Security News : اخبار و هشدارهاي امنيتي

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] برنامه مخرب جديدي با نام BotVoice.A Trojan نه تنها سيستم كاربران را آلوده مي كند بلكه آنها را ترسانده و موجب وحشت آنها مي شود.

بنابر خبر اختصاصي [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] از پي سي ورلد , ‪تروجان سخنگو پس از وارد شدن به سيستم شروع به پاك كردن تمام اطلاعات روي هارد درايو قرباني كرده و اقدام به دادن پيغام صوتي به كاربر مي كند و به او مي گويد : ( سيستم شما توسط من هك شده و تمامي اطلاعات آن پاك شده است , من از اين اتفاق متاءسفم . روز خوبي داشته باشي و باي باي )

كاربران ويندوزهاي 2003, XP, 2000, NT, ME, 98 و 95 در معرض خطر آلودگي به اين تروجان هستند. اين تروجان از كامپيوتري به كامپيوتر ديگر منتقل نمي شود ولي از طريق شبكه p2p , حافظه‌هاي جانبي قابل اتصال به پورت‌هاي ورودي سيستم و يا دانلوود فايل‌هاي آلوده به‌شكل خودكار و يا توسط كاربر، وارد سيستم كاربران مي شود.

‪ BotVoice.A‬در برخي از حملات خود ، همه اطلاعات سيستمي رايانه را از بين نمي‌برد، اما با ايجاد تغييرات گسترده در سيستم عامل و اختلال شديد در عملكرد رايانه‌, سبب غير فعال‌شدن تمامي برنامه‌هاي نصب شده مي‌شو

مدتي است برخي كاربران ايراني اينترنت، هنگام استفاده از مرورگر Internet Explorer با ويروس‌هاي سياسي روبه‌رو مي‌شوند.

به گزارش خبرنگار «تابناك»، اين ويروس‌ها عبارت از كادرهاي زردرنگي است كه در آنها جملاتي با مفاهيمي عليه جمهوري اسلامي، روحانيت و قوه قضائيه به چشم مي‌خورد و هنگام استفاده از اينترنت در بالاي کادر عنوان به نمايش در مي‌آيد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بنا بر گزارش‌هاي ارسالي، اين‌گونه ويروس، در شهرهاي تهران، مشهد، قم و ... ديده شده و احتمالا ايراني بوده يا بر اثر دستكاري در يك ويروس خارجي توليد شده، با اين حال گويا به علت بومي بودن اين ويروس همه آنتي ويروسها قادر به شناسايي آن نيستند.

گفتني است، ويروس‌هاي كامپيوتري با استفاده از زبان‌هاي سطح پايين نظير اسمبلي و ... نوشته مي‌شوند و تلاش مي‌شود با يك برنامه كوتاه، در فعاليت‌هاي رايانه‌اي كاربران اختلال ايجاد

تابناک

كارشناسان امنيتي رايانه هشدار دادند

انتشار يك ويروس خطرناك رايانه‌اي در اروپا



خبرگزاري فارس: كارشناسان امنيتي نسبت به انتشار يك ويروس جديد رايانه‌اي كه اطلاعات ورود به سيستم كاربران يا حساب‌هاي بانكي آنها را مي دزدد، هشدار دادند.
به گزارش خبرگزاري فارس به نقل از بي بي سي، در يك ماه گذشته اين ويروس حدود 5000 قرباني داشته است كه اكثراً اروپايي بوده‌اند و بسياري از آنها در دام سايت‌هاي ساده‌اي افتاده‌اند كه با استفاده از ضعف‌هاي سيستم عامل ويندوز كد حمله را بر روي رايانه نصب مي‌كنند.
كارشناسان اعلام كرده‌اند كه اين ويروس بسيار خطرناك است چرا كه با پنهان كردن خود در قعر كامپيوتر از شناسايي آن جلوگيري مي‌كند.
اين برنامه از شاخه نوعي از ويروس‌هاست كه به عنوان rootkit شناخته مي‌شوند و با بازنويسي قسمتي از هارد كامپيوتر به نام MBR خود را در سيستم وارد مي‌كنند كه همان بخش مورد استفاده هنگام روشن كردن كامپيوتر و ورود رمز است.
«اليا فلوريو» يك متخصص رايانه مي‌گويد كه در صورت كنترل MBR شما تقريباً كنترل كامل كامپيوتر را در اختيار خواهيد داشت. به گفته وي اين ويروس پس از جاگير شدن به ذخيره ساير برنامه‌هاي جاسوسي مي‌پردازد تا كار جمع آوري اطلاعات محرمانه رايانه‌هاي را انجام دهد.
اين ويروس ظاهراً توسط گروهي روسي به نام Mebroot طراحي شده است كه فعاليت‌هاي قبلي آنها با ويروس‌هاي ديگر بيش از 200 هزار رايانه را آلوده كرده يود.
شركت iDefense يك شركت فعال در زمينه امنيت رايانه‌اي اعلام كرده كه اين ويروس در اكتبر گذشته كشف شده اما استفاده گسترده از آن براي حمله به رايانه‌ها در ماه دسامبر مشاهده شد.
بررسي اين ويروس نشان داده است كه Mebroot مي‌تواند در صورت شناسايي برنامه هاي نصب شده توسط برنامه هاي ضد ويروس و پاك شدن آنها به علت اينكه خود در بخشي از MBR مخفي است آنها را دوباره ذخيره كند.
رايانه‌هاي كه با سيستم‌هاي عامل Windows XP, Windows Vista, Windows Server 2003 و Windows 2000 فعاليت مي‌كنند در برابر اين ويروس آسيبب پذير هستند.

آیا آنتی ویروسها و اینترنت سکوریتی ها پیشگیری میکنند ؟ من اینترنت سکوریتی نورتون (اورجینال) دارم . همیشه هم در حال آپدیت هستم . امکان آلوده شده سیستم من به این ویروس هست ؟

نقل قول:

---

نوشته شده توسط Wisdom [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مدتي است برخي كاربران ايراني اينترنت، هنگام استفاده از مرورگر Internet Explorer با ويروس‌هاي سياسي روبه‌رو مي‌شوند.

به گزارش خبرنگار «تابناك»، اين ويروس‌ها عبارت از كادرهاي زردرنگي است كه در آنها جملاتي با مفاهيمي عليه جمهوري اسلامي، روحانيت و قوه قضائيه به چشم مي‌خورد و هنگام استفاده از اينترنت در بالاي کادر عنوان به نمايش در مي‌آيد

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بنا بر گزارش‌هاي ارسالي، اين‌گونه ويروس، در شهرهاي تهران، مشهد، قم و ... ديده شده و احتمالا ايراني بوده يا بر اثر دستكاري در يك ويروس خارجي توليد شده، با اين حال گويا به علت بومي بودن اين ويروس همه آنتي ويروسها قادر به شناسايي آن نيستند.

گفتني است، ويروس‌هاي كامپيوتري با استفاده از زبان‌هاي سطح پايين نظير اسمبلي و ... نوشته مي‌شوند و تلاش مي‌شود با يك برنامه كوتاه، در فعاليت‌هاي رايانه‌اي كاربران اختلال ايجاد

تابناک

---

سلام
میشه یه سری توضیحات تکمیلی در مورد این ویروس و احتمالا روش پاک کردنش برام بفرستید. خیلی بهش نیاز دارم
من یک فایل html دیدم که همه این جمله ها توش نوشته شده بود. احتمالا این برنامه این جملات رو از همین فایل میگیره. اگر کسی اطلاعات بیشتری داره برام با پیغام خصوصی بفرسته ممنون میشم

نقل قول:

---

سلام
میشه یه سری توضیحات تکمیلی در مورد این ویروس و احتمالا روش پاک کردنش برام بفرستید. خیلی بهش نیاز دارم
من یک فایل html دیدم که همه این جمله ها توش نوشته شده بود. احتمالا این برنامه این جملات رو از همین فایل میگیره. اگر کسی اطلاعات بیشتری داره برام با پیغام خصوصی بفرسته ممنون میشم

---

كرم W32/Saldost.b
اين كرم اينترنتی که ايرانی بوده و پس از اجرای فايل آن بر روی سيستم كاربر، ابتدا خودش را به صورت زير بر روی سيستم كپی می‌نمايد:

کد:

---

%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

---

در صورتی که داخل نام فایل اجرایی کلمه ScreenSaver وجود داشته باشد پیامی به شکل زیر نمایش می‌دهد.

The application failed to initialize properly (0x0000005). Click on OK to terminate the application.

سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا كرده و برای اينكه با هر بار راه‌اندازی سيستم آلوده به طور خودكار اجرا گردد، خود را به شكل زير در رجيستری ثبت می‌نمايد:

کد:

---

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

---

سپس كليدهايی در رجيستری را به شكل زير تغيير می‌دهد:

کد:

---

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nofolderoptions = 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 0
DisableSR = 1

---

تغييرات فوق باعث بروز مشكلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فايلهای مخفی می‌گردد كه برای برطرف كردن اين مشكلات می‌توانيد برنامه زير را از سايت ايمن دانلود كرده و رجيستری خود را پاكسازی نماييد:

کد:

---

www.ImenAntiVirus.com/RegRepair.zip

---

همچنين كليد IsShortCut را از مسيرهای زير در رجيستری پاك می‌كند:

کد:

---

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

---

و كليدی با نام Wintek در مسير زير ايجاد می‌كند:

کد:

---

HKEY_CURRENT_USER\Software\

---

و كليد زير را در آن ايجاد می‌نمايد:

کد:

---

Install = b2ed3 (Dword ? Value is in hex)

---

بعد از انجام كارهای فوق تمام برنامه‌های موجود در زمانبند ويندوز (دستور at) را پاك كرده و با استفاده از زمانبند ويندوز فايل خود را كه با نام OfficeUpdate.exe در مسير WINDIR%\Web% وجود دارد هر روز در ساعات 11:30 و 20:30 اجرا می‌نمايد.

يكی ديگر از كارهای اين كرم اين است كه خود را در مسيرهای زير با نام‌های فريبنده كپی می‌كند و از آنجايی كه برخی از اين مسيرها مخصوص برنامه‌های شبكه‌های اشتراك‌گذاری فايل (يا P2P) هستند، با اين كار امكان انتشار آن در سراسر دنيا از طريق اينگونه برنامه‌ها فراهم می‌گردد:

کد:

---

%PROGRAMFILES%\Kazaa Lite\My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\Icq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Downloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Limewire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

---

به علاوه در مسيرهايی كه در آنها فايل‌های از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe كپی می‌كند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهای زير كپی می‌كند:

کد:

---

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\...

\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32x86\3\

---

اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:

کد:

---

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

---

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

کد:

---

www.imenantivirus.com/NoAutorun.zip

---

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

کد:

---

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

---

همان جملات را درون فایلی با نام print.txt در مسیر %TEMP% کپی کرده و بعد آن اجرا می‌کند.

در انتها میانبر (Shortcut) های برنامه های Paint و Calculator و Notepad و Cmd را به گونه ای تغییر می دهد که قبل از اجرای برنامه اصلی ویروس اجرا شود که بعد از پاکسازی میانبر برنامه اصلی اجرا نمی‌شود

یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.

منبع: webzone.blogfa.com

خیلی ممنون از توضیحات کاملتون
ولی آیا آنتی ویروسی هست که این کرم رو بشناسه و از بین ببردش یا باید عکس تمام این مراحل رو خودمون به صورت دستی انجام بدیم؟

می گن این می تونه پاکش کنه راست و دروغش پای خودشون:

کد:

---

http://www.imenantivirus.com/dwnload/dnCnt.asp?dn=win

---

درضمن نمی دونم اینجا درسته شما سوال کنی یا نه چون تاپیک اخبار ویروسه درهرحال من که گذاشتم

متخصصان چيني روز يكشنبه در خصوص ظهور ويروس‌هاي ولنتاين به كاربران كامپيوتر هشدار دادند. پايگاه اينترنتي شينهووا روز يكشنبه با اعلام اين خبر افزود، متخصصان چيني مركز اورژانس كامپيوتر ملي چين واقع در "تيان جين" هشدار داده‌اند كه ويروس كامپيوتري روز ولنتاين به خصوص نوع ‪ Vbs- Valrentin.A‬عمدتا هم از طريق‌اي ميل و يا سيستم‌هاي چت آنلاين نظير "ام اس ان و يا كيو كيو" شيوع پيدا مي‌كند.
بر اساس اين گزارش، ويروس‌هاي ديگرنظير ‪ Worm- blebla.B‬و ‪VBS-I Loveyou‬ نيز كامپيوترهاي شخصي را مورد هجوم قرار مي‌دهند البته در صورتيكه كاربر دستگاه به باز كردن ايي ميل‌ها و ضمائمي كه در قالب پيام‌هاي مخصوص روز ولنتاين كه در تاريخ چهاردهم فوريه مي‌باشد، اقدام كنند.
متخصصان مركز كامپيوتري مذكور به كاربران كامپيوتري هشدار داده‌اند كه در خصوص ايي ميل‌هاي ناشناس بسيار مراقب باشند به خصوص ايي ميل‌هايي كه ضمائمي با حروف اسپانيايي در بر دارند.
متخصصان چيني همچنين به مغازه داران كه كار آنان با اينترنت مربوط است نيز هشدار داده‌اند كه نسبت به كليك كردن بر روي پيام‌هاي نشات گرفته از مراجع آنلاين بسيار هوشيار باشند چرا كه اين امر مي‌تواند به گسترش و انتشار ويروس بيانجامد.
متخصصان همچنين به كاربران كامپيوتري پيشنهاد كرده‌اند كه بايد نرم افزارهاي آنتي ويروس خود را آپديت و به روز كنند و هر زمان كه قصد دارند به اينترنت متصل شوند از كاربردهاي نظارت ويروس ريل تايم استفاده كنند.

با سلام
آيا دوستان به برنامه اي که فايل هاي آلوده به
vbs/Envary.a
يا همون
vbs/trojandropper.small.w

رو پاک . ترميم کنند پيدا کردند؟ نه delete کردن ها!

اگر کسي با اين برنامه مشکل داره و هنوز راهي براش پيدا نشده ،‌من يک برنامه کوچک نوشتم که اين فايل ها رو ترميم ميکنه. ميتونيم تکميلش کنيم.
چون واقعا درد سر سازه. تمام فايلهاي html من آلوده شدن.