين اساس استفاده از نرم افزارهاي امنيتي براي مقابله با اين مشكل روز به روز در حال گسترش است.

با نصب نرم افزارهاي آنتي ويروس نيز هنوز كارشناسان نتوانستند جلوي حملات اين قبيل ويروس‌هاي رايانه‌اي را بگيرند.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Dash Ashki
10-09-2006, 10:00
ويروس تروجان وارد وب سايت سامسونگ الكترونيك شد.

به گزارش ايلنا، به دنبال ورود ويروس اسب تروجان به وب سايت آمريكايي سامسونگ الكترونيك ، تمامي آنتي ويروس‌‏هاي وب سايت غير فعال شد كه اين امر زمينه را براي ويروسي شدن كدهاي آنلاين ذخيره اطلاعات فراهم كرد.
با اين كه مقامات سامسونگ از ورود اين ويروس كاملا مطلع شده‌‏اند ، اما تاكنون هيچ اقدامي براي خارج كردن كدهاي ويروسي شده از سوي اين شركت صورت نگرفته است و بسياري از كدهاي آلوده همچنان در اين وب سايت فعال هستند.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

soleares
01-10-2006, 17:37
تحقيقات جديد نشان مي‌دهد برخلاف گذشته كه نگارندگان ويروسهاي رايانه‌اي خواهان انتشار سريع، گسترده و همگاني كدهاي مخرب خود بودند، اين افراد هم‌اكنون خواهان انتشار محدود، آرام و كنترل شده ويروسها و كدهاي مخرب هستند.


به گزارش خبرگزاري آسوشيتدپرس، در گذشته تبهكاران رايانه‌اي تلاش مي‌كردند ويروسهايي منتشر كنند كه ظرف چند ساعت صدها هزار رايانه را آلوده كنند و سبب شهرت زيادي براي آنها شود اما اكنون كسب درآمد تنها هدف نگارندگان ويروسهاست و اين افراد به جاي نگارش ويروسهاي مهاجم و سريع، تلاش مي‌كنند با استفاده از كدهاي مخرب توليدي خود، اطلاعات محرمانه كاربران را بربايند يا رايانه‌هاي آنها را به ماشينهايي براي ارسال انبوه ايميلهاي تبليغاتي موسوم به هرزنامه(اسپم) بدل كنند.

به گفته "آلفرد هوگر" سرپرست بخش واكنشهاي اضطراري شركت "سيمانتك" سازنده ضد ويروس "نورتون"، هم‌اكنون حتي برخي نگارندگان ويروسهاي رايانه‌اي تمام تلاش خود را به كار مي‌گيرند تا ويروسها و كدهاي آنها بيش از حد سريع در اينترنت پخش نشوند زيرا شيوع سريع يك ويروس به معناي شناسايي سريع آن توسط شركتهاي امنيتي و مسدود شدن آن است.

در گذشته ويروس نويسان با انتشار ويروس خود با سرعتي خيره‌كننده كنترل حتي ‪ ۴۰۰‬هزار رايانه را در اختيار خود مي‌گرفتند اما اكنون هر ويروس معمولا تنها بين حدود هزار رايانه پخش مي‌شود كه اين امر شناسايي آنها را نيز دشوارتر مي‌كند. هرچه يك ويروس ديرتر شناسايي شود، منافع مادي بيشتري را براي نگارنده خود فراهم مي‌كند.

به گفته "هوگر"، در حال حاضر نگارندگان اين ويروسها كدهاي مخرب خود را توسط ايميلهاي آلوده تبليغاتي و معمولا براي تنها يك محدوده جغرافيايي خاص ارسال مي‌كنند تا از شناسايي سريع آن پيشگيري كنند. از سوي ديگر، طراحي وب سايتهاي آلوده براي سوء‌استفاده از حفره‌هاي امنيتي نرم‌افزارها براي نفوذ به رايانه‌هاي كاربران نيز از ترفندهاي جديد اين قبيل افراد است.

اين افراد پس از آنكه به تعداد كافي از رايانه‌هاي كاربران را آلوده كردند، وب سايت خود را اصلاح و آن را از وجود كدهاي مخرب پاكسازي مي‌كنند تا امكان شناسايي كد مخربشان را به حداقل ممكن برسانند و بدين‌ترتيب رايانه‌هايي كه از اين طريق تحت كنترل آنها در آمده، تا ماه‌ها بدون اطلاع كاربرانشان به همان وضعيت باقي مي‌مانند.

به طور مثال ويروس رايانه‌اي "ساسر"(‪ (Sasser‬كه در سال ‪ ۲۰۰۴‬شيوع پيدا كرد، از ايرادهاي امنيتي سيستم‌عامل "ويندوز" براي نفوذ به رايانه استفاده مي‌كرد. اين ويروس به صورت خودكار اينترنت را براي شناسايي رايانه‌هاي آسيب پذير اسكن كرده و پس از آلوده كردن هر رايانه، از آن براي ارسال انبوه نسخه‌هايي جديد از خود به رايانه‌هاي ديگر بهره مي‌گرفت و با همين روش ظرف تنها چند ساعت موفق شد صدها هزار رايانه را در اينترنت آلوده كند.

با اين وجود، گسترش سريع و وسيع سبب واكنش "مايكروسافت" براي ترميم حفره امنيتي "ويندوز" شده و شركتهاي توليدكننده نرم‌افزارهاي امنيتي نيز به تجهيز سريع ضد ويروسها براي شناسايي ويروس "ساسر" اقدام كردند كه اين وضعيت سبب پاكسازي سريع ويروس "ساسر" از اينترنت شد و اين درست همان موضوعي است كه نگارندگان ويروسها هم‌اكنون از آن اجتناب مي‌كنند.

j0l6
03-10-2006, 00:30
ویروس جدید مثل ویروس های دیگه از طرف دوستاتون براتون پیغام میفرسته ( امروز واسه من اومده بود) که چنتا لینک داره . پیغام ها به صورت اینگلیسی هستش و متنش معمولا چیزایی هستش که ادمو کنجکام میکنه رو لینکی که داده کلیک کنه چنت از پیغام هاش رو پایین مینویسم
لینک ها هم ویروسیه پس روش کلیک نکنین بهتره

A new dangerous computer virus that can destroys all your data has just been released . Click here to know how to avoid it : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] <<


Download free MP3s : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] <<

making money online never be easier : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

have you ever seen such a silly man like this ? [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من لینک ها رو هم تست کردم و کاسپر اسکی انو تشخیص داد و نزاشت وارد سیستم شه

masoud49
04-10-2006, 05:28
من راه از بين بردنش رو ميدونم چجوريه
اگه بهش برخورد كردين برين اين لينكي كه ميدم...

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بهتون ياد ميده چكار كنين.

اگه هم نتونستين بهم خبر بدين البته به ايميل يا اي دي من flatset1350

yazditabar
28-10-2006, 02:47
الان هوم پیج من این شده [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ضمنا ران هم کار نمیکنه.
حالا چیکار کنم ...

این برای چندمین باره که آلوده میشم
روی کامپیوترم بیت دیفندر نصب کرئم ولی بعد از یکماه که کار می کرد حالا دیگه غیرفعال شده/

'POP'
28-10-2006, 07:38
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
;)

meyti.koochooloo
28-10-2006, 23:16
سلام

من كه نديدم اما خوبه كه شما ديديد بهم ياد داديد مرسي

soleares
04-11-2006, 19:35
رفتار عجيب يك ويروس اينترنتي


همشهري - اينترنت - گروه علمي فرهنگي:
يك ويروس اينترنتي به نام استريشنStration يا وارزوفWarezof كارشناسان امنيت اينترنتي و شركتهاي توليدكننده نرم‌افزارهاي ضدويروس را به شگفتي واداشته است.
به گزارش سايت اينترنتي "پي‌سي‌ورلد"، اين ويروس ابتدا توسط ايميلهاي تبليغاتي موسوم به "اسپم" وارد صندوق ايميل كاربران مي‌شود و پس از آلوده كردن هر رايانه كه معمولا با كليك كردن و گشودن اين ايميل توسط كاربر رخ مي‌دهد، ويروس يك نسخه از خود را به تمامي آدرسهاي ايميل موجود در رايانه ارسال مي‌كند.

اما ويژگي كه سبب شگفتي كارشناسان شركتهاي سازنده نرم‌افزارهاي ضد ويروس شده، به روز شدن كد نرم‌افزاري اين ويروس در هر ۳۰دقيقه است، به طوري كه ويروس "استريشن" هر ۳۰دقيقه نگارش جديدتري از خود را از ميان مجموعه‌اي از وب سايتهاي اينترنت دانلود و در رايانه آلوده نصب مي‌كند.

به گفته "ميكو هايپونن" كارشناس شركت توليدكننده نرم‌افزارهاي ضد ويروس "اف-سكيور" در فنلاند، در گذشته ويروسهايي شناسايي شده بودند كه قادر بودند كد نرم‌افزاري خود را تغيير بدهند، اما آن ويروسها به راحتي توسط نرم‌افزارهاي ضد ويروس شناسايي و متوقف مي‌شدند و اين درحالي است كه ويروس "استريشن" توسط نگارندگان خود و با روشي ناشناخته هر۳۰دقيقه به روز مي‌شود و به همين علت نرم‌افزارهاي ضد ويروس براي شناسايي آن دچار مشكل شده‌اند.

به طور مثال شركت "اف-سكيور" تاكنون ۱۵۰بار نرم‌افزار ضدويروس خود را براي شناسايي "استريشن" به روز كرده و شركت امنيتي "سوفوس" نيز ۳۰۰نگارش از اين ويروس را شناسايي كرده است.

نكته عجيب ديگر در مورد ويروس "استريشن" اين است كه اين ويروس در ظاهر هيچ عمل خاصي در رايانه‌هاي آلوده شده انجام نمي‌دهد. تخمينهاي شركتهاي امنيتي نشان مي‌دهد "استريشن" تاكنون چند صد هزار رايانه را در جهان آلوده كرده و نگارنده ويروس احتمالا منتظر است تا پس از آلوده كردن تعداد خاصي رايانه، از آنها براي هدفي خاص مانند ارسال انبوه ايميلهاي تبليغاتي و يا راه‌اندازي حملات اينترنتي عليه وب سايتها استفاده كند.

آمار جمع‌آوري شده توسط شركت "سوفوس" نشان مي‌دهند ويروس "استريشن" جزو ده ويروس شايع در ماه اكتبر بوده است.

بر اساس همين آمار، ويروس "نت‌اسكاي‌پي" و "ماي‌تاب.اي‌اس" شايعترين ويروسهاي ماه اكتبر بوده‌اند.

BioHazard
14-11-2006, 12:03
گزارش هفتگي Panda software در خصوص ويروس ها و كدهاي مخرب رايانه اي
گزارش اين هفته شركت پاندا در خصوص ويروس ها و كدهاي مخرب رايانه اي نگاهي دارد به تروژان هاي Nabload.TH و Banker.FFX، كرم رايانه اي Spamta.LZ و كد مخرب Radoppan.A.

به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، Nabload.TH تروژاني است كه براي متصل كردن كاربر به برخي صفحات وب و داونلود نمودن تروژان Banker.FFX از اين صفحات، طراحي شده است. درست در هنگامي اين تروژان در حال داونلود Banker.FFX است، توجه كاربر را با نمايش يك تكه فيلم ويدئويي جلب مي كند.

Nabload.TH مانند بيشتر تروژان ها قادر به انتشار خودكار نمي باشد و بنابراين براي منتشر شدن، به يك خرابكار اينترنتي نياز دارد.

Banker.FFX تروژاني است كه با كنترل تبادلات اطلاعاتي ايجاد شده در هنگام ورود كاربر به وب سايت برخي از بانكها مانند بانك برزيل، بانك Bradesco و غيره، يك صفحه كاملاً مشابه با صفحه ورودي به اين وب سايت ها براي كاربر نمايش مي دهد و در نتيجه با فريب كاربر در وارد كردن نام كاربري و رمز عبور، اين اطلاعات شخصي و محرمانه را سرقت كرده به آدرس خرابكاران ارسال مي كند. اين خرابكاران نيز به نوبه خود، از اين اطلاعات بعدها در كلاهبرداري ها و فريب هاي اينترنتي استفاده مي نمايند.

Spamta.LZ نيز يك كرم پستي است كه خود براي انتشار يك تروژان با عنوان SpamtaLoad.BE از طريق ارسال نامه هاي الكترونيكي حاوي اين تروژان به كاربران اينترنت، طراحي شده است.

نامه هاي الكترونيكي ارسال شده توسط Spamta.LZ،‌ داراي موضوع ها و متن هاي متنوعي است. نام فايل ضميمه اين نامه ها نيز كه حاوي SpamtaLoad.BE ميباشند، متفاوت است. اين تروژان، خود پس از آلوده كردن سيستم،‌ Spamta.LZ را در آن نصب كرده و چرخه اي از فعاليت هاي تخريبي را در رايانه آلوده آغاز مي كند.

و در نهايت، Radoppan كد مخربي است كه داراي برخي ويژگي ها و خصوصيات كرم هاي رايانه اي مي باشد و طوري طراحي شده است كه تمام فايل هاي اجرايي موجود در سيستم را يافته و آن ها را آلوده مي كند. هم چنين اين كد مخرب يك rootkit با نام Krpan.D را براي مخفي كردن پردازش ها، فايل ها و نيز پنهان ساختن ورودي هاي خود در رجيستري ويندوز رايانه هاي آلوده شده نصب ميكند.

به منظور انتشار، اين كد مخرب خود را در منابع اطلاعاتي به اشتراك گذاشته شده كپي مي نمايد و با استفاده از موتور SMTP، به طور خودكار از طريق نامه هاي الكترونيكي منتشر مي گردد.

كاربراني كه قصد دارند بدانند كه آيا رايانه آنها هدف حمله اين كدهاي مخرب و يا ساير تهديدات و آلودگي هاي رايانه اي قرار گرفته است يا خير، مي توانند از نرم افزار آنلاين و رايگان Panda ActiveScan استفاده كنند. اين برنامه ضد كدهاي مخرب، قادر به انجام يك بررسي كامل و همه جانبه و نيز رديابي و خنثي سازي انواع مختلف بدافزارها در رايانه ها مي باشد.

براي اطلاعات بيشتر در خصوص اين كدهاي مخرب و نيز تهديدات و آلودگي هاي ديگر رايانه اي به آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] مراجعه تماييد.
منبع : پرشین هک

satttanism
18-11-2006, 01:28
شرکت امنیتی مک آفی در روز سه شنبه خبر از حمله کرم جدید اینترنتی داد که فایل های Real Media را آلوده می سازد. فایل آلوده به هیچ عنوان دارای کد مخرب نمی باشد ، بلکه دارای یک لینک اضافی است که قربانی را به سایتی مخرب، هدایت می کند.

زمانی که قربانی فایل آلوده را باز نماید بلافاصله به یک وب سایت مخرب هدایت می شود که این وب سایت می تواند از آسیب پذیری در Internet Explorer استفاده نماید.

مدیر ارشد ضد ویروس McAfee در این مورد می گوید: "استفاده از این نمونه تکنیک اشکالات زیادی را نیز برخوردار می باشد اما با این وجود می تواند انتظارات حمله ور را برآورده کند."

تعداد قابل توجهی از مردم به امنیت فایل های تصویری اعتنا نمی کنند در حالی که در مورد فایل هایOffice Document و یا Screensaverها هوشیار می باشند.

"Val Smith" بنیان گذار OffensiveComputing.net می گوید: "من فکر می کنم که به دلیل حجم بالای فایلهای ویدیوئی کاربران بیشتر علاقه دارند که فایل های رسانه ای را اجرا نمایند تا اینکه آنها را ارسال نمایند و همینطور ویروس نویسان نیز بدنبال فایل های کم حجم تر هستند."

افزایش محبوبیت دانلود فایل های رسانه ای باعث شده است تا ویروس نویسان و هکرها به تکنیک های مخرب استفاده از این فایل ها روی بیاورند. بطوریکه بتازگی گوگل با خرید YouTube این معادله را ثابت می کند که فایل های رسانه ای محبوبیت بیشتری در اینترنت پیدا کرده اند و بطور حتم بزودی هدف ابزارهای مخرب قرار خواهند گرفت.

سال گذشته کرمی اینترنتی با نام Samy با استفاده از برنامه نویسی JavaScript و AJAX توانست توسط سایت Myspace.com خود را منتشر کند و یک میلیون پروفایل را آلوده سازد. و اکنون کارشناسان امنیتی بر این باور هستند که سایت هایی مانند YouTube.com نیز می توانند مورد هدف قرار گیرند.

گوگل در گزارشی که به سایت SecurityFocus فرستاده است می نویسد: "ما فرایندهایی را انجام خواهیم داد تا بتوانیم ایجاد چنین حملاتی را سخت تر کنیم. ما بطور محکم کار خواهیم کرد تا از کسانی که می خواهند با استفاده از سرویس ما ابزار مخرب منتشر کنند جلوگیری کنیم."

منبع خبر: WinBeta.Net (نقل از SecurityFocus)

boy iran
12-12-2006, 20:26
بابا لعنت به هرچی ویروس است
بیچاره میکنه

soleares
21-12-2006, 15:54
شركت ارائه‌دهنده خدمات امنيتي "وب‌سنس" از شناسايي يك ويروس اينترنتي جديد در شبكه پركاربر تلفن اينترنتي "اسكايپ" خبر داد.

به گزارش سايت اينترنتي "نيوزفكتور"، اين شركت اعلام كرد ويروس ياد شده هم‌اكنون ميان كاربراني كه از ويژگي چت در نرم‌افزار تلفن‌اينترنتي "اسكايپ" استفاده مي‌كنند، منتشر شده‌است.

اين ويروس براي كاربر "اسكايپ" به صورت يك پيغام كه در ظاهر توسط ساير كاربران "اسكايپ" ارسال شده، ظاهر مي‌شود و از كاربر درخواست مي‌كند فايلي به نام ‪ sp.exe‬را دانلود كنند.

چنانچه كاربر اين فايل را دانلود كند، يك تروجان اينترنتي كه ويژه ثبت و ربودن كلمات عبور كاربران طراحي شده، در رايانه او نصب مي‌شود و سپس ويروس با همين روش تلاش مي‌كند پيغامهايي مشابه را از رايانه آلوده براي ساير كاربران "اسكايپ" بفرستد.

شركت "وب‌سنس" اعلام كرده‌است ويروس جديد احتمالا از كشور كره جنوبي ميان كاربران "اسكايپ" منتشر شده‌است.

به رغم هشدار "وب‌سنس"، شركت امنيتي "اف-سكيور" و همچنين مركز بين‌المللي تحقيقات امنيت اينترنتي "سنس" (‪ (SANS‬اعلام كردند انتشار ويروس رايانه‌اي جديد در شبكه "اسكايپ" هنوز تاييد نشده و همچنان در دست بررسي است.

"اسكايپ" كه مركز آن در لوكزامبورگ قرار دارد به عنوان زيرمجموعه شركت اينترنتي "يي‌بي"، به كاربران اجازه مي‌دهد به صورت رايگان و با استفاده از هدفون و ميكروفون و از طريق اينترنت با يكديگر صحبت كرده و يا با قيمتهاي ناچيز، به خطوط تلفن ثابت و يا همراه متصل شوند و همچنين با استفاده از رايانه‌هاي خود با يكديگر چت كنند.

شركت "اسكايپ" تلفن اينترنتي خود را در سال ‪ ۲۰۰۳‬راه‌اندازي كرد و از آن زمان تاكنون بيش از ‪ ۱۳۶‬ميليون نفر از دويست كشور جهان مشترك آن شده‌اند و روزانه به طور ميانگين حدود ‪ ۲۵۰‬هزار نفر به تعداد كاربران آن افزوده مي‌شود.

boy iran
21-12-2006, 15:59
این ویروسها به اسکایپ هم رحم نمیکنند
عجب

soleares
21-12-2006, 16:03
عزیز نه انتقاده نه چیز دیگه یک بار دیگه قوانین اخبار رو بخون ! من خودم چند وقت یه بار می خونم...

soleares
01-01-2007, 20:45
كارشناسان امنيتي هشدار دادند:
ويروس"سال نو مبارك" رايانه‌ها را مورد هدف قرار داده‌ است سرويس: جامعه اطلاعاتي -فناوري اطلاعات
1385/10/11
01-01-2007
12:31:03
8510-05469: کد خبر



خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات


در ابتداي سال ميلادي جديد، ويروس "سال نو مبارك" با ضميمه شدن به هرزنامه‌هاي ارسالي، رايانه‌هاي شخصي را هدف قرار داده است.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، كارشناسان امنيتي در مورد انتشار نوعي ويروس اينترنتي كه با ضميمه شدن به پيغام تبريك سال رايانه‌ي كاربران را به طور گسترده مورد هدف قرار داده، هشدار دادند.

اين ضميمه postcard.exe نام دارد كه با باز شدن آن توسط كاربر، رايانه‌ آلوده مي‌شود و با توجه به كاهش بروزرساني آنتي‌ويروس‌ها در سال ميلادي جديد، انتشار اين ويروس توسط 160 سرور، خطر جدي محسوب مي‌شود.

بر اساس اعلام كارشناسان امنيتي اين ويروس پس از آلوده كردن رايانه‌ها كدهاي مخرب زيادي را برروي آن نصب مي‌كند و با از كار انداختن آنتي‌ويروس‌هاي قوي و فايروال‌ ويندوز خود را به آدرس‌هايي كه از فايل رايانه‌ي آلوده كاربر مي‌دزدد، ارسال كرده و تكثير مي‌شود.

انتهاي پيام

soleares
02-01-2007, 17:30
مهم‌ترين ويروس‌هاي رايانه‌اي سال ‪ ۲۰۰۶‬در ايران تهران، خبرگزاري جمهوري اسلامي ‪۸۵/۱۰/۱۲‬
داخلي. جامعه اطلاعاتي. ويروس
در طي سال ‪ ۲۰۰۶‬ميلادي كرم رايانه‌اي ‪ ،W۳۲/Brontok.H‬با آلوده‌كردن بيش از هشت درصد از رايانه‌هاي كاربران ايراني، عنوان شايعترين و مهم‌ترين كد مخرب در ايران را به خود اختصاص داد.

به گزارش يكي از شركت‌هاي آنتي ويروس در ايران، اين كرم رايانه‌اي كه ويژه سيستم عامل ويندوز و نسخه‌هاي مختلف آن است، از طريق نقاط آسيب‌پذير، حفره‌هاي امنيتي و نامه‌هاي الكترونيك منتشر شده ، پس از آلوده كردن رايانه خود را به تمام آدرس‌هاي پستي موجود در آن ارسال مي‌كند.

اين كرم رايانه‌اي موجب آلودگي سريع و وسيع در شبكه‌ها و نيز ايجاد اختلال در عملكرد سيستم‌ها مي‌شود، همچنين از ديگر عملكردهاي تخريبي ‪ Brontok.H‬مي‌توان به غيرفعال كردن مديريت زمان نرم‌افزار و رجيستري سيستم عامل و نيز حذف كامل قسمت "فولدر آپشن" آن، اشاره كرد.

تروجان ‪ Rontobrok.A‬نيز با حمله به بيش از ‪ ۶‬درصد از رايانه‌هاي كشور ايران، دومين ويروس شايع سال ‪ ۲۰۰۶‬است.

هر چند قدرت تخريبي اين كد، "بحراني" ارزيابي نشده، اما اين تروجان قادر است رايانه‌ها را در برابر حمله ساير كدهاي مخرب، آسيب پذير كرده و از اين طريق صدمات جدي به آنها وارد كند.

تروجان ‪ Rontobrok.A‬از طريق حفره‌ها و نقص‌هاي امنيتي منتشر مي‌شود. اين كد پس از نفوذ و آلودگي رايانه‌ها اقدام به سرقت اطلاعات محرمانه كرده و اين داده‌ها را از طريق نامه‌هاي الكترونيك به خرابكاران اينترنتي ارسال مي‌كند.

ويروس مشهور ‪،W۳۲/Jeefo.A‬رتبه سوم شايعترين ويروس‌ها را به خود اختصاص داده كه مدتها كاربران ايراني را با مشكلات فراواني مواجه كرده است.

اين ويروس كه از طريق افزودن و ضميمه كردن كد خود، به فايل‌هاي مختلف ورمزگذاري آنها در شبكه اينترنت، منتشر مي‌شود، با نفوذ در حافظه سيستم‌ها، سعي در تخريب فايل‌هااجرايي و قابل انتقال دارد.

يكي از ويژگي‌هاي اين ويروس قابليت پنهان شدن در سيستم و انجام حملاتي است كه به سختي قابل شناسايي است.

فهرست كامل شايع‌ترين و مهم‌ترين كدهاي مخرب سال ‪ ۲۰۰۶‬ميلادي را در جدول زير مشاهده مي‌كنيد.

درصد آلودگي رايانه‌ها در كشور ‪W32/Sdbot.ftp.worm ۵/۱۴‬ ‪W32/Wukill.A.worm ۵/۰۰‬ ‪W32/Rontok.B.wor m ۳/۷۴‬ ‪Trj/VB.PA ۳/۰۷‬ ‪W32/Jeefo.A.drp ۲/۵۴‬ ‪ ۲/۳۳‬ ‪W32/Tearec.A.worm!CME- 24‬ كاربران‌رايانه‌براي اطمينان از عدم آلودگي سيستم‌هايشان به كدهاي مخرب فوق مي‌توانند به آدرس اينترنتي ‪ [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]‬ مراجعه كنند.

Mahdi Hero
14-01-2007, 16:06
ويروس جديدي كه‌ازطريق پست الكترونيكي و در قالب يك دعوتنامه‌ارسال مي‌شود، كاربران اينترنت را تهديد مي‌كند.

به‌گزارش"سي‌ان‌ان " (‪،(CNN‬اين ويروس جديد همراه با يك فايل ضميمه‌تحت عنوان " دعوت " ( ‪( Invitation‬در حال انتشار در شبكه اينترنت است.

براساس گزارش " سي‌ان‌ان " ، اين ويروس يكي ازبدترين ويروس‌هاي شناخته شده است كه در صورت باز كردن آن ، هارد ديسك رايانه مي‌سوزد و اطلاعات حياتي و مهم آن از بين مي‌رود.

ويروس ياد شده‌توسط كمپاني امنيتي " مك آفي" شناسايي شده‌وشركت مايكروسافت آن را به عنوان يكي از مخرب‌ترين ويروس‌ها رده‌بندي كرده است.

هنوز هيچ راه‌حل و اصلاحيه‌اي براي جلوگيري از فعاليت اين ويروس ارايه نشده است.

اگركاربران اينترنت چنين پيامي از طرف دوستان خود دريافت كردند بلافاصله آن را بسته و سيستم رايانه خود را خاموش كنند.

marmolak
14-01-2007, 16:43
همین یکی رو کم داشتیم خدا بهمون رحم کنه ، من اگه هاردم بسوزه بدبخت میشم یه راهی چیزی سراغ ندارید برای اینکه کامی رو ضد ضربه کنم در مقابلش[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

*Batman*
16-01-2007, 23:54
ویروس جدیدی که از طریق پست الکترونیکی و در قالب یک دعوتنامه ارسال می شود کاربران اینترنت را تهدید می کند
این ویروس جدید همراه با یک فایل ضمیمه تحت عنوان Invitation در حال انتشار در اینترنت است.
به گزارش CNN این ویروس یکی از بدترین ویروسهای شناخته شده است که در صورت باز کردن آن هارد دیسک رایانه می سوزد واطلاعات حیاتی و مهم آن از بین می رود.ویروس یاد شده توسط شرکت McAffe شناسایی شده و مایکروسافت نیز آن را به عنوان یکی از مخرب ترین ویروسها رده بندی کرده است.
تا کنون هنوز هیچ راه حل و اصلا حیه ای برای جلوگیری از فعالیت این ویروس ارائه نشده است.

منبع : روزنامه همشهری.

Balrog
17-01-2007, 01:27
چطورى هارد رو مى‌سوزونه؟

'POP'
17-01-2007, 09:02
البته اين ويروس بمعناي واقعي ديسك سخت رو نميسوزانه(مشابه كاري كه چرنوبيل با سوزاندن برد ديسك سخت+پاك كردنEPROM انجام ميداد)
اين Virus hoax پس از اجرا ، باعث فريز شدن سيستم ميشه و زمانيكه شما Ctrl+Alt+Del رو بگيريد و يا Resetكنيد ،سكتور 0 رو پاك ميكنه اما قبل از اون ، خودش رو به ليست ايميلهاي دوستان شما ارسال ميكنه.
هنوز تا اين لحظه ابزار پاك كننده(Removal)براي اين ويروس منتشر نشده .
اطلاعات بيشتر:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
;)

HitchcocK
17-01-2007, 10:52
به نظر شما این ویروس ساخت چه کشوری میتونه باشه؟؟؟:ohno:
یا اصلا به طور کلی کدام کشور در این زمینه فعال تره؟:rolleye:

محمد گل
17-01-2007, 18:26
سلام
یه ویروس دیگه به نام Happy New Year هم هست .

soleares
17-01-2007, 19:13
خوبه که ! سکتور 0 اگه پاک بشه که مشکلی نیست !
ولی آفرین بر سازندش که هنوز ضد این ویروس ساخته نشده داره بابای مردم رو در میاره ![ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

راستی تاپیک برای ویروس ها نداریم ؟ [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همین طوری تاپیک ایجاد کنیدا ![ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

piremard
18-01-2007, 00:33
ویروس دعوت نامه سال نو - تنها یک شوخی فریبنده است

باز هم خبرگزاری ها ایران و حتی خارج هم سوتی دادند
اول بار سرویس اخبار ماهواره ای El Financiero این خبر را مخابره کرد که ویروسی خطرناک .... می کند
در حالیکه این تنها یک ایمیل فریبنده است که اساسا ارزشی ندارد بجز معروف کردن نویسنده اسپانیایی آن و سرکارگذاشتن ملت در شب سال نو
اگر چنین ایمیلی را دریافت کردید آنرا حذف کنید همان طوریکه ایمیل های مربوط به برنده شدن در لاتاری را حذف می کنید
و این را بهتر است از قول سایت های " آزمایشگاه کاسپرسکی " مک افی ، سوفوس و ... قبول کنید که این مضحک است که با باز کردن یک ایمیل هاردتان بسوزد
به این گونه پیامها در اصطلاح hoax می گویند که تنها برای گول زدن یا باج گیری ارسال می شوند
منابع :



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

ثانیا ایمیل های دیگری نیز نظر این اییمل وجود دارند که سرکاری هستند پس دقت کنید آنها را با آنتی اسپم تان فیلتر کنید

در زیر می توانید نمونه هایی از متن پیغام های سرکاری را بخوانید
آزمایشگاه کاسپرسکی گفته همیشه در مورد این ایمیل ها هشیار باشید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Honradez
18-01-2007, 00:43
اخبار ویروسها:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Mahdi Hero
20-01-2007, 16:01
كارشناسان امنيت اينترنتي از شناسايي ويروس رايانه‌اي جديدي خبر مي‌دهند كه از وقوع طوفان شديد در اروپا در روزهاي اخير، براي فريب كاربران استفاده مي‌كند.


به گزارش سايت اينترنتي "بي‌بي‌سي نيوز"، شركت توليدكننده نرم‌افزارهاي ضد ويروس "اف-سكيور" اعلام كرد ايميل جديدي با موضوع "‪ ۲۳۰‬نفر در خلال طوفان شديد اروپا جان باخته‌اند"، در اينترنت منتشر شده كه حاوي يك ويروس رايانه‌اي خطرناك است.

به گفته "ميكو هايپونن" مدير تحقيقات شركت "اف-سكيور"، اين ويروس تنها چند ساعت پس از گسترش طوفان در اروپا منتشر شده و همين امر نشان مي‌دهد نگارندگان آن براي سوء‌استفاده از اين پديده جوي كه موجب مرگ نزديك به ‪۳۰‬نفر شده‌است، به چه ميزان سرعت عمل به خرج داده‌اند.

اين ويروس كه "‪ "Small.DAM‬نامگذاري شده، داراي يك فايل ضميمه با يكي از نامهاي ‪Full Clip.exe ،Read More.exe ،Video.exe‬و يا نامهاي مشابه ديگري است كه اگر كاربران روي اين فايلها كليك كنند، رايانه آنها آلوده مي‌شود و نگارندگان ويروس مي‌توانند كنترل كامل رايانه‌هاي آلوده شده را از راه دور در اختيار خود بگيرند.

شركت "اف سكيور" و ساير شركتهاي سازنده نرم‌افزارهاي ضد ويروس هم‌اكنون محصولات خود را جهت شناسايي اين ويروس جديد به روز كرده‌اند. كارشناسان اينترنتي همواره هشدار داده‌اند كاربران بايد نرم‌افزارهاي ضدويروس خود را به روز نگاه دارند و از كليك كردن روي ايميل‌هاي مشكوك جدا پرهيز كنند.

arianaco
06-02-2007, 23:06
با سلام

من در زمينه طراحي وب ساي فعاليت ميكنم - به تازگي سيستمم كند شده و مورد حمله يك ويروس و يا ترجان عجيب قرار گرفته و با چند آنتي ويروس جديد و آنتي اسپاي قوي و به روز شده هم سيستمم را چك كردم ولي هيچكدام آن را تشخيص ندادند ! به هر حال مجبور به فرمت و نصب مجدد ويندوز شدم . :angry:

از چيزهايي كه تا كنون در باره اين ويروس كشف كردم اين كه ويروس به انتهاي همه فايلهاي با پسوند html روي هارد يك سري كد به زبان VB Script اضافه ميكند و چند فايل از اينترنت ميگيرد و رجيستري و احتمالاً بعضي از فايلهاي سيستم را تغيير ميدهد .
از جمله فايلهايي كه به سيستم كپي ميشود kernel.exe و Kernel.vbs هست كه در شاخه system32 فولدر ويندوز كپي ميشود .

متن كد آن قسمت از كد ويروس را كه به انتهاي فايلهاي html اضافه ميشود را به صورت فايل text براي بررسي بيشتر دوستان ضميمه اين پست كردم ، با notepad بازش كنيد ( چون اجرا نميشود خطري ندارد )

با تشكر

فايل virus1.txt ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) در PersianTools آپلود شده

arianaco
14-02-2007, 21:37
سلام

بالاخره ديروز يك ايميل از كاسپرسكي دريافت كردم كه ضمن تشكر از من به خاطر شناساي اين ويروس جديد ( virus1111.htmy - Trojan-Dropper.VBS.Small.w ) - اعلام كردند كه در چند ساعت آينده اطلاعات مربوط به شناسايي اين ويروس را در آپديت سايت قرار خواهد داد كه به اين قول هم عمل كردند - اكنون اين ويروس شناسايي و پاك مي شود ولي متاسفانه repair و اصلاح نمي شود.

اين هم متن ايميل كاسپرسكي



Hello

virus1111.htmy - Trojan-Dropper.VBS.Small.w

New malicious software was found in this file. It's detection will be
included in the next update. Thank you for your help

Please quote all when answering

--
Best regards, Boris Yampolsky
Virus analyst, Kaspersky Lab
e-mail: newvirus@kaspersky.com
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] - free online virus scanner.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] - technical support.



> Attachment: virus1111.zip

> Dear sir
>
> i found this virus / trojan in my system
>
> this visus added some VBScript codes to end of all .html and
copy
kernel.exe and kernel.vbs to windows/system32/ folder . also modify
regisrty
> please check attachment
> thank you
>

satttanism
15-02-2007, 13:14
شركتهاي توليدكننده نرم‌افزارهاي ضد ويروس از تلاش هكرها، ارسال كنندگان ايميل‌هاي ناخواسته يا هرزنامه(اسپم) و نگارندگان ويروسهاي رايانه‌اي براي فريب كاربران با سوء‌استفاده از سوژه "روز ولنتاين" خبر مي‌دهند.

به گزارش ایرنا، شركت توليدكننده نرم‌افزارهاي امنيتي "سوفوس" اعلام كرد ارسال‌كنندگان هرزنامه با توجه به نزديكي روز ولنتاين، به ارسال انبوه ايميل‌هاي ناخواسته با موضوعاتي نظير تخفيف براي فروش جواهر، شكلات، عطر و مواردي از اين قبيل روي آورده‌اند كه بسياري از اين ايميلهاي تبليغاتي علاوه بر تبليغ اين قبيل كالاها به كدهاي مخرب نيز آلوده هستند.

از سوي ديگر، شركت توليدكننده نرم‌افزارهاي ضد ويروس "پاندا" نيز هشدار داد علاوه بر ايميلهاي تبليغاتي، ويروس اينترنتي جديدي به نام "‪ "Nurech.A‬نيز با سوء‌استفاده از موضوع "روز ولنتاين" در اينترنت منتشر شده‌است. به گفته "لوييز كورونز" سرپرست فناوري شركت "پاندا"، كاربران در اين روزها بايد هنگام باز كردن ايميلهاي دريافتي خود دقت زيادي كرده و ايميل‌هاي ناشناس و مشكوك را بدون توجه به موضوع آنها پاك كنند.

هرچند دوران ظهور ويروسهاي رايانه‌اي با قدرت گسترش سريع و سرتاسري در اينترنت تقريبا به پايان رسيده اما نبايد فراموش كرد يكي از خطرناكترين ويروسهاي اينترنتي سالهاي گذشته به نام "لاو لتر"(‪Love Letter‬ يا نامه عاشقانه" با بهره‌گيري از موضوع "ولنتاين" در اينترنت منتشر شده بود.

وي افزود: در روزهاي اخير هرزنامه‌هايي با موضوعاتي نظير "‪ ۵‬دليل براي دوست داشتن تو" در اينترنت منتشر شده‌اند كه در صورت بازكردن آنها توسط كاربران، كدهاي مخرب در رايانه كاربر نصب شده و راه نفوذ هكرها به رايانه هموار مي‌شود.

به گفته "گراهام كلولي" مدير فناوري شركت "سوفوس"، خوشبختانه كاربران رايانه‌ها در سالهاي اخير به آگاهي بيشتري در زمينه هرزنامه‌ها دست يافته‌اند و اغلب آنها را باز نمي‌كنند و به علاوه ايميلهاي تبليغاتي نيز كمتر مورد توجه كاربران قرار مي‌گيرند و درصد كوچكي از كاربران هم‌اكنون كالاهاي تبليغ شده در اين ايميلها را خريداري مي‌كنند كه همين امر انگيزه ارسال‌كنندگان هرزنامه‌ها را كاهش داده‌است.

با اين وجود، افراد ياد شده همچنان به ارسال ايميلهاي تبليغاتي در اينترنت ادامه مي‌دهند و حتي روشهاي بسيار پيشرفته‌اي را براي فريب نرم‌افزارهاي فيلتركننده اين قبيل ايميلها به كار گرفته‌اند. در حال حاضر بيش از ‪ ۳۱‬درصد از هرزنامه‌ها به جاي متن، حاوي عكس هستند تا فيلترهاي ياد شده نتوانند با توجه به كلمات تبليغاتي به كار رفته در متن ايميل، آنها را شناسايي و متوقف كنند.
clicknews.ir

Viren
23-02-2007, 03:57
ممنون.تنها راهش Gmail هست...!

سهمثط
19-03-2007, 08:28
سلام.به كامپيوتر من يه ويروسي افتاده لينك زير عكس اون را مي تونيد ببينيدو وقتي روي ignori يا cancel كليك مي كنيم ديگر در اينترنت وارد سايت هايي كه يوزر نيم و پسورد مي خوان نمي تونيم بشيم.و هر چه فايلي را كه آدرس مي ده پاك مي كنيم دوباره جايگزين مي شه. بايد اين را بگم كه اين ويروس وقتي به اينترنت وصل هستيم فعال هست.لطفاً كمكم كنيد.اگر مي دونستيد به من ايميل بزنيد behzad777@gmail.com

'POP'
19-03-2007, 14:00
سلام.به كامپيوتر من يه ويروسي افتاده لينك زير عكس اون را مي تونيد ببينيدو وقتي روي ignori يا cancel كليك مي كنيم ديگر در اينترنت وارد سايت هايي كه يوزر نيم و پسورد مي خوان نمي تونيم بشيم.و هر چه فايلي را كه آدرس مي ده پاك مي كنيم دوباره جايگزين مي شه. بايد اين را بگم كه اين ويروس وقتي به اينترنت وصل هستيم فعال هست.لطفاً كمكم كنيد.اگر مي دونستيد به من ايميل بزنيد behzad777@gmail.com
لطفا تصویرش رو در این هاست [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) آپلود و لینکش رو در اینجا قرار بده .
ضمنا این انجمن مکان مناسبتری برای مطرح کردن این سؤال هست :
آنتي ويروس و نرم افزارهاي امنيتي ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

dkhx2000
22-03-2007, 04:34
در تازه ترين گزارش خود از وضعيت امنيتي رايانه ها و شبكه هاي سرتاسر جهان، با اعلام هشدار در خصوص افزايش بي سابقه استفاده از فن آوري rootkit در بدافزارهاي رايانه اي، فهرست ويروس ها و كدهاي مخرب مهم كشف شده در هفته گذشته را منتشر نمود:
كرم رايانه اي Piggi.B - تروژان ReverseClick.A - يك آگهي افزار با عنوان VideoCash - و نيز يك برنامه مزاحم،(PUP)، با نام XPCSpy از نشانه هاي وجود تروژان ReverseClick.A در سيستم، تعويض عملكرد كليد هاي راست و چپ ماوس با يكديگر و جلوگيري از بازشدن فايل هاي اجرايي ست. عدم نمايش درايوهاي حافظه اي سيستم و آيكون هاي موجود در Desktop ويندوز، غير فعال كردن Registry Editor Windows و task manager، حذف برخي از آيكون ها مانند گزينه Search موجود در منوي start و آيكون Recycle bin و هم چنين غيرفعال كردن كليه منوهاي ايجاد شده توسط كليك راست ماوس از مزاحمت ها و عملكردهاي آزارنده اين كد مخرب محسوب مي شوند.

اين تروژان، قادر به انتشار خودكار نمي باشد و براي نفوذ به رايانه ها و شبكه ها به دخالت خرابكاران اينترنتي و يا كاربران ناآگاه نياز دارد. استفاده از فلاپي ديسك ، CD و نامه هاي الكترونيك آلوده، داونلود از اينترنت، دريافت فايل آلوده از طريق كانال هاي FTP و IRC و شبكه هاي اشتراك فايل P2P نيز روش هايي براي گسترش و انتشار ReverseClick.A مي باشد. VideoCash، يك آگهي افزار است كه با نفوذ در رايانه ها، فايل هايي به شكل Shortcut در صفحه نمايش اصلي ويندوز ايجاد كرده و پيغام هاي خاصي را براي كاربر نمايش ميدهند. اين پيغام هاي غير واقعي به كاربر هشدار ميدهد كه رايانه وي مورد حمله برخي كدهاي مخرب واقع شده و بهتر است كه وي با كليك بر روي لينك هاي پيشنهاد شده در اين پيغام، ويروس هاي موجود بر روي رايانه خود را پاكسازي كند. كاربران نيز با دنبال كردن اين لينك ها، موفق به بررسي و ويروس يابي رايانه خود مي شوند اما به هيچ وجه قادر به پاكسازي آنها از سيستم خود نخواهند شد، زيرا اين تنها حربه اي براي تبليغ محصول امنيتي مورد نظر و درخواست پول از كاربر در قبال پاكسازي رايانه وي از كدهاي مخرب است. XPCSpy، كد مخربي ست كه با استفاده از فن آوري rootkit، حضور و فعاليت خود را از رديابي برنامه هاي امنيتي نصب شده در سيستم، پنهان نگاه مي دارد.

اين كد، از نوع برنامه هاي مزاحم و ناخواسته، (PUP)، مي باشد كه با نفوذ و نصب در رايانه ها، اطلاعات مختلف ذخيره شده در آن را سرقت مي كند. اين بدافزار، قابليت هاي بسيار خطرناكي چون ضبط تصويرهاي صفحه نمايش (screenshot)، سرقت اطلاعات وارد شده توسط كاربر در اينترنت، ثبت اطلاعات مربوط به وب سايت هاي مورد بازديد وي و نيز جمع آوري آدرس هاي الكترونيكي مبادله شده در پيغام هاي فوري كاربران برنامه هاي چت، مي باشد. Piggi.B، يك كرم رايانه اي ست كه به علت استفاده از rootkit، عملكردهاي تخريبي خود را به شكل كاملاً نامحسوس انجام ميدهد و رديابي آن توسط بسياري از برنامه هاي امنيتي تقريباً نا ممكن است. اين كد، با استفاده از اسامي شركت هاي معتبر امنيتي و اينترنتي، در قالب نامه هاي الكترونيكي مهم، در شبكه اينترنت منتشر شده و با نفوذ در رايانه ها خود را به شكل آيكون برنامه Internet Explorer، در آن ها كپي مينمايد. كارشناسان امنيتي پاندا، بر اين عقيده اند كه با توجه به افزايش روزافزون استفاده از فن آوري rootkit در طراحي كدهاي مخرب رايانه اي، كاربران اينترنت بهتر است به همراه نرم افزارهاي امنيتي معمول مورد استفاده خود، از فن آوري هاي "حفاظت پيشگيرانه" مانند فن آوري قدرتمند TruPrevent نيز استفاده كنند.

اين نوع فن آوري هاي پيشرفته قادر هستند، ويروس هاي ناشناخته، ثبت نشده و بسيار جديد را نيز قبل از نفوذ به سيستم، شناسايي و خنثي كنند. كليه كاربران اينترنت، براي اطمينان از عدم آلودگي سيستم هاي خود به كدهاي مخرب فوق و نيز ساير تهديدات و آلودگي هاي رايانه اي، مي توانند از برنامه رايگان Panda ActiveScan، به آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده نمايند.

علاوه بر اين برنامه، يك نرم افزار ديگر تحت عنوان Panda NanoScan، نيز به طور رايگان در اختيار كاربران اينترنت قرار گرفته تا بتوانند امنيت رايانه هاي خود را در مدت زماني كمتر از 60 ثانيه بررسي كنند.

منبع: Panda Software

satttanism
08-04-2007, 14:10
آزمایشگاه تخصصی Kaspersky موفق شده است تا اولین ویروس دستگاه iPod در جهان را شناسایی کند. این ویروس توسط کارشناسان شرکت امنیتی Kaspersky در آزمایشگاه تخصصی این شرکت تولید شده است تا آسیب پذیر بودن دستگاه های iPod نسبت به ویروسها را ثابت کند.

iPod برای اولین بار است که با مسئله هجوم ابزارهای مخرب مواجه می شود. کارشناسان عقیده دارند که اثبات آسیب پذیر بودن این دستگاه نسبت به کدهای مخرب ویروس ها می تواند اخطار قابل توجهی برای کارشناسان نسبت به امنیت این دستگاه باشد.

بر طبق گفته شرکت "کسپراسکای"، این ویروس تنها می تواند دستگاه های iPod مبنی بر سیستم عامل لینوکس را آلوده سازد. به این ترتیب این ویروس تهدیدی برای کاربرانی خواهد بود که سیستم عامل لینوکس را جایگزین سیستم عامل پیش فرض اپل کرده اند و تعداد این کاربران بسیار محدود میباشد.

تنها ویروس موجود برای دستگاه iPod لقب "Podloso" را به خود گرفته است. قربانی باید ویروس را بارگذاری و اجرا نماید تا آلوده این ویروس شود.شرکت Kaspersky تولید این ویروس را تنها هشداری به چشم انداز امنیت دستگاه های مشابه iPod می داند.

اما عده دیگری از متخصصان امنیتی هیچ عقیده ای به جدید بودن این گونه از ویروس ها ندارند. آنها می گویند:" همچنان که در گذشته تعداد بیشماری از ویروس ها دستگاه های مختلف مبنا بر گذرگاه USB را آلوده ساخته اند این نمونه از ویروس مخصوص iPod به هیچ وجه بحث جدیدی در امنیت دستگاه های جانبی نخواهد بود."

در حدود سه سال پیش نیز شرکت امنیتی F-Secure با معرفی اولین ویروس تلفن های همراه هوشمند توانست تا قبل از ساخته شدن ویروس های مخرب، هشدار لازم را به کارشناسان اعلام کند و اکنون صدها نمونه مختلف ویروس برای موبایل ها توسط ویروس نویسان تولید شده است.

مشاهده: اطلاعات بیشتر ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
منبع خبر: WinBeta.Net (نقل از TechNewsWorld)

satttanism
14-04-2007, 19:02
در جديدترين گزارش Panda Software، در خصوص وضعيت بدافزارهاي مهم جهان در هفته گذشته، از تروژان Cimuz.EL به عنوان يك كد مخرب بسيار خطرناك نام برده شده كه بسياري از رايانه هاي خانگي و شبكه هاي جهان را مورد حمله خود قرار داد. تروژان هاي Gogo.A، كرم هاي رايانه اي UsbStorm.A و Nurech.Z و نيز حفره هاي امنيتي ترميم شده توسط مايكروسافت نيز از موضوعات مورد بررسي در اين گزارش هستند.

در هفته اي كه گذشت، Cimuz.EL در حدود 57 در صد از كل كدهاي مخرب رديابي شده توسط آزمايشگاه هاي پاندا را به خود اختصاص داد.
ريسك تخريبي Cimuz.EL به علت ويژگي مهم اين تروژان در سرقت اطلاعات مختلف از رايانه ها و شبكه هاي مشخص (انجام حمله هاي هدفدار) بسيار بالاست. اين كد، در چند مرحله جداگانه در رايانه ها نفوذ كرده و فعاليت هاي تخريبي خود را به شكل كامل انجام ميدهد. با داونلود شدن بخش اصلي و نهايي اين تروژان، هرنوع اطلاعات ذخيره شده در رايانه مورد حمله، در معرض سرقت قرار گرفته و با ايجاد يك فايل DLL در برنامه IE، احتمال سرقت و ازبين رفتن كليه اطلاعات و داده هاي مربوط به اين برنامه نيز به شدت افزايش مي يابد. تمام اطلاعات و داده هاي مسروقه نيز بعدها توسط اين تروژان به خالق و انتشار دهنده اصلي آن ارسال مي گردد.

Gogo.A يك كد مخرب جديدالانتشار با قابليت هاي فن آوري rootkit مي باشد كه براي سرقت داده ها و اطلاعات تايپ شده توسط كاربر در صفحات وب طراحي شده است. به اين منظور، اين تروژان خود را بعنوان يك كد مجاز افزودني براي برنامه IE،‌ در سيستم نصب كرده، عملكردهاي كاربر را در هنگام اتصال به اينترنت، به طور دقيق زير نظر مي گيرد و همين كه وي شروع به تايپ كردن در يك صفحه وب نمايد، Gogo.A، نيز شروع به سرقت عبارت هاي وارد شده مي كند. اين تروژان نيز قادر است اطلاعات و داده هاي مسروقه را به خالق و يا انتشار دهنده اصلي خود ارسال كند.

به عقيده كارشناسان امنيتي پاندا، هدفدار بودن حملات مخرب و نيز استفاده از فن آوري rootkit، جزو خصوصيات جديد اغلب كدهاي مخرب گرديده كه رديابي، شناسايي و پاكسازي آنها را از سيستم ها و شبكه ها بسيار دشوار ساخته است.

UsbStorm.A، يك كرم رايانه اي ست كه از طريق كپي كردن خود در فلش ديسك ها و حافظه هاي جانبي داراي پورت USB، منتشر مي گردد. با اتصال يكي از اين ابزار به ورودي پورت USB رايانه، اين كرم رايانه اي به طور خودكار فعال شده و آن را آلوده مي كند. سپس از طريق همين ابزار به رايانه هاي ديگر نفوذ كرده و آنها را نيز آلوده مي نمايد. با اتصال سيستم هاي آلوده به اينترنت، UsbStorm، سعي مي كند تا با داونلود نسخه هاي جديدتر، خود را بروز كند.

Nurech.Z، نيز يك كرم رايانه اي ست كه از طريق نامه هاي الكترونيكي با موضوعات مختلف، بويژه اعلام هشدار در خصوص آلوده شدن سيستم، توسط انواع مختلفي از بدافزارها منتشر مي گردد. اين نامه ها سعي مي كنند كه اعتماد كاربر را جلب كرده و وي را به نصب برنامه اي با عنوان اصلاحيه هاي ترميمي و خنثي سازي بدافزارهاي كشف شده، ترغيب نمايند.
Nurech.Z، خود در يك فايل فشرده رمزدار كه ضميمه اين نوع نامه ها محسوب مي شود، قرار داده شده و كاربر براي نصب اصلاحيه هاي امنيتي مربوط به ترميم آسيب پذيري ها و پاكسازي رايانه خود، درواقع عمليات نصب اين كرم رايانه اي را اجرا خواهد كرد.
Nurech.Z قادر است فعاليت بسياري از برنامه هاي امنيتي نصب شده در سيستم را متوقف ساخته، تمام آدرس هاي الكترونيكي موجود در سيستم مورد حمله خود را، يافته و خود را به آنها ارسال نمايد. از نكات جالب توجه در خصوص اين كد مخرب وجود دو روش مختلف از نوع rootkit، مي باشد كه يكي از آن ها براي پنهان نگاه داشتن عملكردهاي تخريبي و دشوار ساختن رديابي اين كد و ديگري براي جستجوي آدرس هاي الكترونيكي موجود در سيستم آلوده، ايجاد فايل هاي رمزدار با پسوند .gif و نيز ارسال مستمر هرزنامه مي باشد.

از اتفاقات امنيتي مهم روي داده در هفته گذشته، انتشار 5 اصلاحيه مهم امنيتي شركت مايكروسافت براي ماه آوريل بوده است. اين شركت، 4 مورد از نقص هاي امنيتي قابل ترميم توسط اين اصلاحيه ها را بحراني اعلام كرد.

آسيب پذيري هاي ترميم شده در اين بروزرساني ها شامل اين موارد هستند:

* دو حفره امنيتي بحراني در برنامه Microsoft Content Management Server
* يك آسيب پذيري بحراني در Universal Plug and Play ويژه سيستم عامل ويندوز اكس پي
* آسيب پذيري بحراني در Microsoft Agent مربوط به سيستم عامل ويندوز ويستا
* نقص امنيتي بحراني كشف شده در CSRSS، مربوط به ويندوز ويستا و نيز ويندوز ويستا x64
* و حفره امنيتي مهم در Windows Kernel

كاربران مي توانند كليه اصلاحيه هاي امنيتي مربوط به آسيب پذيري هاي فوق را با مراجعه به این آدرس داونلود نمايند.

كليه كاربراني كه قصد دارند از عدم آلودگي رايانه هاي خود به كدهاي مخرب و حفره هاي امنيتي فوق و نيز ساير بدافزارهاي رايانه اي اطمينان حاصل كنند، مي توانند از برنامه رايگان و آنلاين TotalScan به این آدرس استفاده نمايند.
tarashe.com

satttanism
17-04-2007, 15:37
گونه های متعددی از ویروس Storm Worm كشف شد
طبق بررسی دو شركت نامدار Sans و Postini اخیرا گونه‌‏های جدیدی از ویروس Storm Worm در شبكه اینترنت منتشر شده است.

از آنجا كه ماهیت ارسال این ویروس‌‏ها از طریق ایمیل است بی شك گونه‌‏های جهش یافته‌‏ای از ویروس Storm Worm هستند كه بنیاد اصلی فعالیت آن بر محور ارسال ایمیلی می‌‏چرخد. این گونه‌‏های جدید ویروس به همان صورت فعالیت ویروس‌‏های Storm Worm كه با استفاده از یك فایل تك EXE و به وسیله ایمیل ارسال می‌‏شد و پس از ورود به سیستم رایانه‌‏ای برنامه‌‏های مخرب بر روی سیستم‌‏ها نصب می‌‏كردند, فعالیت می‌‏كند.

از این رو این دو شركت معتقدند ویروس‌‏های جدید نه گونه‌‏ای جدا بلكه گونه‌‏های جهش یافته‌‏ای از ویروس Storm Worm هستند.

طبق گزارش شركت Postini، این ویروس‌‏های جدید كه با نام‌‏های NUWAR و یا ZHELATIN منتشر شده است تقریبا به همان غافل‌‏گیری كه ویروس‌‏های Storm Worm به سیستم ها حمله می‌‏كنند.

طبق گزارش این شركت طی 24 تا 48 ساعت اخیر بیش از 55 میلیون ایمیل حاوی این ویروس‌‏ها به سیستم‌‏های كاربران ارسال شده و رایانه‌‏های آن‌‏ها را ویروسی كرده است.

منبع خبر: ایلنا

Mohsen khan
22-04-2007, 19:32
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات

در جديدترين گزارش منتشر شده از سوي شركت نرم‌افزاري پاندا، اسامي و ويژگي مهم‌ترين ويروس‌هاي رايانه‌يي در هفته‌ي گذشته منتشر شد.
به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، در اين گزارش، از تروژان Artesimda، كرم رايانه‌يي خطرناك Rinbot.Q و نيز حملات تركيبي گونه‌هايي از كدهاي مخرب Spamta به عنوان مهم‌ترين تهديدها عليه كاربران خانگي و شبكه‌هاي رايانه‌يي نام برده شده است.
حملات تركيبي Spamta توسط كرم رايانه‌يي Spamta. WF و تروژان SpamtaLoad.DW به نحو خاصي انجام مي‌شوند؛ تروژان فوق پس از نفوذ در رايانه‌هاي مورد حمله، Spamta.WF را در آن‌ها دانلود مي‌كند.
اين كرم نيز به نوبه خود تمام آدرس‌هاي الكترونيكي موجود در سيستم‌هاي آلوده را يافته و نامه‌هاي حاوي تروژان SpamtaLoad.DW را به آن‌ها ارسال مي‌كند و در نتيجه اين چرخه با انتشار فوق‌العاده سريعي ادامه مي‌يابد.
موضوع نامه‌هاي حاوي تروژان فوق كاملا متنوع است و اغلب مربوط به روابط دوستانه و صميمانه يا اعلان خطا است و فايل ضميمه‌ي اين نامه‌ها نيز با عناويني چون «body» ،«doc» ،«data» داراي پسوندهاي msg. و يا txt. هستند كه با دانلود شدن SpamtaLoad.DW يك فايل اجرايي كه شبيه به فايل‌هاي متني طراحي شده است در رايانه آلوده كپي مي‌شود و با اجراي اين فايل تروژان فوق نيز فعال شده و شروع به تخريب سيستم مي‌كند.
بر اساس اين گزارش Rinbot.Q يك كرم رايانه‌يي است كه از فن‌آوري‌هاي rootkit استفاده كرده و از دو حفره‌ي امنيتي مهم در سيستم عامل ويندوز براي انتشار استفاده مي‌كند. نقص‌هاي امنيتي مربوط به سرويس‌هاي DNS و عملكرد .LSASS اين كد مخرب قادر است بدافزارهاي خاص ديگري را نيز در رايانه‌هاي مورد حمله‌ي خود دانلود كرده و در برنامه‌هاي مديريتي اختلال جدي ايجاد كند.
اما يكي از تهديدهاي رايانه‌يي خطرناك در هفته‌ي گذشته، تروژان Artesimda بود كه يك حساب كاربري ديگر با استفاده از نام و رمز عبور كاربر اصلي (Administrator) در سيستم مورد نفوذ خود ايجاد كرده و كليه‌ي اطلاعات موجود در آن را سرقت مي‌كند.
علاوه بر اين، Artesimda قادر است شرايط مناسبي را براي خرابكاري اينترنتي و هكرها در به دست گرفتن كنترل كامل رايانه‌ها و شبكه‌هاي آلوده ايجاد كند، اين كار به راحتي توسط در اختيار داشتن آدرس IP و رمز شخصي كاربر اصلي رايانه قابل انجام است.
سرقت كليه‌ي اطلاعات وارد شده توسط كاربر در صفحات وب مانند اطلاعات محرمانه‌ي مالي اعتباري و انواع رمزهاي عبور، ارسال آن‌ها به طراح و منتشر كننده‌ي خود، ايجاد تغييراتي در رجيستري ويندوز به منظور غير فعال كردن فايروال ويندوز XP و اطمينان از اجراي مجدد با هر بار راه‌اندازي سيستم عامل نيز از عملكردهاي تخريبي اين تروژان محسوب مي‌شو

satttanism
28-04-2007, 22:37
وضعيت امنیتی رايانه های جهان در سه ماهه نخست سال 2007

Panda Software، با انتشار گزارشی در خصوص وضعیت امنیت IT در سه ماهه نخست سال 2007، هدف اصلی تهدیدهای رایانه ای در این دوره را سرقت مستقیم اطلاعات محرمانه و حساس، اعلام كرد.

در این گزارش عنوان شده است كه تروژانها با ایجاد 31 درصد از كل آلودگی های رایانه ای در سرتاسر جهان، بزرگترین تهدید علیه كاربران اینترنت و امنیت اطلاعات آنها، محسوب می شوند.

تروژان (Trojan)، نوعی از كدهای مخرب است كه بطور خاص برای نفوذ به رایانه ها و سرقت اطلاعات ذخیره شده و یا در حال تبادل، طراحی ومنتشر می گردد.

در گزارش مشابهی كه در سال گذشته میلادی منتشر شد، Spyware ها (جاسوس افزاها)، رتبه نخست حملات مخرب را به خود اختصاص داده بودند؛ اما در پی جهت گیری جدید طراحان كدهای مخرب و خرابكاران اینترنتی، تعداد تروژان ها به طرز چشمگیری افزایش یافته و از روزهای پایانی سال 2006 تا كنون، آنها بعنوان مهمترین بدافزار رایانه ای شناخته می شوند.

پس از تروژانها، adware ها (آگهی افزارها)، عنوان بعدی مهمترین تهدید رایانه ای جهان را با 28 درصد حملات كشف شده، به خود اختصاص داده اند. این نوع از بدافزارها، موجب نمایش آگهی و تصاویر ناخواسته ای می شوند كه با وجود ریسك پایین امنیتی خود، بسیار دردسر ساز و آزارنده محسوب می گردند.

اغلب كارشناسان امنیتی بر این عقیده هستند كه این دو نوع بدافزار، سریعترین راه رسیدن به پول و درآمدهای هنگفت برای مجرمان اینترنتی به حساب می آیند.

بنا بر همین گزارش، گذشته از نقش قابل توجه تروژان ها در آلودگی و تخریب رایانه ها، كرم رایانه ای Sdbot.ftp، با اختصاص 2 درصد از كل حمله های مخرب جهان در سه ماهه نخست سال 2007، در صدر فهرست مهمترین بدافزارهای رایانه ای قرار گرفت.

این كد، با انتشار بسیار سریع خود در رایانه های متصل به اینترنت، سبب اختلال در عملكرد بسیاری از شبكه های محلی، كند شدن بیش از حد سیستم ها و روش و خاوش شدن پی در پی آن ها گردیده و از بدافزارهای فوق العاده فعال محسوب می گردد.

كاربران اینترنت برای اطمینان از عدم آلودگی رایانه ها و پیشگیری از سرقت اطلاعات حساس و محرمانه خود می توانند با مراجعه به آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] بطور رایگان از دو برنامه قدرتمند NanoScan و TotalScan استفاده كرده و از امنیت محیط عملكردی خود در اینترنت به خصوص در هنگام معاملات و مبادلات مالی و اعتباری آنلاین مطمئن شوند.

منبع خبر: Mec Security

Mohammad
17-06-2007, 03:06
ه گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از شركت امنيتي پاندا ، ترواي BankFake.F، گونه‌هاي مختلفي از يك كرم رايانه‌اي جديد با عنوان MSNHideOptions و كرم اينترنتي Grogotix.A، به‌عنوان مهم‌ترين عوامل حملات رايانه‌اي در هفته گذشته، معرفي شدند.
BankFake.F، يك اسب ترواي خطرناك است كه براي سرقت اطلاعات محرمانه‌ مربوط به كاربران موسسات مالي اعتباري و بانك‌ها، مورد استفاده مجرمان اينترنتي قرار مي‌گيرد و تا كنون 9 شركت و بانك بزرگ در جهان مورد حمله‌ آن قرار گرفته‌اند.
اين برنامه مخرب از طريق نامه‌هاي الكترونيكي و دانلود فايل‌هاي آلوده از اينترنت منتشر مي‌شود؛ در رايانه‌هاي مورد حمله آيكوني به شكل دو لاك پشت در كنار يكديگر ايجاد خواهد شد كه مهم‌ترين نشانه بصري نفوذ اين بدافزار محسوب مي‌شود. ‌در صورتي كه مشتري‌هاي آنلاين موسسات مالي مورد حمله اين تروا، وارد وب سايت اين موسسات شوند، BankFake.F، بدون جلب توجه كاربران، صفحه اصلي بانك را بسته و تصويري را شبيه به وب سايت مورد نظر نمايش مي‌دهد تا كاربر، اطلاعات محرمانه خود را به جاي صفحه حقيقي، در صفحه‌اي كاذب وارد كند كه اين اطلاعات حساس، پس از جمع آوري شدن توسط اين تروا، از طريق يك وب سايت FTP و به صورت تدريجي به خرابكاران و مجرمان اينترنتي ارسال مي‌شوند.
يكي از مهم‌ترين حملات مخرب رايانه‌اي در هفته گذشته، توسط گونه‌هاي مختلفي از كرم MSNHideOptions،‌ انجام گرفت كه از نشانه‌هاي آلودگي سيستم به اين كدهاي مخرب، نمايش دو پيغام مختلف به زبان اسپانيايي، ايجاد يك فولدر با نام MisContactos حاوي كليه آدرس‌هاي الكترونيكي موجود در رايانه‌ آلوده و نيز جلوگيري از نمايش برخي از گزينه‌هاي موجود در منوي start ويندوز مانند Run، Search و Help است.
گونه‌هاي مختلف اين ويروس از طريق پست الكترونيكي و يا برنامه‌ي پركاربرد MSN Messenger منتشر مي‌شوند و پاندا به كاربران اين نرم‌افزار توصيه كرده است كه به هيچ وجه بر روي لينك‌هاي ناشناخته و نامربوطي كه براي آن‌ها ارسال مي‌شود كليك نكنند. ‌‌بر اساس اين گزارش Grogotix.A نيز يك كرم رايانه‌ايست كه پس از آلوده كردن سيستم، كپي‌هاي مختلفي از خود را در آن قرار مي‌دهد و هرگاه كاربر اين سيستم روي هركدام از فولدرهاي مورد نظر خود كليك كند، فولدر ديگري درست مشابه فولدر مورد نظر كاربر، در كنار آن ايجاد مي‌شود. ‌Grogotix.A قادر به تغيير ورودي‌هاي رجيستري ويندوز است كه يكي از اين تغييرات موجب فعال شدن كرم، در هر بار راه‌اندازي سيستم شده و تغييرات ديگر باعث عدم نمايش برخي از گزينه‌هاي موجود در منوي start مي‌شوند.
اين كد مخرب با دسترسي به يك شبكه IRC، به تعدادي سرور متصل شده و اطلاعات مربوط به سيستم‌هاي آلوده را براي منتشر كننده‌ خود ارسال مي‌كند و اغلب پيغام‌هايي به صورت تصادفي براي كاربران اينترنت ارسال مي‌شود كه در صورت كليك كردن بر روي آنها، توسط Grogotix.A مورد حمله قرار خواهند گرفت.

Mohammad
24-06-2007, 02:11
در جديدترين گزارش Panda Software، از وضعيت امنيتي رايانه ها و شبكه هاي جهان، فهرست مهمترين و شايعترين كدهاي مخرب در هفته گذشته، منتشر شد.

بنا بر اين فهرست، تروژان جديد و خطرناك Harrenix.A، با تحريك كاربران به داونلود و يا مشاهده تازه ترين نسخه از فيلم هاي مشهور هري پاتر و سپس نفوذ به رايانه ها، تروژان Suarabh.A و نيز كرم هاي اينترنتي Moaphie.A و Trixcu.A بعنوان مهمترين عوامل حملات مخرب رايانه اي جهان در هفته گذشته، معرفي شده اند.

جنجالي ترين تهديد رايانه اي كه در طي چند روز گذشته توسط شركت هاي مهم امنيتي رديابي شده و كاربران بسياري را با مشكل مواجه نمود، تروژاني بود با عنوان Harrenix.A، كه از طريق فريب كاربران در مشاهده و داونلود رايگان آخرين نسخه از سري فيلم هاي مشهور هري پاتر، سيستم ها را مورد حمله خود قرار ميداد. اين تروژان كه هنوز هم داراي سطح انتشار بالايي در شبكه جهاني اينترنت مي باشد، با كليك بر روي قسمت مشاهده فيلم، فعال شده و با نفوذ خود در سيستم، بر روي آن نصب مي گردد. در اين حالت با نمايش يك پيغام خطا در خصوص عدم نمايش فيلم مورد نظر كاربر، از وي خواسته مي شود كه با كليك بر روي يك لينك خاص به وب سايت رسمي اين فيلم، مراجعه كند.

Harrenix.A، به محض فعال شدن در سيستم، يك كد مخرب از نوع dialer (شماره گير) را در آن نصب مي نمايد كه بدون جلب توجه كاربر، سبب اتصال وي به شبكه اينترنت از طريق ارتباط هاي بسيار گران قيمت خواهد گرديد. به گفته مسئولان پاندا، با وجود اقبال عمومي به فيلم هاي پرفروش و جذاب سينمايي، مشاهده رايگان و يا داونلود اين فيلم ها در اينترنت، مي تواند سوژه مناسبي براي خرابكاران اينترنتي در فريب كاربران و نفوذ به رايانه هاي آنها باشد. اما كد Moaphie.A، كرم اينترنتي خطرناكي ست كه با آلوده كردن رايانه ها، صفحه خانگي مرورگر Internet Explorer را تغيير داده و به جاي آن يك صفحه مخرب قرار مي دهد.

با فعال شدن اين كرم در سيستم، برخي اطلاعات محرمانه و حساس كاربر مورد حمله مانند آدرس IP، نام كاربري و غيره، توسط اين كد مخرب سرقت شده و به منتشر كننده و يا خالق آن ارسال مي گردد. Moaphie.A، براي انتشار بيشتر، خود را در دايركتوري ريشه درايوها كپي كرده و نيز از حافظه هاي جانبي داراي اتصال USB استفاده مي كند. برنامه هاي چت همزمان مانند MSN Messenger نيز از راه هاي اصلي انتشار اين كد به حساب مي آيد. ايجاد فايل هايي به نام autorun.exe،‌ در بسياري از فولدرها و قسمت هاي موجود در حافظه داخلي سيستم و نيز نمايش پيغام "Fatal Error. kernel32.dll can't be loaded" درابتداي راه اندازي سيستم عامل، از نشانه هاي اصلي حضور اين كرم در رايانه محسوب مي شود.

از ميان عملكردهاي تخريبي و مهم اين كرم اينترنتي نيز مي توان به غيرفعال ساختن command console با نمايش پيغام THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!! اشاره كرد. كرم رايانه اي Trixcu.A نيز از بدافزارهاي مهم هفته گذشته بود كه به محض فعال شدن، يك پيغام خطا براي كاربر نمايش داده و شروع به انجام عملكردهاي تخريبي متنوعي مانند كپي شدن در بخش هاي مختلف سيستم، ايجاد تغييراتي در رجيستري سيستم عامل، تغيير نام كاربرو نام مالك سيستم عامل ثبت شده در رايانه مورد حمله، مي نمايد.

بر اساس گزارش پاندا، تروژان Suarabh.A نيز از كدهاي مخرب و مهم هفته گذشته محسوب مي شود و به نحوي طراحي شده است كه عبارت هاي تايپ شده توسط كاربر در صفحات مختلف را ثيت كرده و بدين وسيله هرگونه اطلاعات حساس و محرمانه وي را سرقت نمايد. Suarabah.A، قادر است، مشخصات كليه فولدرهاي سيستم را به حالت هاي "غير قابل نمايش" و يا "فقط خواندني" تغيير دهد و بسياري از ورودي هاي رجيستري را نيز عوض كند. عدم دسترسي به منوي حاوي گزينه "folder options" و نيز گزينه "Windows Registry Editor" و دشواري بازگرداندن شرايط سيستم به حالت عادي خود از تبعات آلوده شدن رايانه ها به اين تروژان مي باشد.

--------------------
منبع: Panda Software

R10MessiEtoo
07-07-2007, 12:21
رفتار عجيب يك ويروس سخنگو

رفتار عجيب، تمسخرآميز و در عين حال مخرب يك ويروس جديد ، سبب هشدار شركت‌هاي امنيت فناوري اطلاعات به كاربران اينترنت در مورد اين ويروس شده است.

به گزارش روز جمعه ايرنا به نقل از يكي از نمايندگي‌هاي آنتي‌ويروس در ايران،تروجان ‪،BotVoice.A‬اين ويروس بانفوذ وآغاز فعاليت خود در سيستم‌ها، باصدايي بلندفرياد مي‌زند كه"رايانه شما مورد حمله من قرار گرفته" و تمامي فايل‌هاي سيستمي وساير اطلاعات موجود در هارد ديسك در حال از بين رفتن است.

اين ويروس اينترنتي با ابراز تاسف از اين مساله، از كاربران مورد حمله عذرخواهي كرده و براي آن‌ها روز خوبي را آرزو مي‌كند!
اين جملات براي چندين بار و به صورت پي‌درپي ادا مي‌شوند تا اينكه تمام اطلاعات ذخيره شده در ديسك سخت رايانه مورد حمله قرارگرفته‌و دربرابر چشمان بهت زده كاربران، پاك شده و به صورت كامل از بين مي‌رود.

البته ‪BotVoice.A‬در برخي از حملات خود ، همه اطلاعات سيستمي رايانه را از بين نمي‌برد، اما با ايجاد تغييرات گسترده در سيستم عامل و اختلال شديد در عملكرد رايانه‌ها سبب غير فعال‌شدن تمامي برنامه‌هاي نصب شده مي‌شود.

اين كد مخرب جديد ، علاوه بر پاك كردن اطلاعات موجود در رايانه و تمسخر كاربران مورد حمله خود ، قادر است با انجام يك تخريب ناگهاني و درعرض چند دقيقه، رايانه را از كار انداخته و شناسايي خود را عملا غيرممكن كند.

بنابر اين در چنين مواردي بهترين اقدام حفاظتي، استفاده از فناوري‌هاي امنيتي پيشگيرانه براي شناسايي و خنثي‌سازي ويروس‌هاي ناشناخته و بسيار جديد است.

از راه‌هاي انتشار اين "تروجان" مي‌توان به حافظه‌هاي جانبي قابل اتصال به پورت‌هاي ورودي سيستم و دانلوود فايل‌هاي آلوده به‌شكل خودكار و يا توسط كاربر، در هنگام جستجو در اينترنت، اشاره كرد.

كارشناسان براي رديابي وپيشگيري سريع اين كدمخرب، استفاده‌از برنامه‌هاي آنلاين ‪NanoScan‬و ‪TotalScan‬را به تمامي كاربران اينترنت توصيه مي‌كنند.

R10MessiEtoo
14-07-2007, 14:20
ربع قرن پس از حمله اولین ویروس رایانه ای !

ماهنامه علمی ساینس به مناسبت فرارسیدن بیست و پنجمین سالروز ساخت اولین ویروس رایانه ای ، مقاله ای را منتشر کرده و در آن فعالیت و توسعه ویروس ها و دیگر برنامه های مخرب رایانه ای را مورد بررسی قرار داده است.

به گزارش خبرگزاری مهر، این مقاله به قلم ریچارد فورد از موسسه فناوری فلوریدا و ایژن اسپافورد از دانشگاه پوردو نوشته شده است.

در این مقاله آمده است: در سال 1985یک دانشجوی دانشگاه پیستبورگ اولین نمونه از نرم افزارهای مخرب را با عنوان " Elk Cloner" اختراع کرد. این ویروس از طریق تبادل اطلاعات داخل فلاپی دیسک منتقل می شد. در آن زمان به نظر می رسید این ویروس بسیار دلخراش باشد. یک خبر عجیب که باوجود این، نگرانی های زیادی را موجب نشد. به طوری که تقریبا هیچکس نمی دانست صدماتی که ویروس ها در مدت این 25 سال به دنیای انفورماتیک وارد می کنند برابر با میلیاردها دلار است. حتی امروزه هم کمتر کسانی می توانند هزینه های صنعت آنتی ویروس ها را تصور کنند. امروزه ویروس های رایانه ای از فضای زیادی برای زندگی برخوردارند و روز به روز گسترده تر می شوند.

ویروس های معروف
ویروس های رایانه ای به پردازشگرهای رایانه ها آسیب می رسانند. برای شناسایی ویروس های بسیار معروف نیازی نیست که به زمان های دور برگردیم. درحقیقت ویروس (کرم) "Morris Worm" در سال 1988 با آلوده کردن شبکه اینترنت که در آن زمان اولین گام های خود را برمی داشت، تمام دنیا را آلوده کرد.

چند سال بعد در 6 مارس 1992، اپیدمی جهانی ویروس لگام گسیخته "میکل آنژ" میلیاردها دلار به رایانه های تمام دنیا خسارت وارد کرد. همچنین ویروس های متاخر " کد قرمز" ، " نیمدا" و "ملیسا" را نباید از یاد برد.

اما از زمانی که ویروس ها پا به عرصه وجود گذاشتند، برنامه های مخرب هم ظهور یافتند. این برنامه ها به سرعت از طریق پست الکترونیک که هدف اصلی هجوم آنها بود، گسترش می یافتند. به این برنامه های مخرب به شکار اطلاعات شخصی مهمی چون کدهای کارت های اعتباری می پرداختند، عنوان " فیشینگ" اطلاق شد.

همچنین برنامه های مخرب دیگری که به برنامه های جاسوسی یا "اسپای ور" معروف شدند نیز صدمات زیادی به دنیای انفورماتیک وارد کردند.

راه حل ها و افسانه های غلط
متاسفانه به نظر نمی رسد که حتی پس از گذشت یک ربع قرن این تعرضات خطرناک روبه پایان باشند. سیستم های انفورماتیکی هر روز پیچیده تر و مملو از عملکردهای مختلف می شوند و درنتیجه حملات نفوذی هم شدیدتر و مخرب تر می شوند.
عقیده رایج براین است که "ویروس ها تنها برای مایکروسافت مشکل ساز هستند" و برای مثال به نظر می رسد که رایانه های "مک" اپل از این نظر مشکلی نداشته باشند. همانطور که سیستم عامل های "لینوکس" و "یونیکس" امن تر از "ویندوز" هسنتد
اما این یک اشتباه محض است و درحقیقت هیچ سیستمی کاملا امن نیست.

شاید برخی از محصولات مایکروسافت انتخاب های ساختاری مناسبی برای اینگونه حملات باشند اما بی تردید سیستم های مک و یونیکس نیز می توانند مورد حملات پردامنه ای قرار گیرند. به هرحال باید پذیرفت که این مشکل تنها با انتخاب یک سکوی سیستم عامل حل نمی شود.

پیچیدگی ها و امکانات
به اعتقاد مولفان مقاله ساینس، رایانه های مدرن به همان اندازه رایانه های ساده در معرض خطر هستند. رشد پیچیدگی آنها ناشی از "لباس فناوری" است که مصرف کنندگان بر قامت آنها دوخته اند. هرچند نباید فراموش کرد که این لباس تنها ویژه رایانه های نیست و برخی از تلفن های همراه کم اهمیت تا قویترین ابزارهای قابل حمل نیز در معرض این خطرات قرار دارند به طوری که ویروس ها همگام با رشد میزان اتصال حتی به این ابزارها هم نفوذ کرده اند.

عامل انسانی
به نظر می رسد نابودی برنامه های مخرب بسیار دور باشد. هیچ یک از متخصصان و محققان قادر به محافظت کامل از رایانه ها نیستند و انسان ها اغلب "حلقه ضعیفی " در حل این مشکل هستند. به اعتقاد بسیاری از محققان برای رفع محدودیت های طبیعت انسان زمان زیادی نیاز است. بنابراین ما همچنان مجبوریم از هم اکنون خود را برای برگزاری سالروز ویروس ها در سال آینده آماده کنیم و به انتظار بنشینیم که در این یکسال چند ویروس و برنامه مخرب به رایانه های ما حمله ور می شوند.

satttanism
25-07-2007, 01:50
فهرست عجيب‌ترين ويروس‌هاي رايانه‌اي در نيمه نخست سال 2007

فاوانيوز: به عقيده كارشناسان امنيتي، سال 2007، شروعي تازه براي خرابكاران اينترنتي و هكرها بوده است تا علاوه بر افزايش تنوع عملكردهاي غيرقانوني، ‌روش‌هاي تخريبي عجيب و نامتعارفي را نيز بر حسب خلاقيت شخصي خود ابداع كرده و مورد استفاده قرار دهند.

به گزارش فاوانيوز، آزمايشگاه‌هاي امنيتي شركت پاندا گزارش داده‌اند كه اين مساله باعث شده است تا روش‌هاي نفوذ و تخريب بدافزارهاي رايانه‌اي نيز، به مراتب متنوع‌تر، متفاوت‌تر و نامتعارف‌تر از گذشته باشد.
اين بدافزارها به دلايل مختلفي چون، مضحكه كاربران و نرم‌افزارهاي امنيتي، خودنمايي و كسب اعتبار، رقابت، افزايش خسارت و يا حتي نمايش اعتقادات و باورهاي خرابكاران، بسيار عجيب و در عين حال جالب توجه هستند.
براساس گزارش پاندا، فهرستي از اين ويروس هاي عجيب و غريب كه در نيمه نخست سال 2007 ميلادي توسط PandaLabs، كشف و رديابي شدند، منتشر شد.



USBToy.A،‌ ويروس موعظه‌گر
اين كرم رايانه‌اي با نفوذ به سيستم‌ها و در كنار فعاليت‌هاي تخريبي خود به تبليغ ديني و ارشاد مذهبي كاربران مي‌پردازد. به عنوان مثال اين بدافزار، در هنگام راه‌اندازي سيستم عامل، آيه‌هايي از انجيل را براي كاربر نمايش داده و براي مردم جهان، رستگاري الهي آرزو مي‌كند.



Burglar.A، ويروسي كه زياد مي‌دانست
اين تروژان علاوه بر سرقت رمزهاي عبور و اطلاعات محرمانه ديگر، مشخصات دقيق جغرافيايي، اطلاعاتي و رايانه‌اي كاربران مورد حمله خود را به آنها اطلاع داده و به منتشر كننده خود ارسال مي‌كند.



ArmyMovement، با آرزوهاي بزرگ
اين كد مخرب كه به طور خاص در كشور تركيه بسيار مشهور شد، با ارسال پي درپي پيغام‌هاي غيرواقعي به كاربران (البته به زبان تركي)، ادعا مي‌كرد كه دستمزد كاركنان كشوري و لشگري دولت در آينده‌اي نزديك تا سقف 50 درصد افزايش خواهد يافت.



Rinbot.B، يك ژورناليست تمام عيار
انتشار اين كرم اينترنتي، بازتاب گسترده‌اي در رسانه‌هاي جهان داشت، زيرا علاوه بر تخريب وسيع سيستم‌ها، با نمايش يك مصاحبه تخيلي (اما كاملا حرفه‌اي) با خبرگزاري CNN، از دلايل و انگيزه‌هاي خالق و منتشر كننده خود، خبر مي‌داد.


XPCSpy، سارق چيره دست
هيچ نوع فايل، داده و يا اطلاعات مهم و حساس، از چشمان تيز بين اين تروژان خطرناك در امان نخواهد بود. عبارت‌هاي تايپ شده در صفحات وب، اطلاعات مربوط به پنجره‌هاي باز شده، برنامه‌هاي اجرا شده، وب‌سايت‌هاي مرور شده و يا حتي نامه‌هاي الكترونيك خوانده شده توسط كاربر، تنها بخشي از مواردي است كه اين كد خطرناك قادر به سرقت آنها است.



Ketawa.A، ويروس شوخ طبع
اين ويروس،‌ براي نخستين بار در كشورهاي جنوب شرق آسيا كشف شد، كه يه جاي اجراي عملكردهاي تخريبي و ايجاد اختلال در فعاليت سيستم، با استفاده از زبان مالايايي به ارسال لطيفه‌هاي پي در پي براي كاربر و تشويق وي به خنديدن مي‌پردازد.
البته ارسال پي درپي و بي موقع اين لطيفه‌ها، پس از مدت كوتاهي، كاربر مورد حمله اين بدافزار را از كوره به در خواهد برد.

Gronev.A، رفتار مهربان و خشونت پنهان
اين ويروس خطرناك كه اغلب جستجوگران موسيقي در اينترنت را مورد حمله خود قرار مي‌دهد، با نفوذ و آغاز فعاليت خود در سيستم، برنامه Media Player را بطور خودكار اجرا كرده و شروع به نواختن يك سمفوني زيبا و مشهور با عنوان Lagu، مي‌كند درحالي‌كه كاربر نگون‌بخت به قطعه دلنواز و در حال پخش، گوش مي‌دهد، رايانه وي نيز به تدريج با تخريب و اختلال شديدي مواجه مي‌شود.



Harreinx.A و Pirabbian.A، آكتورهاي بزرگ سينما
سينما هميشه علاقه‌مندان حرفه‌اي و پروپاقرص خود را داشته است. طراحان و منتشركنندگان اين دو كد مخرب با هدف قراردادن دوستداران اين هنر و ادعاي نمايش و دانلود رايگان فيلم‌هاي پرفروش و پرطرفدار، كاربران را به كليك بر روي لينك هاي آلوده تحريك مي‌كنند.



BotVoice.A، وراج و جسور
تنها آرزو كنيد كه اولا رايانه شما هيچ وقت توسط اين ويروس بي‌حم آلوده نشود، دوم اين كه اميدوار باشيد حداقل در هنگام ورود ناگهاني اين كد به رايانه‌تان، بلندگوهاي سيستم خاموش باشند.
در غير اين صورت، BotVoice.A به محض شروع فعاليت، حضور خود را با صدايي بلند به كاربر مورد حمله اعلام كرده و تا وقتي كه تمامي فايل‌ها و داده هاي مهم سيستم را پاك كرده و يا آن را با اختلال جدي مواجه كند، جملات خود را به صورت پي در پي تكرار مي‌كند.
ابزار رايگان كشف و پاكسازي كدهاي مخرب فوق و نيز ساير بدافزارهاي رايانه‌اي، براي تمامي كاربران اينترنت در آدرس
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید قابل دسترسي است.

R10MessiEtoo
27-07-2007, 15:02
كارشناسان امنيتي هشدار دادند:
بزرگ‌ترين حمله‌ي ويروسي طي دو سال گذشته در حال شكل‌گيري است

خبرگزاري دانشجويان ايران : طراحان ورم استورم با به راه انداختن حملات چندشاخه‌يي، بزرگ‌ترين حمله‌ي ويروسي طي دو سال گذشته را ترتيب دادند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، به گفته‌ي كارشناسان شركت امنيتي Postini، حمله‌ي ويروسي بزرگي در جريان است كه كمتر از يك هفته از زمان آغاز آن مي‌گذرد و از آغاز آن200 ميليون هرزنامه از سوس اين شركت ثبت شده كه با فريب كاربران آن‌ها را به وب سايت‌هاي مخرب مي‌كشانند.

كارشناسان قبل از اين حمله روزانه شاهد يك ميليون ايميل حاوي ويروس بودند اما اين شركت 42 ميليون ايميل حاوي ورم را در يك روز رديابي كرد.

بر اساس پيش‌بيني محققان، در طي روزهاي آينده ميزان ايميل‌هاي ويروسي به چهار تا شش ميليون در يك روز خواهد رسيد كه 99 درصد از آن‌ها به ورم استورم مرتبط هستند.

بنا بر اين گزارش، در اين حملات ويروس‌ها در ايميل يا ضميمه‌ي آن قرار نگرفته‌اند و بسياري از آن‌ها خالي و حاوي لينكي به يك وب سايت آلوده هستند كه در آن جا رايانه كاربران آلوده مي‌شد و اين امر كمك مي‌كند تا رايانه‌هاي كاربران به شبكه رايانه‌هاي آلوده بپيوندند.

H A M A S
17-08-2007, 15:46
فهرست جديدترين و مهمترين حملات مخرب رايانه اي در هفته گذشته
ايستنا
در تازه ترين گزارش منتشر شده توسط PandaLabs، آزمايشگاه هاي امنيتي پاندا، ابزار مخرب Shark2 و كرم هاي رايانه اي Addon.B و MSNPoopy.A، بعنوان جديدترين و مهمترين ابزار حملات مخرب رايانه اي در هفته گذشته معرفي شده اند.



بر اساس اين گزارش، Shark2، ابزار ساده اي براي ساخت تروژان هاي جديد و يا ايجاد تغييرات دلخواه در آنها، كه به صورت كاملاً مخفيانه بين خرابكاران و مجرمان اينترنتي رد و بدل مي شد، در هفته گذشته شناسايي و كشف شد.



سادگي كاربرد و قابليت دسترسي عمومي به اين ابزار، موجب شد كه كاربران اينترنت در سرتاسر جهان، براحتي در معرض نفوذهاي غير مجاز و سرقت اطلاعات محرمانه قرار بگيرند.



علاوه بر اين، تروژان هاي ساخته شده توسط Shark2، قادر به فعال كردن وب كم ها و مشاهده فعاليت هاي خصوصي كاربر، تعريف سرورهاي مورد اتصال، تنظيم خودكار براي فعاليت مجدد در هر بار راه اندازي سيستم، ايجاد اختلال در هنگام اجراي فايل ها و نيز غيرفعال كردن بسياري از عملكردهاي ضروري در سيستم مي باشند.



اين تروژان ها به محض نفوذ در رايانه، به يك سرور از پيش تعريف شده متصل گرديده و به خرابكاران اينترنتي امكان مي دهند تا اعمال مخرب خود را برنامه ريزي و اجرا كنند. اجراي فرامين و دستورات خرابكارانه براي سرقت اطلاعات حساس و محرمانه، تغيير رجيستري ويندوز و فايل ميزبان براي هدايت كاربران مورد حمله به وب سايت هاي مخرب،‌ مشاهده و ضبط تصوير،‌ صدا و حتي كليدهاي فشرده شده بر روي صفحه كليد، تنها بخشي از فعاليت هاي خرابكارانه كدهاي ساخته شده توسط Shark2 مي باشد.



بنا بر گزارش پاندا، بدافزار جديد و مهم ديگر در هفته گذشته با عنوان Addon.B، يك كرم رايانه اي ست كه با ارسال يك فايل فشرده با پسوند .zip و با عنوان Foto_celular به كاربران برنامه هاي چت، منتشر مي گردد.



با كليك كاربر بر روي اين فايل، Addon.B تحت عنوان Foto_celular.scr در كليه درايوهاي ديسك سخت رايانه كپي مي شود و در هنگام برقراري اتصال به اينترنت، فابل هاي مخرب ديگري را نيز در سيستم داونلود كرده و خود را نيز بروز رساني مي كند.



اما كد جديد و مهم ديگري كه با عنوان MSNPoopy.A در هفته گذشته رديابي و كشف شد، يك كرم رايانه اي ست كه از طريق برنامه MSN Messenger منتشر مي شود. اين كرم با نمايش جملاتي در خصوص ارائه عكس ها و تصاويري از ارسال كننده خود به كاربر و تحريك وي به كليك بر روي آنها،‌ رايانه ها را آلوده كرده و به فعاليت هاي تخريبي خود مي پردازد.



اين كد مخرب، با يافتن كليه آدرس هاي پستي در رايانه مورد حمله،‌ خود را به اين آدرس ها نيز ارسال كرده و قادر است از طريق ساير برنامه هاي چت نيز آنها را آلوده سازد.



استفاده از برنامه هاي چت به سبب استفاده گسترده و پي در پي در بين كاربران اينترنت به يكي از بهترين و ساده ترين راه هاي نفوذ و اجراي حملات مخرب در رايانه ها تبديل شده است.

yuta
09-09-2007, 09:46
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]برنامه مخرب جديدي با نام BotVoice.A Trojan نه تنها سيستم كاربران را آلوده مي كند بلكه آنها را ترسانده و موجب وحشت آنها مي شود.

بنابر خبر اختصاصي [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) از پي سي ورلد , ‪تروجان سخنگو پس از وارد شدن به سيستم شروع به پاك كردن تمام اطلاعات روي هارد درايو قرباني كرده و اقدام به دادن پيغام صوتي به كاربر مي كند و به او مي گويد : ( سيستم شما توسط من هك شده و تمامي اطلاعات آن پاك شده است , من از اين اتفاق متاءسفم . روز خوبي داشته باشي و باي باي )

كاربران ويندوزهاي 2003, XP, 2000, NT, ME, 98 و 95 در معرض خطر آلودگي به اين تروجان هستند. اين تروجان از كامپيوتري به كامپيوتر ديگر منتقل نمي شود ولي از طريق شبكه p2p , حافظه‌هاي جانبي قابل اتصال به پورت‌هاي ورودي سيستم و يا دانلوود فايل‌هاي آلوده به‌شكل خودكار و يا توسط كاربر، وارد سيستم كاربران مي شود.

‪ BotVoice.A‬در برخي از حملات خود ، همه اطلاعات سيستمي رايانه را از بين نمي‌برد، اما با ايجاد تغييرات گسترده در سيستم عامل و اختلال شديد در عملكرد رايانه‌, سبب غير فعال‌شدن تمامي برنامه‌هاي نصب شده مي‌شو

Wisdom
26-12-2007, 16:21
مدتي است برخي كاربران ايراني اينترنت، هنگام استفاده از مرورگر Internet Explorer با ويروس‌هاي سياسي روبه‌رو مي‌شوند.

به گزارش خبرنگار «تابناك»، اين ويروس‌ها عبارت از كادرهاي زردرنگي است كه در آنها جملاتي با مفاهيمي عليه جمهوري اسلامي، روحانيت و قوه قضائيه به چشم مي‌خورد و هنگام استفاده از اينترنت در بالاي کادر عنوان به نمايش در مي‌آيد




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




بنا بر گزارش‌هاي ارسالي، اين‌گونه ويروس، در شهرهاي تهران، مشهد، قم و ... ديده شده و احتمالا ايراني بوده يا بر اثر دستكاري در يك ويروس خارجي توليد شده، با اين حال گويا به علت بومي بودن اين ويروس همه آنتي ويروسها قادر به شناسايي آن نيستند.

گفتني است، ويروس‌هاي كامپيوتري با استفاده از زبان‌هاي سطح پايين نظير اسمبلي و ... نوشته مي‌شوند و تلاش مي‌شود با يك برنامه كوتاه، در فعاليت‌هاي رايانه‌اي كاربران اختلال ايجاد

تابناک

x_2007
14-01-2008, 19:38
كارشناسان امنيتي رايانه هشدار دادند

انتشار يك ويروس خطرناك رايانه‌اي در اروپا



خبرگزاري فارس: كارشناسان امنيتي نسبت به انتشار يك ويروس جديد رايانه‌اي كه اطلاعات ورود به سيستم كاربران يا حساب‌هاي بانكي آنها را مي دزدد، هشدار دادند.
به گزارش خبرگزاري فارس به نقل از بي بي سي، در يك ماه گذشته اين ويروس حدود 5000 قرباني داشته است كه اكثراً اروپايي بوده‌اند و بسياري از آنها در دام سايت‌هاي ساده‌اي افتاده‌اند كه با استفاده از ضعف‌هاي سيستم عامل ويندوز كد حمله را بر روي رايانه نصب مي‌كنند.
كارشناسان اعلام كرده‌اند كه اين ويروس بسيار خطرناك است چرا كه با پنهان كردن خود در قعر كامپيوتر از شناسايي آن جلوگيري مي‌كند.
اين برنامه از شاخه نوعي از ويروس‌هاست كه به عنوان rootkit شناخته مي‌شوند و با بازنويسي قسمتي از هارد كامپيوتر به نام MBR خود را در سيستم وارد مي‌كنند كه همان بخش مورد استفاده هنگام روشن كردن كامپيوتر و ورود رمز است.
«اليا فلوريو» يك متخصص رايانه مي‌گويد كه در صورت كنترل MBR شما تقريباً كنترل كامل كامپيوتر را در اختيار خواهيد داشت. به گفته وي اين ويروس پس از جاگير شدن به ذخيره ساير برنامه‌هاي جاسوسي مي‌پردازد تا كار جمع آوري اطلاعات محرمانه رايانه‌هاي را انجام دهد.
اين ويروس ظاهراً توسط گروهي روسي به نام Mebroot طراحي شده است كه فعاليت‌هاي قبلي آنها با ويروس‌هاي ديگر بيش از 200 هزار رايانه را آلوده كرده يود.
شركت iDefense يك شركت فعال در زمينه امنيت رايانه‌اي اعلام كرده كه اين ويروس در اكتبر گذشته كشف شده اما استفاده گسترده از آن براي حمله به رايانه‌ها در ماه دسامبر مشاهده شد.
بررسي اين ويروس نشان داده است كه Mebroot مي‌تواند در صورت شناسايي برنامه هاي نصب شده توسط برنامه هاي ضد ويروس و پاك شدن آنها به علت اينكه خود در بخشي از MBR مخفي است آنها را دوباره ذخيره كند.
رايانه‌هاي كه با سيستم‌هاي عامل Windows XP, Windows Vista, Windows Server 2003 و Windows 2000 فعاليت مي‌كنند در برابر اين ويروس آسيبب پذير هستند.

symk
14-01-2008, 20:16
آیا آنتی ویروسها و اینترنت سکوریتی ها پیشگیری میکنند ؟ من اینترنت سکوریتی نورتون (اورجینال) دارم . همیشه هم در حال آپدیت هستم . امکان آلوده شده سیستم من به این ویروس هست ؟

mirmohammadi
02-02-2008, 00:58
مدتي است برخي كاربران ايراني اينترنت، هنگام استفاده از مرورگر Internet Explorer با ويروس‌هاي سياسي روبه‌رو مي‌شوند.

به گزارش خبرنگار «تابناك»، اين ويروس‌ها عبارت از كادرهاي زردرنگي است كه در آنها جملاتي با مفاهيمي عليه جمهوري اسلامي، روحانيت و قوه قضائيه به چشم مي‌خورد و هنگام استفاده از اينترنت در بالاي کادر عنوان به نمايش در مي‌آيد




[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]




بنا بر گزارش‌هاي ارسالي، اين‌گونه ويروس، در شهرهاي تهران، مشهد، قم و ... ديده شده و احتمالا ايراني بوده يا بر اثر دستكاري در يك ويروس خارجي توليد شده، با اين حال گويا به علت بومي بودن اين ويروس همه آنتي ويروسها قادر به شناسايي آن نيستند.

گفتني است، ويروس‌هاي كامپيوتري با استفاده از زبان‌هاي سطح پايين نظير اسمبلي و ... نوشته مي‌شوند و تلاش مي‌شود با يك برنامه كوتاه، در فعاليت‌هاي رايانه‌اي كاربران اختلال ايجاد

تابناک



سلام
میشه یه سری توضیحات تکمیلی در مورد این ویروس و احتمالا روش پاک کردنش برام بفرستید. خیلی بهش نیاز دارم
من یک فایل html دیدم که همه این جمله ها توش نوشته شده بود. احتمالا این برنامه این جملات رو از همین فایل میگیره. اگر کسی اطلاعات بیشتری داره برام با پیغام خصوصی بفرسته ممنون میشم

Ar@m
02-02-2008, 08:54
سلام
میشه یه سری توضیحات تکمیلی در مورد این ویروس و احتمالا روش پاک کردنش برام بفرستید. خیلی بهش نیاز دارم
من یک فایل html دیدم که همه این جمله ها توش نوشته شده بود. احتمالا این برنامه این جملات رو از همین فایل میگیره. اگر کسی اطلاعات بیشتری داره برام با پیغام خصوصی بفرسته ممنون میشم

كرم W32/Saldost.b
اين كرم اينترنتی که ايرانی بوده و پس از اجرای فايل آن بر روی سيستم كاربر، ابتدا خودش را به صورت زير بر روی سيستم كپی می‌نمايد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش می‌دهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا كرده و برای اينكه با هر بار راه‌اندازی سيستم آلوده به طور خودكار اجرا گردد، خود را به شكل زير در رجيستری ثبت می‌نمايد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
سپس كليدهايی در رجيستری را به شكل زير تغيير می‌دهد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
تغييرات فوق باعث بروز مشكلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فايلهای مخفی می‌گردد كه برای برطرف كردن اين مشكلات می‌توانيد برنامه زير را از سايت ايمن دانلود كرده و رجيستری خود را پاكسازی نماييد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

همچنين كليد IsShortCut را از مسيرهای زير در رجيستری پاك می‌كند:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

و كليدی با نام Wintek در مسير زير ايجاد می‌كند:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

و كليد زير را در آن ايجاد می‌نمايد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد از انجام كارهای فوق تمام برنامه‌های موجود در زمانبند ويندوز (دستور at) را پاك كرده و با استفاده از زمانبند ويندوز فايل خود را كه با نام OfficeUpdate.exe در مسير WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا می‌نمايد.

يكی ديگر از كارهای اين كرم اين است كه خود را در مسيرهای زير با نام‌های فريبنده كپی می‌كند و از آنجايی كه برخی از اين مسيرها مخصوص برنامه‌های شبكه‌های اشتراك‌گذاری فايل (يا P2P) هستند، با اين كار امكان انتشار آن در سراسر دنيا از طريق اينگونه برنامه‌ها فراهم می‌گردد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
به علاوه در مسيرهايی كه در آنها فايل‌های از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe كپی می‌كند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهای زير كپی می‌كند:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا می‌کند.

در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمی‌شود

یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.

منبع: webzone.blogfa.com

mirmohammadi
06-02-2008, 14:25
خیلی ممنون از توضیحات کاملتون
ولی آیا آنتی ویروسی هست که این کرم رو بشناسه و از بین ببردش یا باید عکس تمام این مراحل رو خودمون به صورت دستی انجام بدیم؟

Ar@m
07-02-2008, 00:57
می گن این می تونه پاکش کنه راست و دروغش پای خودشون:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
درضمن نمی دونم اینجا درسته شما سوال کنی یا نه چون تاپیک اخبار ویروسه درهرحال من که گذاشتم

mobin
11-02-2008, 08:25
متخصصان چيني روز يكشنبه در خصوص ظهور ويروس‌هاي ولنتاين به كاربران كامپيوتر هشدار دادند. پايگاه اينترنتي شينهووا روز يكشنبه با اعلام اين خبر افزود، متخصصان چيني مركز اورژانس كامپيوتر ملي چين واقع در "تيان جين" هشدار داده‌اند كه ويروس كامپيوتري روز ولنتاين به خصوص نوع ‪ Vbs- Valrentin.A‬عمدتا هم از طريق‌اي ميل و يا سيستم‌هاي چت آنلاين نظير "ام اس ان و يا كيو كيو" شيوع پيدا مي‌كند.
بر اساس اين گزارش، ويروس‌هاي ديگرنظير ‪ Worm- blebla.B‬و ‪VBS-I Loveyou‬ نيز كامپيوترهاي شخصي را مورد هجوم قرار مي‌دهند البته در صورتيكه كاربر دستگاه به باز كردن ايي ميل‌ها و ضمائمي كه در قالب پيام‌هاي مخصوص روز ولنتاين كه در تاريخ چهاردهم فوريه مي‌باشد، اقدام كنند.
متخصصان مركز كامپيوتري مذكور به كاربران كامپيوتري هشدار داده‌اند كه در خصوص ايي ميل‌هاي ناشناس بسيار مراقب باشند به خصوص ايي ميل‌هايي كه ضمائمي با حروف اسپانيايي در بر دارند.
متخصصان چيني همچنين به مغازه داران كه كار آنان با اينترنت مربوط است نيز هشدار داده‌اند كه نسبت به كليك كردن بر روي پيام‌هاي نشات گرفته از مراجع آنلاين بسيار هوشيار باشند چرا كه اين امر مي‌تواند به گسترش و انتشار ويروس بيانجامد.
متخصصان همچنين به كاربران كامپيوتري پيشنهاد كرده‌اند كه بايد نرم افزارهاي آنتي ويروس خود را آپديت و به روز كنند و هر زمان كه قصد دارند به اينترنت متصل شوند از كاربردهاي نظارت ويروس ريل تايم استفاده كنند.

LordMMD
07-03-2008, 19:12
با سلام
آيا دوستان به برنامه اي که فايل هاي آلوده به
vbs/Envary.a
يا همون
vbs/trojandropper.small.w

رو پاک . ترميم کنند پيدا کردند؟ نه delete کردن ها!

اگر کسي با اين برنامه مشکل داره و هنوز راهي براش پيدا نشده ،‌من يک برنامه کوچک نوشتم که اين فايل ها رو ترميم ميکنه. ميتونيم تکميلش کنيم.
چون واقعا درد سر سازه. تمام فايلهاي html من آلوده شدن.

Ar@m
07-03-2008, 19:53
توی قسمت برنامه نویسی یه تاپیک می زدید
خیلی دوست دارم برنامه شما رو ببینم

LordMMD
07-03-2008, 20:49
توی قسمت برنامه نویسی یه تاپیک می زدید
خیلی دوست دارم برنامه شما رو ببینم
ممنون. برنامه خيلي ساده هست.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
فقط اسکريپت مخرب رو پاک ميکنه.
لطفا از فايل خود بک آپ بگيريد.

فايل آلوده رو به اين برنامه drag and drop کنيد. (البته آنتي ويروس موقع اين کار بايد غير فعال باشه. چون به فايل html گير ميده ،‌و برنامه نميتونه اون رو بخونه.)

در صورت هر مشکل و سوالي فايل آلوده رو آپلود کنيد و توضيح لازم رو هم بديد.
البته يک برنامه نصب هم يک زماني نوشته بودم که اين برنامه رو به منوي راست کليک فايل هاي html اضافه ميکرد، در صورت لزوم دوباره احياش ميکنم.

Ar@m
08-03-2008, 11:50
مرسی برای لینک ولی منظورم source کار بود!
البته اگه اشکالی نداره!
تازه اینجا هم جاش نیست!
در هر حال ممنون

Xrender
23-04-2008, 18:35
W32/nod32
.

cxbooth83767
26-04-2008, 13:23
female viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra pill ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])free viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])order viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])buy viagra online ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra alternative ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])herbal viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])cheap viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra online ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])cyalis levitra market sales viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra for women ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra side effect headaches ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra uk ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])cialis levitra market sales viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra side effects ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])generic viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])buy viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])levitra buy levitra online viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])natural viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])order viagra online ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])viagra ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

alizshah
11-05-2008, 03:08
خیلی خبر هست
حالا از کجا درستش کنیم ؟

mobin
16-05-2008, 17:12
کارشناسان یک شرکت امنیت انفورماتیکی ویروس جدیدی را کشف کرده اند که تاکنون توانسته است به بیش از نیم میلیون صفحه وب آنلاین آسیب برساند.به گزارش خبرگزاری مهر، مختصصان شرکت امنیت انفورماتیکی "ترند میکرو" یک حمله اینترنتی را کشف کردند که تاکنون به بیش از نیم میلیون صفحه آنلاین آسیب رسانده است. روی سایتهای آسیب دیده، یک "زیر برنامه مخرب" با شناسه JS_SMALL.QT نصب شده که از اجرای ناقص بسته phpBB مشتق شده است. phpBB یک برنامه نرم افزاری برای شکل دادن گردهماییهای روی اینترنت است.
کاربرانی که وارد این سایتهای آسیب دیده می شوند با یک گونه از اسبهای تراوای خانواده ZLOB با عنوان TROJ_ZLOB.CCW آلوده می شوند. این خانواده اسب تراوا یک رمزگشای فیلم و ویدیو را نصب می کند. زمانی که بازدیدکنندگان این سایتها این رمزگشاهای جعلی فیلم را بارگذاری می کنند همزمان بعضی از برنامه های اسب تراوا را با قابلیت تغییر سرور DNS و سکوهای مرورگرهای اینترنتی را بارگذاری می کنند.
براساس گزارش زئوس نیوز، بسیاری از وب سایتهای آسیب دیده با دریافت پیامهای هرزنامه ای جعلی محتوی تبلیغات دارویی به این ویروس آلوده شده اند.
اولین آلودگیهای این سایتها از فوریه 2008 در صفحات آنلاین گردهماییها آغاز شد به طور یکه درحال حاضر بسیاری از این صفحات غیرقابل ورود شده اند و کاربرانی که قصد ورود به این سایتها را دارند به آدرس سایتهایی هدایت می شوند که امکان بارگذاری رمزگشاهای جعلی فیلم را فراهم می کنند.
ترند میکرو موفق شده است فناوری محافظت در مقابل این سایتها را توسعه دهد و تا حد امکان توانسته است این سایتها را مسدود کند.

Ar@m
22-05-2008, 15:20
نیوتون ویروسی است که روی سیستم عامل کامپیوترهای اپل، Mac OS، کار می‌کند. این ویروس بیش‌تر برای سرگرمی است وگرنه آسیبی به کامپیوتر نمی‌رساند. ویروس نیوتون باعث می‌شود که آیکون‌ها و پانل‌های رابط گرافیکی سیستم عامل پایین بیفتند. حالا اگر لپ‌تاپ را کج کنید، آیکون‌ها مثل عکس زیر (منبع) در جهت جاذبه‌ی زمین سقوط می‌کنند.
مهم‌ترین سوآلی که پیش می‌آید این است که ویروس نیوتون چه‌طوری جهت جاذبه را تشخیص می‌دهد؟ موضوع این است که بعضی لپ‌تاپ‌ها برای اندازه‌گیری شتاب حسگري به‌نام شتاب‌سنج (Accelerometer) دارند. فایده‌ی شتاب‌سنج این است که اگر لپ‌تاپ از دست‌تان افتاد، هارددیسک‌تان آسیب نمی‌بیند. چه‌طوری؟ فرض کنید که لپتاپ از دست‌تان بیفتد و هارد کامپیوتر مشغول خواندن یا نوشتن باشد. وقتی لپ‌تاپ زمین خورد، هد هارددیسک تکان می‌خورد و هم هاردتان خراب می‌شود و هم اطلاعات روی آن آسیب می‌بیند. برای جلوگیری از این اتفاق ناگوار، لپ‌تاپ در هر لحظه شتاب را اندازه می‌گیرد و اگر تشخیص دهد که دارد سقوط می‌کند، بلافاصله هارد را از کار می‌اندازد.

البته این تکنولوژی مختص لپ‌تاپ‌های اپل نیست. این تکنولوژی در سال ۲۰۰۳ توسط آی‌بی‌ام ابداع شد. تقریبا همه‌ی لپ‌تاپ‌های لنوو و فوجیتسو هم ‌این تکنولوژی را دارند. اگر لپ‌تاپ شما شتاب‌سنج داشته باشد، موقع کج شدن می‌توانید زاویه‌ی آن را به‌طور تقریبی از روی اطلاعات شتاب‌سنج بخوانید. ویروس نیوتون این داده‌ها را می‌خواند و حساب می‌کند که آیکون‌ها باید چه‌گونه سقوط کنند.

برای خواندن اطلاعات شتاب‌سنج نیازی نیست که حتما سیستم عامل مک یا ویندوز داشته باشید. هسته‌ی لینوکس نسخه‌ی ۲٫۶ هم درایورهای لازم را برای دریافت داده‌های شتاب‌سنج دارد (دست‌کم برای لپ‌تاپ‌های لنوو).



[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

منبع:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

mobin
21-06-2008, 19:32
سازمان‌هاي امنيتي نسبت به حمله‌ي ويروس جديدي كه از المپيك آينده‌ي پكن به منظور انتشار نوع جديدي از بدافزار استورم استفاده مي‌كند، هشدار دادند.
انتشار اين نرم‌افزار مخرب از راه ايميلي صورت مي‌گيرد كه به ظاهر حاوي اخباري است كه بر اساس آن، المپيك به دليل خسارت‌هاي ناشي از زلزله به تاخير افتاده يا لغو خواهد شد.
اين ايميل حاوي لينكي است كه مدعي است ويديويي براي بك آپ اطلاعات است اما در عوض برنامه‌اي با نام beijing.exe را دانلود مي‌كند كه حاوي تروژان است.
بر اساس اين گزارش كارشناسان شركت امنيتي سيمانتك به كاربران توصيه كردند بر روي هر لينكي در ايميل خود كليك نكنند.
گروه آمادگي اضطراري رايانه‌يي آمريكا نيز با انتشار هشداري در مورد حمله اين ويروس اعلام كرد ايميل‌هاي حاوي آن در حجم بالا انتشار يافته‌اند و فعاليت‌هاي فيشينگ مرتبط با اين نرم‌افزار مخرب نيز كشف شده است.
استورم با بسياري از آلودگي‌هاي گزارش شده، يكي از موفق‌ترين تروژان‌هاي سال گذشته بوده و اين اميد به وجود آمده بود كه كاربران اين نرم‌افزار مخرب به كدهاي ديگري روي بياورند اما جديدترين نوع اين تروجان متخصصان را نسبت به مواجه شدن كاربران با حمله ديگري از سوي استورم نگران كرده است.
نرم‌افزار مخربي كه به ويروس استورم معروف است اولين بار با بهره‌برداري از طوفان شديدي كه اروپا را در نورديده بود، منتشر شد و به همين دليل استورم نام گرفت.

mobin
23-06-2008, 04:22
دومین نشست خبری شرکت کسپرسکی با حضور مدیران ارشد کسپرسکی، نمایندگان فروش شرکت و جمعی از خبرنگاران حوزه آی تی در هتل سیمرغ تهران برگزار گردید.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در این نشست که توسط روابط عمومی کسپرسکی در ایران (شرکت دیده بان آی تی) ترتیب یافته بود گری کانداکف، مدیرعامل منطقه اروپای شرقی،آفریقا و خاورمیانه شرکت کسپرسکی، تارک کازباری، مدیرعامل منطقه خاورمیانه شرکت کسپرسکی، محمد مبصری، مدیر ارشد محصولات کسپرسکی در شرکت کام گارد و علیرضا صالحی، مدیرعامل شرکت دیده بان حضور داشتند و پاسخگوی سئوالات حاضران بودند.

در ابتدای جلسه صالحی، ضمن خوش آمدگویی و عرض تشکر از جضور خبرنگاران حوزه آی تی و رسانه‌های اقتصادی، با بیان اینکه با توجه به آغاز به کار رسمی روابط عمومی کسپرسکی در ایران کلیه موارد مربوط به اطلاع‌رسانی از این طریق خواهد منتشر خواهد شد، خاطر نشان ساخت که شرکت دیده‌بان آی تی تلاش خواهد کرد که کماکان و با تمرکز بیشتر بر خبررسانی و آگاهی بخشی به توسعه بازار به طور صحیح و سالم کمک کند.
وی همچنین اظهار داشت جهت جلوگیری از بروز هرگونه شبهه، رسانه‌ها می‌توانند صحت اخبار دریافتی از منابع مختلف در خصوص فعالیت‌ها یا محصولات کسپرسکی را از روابط عمومی جویا شوند.

در ادامه مبصری از شرکت کام گارد که توزیع محصولات کسپرسکی را در خاورمیانه برعهده دارد به فعالیت شرکت کسپرسکی در جهت بومی‌سازی نرم‌افزارهای امنیتی خود اشاره کرد و به عنوان اولین خبر مهم نشست خبری وعده داد که با پایان یافتن مراحل بومی‌سازی برنامه‌ها، انتشار نسخه 2009 آنتی ویروس کسپرسکی با رابط کاربری فارسی همراه خواهد بود.

همچنین کانداکف عضو هیئت مدیره شرکت کسپرسکی نیز با اعلام این که ایران به عنوان بزرگ‌ترین بازار خاورمیانه مورد توجه جدی شرکت کسپرسکی است افزود: با توحه به پتانسیل بسیار بالای بازار نرم‌افزارهای امنیتی در ایران، شرکت کسپرسکی با حضور مستقیم خود و پشتیبانی گسترده از مشتریان و حمایت از کانال فروش، قصد دارد سهم بزرگی از بازار را کسب کند و در این راه سرمایه‌گذاری زیادی را نیز انجام خواهد داد.
تارک کازباری نیز خبر افتتاح دفتر منطقه ای کسپرسکی تا انتهای سال جاری را اعلام نمود.

در ادامه خبرنگاران رسانه های گوناگون به طرح دیدگاه ها و سئوالات خود پرداختند.
نخستین سئوال مربوط به علت افزایش سهم بازار کسپرسکی و توسعه کاربر نرم‌افزارهای این شرکت در سطح کشور بود. گری کانداکف در پاسخی مشروح، علت این امر را به سه عامل مهم نسبت داد. وی نخستین عامل را کار تخصصی شرکت کسپرسکی عنوان کرد. زیرا شرکت کسپرسکی به طور خاص تنها بر ارائه نرم‌افزارهای امنیتی متمرکز است و محصول دیگری را ارائه نمی کند. عامل دوم از نطر وی کیفیت محصول بود که توانست با سرعت بسیار زیادی خود را در بازار مطرح نماید و به طور خاص در بازار خاورمیانه با انجام حداقل میزان بازاریابی به فروش بالایی دست پیدا کند. و عامل سوم موفقیت کسپرسکی از نگاه وی به شخص یوجین کسپرسکی که موسس و موتور محرک فنی شرکت است برمی گردد. زیرا یوجین کسپرسکی از جمله مطرح‌ترین افراد در حوزه امنیت شبکه‌ها و رایانه‌ها در سطح جهان است و دراغلب کنفرانس‌ها و سمینارهایی که با موضوع امنیت برگزار می گردد نیز از جمله سخنرانان کلیدی محسوب می گردد.

در تکمیل موضوع فوق، مبصری مجددا با تاکید بر کیفیت محصول بیان داشت که آنتی ویروس کسپرسکی معمولا دارای بالاترین سرعت پاسخگویی نسبت به تهدیدات جدید است و با به کاربردن فناوری‌های نوین تشخیص که جدیدترین آنها شناسایی و تحلیل رفتار ویروس‌ها و بدافزارها است، پوشش بسیار خوبی را برای کاربران فراهم می آورد.

سئوال دیگر در خصوص ایجاد تداخل در وظایف نمایندگان فروش و حضور شرکت کسپرسکی بود که مبصری در پاسخ اظهار داشت: حضور مستقیم شرکت کسپرسکی در بازار نه به منظور فروش محصولات که تنها در جهت حمایت بیشتر از کانال توزیع و حمایت بیشتر از خریداران از طریق ارائه خدمات بیشتر و گسترده است و اتفاقا نمایندگان فروش نیز از این حضور خرسند بوده و این امر را کمکی به افزایش فروش محصولات قلمداد می کنند.

در پاسخ به سئوال دیگری در مورد فرهنگ‌سازی شرکت‌ها از جمله کسپرسکی در جهت افزایش آگاهی کاربران و خرید آگاهانه‌تر محصولات ابتدا صالحی با برشمردن مشکلات حال حاضر کشور در مورد کپی‌رایت نرم‌افرارها بیان داشت: شرکت کسپرسکی تلاش‌هایی را در جهت کاهش هزینه های خرید نرم‌افزار اصلی از طریق ارائه تخفیف‌های تشویقی و همچنین کاهش قیمت تمام شده نرم‌افزار انجام داده است. ضمن آنکه اساسا حضور در بازاری که قوانین کپی‌رایت نرم‌افزارهای خارجی بر آن حاکم نیست، نوعی ریسک محسوب می‌شود و این ریسک‌پذیری توامان توسط شرکت کسپرسکی و شرکت‌های همکار فروش آن پذیرفته شده است.

در ادامه کازباری و مبصری نیر با تاکید بر همین موضوع به ارائه تخفیف 30 درصدی به شرکت‌هایی که از سایر نرم‌افزارهای آنتی ویروس یا نسخه های غیر مجاز کسپرسکی استفاده می کنند، برای تبدیل نرم‌افزارهایشان اشاره کردند و یادآور شدند: این تخفیف برای مدت محدودی برای نسخه‌های شرکتی نرم‌افزار ارائه شده و امیدواریم که چنین حرکت‌هایی بتواند به تثبیت فرهنگ استفاده از نرم‌افزارهای اصلی در کشور خصوصا از جانب شرکت‌ها و سازمان‌ها کمک کند.

صالحی، مدیر عامل دیده بان نیز در پاسخ به سئوال دیگری در خصوص وضعیت اطلاع‌رسانی سایر آنتی‌ویروس‌ها اظهار داشت: اطلاع‌رسانی مستمر و سراسری توسط شرکت‌های ارائه کننده سایر برنامه‌های امنیتی تاکنون دیده نشده است. اما نکته مهم آن است که کسپرسکی همواره بر اطلاع‌رسانی صحیح و واقعی تاکید داشته است و هیچگاه در جهت بالابردن سطح خود اقدام به تخریب سایر رقبا نخواهد کرد.
وی تصریح کرد کسپرسکی هرگز در جهت اثبات توانایی‌های خود اقدام به انتشار گزینشی نتایج رتبه‌بندی‌ها، انتشار اخباری مربوط به سال‌های بسیار دور رتبه‌بندی نرم‌افزارها، اخبار اغراق‌آمیز در مورد توانایی‌های کسپرسکی یا تنزل دهنده غیرواقعی سطح سایر برنامه‌ها و یا انتشار اخباری که به طور مستقیم به توانایی‌های فنی نرم‌افزارها ارتباطی ندارد و باعث گمراهی کاربران خواهد شد نخواهد پرداخت و جامعه آی‌تی هرگز شاهد آگهی‌ها یا اخبار تهاجمی یا تخریبی از جانب کسپرسکی نخواهد بود.

کانداکف، مدیرعامل منطقه اروپای شرقی،آفریقا و خاورمیانه شرکت کسپرسکی نیز در مورد سهم بازار شرکت در روسیه و وضعیت آن اظهار داشت: در سال‌های گذشته، کسپرسکی نقش کمی را در بازار داشت اما در دوسال اخیر سهم بازار کسپرسکی رشد جهشی خوبی را داشته است به طوریکه هم اکنون در حوزه شرکت‌ها دارای 45درصد از سهم بازار (روسیه) و در حوزه کاربران خانگی دارای 50درصد از سهم بازار است و می‌توان گفت که در بازار روسیه با وجود رقبای روسی و جهانی قدرتمند، دارای رتبه اول است.

در ادامه جلسه سئوال دیگری در مورد علت وجود سه نماینده فروش به جای یک نماینده انحصاری پرسیده شد که توسط کانداکف و مبصری به آن پاسخ داده شد.
کانداکف با اشاره به وجود بیش از 1500 نماینده فروش در روسیه و مثلا بیش از یکصد نماینده در آلمان، وجود تعداد زیاد نمایندگان فروش را امری طبیعی دانست که به پتانسیل بازار نیز بستگی دارد.
مبصری نیز افزود که بحث داشتن نماینده انحصاری در حال حاضر در بین بسیاری از محصولات و شرکت‌ها موضوعی قدیمی محسوب می‌گردد که وجود پتانسیل بالای بازارها از جمله ایران نیز این نکته را بدیهی می‌نماید که وجود چندین نماینده، با رویکردهای مختلف نه تنها مناسب که حتی ضروری است.

در ادامه این مسئله، سئوال یکی از خبرنگاران به سطوح مختلف نمایندگان فروش کسپرسکی در ایران اشاره داشت که مبصری، مدیر ارشد محصولات کسپرسکی در شرکت کام گارد در پاسخ گفت: در حال حاضر هر سه نماینده فروش کسپرسکی یعنی شرکت‌های آواژنگ سیستم، داده پردازان دوران و فناوری اطلاعات آتنا در سطحی همسان قرار دارند و نوع محصولات و خدماتی که توسط آنان ارائه می‌گردد نیز یکسان است هیچ تفاوتی با یکدیگر ندارند. در نتیجه انتخاب با کاربران است که نرم‌افزارهای مورد نظرشان را از کدامیک از شرکت‌ها خریداری نمایند.

در پایان این نشست خبری نیز علیرضا عابدی نژاد، مدیرعامل شرکت داده پردازان دوران و شبنم طباطبایی، مدیر عامل فناوری اطلاعات آتنا طی سخنان کوتاهی ضمن تشکر از حضور نمایندگان رسانه‌ها، رضایتمندی خود را از حضور مستقیم شرکت کسپرسکی در بازار ایران و فعالیت‌های روابط عمومی و اطلاع‌رسانی آن اظهار داشتند.

گفتنی است شرکت روسی کسپرسکی در سال 1997 توسط یوجین و ناتالی کسپرسکی در مسکو تاسیس گردید و در حال حاضر دارای 900 کارمند در 12 دفتر در سطح جهان و گردش مالی 200 میلیون دلار (سال 2007) می باشد.
در حدود نیمی از کارمندان شرکت کسپرسکی را متخصصان امنیت رایانه‌ها و شبکه تشکیل می‌دهند که در دفتر مرکزی در مسکو مستقر می‌باشند.