ويروس شناسي!

كرم Sdbot-SX


Sdbot-QX يك كرو شبكه و در پشتي تروجان مي باشد كه با اجرا شدن در پيش زمينه كامپيوتر به عنوان يك برنامه كاربردي به مهاجم اجازه مي دهد كه از طريق كانال هاي IRC به سيستم آلوده دسترسي داشته باشد.

كرم Sdbot-QX قايليت اين را دارد كه مانند يك در پشتي بربرنامه هايي را بر روي سيستم نصب و اجرا كند.
اين كرم پس از اجرا خودش را با نام BBSBW.EXE در پوشه ويندوز ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا مطمئن شود با اجراي ويندوز كرم نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
كرم خودش را در شبكه هاي share شده كه پسورد ضعيف دارند كپي مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Bagz-F


Bagz-F جزء آن دسته از كرم هاي شبكه است كه از طريق پيغامهاي اينترنتي منتشر مي شود ،و داراي يك در پشتي است كه اجازه مي دهد يك مهاجم فايل هايي را روي سيستم آلوده دانلود و اجرا كند.
اين كرم آدرسهاي ايميل را از فايل هاي TXT, HTM, DBX, TBI وTBB جمع آوري مي كند و ايميلي را به آدرسي كه پيدا كرده و فرستنده ايميل ارسال مي كند.
همچنين برنامه هاي نرم افزاري مربوط به آنتي ويروس را از كار مي اندازد.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

ايميل ارسالي داراي مشخصات زير مي باشد:

موضوع ايميل:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل هاي الحاقي به صورت ZIP:

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل هاي الحاقي به صورت exe:

backup.doc <lots of spaces> .exe
admin.doc <lots of spaces> .exe
archivator.doc <lots of spaces> .exe
about.doc <lots of spaces> .exe
readme.doc <lots of spaces> .exe
help.doc <lots of spaces> .exe
photos.doc <lots of spaces> .exe
payment.doc <lots of spaces> .exe
archives.doc <lots of spaces> .exe
manual.doc <lots of spaces> .exe
inbox.doc <lots of spaces> .exe
outbox.doc <lots of spaces> .exe
save.doc <lots of spaces> .exe
rar.doc <lots of spaces> .exe
zip.doc <lots of spaces> .exe
ataches.doc <lots of spaces> .exe
documentation.doc <lots of spaces> .exe
docs.doc <lots of spaces> .exe
sqlssl.doc <lots of spaces> .exe

كرم Bagz-F يك كپي از فايل هاي بالاو فايل هاي زير در شاخه ويندوز قرار مي دهد :

sysinfo32.exe
ipdb.dll
wdate.dll
jobdb.dll

كرم فايل host ويندوز را تغيير مي دهد تا دسترسي به وب سايت فروشنده هاي آنتي ويروس را غير ممكن كند.

اين كرم فايلي را با نام "Xuy v palto " در مسير "<Windows system folder>\trace32.exe" ايجاد مي كند و مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

همچنين ويروس KaZaA را از طريق پاك كردن مدخل زير در رجيستري از كار مي اندازد:

HKCU\Software\Kazaa\Settings\Quarantine


تروجان Mastseq-D


Mastseq-D يك تروجان در پشتي است كه به طور پيوسته در پيش زمينه ويندوز اجرا مي شود و تعدادي از سرويس ها را براي مهاجم آماده مي كند.
Mastseq-D با استفاده از تزريق كدهاي خود به برنامه مرورگر ويندوز باعث مي شود كه بعد از اجراي برنامه در سطوح دسترسي بالاتر ، اين كرم نيز در همان سطح دسترسي اجرا شود.
اين تروجان اطلاعات را از طريق پورت 80 (HTTP) به مكاني در دور دست ارسال مي كند.و سعي مي كند مدخل زير را از رجيستري حذف كند:
HKLM\Software\Numega\

تروجان دو فايل با نامهاي CHKBYZ.PNF and ZZBMP.APL در شاخه ويندوز ايجاد مي كند كه اين اطلاعات توسط تروجان مورد استفاده قرار مي گيرد و ممكن است بدون آسيب پاك شوند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

سايت سازمان زندانهاي كشور هك شدند!


برخي سايتهاي متعلق به سازمان زندانهاي كشور شب گذشته توسط هكر ايراني هك شدند.
اين هكر كه به نام HU-Cracker Kurd خودش را معرفي كرده است شب گذشته 11 سايت متعق به سازمانهاي زندانها را هك كرد.
اين هكر كه تا به حال اسمي از او شنيده نشده است در شب گذشته صفحه نخست اين سايتها را به كلي تغيير داد و صفحه خود را جايگزين آن كرد.
سرور اين سايتها كه لينوكس مي باشد آسيب پذير بوده و هكر ها به اين مورد اشاره كرده اند و در صفحه خود تهديد كرده كه منتظر حملات بعدي باشيد.
از مطالب نوشته شده در صفحه اول اين سايت ها مشخص مي شود كه هك شدن اين سايت بنا به دلايل سياسي نبوده است.
اما در ايميل ديگري كه به مدير سايت امنيت وب ارسال شده است علت اين كار فشار روحي وارده بر سربازان زندان سنندج بيان شده است. البته مشخص نشده است كه اين ايميل از طرف هكر سايت ها ارسال شده يا خير.

ليست سايتهاي هك شده:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مبارزه‌ي مرورگرDeepnet در برابر حملات phishing


به دنبال ارايه‌ي برنامه‌ي اوليه‌اي از Netscape و عرضه‌ي Firefox 1.0، يك شركت انگليسي، مرورگر وبي ارايه داده كه ادعا مي‌كند از مرورگرهاي Internet Explorer و يا فاير فاكس، ايمن‌تر است.

Deepnet Technologies نسخه‌ي 1.3 مرورگر Deepnet Explorer را عرضه كرده است. اين مرورگر وب رايگان، مبتني است بر IE مايكروسافت، اما داراي ويژگي‌ها و قابليت‌هاي بيشتري است همچون قابليت پشتيباني و حفاظت از كاربران اينترنت در برابر حملات آنلاين و رو به افزايش معروف به حملات phishing است.

Deepnet Explorer، با قرار دادن سايت‌هاي phishing در ليست سياه و تجزيه و تحليل آدرس‌هاي وب و وب سايت‌ها، به دنبال حفاظت از كاربران در برابر چنين حملاتي است. حملات phishing، پيام‌هاي هرزنامه‌ها را با صفحه‌هاي وب كه ظاهري همانند سايت‌هاي تجارت الكترونيكي قانوني دارند، تركيب مي‌كنند تا بدين طريق بتوانند اطلاعات حساس و مهمي مانند اسامي كاربران، رمز عبور آن‌ها و شماره‌هاي كارت اعتباري آنان را سرقت كنند.

سازندگان Deepnet Explorer ادعا مي‌كنند كه مرورگر آن‌ها در مقايسه با IE و يا فاير فاكس، از امنيتي بيشتري برخوردار است، زيرا داراي اخطار phishing و ساير قابليت‌ها و ويژگي‌هاي امنيتي مانند عمليات كنترل محتوا است كه به كاربران امكان مي‌دهد كنترل‌هاي ActiveX و ساير تهديدهاي امنيتي را مسدود و متوقف سازند. همچنين اكثر مشكلات امنيتي IE، بر روي بدنه و ساختار برنامه‌هاي كاربردي تاثير گذار است نه موتور تبديل كننده (rendering) كه توسط Deepnet Explorer نيز مورد استفاده قرار مي‌گيرد.

Thor Larholm، محقق امنيتي ارشد PivX Solutions كه يك شركت خدمات امنيتي است، اعلام كرده است كه سازندگان Deepnet Explorer ادعا مي‌كنند كه اكثر آسيب پذيري‌ها در برنامه‌ي كاربردي IE يافت مي‌شوند نه در موتور تبديل كننده، اما اين گفته با پيدايش صدها آسيب پذيري در موتور تبديل كننده مغايرت دارد.
در حالي كه توليد كنندگان Deepnet ادعا مي‌كنند كه مرورگر آنان بسيار ايمن‌تر از ساير مرورگرهاست، نسخه‌ي 1.3 برنامه‌ي روزآمد ساز، آسيب پذيري‌هاي امنيتي متعددي را برطرف مي‌سازد. همچنين، اين مرورگر جديد در برابر نقص iframe در IE آسيب پذير است.

تنها برتري Deepnet Explorer نسبت به IE، داشتن تحليل‌گر phishing بوده كه دسترسي به سايت‌هاي phishing و URL هايي را كه phishy به نظر مي‌رسند، مسدود مي‌سازد.
هدف ساير ويژگي‌هاي Deepnet Explorer آن است كه مرور و جست‌وجو در وب را خوشايندتر سازند. اين مرورگر شامل مسدودكننده‌ي تبليغات pop-up نيز بوده تا وب سايت‌ها را از باز كردن ساير پنجره‌هاي حاوي تبليغات ناخواسته باز دارد.

Deepnet Explorer همچنين از مرورگرهاي داراي tab پشتيباني مي‌كند. اين مرورگر، يكي از چندين مرورگري است كه با ويژگي‌هاي بهتري نسبت به موتور مرورگر IE مايكروسافت ساخته شده است. Deepnet Explorer از طريق آدرس [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] قابل دانلود است

كرم Mofei-E

Mofei-E كرم شبكه است كه مانند در پشتي عمل مي كند و در شبكه هاي share شده با پسورد ضعيف منتشر مي شود
كرم به واسطه تزريق كردن خود در برخي برنامه هاي ويندوز خودش را از ديد كاربر پنهان مي كندو خودش را مانند يكي از سرويسهاي ويندوز اجرا مي كند.
پس از اجرا كرم خودش را با نام ALERTER.EXE در پوشه ويندوز ذخيره مي كند و دو فايل با نام هاي SPC.EXE وSPTRES.DLL در سيستم نصب مي كند كه به نام ويروس Mofie-M شناخته مي شود.
همچنين اين كرم فايلي ديگر به نام SPC.EXE و SPTRES.DLL را با تزريق در مرورگر ويندوز اجرا مي كند تا جاسوسي كاربر را كند.
SPTRES.DLL سعي مي كند كرم را به share هاي ADMIN$ و IPC$ كپي كند.
Mofie-E مدخل هاي زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\SYSTEM\ControlSet<number>\Services\Alerter \ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
اين كرم همچنين خودش را به صورت يكي از سرويس هاي ويندوز به نام netlog در ويندوز اجرا مي كند كه به نام Net Login Helper ديده مي شود كه فايل SCARDSER.EXE را اجرا مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet<number>\Services\Alerter \ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

AOL امكانات امنيتي جديد ارايه مي‌دهد

نيويورك- شركت آمريكا آنلاين در برابر افزايش تهديدهاي امنيتي آنلاين، در حال بسته بندي ويژگي‌هاي جديدي براي مبارزه با ويروس‌ها، هرزنامه‌ها و نرم‌افزار جاسوسي است.
مشتركان مي‌توانند ابزارهاي رايگان را از طريق دانلود كردن نرم‌افزار جديدي به نام AOL 9.0 Security Edition كه از روز پنجشنبه قابل دسترس خواهد بود، مورد استفاده قرار دهند.
Danny Krifcher، نايب رييس اجرايي خدمات آمريكا آنلاين گفته است: « هنگامي كه اعضا با مسئله‌ي اجراي برنامه‌اي در كامپيوتر مواجه مي‌شوند، اين طور تصور مي‌كنند كه به واقع با مشكل اجرايي روبرو شده، اما چيزي كه در حقيقت گرفتار آن شده‌اند، ويروس و يا نرم‌افزار جاسوسي است.»
AOL 9.0 Security، جديدترين نسخه‌ي نرم‌افزار آمريكا آنلاين بوده كه نرم‌افزار ضد ويروس مكافي و برنامه‌هاي به روز رساني خود را براي مشتركان dial-up و با سرعت بالا فراهم مي‌سازد.
تأكيد جديد بر امنيت، به دنبال تلاش موفقيت آميز آمريكا آنلاين طي يكسال گذشته براي مبارزه با هرزنامه و ايميل‌هاي تبليغاتي صورت پذيرفته است كه موجب ايجاد اختلال و آشفتگي در ميل باكس بيش از بيست ميليون مشتري مي‌شده‌اند. اين شركت با استفاده از فيلترهاي جديد و ارايه‌ي قوانين جديد ضد هرزنامه، با مشكلات موجود به مقابله و مبارزه پرداخته است.
Jonathan F. Miller، مدير اجرايي آمريكا آنلاين اعلام كرده است كه نسخه‌ي جديد نرم‌افزار AOL مي‌بايد از مشتركان در برابر نرم‌افزارهاي جاسوسي موجود بر روي كامپيوترهاي شخصي آن‌ها، پشتيباني و حفاظت كند.
اين بسته‌ي نرم‌افزاري جديد شامل امكانات ذيل است:

1- نرم‌افزار ضد ويروس شركت مكافي به همراه برنامه‌هاي به روز رساني رايگان و خودكار. در گذشته، فراهم كردن چنين پشتيباني از طريق AOL، 2.95 دلار در ماه، هزينه به دنبال داشته است.
2- پشتيباني در برابر نرم‌افزار جاسوسي. پيش از اين، اسكنر نرم‌افزار جاسوسي آمريكا آنلاين تنها يكبار در هفته اجرا مي‌شده است. هم‌اكنون، يك SpyZapperجديد، هر زمان كه كاربران برنامه‌هاي مخرب را دريافت كنند، حافظه‌ي كامپيوتر را بررسي مي‌كند.
3- كنترل هرزنامه‌ها. براي كنترل تعداد ايميل‌هاي قانوني و مجاز كه به اشتباه پاك مي‌شوند، ----- هرزنامه هم‌اكنون تنظيمات بالا، متوسط و پاييني فراهم مي‌كند. اين ----- همچنين پيام‌هاي فوري ناخواسته را متوقف و مسدود مي‌سازد.
4- مسدود كننده‌ي تبليغات pop-up. اين برنامه، تبليغات رسانه‌اي را كه در سراسر صفحات وب وجود دارند، مسدود مي‌كند.
5- كنترل‌هاي والدين. والدين قادر خواهند بود اشخاصي را كه فرزندانشان مي‌توانند پيام‌هاي فوري با آن‌ها رد و بدل كنند، محدود سازند.

براي مبارزه با سرقت اطلاعات شخصي و هويتي، آمريكا آنلاين همچنين با آژانس اعتباري Experian همكاري كرده تا سرويسي ارايه دهد كه مشتركان هنگامي كه از كارت‌هاي اعتباري‌شان بيش از حد مجاز استفاده شده، با خبر گردند.

Sybari، محصولات امنيتي براي IM و SharePoint ارايه مي‌كند

Sybari Software، يك Antigen 8.0 را براي SharePoint مايكروسافت و Antigen 8.0 ديگري براي سرويس پيام فوري ارايه كرده است. اين دو محصول ضد ويروس، ضد هرزنامه و نرم‌افزار امنيتي ----- كردن محتوا براي محيط‌هاي سازماني در نظر گرفته شده است.
Joe Licari، مدير مديريت محصول در Sybari گفته است كه هر دوي اين محصولات در محيط‌هاي جديد بسياري از فروشگاه‌هاي آي‌تي قرار مي‌گيرند.
Antigen 8.0 براي SharePoint مايكروسافت براي شركت‌هايي طراحي شده است كه از سرور پورتال SharePoint مايكروسافت براي ارتباط و اتصال با تامين كنندگان، مشتريان و همكاران از طريق مبادله‌ي اسناد و مدارك و ساير هوشمندي‌هاي تجاري استفاده مي‌كنند.
وي در ادامه افزوده است كه از آن جايي كه شركت‌ها بر محصولاتي چون SharePoint مايكروسافت تكيه دارند، نياز و لزوم ايمن كردن اين منابع، امري مهم و ضروري محسوب مي‌شود. اين امر در مورد Antigen 8.0 براي سرويس پيام فوري نيز صدق مي‌كند.
Licari گفته است: « سرويس پيام فوري توسط بسياري از بخش‌ها حتي بدون اطلاعات آي‌تي مورد استفاده قرار مي‌گيرد. اين محصول براي آن طراحي شده تا به مديران آي‌تي امكان دهد بدون آسيب رسيدن به كارايي سرويس پيام فوري، آن را ايمن سازند.»
نسخه‌ي جديد Antigen 8.0 براي SharePoint مايكروسافت شامل امكان تهيه‌ي گزارش و بررسي كليدي اسناد و مدارك و قابليت‌هاي ويژه‌ي روز آمد سازي است.
نسخه‌ي جديد Antigen 8.0 براي IM شامل پشتيباني براي Live Communication Server 2005 مايكروسافت، قابليت بررسي محتواي اسناد و مدارك و تكنولوژي بهبود يافته‌ي به روز رساني موتور بررسي است. IM يكي از ابزارهاي مهم براي ارتباطات شخصي و كاري محسوب مي‌شود.
نود درصد از سازمان‌ها گزارش داده‌اند كه كاربران آن‌ها به برنامه‌هاي كاربردي سرويس پيام فوري (IM) دسترسي دارند.
محصولات جديد در پيش گفته شده، به زودي قابل دسترس خواهند بود. هزينه‌ي اين محصولات بستگي به سايز و پيكربندي شبكه دارد.

ويروس Primat-C

Primat-C ويروسي است كه از طريق شبكه هاي P2P و شبكه هاي share شده بدون محافظ منتشر مي شود.
ويروس سعي مي كند فايل هايي با پسوند هاي EXE, SCR or PIF را در پوشه هاي زير آلوده كند:

Network shares named "C" on randomly-chosen IP addresses
The Kazaa "DownloadDir"
The top folder of any valid drives
اين ويروس آموزش مخصوص مي بيند كه فايل هاي زير را در share هاي قابل دسترس كه "C\Windows" ناميده مي شود، آلوده كند:
Rundll32.exe
Scanregw.exe
همچنين يك كپي از خودش با نام msdis.dll در پوشه temperory ويندوز ايجاد مي كند و اگر در 18th هر ماه اجرا شود به صورت يك عكس bitmap نمايش داده مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
به علت اينكه اين كرم خودش را در بسياري از Share هاي ويندوز كپي مي كند بنابراين براي پاك كردن آن حتما از آنتي ويروس هاي به روز شده استفاده كنيد.


كرم Sober-I

كرم Sober-I جزء آن دسته از كرم هاي خانواده Sober مي باشد كه خودشان را به وسيله پيغام هاي اينترنتي در سيستم هاي ويندوزي منتشر مي كنند و آدرسهاي ايميل را از فايل هايي با پسوند هاي زير جمع آوري مي كند:

PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VC CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX

كرم پس از اجرا پيغام خطايي قلابي را با عنوان "WinZip Self-Extractor" نمايش مي دهد كه متن آن "WinZip_Data_Module is missing ~Error:..." مي باشد و هنگامي كه اين پيغام را نمايش مي دهد فايل هاي زير را در پوشه ويندوز ايجاد مي كند:

Odin-Anon.Ger
clonzips.ssc text-ascii
clsobern.isc text-ascii
cvqaikxt.apk
dgssxy.yoi
diagdatacrypt.exe win-pack-hackupx
expolerlog.exe win-pack-hackupx
nonzipsr.noz
sysmms32.lla
winroot64.dal
winsend32.dal
zippedsr.piz text-ascii

سپس خودش را با فايلي با پسوند EXE و نامي تشكيل شده از كلمات زير در پوشه ويندوز كپي مي كند:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service,smss32
همچنين مدخل زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد حال فايل اشاره شده را نيز در پوشه Startup ويندوز پيدا كنيد و پاك كنيد. دوباره سيستم خود را راه اندازي كنيد.


شرح اضافه:
كرم ممكن است ايملي را با مشخصات زير ارسال كند:
موضوع:
FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

متن پيغام:

Message Text for Subject ''Oh God'':

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

Message Text for delivery failure subject lines:contructed from

This mail was generated automatically.
More info about --<random name>-- under: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

<random ip><random error message1>
# <random number>: <randomly chosen error message2>

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

_does_not_like_recipient.
_does_not_like_sender

پيغام احتمالي خطا2:

This_account_has_been_discontinued_[#144].
mailbox_unavailable
Remote_host_said:_delivery_error
Giving_up_on_53.32.183.90.
MAILBOX NOT FOUND

پيغام قلابي آنتي ويروس:

*-*-* Mail_Scanner: No Virus
*-*-* <random name>- Anti_Virus Service
*-*-* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>
(See attached file: <random filename>.zip)

متن پيغام1:

Diese E-Mail wurde automatisch generiert.
Mehr Informationen erhalten Sie unter [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

Folgende Fehler wurden aufgezeichnet:
<random ip><random error message1>
# <random number>: <randomly choosen error message2>

STOP mailer

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

Remote_host_said: _Requested_action_not_taken
_delivery_error

پيغام احتمالي خطا2:

mailbox_unavailable3oes not like

پيغام قلابي آنتي ويروس:

Anti_Virus: Es wurde kein Virus gefunden
Anti_Virus Service

متن پيغام2:

Da Sie uns Ihre Persoenlichen Daten sugesandt haben ist das Password
Ihr Geburts-Datum Viel Vergnuegen mit unserem Angebot!

*****

Im I-Net unter: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

متن پيغام 3:

Aus Datenshutzrechtlichen Gruenden darf die vollstaendige E-Mail incl. Daten
nur angehaengt werden

da unsere Datenbank leider durch einen Programm Fehler zerstoert wurde,
mussten wir leider eine Aenderung bezueglich Ihrer Nutzungs-Daten vornehmen.
Ihre geanderten Account Daten befinden sich im beigefuegten Dokument.

Weitere Informationen befinden sich im Anhang dieser Mail.

فايل ارسالي ممكن است از پسوند هاي زير انتخاب شود:

ZIP, PIF, SCR, BAT, COM.

هـــك ، آخرين ابزار رقابت


همكاران : فرض كنيد شركت رقيب شما يك ابزار بر پايه وب بسيار قوي دارد كه بسياري از مشتري هاي شما از آن استفاده مي كنند. شما در جواب آن چه مي كنيد ؟
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟

تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!

در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !

Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.

بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.

اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.

صداي آشنا ؟

همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.

بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.

جاسوسي اقتصادي

به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.

نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.

فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.

از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.

بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.

دومين ويروس كارت كريسمس به كاربران حمله كرد

نويسندگان ويروس ، امروز ويروس را از طريق ايميل منتشر كردند كه حاوي يك كارت كريسمس بوده است.
شركت هاي ضد ويروس ، ويروسي ديگر را كشف كردند كه از طريق ايميل خودش را منتشر مي كند.


طبق گفته شركت آنتي ويروس F-Secure ، كرم Attack-H كه از طريق ايميل خودش را منتشر مي كند ، حاوي يك كارت كريسمس مي باشد تا بدين وسيله كاربران را قانع كند كه ميل حاوي ويروس را باز كنند.


به گفته مدير بخش امنيتي F-Secure ايمن گونه ايميل ها داراي خطرهاي متفاوتي مي باشند در اصل بايد گفت كه هيچ خطري در ديدن اين كارت كريسمس وجود ندارد و خطر در جايي است كه كاربران فايل هاي الحاقي به اينگونه ايميل ها را باز مي كنند.


اين كرم همچون كرم Zafi عمل مي كند و خودش را به تمامي ايميل هايي كه در كتابچه آدرس كاربران وجود دارد ارسال مي كند.اما بر خلاف چند زبان بودن كرم Zafi ، اين كرم فقط خودش را به زبان انگليسي به ديگران ارسال مي كند.


اين كرم حاوي يك تروجان نيز مي باشد. اين تروجان ها اغلب براي دادن دستوراتي از راه دور روي سيستم هاي آلوده استفاده مي شوند.

رکورد جدید ویروسهای رایانه ای در ژاپن اعلام شد

موسسه Trend Micro در گزارشی شمار ویروسهای رایانه ای منتشر شده در سال 2004 در ژاپن را،63 هزار و 657 هزار اعلام کرد.

موسسه Trend Micro یک موسسه رسمی ژاپنی و بانی حفظ آمار های اینترنتی اعلام کرده است که رکورد سابق ویروسهای اینترنتی 47 هزار و 607 مورد بوده است ، در حالیکه این شمار در سال جاری 63 هزار و 657 مورد است.

موسسه Trend بنا بر گزارشهای سازندگان نرم افزارهای ضد ویروس شمار ویروسهای رایانه ای را به طور سالیانه با کمک آماری که مقامات رسمی امنیتی در ژاپن اعلام می کنند را بسیار مستدل بیان می کنند.

این موسسه اعلام کرده است که شمار ویروسهای کشف شده در سال 2004 نسبت به سالهای گذشته بسیار زیاد بوده است.