ويروس شناسي!

ويروس Toraja-I


Toraja-I يك ماكرو ويروس مي باشد كه در سيستم هاي ويندوزي كه داراي Office 97 هستند منتشر مي شود.اين ويروس يك پوشه الوده را در مكان زير ايجاد مي كند تا مطمئن شود كه با اجراي Excel ويروس نيز اجرا خواهد شد:

C:\Program Files\Microsoft Office\Office\Xlstart\start25.xls

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :

اين ويروس به علت اينكه به تمامي فايل هاي اكسل كه بعد از آلوده شدن سيستم اجرا شده اند خودش را مي چسباند بنابر اين نياز است كه حتما براي پاك كردن آن از آنتي ويروسهاي به روز شده استفاده كرد.



كرم Rbot-NA


شرح: Rbot-NA كرمي است كه از طريق شبكه هاي share شده منتشر مي شود و داراي قابليتهاي در پشتي تروجان مي باشد كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و به صورت يك برنامه كاربردي در پس زمينه اجرا شود.

كرم Rbot-NA از طريق شبكه هاي share شده كه با پسورد ضعيف محافظت مي شوند منتشر مي شود و به منظور مورد حمله قرار دادن امنيت شبكه مانند يك تروجان در پشتي دستورات را از مهاجم دريافت مي كند.

اين كرم خودش را با نام TASKMSG.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم در زمان شروع ويندوز اجرا كردد.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

همچنين كرم مدخل هاي زيررا در رجيستري قرار مي دهد :

HKCU\Software\Microsoft\OLE

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1"

كرم ممكن است شبكه هاي share شده را از روي سيستم پاك كند و همچنين كليد هاي فشرده شده توسط كاربر را در يك فايل به نام KEY.TXT ثبت كند كه اين فايل در شاخه ويندوز ذخيره مي گردد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

گونه‌ي جديد كرم Sober منتشر شد

منبع : مشورت
نسخه‌ي جديدي از كرم ايميلي Sober روز جمعه در حالي كه به سرعت در حال لنتشار در اروپا و آمريكا بوده، كشف شده است. شركت‌هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته‌ي كرم‌هاي متوسط قرار داده‌اند.
متخصصان امنيت گفته‌اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه‌ي ايميل به پيام‌هاي انگليسي و آلماني زبان ارسال مي‌دارد، يكي از جدي‌ترين تهديدهاي پاييز امسال به شمار مي‌رود.

Mikko Hypponen، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته‌ي ويروس‌هاي درجه‌ي دو قرار داده، گفته است: « اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده‌ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي‌ترين مواردي است كه پاييز امسال با آن مواجه گشته‌ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي‌رسد.»

همانند ساير ويروس‌هاي Sober، اين نسخه‌ي جديد نيز از موتور SMTP خود براي ارسال كپي‌هايي از خود به آدرس‌هاي ايميلي كه بر روي كامپيوترهاي آلوده مي‌يابد، استفاده مي‌كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه‌هايي براي كاربران مورد استفاده قرار مي‌گيرند.

ويروس Sober.i، ارايه دهنده‌ي attachment اي بوده كه ادعا مي‌كند حاوي تصاوير مبتذلي از دختري بيست و يك ساله است و سپس به سرعت در سراسر اينترنت توزيع و پخش مي‌گردد. اين ويروس طوري برنامه ريزي شده كه خود را تنها به domain هاي آلماني زبان ارسال مي‌كند. مانند آن‌هايي كه به .de (آلمان) و يا .ch (سوييس) ختم مي‌گردند.

اين ويروس همچنين به گونه‌اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي‌كند، اما تحت عنوان "delivery failure" و يا "oh god"، با اين اميد كه فردي ضميمه‌ي حاوي فايل .zip را كه در بر دارنده‌ي ويروس ياد شده است، بگشايد.

Graham Cluley، مشاور فني عالي رتبه‌ي شركا امنيتي Sophos گفته است: « نسخه‌ي آلماني اين ويروس بسيار جالب است. اين نسخه نشانگر آن است كه ايميل از سوي دختري بيست و يك ساله و به همراه عكس‌هاي مبتذلي از وي ارسال شده كه به دنبال يافتن شغلي براي خود است، اما تصاوير در واقع همان كرم جديد هستند.

شركت مكافي، اين گونه‌ي جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده‌اند. اين كرم جديدترين نسخه‌ي Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم‌هايي تاثير مي‌گذارد كه ويندوزهاي XP، 2000، ME، 98، 95، NT و سرور 2003 را اجرا مي‌كنند.


هشدار جدی بانک مرکزی در مورد کلاهبرداری از کارت های عابربانک



بانك مركزى در اطلاعيه‌اى به مشتريان و دارندگان كارت‌ بانك‌ها هشدار داد كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود و درج در وب‌سايت‌ها پرهيز كنند كه زيرا مسووليت سوءاستفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

به گزارش روابط عمومى بانك مركزى اخيرا مشاهده شده است كه كلاهبرداران اينترنتى با بهره‌گيرى از روش‌هاى معمول جعل و سوء استفاده در اينترنت با راه‌اندازى وب‌سايت‌هايى با آدرس‌هاى مانوس و غلط‌انداز نظير [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] و نظاير آنها مدعى شده‌اند كه تحت سرپرستى بانك مركزى جمهورى اسامى ايران و با همكارى بانك‌هاى تجارى عمده مبادرت به راه‌اندازى امكانات مربوط به خريد و فروش اينترنتى كرده‌اند و ضمن آن محلى را براى درج شماره كارت و گذرواژه (كلمه عبور) كارت‌ بانك‌هاى اعضا تعبيه كرده و از بازديد‌كننده مى‌خواهند كه با ورود اطلاعات كار بانك خود از امكانات مربوط به پرداخت‌هاى اينترنتى بهره‌مند شوند.

بدين‌وسيله به كليه مشتريان و دارندگان كارت‌ بانك‌ها در سراسر كشور هشدار داده مى‌شود كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود شامل شماره كارت، شماره حساب و گذرواژه و درج آنها در صفحه وب‌سايت‌ها ـ حتى به منظور كنجكاوى ـ اكيدا پرهيز كرده و اين موارد را به هيچ عنوان در اختيار هيچ وب‌سايتى قرار ندهند در غير اين صورت مسووليت سوء استفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

همچنين به اين وسيله اعلام مى‌شود كه بانك مركزى جمهورى اسلامى ايران تا اين تاريخ هيچ‌گونه مجوزى تحت هيچ عنوان براى انجام امور مربوط به خريد و فروش اينترنتى صادر نكرده و هيچ‌گونه امكاناتى را به منظور پرداخت اينترنتى از طريق ”شتاب” راه‌اندازى نكرده است و در صورت معرفى اين امكان، وب‌سايت‌هاى معتبر براى انجام پرداخت و درج اطلاعات كارت بانك تنها از طريق وب‌سايت رسمى بانك مركزى جمهورى اسلامى ايران واقع در آدرس [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] به اطلاع عمومى خواهد رسيد.

بر اين اساس مجددا تاكيد مؤكد مى‌شود كه تا اطلاع ثانوى از هرگونه مراجعه يا درج اطلاعات حساب يا كارت خود در وب‌سايت‌هاى متفرقه و ناشناس كه عمدتا داراى آدرس‌هاى به ظاهر معتبر و مانوس هستند، خوددارى كنند تا از عواقب ناگوار آن پرهيز شود. بديهى است اين بانك اقدامات لازم را در حد امكانات فناورى به منظور تعقيب قانونى و مسدود كردن وب‌سايت‌هاى مزبور به عمل خواهد آورد.

ماهان جان دستت درد نكنه ولي فكر كنم اين خبر آخر رو توي يه تاپيك جدا مي‌ذاشتي. (ترجيحا با اولويت خبر) چون خيلي مهمه. ممكنه همه اينجا اونو نبينن.
البته مي‌بخشي‌ها!

كرم Ovbious-A


Ovbious-A جزء آن دسته از كرمهايي است كه توسط پيغامهاي اينترنتي منتشر مي شود.كرم سعي مي كند خودش را مانند يك فايل الحاقي به آدرسهاي ايميلي كه در كتاب آدرسهاي outlook ليست شده است مي فرستد. پيغامها از "msupport" ارسال مي شوندو به صورت واقعي جلوه مي كنند با موضوع "Microsoft Critical Update" و متن پيغام زير :

"Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager."

كرم Ovbious-A خودش را در مكانهاي مختلف كپي مي كند و فايلي را دانلود مي كند كه رمز منبع را از ويروسي از خانواده Melissa درخواست مي كند.همچنين فايلي را كه RudeCDTray ناميده مي شود را دانلود كرده و به نام C:\joke.exe ذخيره كرده و آن را اجرا مي كند .

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد.
به نظر مي رسد كه به علت فايل هاي زيادي كه اين ويروس كپي مي كند بهتر است از يك آنتي ويروس براي پاك كردن آن استفاده كنيد.

شرح اضافه :
كرم سعي مي كند فايل هاي زير را پاك كند:

ICMON.exe
ICNTMON.exe

كرم فايل هاي قبلي را در درايو سخت در مكان هاي جديدي كپي مي كند پس از يك زمان كوتاه كرم كاربر خارجي را ثبت مي كند.
كرم خودش را در مكانهاي زير كپي مي كند:

C:\FHE.exe
C:\winnt\system32\Ginger.exe
C:\winnt\system32\Live ---.exe
C:\winnt\system32\Free ----.exe
C:\windows\system32\Ginger.exe
C:\windows\system32\Live ---.exe
C:\windows\system32\Free ----.exe
C:\Winnt\updtmgr.vbs
C:\Windows\updtmgr.vbs
C:\WinfileDAT.vbs
D:\WinfileDAT.vbs
E:\WinfileDAT.vbs
F:\WinfileDAT.vbs
G:\WinfileDAT.vbs
H:\WinfileDAT.vbs
Z:\WinfileDAT.vbs
Y:\WinfileDAT.vbs
U:\WinfileDAT.vbs
C:\winnt\Jilhu.exe
C:\windows\Jilhu.exe
\Anti-Virus Enhancements.exe
\Shark.jpeg
C:\Winnt\FHEGERM\1.vbs
C:\Windows\FHEGERM\1.vbs
C:\Winnt\FHEGERM\2.vbs
C:\Windows\FHEGERM\2.vbs
C:\Winnt\FHEGERM\3.vbs
C:\Windows\FHEGERM\3.vbs
C:\Winnt\FHEGERM\4.vbs
C:\Windows\FHEGERM\4.vbs
C:\Winnt\FHEGERM\5.vbs
C:\Windows\FHEGERM\5.vbs
C:\Winnt\FHEGERM\6.vbs
C:\Windows\FHEGERM\6.vbs
C:\Winnt\FHEGERM\7.vbs
C:\Windows\FHEGERM\7.vbs
C:\Winnt\FHEGERM\8.vbs
C:\Windows\FHEGERM\8.vbs

كرم Ovbious-A مدخل هاي زير را به رجيستري اضافه مي كند تا كرم با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

همچنين ممكن است مدخل هاي زير را به رجيستري اضافه كند:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\
RegisteredOwner = VBS/FHE.Worm Creator

HKCU\Software\Vbs.FHE\
Sent to ther machines = 1

HKLM\Software\
ComputerLoggedOff = "Logged off"

كرم سعي مي كند فايلي را از C:\documents and settings\melissa.txt دانلود كند.

كرم ممكن است به wm97.melissa.vbs تغيير نام دهد.

Ovbious-A پوشه C:\DRVBACKUP را ايجاد كرده و پوشه هاي زير را در آن كپي مي كند:

C:\program files
C:\documents and settings

كرم آموزش مي بيند كه پوشه C:\DRVBACKUP را در مكانهاي زير كپي كند:

C:\winnt\DRVBackup2
C:\winnt\DRVBackup3
C:\windows\DRVBackup2
C:\windows\DRVBackup3

كرم Spybot-DF


شرح :

Spybot-DF يك كرم در پشتي IRC مي باشد كه به يك سرور IRC در دوردست متصل مي شود و در پيش زمينه مانند يكي از سرويس هاي ويندوز اجرا مي شود و به انتظار دريافت دستورات از فرستنده مي ماند.

كرم ممكن است در share هاي شبكه كه با پسورد ضعيف محافظت مي شوند. يا توسط شبكه هاي peer- to- peer منتشر شود. بدين صورت كه خودش را به DOWNLOAD_ME.EXE در پوشه <system>\kazaabackupfiles كپي مي كند و مدخل زير را در رجيستري فرار مي دهد تا به اين مسير اشاره كند:

HKCU\Software\Kazaa\LocalContent\Dir0

پس از اين كه كرم بار اول روي سيستم اجرا شد خودش را با نام WINDOWSUPDATER.EXE در پوشه ويندوز ذخيره مي كند و مدخلهاي زير را به رجيستري اضافه مي كند تا به صورت اتوماتيك در هنگام شروع ويندوز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

تا وقتي كه كرم فعال باشد برنامه هايي متنوعي كه در سيستم وظيفه ديده باني دارند را پايان مي دهد.
همچنين كرم كليد هايي را كه فشرده مي شوند را ثبت مي كند و يا آنها را در فايلي ذخيره مي كند يا آنها را به يك سرور IRC در دوردست ارسال مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و تمامي فايل هايي كه در بالا اشاره شده است را از سيستم خود پاك كنيد و در آخر دوباره سيستم خود را راه اندازي كنيد.

كرم Myfip-D

Myfip-D كرمي است از خانواده كرم هاي Myfip كه توسط شبكه هاي share شده منتشر مي شود كه با بدون پسورد هستند يا توسط پسورد هاي ضعيف محافظت مي شوند.
كرم خودش را با نام kernel32dll.exe در پوشه ويندوز ذخيره مي كند .كپي هايي كه روي شبكه هاي share شده هستند worm.txt.exe يا dfsvc.exe ناميده مي شوند.
همچنين كرم ممكن است فايل هايي را با نامهاي temp.exe يا temp.txt ايجاد كند.
Myfip-D خودش را مانند يك سرويس هاي ويندوز با servername يا displayname "Distributed Link Tracking Extensions". ثبت مي كند.
Myfip-D مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

كرم ليستي از نام فايل ها مي سازد كه اسم هاي زير را دارا مي باشد:

Winnt
Windows
I386
Program Files
All Users
Recycler
System Volume Information
Inetpub
Documents and Settings
Wutemp
My Music

سپس كرم محتويات اين فايل ها را به كاربري در دور دست مي فرستد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

اما براي دوستداران اس پي 2

نقص هشدار دانلود IE در SP2



همکاران : مايكروسافت اعلام كرده است كه عمليات و اقدام مناسبي را براي برطرف كردن مشكل موجود در Internet Explorer و سرويس پك دو ويندوز XP انجام خواهد داد. اين نقص به وب سايت‌هاي مخرب امكان مي‌دهد تا هشدارهاي مرورگر را هنگام دانلود كردن برنامه‌هاي مخرب، ناديده انگارد و توجهي به آن‌ها نكند.

اين مشكل، نخستين بار در تاريخ پانزدهم نوامبر و توسط شركت امنيتي Finjan به مايكروسافت گزارش شده است. در آن زمان، مايكروسافت اعلام كرد كه توصيه‌هاي ايمني Finjan، گمراه كننده بوده است. پس از آن، وب سايت فرانسوي K-otik، كدهاي مخربي را كه مي‌توانستند از آسيب پذيري ياد شده سو استفاده كنند، منتشر كرده است.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت همچنان عقيده دارد كه ادعاهاي شركت Finjan گمراه كننده بوده، زيرا پيش از آن كه هرگونه كد مخربي امكان اجرا شدن را بيابد، مي‌بايد تعامل كاربران و مراحل اجراي رابط كاربر به ميزان بسياري صورت گيرد.

در هر حال، اين شركت بزرگ نرم‌افزاري، اين امر را تصديق كرده است كه حتي امكان استفاده از ويندوز XP به همراه سرويس پك دو، امكان ناديده گرفته شدن هشدارهاي امنيتي در Internet Explorer وجود داشته است.

سخنگوي اين شركت گفته است: « مايكروسافت در حال بررسي روش ناديده گرفته شدن (bypass) اخطار و هشدارهاي دانلود در مرورگر Internet Explorer بوده و اقدام مناسبي را جهت برطرف ساختن اين مشكل، در پيش خواهند گرفت تا به شيوه‌ي مناسبي به كاربران توصيه شود كه برنامه‌هاي قابل دانلود از اينترنت، ممكن است خطرناك و مخرب باشند.»

اين سخنگو خاطر نشان كرده است كه چنانچه فايل دانلود شده، بر روي فولدر Startup ذخيره گردد، زماني كه كاربران كامپيوترهاي خود را restart كنند، به صورت خودكار به اجرا در خواهد آمد.

وي در ادامه افزوده است: « چنانچه حمله كنندگان تلاش كنند كه كد مخرب قابل اجرا را در فولدر Windows Startup كاربر ذخيره كنند، كاربران بايد به فولدري كه كد مخرب قابل اجرا در آن ذخيره شده، وارد گشته و آن را اجرا كنند و يا log-off كرده و مجدداً وارد سيستم كامپيوتر خود گردند.»

در هر صورت، سخنگوي مايكروسافت گفته است كه اين مشكل، يك آسيب پذيري امنيتي نبوده، اما استفاده‌اي هوشمندانه و زيركانه از مهندسي اجتماعي است. وي گفته است: « مهم است توجه داشته باشيم كه اين مشكل، سو استفاده از يك آسيب پذيري امنيتي نيست، اما تلاشي است توسط حمله كنندگان براي استفاده از مهندسي اجتماعي، تا بدين طريق كاربران را متقاعد سازند كه فايل مخرب و قابل اجرا را بدون دريافت هشدار دانلود مرورگر Internet Explorer، بر روي ديسك سخت كامپيوتر خود ذخيره كنند.»

اینم برای دوستداران وینمپ

پيدا شدن حفره‌ي امنيتي خطرناك ديگري در WinAmp


مشورت :Security-Assessment.com جزئيات يك حفره‌ي امنيتي را منتشر كرده‌اند كه به حمله كنندگان امكان مي‌دهد زماني كه كاربري، صفحه‌ي وب به خصوصي را مشاهده مي‌كند، كنترل PC وي را در اختيار گيرند.

اين باگ جديد كه خطايي مرزي در فايل IN_CDDA.dll بوده، جديدترين آسيب پذيري جدي در WinAmp است كه شامل نقصي است كه در ماه آگوست ايجاد شده و كنترل فايل‌هايي را به دست مي‌گرفته كه هكرها پيش از آن كه محققان به وجود آن پي ببرند، شروع به سو استفاده از آن كرده بودند.

اين باگ جديد، نقص موجود در فايل‌هاي بدون پوشش و نقص منتشر شده در ماه آوريل براي در اختيار گرفتن كنترل فايل‌هاي .xm، همگي مي‌توانستند با فريفتن كاربران آلوده و ترغيب و هدايت آنان به سوي وب سايت در بردارنده‌ي فايل ويژه‌اي، از كامپيوترهاي آن‌ها براي برنامه‌هاي مخرب خود سو استفاده كنند كه سپس به صورت خودكار دانلود و اجرا مي‌شده‌اند.

باگ منتشر شده در اين هفته، مي‌تواند به شيوه‌هاي گوناگوني اجرا گردد كه خطرناك‌ترين آن‌ها از طريق فايل فهرست موزيك‌هاي .m3u است.

اين فايل‌ها هنگامي كه بر روي وب سايت ميزبان شوند، به صورت خودكار دانلود شده و بدون هيچگونه تعامل و عمليات كاربر، بر روي WinAmp باز مي‌شوند. همين امر كافي است تا موجب ايجاد سرريزي گردد كه به فهرست موزيك مخرب امكان مي‌دهد كد مخرب مورد دلخواه و انتخاب خود را اجرا كند.

Nullsoft، بخشي از شركت آمريكا آنلاين، باگ موجود در نسخه‌ي 5.06 WinAmp را با patch اي كه از طريق وب سايت شركت در دسترس است، برطرف كرده‌اند. شركت Secunia كه از يك پايگاه داده‌ي آسيب پذيري‌ها پشتيباني و حفاظت مي‌كند، گفته است كه اين باگ از نظر ميزان خطرناك بودن، در درجه‌ي بالا و بسيار خطرناكي قرار گرفته است.

آسيب پذيري ماه آگوست WinAmp، خطرناك‌ترين آسيب پذيري امسال بوده است، زيرا پيش از آن كه patch اي براي آن ارايه گردد، مورد بهره برداري و سو استفاده‌ي باگ‌ها و هكرها واقع شده است.

اين باگ، نسخه‌ي 5.04 را كه تنها يك ماه از زمان انتشار آن مي‌گذرد، آلوده كرده است.
بازگشت

پس ميبينيم كه كارهاي مايكروسافت مشكل ندارند بلكه كارهاي همه مشكل دارند و مايكروسافتم به علت داشتن محصولاتي كه بيشتر مورد مصرف قرار ميگيرد تمامي مشكلات را پيدا ميكند و توسري ميخورد.

هر که بامش بیش حرفش بیشتر
آره
:mrgreen:

آره ديگه مثل شما كاملا درسته اما اينم هست كه مايكروسافت يك كمي نامرد هم هست :mrgreen:

كرم موجود در Mac، نگراني‌هاي امنيتي را بر مي‌انگزيد

منبع : مشورت
متخصصان ضد ويروس به كاربران Mac و سرپرستان سيستم هشدار داده‌اند كه پس از كشف كرمي كه سيستم عامل Mac OS X را مورد هدف و حمله قرار مي‌دهد، نبايد درباره‌ي امنيت آسوده خاطر بود.
پلت‌فرم Mac در مقابل تهديدهاي امنيتي ايمن نبوده و از آن جايي كه داراي آسيب پذيري‌هاي بسياري است (كه همگي از مولفه‌هاي يونيكس ناشي مي‌شوند)، به سرعت آلوده به هزاران ويروس مي‌گردد. در هر صورت، بنا بر گفته‌ي متخصصان امنيت، كرم‌ها از اواخر دهه‌ي هشتاد، بر روي Mac وجود داشته، اما به صورت ناشناخته بوده‌اند.
ظاهر كرم Opener و يا Renepo ممكن است نشانه‌اي از آن باشد كه نويسندگان كرم دوباره متوجه پلت‌فرم Mac شده و به آن علاقه‌مند مي‌گردند، زيرا بر طبق اظهارات متخصصان، هم‌اكنون نوشتن و توليد كدهاي مخربي كه بر روي Mac اجرا مي‌شوند، به آساني ديگر گونه‌هاي يونيكس است.
Paul Ducklin، رييس تكنولوژي شركت ضد ويروس Sophos گفته است: « خوشبختانه، وجود كرم Renepo، هشداري براي كاربران Mac خواهد بود كه هنوز تصور مي‌كنند به اين دليل كه افراد بدخواه توجه و علاقه‌اي به پلت‌فرم Mac ندارند، آن‌ها در مقابل خطرات و تهديدها ايمن هستند.»
اين كرم جديد كه شركت Sophos آن را SH/Renepo، Symantec آن را MacOS.Renepo.B مكافي آن را Unix/Opener.Worm ناميده‌اند، روز جمعه (22 اكتبر) كشف شده و تامين كنندگان ضد ويروس، مراقبت‌ها و حفاظت‌هاي را طي تعطيلات آخر هفته انجام داده‌اند.
اين كرم جديد به صورت يك قفسه‌ي Bash درآمده و سپس خود را در شبكه‌ي محلي كپي و منتشر مي‌سازد. از آن جايي كه اين كرم براي توزيع نسخه‌ها و كپي‌هاي خود از ايميل و برنامه‌هاي مربوط به تبادل فايل استفاده نمي‌كند، قابليت آن محدود است.
اين كرم جديد همچنين نيازمند سطحي بالا از دسترسي به كامپيوترهاست تا بتواند آن‌ها را آلوده سازد. با وجود اين محدوديت‌ها، اين كرم همچنان مخرب است و به اين دليل كه موجب از كار افتادن logging و نرم‌افزارهاي امنيتي و ضدويروس مي‌شود، گفتن اين مطلب كه آيا سيستم‌ها توسط مشكلات ديگري آلوده شده‌اند و يا خير، كاري دشوار است. اين كرم جديد، داده‌هاي حساس و مهمي مانند رمزهاي عبور را جمع آوري كرده و سپس گزارشي از سيستم‌هاي آلوده به سرورهاي راه دور ارسال مي‌كند.
به علاوه اين كرم، از تبادل فايل‌ها استفاده كرده، برنامه‌هاي كشف كننده و باز كننده‌ي رمزهاي عبور را نصب مي‌كند و كلمات عبور ويندوز را جمع آوري مي‌كند. سپس يك account جديد ايجاد كرده تا حمله كنندگان بتوانند در آينده از آن استفاده كنند.
شركت Apple Computer به تازگي براي قوت بخشيدن به حفره‌هاي امنيتي Mac OS X و نيز نشان دادن اين مطلب كه كاربران Mac از كاربران پلت‌فرم‌هاي ديگر ايمن‌تر هستند، تحت حمله قرار گرفته است.

كرم Bagz-D


Bagz-D يك كرم شبكه اي است كه از طريق پيغامهاي اينترنتي منتشر مي شود كه داراي يك در پشتي است كه به يك مهاجم اجازه ورود مي دهد تا تركيبات ديكري را دانلود و اجرا كند.

كرم سعي مي كند آدرسهاي ايميل را از فايل هايTXT, HTM, DBX, TBI و TBB جمع آوري كند و از يكي از آنها براي فرستادن ايميل استفاده كند.

ايميلي كه اترسال مي شود داراي مشخصات زير مي باشد:

موضوع:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل الحاقي به صورت فايل zip :

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل الحاقي با فرمت EXE :

backup.doc (spaces) .exe
admin.doc (spaces) .exe
archivator.doc (spaces) .exe
about.doc (spaces) .exe
readme.doc (spaces) .exe
help.doc (spaces) .exe
photos.doc (spaces) .exe
payment.doc (spaces) .exe
archives.doc (spaces) .exe
manual.doc (spaces) .exe
inbox.doc (spaces) .exe
outbox.doc (spaces) .exe
save.doc (spaces) .exe
rar.doc (spaces) .exe
zip.doc (spaces) .exe
ataches.doc (spaces) .exe
documentation.doc (spaces) .exe
docs.doc (spaces) .exe
sysboot.doc (spaces) .exe

كرم يك كپي از فايلهايي را كه ارسال مي كند در پوشه ويندوز قرار مي دهد.و همچنين تركيبات زير را در پوشه ها قرار مي دهد:

run32.exe

rpc32.exe
ipdb.dll
wdate.dll
jobdb.dll

Bagz-D خودش را مانند يك سرور ويندوز با نام RPC32 روي سيستم نصب مي كند.

كرم Bagz-D فايل %system32%/drivers/etc/hosts را تغيير مي دهد تا سيستم نتواند به سايت هايي كه فروشنده آنتي ويروس هستند دسترسي داشته باشد.



توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

آقا ماهان خودتم قبول داري كه اين تاپيك خيلي مورد توجه نيست؟؟؟

آخه تو اين جهان تا يكي به مشكلي بر نخورده كه دنبالش نميره

مهم نیست که خیلی مورد توجه هست یا نه
این مهمه که اگه یه نفر یه مشکل بر خورد شاید با مراجعه به اینجا مشکلش بر طرف بشه
ولی این یه ایراده که ما تا دچار مشکل نشیم به فکر چاره نمی افتیم


كرم Forbot-BR


Forbot-BR كرم شبكه و تروجان درپشتي IRC مي باشد كه در سيستم هاي ويندوزي منتشر مي شود.پس از اولين اجرا كرم خودش را با نام windows.exe در پوشه ويندوز ذخيره مي كند.

كرم مدخل هاي زير را در رجيستري ايجاد مي كند تا بتواند با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

در پشتي به يك كانال IRC متصل مي شود و در انتظار در يافت دستورات از مهاجم مي ماند. تروجان در زمينه هاي زير آموزش مي بيند:

ايجاد حمله هاي DDOS

دزديدن اطلاعات ثبت شده.

جستجو كردن سيستم هاي ديگر براي يافتن آسيب پذيري.

جمع اوري اطلاعات از فايل هاي موجود در ديسك سخت.

فعاليت مانند يك سرور(FTP, HTTP, SOCKS4 ).



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.


كرم Rbot-NG


Rbot-NG كرمي است كه از طريق شبكه هاي share شده منتشر مي شود.اين كرم مانند يك در پشتي تروجان عمل مي كند و به مهاجم اجازه مي دهد از طريق كانالهاي IRC به كامپيوتر آلوده دسترسي داشته باشد تا به صورت يك سرور ويندوز روي پيش زمينه اجرا شود.

كرم Rbot-NG از طريق شبكه هاي share شده اي كه داراي پسورد ضعيف هستند منتشر مي شود و مانند يك تروجان در پشتي منتظر دريافت دستورات از كاربر راه دور مي ماند.

كرم خودش را با نام NETSIS.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيسترسي ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

McAfee و محصولات جدید

امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند.
شرکت McAfee که در زمینه ساخت محصولات امنیتی و ضد ویروس فعال است اعلام کرد که به زودی محصولات جدید خود برای سال 2005 میلادی را عرضه خواهد کرد.
برطبق اعلام مقامات این شرکت محصولات ضدویروس جدید آن قابلیت مقابله با انواع حملاتی را خواهند داشت که با هدف سرقت هویت اشخاص، جاسوسی در کامپیوترهای افراد و نیز سرقت اطلاعات محرمانه آنان طراحی می‌شود. این محصولات همچنین می‌توانند نامه‌‌های الکترونیکی را که حاوی لینک‌های خطرناک و معیوب هستند شناسایی کند.
گفتنی است که امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند .

AOL 9.0 به همراه نرم‌افزار ضد ويروس ارايه مي‌شود

منبع: مشورت
شركت آمريكا آنلاين، با عنوان اين مطلب كه نيازي فوري به پشتيباني از كاربران خود در مقابل تهديدها و خطرات آنلاين دارد، بسته بندي نرم‌افزار ضد ويروسي را كه متعلق به شركت مكافي است به همراه جديدترين نسخه‌ي نرم‌افزار آن، AOL 9.0، آغاز خواهد كرد.

اين شركت، VirusScan شركت مكافي را به صورت آنلاين و بدون هيچ گونه هزينه‌هاي اضافي براي dial-up مشتريان آمريكا آنلاين، در دسترس قرار خواهد داد و سرويس‌هايي كه داراي هزينه‌هاي اضافي براي پشتيباني ضد ويروس هستند، حذف خواهد كرد.

اين نرم‌افزار به اعضاي شركت آمريكا آنلاين امكان مي‌دهد تا از account هاي AOL خود پشتيباني و حفاظت كرده و ديسك‌هاي سخت كامپيوترهاي خود را از لحاظ وجود ويروس‌ها بررسي كنند و نيز فايل‌هاي آلوده را قرنطينه و آلودگي آن‌ها را بر طرف سازند.

مشترياني كه با ويرايش امنيتي AOL 9.0 روزآمد شده‌اند، قادر خواهند بود VirusScan را پس از تكميل به روز رساني AOL، download و فعال سازند. اعضاي AOL كه از ويرايش‌هاي قديمي‌تر نرم‌افزار 9.0 استفاده مي‌كنند، مي‌بايد نرم‌افزار ياد شده را به صورتي جداگانه از طريق وب سايت شركت آمريكا آنلاين، download كنند.

آمريكا آنلاين، از آوريل سال 2003، در حال ارايه‌ي VirusScan به عنوان سرويسي افتخاري براي كاربران نرم‌افزار AOL 7.0 و 8.0 است. هزينه‌ي اين سرويس سابقاً 2.95 دلار (1.60 پوند) در هر ماه بوده است. اين هزينه، به دليل اندك بودن، مشتريان را قادر به استفاده از VirusScan و نرم‌افزارهاي دوره‌اي و نيز روزآمد سازي‌هاي ويروس‌ها مي‌سازد.

مشترياني كه به فهرست استفاده كنندگان از پشتيباني ضد ويروس ملحق شده‌اند، به طور مداوم از خدمات بهره‌مند خواهند شد، اما هزينه‌اي بابت اين خدمات پرداخت نمي‌كنند.

علاوه بر پشتيباني ضد ويروس desktop، شركت آمريكا آنلاين، فايل‌هاي ضميمه‌ي ورودي و خروجي ايميل‌ها را نيز بررسي و كنترل مي‌كند. AOL، به امنيت آنلاين علاقه و توجه نشان داده و در حال بهبود امنيت به عنوان مزيتي كليدي و اصلي در عضويت AOL است.

در ماه سپتامبر، RSA Security و آمريكا آنلاين، سرويس جديدي را با عنوان كد عبور AOL (AOL PassCode) ارايه كرده كرده‌اند كه به مشتريان شركت آمريكا آنلاين امكان مي‌دهد از رمزهاي عبور ايمن و مطمئن براي پشتيباني و حفاظت از اطلاعات account خود استفاده كنند.
اين شركت در نتايج حاصل از تحقيق و مطالعه‌اي كه با همكاري National Cyber Security Alliance انجام داده، اعلام كرده است كه 20 درصد از كامپيوترهاي خانگي توسط ويروس‌ها و كرم‌ها آلوده شده و بر روي 80 درصد از سيستم‌ها، نرم‌افزار جاسوسي وجود داشته‌اند.

اين بررسي درباره‌ي كامپيوترهاي خانگي و مالكان آن‌ها همچنين نشانگر اختلاف بسيار زياد ميان تهديدها و خطرات اينترنتي و درك كاربران از وجود آن‌هاست. اين نتيجه از آن جايي ناشي مي‌شود كه دو سوم از كاربران كمپيوترهاي خانگي گفته‌اند كه تصور آنان بر اين بوده كه در مقابل خطرات آنلاين ايمن هستند.
ويرايش امنيتي AOL 9.0 در ماه نوامبر به بازار عرضه خواهد شد.

اي ول
تاپيكت خيلي باحاله.همينجوري ادامه بده.
ارادتمند.

جسد جان بعضی ها میگن اینجا رو ببندیم بالاخره چی کار کنم

فعلا اینو داشته باشید

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند.

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند. در همين ارتباط است كه در مورد برنامه ها و نرم افزارهاي كامپيوتري هم كلمه trojan هميشه به ياد آورنده برنامه هايي با ظاهر بسيار ساده ولي كارايي هاي مخفي فوق العاده است. بعنوان مثال شما ممكن است برنامه اي را به گمان اينكه يك «بازي» بيش نيست از اينترنت Download كرده باشيد ولي در واقع آن برنامه اي است كه مشغول جمع آوري اطلاعات درباره شما و يادر حال غير فعال كردن عوامل اميني دستگاه شماست تا كار يك نفوذگر (hacker) را ساده تر كند.

اين برنامه ها (تحت عنوان Torjans) مي توانيد به صورت هر نوع برنامه اي ظاهر شوند و فعاليتي كاملاً متفاوت از آن چه از آنها انتظار مي رود را انجام دهند. آنها مي توانند به صورت بازي، Screen saver ، Update كننده نرم افزارهاي مختلف، برنامه هاي نفوذ (----) يا حتي برنامه هاي Anti. Torjan ظاهر شوند و حتي ممكن است به برنامه هايي كه هم اكنون در دستگاه شما نصب است و به آن ها اطمينان داريد ضميمه شوند

از چه راهي وارد مي شوند؟

Download كردن فايل هاي آلوده از اينترنت، معمول ترين شيوه قرار گرفتن در معرض خطر است ولي trojan ها از راههاي زيادي ممكن است به سيستم شما راهيابند از جمله:

ضميمه شدن به يك e-mail

جاسازي شدن در HTML متن يك برنامه

از طريق ديسكت ها

ضميمه شدن به يك برنامه

در حال فرستادن يا دريافت فايلي از طريق IM

از طريق يك Hyperlink به يك URL كه حاوي متن عجيبي است.

از طريق نفوذ به يك فولدر Share شده

يا اينكه يك Hacker شخصاً اقدام مي كند و با وارد كردن يك ديسكت يا CD به كامپيوتر شما، آن را آلوده مي كند.

در هر يك از حالت هاي بالا يك چيز قطعي است و آن اينكه يك Hacker بالاخره به طريقي از سيستم دفاعي كامپيوتر شما عبور خواهد كرد.

شبكه هاي كمي به كاربران و دارندگان كامپيوترهاي شخصي نيروي دفاعي لازم براي جلوگيري از حملات اين چنين را مي دهند. وقتي از يك برنامه آلوده استفاده مي كنيد، قسمت پنهان Trojan خود را در يك قسمت مخفي كپي مي كند اين موضوع تغييراتي در سيستم شما ايجاد مي كند و باعث مي شود كه هر بار كه دستگاهتان را روشن مي كنيد Trojan هم اجرا شود. Trojan مي تواند به يكي از روش هاي زير در يك مكان مخفي شود:

ربودن يك آيكن آشنا

تغيير نام دادن يك فايل

Packaing

Binding

ربودن يك ايكن آشنا يكي از مرسوم ترين شيوه هايي است كه برنامه هاي مخرب به كار مي گيرند، وقتي روي آيكن مورد نظر كليك مي كنيد، Trojan برنامه را در حالت عادي اجرا مي كند تا شما شك نكنيد، ولي در همين حال مشغول انجام دادن عمليات خرابكارانه خود است.

راه ديگر تغيير دادن نام فايل هاست، Trojam نام يكي از فايل هايي كه بسيار مورد استفاده شماست مي گيرد و به خود نامي آشنا چون Dir.exe يا Calc.exe مي دهد، كافيست در هنگام اجراي آن Ctrl+Alt+del را فشار دهيد، خواهيد ديد كه مي تواند حتي به صورت يك تايمر سيستم يا آنتي ويروس ظاهر شود. Packing يك برنامه هم به معناي انجام مراحلي است كه باعث شود آن برنامه فضاي كمتري در هارد اشغال كند. اين كار البته باعث مي شود كه ساختار برنامه به طور كلي عوض شود. كه در نتيجه شناسايي آنها توسط آنتي ويروس ها و Antitrogan ها مشكل مي شود.

Binding هم يعني ضميمه كردن كدهاي خرابكارانه به برنامه ها در اين صورت وقتي برنامه اجرا مي شود، همزمان با آن Trojan هم شروع به فعاليت مي كند.

صدماتي كه Trojan ها مي توانند به سيستم شما وارد كنند:

مهمترين فعاليت آنها اين است كه امكان دستيابي مستقيم به سيستم شما را فراهم مي كنند (در اين صورت به نام RAT شناخته مي شوند) در اينترنت هزاران RAT وجود دارد كه اكثر آنها مجاني هستند و كار با آنها آنقدر ساده است كه حتي افرادي كه اطلاع كمي در زمينه كامپيوتر دارند مي توانند آنها را فعال كنند.

RAT ها مي توانند كنترل سيستم شما را بدست گيرند و يك يا چند عمل زير را انجام دهند:

فايل ها را كپي كنند، نام آنها را تغيير دهند يا آنها را پاك كنند.

نشانگر موس را پنهان كنند.

كامپيوتر شما را Reboot كنند.

كلمات عبور را فاش كنند.

ارتباط شما را به اينترنت وصل يا از آن قطع كنند.

كنترل Web cam شما را به دست گيرند.

e-mail هاي مختلفي را بفرستند يا دريافت كنند.

و اين ليست ادامه مي يابد،....

اما چرا بايد كسي علاقمند به در دست گرفتن كنترل كامپيوتر شما باشند؟

اگر شما فقط كاربري با يك PC هستيد امكان اينكه مورد حمله hacker ها قرار بگيريد چندان زياد نيست. اما با اين حال كافيست يكبار مورد حمله قرار گيريد، پس از آن كامپيوتر شما مثل وسيله اي است كه كامپيوترهاي ديگر هم از طريق آن مي توانند مورد حمله قرار گيرند.

استراتژي آنها اين است كه ابتدا به كامپيوترهاي شخصي حمله مي كنند و سپس از آنها در حمله به سيستم هاي كامپيوتري قوي مثل دانشگاهها يا سازمان ها استفاده مي كنند و بعد از پايان يافتن عمليات، تمام ردپاهاي خود را از بين مي برند، رديابي حملات غير مستقيم معمولاً غير ممكن يا بسيار دشوار است.

چگونه از دستگاه خود محافظت كنيم؟

هيچ برنامه يا ليستي به تنهايي نمي تواند جلوي حملات trojan ها را بگيرد بنابراين شما نيازمند استفاده از تركيبي از تكنيك ها هستيد. شما بايد به كامپيوتر خود به ديد شهري كه در معرض حمله دشمن است نگاه كنيد پس نياز داريد:

براي آن ديوار بسازيد

مراقب افرادي كه در ارتباط با شهر هستند باشيد

دشمان احتمالي را ريشه يابي كنيد.

براي آن ديوار بسازيد

اولين مرحله دفاع بايد توسط تنظيمات امنيتي نرم افزار اينترنت شما باشد (Security setting) شامل email, Messanger, browser .

تا آنجا كه مي توانيد در تنظيم آن دقيق باشيد، مرحله دوم firewall (ديوار آتش) است تا اين جا توانسته ايد جلوي قسمت عظيمي از هجوم ها را بگيريد.

مراقب افرادي كه در ارتباط با شهر هستند باشيد

هربار كه فايلي download مي كنيد يا به هر طريقي مثل email به شما مي رسد، شما يك trajan را به كامپيوتر خود دعوت مي كنيد. عباراتي مثل “Free” يا “exciting” و جملات وسوسه انگيزي از اين قبيل بايد فوراً شما را به فكر وادارد. سايت هاي غير قانوني (Warez) ممكن است در نگاه اول جالب به نظر برسند ولي عموماً حاوي ويروس هاي پر مخاطره اي براي سيستم شما هستند . download كردن فايل از چنين سايت هايي درست مثل كوبيدن يك چكش به هارد ديسك شما عمل مي كند.

موارد بسيار زياد ديگري هم در اين ارتباط وجود دارد. مثلاً چيزهايي كه ما همواره به آنها اعتماد مي كنيم، از تبديل ديسكتي كه يك دوست به ما مي دهد. برنامه هايي كه سايت ها براي Update كردن ارائه مي كنند و هيچ وقت فكر نكنيد كه نرم افزارهايي كه از شركتهاي معتبر تهيه مي كنيد كاملاً سالم هستند.

همه راههاي ووردي فايل ها را چك كنيد.

هر فايلي كه برايتان فرستاده مي شود را نپذيريد.

همه فايل ها را Scan كنيد.

Bios كامپيتر خود ا چك كنيد تا از راه فلاپي boot نشود.

دشمان احتماي را ريشه يابي كنيد.

طراحي Trojan ها طوري است كه شناسايي آنها را مشكل مي كند و اگر طراح آنها شخص با تجربه اي باشد شما هيچ وقت از وجود آنها مطلع نخواهيد شد. ولي يك چيز بين همه آنها مشترك است و آن اينكه آنها تنظيمات دستگاه شما را تغيير مي دهد.

چه بايد كرد؟

مراقب همه تغييراتي كه در سيستمتان رخ مي دهد باشيد. نرم افزارهاي متعددي وجود دارند كه همه تغييرات در تنظيمات(Setting) دستگاهتان را به اطلاعتان مي رسانند. يكي از برنامه ها Intergrity Master قابل Download كردن از سايت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] است . از ديگر برنامه هاي مشابه مي توان به Inctrl5 قابل Download از سايت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] است. بعد از نصب اين برنامه بايد هر بار كه سيستم خود را روشن مي كنيد يا نرم افزاري جديدي را نصب يا اجرا مي كنيد اين برنامه را فعال كنيد تا در صورتي كه از تغييرات setting دستگاهتان راضي نيستيد با backup گرفتن آنها را به صورت قبلي در بياوريد.

جعبه هاي شني (sand boxes)

يكي از راههاي ديگر هم اين است كه همه برنامه ها و فايل هايي كه مي خواهيم در سيستم خود بريزيد را قبلاً چك كنيد. براي اين منظور مي توانيد از برنامه هايي چون surfingGuard قابل نصب از سايت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده كنيد. اين برنامه به شما اجازه نصب هر برنامه اي را مي دهد ولي در يك محيط كنترل شده(Sand box) تا احتمال وارد شدن هر گونه صدمه اي به دستگاه شما را به حداقل برساند.

شناسايي و پاك كردن trojanها:

بعضي معتقدند بهترين راه پاك كردن hard disk و ريختن دوباره ويندوز است ولي راههاي ساده تري هم براي اين كار وجود دارد. برنامه هاي Antivirus مدرن و قوي توانايي پاك كردن اكثر trojan ها را دارند. براي اطمينان بيشتر مي توانيد از اسكنر Anti-trojan هم استفاده كنيد. براي آشنايي با اسكنرهاي معروف Trojan ها مي توانيد به ليستي كه در سايت [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] آمده نظري بيندازيد. يكي از بهترين نمونه هاي آورده شده در اين سايت the cleaner است.

( [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] )

اسب تراواي جديد به جاسوسي در وب سايت بانك‌ها مي‌پردازد
مترجم: مشورت

متخصصان امنيت مي‌گويند كه اسب تراواي جديدي را كه جزييات كاربران بانك الكترونيكي و جست‌وجو در وب را ثبت مي‌كند، يافته‌اند.
شركت ضد ويروس Sophos هشدار داده است كه اسب تراواي Banker-AJ، مشتريان بانك‌هاي انگليسي نظير Abbey، Barclays، Egg، HSBC، LIoyds TSB، Nationwide و Natwest را مورد هدف قرار مي‌دهد. اين اسب تراوا بر روي كامپيوترهاي اجرا كننده‌ي ويندوز مايكروسافت تاثير مي‌گذارد.
Sophos اعلام كرده است كه اين اسب زماني كه يك بار بر روي كامپيوتر نصب گردد، منتظر مي‌شود تا كاربران وارد وب سايت‌هاي آنلاين بانك‌هاي مورد نظر خود شوند و سپس اين اسب تراوا كلمات عبور آن‌ها را پيدا كرده و تصاويري لحظه‌اي از بخش‌هاي مورد هدف خود تهيه مي‌كند. اطلاعات كسب شده، در اختيار هكرهايي قرار مي‌گيرد كه از براي سرقت پول از داده‌هاي به دست آمده استفاده كنند.
Graham Cluley، مشاور تكنولوژي شركت Sophos گفته است اين رويداد، نسلي ديگر از حملات phishing است.
حمله كنندگان phishing، وب سايت‌هايي ساختگي و فريبنده ايجاد مي‌كنند تا بدين طريق اطلاعات شخصي قربانيان را به دست آورند. آن‌ها از ايميل‌هايي استفاده مي‌كنند كه به نظر مي‌رسد از سوي شركت‌هاي معتبر و مورد اطمينان ارسال شده باشند تا بدين ترتيب كاربران فريب داده و آن‌ها را تشويق و ترغيب به ورود به سايت‌هاي ساختگي و تقلبي كنند. سايت‌هايي كه در آن جا از قربانيان درخواست مي‌شود تا اطلاعاتي چون داده‌هاي كارت‌هاي اعتباري خود را ارايه دهند. حملات به طور مكرر و مداوم، مشتريان بانك‌ها را نشانه مي‌روند.
بانك Barclays گفته است كه پيش از نيز با تكنيك استفاده از سايت‌هاي ساختگي و غير قانوني مواجه شده است. يكي از نمايندگان شركت مي‌گويد: « اين گونه اسب تراوا، مسئله‌ايست كه ما بارها با آن روبور بوده و از وجود آن آگاهي داشته‌ايم. ما در حال همكاري با صنعت هستيم تا گام‌هاي بعدي را براي جلوگيري از اين برنامه‌هاي فريبنده تعيين كنيم و نيز مشتاقيم تا آموزش‌هاي لازم را در اين زمينه به مشتريان ارايه دهيم.»
Sophos همچنين اعلام كرده است كه چندين ماه پيش، اسب تراواي مشابهي را با عنوان Tofger مشاهده كرده، اما اين تكنيك در كشور برزيل مورد استفاده قرار گرفته شده است. برخي از گونه‌هاي برزيلي اين اسب تراوا، منتظر مي‌مانده تا كاربران به وب سايت يكي از بانك‌ها وارد شوند. اما اين تراواي تازه كشف شده، بسياري از بانك‌هاي مشهور انگليس را مورد هدف قرار داده و همين امر آن را مورد توجه قرار داده است

هكرهاي پررو محصولات شان را مي فروشند

همشهری : گروهي به نام ازهكرها، فروشگاه آنلايني را راه اندازي كرده اند كه كد منبع به سرقت رفته محصولات نرم افزاري مهم و معروف را مي فروشد و در حال ارايه كدي براي نرم افزار ديوار آتش PIX شركت سيسكو سيستمز به مبلغ ۲۴۰۰۰ دلار (۱۳۰۰۰ پوند) است.
Source Code Club روز دوشنبه (اول نوامبر) به صورت آنلاين پديدار گشته و از پيام هايي براي گروه هاي گفتگوي آنلاين درباره امنيت استفاده كرده تا بدين طريق بازگشت خود را به عرصه كسب و كار اعلام كند.
اين گروه از ايميل ها و پيام هاي ارسالي در گروه Usenet براي مكاتبه و ايجاد ارتباط با مشتريان استفاده كرده و سفارش هايي را براي كد منبع محصولات امنيتي گوناگون دريافت مي كند كه برخي از آن ها عبارتند از ديوار آتش PTX ۶.۳.۱ سيسكو و نرم افزار سيستم رديابي و كشف ورودهاي بدون مجوز (IDS) از شركت Entrasys Networks… اين كلوپ ابتدا در ماه ژوئيه به وجود آمده و با استفاده از صفحه وبي با آدرسي در اوكراين، پيام هايي را به فهرست مباحث امنيتي Full-Disclosure ارسال كرده است تا بدين ترتيب براي محصولات خود تبليغ كند.
اين كلوپ كد منبع، اعلام كرده است كه هوشمندي شركت را به همراه ديگر خدمات بي نام، به مشتريان خود مي فروخته است. اين كلوپ، كد منبع بسياري از نرم افزارهاي كليدي دنياي شبكه را با قيمت هاي مختلفي ارائه كرده، به عنوان مثال كد نرم افزار مبادله فايل (file Sharing) شركت Napster كه هم اكنون بخشي از Roxio است به مبلغ ۱۰۰۰۰ دلار در سايت اين گروه ارائه شده بود.
اين گروه تنها چند روز پس از اين جريان مجبور به متوقف كردن عمليات خود گشته و اعلام كرده است كه نيازمند طراحي مجدد مدل كسب و كار خود است.
اين گروه، قيمت كد Entrasys و Napster را به ترتيب به ۱۹۲۰۰ دلار و ۱۲۰۰۰ دلار افزايش داده است.
اين كلوب هك، همچنين عضويت خصوصي را به همراه وعده دسترسي به فهرست كد منابع بيشتر، به كساني كه يك كپي كامل از كد منبع محصول را خريداري كنند، پيشنهاد مي كند.

ماهان جان
من خودم هر روز سري به تاپيكت ميزنم و از مقالات جديدت استفاده ميكنم.ولي نميدونم چند نفر ديگه مثل من هستند.ولي من كه كللي فيض بردم.
ارادتمند

به خاطر توهم که شده مینویسم
:mrgreen:

آسيب پذيري خطرناك در ويندوز سرور مايكروسافت

آسيب پذيري خطرناكي در يكي از سرويس هاي ويندوز به نام WINS به وجود آمده است كه بسياري از شركت ها را تهديد مي كند.

به گزارش بخش خبر تراشه از سايت امنيت وب، سرويس (WINS (Windows Internet Name Service يكي از اجزاء و سرويس هاي پايه اي براي ويندوز هاي NT4 ،2000 Server و سرور 2003 مي باشد.

مايكروسافت براي حل اين مشكل فعلا يك راه حل زودگذر بيان كرده است تا در آينده بتوان اين آسيب پذيري را اصلاح كند.

اين آسيب پذيري ابتدا توسط شركت سازنده نرم افزارهاي امنيتي Immunity بيان شد كه به عنوان يك آسيب پذيري سرريزي بافر مي باشد. آسيب پذيري سرريزي بافر از راه دور به يك مهاجم اجازه مي دهد كه كنترل سيستم را به دست بگيرد.

مايكروسافت بيان كرده است كه اين آسيب پذيري در ويندوز 2000 حرفه اي و ويندوز XP و ME وجود ندارد.

WINS يك ابزار نامگذاري براي سرور ها مي باشد كه براي هر آدرس IP يك نام مشخصي را در شبكه در نظر مي گيرد.

اين آسيب پذيري توسط شركت امنيتي Secunia به صورت متوسط بحراني بيان شده است.

لازم به ذكر است كه كدهاي مخربي براي اين آسيب پذيري در حال حاضر به صورت عمومي منتشر نشده است ولي به صورت محرمانه بين هكر ها و گروههاي زير زميني منتشر مي شود

ويروسي جديد که از طريق يک فايل‌ MP3 وارد رايانه‌ مي‌شود


اگر يك پست الكترونيكي با يك فايل ضميمه‌ي MP3 را از آخرين آهنگ‌هاي Stef SuN دريافت كرديد پيش از باز كردن آن بايد بسيار مراقب باشيد چرا كه اين پيغام حامل ويروس جديدي است كه مي‌تواند آسيب زيادي به رايانه‌ي شخصي شما وارد كند.

كارشناسان امنيت رايانه‌يي هشدار دادند كه كاربران بايد مراقب يك كرم جديد شبكه باشند كه از طريق فايل‌هاي MP3 شامل آهنگ‌هاي Sun خواننده‌ي پاپ سنگاپوري است كه آلبوم جديد وي تازه منتشر شده است.

پس از آلوده شدن سيستم، اين ويروس از خود به طور خودكار نسخه‌هاي جديد توليد كرده و از طريق آدرس‌هاي ثبت شده، خود را به اين آدرس‌ها ارسال مي‌كند.

اين امر باعث مصرف حجم عظيمي از منابع سيستم شده و سرعت سيستم را به شدت كاهش مي‌دهد.

وقتي كه spammer‌‌‌‌ها هرزنامه دريافت مي‌كنند!

Lycos، يكي از پورتال‌هاي اينترنت اروپا، به تازگي نرم‌افزاري ساخته است كه مورد توجه همه كاربران نامه‌هاي الكترونيكي قرار خواهد گرفت؛ راهي براي گرفتار كردن spammer‌‌‌‌ها.

به گزارش بخش خبر تراشه ، اين نرم‌افزار چيزي جز يك screensaver نمي‌باشد و وب‌سايت‌هايي را كه از هرزنامه براي بازاريابي خود استفاده مي‌كنند، هدف قرار مي‌دهد. بدين ترتيب مجموعه‌اي از دريافت‌كنندگان spam قادر خواهند بود تا با تقاضاي مكرر اطلاعات از سرور‌هاي اين سايت‌ها، پهناي باند آنها را كاهش دهند.

اين screensaver در يك‌ماهه اخير به طور پنهاني در سوئد آزمايش شد و تا‌كنون 80 هزار نسخه از آن دانلود شده است. جالب اينكه زمان پاسخگويي برخي از سرور‌ها در اين آزمايش تا 85 درصد افزايش يافته است.

از مزاياي اين نرم‌افزار علاوه بر ايجاد حس انتقام در قربانيان هرزنامه! پوشيده ماندن تقاضاهاي مكرر در زير چتر يك URL است؛ وقتي يكي از نرم‌افزار‌هاي مديريت سرور متوجه افت سرعت مي‌شود، تنها چيزي كه مشاهده مي‌كند تقاضا براي سايتwwww.makelovenotspam.com
مي‌باشد.

البته اين نرم‌افزار تمام پهناي باند سرور را مسدود نمي‌سازد و داراي مكانيزمي است كه پس از اطمينان از محدود شدن ظرفيت سرور، جريان تقاضا‌ را متوقف مي‌سازد.

هرزنامه‌ها براي سرور‌ها بسيار سود‌آور مي‌باشند؛ حتي اگر هر بار تنها يك درصد از دريافت‌كنندگان هرزنامه به آن پاسخ دهند، سود مناسبي نصيب اين سرور‌ها مي‌شود. هدف اين screensaver هم در واقع افزايش مخارجي است كه متوجه صاحبان اين سرور‌ها مي‌باشد.

ماهان جان اين خبر خيلي بامزه بود! به نظرم حالت امنيتي نداشت. :wink:

میشه بهش بگی امنیت بامزه
:mrgreen:

ویروسی که با راهنمائی کاربر به سایتهای سکس وی را فریب میدهد


متخصصين به كاربران درمورد ايميلهايي هشدار دادند كه ادعا مي كنند حاوي عكسهاي طنز گونه اي هستند اما درواقع به وب سايتي كه كرمهاي مخرب مي توانند از آنجا در كامپيوتر دانلود شوند لينك شده اند.

ایمیلهای آلوده نشانه هائی داردن که تعدادي از نشانه هاي گزارش شده از اين ايميلهاي فريبنده را براي آلودگي به كرم Bofra در اينجا مي خوانيد .
اين كرم با موضوع : سلام , عكسهاي بامزه و پيغام متني كه به کاربر می گويد: صفحه home مرا براي ديدن آخرين عكسهاي بامزه و دانلود ويدئو هاي مجاني باز كن و SIGN UP كن ظاهر مي شود.
ايميلها اكثر مواقع حاوي لينكي هستند كه به وب سايتهاي --- ختم مي شوند كه در صورت كليك كاربران در روي آنها كامپيوتر كاربر به خطر مي افتد .

كد مخرب درون وب سايتها با بهره برداري از آسيب پذيري اخير كشف شده در اينترنت اكسپلورر مايكروسافت اجرا مي شوند و سپس كرم خرمني از ايميلهاي آلوده را به ديگر آدرس ايميلها با هدف انتشار خودش مي فرستد .اين كرم با استفاده از علاقه مندي هاي كاربران آنان را قلقلك كرده و خود را به جلو مي راند .
اين آسيب پذيري و كرم در ويندوز XP با Service Pack 2 اثر گذار نمي باشد.

ویروسی در لباس کارت اعتباری


متخصصين به كاربران اعلام كردند كه در معرض آلودگي با كرم Bofra-B هستند.

كرم Bofra-B فرستنده ايميلهايي است كه وانمود مي كند حامل كارت اعتباري 175 دلاري مي باشند كه به گيرندگان توصيه مي كند بر روي لينك جزئيات كليك كنند و اگر کاربر بروی لینک کلیک کند كامپيوترش بلافاصله آلوده مي شود كه اين نيز به آسيب پذيري اينترنت اكسپلورر بر مي گردد.

Graham Cluley گفت : كليك كردن بر روي لينكهاي ناشناس در كامپيوترهاي بي حفاظ مساوي است با حمله ويروسها .

اين سري از حفره ها فقط در اينترنت اكسپلورر مايكروسافت در هفته گذشته گزارش شده و هنوز هم patch براي آن در دسترس نمي باشد و اين سريعترين بازتاب آسيب پذيري كشف شده مي باشد كه تا كنون مشاهده نشده بود.

كاربران هوشیار باشند كه براي خريداري كارتهاي اعتباري و يا شارژ آنها هرگز براي به دست آوردن جزئيات بيشتر بر روي لينكهاي ناشناس كليك نكنند.

ايميل فرستاده شده توسط كرم W32/Bofra-B ممكن است داراي مشخصات زير باشد:
From:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Subject line:
تاييد

Message body:
تبريك و شادباش , كارت اعتباري 175 دلار ي شما با موفقيت شارژ شد . A866DEC0 شماره سفارش شما مي باشد و آيتم شما در سه روز كاري پر شده است . براي جزئيات بيشتر بر روي لينك زير كليك كنيد.
وسپس به کار بر می گويد كه اين پيام به صورت اتوماتيك فرستاده شده و پاسخي دريافت نخواهد كرد.

صفحه HTML ایمیل در رنگهايي غير از سفيد ظاهر مي شود.
برخي از ناظران آنتي ويروس حفاظت خود را در برابر كرم Bofra با كدهاي مربوط به كرم MyDoom ارائه داده اند اما Sophos مصمم است كه Bofra از اعضاي خانواده ماي دوم نمي باشد و تفاوت مابين اين دو را از طريق گسترش آنها در بين كاربران تشخيص داده است.


تروجان Bancban-AC

Bancban يك تروجان رباينده پسورد ها مي باشد كه هدفش مشتري هاي مخصوص بانك هاي برزيل مي باشد.اين تروجان كليد هاي فشرده شده را درون وب سايت هاي مخصوص ثيت مي كند و يك صفحه جعلي را نمايش مي دهد تا وقتي كاربر اطلاعات محرمانه خود آنها را در وارد كرد تروجان آنها را بدزدد.

اطلاعات دزديده شده توسط ايميل به كاربري در دور دست ارسال مي شود.

تروجان سعي مي كند آنتي ويروسها و ديواره هاي آتش متعلق به Norton را پيدا كرده و پاك كند. اطلاعات ربوده شده ممكن است در فايلي با نام USER.TXT يا فايلي تصويري به نام BARRA.BMP ذخيره شوند.

تروجان Bancban خودش را با فايلي با نام CSRSS.EXE يا يك Subfolder به نام SYSTEM در شاخه ويندوز ذخيره مي كند و مدخل زير را به رجيستري اضافه مي كند تا تروجان همزمان با اجراي ويندوز اجرا شود:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

توصيه ها :

1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

آدرسهای دوگانه ، حیله جدید هکرها

مايكروسافت این ادعاي کارشناسان كه spoofing كشف شده در اينترنت اكسپلورر را در اثر يك حفره امنيتي میدانستند ، را نپذيرفت. به گفته متخصصین امر در نرم افزار اينترنت اكسپلورر ورژن 6 امكان وقوع حيله هاي اينترنتي وجود دارد كه به ادعاي مايكروسافت این اشکال نرم افزاری ویندوز نيست .

spoofing تاکتیکی است براي فریب كاربران به اینصورت که آنها بر روی آدرس شناخته شده ای کلیک میکنند ولی بجای آن به يك وب سايت " spoof " شده هدايت میشوند. از تكنيك Spoofing خيلي اوقات در ايميل scam هاي phishing استفاده مي شود و بوسیله آن هکرها كوشش مي كنند اطلاعات شخصي كاربران را با تفهیم این مسئله که از يك منبع قانوني درخواست میشود ، از وی استخراج كنند.

مايكروسافت اين رويداد امنيتي را كه URL غیرواقعی و فریبنده در نوار وضعيت اينترنتت اكسپلورر به كاربر نمايش داده مي شود را در اثر يك حفره امنيتي نمي داند و و ادعا مي كند كه این فقط يكي ديگر از حيله هاي مورد استفاده هكرها مي باشد.

وقتي كه كاربر در صفحه وب بر روي لينكي كليك مي كند يك URL متفاوت از آن چيزي كه كاربر تقاضا كرده در نوار وضعيت اينترنت اكسپلورر ظاهر مي شود كه او را با لينكهاي جعلي به وب سايتي متفاوت خواهد برد. هکرها این عمل را براي کش رفتن اطلاعات امنيتي از قبيل مسائل محرمانه مالي كاربران انجام مي دهند.

مايكروسافت اعلام كرد براي فاتح شدن به چنين حملاتی نياز به مهندسين مجرب دارد.كمپاني به كاربران سفارش مي كند كه قبل از کلیک کردن بر روی هر URL آنرا چك كنند. همچنین ادعا میکند كه ويندوز XP Service Pack 2 تحت تاثير اين رويداد واقع نشده است.

همچنين اعلام شده است كه HTML ايميلها نيز تحت تاثير تكنيك spoofing قرار گرفته اند بنابراين Outlook Express مايكروسافت هم آسيب پذير مي باشد .

بهترین راه حل برای در امان ماندن از حملات اسپوفینگ آنست که کاربران قبل از اجرای هر آدرسی با راست كليك كردن بر روي لينكها مقصد نهائی آنرا با خود آدرس مطابقت دهند .

كرم Sdbot-SX


Sdbot-QX يك كرو شبكه و در پشتي تروجان مي باشد كه با اجرا شدن در پيش زمينه كامپيوتر به عنوان يك برنامه كاربردي به مهاجم اجازه مي دهد كه از طريق كانال هاي IRC به سيستم آلوده دسترسي داشته باشد.

كرم Sdbot-QX قايليت اين را دارد كه مانند يك در پشتي بربرنامه هايي را بر روي سيستم نصب و اجرا كند.
اين كرم پس از اجرا خودش را با نام BBSBW.EXE در پوشه ويندوز ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا مطمئن شود با اجراي ويندوز كرم نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
كرم خودش را در شبكه هاي share شده كه پسورد ضعيف دارند كپي مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Bagz-F


Bagz-F جزء آن دسته از كرم هاي شبكه است كه از طريق پيغامهاي اينترنتي منتشر مي شود ،و داراي يك در پشتي است كه اجازه مي دهد يك مهاجم فايل هايي را روي سيستم آلوده دانلود و اجرا كند.
اين كرم آدرسهاي ايميل را از فايل هاي TXT, HTM, DBX, TBI وTBB جمع آوري مي كند و ايميلي را به آدرسي كه پيدا كرده و فرستنده ايميل ارسال مي كند.
همچنين برنامه هاي نرم افزاري مربوط به آنتي ويروس را از كار مي اندازد.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

ايميل ارسالي داراي مشخصات زير مي باشد:

موضوع ايميل:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل هاي الحاقي به صورت ZIP:

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل هاي الحاقي به صورت exe:

backup.doc <lots of spaces> .exe
admin.doc <lots of spaces> .exe
archivator.doc <lots of spaces> .exe
about.doc <lots of spaces> .exe
readme.doc <lots of spaces> .exe
help.doc <lots of spaces> .exe
photos.doc <lots of spaces> .exe
payment.doc <lots of spaces> .exe
archives.doc <lots of spaces> .exe
manual.doc <lots of spaces> .exe
inbox.doc <lots of spaces> .exe
outbox.doc <lots of spaces> .exe
save.doc <lots of spaces> .exe
rar.doc <lots of spaces> .exe
zip.doc <lots of spaces> .exe
ataches.doc <lots of spaces> .exe
documentation.doc <lots of spaces> .exe
docs.doc <lots of spaces> .exe
sqlssl.doc <lots of spaces> .exe

كرم Bagz-F يك كپي از فايل هاي بالاو فايل هاي زير در شاخه ويندوز قرار مي دهد :

sysinfo32.exe
ipdb.dll
wdate.dll
jobdb.dll

كرم فايل host ويندوز را تغيير مي دهد تا دسترسي به وب سايت فروشنده هاي آنتي ويروس را غير ممكن كند.

اين كرم فايلي را با نام "Xuy v palto " در مسير "<Windows system folder>\trace32.exe" ايجاد مي كند و مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

همچنين ويروس KaZaA را از طريق پاك كردن مدخل زير در رجيستري از كار مي اندازد:

HKCU\Software\Kazaa\Settings\Quarantine


تروجان Mastseq-D


Mastseq-D يك تروجان در پشتي است كه به طور پيوسته در پيش زمينه ويندوز اجرا مي شود و تعدادي از سرويس ها را براي مهاجم آماده مي كند.
Mastseq-D با استفاده از تزريق كدهاي خود به برنامه مرورگر ويندوز باعث مي شود كه بعد از اجراي برنامه در سطوح دسترسي بالاتر ، اين كرم نيز در همان سطح دسترسي اجرا شود.
اين تروجان اطلاعات را از طريق پورت 80 (HTTP) به مكاني در دور دست ارسال مي كند.و سعي مي كند مدخل زير را از رجيستري حذف كند:
HKLM\Software\Numega\

تروجان دو فايل با نامهاي CHKBYZ.PNF and ZZBMP.APL در شاخه ويندوز ايجاد مي كند كه اين اطلاعات توسط تروجان مورد استفاده قرار مي گيرد و ممكن است بدون آسيب پاك شوند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

سايت سازمان زندانهاي كشور هك شدند!


برخي سايتهاي متعلق به سازمان زندانهاي كشور شب گذشته توسط هكر ايراني هك شدند.
اين هكر كه به نام HU-Cracker Kurd خودش را معرفي كرده است شب گذشته 11 سايت متعق به سازمانهاي زندانها را هك كرد.
اين هكر كه تا به حال اسمي از او شنيده نشده است در شب گذشته صفحه نخست اين سايتها را به كلي تغيير داد و صفحه خود را جايگزين آن كرد.
سرور اين سايتها كه لينوكس مي باشد آسيب پذير بوده و هكر ها به اين مورد اشاره كرده اند و در صفحه خود تهديد كرده كه منتظر حملات بعدي باشيد.
از مطالب نوشته شده در صفحه اول اين سايت ها مشخص مي شود كه هك شدن اين سايت بنا به دلايل سياسي نبوده است.
اما در ايميل ديگري كه به مدير سايت امنيت وب ارسال شده است علت اين كار فشار روحي وارده بر سربازان زندان سنندج بيان شده است. البته مشخص نشده است كه اين ايميل از طرف هكر سايت ها ارسال شده يا خير.

ليست سايتهاي هك شده:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مبارزه‌ي مرورگرDeepnet در برابر حملات phishing


به دنبال ارايه‌ي برنامه‌ي اوليه‌اي از Netscape و عرضه‌ي Firefox 1.0، يك شركت انگليسي، مرورگر وبي ارايه داده كه ادعا مي‌كند از مرورگرهاي Internet Explorer و يا فاير فاكس، ايمن‌تر است.

Deepnet Technologies نسخه‌ي 1.3 مرورگر Deepnet Explorer را عرضه كرده است. اين مرورگر وب رايگان، مبتني است بر IE مايكروسافت، اما داراي ويژگي‌ها و قابليت‌هاي بيشتري است همچون قابليت پشتيباني و حفاظت از كاربران اينترنت در برابر حملات آنلاين و رو به افزايش معروف به حملات phishing است.

Deepnet Explorer، با قرار دادن سايت‌هاي phishing در ليست سياه و تجزيه و تحليل آدرس‌هاي وب و وب سايت‌ها، به دنبال حفاظت از كاربران در برابر چنين حملاتي است. حملات phishing، پيام‌هاي هرزنامه‌ها را با صفحه‌هاي وب كه ظاهري همانند سايت‌هاي تجارت الكترونيكي قانوني دارند، تركيب مي‌كنند تا بدين طريق بتوانند اطلاعات حساس و مهمي مانند اسامي كاربران، رمز عبور آن‌ها و شماره‌هاي كارت اعتباري آنان را سرقت كنند.

سازندگان Deepnet Explorer ادعا مي‌كنند كه مرورگر آن‌ها در مقايسه با IE و يا فاير فاكس، از امنيتي بيشتري برخوردار است، زيرا داراي اخطار phishing و ساير قابليت‌ها و ويژگي‌هاي امنيتي مانند عمليات كنترل محتوا است كه به كاربران امكان مي‌دهد كنترل‌هاي ActiveX و ساير تهديدهاي امنيتي را مسدود و متوقف سازند. همچنين اكثر مشكلات امنيتي IE، بر روي بدنه و ساختار برنامه‌هاي كاربردي تاثير گذار است نه موتور تبديل كننده (rendering) كه توسط Deepnet Explorer نيز مورد استفاده قرار مي‌گيرد.

Thor Larholm، محقق امنيتي ارشد PivX Solutions كه يك شركت خدمات امنيتي است، اعلام كرده است كه سازندگان Deepnet Explorer ادعا مي‌كنند كه اكثر آسيب پذيري‌ها در برنامه‌ي كاربردي IE يافت مي‌شوند نه در موتور تبديل كننده، اما اين گفته با پيدايش صدها آسيب پذيري در موتور تبديل كننده مغايرت دارد.
در حالي كه توليد كنندگان Deepnet ادعا مي‌كنند كه مرورگر آنان بسيار ايمن‌تر از ساير مرورگرهاست، نسخه‌ي 1.3 برنامه‌ي روزآمد ساز، آسيب پذيري‌هاي امنيتي متعددي را برطرف مي‌سازد. همچنين، اين مرورگر جديد در برابر نقص iframe در IE آسيب پذير است.

تنها برتري Deepnet Explorer نسبت به IE، داشتن تحليل‌گر phishing بوده كه دسترسي به سايت‌هاي phishing و URL هايي را كه phishy به نظر مي‌رسند، مسدود مي‌سازد.
هدف ساير ويژگي‌هاي Deepnet Explorer آن است كه مرور و جست‌وجو در وب را خوشايندتر سازند. اين مرورگر شامل مسدودكننده‌ي تبليغات pop-up نيز بوده تا وب سايت‌ها را از باز كردن ساير پنجره‌هاي حاوي تبليغات ناخواسته باز دارد.

Deepnet Explorer همچنين از مرورگرهاي داراي tab پشتيباني مي‌كند. اين مرورگر، يكي از چندين مرورگري است كه با ويژگي‌هاي بهتري نسبت به موتور مرورگر IE مايكروسافت ساخته شده است. Deepnet Explorer از طريق آدرس [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] قابل دانلود است

كرم Mofei-E

Mofei-E كرم شبكه است كه مانند در پشتي عمل مي كند و در شبكه هاي share شده با پسورد ضعيف منتشر مي شود
كرم به واسطه تزريق كردن خود در برخي برنامه هاي ويندوز خودش را از ديد كاربر پنهان مي كندو خودش را مانند يكي از سرويسهاي ويندوز اجرا مي كند.
پس از اجرا كرم خودش را با نام ALERTER.EXE در پوشه ويندوز ذخيره مي كند و دو فايل با نام هاي SPC.EXE وSPTRES.DLL در سيستم نصب مي كند كه به نام ويروس Mofie-M شناخته مي شود.
همچنين اين كرم فايلي ديگر به نام SPC.EXE و SPTRES.DLL را با تزريق در مرورگر ويندوز اجرا مي كند تا جاسوسي كاربر را كند.
SPTRES.DLL سعي مي كند كرم را به share هاي ADMIN$ و IPC$ كپي كند.
Mofie-E مدخل هاي زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\SYSTEM\ControlSet<number>\Services\Alerter \ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
اين كرم همچنين خودش را به صورت يكي از سرويس هاي ويندوز به نام netlog در ويندوز اجرا مي كند كه به نام Net Login Helper ديده مي شود كه فايل SCARDSER.EXE را اجرا مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet<number>\Services\Alerter \ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

AOL امكانات امنيتي جديد ارايه مي‌دهد

نيويورك- شركت آمريكا آنلاين در برابر افزايش تهديدهاي امنيتي آنلاين، در حال بسته بندي ويژگي‌هاي جديدي براي مبارزه با ويروس‌ها، هرزنامه‌ها و نرم‌افزار جاسوسي است.
مشتركان مي‌توانند ابزارهاي رايگان را از طريق دانلود كردن نرم‌افزار جديدي به نام AOL 9.0 Security Edition كه از روز پنجشنبه قابل دسترس خواهد بود، مورد استفاده قرار دهند.
Danny Krifcher، نايب رييس اجرايي خدمات آمريكا آنلاين گفته است: « هنگامي كه اعضا با مسئله‌ي اجراي برنامه‌اي در كامپيوتر مواجه مي‌شوند، اين طور تصور مي‌كنند كه به واقع با مشكل اجرايي روبرو شده، اما چيزي كه در حقيقت گرفتار آن شده‌اند، ويروس و يا نرم‌افزار جاسوسي است.»
AOL 9.0 Security، جديدترين نسخه‌ي نرم‌افزار آمريكا آنلاين بوده كه نرم‌افزار ضد ويروس مكافي و برنامه‌هاي به روز رساني خود را براي مشتركان dial-up و با سرعت بالا فراهم مي‌سازد.
تأكيد جديد بر امنيت، به دنبال تلاش موفقيت آميز آمريكا آنلاين طي يكسال گذشته براي مبارزه با هرزنامه و ايميل‌هاي تبليغاتي صورت پذيرفته است كه موجب ايجاد اختلال و آشفتگي در ميل باكس بيش از بيست ميليون مشتري مي‌شده‌اند. اين شركت با استفاده از فيلترهاي جديد و ارايه‌ي قوانين جديد ضد هرزنامه، با مشكلات موجود به مقابله و مبارزه پرداخته است.
Jonathan F. Miller، مدير اجرايي آمريكا آنلاين اعلام كرده است كه نسخه‌ي جديد نرم‌افزار AOL مي‌بايد از مشتركان در برابر نرم‌افزارهاي جاسوسي موجود بر روي كامپيوترهاي شخصي آن‌ها، پشتيباني و حفاظت كند.
اين بسته‌ي نرم‌افزاري جديد شامل امكانات ذيل است:

1- نرم‌افزار ضد ويروس شركت مكافي به همراه برنامه‌هاي به روز رساني رايگان و خودكار. در گذشته، فراهم كردن چنين پشتيباني از طريق AOL، 2.95 دلار در ماه، هزينه به دنبال داشته است.
2- پشتيباني در برابر نرم‌افزار جاسوسي. پيش از اين، اسكنر نرم‌افزار جاسوسي آمريكا آنلاين تنها يكبار در هفته اجرا مي‌شده است. هم‌اكنون، يك SpyZapperجديد، هر زمان كه كاربران برنامه‌هاي مخرب را دريافت كنند، حافظه‌ي كامپيوتر را بررسي مي‌كند.
3- كنترل هرزنامه‌ها. براي كنترل تعداد ايميل‌هاي قانوني و مجاز كه به اشتباه پاك مي‌شوند، ----- هرزنامه هم‌اكنون تنظيمات بالا، متوسط و پاييني فراهم مي‌كند. اين ----- همچنين پيام‌هاي فوري ناخواسته را متوقف و مسدود مي‌سازد.
4- مسدود كننده‌ي تبليغات pop-up. اين برنامه، تبليغات رسانه‌اي را كه در سراسر صفحات وب وجود دارند، مسدود مي‌كند.
5- كنترل‌هاي والدين. والدين قادر خواهند بود اشخاصي را كه فرزندانشان مي‌توانند پيام‌هاي فوري با آن‌ها رد و بدل كنند، محدود سازند.

براي مبارزه با سرقت اطلاعات شخصي و هويتي، آمريكا آنلاين همچنين با آژانس اعتباري Experian همكاري كرده تا سرويسي ارايه دهد كه مشتركان هنگامي كه از كارت‌هاي اعتباري‌شان بيش از حد مجاز استفاده شده، با خبر گردند.

Sybari، محصولات امنيتي براي IM و SharePoint ارايه مي‌كند

Sybari Software، يك Antigen 8.0 را براي SharePoint مايكروسافت و Antigen 8.0 ديگري براي سرويس پيام فوري ارايه كرده است. اين دو محصول ضد ويروس، ضد هرزنامه و نرم‌افزار امنيتي ----- كردن محتوا براي محيط‌هاي سازماني در نظر گرفته شده است.
Joe Licari، مدير مديريت محصول در Sybari گفته است كه هر دوي اين محصولات در محيط‌هاي جديد بسياري از فروشگاه‌هاي آي‌تي قرار مي‌گيرند.
Antigen 8.0 براي SharePoint مايكروسافت براي شركت‌هايي طراحي شده است كه از سرور پورتال SharePoint مايكروسافت براي ارتباط و اتصال با تامين كنندگان، مشتريان و همكاران از طريق مبادله‌ي اسناد و مدارك و ساير هوشمندي‌هاي تجاري استفاده مي‌كنند.
وي در ادامه افزوده است كه از آن جايي كه شركت‌ها بر محصولاتي چون SharePoint مايكروسافت تكيه دارند، نياز و لزوم ايمن كردن اين منابع، امري مهم و ضروري محسوب مي‌شود. اين امر در مورد Antigen 8.0 براي سرويس پيام فوري نيز صدق مي‌كند.
Licari گفته است: « سرويس پيام فوري توسط بسياري از بخش‌ها حتي بدون اطلاعات آي‌تي مورد استفاده قرار مي‌گيرد. اين محصول براي آن طراحي شده تا به مديران آي‌تي امكان دهد بدون آسيب رسيدن به كارايي سرويس پيام فوري، آن را ايمن سازند.»
نسخه‌ي جديد Antigen 8.0 براي SharePoint مايكروسافت شامل امكان تهيه‌ي گزارش و بررسي كليدي اسناد و مدارك و قابليت‌هاي ويژه‌ي روز آمد سازي است.
نسخه‌ي جديد Antigen 8.0 براي IM شامل پشتيباني براي Live Communication Server 2005 مايكروسافت، قابليت بررسي محتواي اسناد و مدارك و تكنولوژي بهبود يافته‌ي به روز رساني موتور بررسي است. IM يكي از ابزارهاي مهم براي ارتباطات شخصي و كاري محسوب مي‌شود.
نود درصد از سازمان‌ها گزارش داده‌اند كه كاربران آن‌ها به برنامه‌هاي كاربردي سرويس پيام فوري (IM) دسترسي دارند.
محصولات جديد در پيش گفته شده، به زودي قابل دسترس خواهند بود. هزينه‌ي اين محصولات بستگي به سايز و پيكربندي شبكه دارد.

ويروس Primat-C

Primat-C ويروسي است كه از طريق شبكه هاي P2P و شبكه هاي share شده بدون محافظ منتشر مي شود.
ويروس سعي مي كند فايل هايي با پسوند هاي EXE, SCR or PIF را در پوشه هاي زير آلوده كند:

Network shares named "C" on randomly-chosen IP addresses
The Kazaa "DownloadDir"
The top folder of any valid drives
اين ويروس آموزش مخصوص مي بيند كه فايل هاي زير را در share هاي قابل دسترس كه "C\Windows" ناميده مي شود، آلوده كند:
Rundll32.exe
Scanregw.exe
همچنين يك كپي از خودش با نام msdis.dll در پوشه temperory ويندوز ايجاد مي كند و اگر در 18th هر ماه اجرا شود به صورت يك عكس bitmap نمايش داده مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
به علت اينكه اين كرم خودش را در بسياري از Share هاي ويندوز كپي مي كند بنابراين براي پاك كردن آن حتما از آنتي ويروس هاي به روز شده استفاده كنيد.


كرم Sober-I

كرم Sober-I جزء آن دسته از كرم هاي خانواده Sober مي باشد كه خودشان را به وسيله پيغام هاي اينترنتي در سيستم هاي ويندوزي منتشر مي كنند و آدرسهاي ايميل را از فايل هايي با پسوند هاي زير جمع آوري مي كند:

PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VC CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX

كرم پس از اجرا پيغام خطايي قلابي را با عنوان "WinZip Self-Extractor" نمايش مي دهد كه متن آن "WinZip_Data_Module is missing ~Error:..." مي باشد و هنگامي كه اين پيغام را نمايش مي دهد فايل هاي زير را در پوشه ويندوز ايجاد مي كند:

Odin-Anon.Ger
clonzips.ssc text-ascii
clsobern.isc text-ascii
cvqaikxt.apk
dgssxy.yoi
diagdatacrypt.exe win-pack-hackupx
expolerlog.exe win-pack-hackupx
nonzipsr.noz
sysmms32.lla
winroot64.dal
winsend32.dal
zippedsr.piz text-ascii

سپس خودش را با فايلي با پسوند EXE و نامي تشكيل شده از كلمات زير در پوشه ويندوز كپي مي كند:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service,smss32
همچنين مدخل زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد حال فايل اشاره شده را نيز در پوشه Startup ويندوز پيدا كنيد و پاك كنيد. دوباره سيستم خود را راه اندازي كنيد.


شرح اضافه:
كرم ممكن است ايملي را با مشخصات زير ارسال كند:
موضوع:
FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

متن پيغام:

Message Text for Subject ''Oh God'':

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

Message Text for delivery failure subject lines:contructed from

This mail was generated automatically.
More info about --<random name>-- under: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

<random ip><random error message1>
# <random number>: <randomly chosen error message2>

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

_does_not_like_recipient.
_does_not_like_sender

پيغام احتمالي خطا2:

This_account_has_been_discontinued_[#144].
mailbox_unavailable
Remote_host_said:_delivery_error
Giving_up_on_53.32.183.90.
MAILBOX NOT FOUND

پيغام قلابي آنتي ويروس:

*-*-* Mail_Scanner: No Virus
*-*-* <random name>- Anti_Virus Service
*-*-* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>
(See attached file: <random filename>.zip)

متن پيغام1:

Diese E-Mail wurde automatisch generiert.
Mehr Informationen erhalten Sie unter [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

Folgende Fehler wurden aufgezeichnet:
<random ip><random error message1>
# <random number>: <randomly choosen error message2>

STOP mailer

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

Remote_host_said: _Requested_action_not_taken
_delivery_error

پيغام احتمالي خطا2:

mailbox_unavailable3oes not like

پيغام قلابي آنتي ويروس:

Anti_Virus: Es wurde kein Virus gefunden
Anti_Virus Service

متن پيغام2:

Da Sie uns Ihre Persoenlichen Daten sugesandt haben ist das Password
Ihr Geburts-Datum Viel Vergnuegen mit unserem Angebot!

*****

Im I-Net unter: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

متن پيغام 3:

Aus Datenshutzrechtlichen Gruenden darf die vollstaendige E-Mail incl. Daten
nur angehaengt werden

da unsere Datenbank leider durch einen Programm Fehler zerstoert wurde,
mussten wir leider eine Aenderung bezueglich Ihrer Nutzungs-Daten vornehmen.
Ihre geanderten Account Daten befinden sich im beigefuegten Dokument.

Weitere Informationen befinden sich im Anhang dieser Mail.

فايل ارسالي ممكن است از پسوند هاي زير انتخاب شود:

ZIP, PIF, SCR, BAT, COM.

هـــك ، آخرين ابزار رقابت


همكاران : فرض كنيد شركت رقيب شما يك ابزار بر پايه وب بسيار قوي دارد كه بسياري از مشتري هاي شما از آن استفاده مي كنند. شما در جواب آن چه مي كنيد ؟
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟

تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!

در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !

Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.

بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.

اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.

صداي آشنا ؟

همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.

بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.

جاسوسي اقتصادي

به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.

نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.

فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.

از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.

بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.

دومين ويروس كارت كريسمس به كاربران حمله كرد

نويسندگان ويروس ، امروز ويروس را از طريق ايميل منتشر كردند كه حاوي يك كارت كريسمس بوده است.
شركت هاي ضد ويروس ، ويروسي ديگر را كشف كردند كه از طريق ايميل خودش را منتشر مي كند.


طبق گفته شركت آنتي ويروس F-Secure ، كرم Attack-H كه از طريق ايميل خودش را منتشر مي كند ، حاوي يك كارت كريسمس مي باشد تا بدين وسيله كاربران را قانع كند كه ميل حاوي ويروس را باز كنند.


به گفته مدير بخش امنيتي F-Secure ايمن گونه ايميل ها داراي خطرهاي متفاوتي مي باشند در اصل بايد گفت كه هيچ خطري در ديدن اين كارت كريسمس وجود ندارد و خطر در جايي است كه كاربران فايل هاي الحاقي به اينگونه ايميل ها را باز مي كنند.


اين كرم همچون كرم Zafi عمل مي كند و خودش را به تمامي ايميل هايي كه در كتابچه آدرس كاربران وجود دارد ارسال مي كند.اما بر خلاف چند زبان بودن كرم Zafi ، اين كرم فقط خودش را به زبان انگليسي به ديگران ارسال مي كند.


اين كرم حاوي يك تروجان نيز مي باشد. اين تروجان ها اغلب براي دادن دستوراتي از راه دور روي سيستم هاي آلوده استفاده مي شوند.

رکورد جدید ویروسهای رایانه ای در ژاپن اعلام شد

موسسه Trend Micro در گزارشی شمار ویروسهای رایانه ای منتشر شده در سال 2004 در ژاپن را،63 هزار و 657 هزار اعلام کرد.

موسسه Trend Micro یک موسسه رسمی ژاپنی و بانی حفظ آمار های اینترنتی اعلام کرده است که رکورد سابق ویروسهای اینترنتی 47 هزار و 607 مورد بوده است ، در حالیکه این شمار در سال جاری 63 هزار و 657 مورد است.

موسسه Trend بنا بر گزارشهای سازندگان نرم افزارهای ضد ویروس شمار ویروسهای رایانه ای را به طور سالیانه با کمک آماری که مقامات رسمی امنیتی در ژاپن اعلام می کنند را بسیار مستدل بیان می کنند.

این موسسه اعلام کرده است که شمار ویروسهای کشف شده در سال 2004 نسبت به سالهای گذشته بسیار زیاد بوده است.