ويروس شناسي!

IE ، آسيب پذيرترين ابزار تحت وب

تراشه : طبق گزارش سرويس هاي امنيتي IE ،ScanSafe يا همان مرورگر مايكروسافت به عنوان پر خطر ترين و سريع ترين تهديد امنيتي شناخته شد.

بيشترين استفاده از آسيب پذيري Exploit.Html.Mht مي باشد كه دو برابر ديگر آسيب پذيري ها سازمانها و شركت ها را در سال 2004 مورد تهديد قرار داده است.
هر چند كه تروجان ها و كرم ها به عنوان تاثير گذارترين حملات باقي ماندند اما آسيب پذيري ها نيز در حدود 19 درصد از حملات را براي خود توسط ScanSafe ثبت كردند كه هنوز هم در حال افزايش مي باشد.
به گفته مسوولان ScanSafe آسيب پذيرترين ابزار تحت وب همان مرورگر مشهور و دوست داشتني مايكروسافت مي باشد كه باعث حملات زيادي به كاربران شده است. اين سركرده مرورگرهاي وب به راحتي امكاني را فراهم مي كند كه كاربران فقط با ديدن يك سايت به سادگي به انواع ديگري از خطرات و تهديدات تحت وب دچار شوند.

Jphn Edward مدير فني ScanSafe پيش بيني مي كند كه در آينده نيز IE به خطرناك ترين ابزار براي سازمانها و شركت هاي IT مي تبديل مي شود.

او مي گويد: هر زماني كه يك آسيب پذيري جديد در مرورگر ويندوز پيدا مي شود تا زماني كه شركت مايكروسافت اين آسيب پذيري را اصلاح كند و مديران شبكه در جهت نصب اصلاحيه ها برآيند زمان مرده اي وجود دارد كه نفوذگران و هكرها از اين زمان مرده حداكر استفاده را مي كنند.

همچنين در اين گزارش Webmail ها ده درصد خطرات و Spyware ها 12 درصد از اينگونه تهديد ها را به خود اختصاص داده اند.

مايكروسافت در حال بررسي حفره‌ي امنيتي جديد در IE است

منبع : مشورت


مايكروسافت در حال بررسي گزارش‌هايي درباره‌ي يك نقص امنيتي بسيار جدي در مرورگر Internet Explorer است، اما هنوز هيچ كد مخربي را كه به آسيب پذيري گزارش شده حمله كرده و موجب تخريب و آسيب آن شود، مشاهده نكرده است.

متخصصان امنيت اوايل اين هفته هشدار داده‌اند كه كدي كه حفره‌ي امنيتي تازه يافت شده در IE را تحت تاثير قرار مي‌دهد، در حال گردش و منتشر شدن بر روي اينترنت است. بنا بر اظهارات شركت امنيتي دانماركي، Secunia، اين كد موجب ايجاد سر ريز بافر در IE 6 شده و بر روي كامپيوترهايي كه ويندوز XP به همراه سرويس پك 1 و ويندوز 2000 بر روي آن‌ها اجرا مي‌شوند، مستقر گرديده است.

تيم آمادگي فوريت‌هاي كامپيوتري آمريكا (CERT) هشدار مشابهي را به كاربران داده است. اين تيم اعلام كرده است كه علاوه بر مرورگر وب، برنامه‌هاي كاربردي مانند كلاينت‌هاي ايميل كه مبتني بر كنترل‌هاي مرورگر هستند نيز ممكن است آسيب پذير باشند.

حمله كنندگان مي‌توانند با استفاده از نقص موجود، كنترل و تسلط كاملي بر روي كامپيوتر قرباني به دست آورند. مايكروسافت در حال بررسي آسيب پذيري ياد شده است.

در حالي كه شركت امنيتي Secunia و CERT درباره‌ي كد مخرب و منتشر شدن اين آسيب پذيري هشدارهايي ارايه كرده‌اند، مايكروسافت اعلام كرده است كه هنوز نشانه‌اي از اين آسيب پذيري مشاهده نكرده است. اين شركت گفته است: « ما از وجود كدهاي مخرب و آسيب پذيري گزارش شده اطلاعي نداشته‌ايم، اما با پشتكار فراوان در حال بررسي گزارش‌هاي عمومي هستيم.»

هنوز patchي براي اين نقص موجود نيست، اما كامپيوترهايي كه سرويس پك 2 ويندوز XP بر روي آن‌ها اجرا مي‌شود، در مقابل اين آسيب پذيري ايمن هستند.

مايكروسافت اعلام كرده است كه به بهترين نحو از كاربران ويندوز حمايت خواهد كرد. اين پشتيباني ممكن است شامل ارايه‌ي برنامه‌اي براي برطرف كردن آلودگي‌ها از طريق عرضه‌ي patch ماهيانه و يا برنامه‌ي روزآمد ساز امنيتي برون از چرخه‌اي باشد.

قابل توجه امیر پی سی

وجود حفره امنيتي در هسته لينوكس

همشهري : يكي از اصلي ترين توزيع كنندگان لينوكس، از وجود يكي از خطرناك ترين حفره هاي امنيتي در هسته اصلي نسخه ۶/۲ لينوكس خبر داد.
به گزارش زد دي نت، SuSE اعلام كرده است كه اين حفره امنيتي مي تواند به حمله كنندگان امكان دهد تا سيستم هاي عامل نرم افزار مبتني بر نسخ ۶/۲ را از كار بياندازند.
هسته ۶/۲ كه اواخر سال گذشته به توليد رسيد، برخي از ويژگي ها و قابليت هاي سازماني را به لينوكس مي افزايد، اما همچنان در بازار به عنوان يك محصول آزمايشي شناخته مي شود.
شركت Red Hat، بسياري از ويژگي هاي مهم ۶/۲ را براي استفاده در Enterprice Linux به هسته ۴/۲ منتقل كرده و در اين باره گفته است كه هسته قديمي تر داراي ثبات بيشتري است. در حالي كه شركت ManddrakeSoft نسخه ۶/۲ را براي كاربران عادي معرفي كرده است.
SuSE ادعا كرده است كه اولين شركتي خواهد بود كه نسخه ۶/۲ را براي سيستم عامل لينوكس و به همراه SuSE Linuxe9.۱ در بهار آينده معرفي خواهد كرد.
گفته شده است كه مهاجمان مي توانند براي از كار انداختن سيستم ها، از بسته هاي makform استفاده كنند.
كاربران مي توانند به عنوان جانشيني براي روزآمد ساختن اين هسته، ديوار آتش فعال شده بخش هاي IP و TCP را از كار بياندازند، اما به آنان توصيه نمي شود كه اقدام به انجام چنين امري كنند. محصولاتي كه از هسته ۴/۲ استفاده كرده و آن را اجرا مي كنند، شامل محصولات سرورهاي سازماني شركتهاي Red Hat و ManddrakeSoft بوده كه توسط باگ ها آلوده نمي شوند.
اين باگ ها، محصولاتي چون SuSE Linuxe9.۱ و سرور SuSE Linuxe Enterprice9 را تحت تأثير قرار مي دهند، اما SuSE Linuxe9.۲ به اين دليل كه از نسخه ۸/۶/۲ هسته اصلي استفاه مي كند كه مشكلات موجود در آن برطرف شده، تحت تأثير آلودگي هاي موجود واقع نمي شود. SuSE ، نقص ها و آسيب پذيري هاي كم خطرتري را Patch كرده است كه قادر بوده اند امكان دستيابي به امتيازات اساسي را براي كاربران فراهم سازند. اين باگ تنها SuSE9 را كه بر روي s/۳۹۰ قرار دارد، تحت تأثير قرار مي دهد.
شركت امنيتي Secunia اعلام كرده است كه اين نقص بازدارنده سرويس از نظر خطرناك بودن در رده متوسطي قرار مي گيرد، زيرا به حمله كنندگان امكان ناسازگار كردن سيستم ها را نمي دهد. اين دومين باگ در نسخه ۶/۲ بوده كه از نظر خطرناك بودن در چنين سطحي قرار مي گيرد.
نخستين باگ از نوع بازدارنده سرويس بوده كه در ژوئيه گذشته منتشر شده است.

انتشار اسامي 10 ويروس برتر ماه اکتبر توسط Sophos

شرکت امنيتي Sophos فهرست ده ويروس مخربي را که بيشترين مشکل را براي شرکتهاي تجاري و کاربران کامپيوترهاي شخصي در ماه اکتبر سال 2004 ايجاد کرده بودند اعلام کرد.

به گزارش بخش خبر تراشه از سايت امنيتي Sophos، اين گزارش که حاوي مانيتور کردن شبکه هاي جهاني مي‌باشد، نشان مي دهد Netsky-P و Zafi-B به ترتيب در مرتبه اول و دوم اين نمودار قرار دارند که ویروس Zafi-B برای اولین بار در ماه ژوئن پدیدار شد.



شما مي توانيد 10 ويروس برتر ماه اکتبر 2004 را در زير مشاهده نماييد:


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


کارول تریالت، مشاور امنیتی در Sophos اعلام داشت: "تنها با یک ثبت جدید که در پایین این جدول قابل مشاهده است، همچنان تسلط و نفوذ دو ویروس Netsky-P و Zafi-B ادامه دارد. این دو ویروس بسیار رایج و مقاوم هستند و و رقیبانی بسیار سخت برای ویروس‌های جدید تلقی می‌شوند. هزاران کپی از آنها در سرتاسر دنیا پخش شده است و برای کلیه کامپیوترهایی که دارای یک سیستم امنیتی مناسب نباشند تهدید جدی و بالقوه‌ محسوب می‌شوند."

شيوع گسترده hoax در ياهو مسنجر


پژوهشگران امنيتي به كاربران نسبت به شیوع hoax هايي (شوخي فريب آميز) هشدار دادند كه از طريق سرويس ياهو مسنجر در بين كاربران براي ايجاد وحشت در بين آنها پخش شده و به كاربران درمورد ويروس بسيار مخوف و وحشتناكي هشدار مي دهند.

hoax هاي ياهو مسنجر به (قاتل هارد درايو ) نيز مشهور مي باشند كه به كاربران هشدار مي دهد كه كامپيوتر شما در شرف آلودگي با ويروس بسيار وحشتناكي است .Sophos تعداد بسيار زيادي گزارش از شيوع گسترده hoax ها از كاربران دريافت كرده است كه كه حتي از طريق ايميل و message board های اینترنت نيز فرستاده شده است.

Graham Cluley رئيس بخش امنيتي Sophos گفت : كه اين هشدارها كاملا مزخرف و دروغ است و چنين ويروسي اصلا وجود ندارد. اگرچه خود اين hoax ها و نامه هاي زنجيره اي بي ضرر نيستند و پهناباند و زمان را پايمال مي كنند و درد سرهايي براي بخشهاي پشتيباني به وجود مي آورند.

نمونه اي از پيام اين hoax ها را در زير مي خوانيد:

اگر كسي با نام [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] شما را add كرد درخواست او را قبول نكنيد زیرا كه وی يك ويروس خطرناك است . اين پيغام را براي همه افراد موجود در ليست خود نيز بفرستید چونكه اگر يكي از افراد درون ليست شما از روي بي اطلاعي اين ويروس را بگيرد تو هم ويروسي مي شوي پس همه افراد درون ليست خود را از از اين مسئله آگاه كن و بگو كه پيامي را كه از angell11, tewwtuler, و sassybitch باشد باز نكنند كه قاتل هارد درايو و ويروس بسيار مخوف و معدومي است.
مخلصانه وصادقانه :رئيس سرويس هاي ياهو
لطفا بر روي ليست خود راست كليك كن و اين پيغام را براي همه بفرست.

فرستادن چنين hoax هايي بسيار آسان مي باشد و متخصصين از كاربران مي خواهند تا قبل از فرستادن هر متني براي دوستان و افراد درون ليست خود حتما آنرا چك كنند تا از ايجاد مزاحمت و وحشت در ديگران جلوگيري شود.

83.8.19

كرم Forbot-BC


همكاران : Forbot-BC كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد شد.
اين كرم خودش را در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود:
KLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
پس از اولين اجرا كرم فعاليتهاي زير را كه آموزشهايي از طرف مهاجم مي باشد را اجرا مي كند:

- setup a SOCKS4 proxy
- setup a HTTP proxy
- delete network shares
- partake in denial of service (DDOS) attacks
- port scan IP addresses
- download and run files from the Internet
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم Rbot-PC


Rbot-PC از خانواده كرم هاي Rbot مي باشد كه مانند يك در پشتي عمل مي كند كه در شبكه هاي share شده با پسورد ضعيف منتشر مي شود و هدف آن سيستم هاي ويندوزي است.

كرم منتشر مي شود تا دستورات مخصوصي را از طريق جستجو در آدرسهاي IP تصادفي ارسال كند ،براي اين منشور SMB پورت (445) را باز مي كند و سعي مي كند خودش را در پوشه ويندوز روي share هاي Admin$ و C$ كپي كند.

اين كرم از يك لغت نامه داخلي عمومي استفاده ممي كند تا بتواند به پسورد ها دسترسي داشته باشد.

Rbot-PC يك فهرست از فايل هاي كپي شده تهيه مي كند تا آنها را روي سيستم اجرا كند.همچنين قابليت جستجو كردن روي سيستم هاي ويندوزي را دارد تا در آنها آسيب پذيري هاي عمومي را پيدا كند ،مانند آسيب پذيري LSASS و پورت هاي باز شده توسط كر مهاي ديگرمانند Bagle يا MyDoom .

كرم Rbot-PC همچنين يك در پشتي است كه به مهاجم اجازه مي دهد به سيستم آلوده دسترسي داشته باشد.پس از اجرا كرم به يك كانال IRC نتصل مي شود و يك كانال مخصوص در آنجا ثبت مي كند تا دستورات را از مهاجم دريافت كند.

اين كرم مانند ديگر عضو هاي خانواده Rbot قابليت انجام اعمال زير را دارد:

allow a remote user to set up a proxy server

start a HTTP server on a user specified port

collect system information

add or delete shares and users

kill processes

download and execute files

send email

remotely control a connected web cam

sniff network traffic

log keystrokes

steal keys for certain games or launch various denial-of-service attacks against an attacker-specified target.

كرم پس از اجرا خودش را در پوشه ويندوز با نام csrse.exe كپي مي كند تا با اجراي ويند.وز كرم نيز اجرا شود و مدخل زير را در رجيستري قرار مي دهد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

در ضمن به علت كپي هاي مختلفي كه اين كرم در پوشه هاي Share شده ايجاد مي كند بهتر است كه از آنتي ويروس براي پاك كردن آن استفاده كنيد.

سهل انگاري I S P ها باعث سرقت اطلاعات كاربران مي شود

همشهري : تنظيم نادرست سرور «حافظه پنهان (CACHE)» در بخش فني مراكز ارائه دهنده خدمات اينترنتي (ISP) باعث در دسترس همگان قرار گرفتن اطلاعات كاربران و سرقت آنها مي شود.
«حافظه پنهان ((CACHE» يك زيرسيستم خاص حافظه است كه در آن يك نسخه از صفحاتي كه اغلب مورد استفاده قرار مي گيرد ذخيره شده تا بتوان سريع تر به آنها دست يافت.
«عليرضا اقتداري» مدير يك مركز ISP در اصفهان در اين باره به ايرنا گفت: برخي از مراكز ISP اقدام به قرار دادن صفحات مربوط به ارسال شناسه كاربري (ID) و رمز (Password) در سرور حافظه پنهان مركز خود به صورت ذخيره شده مي كنند.
وي افزود: اكثر صفحاتي كه عمل ارسال (submit) يا اتصال (Loggin) اين اطلاعات مهم و شخصي را انجام مي دهند و به هنگام قرار گرفتن در سرور حافظه پنهان باعث ايجاد مشكلات فراواني مي شوند.
وي ادامه داد: با ذخيره شدن صفحات ارسال در سرور حافظه پنهان، هرگاه كاربر جديدي به مركز ISP مورد نظر متصل شده و شناسه و رمز خود را وارد سايت ذخيره شده كند با صفحه اصلي كاربر قبلي استفاده كننده از پهناي باند مركز ISP مواجه مي شود.
وي اضافه كرد: در نتيجه، كاربر جديد مي تواند به كليه اطلاعات كاربر قبلي دسترسي پيدا كرده و در صورت تمايل آنها را به نفع خود سرقت و استفاده كند.
اقتداري تصريح كرد: اين پديده در برخي از مراكز ارايه دهنده خدمات اينترنتي در ايران به وجود آمده، به طوري كه اطلاعات شخصي كاربران آنها در اختيار همگان قرار گرفته است.
مدير اين مركز ISP خاطر نشان كرد: بيشتر مشكلات به وجود آمده در باره صفحات پست الكترونيكي (E-mail) محيط هاي گفتمان (Chat) و سايت هاي دوست يابي مانند اركات (Orkut) است.
وي با اشاره به اين كه اكثر صفحات ارسال اطلاعات داراي استانداردهاي نرم افزاري «پي.اچ.پي (PHP)» و «اي .اس.پي (ASP)» هستند، گفت: مديران بخش فني مراكز ISP تا حد امكان بايد از قرار دادن اين صفحات در سرور حافظه پنهان خودداري كنند.
به گفته وي، برخي از مديران فني مراكز ISP بدون توجه به رعايت مسايل امنيتي و ارايه كيفيت مطلوب اينترنت به كاربران و تنها براي صرفه جويي در هزينه ها و مصرف پهناي باند خود اقدام به قرار دادن صفحات پربيننده در سرور حافظه پنهان خود مي كنند.

تروجان Banker-AA


Banker-AA تروجاني است كه به پسوردها دستبرد مي زند و مشتري هاي بانك هاي برزيلي را زير نظردارد.
اين تروجان اينترنتي كه وقتي به سيستم كاربر دسترسي پيدا كند براي مدتي اعمال او را ديده باني مي كند. وقتي سايتها در حال مشاهده هستند تروجان يك صفحه جعلي را نمايش مي دهد تا كاربر را درباره جزئياتش بفريبد.URL هاي زير ديده باني مي شوند:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
تروجان پس از دستبرد جزئيات را به آدرس ايميلي در برزيل مي فرستد.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky


كرم Pikis-B

همکاران : شرح:Pikis-B كرمي است كه با پست الكترونيكي منتشر مي شود . اين ايميل ها توسط سيستم هاي آلوده ارسال مي گردد و كرم به صورت يك فايل الحاقي به آن منتشر مي گردد.
اين ايميل شامل مشخصات زير مي باشد :
فرستنده از يكي از نام هاي زير انتخاب مي گردد:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
موضوع نامه :
Forum
Cracks
Hello

محتواي نامه :
<non-Roman characters with the URL [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] or http://www.xakep.ru>
or
You Password: TreWQWQ90 Login:Trast666 For access install package. Enjoy!
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Access Denied!!!
Please enter password:JJJK56RtE and install package upgrade!
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] Enjoy.
فايل الحاقي يكي از نامهاي زير مي باشد:
Setup.exe
crack.exe
crack_setup.exe
GetAdmin.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در فايل system.ini در زير شاخه [boot] اگر با مدخل زير برخورد كرديد آن را نيز پاك كنيد :
shell=Explorer.exe systems.exe
حال دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

شرح اضافه :
در اولين اجرا پيام زير نمايش داده مي شود :
Install Crack for WindowsXP Sp2 99.006.34?
and
Not found package WindowsXP Sp2!

و سپس خودش را به يكي از نامهاي زير در شاخه سيستمي ويندوز كپي مي كند :
fttp.exe
Crack_Bat.exe
systems.exe
iq.dat

Kipish1.dat
Kipish2.dat
Kipish3.dat

و مدحل هاي رجيستري زير را نيز ايجاد مي كند :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe

همچنين خط زير را نيز به زير شاخه [boot] سيستم نيز در فايل System.ini اضافه مي كند :
shell=Explorer.exe systems.exe
Pikis-B پروسه هاي زير را نيز خاتمه مي دهد :
outpost.exe
zonealarm.exe
guard.exe
spyxx.exe
t ds-3.exe
nprotect.exe
vsstat.exe
mcupdate.exe
taumon.exe
sphinx.exe
atupdater.exe
webscanx.exe
frw.exe
blackice.exe
update.exe
drweb32.exe
netstat.exe
avp.exe
kav.exe

تروجان Bancos-AC


Bancos-AC تروجاني است كه به پسوردهاي موجود در سيستم هاي ويندوزي دستبرد مي زند. اين تروجان به URL هايي كه در جستجوگر وب وجود دارد گوش مي دهد و صفحات وب جعلي براي سايتهاي بانكهاي برزيلي ايجاد مي كند تا اطلاعات موجود در آنها را گزارش دهد و آنها را به آدرسهاي از پيش تعيين شده بفرستد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن فراموش نكنيد كه پسوردهاي سيستم خود را نيز تغيير دهيد.

تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:
service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

نسخه‌ی جدید ویروس MyDoom وارد شبکه‌ی اینترنت شد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

محققان ضدویروسی اعلام کردند که نسخه‌ی دوم ویروس اینترنتی MyDoom در شبکه‌ی اینترنتی منتشر شده است .
به گزارش سرویس بین‌الملل ایسنا ، این دو نسخه از ویروس MyDoom که در نحوه‌ی ارسال پست الکترونیکی به قربانیان احتمالی با یکدیگر تفاوت دارند از نرم افزار گشایشگر مایکروسافت برای آلوده کردن رایانه‌های شخصی پس از یک کلیک ساده کاربر بر روی لینک WEB استفاده می‌کنند ، اما این ویروس‌ها قادر نیستند در مقیاس‌های بسیار گسترده منتشر شوند .
تاکنون تنها 40 مورد از سیستم‌های آلوده شده به این ویروس در کمپانی ضدویروسی Symantec شناسایی شده است .
مهمترین برای جلوگیری از فعالیت این ویروس احتیاط کاربران در باز کردن فایل‌های ضمیمه و پست‌های الکترونیکی ناخواسته از منابع شناخته شده یا ناشناخته است .
نسخه‌ی جدید ویروس فوق به عنوان یک پست الکترونیکی در Inbox ظاهر ‌شده و پیغامی که در شامل دو عبارت ذیل را اعلام می‌کند :

1- ‌‌Look at my homepage with my last wedcam photos
2- FREE ADULT VIDEO!SIGN UP NOW

گفتنی است تمام پیغام‌ها حاوی متنی هستند که آن‌ها را به یک صفحه‌ی وب که توسط ویروس تولید شده است مرتبط می‌کند

منبع : تالار وب

كرم Decod-A

كرم Decod از طريق اضافه شدن به يك ايميل خودش را منتشر مي كند.اين كرم خودش را در شبكه هاي share شده كپي مي كند. همچنين قابليت اين را دارد كه گزارشهايي را به سايتهايي كه در آدرسهاي از پيش تعين شده روي كامپيوتر كاربر قرار دارد ارسال كند.
كرم پيغامي را با محتوي ساده اي مثل "Please see attachment for detail" وبه همراه فايل الحاقي با پسوند an .mdb ارسال مي كند تا به database دسترسي پيدا كند.
Decod-A مدخل رجيستري را به صورت زير تغيير مي دهد :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
همچنين كليدها را تغيير مي دهد و در كپي جديدي از كرم با نامي مشابه مثل key. e.g. قرار مي گيرد و اگر فايل اصلي abc.exe است كرم يك كپي از abc<space>.exe ايجاد كند.
كرم ويروسهاي بي ضرري را در فايلهاي text مثل فايلهاي زير ايجاد مي كند:

C:\recycled\attachmailer.att
C:\recycled\submailer.sub
C:\recycled\textmailer.tex
%windows%\decghitienellsid.jef
%windows%\hgeticudowldi.hhh
توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ويروسي که SMS مي فرستد

به تازگي ويروس جديدي در اينترنت پديدار شده که با در اختيار گرفتن کنترل کامپيوترهاي شخصي از آنها براي ارسال SMS به تلفنهاي همراه استفاده مي کند. اين SMS ها عمدتا حاوي پيامهاي تبليغاتي هستند و کارکردي مشابه با روزنامه هاي اينترنتي دارند.

اين ويروس که Delf-HA نام دارد پس از آلوده کردن کامپيوتر به يک وب سايت متصل شده و هرزنامههاي مورد نظر را از آن دريافت ميکند.

اين ويروس در ادامه خود را براي مجموعه اي از شماره هاي تلفن هاي همراه در روسيه که با شماره هاي 7921 و 7911 آغاز ميشوند ارسال ميکند.

کارشناسان هشدار داده اند که ممکن است تکنيکهاي مشابهي براي ارسال هرزنامه براي کاربران تلفن همراه درآينده به کار گرفته شود.

كرم Rirc-D

83.8.25
Rirc-D جزء آن دسته از كرمهايي است كه با كپي شدن در شبكه هاي share شده و از طريق آدرسهاي IP تصادفي كه پسورد ضعيف دارند منتشر مي شود.كرم سعي مي كند با يك سرور IRC دور دست ارتباط برقرار كند و به يك كانال مخصوص وصل شود وسپس اطلاعات را براي آن ارسال كند.
پس از اولين اجرا كرم خودش را با نام FF.EXE و الحاقاتش در پوشه ويندوز ذخيره مي كند و هرگاه ويندوز اجرا شود كرم نيز به صورت خودكار اجرا مي شود.
همچنين كرم به ويندوز هاي NT,2000,XP نيز اضافه مي شودو مدخل زير را به رجيستري اضافه مي كند تا روي Startup اجرا شود:
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

هر وقت كرم اجرا شود به آدرسهاي IP تصادفي روي پورت 139و445 متصل مي شود و خودش را به صورت XI.EXE در پوشه هاي زير كپي مي كند:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
كرم سعي مي كند به كامپيوتر مدير مصل شود تا به ليستس از پسورد هاي ضعيف دسترسي پيدا كندو اگر schedule service روي كامپيوتر كاربر فعال است كرم يك ليست جديد از كارها ايجاد كند وكپي از كرم را اجرا كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در دايركتوري هاي زير فايل هاي مربوط به ويروس را پاك كنيد :
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

حال سيستم خود را دوباره راه اندازي كنيد.

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یه سوال جدی و مهم
هدف مردم از ساخت ویروسهایی که بره خود سازندهشون کاربرد نداره و کامپیوترا رو داغون میکنه چیه؟

نمیشه مشخص کرد
چند وقت پیش ویروسی برای حمله به سایتهای دولت مجارستان روی وب اومد که اتفاقا خیلی هم خطر ناک شد
یا جنبه های اقتصادی یا سیاسی و بعضی ها هم بیمارن

مايكروسافت نقايص يافت شده در XP SP2 را بررسي مي‌كند


۲۵ آبان ۱۳۸۳

مايكروسافت اعلام كرده است كه در حال بررسي ادعاهايي درباره‌ي آسيب پذيري‌هاي متعدد و جديدي است كه در سرويس پك 2 ويندوز توسط شركت امنيتي Finjan Software در سن حوزه يافت شده است. Finjan اعلام كرده است كه در حدود 10 نقص جدي و خطرناك در SP2 كشف كرده است.

بر طبق گفته‌هاي Gil Arditi، مدير امنيت Finjan، برخي از آسيب پذيري‌هاي يافت شده مي‌توانند توسط هكرها مورد سو استفاده قرار گيرند تا بدين طريق بتوانند كنترلي از راه دور بر روي سيستم‌ها به دست آورده و يا كدهاي مخرب را بر روي كامپيوترها اجرا كنند.

Finjan درباره‌ي آسيب پذيري‌هاي ياد شده به مايكروسافت هشدار داده و تمامي جزييات فني مناسب و مربوطه را با اين شركت در ميان گذاشته است. Finjan همچنين براي اثبات گفته‌هاي خود، برنامه‌ي اثبات مفهومي (proof-of-concept) توليد كرده است كه مي‌تواند از نقايص ياد شده موجود در سرويس پك 2 ويندوز XP سو استفاده كند.

Finjan با استفاده از سياست‌هاي معمول خود، تا زماني كه مايكروسافت patch هاي خود را براي نقايص يافت شده در دسترس قرار ندهد، هيچ برنامه‌اي براي عمومي كردن جزييات آسيب پذيري‌ها ندارد، اما اين شركت امنيتي برنامه‌هاي متعددي را ارايه كرده كه به شرح و توصيف چگونگي سو استفاده‌ي هكرهاي مخرب از حفره‌هاي امنيتي SP2 براي دسترسي به فايل‌هاي كاربران از راه دور و اجراي كدهاي مخرب بدون مداخله و اجازه‌ي كاربران مي‌پردازد.

اين شركت گفته است كه با به كار گيري تمامي آسيب پذيري‌هاي كشف شده در SP2 توسط Finjan، هكرها مي‌توانند به آرامي و از راه دور، هنگامي كه كاربران در حال مرور صفحه‌هاي وب هستند، به ماشين‌هاي داراي SP2 دسترسي پيدا كنند.

Finjan گفته است كه اخبار كشفيات خود را به صورت بخش بخش ارايه كرده است، زيرا بسياري از كاربران پس از نصب سرويس پك 2 ممكن است به تصور اين كه ديگر مشكلات امنيتي وجود ندارند، سرويس‌هاي محافظ امنيتي خود را از كار بياندازند.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت از ادعاهاي Finjan مطلع بوده و در حال بررسي آن‌ها است. وي گفته است كه در حال حاضر مايكروسافت نمي‌تواند ادعاهاي Finjan را مبني بر وجود 10 آسيب پذيري در SP2 تاييد و تصديق كند.

مايكروسافت همچنين از وجود حملاتي كه در تلاش براي بهره گيري از نقايص گفته شده توسط Finjan هستند، اطلاعي ندارد. اين شركت گفته است: « بررسي‌ها و تحليل‌هاي اوليه‌ي ما نشان دهنده‌ي آن است كه ادعاهاي Finjan درباره‌ي تعداد و ميزان جدي بودن آسيب پذيري‌هاي سرويس پك 2 ويندوز XP، فريبنده و اشتباه بوده است.

مايكروسافت همچنين اعلام كرده است كه چنانچه هرگونه آسيب پذيري واقعي و صحيحي در Windows XP SP2 يافت شود، اين شركت هرگونه اقدام و فعاليت فوري و مناسبي را براي پشتيباني و حفظت مشتريان در پي خواهد گرفت.

تروجان Hackarmy


Hackarmy تروجان در پشتي IRC مي باشد كه با نامهاي win32server.scr يا win32server.exe در پوشه ويندوز ذخيره مي كند و يكي ازمدخل زير را در رجيستري ايجاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe

تروجان خودش را در يك سرور IRC كه از پيش تعين شده ثبت مي كند و منتظر دستورات مي ماند تا از در پشتي دريافت كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم Bagle-AC


Bagle-AC از خانواده كرمهاي Bagle مي باشد كه از طريق ايميل منتشر مي شوند. پس از اجرا كرم خودش را با نام loader_name.exe در پوشه ويندوز ذخيره مي كند و فايلهاي ديگري را كه در نام آنها كلمه open باشد نيز در آنجا ذخيره مي كندسپس در پنجره اي با تيتر eror پيغام زير نمايش داده مي شود:
"Can''t find a viewer associated with the file"

سپس كرم شروع مي كند به پاك كردن مدخل هاي رجيستري كه مربوط به مسائل امنيتي ويندوز و محصولات آنتي ويروس و برنامه هاي امنيتي مي باشد.
به عنوان مثال مدخل هاي زير در صورتي كه به اسامي زير اشاره كند پاك مي شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle-AC زمان را بررسي مي كند و اگر بعد از 25 ژانويه 2005 باشد تمامي برنامه هاي بالا را خاتمه مي دهد.
اين كرم سپس خودش را به اسامي زير در تمامي پوشه هاي share شده كپي مي كند:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, ---, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

كرم خودش را از طريق ايميل منتشر مي كند .Bagle-AC فايلهايي را كه شامل پسوند هاي زير مي باشند براي يافتن آدرسهاي ايميل جستجو مي كند:

WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP
اين كرم به همراه يك فايل HTML در يك ايميل براي كاربران ارسال مي گردد.
ايميلي كه توسط اين كرم ارسال مي شود داراي مسخصات زير است :
موضوع نامه:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

متن نامه :

Read the attach.<br><br>
Your file is attached.<br><br>
More info is in attach<br><br>
See attach.<br><br>
Please, have a look at the attached file.<br>
Your document is attached.<br><br>
Please, read the document.<br><br>
Attach tells everything.<br><br>
Attached file tells everything.<br><br>
Check attached file for details.<br><br>
Check attached file.<br><br>
Pay attention at the attach.<br><br>
See the attached file for details.<br><br>
Message is in attach<br><br>
Here is the file.<br><br>

وپسوردي كه براي باز كردن فايل ZIP نياز است در قالب يك عكس ارسال مي گردد.متني كه در اين عكس قرار دارد به شرح زير است:

<br>For security reasons attached file is password protected.
The password is <img src="cid:<imagefile>"><br>
<br>For security purposes the attached file is password protected.
Password -- <img src="cid:<imagefile>"><br>
<br>Attached file is protected with the password for security reasons.
Password is <img src="cid:<imagefile>"><br>
<br>In order to read the attach you have to use the following
password: <img src="cid:<imagefile>"><br>
<br>Note: Use password <img src="cid:<imagefile>"> to open archive.<br>
<br>Archive password: <img src="cid:<imagefile>"><br>
<br>Password - <img src="cid:<imagefile>"><br>
<br>Password: <img src="cid:<imagefile>"><br>.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از ان تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. در صورت نياز برنامه آنتي ويروس خود را دوباره نصب كنيد.

حمله كرم اينترنتي به كاربران مكينتاش

كرم جديد، ديوارهاي آتشين مكينتاش را به هم مي ريزد. متخصصان امنيت كامپيوتري در دبي مي گويند: يك كرم جديد اينترنتي مي تواند در ديوارهاي آتشين شبكه كامپيوتري مكينتاش نفوذ كند. كارشناسان به كاربران خدمات مكينتاش هشدار داده اند كه كرم SH/Renepo كه به Opener نيز معروف است، در صدد است ديوار آتشين و ديگر نرم افزارهاي امنيتي اين شركت را از كار بيندازد.
اين كرم عمداً كاربراني را هدف قرار داده كه از سيستم عامل Mac OS-X استفاده مي كنند.

باج خواهي هکرها از يک ISP

يک مرکز ISP در اصفهان در پى تهديد به هك شدن دامنه اينترنتى (domain) اين مركز از طرف يك تيم هكر (نفوذگر اينترنتى) به مراجع قضايى شکايت کرد.
حميد غفارى يکى از مديران اين مرکز ISP در گفت‌وگو با ايرنا افزود: يک تيم هکر سه هفته پيش اقدام به نفوذ به پست الکترونيکى (E-MAIL) ثبت کننده (REGISTER) دامين سايت اينترنتى اين مرکز کرد و توانست به اطلاعات دامنه اين مرکز دسترسى يابد.
وى افزود: اين تيم هکر در تماس‌هاى مکررى که با مديران مرکز ISPداشت تهديد به سرقت دامين‌هاى موجود و تغيير صفحات سايت اينترنتى متعلق به اين مرکز ISP کرد.
به گفته غفارى اين تيم هکر براى عدم تحقق تهديد خود خواستار دريافت مبالغى وجه نقد شده بود.

كرم Sdbot-QF

كرم Sdbot-QF كرمي است با قابليت هاي در پشتي براي سيستم هايي ويندوزي مي باشد و از طريق شبكه هاي share شده خودش را منتشر مي كند. اجازه مي دهد مهاجمي در دور دست به سيستم آلوده دسترسي داشته باشد.
پس از اجرا كرم خودش را با نام service.exe در پوشه ويندوز كپي مي كند تا با اجراي ويندوز كرم نيز اجرا شود و مدخلهاي زير را در رجيستري ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

كرم Sdbot-QF در سيستم هاي ديگر از طريق آسيب پذيري LSASS منتشر مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3- اصلاحيه هاي مايكروسافت را نصب كنيد (MS04-011 )
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

كرم Funner-A


Funner-A كرمي است كه در سيستم هاي ويندوزي منتشر مي شود كه داراي برنامه مسنجر MSN مي باشند.
پس از اجرا كرم يك كپي از خود با نام rundll32.exe يا يكي از نامهاي explorer.exe, iexplore.exe userinit32.exe در پوشه ويندوز ايجاد مي كند تا با اجراي ويندوز كرم نيز به طور خودكار اجرا شود .كرم مدخل هاي زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \

Funner-A همچنين system.ini را توسط اضافه كردن EXPLORER.EXE در زير شاخه shell= تغيير مي دهد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد در ضمن در فايل SYSTEM.INI در صورتيكه كه در زير شاخه shell= نام فايلي ديده شد آن را نيز حذف كنيد. و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
همچنين اين كرم با اضافه شدن به بخش HOSTS هاي سيستم باعث مي شود تا كاربر در هنگام متصل شدن به يكي از سايتهاي زير به آدرس 222.89.98.219 هدايت شود.
"www.cmfu.com"
"9i0.com"
"www.9flash.com"
"9flash.com"
"www.nowok.net"
"nowok.net"
"wisa.com.cn"
"www.sia.com.cn"
"www.wisa.cn"
"wisa.cn"
"www.zhao99.com"
"zhao99.com"
"www.wo123.com"
"wo123.com"
"wo99.com"
"www.wo99.com"
"www.page.com.cn"
"page.com.cn"
"wysw.com"
"14.com.cn"
"www.14.com.cn"
"cnww.net"
"www.mv99.com"
"mv99.com"
"www.youav.com"
"www.mtvav.com"
"3tom.com"
"www.114.com.cn"
"www.net114.com"
"www.skywz.com"
"skywz.com"
"www.hao6.com"
"hao6.com"
"www.678a.com"
"www.zzkan.com"
"zzkan.com"
"www.ca183.com"
"ca183.com"
"www.yhjm.com"
"yhjm.com"
"www.k369.com"
"www.xxwww.com"
"xxwww.com"
"www.fm1000.net"
"www.ok135.com"
"ok135.com"
"www.link999.com"
"link999.com"
"www.001wz.com"
"001wz.com"
"www.7t7t.com"
"7t7t.com"
"www.7k7k.com"
"7k7k.com"
"www.webcool.net"
"webcool.net"
"www.51sobu.com"
"51sobu.com"
"cy.51sobu.com"
"www.fj3721.com"
"www.msncn.com"
"msncn.com"
"www.8goo.com"
"8goo.com"
"www.baimin.com"
"baimin.com"
"www.bwwz.com"
"bwwz.com"
"www.howow.net"
"howow.net"
"www.tongchi.com"
"tongchi.com"
"www.7o7o.com"
"7o7o.com"
"www.wangzhiku.com"
"wangzhiku.com"
"www.soyeah.com"
"soyeah.com"
"www.sowang.cn"
"sowang.cn"
"www.look8.net"
"look8.net"
"www.v222.com"
"www.wblink.com"
"wblink.com"
"www.daguilin.com"

کد:

---

مايكروسافت نقايص يافت شده در XP SP2 را بررسي مي‌كند

---

این مورد با نصب اس پی 2 ایجاد میشه یا از قبل هم بوده؟

نه مال خود اس پی 2دیگه
اینا البته هنوز از طرف مایکروسافت تائید نشده

كرم Traxg-B

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Traxg-B كرمي است كه از طريقoutlook Microsoft منتشر مي شود و توانايي اين را دارد كه فايل C:\folder.htt را ايجاد كند اين فايل ممكن است پاك شده باشد.
اين كرم خودش را با نامهاي تصادفي در مكانهاي زيادي كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم بتواند به راحتي روي سيستم اجرا شود:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
همچنين توانايي اين را دارد كه مدخل هاي زير را در رجيستري قرار دهد تا باعث تغيير در عملكرد Windos Explorer شود .
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\HideFileExt = 1

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Netsky-AD

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


جزء آن دسته از كرمهايي است كه از طريق ايميل و شبكه هاي share شده منتشر مي شود.
پس از اجرا كرم خودش را در پوشه ويندوز با نامي شبيه MsnMsgrs.exe منتشر مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم به طور خودكار روي سيستمي كه reboot شده اجرا شود.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev

كرم Netsky-AD درايوها را براي يافتن فايلهايي با پسوند هاي زير جستجو مي كند تا آدرسهاي ايميل پيدا كند:
SCS, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT and EML
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :
همچنين كرم در پوشه هايي با محتوي كلمات `share` و `sharing` كه با اسامي زير روي درايوها قرار دارند خودش را كپي مي كند:
vota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
ايميلي كه ارسال مي شود داراي مشخصات زير مي باشد:
موضوع به صورت تصادفي از موضوعات زير انتخاب مي شود:
morto
Sua saude esta bem?
pescaria por kilo
massas!
impressao!!
robos!
diga
agradou
متن پيغام به صورت تصادفي از موضوعات زير انتخاب مي شود:

me veja peladinha
gostaria disso e voce???
algo a mais
falea verdade!!!
ganhe muita grana
campanhadafome
pq nao me liga??
sinto voce!!
grana
Lembra?
amor me liga
Hackers do Brasil
Medical Labs Exames!!!
meu telefone liga
ferias nos E.U.A
Surto :(
Vacina contra o HIV!!
sua conta bancaria zerada
olha que isso!!!
parabens!
te amo!
Policia SP
Sua Conta!!
Boleto Pague
veja o que tem no zip e me liga
receitas de bolo!!
acrdito que em voce!!!
promocao de viajens de fim de ano
tudo sobre voce sabe
Proposta de emprego!!
estou doente veja!!!
me diz o queacha?
retorna logo isso!!
arquivo zipado PGP???
voce passou :D!!!
ve ai logo ta
AMA!
AmaVoce
Abra rapido isso!!!!
reza de sao tome!!!!.
veja detalhes!!!.
encontro voce!
preenche ai ta bom
PizzaVeneza!
فايل الحاقي :


AninhaPutinha +55operado6992292246
vaca
tetas
war3!
AIDS!
grana
banco!
revista
lulao!
imposto
jogo!
loterias
vips!
missao
vadias!
email
flipe
botao
sampa!!
contas!!
zerado
:(
criancas!
brasil!
lantrocidade
aqui
ocs
festa!!
LINUSTOR
bingos!
agua!
:D
sorteado!!
grana!!
dinheiro!!
carros!
voce
:-)
???
circular
پسوند ها تركيبي از TXT, DOC, RTF, HTM, PIF, COM, SCR and BAT خواهند بود.
كرم پس از اجرا پيغام زير را نمايش مي دهد:
"File Corrupted replace this!!"

كرم Forbot-AZ


Forbot-AZ كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد كرد.
اين كرم خودش را با نامي شبيه syshelped.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

همچنين مدخل هاي ديگري را در رجيستري ايجاد مي كند به شرح زير:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFTCORPORATIONS\

HKLM\SYSTEM\CurrentControlSet\Services\MicrosoftCo rporations
سرويسهايي كه كرم استفاده مي كند شامل درهاي پشتي زير مي باشد:
File transfer
Proxy servers
Distributed denial of service attacks
information harvesting (email addresses, account names and passwords)
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

مايكروسافت از امنيت سخن مي‌گويد

مترجم: مشورت

محصولات متعددي كه در اين هفته براي كاراتر كردن توزيع patch نرم‌افزاري ارايه شده‌اند، تنها بخشي از تلاش‌هاي كلي مايكروسافت براي بهبود امنيت سيستم‌ها هستند.

با وجود آن كه بسياري از ابتكارهاي امنيتي فعلي مايكروسافت، پيش پا افتاده و معمولي هستند، لازم است اين شركت سازنده‌ي نرم‌افزار برنامه‌هاي خود را به صورت واضح و روشني مطرح و ارايه كرده و از همكاري و كمك‌هاي شركا و مشتريان خود در تلاش‌هاي امنيتي نيز استفاده كند.

به علاوه‌ي كار بر روي توليد بيشتر محصولات امنيتي، بهبود آموزش‌هاي ايمني و توليد و آسان كردن مديريت patch، اين شركت در حال همكاري با سازندگان سخت‌افزار و شركت‌هاي امنيتي است.

اين شركت اعلام كرده كه در حال همكاري تيمي با شركت دل است تا ابزاري براي به روز ساختن سخت‌افزار و نرم‌افزار ارايه كند. همچنين بتايي عمومي نيز كه براي روزآمد ساختن خدمات ويندوز براي كمك به سرپرستان در خودكار كردن و كنترل روزآمدسازي‌هاي نرم‌افزار ارايه شده، از ديگر تلاش‌هاي اين شركت در زمينه‌ي امنيت است.

Scott Charney، متخصص Trustworthy Computing مايكروسافت گفته است: « ما به عنوان عضوي مهم و نفوذي در بخشي از آي‌تي، لازم است كه درباره‌ي آنچه در زمينه‌ي بهبود امنيت در حال انجام آن هستيم، گفت‌وگو كنيم.»

Charney امنيت را به عنوان تعهد و مسئوليتي براي خود توصيف كرده و گفته است كه هنگامي كه دولت اينترنت و كامپيوترها را به قلورو عمومي واگذار مي‌كند، نقش وي را نيز به عنوان يك پشتيبان واگذار كرده است. آنچه دولت انجام داده، واگذاري امنيت عمومي و ملي به بازار بوده است.

Charney گفته است كه هر يك از شركت‌ها، شركتي نرم‌افزاري هستند، چه خود از اين مطلب آگاهي داشته باشند و يا خير. وي درباره‌ي موقعيت امنيتي فعلي بسيار جدي است

اما جديدترين خبر

كرم ياسر عرفات راز مرگ او را افشاء مي كند

كرمي جديد كه مطالب عجيب و جالبي درباره مرگ ياسر عرفات مي گويد با استفاده از آسيب پذيري جديد مايكروسافت موسوم به آسيب پذيري Extended MetaFiles منتشر مي شود.

اين براي بار اول است كه كرمي از اين آسيب پذيري براي انتشار خود استفاده مي كند.

كرم Aler كه از طريق شبكه خودش را منتشر مي كند ابتدا به صورت يك ايميل اينترنتي با موضوع Latest News about Arafat! ظاهر مي شود .

اين ايميل داراي دو فايل الحاقي مي باشد كه اولي يك عكس معمولي و دومي يك فايل EMF مي باشد. وقتي فايل EMF باز مي شود ، با استفاده از آسيب پذيري مشهور و جديد مايكروسافت ، MS04-032 ، سيستم قرباني را آلوده مي كند. پس از آن كرم Aler با استفاده از Share هاي شبكه و ميزبانهاي داراي پسورد هاي ضعيف خود را در شبكه منتشر مي كند.

اين كرم داراي يك Proxy مي باشد كه با استفاده از آن مهاجمين مي توانند ترافيك شبكه خود را از طريق كامپيوترهاي آلوده منتقل كنند و همين امر باعث مي شود كه براي ارسال هرزنامه و يا حمله به سيستم هاي ديگر از طريق كامپيوتر آلوده مورد استفاده قرار گيرند.

بزرگترين تهديد امنيتي زمستان

گونه جديد كرم سابر منتشر شد


همشهري : نسخه جديدي از كرم ايميلي سابر روز جمعه در اروپا و آمريكا كشف شد.
شركت هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته كرم هاي متوسط قرار داده اند.
به گزارش system group متخصصان امنيت گفته اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه ايميل به پيام هاي انگليسي و آلماني زبان ارسال مي كند، يكي از جدي ترين تهديدهاي زمستان امسال به شمار مي رود.
ميكو هايپونن، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته ويروس هاي درجه دو قرار داده، گفته است: اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي ترين مواردي است كه پاييز امسال با آن مواجه گشته ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي رسد.
همانند ساير ويروس هاي Sober، اين نسخه جديد نيز از موتور SMTP خود براي ارسال كپي هايي از خود به آدرس هاي ايميلي كه بر روي كامپيوترهاي آلوده مي يابد، استفاده مي كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه هايي براي كاربران مورد استفاده قرار مي گيرند.
اين ويروس همچنين به گونه اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي كند، اما تحت عنوان «delivery failure» و يا «oh god» با اين اميد كه فردي ضميمه حاوي فايل zip را كه دربردارنده ويروس ياد شده است، بگشايد. شركت مكافي، اين گونه جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده است. اين كرم جديدترين نسخه Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم هايي تاثير مي گذارد كه ويندوزهاي XP، ،۲۰۰۰ ME، ۹۸ ، ،۹۵ NT و سرور ۲۰۰۳ را اجرا مي كنند.

كرم Wort-B

شرح: Wort-B از طريق آسيب پذيري LSASS منتشر مي شود همچنين اين كرم پس از آلوده كردن سيستم فايلي را از راه دور دانلود مي كند.

تروجان مدخل زير را در رجيستري ايجاد مي كند تا بتواند روي سيستم اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

و يا مدخل زير را براي اين هدف ايجاد مي كند كه در هنگام خارج شدن از سيستم دوباره اجرا گردد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>
كرم آدرسهاي IP تصادفي راجستجو مي كند و در صورت آسيب پذير بودن به آنها نفوذ مي كند مي كند.
اصلاحييه مورد نظر براي آسيب پذيري كه كرم از آن استفاده مي كند در سايت Microsoft موجود مي باشد.



توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Forbot-BI


شرح: Forbot-BI در پشتي IRC و كرم شبكه مخصوص سيستم هاي ويندوزي مي باشد.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام systemproc.exe در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKCSoftware\Microsoft\Windows\CurrentVersion\RunOn ce\Microsoftkeysd = "systemproc.exe

همچنين كرم برنامه اي را به نام "MicrosoftCorporations" ايجاد مي كند و آن را با نام "Microsoftkeysd" نمايش مي دهد.
با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:
flood a remote host (by either ping or HTTP)
start a SOCKS4 proxy server
start an HTTP server
start an FTP server
portscan randomly chosen IP addresses
execute arbitrary commands
steal information such as passwords and product keys
upload/download files

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

یک هکر به رایانه‌های دانشگاه بروکلی کالیفرنیا حمله کرد

یک هکر با شکستن سیستم امنیتی کامپیوترهای دانشگاه بروکلی کالیفرنیا به نامها و شماره های امنیتی اجتماعی حدود یک میلیون و چهارصد هزار کالیفرنیایی دسترسی پیدا کرد.
به گزارش بخش خبر تراشه از رویترز، کارلوس راموس معاون بخش امنیت آژانس خدمات انسانی و بهداشتی دانشگاه کالیفرنیا اعلام کرد: "تحقیقات در این زمینه ادامه دارد و ما در حال حاضر هیچ ایده‌ای در مورد اطلاعات شخصی به سرقت رفته نداریم".
او ادامه داد: " آژانس‌های ایالتی و اف.بی.آی در حال بررسی این قضیه هستند اما تاکنون موفق به یافتن هکرها نشده‌اند."
شايان ذکر است اسم‌هایی که در دسترس هکر قرار گرفته است بوسیله مرکز تحقیقات UC Berkeley استفاده می‌شده است که شامل اطلاعات جمع‌آوری شده در مورد جمعیت سالخورده و اشخاصی بوده‌اند که در خانه تحت مراقبت قرار گرفته‌اند.

نويسنده MyDoom كمپاني هاي آنتي ويروس را تهدید کرد


كمپاني هاي آنتي ويروس از طغيان پيغامهايي كه داراي ويروسهايي هستند كه آنها را از طرف نويسندگان كرم MyDoom تهديد به حمله مي كند سرگشته و حیران شده اند.
بنابر خبر اختصاصی [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از زد دی نت ، نويسندگان كرمها چهار كمپاني بزرگ آنتي ويروسF-Secure, Symantec, Trend Micro و McAfee را تهديد كرده اند. آنها در آخرين ورژن کرم MyDoom با نام MyDoom.AE پيغامهايي جاسازي كرده اند كه در ضمن به تمسخر گرفتن نويسنده كرم NetSky كمپاني هاي آنتي ويروس را تهديد به حمله مي كند.
Mikko Hypponen مدير شركت آنتي ويروس F-Secure گفت:در پيغامها نويسنده كرم NetSky مورد تمسخر قرار گرفته چون وي الان در زندان هست.نمونه اي از اين پيام را در زير مي خوانيد:
خوشبختم:
نويسنده ساسر شغل امنيتي IT به دست آورده است و ما مي خواهيم با كرمهاي Mydoom , P2P و كدهاي برجسته كار كنيم و همچنين قصد حمله به -secure,symantec,trendmicro,mcafee ,etc را داريم .يازدهم مارچ روز skynet هست. ( خنده هايي با صداي بلند) ها ها ها
وقتي كه beagle و mydoom رها شوند ما جلو فعاليت آنها را در Skynet ميگیریم.
Hypponen می گوید: كرم هنوز به شكل قابل توجه اي گسترده نشده است به دليل اينكه كاربران ايميلهاي محتوي كرم را باز نكرده اند.او اضافه كرد كه من بسيار متحير هستم كه چرا نويسندگان كرمها با پيشنهاد انعام و يا دستمزد 250,000 دلاري براي همكاري با مايكروسافت موافقت نكرده و دائما در حال ايجاد كرم و ويروسهاي جديد هستند.
درضمن: در چند روز گذشته مایکروسافت پيشنهاد انعام 250,000 دلاري را براي همكاري با كمپاني به نويسندگان كرم MyDoom داده بود كه با عدم پذيرش از طرف آنها روبرو شد.

كرم Forbot-BN

Forbot-BN يك كرم شبكه اي كه يك در پشتي IRC براي سيستم هاي ويندوزي مي باشد.

اين كرم با استفاده از آسيب پذيري معروف LSASS خودش را منتشر مي كند.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام RUNDLL.EXE در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

همچنين كرم يك سرويسي به نام "Eatshit" ايجاد مي كند و آن را با نام "Win32 USB Driver". نمايش مي دهد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.



شرح اضافه :

با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:

start an FTP and HTTP server.
delete network shares.
start a SOCKS4, SOCKS5, HTTP, TCP and GRE proxy.
list and stop existing processes and services.
upload, download, run and delete files.
modify the registry.
add and delete services.
steal the product keys of popular games and applications.
scan other computers for open ports and attempt to exploit them.
take part in distributed denial of service (DDOS) attacks.
flush the DNS cache.
logoff, reboot and shut down the computer

اين كرم همچنين Share هاي ADMIN$ ، RPC$ و D$ و C$ را از سيستم حذف مي كند.

Forbot-BN همچنين قادر است كه سريال هاي بازي هاي زير را از سيستم به سرقت ببرد :

AOL Instant Messenger
Yahoo Pager
Microsoft Messenger Service
Microsoft Windows Product ID
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert 2
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Generals
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Hidden & Dangerous 2
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
Call of Duty
Neverwinter Nights

اين كرم همچنين قادر است سرويس RPC را دوباره راه اندازي كند :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

كرم Sluter-E


شرح : Sluter-E يك كرم شبكه اي با خاصيت تروجان در پشتي براي سيستم هاي ويندوزي مي باشد. اين كرم از طريق پويش شبكه و يافتن آسيب پذيريهاي معروف در شبكه خودش را منتشر مي كند.

در اولين اجرا كرم خودش را در شاخه سيستمي ويندوز به نام winsci32.exe كپي مي كند. و براي اينكه در شروع ويندوز كرم نيز اجرا گردد مدخل هاي زير را در رجيستري ايجاد مي كند.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

Sluter-E همچنين خودش را به عنوان يكي از سرويس هاي ويندوز نيز اجرا مي كند كه نام اين سرويس هم نام خود كرم مي باشد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

اين كرم همچنين با يك كانال IRC ارتباط برقرار مي كند و ممكن از دستورات زير را از يك كاربر راه دور دريافت كند :

SOCKS4 proxy server
FTP server
send email
keylogger
take part in DDoS attacks (SYN, ICMP, Ping)
steal product registration keys
insert and send insulting text into open IM windows (AIM, Yahoo, MSN Messenger)
gather system information (filesystem, hardware, running processes)
open and close CDROM trays
download/upload files
execute arbitrary commands


همچنين Sluter-E پرسش هاي زير را از رجيستري انجام مي دهد تا مطمئن شود برخي بازيهاي رايانه اي در سيستم قرباني نصب شده اند و در صورت نصب بودن آنها شماره سريال هاي اين بازيها را براي نويسنده خود ارسال مي كند:


HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings

کشف حفره ای که باعث فریب خوردن آنتی ویروسها میشود


SetarehSorkh : شركت آمريكايي امنيتي iDEFENSE كشف كرد كه در بيشتر نرم افزارهاي آنتي ويروس روزنه هايي وجود دارد كه ويروسها اجازه میدهد به زيركي در قالب فايلهاي ZIP نوشته شوند.
پژوهشگران امنيتي كشف كردند كه اكثر برنامه هاي آنتي ويروس داراي آسيب پذيري هستند كه امكان ايجاد فايلهاي ويروسي را به هكرها مي دهد كه با بزرگترين آنتي ويروسها هم رديابي نمي شود.
اين مشكل در متد استفاده شده در نرم افزار آنتي ويروس در scan فايلهاي فشرده مي باشد و بر روي محصولات شركتهاي آنتي ويروسيMcAfee Computer Associates, Kaspersky, Sophos, Eset و RAV اثر مي گذارد.
بوسيله تغيير دادن اندازه , فايل بد بدون عامليت فايل محرك ,فشرده شده ونويسنده ويروس مي تواند آن را به كاربران فايل آلوده بفرستد كه با تعداد زيادي از برنامه هاي آنتي ويروس كشف نخواهد شد.
مهاجم حداكثر بار را فشرده كرده ودر اندازه فايل غيرفشرده در رد يابي نرم افزار آنتي ويروس درون local و global طفره مي اندازد و دوگانگي ايجاد مي كند.
اين آسيب پذيري به هكرها اين امكان را مي دهد تا حداكثر بار خودشان را بدون رديابي از داده هاي كاربران عبور بدهند.كاربران با آپديت كردن آنتي ويروسها راه را براي فايلها وضمائمي كه در اين آسيب پذيري نفش دارند باز مي كنند.
تایید شده است كه محصولات همه كمپاني هاي نامبرده به استثناء Sophos و RAV
تحت اين آسيب پذيري قرار گرفته اند وهیچ يك از آنها آپديتي براي كار گذاشتن بر روي اين مشكلات ارائه نداده اند.
iDEFENSE اعلام كرد كه فقط آخرين محصولات از Symantec, Bitdefender, Trend Micro و Panda در معرض اين آسيب پذيري نمي باشند.