Security News : اخبار و هشدارهاي امنيتي

[mahdishata]

گزارش‌هاي جداگانه دو شركت امنيتي حاكيست وب‌سايت‌هاي وابسته به وزارت خزانه‌داري آمريكا در حال انتشار نرم‌افزار مخرب هستند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، بر اساس گزارش Panda Labs، وب‌سايت‌هاي bep.gov و moneyfactory.gov به كمك آي فريم تزريق شده در آن‌ها نرم‌افزار مخرب را به بازديدكنندگان منتشر مي‌كنند.

اين آي فريم‌ها تلاش مي‌كنند به‌صورت پنهاني يكي از كيت‌هاي بهره‌برداري "النور" را بارگذاري كنند كه تشخيص مي‌دهد بهترين راه حمله به سيستم كدام است.

طبق اعلام محققان Panda، به‌محض دسترسي كاربران به وب‌سايت خزانه‌داري آمريكا، آي فريم كاربران را به سرورهاي موردنظر هدايت مي‌كند كه كاربران را به مرحله دوم حمله مي‌برند. به گفته اين محققان، اين كيت بهره‌برداري از جاوااسكريپت براي آلوده كردن سيستم كاربران استفاده مي‌كند.

هم‌چنين محققان شركت AVG كشف كرده‌اند كه اين اسكريپت به گونه‌اي نوشته شده تا در سايت‌هاي آلوده هر رايانه را تنها يك بار هدف حمله قرار دهد.

[mahdishata]

نوع جديدي از يك ورم قديمي در حال انتشار در ياهومسنجر است كه امكان كنترل رايانه‌هاي آلوده شده به اين بدافزار را براي هكرها فراهم مي‌كند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، يك پيام فوري با صورتك خندان و همراه با عكس لينك شده‌اي كه ظاهرا ازسوي يك دوست ارسال شده، درواقع ورمي است كه در حال انتشار در ياهومسنجر است.

محققان در شركت‌هاي BitDefender ،BKIS و سيمانتك به صورت جداگانه به كاربران ياهومسنجر درباره حمله اين ورم كه به سرعت در حال گسترش است، هشدار داده‌اند.

تيم امنيتي BitDefender در روماني از زمان شناسايي آن در هفته گذشته شاهد نرخ آلودگي 500 درصد در ساعت به اين ورم در اين كشور بوده است.

اين ورم كه از سوي اين شركت‌ها به نام‌هاي Palevo ،W32.Ymfocard.fam.Botnet و W32.Yimfoca شناسايي شده نوع جديدي از يك ورم قديمي است كه كاربر را براي ذخيره كردن يك فايل تصويري كه درواقع يك كد مخرب است، فريب مي‌دهد.

طبق گزارش BitDefender، اين ورم حامل بك دوري است كه به هكرها امكان مي‌دهد براي نصب نرم‌افزارهاي مخرب بيش‌تر، سرقت فايل‌هاي اطلاعات، ردگيري كلمات عبور، ارسال هرزنامه يا حملات مخرب به سيستم‌هاي ديگر كنترل كامل رايانه آلوده را به دست بگيرند.

اين ورم هم‌چنين از طريق سايت‌هاي اشتراك‌گذاري نقطه به نقطه مانند Kazaa و LimeWire نيز منتشر مي‌شود و پس از نصب شدن در رايانه كاربر به نوعي خود را تنظيم مي‌كند كه پس از هر بار راه‌اندازي شدن رايانه اجرا شود و به‌صورت خودكار خود را به تمامي افراد موجود در فهرست تماس‌هاي كاربر ارسال مي‌كند.

[satttanism]

اخیراً نوع کرم اینترنتی مشاهده شده که با استفاده از نرم­افزار یاهو مسنجر، در حال گسترش است. نویسندگان این کرم برای افزایش شمار قربانیان خود، از تکنیک ­های مهندسی اجتماعی استفاده می­کنند.
گروه امنیت رایانه­ای ویتنامی Bkis که ضدویروس BKAV را تولید می­کند، این کرم نوظهور را تجزیه و تحلیل نموده است.
بنا به گزارش Softpedia.com این کرم از طریق هرزنامه منتشر می­شود و رایانه قربانیان خود را در یک شبکه بات­نت عضو می­کند.
از رایانه­ های آلوده، لینک مخربی به تمام دوستان کاربر ارسال می گردد. این لینک، به سایت http://[rogue_domain_name]/image.php اشاره می­کند.
مراجعه به این سایت و بازدید از آن، مساوی است با دانلود یک فایل اجرایی مخرب به نام IMG87654.JPG-www.myspace.com.exe. شماره­های پس از IMG ممکن است تغییر یابد.
بر اساس این گزارش، استفاده از نام مای ­اسپیس، ترفندی برای فریفتن کاربران است.
پس از اجرای این بدافزار، فایلی به نام infocard.exe در دایرکتوری ویندوز شروع به فعالیت کرده و کلیدهای startup registry را تغییر می­دهد.
بنا به گفته Bkis این نوع حمله چیز جدیدی نیست و پیشتر نیز برخی کرم­ها از همین شیوه برای حملات خود استفاده کرده­اند.
Bkis در ادامه خاطرنشان کرده است که با این حال، کرم یادشده و عملیات تخریبی آن می­تواند برای کاربران ناآگاه خطرآفرین باشد. کاربران یاهو مسنجر باید با بالا بردن سطح هوشیاری خود، به هنگام دریافت لینک­های ناشناخته – حتی از سوی دوستان خود – با احتیاط عمل کرده و همواره ضدویروس خویش را نیز بروز نگه دارند.

sgnec.net

[satttanism]

خرابكاران با استفاده از فنون مهندسي اجتماعي و نام adobe به فريب كاربران پرداخته و رايانه آنها را آلوده مي سازند.

شركت امنيتي Red Condor در مورد يك بدافزار جديد كه با سوءاستفاده از نام Adobe در حال گسترش است، هشدار داد. اين بدافزار از طريق يك ايميل كه به ظاهر در مورد آسيب پذيري هاي Adobe بحث مي كند، انتشار پيدا مي كند. اين ايميل كاربران Adobe را هدف قرار داده است و داراي يك زنجيره فوروارد جعلي است كه با نام يك كارمند Adobe Risk Management آغاز مي شود. در اين زنجيره اسامي افراد با رده هاي بالاي شغلي در Adobe و ايميل قانوني آنها آمده است، به طوري كه كاربران را قانع مي سازد يك ايميل حقيقي را از Adobe دريافت كرده اند.
در اين ايميل به كاربران در مورد يك آسيب پذيري كه منجر به حملات انكار سرويس مي شود، هشدار داده شده است. در ايميل مذكور از كاربران قوياً خواسته شده است تا آخرين اصلاحيه Adobe را نصب كنند. همچنين در اين ايميل يك پيوست pdf قرار دارد كه در آن به ظاهر دستورالعمل هايي براي نصب اصلاحيه است. در حقيقت فايل مذكور حاوي يك تروجان است كه به لحاظ جديد بودن آن بسياري از آنتي ويروس ها قادر به تشخيص آن نيستند.
انتشار چنين بدافزارها و ايميل هايي نشان دهنده آن است كه خرابكاران در شگردهاي جديد خود تمايل بيشتري به استفاده از حقه هاي مهندسي اجتماعي به جاي كشف و سوءاستفاده از آسيب پذيري هاي جديد دارند.
متخصصان امنيتي به كاربران توصيه مي كنند با دقت بيشتري بر روي لينك ها و پيوست هاي ايميل ها كليك كنند و در نظر داشته باشند كه بسياري از لينك ها و پيوست هاي ايميل ها حاوي بدافزار است.

certcc.ir

[satttanism]

اين آسيب پذيري كه بر روي سيستمهاي ويندوز و Mac تاثير مي گذارد، مي تواند منجر به اجراي كد از راه دور گردد.
شركت Opera روز گذشته هشدار داد كه يك آسيب پذيري امنيتي «بسيار خطرناك» در مرورگر Opera، مي­تواند كاربران وب را در معرض خطر حملات اجراي كد از راه دور قرار دهد.
اين آسيب پذيري كه اكنون در Opera 10.53 اصلاح شده است، بر روي اين مرورگر در سيستم عامل­هاي ويندوز و Mac اثر مي­گذارد.
جزئيات اين آسيب پذيري بسيار كم شرح داده شده است. Opera در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] خود هشدار مي­دهد كه چندين فراخواني آسنكرون به يك اسكريپت كه محتويات مستند را تغيير مي­دهد، مي­تواند باعث شود كه Opera به يك مقدار نامعلوم اشاره كند، كه اين موضوع مي­تواند باعث از كار افتادن مرورگر گردد. براي تزريق كد، تكنيك­هاي ديگري نيز بايد به كار گرفته شود.

certcc.ir

[satttanism]

چندین سایت متعلق به وزارت خزانه ­داری آمریکا هـک شده است و کاربران با بازدید از این وبسایت­ها، به سایت­های مخرب دیگری که هکرها تدارک دیده­اند، ارجاع داده می­شوند.
Roger Thompson یکی از مدیران شرکت AVG Technologies گفته است کد مخربی که میکوشد خود را بر رایانه بازدیدکنندگان این سایت­ها نصب کند، یکشنبه شب بر چندین سایت متعلق به وزارت خزانه­داری ایالات متحده مشاهده شده است.
به گزارش The New New Internet نکته جالب توجه این است که این حمله فقط به آن دسته از آدرس­های اینترنتی که پیشتر به سایت­های مزبور مراجعه نکرده، حمله­ ور می­شود. همین موضوع، کار پژوهشگران و محققان را برای ردگیری این حمله بسیار دشوار کرده است.
با این حال به نظر می­رسد اکنون این حمله متوقف شده است زیرا رایانه محققانی که به این سایت­ها مراجعه کرده­اند، مورد تاخت و تاز بدافزاری قرار نگرفته است.
کارشناسان پیشتر چنین حملاتی را نسبت به سایت­هایی که میزبانی آنها توسط GoDaddy و Network Solutions انجام شده بود، شاهد بوده­اند.
یک مشاور و پژوهشگر امنیتی به نام دی بیر (De Beer) معتقد است که این دو نوع حمله با یکدیگر در ارتباط است.
وی گفت: به احتمال بسیار زیاد، این کار توسط همان شخص انجام شده است. تنها چیزی که تغییر کرده، دامنه­ هاست.

sgnec.net

[mahdishata]

ويروس معروف "لاوباگ" كه با آلوده كردن بيش از 50 ميليون رايانه نقطه عطف مهمي در تحول بدافزارها به شمار مي‌رود، 10 ساله شد.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، هنگامي كه اين ويروس 10 سال پيش منتشر شد كاربران تصور مي‌كردند كه واقعا يك نامه عاشقانه دريافت كرده‌اند، فايروال‌هاي شخصي فعال نبوده و ضميمه‌هاي قابل اجرا در درگاه‌هاي اي‌ميل مسدود نمي‌شدند.

شرايط آن زمان به ويروس لاوباگ اجازه داد با آلوده كردن ميليون‌ها رايانه در جهان در عرض يك هفته، حدود پنج تا هشت ميليارد دلار خسارت به بار بياورد.

شركت امنيتي MessageLabs كه اكنون به مالكيت سيمانتك درآمده يكي از نخستين شركت‌هايي بود كه ويروس لاوباگ را در چهارم ماه مي سال 2000 شناسايي كرده و شاهد رشد اين ويروس ارسال شونده انبوه از يك در هزار اي‌ميل به يك در 28 اي‌ميل بود.

ويروس‌نويسان از تكنيك مهندسي اجتماعي براي ارسال اين ويروس به شكل فايل ضميمه متني در اي‌ميلي كه حاوي عنوان فريب‌آميز "دوستت دارم" بود، استفاده كرده بودند و هنگامي كه كنجكاوي گيرندگان باعث مي‌شد ضميمه را باز كنند، اسكريپت ويژوال بيسيك مخربي خود را به نشاني‌هاي اي‌ميل موجود در كتاب آدرس آنان ارسال مي‌كرد.

اين ويروس محصول زماني بود كه دورنماي تهديد به جاي جرائم سازمان‌يافته تحت تسلط حملات هكرهاي تازه‌كار بود و همانند امروز انگيزه‌هاي مالي در ميان نبودند.

[mahdishata]

كاربران نگران فيس بوك به دليل هراس درباره هكري كه اطلاعات يك‌ونيم ميليون اشتراك اين شبكه اجتماعي را در بازار سياه به فروش گذاشته به اين سايت مراجعه و پروفايلشان را بررسي كردند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، محققان در لابراتوار iDefense شركت وري ساين اعلام كردند كه جزئيات اشتراك‌هاي سايت فيس بوك را يافته‌اند كه در يك وب‌سايت رومانيايي به فروش گذاشته شده بودند.

اين شركت مدعي است هكري كه kirllos نام دارد، اطلاعات هزاران كاربر فيس بوك را به قيمت‌هاي ارزاني كه از 25 دلار براي اشتراك‌هاي داراي كمتر از 10 دوست شروع مي‌شود، عرضه مي‌كند.

به گفته مدير iDefense، اين مورد نشان مي‌دهد كه تجارت غيرقانوني اشتراك‌هاي شبكه اجتماعي از اروپاي شرقي به آمريكا رونق يافته است. اما فيس بوك اين شايعه را مورد بي‌اعتنايي قرار داده و اعلام كرد اين هكر براي ادعاهاي نادرست در نزد محققان شناخته شده است.

سخنگوي اين شركت اعلام كرده است كه فيس بوك در طول تحقيقاتش سعي كرده اين اطلاعات را از هكر مذكور خريداري كند اما اين هكر نتوانسته اطلاعاتي به خريدار اين شركت بدهد.

خلافكاران اينترنتي معمولا از تكنيك‌هاي فيشينگ براي فريب كاربران و وادار كردن آنان به ارائه كلمات عبور استفاده مي‌كنند يا از نرم‌افزار ويژه براي ثبت كليدهاي وارد شده توسط كاربر بهره مي‌برند.

اطلاعات شخصي شامل تاريخ تولد، نشاني‌ها و شماره‌هاي تلفن مي‌توانند براي ارتكاب كلاهبرداري هويت مورد استفاده قرار بگيرند.

[satttanism]

وجود يك نقص امنيتي كه منجر به افشاي متن چت در فيس بوك مي شود، اين شركت را مجبور كرد براي مدتي امكان مذكور را غير فعال سازد. يك نقص امنيتي در فيس بوك، شركت مذكور را مجبور كرد براي مدتي امكان چت را غير فعال سازد. اين نقص امنيتي منجر به مشاهده متن چت ديگر دوستان كاربر مي شود. همچنين اين نقص امنيتي به كاربران اجازه مي دهد ليست افرادي را كه درخواست دوستي براي دوستان آنها ارسال كرده اند و در حالت pending هستند، مشاهده كنند. البته اين آسيب پذيري مدت كوتاهي دوام آورد و فيس بوك بلافاصله آن را اصلاح كرد و دوباره امكان چت در آن فعال شده است.
آسيب پذيري مذكور را يك وب سايت فعال در زمينه اخبار فناوري، گزارش كرده است و يك ويدئو از چگونگي سوءاستفاده از نقص مذكور را منتشر كرده است. اين نقص امنيتي در قسمتي كه كاربران چگونگي ديده شدن پروفايل توسط ديگران را تنظيم مي كنند (Preview My Profile) وجود داشته و در حال حاضر برطرف شده است.
متخصصان امنيتي بارها در مورد قرار دادن اطلاعات شخصي بر روي وب سايت هاي اجتماعي هشدار داده اند و همواره به كاربران توصيه مي كنند، "چيزي را كه نمي خواهيد همه دنيا در مورد آن خبر داشته باشند، بر روي فيس بوك قرار ندهيد."

certcc.ir

[satttanism]

يك امكان جديد امنيتي به نرم افزار Foxit اضافه شده است كه به كاربران اجازه مي دهد با خيال راحت تري به خواندن فايل هاي PDF بپردازند. با توجه به گزارش هاي متعدد در مورد افزايش فايل هاي خرابكار PDF، كاربران به دنبال راه هايي براي كاهش خطرات ناشي از استفاده از فايل هاي PDF هستند. اصلي ترين رقيب Adobe يعني Foxit كه نرم افزاري براي خواندن فايل هاي PDF است، به اين درخواست كاربران پاسخ داده و امكانات امنيتي بيشتري را به نرم افزار خود اضافه كرده است. با استفاده از اين امكان مي توان تا حد زيادي از بروز حملاتي كه با سوءاستفاده از دستور /Launch اتفاق مي افتند، جلوگيري كرد.
نرم افزار Foxit Reader 3.3 كاربران را قادر مي سازد كه از اجراي كنش ها و انتقال داده هاي تأييد نشده مانند توابع جاوااسكريپت جلوگيري به عمل آورند. اين اقدام تا حد زيادي از انتشار ويروس ها جلوگيري به عمل مي آورد. اين امكان با نام Enable Safe Reading Mode معرفي شده است و نه تنها به كاربر در مورد كارهاي مشكوك هشدار مي دهد بلكه از هر گونه تعامل با فايل هاي PDF كه آلوده شده اند، نيز ممانعت به عمل مي آورد.
البته كارشناسان امنيتي قوياً توصيه مي كنند امكان جاوااسكريپت را در نرم افزاري كه براي باز كردن فايل هاي PDF مورد استفاده قرار مي دهيد، غير فعال سازيد.

.certcc.ir