Security News : اخبار و هشدارهاي امنيتي

[mahan]

IE ، آسيب پذيرترين ابزار تحت وب

تراشه : طبق گزارش سرويس هاي امنيتي IE ،ScanSafe يا همان مرورگر مايكروسافت به عنوان پر خطر ترين و سريع ترين تهديد امنيتي شناخته شد.

بيشترين استفاده از آسيب پذيري Exploit.Html.Mht مي باشد كه دو برابر ديگر آسيب پذيري ها سازمانها و شركت ها را در سال 2004 مورد تهديد قرار داده است.
هر چند كه تروجان ها و كرم ها به عنوان تاثير گذارترين حملات باقي ماندند اما آسيب پذيري ها نيز در حدود 19 درصد از حملات را براي خود توسط ScanSafe ثبت كردند كه هنوز هم در حال افزايش مي باشد.
به گفته مسوولان ScanSafe آسيب پذيرترين ابزار تحت وب همان مرورگر مشهور و دوست داشتني مايكروسافت مي باشد كه باعث حملات زيادي به كاربران شده است. اين سركرده مرورگرهاي وب به راحتي امكاني را فراهم مي كند كه كاربران فقط با ديدن يك سايت به سادگي به انواع ديگري از خطرات و تهديدات تحت وب دچار شوند.

Jphn Edward مدير فني ScanSafe پيش بيني مي كند كه در آينده نيز IE به خطرناك ترين ابزار براي سازمانها و شركت هاي IT مي تبديل مي شود.

او مي گويد: هر زماني كه يك آسيب پذيري جديد در مرورگر ويندوز پيدا مي شود تا زماني كه شركت مايكروسافت اين آسيب پذيري را اصلاح كند و مديران شبكه در جهت نصب اصلاحيه ها برآيند زمان مرده اي وجود دارد كه نفوذگران و هكرها از اين زمان مرده حداكر استفاده را مي كنند.

همچنين در اين گزارش Webmail ها ده درصد خطرات و Spyware ها 12 درصد از اينگونه تهديد ها را به خود اختصاص داده اند.

[mahan]

مايكروسافت در حال بررسي حفره‌ي امنيتي جديد در IE است

منبع : مشورت


مايكروسافت در حال بررسي گزارش‌هايي درباره‌ي يك نقص امنيتي بسيار جدي در مرورگر Internet Explorer است، اما هنوز هيچ كد مخربي را كه به آسيب پذيري گزارش شده حمله كرده و موجب تخريب و آسيب آن شود، مشاهده نكرده است.

متخصصان امنيت اوايل اين هفته هشدار داده‌اند كه كدي كه حفره‌ي امنيتي تازه يافت شده در IE را تحت تاثير قرار مي‌دهد، در حال گردش و منتشر شدن بر روي اينترنت است. بنا بر اظهارات شركت امنيتي دانماركي، Secunia، اين كد موجب ايجاد سر ريز بافر در IE 6 شده و بر روي كامپيوترهايي كه ويندوز XP به همراه سرويس پك 1 و ويندوز 2000 بر روي آن‌ها اجرا مي‌شوند، مستقر گرديده است.

تيم آمادگي فوريت‌هاي كامپيوتري آمريكا (CERT) هشدار مشابهي را به كاربران داده است. اين تيم اعلام كرده است كه علاوه بر مرورگر وب، برنامه‌هاي كاربردي مانند كلاينت‌هاي ايميل كه مبتني بر كنترل‌هاي مرورگر هستند نيز ممكن است آسيب پذير باشند.

حمله كنندگان مي‌توانند با استفاده از نقص موجود، كنترل و تسلط كاملي بر روي كامپيوتر قرباني به دست آورند. مايكروسافت در حال بررسي آسيب پذيري ياد شده است.

در حالي كه شركت امنيتي Secunia و CERT درباره‌ي كد مخرب و منتشر شدن اين آسيب پذيري هشدارهايي ارايه كرده‌اند، مايكروسافت اعلام كرده است كه هنوز نشانه‌اي از اين آسيب پذيري مشاهده نكرده است. اين شركت گفته است: « ما از وجود كدهاي مخرب و آسيب پذيري گزارش شده اطلاعي نداشته‌ايم، اما با پشتكار فراوان در حال بررسي گزارش‌هاي عمومي هستيم.»

هنوز patchي براي اين نقص موجود نيست، اما كامپيوترهايي كه سرويس پك 2 ويندوز XP بر روي آن‌ها اجرا مي‌شود، در مقابل اين آسيب پذيري ايمن هستند.

مايكروسافت اعلام كرده است كه به بهترين نحو از كاربران ويندوز حمايت خواهد كرد. اين پشتيباني ممكن است شامل ارايه‌ي برنامه‌اي براي برطرف كردن آلودگي‌ها از طريق عرضه‌ي patch ماهيانه و يا برنامه‌ي روزآمد ساز امنيتي برون از چرخه‌اي باشد.

[30naa]

قابل توجه امیر پی سی

[mahan]

وجود حفره امنيتي در هسته لينوكس

همشهري : يكي از اصلي ترين توزيع كنندگان لينوكس، از وجود يكي از خطرناك ترين حفره هاي امنيتي در هسته اصلي نسخه ۶/۲ لينوكس خبر داد.
به گزارش زد دي نت، SuSE اعلام كرده است كه اين حفره امنيتي مي تواند به حمله كنندگان امكان دهد تا سيستم هاي عامل نرم افزار مبتني بر نسخ ۶/۲ را از كار بياندازند.
هسته ۶/۲ كه اواخر سال گذشته به توليد رسيد، برخي از ويژگي ها و قابليت هاي سازماني را به لينوكس مي افزايد، اما همچنان در بازار به عنوان يك محصول آزمايشي شناخته مي شود.
شركت Red Hat، بسياري از ويژگي هاي مهم ۶/۲ را براي استفاده در Enterprice Linux به هسته ۴/۲ منتقل كرده و در اين باره گفته است كه هسته قديمي تر داراي ثبات بيشتري است. در حالي كه شركت ManddrakeSoft نسخه ۶/۲ را براي كاربران عادي معرفي كرده است.
SuSE ادعا كرده است كه اولين شركتي خواهد بود كه نسخه ۶/۲ را براي سيستم عامل لينوكس و به همراه SuSE Linuxe9.۱ در بهار آينده معرفي خواهد كرد.
گفته شده است كه مهاجمان مي توانند براي از كار انداختن سيستم ها، از بسته هاي makform استفاده كنند.
كاربران مي توانند به عنوان جانشيني براي روزآمد ساختن اين هسته، ديوار آتش فعال شده بخش هاي IP و TCP را از كار بياندازند، اما به آنان توصيه نمي شود كه اقدام به انجام چنين امري كنند. محصولاتي كه از هسته ۴/۲ استفاده كرده و آن را اجرا مي كنند، شامل محصولات سرورهاي سازماني شركتهاي Red Hat و ManddrakeSoft بوده كه توسط باگ ها آلوده نمي شوند.
اين باگ ها، محصولاتي چون SuSE Linuxe9.۱ و سرور SuSE Linuxe Enterprice9 را تحت تأثير قرار مي دهند، اما SuSE Linuxe9.۲ به اين دليل كه از نسخه ۸/۶/۲ هسته اصلي استفاه مي كند كه مشكلات موجود در آن برطرف شده، تحت تأثير آلودگي هاي موجود واقع نمي شود. SuSE ، نقص ها و آسيب پذيري هاي كم خطرتري را Patch كرده است كه قادر بوده اند امكان دستيابي به امتيازات اساسي را براي كاربران فراهم سازند. اين باگ تنها SuSE9 را كه بر روي s/۳۹۰ قرار دارد، تحت تأثير قرار مي دهد.
شركت امنيتي Secunia اعلام كرده است كه اين نقص بازدارنده سرويس از نظر خطرناك بودن در رده متوسطي قرار مي گيرد، زيرا به حمله كنندگان امكان ناسازگار كردن سيستم ها را نمي دهد. اين دومين باگ در نسخه ۶/۲ بوده كه از نظر خطرناك بودن در چنين سطحي قرار مي گيرد.
نخستين باگ از نوع بازدارنده سرويس بوده كه در ژوئيه گذشته منتشر شده است.

[mahan]

انتشار اسامي 10 ويروس برتر ماه اکتبر توسط Sophos

شرکت امنيتي Sophos فهرست ده ويروس مخربي را که بيشترين مشکل را براي شرکتهاي تجاري و کاربران کامپيوترهاي شخصي در ماه اکتبر سال 2004 ايجاد کرده بودند اعلام کرد.

به گزارش بخش خبر تراشه از سايت امنيتي Sophos، اين گزارش که حاوي مانيتور کردن شبکه هاي جهاني مي‌باشد، نشان مي دهد Netsky-P و Zafi-B به ترتيب در مرتبه اول و دوم اين نمودار قرار دارند که ویروس Zafi-B برای اولین بار در ماه ژوئن پدیدار شد.



شما مي توانيد 10 ويروس برتر ماه اکتبر 2004 را در زير مشاهده نماييد:





کارول تریالت، مشاور امنیتی در Sophos اعلام داشت: "تنها با یک ثبت جدید که در پایین این جدول قابل مشاهده است، همچنان تسلط و نفوذ دو ویروس Netsky-P و Zafi-B ادامه دارد. این دو ویروس بسیار رایج و مقاوم هستند و و رقیبانی بسیار سخت برای ویروس‌های جدید تلقی می‌شوند. هزاران کپی از آنها در سرتاسر دنیا پخش شده است و برای کلیه کامپیوترهایی که دارای یک سیستم امنیتی مناسب نباشند تهدید جدی و بالقوه‌ محسوب می‌شوند."

[mahan]

شيوع گسترده hoax در ياهو مسنجر


پژوهشگران امنيتي به كاربران نسبت به شیوع hoax هايي (شوخي فريب آميز) هشدار دادند كه از طريق سرويس ياهو مسنجر در بين كاربران براي ايجاد وحشت در بين آنها پخش شده و به كاربران درمورد ويروس بسيار مخوف و وحشتناكي هشدار مي دهند.

hoax هاي ياهو مسنجر به (قاتل هارد درايو ) نيز مشهور مي باشند كه به كاربران هشدار مي دهد كه كامپيوتر شما در شرف آلودگي با ويروس بسيار وحشتناكي است .Sophos تعداد بسيار زيادي گزارش از شيوع گسترده hoax ها از كاربران دريافت كرده است كه كه حتي از طريق ايميل و message board های اینترنت نيز فرستاده شده است.

Graham Cluley رئيس بخش امنيتي Sophos گفت : كه اين هشدارها كاملا مزخرف و دروغ است و چنين ويروسي اصلا وجود ندارد. اگرچه خود اين hoax ها و نامه هاي زنجيره اي بي ضرر نيستند و پهناباند و زمان را پايمال مي كنند و درد سرهايي براي بخشهاي پشتيباني به وجود مي آورند.

نمونه اي از پيام اين hoax ها را در زير مي خوانيد:

اگر كسي با نام [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] شما را add كرد درخواست او را قبول نكنيد زیرا كه وی يك ويروس خطرناك است . اين پيغام را براي همه افراد موجود در ليست خود نيز بفرستید چونكه اگر يكي از افراد درون ليست شما از روي بي اطلاعي اين ويروس را بگيرد تو هم ويروسي مي شوي پس همه افراد درون ليست خود را از از اين مسئله آگاه كن و بگو كه پيامي را كه از angell11, tewwtuler, و sassybitch باشد باز نكنند كه قاتل هارد درايو و ويروس بسيار مخوف و معدومي است.
مخلصانه وصادقانه :رئيس سرويس هاي ياهو
لطفا بر روي ليست خود راست كليك كن و اين پيغام را براي همه بفرست.

فرستادن چنين hoax هايي بسيار آسان مي باشد و متخصصين از كاربران مي خواهند تا قبل از فرستادن هر متني براي دوستان و افراد درون ليست خود حتما آنرا چك كنند تا از ايجاد مزاحمت و وحشت در ديگران جلوگيري شود.

83.8.19

[mahan]

كرم Forbot-BC


همكاران : Forbot-BC كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد شد.
اين كرم خودش را در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود:
KLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
پس از اولين اجرا كرم فعاليتهاي زير را كه آموزشهايي از طرف مهاجم مي باشد را اجرا مي كند:

- setup a SOCKS4 proxy
- setup a HTTP proxy
- delete network shares
- partake in denial of service (DDOS) attacks
- port scan IP addresses
- download and run files from the Internet
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

[mahan]

كرم Rbot-PC


Rbot-PC از خانواده كرم هاي Rbot مي باشد كه مانند يك در پشتي عمل مي كند كه در شبكه هاي share شده با پسورد ضعيف منتشر مي شود و هدف آن سيستم هاي ويندوزي است.

كرم منتشر مي شود تا دستورات مخصوصي را از طريق جستجو در آدرسهاي IP تصادفي ارسال كند ،براي اين منشور SMB پورت (445) را باز مي كند و سعي مي كند خودش را در پوشه ويندوز روي share هاي Admin$ و C$ كپي كند.

اين كرم از يك لغت نامه داخلي عمومي استفاده ممي كند تا بتواند به پسورد ها دسترسي داشته باشد.

Rbot-PC يك فهرست از فايل هاي كپي شده تهيه مي كند تا آنها را روي سيستم اجرا كند.همچنين قابليت جستجو كردن روي سيستم هاي ويندوزي را دارد تا در آنها آسيب پذيري هاي عمومي را پيدا كند ،مانند آسيب پذيري LSASS و پورت هاي باز شده توسط كر مهاي ديگرمانند Bagle يا MyDoom .

كرم Rbot-PC همچنين يك در پشتي است كه به مهاجم اجازه مي دهد به سيستم آلوده دسترسي داشته باشد.پس از اجرا كرم به يك كانال IRC نتصل مي شود و يك كانال مخصوص در آنجا ثبت مي كند تا دستورات را از مهاجم دريافت كند.

اين كرم مانند ديگر عضو هاي خانواده Rbot قابليت انجام اعمال زير را دارد:

allow a remote user to set up a proxy server

start a HTTP server on a user specified port

collect system information

add or delete shares and users

kill processes

download and execute files

send email

remotely control a connected web cam

sniff network traffic

log keystrokes

steal keys for certain games or launch various denial-of-service attacks against an attacker-specified target.

كرم پس از اجرا خودش را در پوشه ويندوز با نام csrse.exe كپي مي كند تا با اجراي ويند.وز كرم نيز اجرا شود و مدخل زير را در رجيستري قرار مي دهد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

در ضمن به علت كپي هاي مختلفي كه اين كرم در پوشه هاي Share شده ايجاد مي كند بهتر است كه از آنتي ويروس براي پاك كردن آن استفاده كنيد.

[mahan]

سهل انگاري I S P ها باعث سرقت اطلاعات كاربران مي شود

همشهري : تنظيم نادرست سرور «حافظه پنهان (CACHE)» در بخش فني مراكز ارائه دهنده خدمات اينترنتي (ISP) باعث در دسترس همگان قرار گرفتن اطلاعات كاربران و سرقت آنها مي شود.
«حافظه پنهان ((CACHE» يك زيرسيستم خاص حافظه است كه در آن يك نسخه از صفحاتي كه اغلب مورد استفاده قرار مي گيرد ذخيره شده تا بتوان سريع تر به آنها دست يافت.
«عليرضا اقتداري» مدير يك مركز ISP در اصفهان در اين باره به ايرنا گفت: برخي از مراكز ISP اقدام به قرار دادن صفحات مربوط به ارسال شناسه كاربري (ID) و رمز (Password) در سرور حافظه پنهان مركز خود به صورت ذخيره شده مي كنند.
وي افزود: اكثر صفحاتي كه عمل ارسال (submit) يا اتصال (Loggin) اين اطلاعات مهم و شخصي را انجام مي دهند و به هنگام قرار گرفتن در سرور حافظه پنهان باعث ايجاد مشكلات فراواني مي شوند.
وي ادامه داد: با ذخيره شدن صفحات ارسال در سرور حافظه پنهان، هرگاه كاربر جديدي به مركز ISP مورد نظر متصل شده و شناسه و رمز خود را وارد سايت ذخيره شده كند با صفحه اصلي كاربر قبلي استفاده كننده از پهناي باند مركز ISP مواجه مي شود.
وي اضافه كرد: در نتيجه، كاربر جديد مي تواند به كليه اطلاعات كاربر قبلي دسترسي پيدا كرده و در صورت تمايل آنها را به نفع خود سرقت و استفاده كند.
اقتداري تصريح كرد: اين پديده در برخي از مراكز ارايه دهنده خدمات اينترنتي در ايران به وجود آمده، به طوري كه اطلاعات شخصي كاربران آنها در اختيار همگان قرار گرفته است.
مدير اين مركز ISP خاطر نشان كرد: بيشتر مشكلات به وجود آمده در باره صفحات پست الكترونيكي (E-mail) محيط هاي گفتمان (Chat) و سايت هاي دوست يابي مانند اركات (Orkut) است.
وي با اشاره به اين كه اكثر صفحات ارسال اطلاعات داراي استانداردهاي نرم افزاري «پي.اچ.پي (PHP)» و «اي .اس.پي (ASP)» هستند، گفت: مديران بخش فني مراكز ISP تا حد امكان بايد از قرار دادن اين صفحات در سرور حافظه پنهان خودداري كنند.
به گفته وي، برخي از مديران فني مراكز ISP بدون توجه به رعايت مسايل امنيتي و ارايه كيفيت مطلوب اينترنت به كاربران و تنها براي صرفه جويي در هزينه ها و مصرف پهناي باند خود اقدام به قرار دادن صفحات پربيننده در سرور حافظه پنهان خود مي كنند.

[mahan]

تروجان Banker-AA


Banker-AA تروجاني است كه به پسوردها دستبرد مي زند و مشتري هاي بانك هاي برزيلي را زير نظردارد.
اين تروجان اينترنتي كه وقتي به سيستم كاربر دسترسي پيدا كند براي مدتي اعمال او را ديده باني مي كند. وقتي سايتها در حال مشاهده هستند تروجان يك صفحه جعلي را نمايش مي دهد تا كاربر را درباره جزئياتش بفريبد.URL هاي زير ديده باني مي شوند:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
تروجان پس از دستبرد جزئيات را به آدرس ايميلي در برزيل مي فرستد.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky


كرم Pikis-B

همکاران : شرح:Pikis-B كرمي است كه با پست الكترونيكي منتشر مي شود . اين ايميل ها توسط سيستم هاي آلوده ارسال مي گردد و كرم به صورت يك فايل الحاقي به آن منتشر مي گردد.
اين ايميل شامل مشخصات زير مي باشد :
فرستنده از يكي از نام هاي زير انتخاب مي گردد:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
موضوع نامه :
Forum
Cracks
Hello

محتواي نامه :
<non-Roman characters with the URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] or http://www.xakep.ru>
or
You Password: TreWQWQ90 Login:Trast666 For access install package. Enjoy!
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Access Denied!!!
Please enter password:JJJK56RtE and install package upgrade!
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] Enjoy.
فايل الحاقي يكي از نامهاي زير مي باشد:
Setup.exe
crack.exe
crack_setup.exe
GetAdmin.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در فايل system.ini در زير شاخه [boot] اگر با مدخل زير برخورد كرديد آن را نيز پاك كنيد :
shell=Explorer.exe systems.exe
حال دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

شرح اضافه :
در اولين اجرا پيام زير نمايش داده مي شود :
Install Crack for WindowsXP Sp2 99.006.34?
and
Not found package WindowsXP Sp2!

و سپس خودش را به يكي از نامهاي زير در شاخه سيستمي ويندوز كپي مي كند :
fttp.exe
Crack_Bat.exe
systems.exe
iq.dat

Kipish1.dat
Kipish2.dat
Kipish3.dat

و مدحل هاي رجيستري زير را نيز ايجاد مي كند :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe

همچنين خط زير را نيز به زير شاخه [boot] سيستم نيز در فايل System.ini اضافه مي كند :
shell=Explorer.exe systems.exe
Pikis-B پروسه هاي زير را نيز خاتمه مي دهد :
outpost.exe
zonealarm.exe
guard.exe
spyxx.exe
t ds-3.exe
nprotect.exe
vsstat.exe
mcupdate.exe
taumon.exe
sphinx.exe
atupdater.exe
webscanx.exe
frw.exe
blackice.exe
update.exe
drweb32.exe
netstat.exe
avp.exe
kav.exe