ويروس شناسي!

و يروسي براي کاربران eBay

83.8.6
متخصصان مسائل امنيتي از کشف ويروسي خبر دادند که در قالب يک نامه الکترونيک براي کاربران ebay ارسال مي شود.

در اين نامه که ظاهراً از سوي سايت مشهور ebay براي کاربران ارسال مي شود چنين ادعا شده که اين سايت خواستار انجام يک پژوهش در ميان کاربران خود است که شرکت در آن جوايزي را نيز به دنبال دارد.

اين نامه همچنين داراي يک ضميمه آلوده به نام Login.exe است که اجراي آن امکان دسترسي ويروس نويسان به اطلاعات شخصي افراد را فراهم مي آورد.

کارشناسان خطر اين ويروس را بسيار بالا ارزيابي کرده اند.

راهي جديد براي مبارزه با ويروس هاي آن لاين

83.8.8
گروه دانش: محققان پيش بيني كرده اند اگر زمان تأخير پخش ويروس هاي كامپيوتري به كمتر از سه ساعت كاهش پيدا كند، ميزان تأثير ويروس هاي آن لاين به حداقل مي رسد. به گزارش پي سي ورلد، تحقيقات اخير دانشمندان بيانگر آن است كه يك ويروس كامپيوتري براي تأثيرگذاري كافي به بيش از سه ساعت زمان نياز دارد و اگر طراحان برنامه هاي ضد ويروس بتوانند زمان تأخير پخش را به كمتر از سه ساعت برسانند، ميزان تأثير ويروس هاي ايميلي و آن لاين به كمترين مقدار خود خواهد رسيد و چه بسا از بين مي رود.
تاخير زمان پخش ويروس ها هم اكنون ۱۰ ساعت است.
الكس شيب، متخصص فناوري نرم افزارهاي ضد ويروس مي گويد: برنامه هاي خراب كارانه شديداً دچار تحول شده، اما نرم افزارهاي ضدويروس همچنان برپايه الگوهايي استوار است كه ۲۰ سال پيش طراحي شده است.
تحليلگران مركز تحقيقاتي IDC سه ماه قبل طي گزارشي اعلام كردند با توجه به گسترش سريع ويروس هاي پيچيده و مخرب انتظار مي رود سازمان ها به طور فزاينده اي به تكنيك ها و برنامه هاي شناسايي و انهدام ويروس روي بياورند.

تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:

service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

كرم Krogo-Q

83.8.9
Korogo-Q كرم شبكه و كرمي است كه در سيستم هاي ويندوزي منتشر مي شود.كرم از طريق جستجوي سيستم و يافتن آسيب پذيري LSASS منتشر مي شود.

كرم Korogo-Q براي در يافت دستورات به يك پورت تصادفي گوش مي دهد.كرم IP هاي تصادفي را پيدا مي كند و سعي مي كند از طريق نيرنگ به port 445 روي كامپيوتر قرباني متصل شود .هر كامپيوتري كه آسيب پذيري LSASS داشته باشد به كامپيوتر آلوده متصل شود يك كپي از كرم را دانلود خواهد كرد و سپس با اجراي آن سيستم را آلوده خواهد كرد.

Korgo-Q همچنين به چندين URL ارتباط برقرار مي كند وآنها را از آلوده كردن سيستم قرباني آگاه مي سازد. برخي از اين URL ها سايت هاي آنتي ويروس و بانكهاي الكترونيك مي باشند.

اين كرم همچنين خود را به نامهاي تصادفي و با پسوند MSC در پوشه سيستمي ويندوز كپي مي كند.

همچنين يك فايل DLL را نيز با يك نام تصادفي در پوشه سيستم كپي مي كند.

براي اينكه Korgo-Q فايل DLL را اجرا كند آنها را به عنوان يكي از اشياي مرورگر ويندوز در سيستم ثبت مي كند و مدخل هاي زير را به همين منظور ايجاد مي كند:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

كرم همچنين مدخل زير را نيز ايجاد مي كند :



HKLM\SOFTWARE\Microsoft\DataAccess\Database

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3- اصلاحيه هاي مايكروسافت نيز نصب گردد.

4 -روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

حفره امنیتی خطرناک در RealPlayer


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

83.8.9
سایت امنیتی eEye Digital به آسیب پذيري مهمی در RealPlayer پي برده است كه به هكرها امكان مي دهد مجموعه اي از داده هاي اختياري را با كدهاي اختياري در متن اجرايي كاربران RealPlayer اجرا كنند.

در این نوع آسیب پذیری skin فايل RealPlayer يا (.rjs) مي تواند دانلود شود و بدون اجازه كاربر در سراسر جستجوگر وب به طور اتوماتيك اجرا شود.
skin فايلها مجموعه اي از گرافيك و فايل .ini ذخيره شده باهم در فرمت ZIP مي باشند.DUNZIP32.DLL, كه RealPlayer را در بر مي گيرد در استخراج مندرجات skin فايلها استفاده مي شود. وقتي كه فايل (.rjs) داراي نام فايل طولاني ( بزرگتر از 0x8000 بايت) باشد در RealPlayer و جستجو گر وب باز نمي شود و به توده اي از buffer ها امكان دزديدن برنامه هاي ثبت شده ورودي , خروجي استثنائي را مي دهد.

راه حل و چاره سازي :
RealNetwork براي اين آسيب پذيري patch هايي منتشر كرده است كه از طريق منوی "Check for Update " در زير Tools ، در منو بار RealPlayer و از طریق گزينه " Security Update - Skin File Overflow " قابل دسترسي است و بهتر است كه خود Player نيز آپديت شود.

سيستم هاي تحت تاثير واقع شده RealPlayer 10.5 (6.0.12.1053 and earlier) RealPlayer 10 RealOne Player v2 RealOne Player v1 در ويندوز مايكروسافت میباشند .

تروجان Ariel-A


Ariel-A يك تروجان در پشتي در سيستم هاي ويندوزي است .كرم خودش را در پوشه ويندوز با نام REGCXCOMPFTP.EXE ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا در هنگام شروع ويندوز تروجان نيز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

Ariel-A كليد هاي سيستم را ثبت مي كند و در ميان آنها به دنبال پسورد هاي بانك هاي برزيلي مي گردد.

اين تروجان همچنين دستوراتي را از راه دور مي تواند دريافت كند.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

حمله به گوگل , مايكروسافت و وب سايت نخست وزير مجارستان

83.8.10
در روز چهارشنبه ورژن جديدي از كرم Zafi با نام Zafi.C گزارش شد كه كه برعكس ورژنهاي قبلي Zafi ، كد دار بوده و قصد روانه كردن حمله DDoS در برابر گوگل , مايكروسافت و وب سايت نخست وزير مجارستان را دارد .
اولين نوع ورژن كرم Zafi كه به متن مجارستاني بود و Zafi.A نام داشت در آپريل امسال كشف شد وسعي در فرستادن خودش به آدرس ايميلهاي مجارستان داشت, اما زياد مخرب نبود.
دو ماه بعد Zafi.B منتشر شد واين بار كرم قادر به محدود كردن عملكردهاي آنتي ويروسها و فايروال بود و به زبانهاي زيادي از جمله انگليسي , اسپانيايي , روسي و سوئدي صحبت مي كرد.
Mikko Hyppönen رئيس آنتي ويروس F-Secure مي گويد : كرم Zafi.C خيلي بدتر و وخيم تر از Zafi.B هست و مي تواند مزاحمت هاي زيادي را ايجاد كند, اگر چه از ويراني هاي اين كرم خيلي كم گزارش به ما رسيده است.
Zafi.C بازتاب خبري بزرگي در مجارستان بر پا كرده است .كرم Zafi.C آدرس بوك ويندوز و ايميل آدرسها را آلوده كرده است .
Paul Ducklin, کارشناس ارشد Sophos مي گويد اين ويروس فعلا در سطح پاييني از آلودگي قرار دارد و در استراليا و بيشتر جاها گزارش زیادی از آلودگي نداشته ايم. وي مي افزايد ، قابل توجه است كه ماهانه حدود 1000 ويروس جديد گزارش مي شود كه این یعنی تقريبا هر 45 دقيقه يك ویروس!!
چهار شنبه روز پر مشغله اي براي كمپاني هاي آنتي ويروس بود, آنها نوع جديدي از كرم MyDoom و نوع ديگري از كرم Agobot را نیز كشف كردند كه از سرور Internet Relay Chat (IRC) براي دستيابي هكرها در آلوده كردن سيستمها استفاده مي كنند.
Ducklin اضافه كرد كه اين سیصد و پنجاهمین ورژن Agobot مي باشد.
SuSE از وجود حفره‌ي امنيتي در هسته‌ي لينوكس خبر مي‌دهد .
مشخصات اون رو در چند روز آینده همینجا ببینید .

هك شدن 1000 سايت اينترنتي توسط تيم آشيانه


بنابر ایمیل رسیده از سایت آشیانه ، این تیم شنبه شب حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. توجه شما را به متن ایمیل ارسالی جلب مینمائیم :

با سلام و عرض احترام خدمت مدیران سایت های خبری و IT کشور.
من یکی از مدیران تیم امنیتی آشیانه هستم.

در پروژه جدید، تیم آشیانه شنبه شب مورخ 83/8/9از ساعت 30/8 شب تا 30/1 بامداد حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. این هزار سایت توسط سه تن از اعضای تیم آشیانه یعنی "Behrooz Ice" & "Lucifer" & "Q7X" هک وDeface شد.

رکورد تعداد سایت های هک شده در یک روز با این کار شکسته شد که البته رکورد قبلی یعنی هک 600 سایت نیز در اختیار همین تیم بود.

اینکار فقط بخاطر بی تفاوتی مسئولان این سرور به مقوله امنیت و Security سرور Windows خود و تذکر به آنها انجام شد. هیچ خسارتی به این سرور وارد نشده و اطلاعاتی پاک نشده است، تنها صفحهIndex (اصلی) سایت ها با صفحه هک ما جایگزین شده است.

این کار توسط باگی مربوط به ضعفASP انجام شد و ما توانستیم با دور زدن Permission این سرور به سایت های Host شده بر روی آن دسترسی پیدا کنیم. ما دسترسی کاملی بر روی این سرور داشتیم. به علت زیاد بودن تعداد سایت ها مجبور به نوشتن برنامه ای شدیم که به صورت اتوماتیک عملیات Deface کردن را انجام بدهد.


در این لیست اسم سایت های معروفی همچون سایت توسعه صنعت پارس - سایت اداره کل بازرگانی مازندران - سایت بانک هندوستان - سایت iranmusiccenter.com - سایت horizondiamonds.com - سایت ایران E-Cards و چندین سایت در رابطه با تجارت الماس ... به چشم می خورد.

این سرور یک سرور بزرگ بین المللی در آمریکا بود که از ویندوز 2000 سرور SP 4استفاده می کرد و بر روی آن 1000 سایت از کشورهایی نظیر آمریکا – اسراییل – هند – نیوزلند – پاکستان – امارات – عربستان – ایران – عمان و چند کشور دیگر قرار داشت.

لینکhtml ای که جایگزینindex این سایت ها شده است:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لینک لیست کامل سایتهای هک شده:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

امیدواریم روزی برسد که مدیران سرورها بیشتر به امنیت سرور خود توجه کنند.

ممنون و موفق باشید
گروه امنیتی آشیانه

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

طوفان نسخه هاي جديد كرم Bagle و ارائه ابزار پاکسازی آن


كرم Bagle با سه ورژن جديد و متفاوت براي فریب دادن آنتي ويروسها در رديابي ، با سرعتی زیاد از كما بازگشته است.

سه كمپاني بزرگ آنتي ويروس McAfee, Symantec و Sophos گزارش دادند كه از تعداد زيادي از ورژن هاي جديد Bagle جلوگيري كرده اند و از كاربران خواستند كه حتما آنتي ويروس كامپيوترهايشان را آپديت كنند.
McAfee فقط در روز پنجشنبه حدود 200 بار Bagle.bb را گزارش كرده است اما دونوع ديگر Bagle.bc و Bagle.bd فقط دو بار ديده شده اند.

ورژن هاي جديد تقريبا يكسان هستند اما با كاهش نشانه هاي ويروس براي گول زدن برنامه هاي آنتي ويروس ، متفاوت از نمونه هاي قبليBagle مي باشند .

Sophos نيز اعلام كرد هزاران گزارش از Bagle.bb كه با نام Bagle.au خوانده مي شود داشته است اما دو ورژن جديد ديگر كمترين شدت را داشته اند.ورژن هاي جديد Bagle در ايميلهايي از آدرس منابع جعلي و با موضوعات مبهمي از قبيل Re:Hello, Re: Thank you! و Re: مي آيند.

سیمانتک جهت پاکسازی انواع کرم یاد شده Remover آنرا آپدیت نموده که آخرین نسخه آنرا میتوانید از لینک زیر دریافت نمائید :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Bagle چی میگه اصلا .......

نسخه‌هاي جديد كرم Bagle بر روي اينترنت منتشر شده و شركت‌هاي ضد ويروس شروع به هشدار دادن به مشتريان درباره‌ي اين تهديد جديد و روزآمد ساختن نرم‌افزارها براي شناسايي اين كرم‌هاي جديد كرده‌اند.
سه گونه‌ي جديد از كرم Bagle توسط شركت‌هاي ضد ويروس مشاهده شده كه هر كدام مشابه نسخه‌هاي قديمي‌تر اين كرم بوده‌اند كه ابتدا در ماه ژانويه به اينترنت حمله كرده و از طريق فايل‌هاي پيوست آلوده در ايميل‌ها منتشر گشته‌اند.
شركت مكافي، دو مورد از اين كرم‌هاي جديد را از نظر خطرناك بودن در رده‌ي متوسط قرار داده است. ساير فروشندگان ضد ويروس از جمله Symantec و Sophos PLC نيز گزارش‌هايي درباره‌ي جلوگيري از بسياري از نمونه‌هاي اين كرم جديد منتشر و به مشتريان توصيه كرده است كه در اولين فرصت، نرم‌افزارهاي ضد ويروس خود را روزآمد سازند.

تيم پاسخ به فوريت‌هاي ضد ويروس مكافي اولين نمونه‌ي كرم Bagle.bb را كه يكي از گونه‌هاي جديد منتشر شده، شناسايي كرده است. سپس اين شركت در حدود 200 گزارش درباره‌ي اين ويروس دريافت كرده و از انتشار دو مورد ديگر با نام‌هاي Bagle.bc و Bagle.bd جلوگيري كرده است.

شركت مكافي، كرم‌هاي Bagle.bb و Bagle.bd را بر اساس تعداد گزارش‌هاي دريافت شده، از لحاظ خطرناك بودن در رده‌ي متوسط قرار داده است.

گونه‌هاي جديد اين كرم تقريباً با يكديگر يكسان بوده، اما از نسخه‌هاي متفاوت كه با عنوان يك برنامه‌ي بسته‌بند (packer) شناخته مي‌شوند استفاده مي‌كنند تا اندازه‌ي ويروس را تغيير داده و profile جديدي ايجاد كند كه بتواند برخي از برنامه‌هاي ضد ويروس را فريب دهد.

محققان ويروس در شركت Sophos، هزاران گزارش از ويروس Bagle.bb را از سوي مشتريان دريافت كرده‌اند. اين شركت، كرم جديد را Bagle.au ناميده است.

اولين كرم Bagle در تاريخ نوزدهم ژانويه منتشر شده است. از آن زمان تاكنون، بيش از چهل نسخه از اين كرم شناسايي شده‌اند. همانند نخستين كرم، تمامي نسخه‌هاي منتشر شده سيستم‌هاي اجرا كننده‌ي ويندوز مايكروسافت را مورد هدف قرار داده، آدرس‌هاي ايميل را از ماشين‌هاي آلوده جمع آوري مي‌كنند و از پروتوكل انتقال ايميل خود (SMTP) استفاده مي‌كنند تا از اين طريق ايميل‌هاي آلوده به ويروس را به آدرس‌هاي ياد شده ارسال كند.

گونه‌هاي مختلف كرم Bagle از طريق ايميل‌هاي فريبنده و يا آدرس‌هاي منبع ساختگي و با موضوعاتي مبهم و نامشخص مانند "Re:Hello"، "Re:Thank you!" و "Re:Hi" منتشر مي‌شوند.

با وجود تعداد بسيار كپي‌هاي اين ويروس، Sophos گزارش‌هاي اندكي از از سوي مشتريان آلوده شده دريافت كرده است.

Graham Cluley، مشاور عالي رتبه‌ي تكنولوژي در شركت Sophos گفته است: « نرم‌افزارهاي ضد ويروس را مي‌توان روزآمد ساخت، اما مغز و فكر مردم را نمي‌توان patch كرد. كاربران بايد بدانند پيش از باز كردن پيوست ايميل‌ها بر روي كامپيوترهاي خود، كمي تآمل و تفكر كنند