ويروس

[خوبی کن]

کرم Bobax کامپیوتر شما را به یک مرکز انتشار Spam تبدیل می کند!
چهارشنبه,30 ارديبهشت 1383

کارشناسان خبر از انتشار گونه جدیدی از کرم های اینترنتی به نام Bobax داده اند. این کرم ها کامپیوتر آلوده را به یک کارخانه تولید هرزنامه تبدیل می کنند و وب سایتها را مورد حمله از نوع DOS قرار می دهد.

نکته جالب اینکه کرم W32/Bobax-A از رخنه امنیتی استفاده می کند که کرم ساسر استفاده می کرد.

پس فرصت خوبی ایجاد شده است برای کسانی که هرزنامه تولید می کنند تا شبکه ای از کامپیوتر های بیگناه را آلوده کنند و از آنها به عنوان وسیله ای برای فرستادن هرزنامه هایشان استفاده کنند.
البته با توجه به اینکه تعداد زیادی از کاربران اینترنت patch امنیتی مایکروسافت را نصب کرده‌اند احتمال شیوع گسترده این کرم اندک می باشد.

همانطور که می دانید برای آلوده شدن به ویروس ساسر یا این کرم جدید (Bobax) هیچ نیازی به اجرای فایل های ضمیمه شده در ایمیل نیست. بلکه این دو فقط و فقط به خاطر اینکه شما به اینترنت وصل شده اید و با استفاده از سوراخ امنیتی که در کامپیوتر شما وجود دارد شما را آلوده می کنند.

کسانی که وصله امنیتی مربوط به ویروس ساسر را نصب کرده اند جای هیچ نگرانی ندارند. اما کسانی که هنوز این کار را نکرده اند بهتر است که خوش بینی را کنار گذاشته و هر چه سریعتر patch مربوطه را از قسمت نرم افزار سایت دریافت و نصب کنند.

 

[خوبی کن]

آسیب جدید در برنامه Firewall شرکت Symantec
چهارشنبه,30 ارديبهشت 1383

آشيانه
چند روز پیش چهار آسیب جدید در برنامه Firewall شرکت Symantec کشف شد که باعث تعجب بسیاری از علاقه مندان به این Firewall و دیگر محصولات شرکت Norton شد.
توسط این آسیب‌ها هکرها قادر خواهند بود از راه دور با Exploit کردن سیستم هایی که این محصول را به صورت پیش فرض نصب کرده اند سبب ایجاد یک حمله تکذیب سرویس (Denial-of-Service ) شدید و یا اجرای کدهای اجرایی دلخواه خود با سطح امتیازات کرنل بر علیه آن سیستم ها شوند. یکی از این آسیب ها به این صورت مورد بهره برداری قرار می گیرد که به وسیله فرستادن یک بسته پاسخ DNS مخرب به سمت Host آسیب پذیر، حمله کننده می تواند موجب این شود که پاسخ DNS Symantec که حاوی کد اعتبار سنجی هست در داخل کرنل سیستم حلقه طولانی و نامحدودی را وارد کند که توسط این مقدار loop ، سیستم آسیب پذیر به حالت freezeدر می آید و هیچ پروسه و ارتباطی را پاسخگو نیست که در این حالت ماشین باید به صورت فیزیکی Reboot شود تا دوباره سیستم عامل به حالت اولیه بازگردد. این آسیب ها در تاریخ 12 May 2004 توسط تیم امنیتی eEye کشف شده است و برنامه های زیر به این باگ های کشف شده آسیب پذیر هستند.


Symantec Norton Internet Security 2002
Symantec Norton Internet Security 2003
Symantec Norton Internet Security 2004
Symantec Norton Internet Security Professional 2002
Symantec Norton Internet Security Professional 2003
Symantec Norton Internet Security Professional 2004
Symantec Norton Personal Firewall 2002
Symantec Norton Personal Firewall 2003
Symantec Norton Personal Firewall 2004
Symantec Client Firewall 5.01, 5.1.1
Symantec Client Security 1.0, 1.1, 2.0(SCF 7.1)
Symantec Norton AntiSpam 2004



درجه خطر این آسیب ها High گزارش شده است و بر رویSymantec Norton Personal Firewall 2004 تست شده است. این حفره ها در جریان کاری فایل SYMDNS.SYS این برنامه ها پیدا شده است.

به وسیله فرستادن یک بسته مخرب و نفوذی به هر پورت UDP بازی در سیستم آسیب پذیر از یک منبع پورت53 ، کد عمل کرده و حالت تکذیب سرویس ظاهر خواهد شد.

تیم امنیتی آشیانه سفارش می کند که هرچه سریع تر با استفاده از گزینه LiveUpdate برنامه های ذکر شده Patch هایی که شرکت Symantec آماده کرده است را دریافت و برنامه خود را با استفاده از این اصلاحات به روز رسانی و ایمن کنید.

برای کسب اطلاعات بیشتر به آدرس زیر مراجه کنید:
http://securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html

 

[خوبی کن]

كرم اينترنتي W32.Cycle و آسيب پذيري موجود در سرويس LSASS
جمعه,1 خرداد 1383
آشيانه
کرم اینترنتی جدیدی به نام W32.Cycle که از آسیب پذیری موجود در سرویس LSASS برای تکثیر استفاده می کند, شناسائی شد.

همچنین خبرها حاکی از ظهور نسل جدید کرم ساسر معروف به W32.Sasser.F می باشند.
قبلا از طریق همین سایت در مورد کرم ساسر اطلاعاتی در اختیار شما قرار گرفته است , با توجه به اهمیت موضوع و اینکه همه این کرمها از یک آسیب پذیری ستفاده می کنند به طور خلاصه این آسیب پذیری » Windows LSASS Remote Buffer Overrun « را بررسی می کنیم :
گروه امنتی eEye این آسیب پذیری را در LSA Service کشف کرده است که منجر به Remote Overflow می شود و به نفوذگر این امکان رامی دهد که کدهای خود را از طریق پایپ ارتباطی LSA RPC بر روی پورتهای 135 و 445 بر روی سیستم قربانی با سطح دسترسی Admin اجرا کند. این باگ از نقطه ضعف توابع LSASS DCE/RPC که در داخل Microsoft Active Directory می باشد استفاده می کند , این توابع امکان استفاده از Active Directory را بصورت Local و Remote فراهم می کنند.
اما عاملی که باعث بروز مشکل می شود به صورت خلاصه بشكل زير است:
تابع مذکور که از سرویس های Active Directory می باشد یک Log File به منظور اشکال زدائی ( Debug ) ایجاد می کند , این Log File که" DCPROMO.LOG " نام دارد در دایرکتوری debug از زیر شاخه های دایرکتوری windows قرار دارد.ابزار Logging به صورت تابعی در داخل LSASRV.DLL فراخوانی می شود, این تابع از روتین ( ) vsprintf برای ایجاد اقلام ورودی در داخل Log File استفاده می کند.نکته مهم اینجاست که هیچ محدودیتی برای طول رشته ای که این تابع استفاده می کند وجود ندارد , حال اگر یک رشته با طول بزرگ به عنوان پارامتر ورودی برای این تابع ارسال شود Boffer Overflow رخ می دهد. به ترتیب نفوذگر با ایجاد یک Overflow بر پایه Stack قادر به گرفتن Shell از سیستم هدف خواهد بود.

به همه عزیزان توصیه می کنم بسته اصلاحیMS04-011 را حتماُ دریافت و بر روی سیستم خود نصب کنید.
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

 

[خوبی کن]

ويروس جديد اينترنتي باز هم سيستم عامل ويندوز را مورد حمله قرار داد
ايلنا
شنبه,2 خرداد 1383

يك ويروس جديد اينترنتي موسوم به Wallon كه طريق پيام‌‏هاي آلوده اينترنتي منتشر مي‌‏شود, سبب حذف برنامه Windows Media Player از روي سيستم عامل ويندوز مايكروسافت مي شود.

ويروس Wallon هنگامي كه كاربر رايانه آلوده سعي مي‌‏كند يك فايل و يا سي‌‏دي MP3 را با سيستم Windows Media Player اجرا كند , فعال شده و سبب حذف اين برنامه شده , خود جايگرين آن مي‌‏شود.

بنابراين گزارش, ويروس Wallon همانند ويروس‌‏هاي Netsky و Bagle از طريق ارسال پيام‌‏هاي آلوده اينترنتي منتشر شده و حاوي يك فايل ضميمه آلوده است, با باز نمودن اين فايل ضميمه توسط كاربر, ويروس Wallon با اجراي يك سري كد ويژه , نشاني‌‏هاي موجود در حافظه رايانه را به سرقت برده و نيز سبب باز نمودن يك در پشتي پنهان در حافظه رايانه آلوده مي شود ,كه اين در پشتي امكان تسلط هكرها به رايانه آلوده را فراهم مي‌‏كند. اين گزارش حاكي است, كارشناسان شركت فلاندي ضد ويروس F-Secure معتقدند با توجه به اينكه در ماه‌‏هاي اخير كاربران اينترنت با موج عظيم ويروس‌‏ها رو برو بوده‌‏اند, در باز نمودن فايل‌‏هاي ضميمه ايميل‌‏هاي ناشناخته بسيار محتاط هستند, از اين رو نويسندگان ويروس Wallon با قرار دادن يك لينك در ايميل‌‏ها آلوده سبب انحراف ذهن كاربران شده , آنان را تشويق به كليك كردن بر روي اين لينك مي‌‏كنند , با كليك كردن بر روي اين لينك كاربران ناخواسته سبب دان‌‏لود شدن ويروس Wallon مي‌‏شوند. طبق اين گزارش, براي فعال شدن ويروس Wallon تنها دان‌‏لود آن كافي نبوده و اين ويروس تا زمانيكه كه كاربر بخواهد يك سي‌‏دي MP3 و يا يك فيلم را توسط برنامه Windows Media Player اجرا كند غير فعال باقي مي‌‏ماند. شايان ذكر است, اگر چه سرعت انتقال ويروس Wallon چندان بالا نيست, اين ويروس به دليل آنكه جايگزين Wmplayer.exe مي‌‏شود بسيار مخربتر از ويروس‌‏هاي قبلي است. لازم به ذكر است, كاربراني كه رايانه آنان به ويروس Wallon آلوده شده است نياز به نصب مجدد برنامه ويندوز مديا پلي‌‏ير دارند. گفتني است, براي جلوگيري از آلوده شدن رايانه به ويروس Wallon كاربران بايد برنامه ترميمي Microsoft MSO4-13Patch را از روي سايت http://www.microsoft.com دان‌‏لود كنند.

 

[خوبی کن]

پيدايش دو كرم جديد رايانه اي در اينترنت
ايلنا
*دوشنبه عصر 4 خرداد 83
پيدايش دو كرم جديد رايانه اي در اينترنت
كرم‌‏هاي رايانه اي Bobax و Kibuv كه به تازگي در اينترنت منتشر شده‌‏اند , با استفاده از همان نقاط آسيب پذير سيستم عامل هاي مايكروسافت كه ويروس Sasser از آن‌‏ها سوء استفاده مي كرد، راه خود را به درون رايانه ها باز مي كند. اين كرم ها همچنين با هدف قرار دادن رايانه‌‏هاي آلوده به ويروس Sasser آن‌‏ها را به يك كارخانه توليد اسپم تبديل كرده و با فرستادن انبوه درخواست به سايت برخي از شركت‌‏ها سعي در از كار انداختن اين سايت ها را دارند. بنابراين گزارش، كرم Kibuv.B كه گونه‌‏اي ديگر از كرم Kibuv است با ايجاد يك FTP سرور بر روي پورت7955 سبب ارسال نسخه‌‏اي‌ از اين كرم به ديگر ‏فايل‌‏ها مي‌‏شود. شايان ذكر است , كاربران مي توانند با دان لود آخرين برنامه هاي ترميمي مايكروسافت از سايت اين شركت، رايانه خود را در برابر حمله اين كرم‌‏ها ايمن كنند.

 

[خوبی کن]

شركت سيمانتك از وجود يك حفره در برنامه آنتي ويروس خود خبر داد
به گزارش بخش خبر سايت IRITNبه نقل از Yahoo News،
شركت سمنتيك به مشتريان خود درباره يك آسيب پذيري امنيتي كه در برنامه آنتي ويروس بوجود آمده هشدار داد.
يك شركت امنيتي – اينترنتي سطح خطر اين حفره را متوسط اعلام كرد ، در حاليكه گروه تحقيقاتي – امنيتي شركت Secunia سطح خطر آنرا بحراني اعلام كرده است.
اين آسيب پذيري كه در برنامه 2004 Norton AntiVirus سمنتيك جايگزين شده به هكر ها امكان اجراي كد هاي انتخابي خود را در سيستم كاربر مي دهد و نيز به آنها امكان ارسال تبليغات غيرمجاز و يا حتي ايجاد شرايط عدم پذيرش سرويس براي نابودي برنامه هاي ضد ويروس سمنتيك را مي دهد.
ويروس نويسان تلاش هاي زيادي براي از كار انداختن برنامه هاي امنيتي فايروال شخصي و آنتي ويروس ها انجام داده اند و بنابراين اين حفره يك هدف اصلي براي ويروس نويسان محسوب مي شود تا از طريق آن بتوانند سيستم دفاهي كاربران را از كار بياندازند .
اين حفره كه دركه در مسير ActiveX Control داخل Norton AntiVirus جايگزين شده به آنتي ويروس اجازه نمي دهد كه بدرستي اطلاعات ارسالي را بررسي و تاييد كند.

 

[خوبی کن]

آشنايي با طرز كار فايروال ها
محفوظ و ايمن در پناه ديوار آتش
اگر مدت زيادي است كه با اينترنت سر و كار داريد، به احتمال زياد لغت فايروال (Firewall) برايتان آشناست.
فايروال درست مثل ديواره اي كه مانع گسترش آتش از قسمتي به قسمت ديگر مي شود، عمل كرده، از هجوم انواع خطرات به شبكه محلي شما جلوگيري مي كند.
به زبان ساده فايروال يك برنامه يا يك قطعه سخت افزاري است كه در محل اتصال شبكه شما به اينترنت قرار مي گيرد و اطلاعاتي را كه ميان رايانه هاي شما و اينترنت رد و بدل مي شود، كنترل مي كند.
براي اين كه با لزوم استفاده از فايروال آشنا شويد، فرض كنيد شبكه شما بدون استفاده از فايروال به اينترنت وصل شود. در اين صورت هر كسي مي تواند به آساني به هر يك از رايانه هايتان دست يابد، آن را بررسي و با آن اتصال FTP يا Telnet برقرار كند، در آن صورت فكرش را بكنيد كه شبكه شما چه وضعي خواهد داشت.
ولي با نصب يك فايروال در محل مناسب، اوضاع كاملا عوض مي شود. در اين صورت شما مي توانيد با تنظيم فيلترهاي فايروال، قوانين مورد نظر خود را روي شبكه تان اعمال كنيد.
تعيين كنيد كه كاربران شبكه شما مي توانند به چه سايت هايي وصل شوند و اجازه دارند چه فايل هايي را به اينترنت بفرستند و دريافت كنند؟
به اين ترتيب براحتي مي توانيد رايانه ها يتان را مديريت كنيد.
حال كه اهميت فايروال روشن شد، به تنظيمات آن مي پردازيم.
فايروال قابل تنظيم است، يعني شما مي توانيد به تناسب كارتان و انتظاري كه از آن داريد فيلترهايي را به آن اضافه يا كم كنيد.
اين كه فايروال هنگام عبور دادن اطلاعات از خودش، به چه نوع اطلاعاتي توجه كند و كدام نوع آن را بررسي كرده و جلوي عبور آنها را بگيرد، به نظر شما بستگي دارد.
مي توانيد با تنظيم هر كدام از موارد زير به فايروال ديكته كنيد كه چطور عمل كند:
1. نشاني IP: اگر هنگام اداره شبكه محلي خود متوجه شديد كه رايانه اي از طريق
اينترنت مرتب به Server شبكه شما وصل مي شود و بار ترافيكي زيادي ايجاد مي كند، مي توانيد از فايروال خود بخواهيد كه به آن رايانه با نشاني IP مشخص، اجازه ورود به شبكه را ندهد.
2. نام حوزه (Domain name) : از آنجا كه نشاني IP يك عدد32 بيتي و استفاده از آن
راحت نيست، به همه Server ها در اينترنت علاوه بر نشاني IP يك نام حوزه اختصاص مي دهند.
شما مي توانيد فايروال را طوري تنظيم كنيد كه رايانه هاي شبكه محلي بتواند به سايت هاي خاصي ( با نشاني حوزه مشخص ) دسترسي داشته باشند.
يا اينكه با مشخص كردن نام حوزه ها در فايروال، به رايانه هاي شبكه تان اجازه بدهيد كه از آن سايت ها ديدن كنند.
3. پورت و پروتكل : فايروال مي تواند از طريق شماره پورت هاي رايانه ها براي ارتباط با يكديگر به كار مي برند، اطلاعات رد و بدل شده را كنترل كند؛ همچنين مي توان كلمات و اصطلاحات خاصي را در بانك اطلاعاتي فايروال مشخص كرد.
در اين صورت هنگام وارد يا خارج شدن اطلاعات فايروال محتواي آنها را بررسي مي كند و اگر با كلمات خاصي كه برايش مشخص كرده ايم روبه رو شود، اجازه نمي دهد آن اطلاعات عبور كنند.
اما فايروال در برابر چه خطراتي از شما محافظت مي كنند:
1. ويروس ها: از معمولترين تهديدات براي هر رايانه به حساب مي آيند و معمولا برنامه
كوچكي هستند كه خود را روي رايانه هاي ديگر كپي كرده و به اين روش به سرعت در شبكه شما پخش مي شوند.
2. اشكالات برنامه ها و سيستم عامل ها: در بعضي برنامه ها امكان دسترسي به آن برنامه از راه دور ( Backdoor ) آن هم بدون امنيت كافي فراهم شده است. به اين ترتيب هكرها هم از آن استفاده كرده و از راه دور كنترل برنامه شما را به دست مي گيرند.
3. ماكروها: اگر فايروال ورود و خروج اطلاعات را كنترل نكند، هكرها مي توانند با فرستادن قطعه برنامه هاي ( كه ماكرو ناميده مي شود ) به رايانه ها، داده ها را پاك كنند يا تغيير دهند و كل شبكه را از كار بيندازند.
4. بمب هاي ايميل: در يك لحظه يك نامه صدها و هزاران بار براي يك سرويس دهنده
نامه الكترونيكي فرستاده مي شود و كار او را مختل مي كند تا جايي كه اين سيستم ديگر نمي تواند نامه ها را دريافت كند و از كار مي افتد.
5. در بسياري از مواردي كه به سايت ها حمله مي شود، هكرها براي وصل شدن به
Server، سعي مي كند به اين درخواست ها پاسخ دهد، نمي تواند سيستم درخواست دهنده را پيدا كند و گيج مي شود.
به اين ترتيب وقتي تعداد اين نوع درخواست ها زياد باشد، Server كند مي شود در نهايت از كار مي افتد.هر فايروال با توجه به سطح امنيتي كه ايجاد مي كند، مي تواند در مقابل تعدادي از اين خطرات از شبكه ما محافظت كند

 

[خوبی کن]

ويروس‌M32/LOVGATE.ab@MM

اين ويروس همانند نسخه‌هاي قبلي Lovgate به همراه Email و از طريق Attachment آن مي‌آيد و بعد از اجرا:
-1 يك دروازه ورودي بر روي كامپيوتر شما باز مي‌كند تا يك Hacker از راه دور بتواند اطلاعات شما را بدزدد.
-2 تاثير مستقيم بر روي اجراي فايل‌هاي اجرايي‌
-3 تلاش براي غيرفعال‌كردن آنتي‌ويروس‌ها و نرم‌افزارهاي امنيتي‌
-4ارسال Email‌هاي خودكار به آدرس‌هاي موجود درAddress Book
فايل‌هايي كه به پيوست ايميل ات با يكي از پسوندهاي cmd، pif، scr، bat،exe ارسال مي‌شود.
روش از بين‌بردن آن:
اين ويروس با Dat فايل شماره 4361 يا جديدتر McAFee از بين مي‌رود.
براي اطلاع‌ از وجود اين ويروس بر روي كامپيوتر خود مي‌توانيد از Link‌زير استفاده نماييد:
http://us.mcafee.com/
root/campaign.aspcid=10245

 

[خوبی کن]

درجه خطر ويروس Lovgate.AB افزايش يافت
ايلنا
در پي افزايش تعداد گزارشات دريافتي از آلودگي به گونه جديدي از ويروس Lovgate با نام Lovgate.AB طي چند روز گذشته , بسياري از شركتهاي توليد كننده ضد ويروس , اعلاميه هاي هشداري در اين مورد انتشار داده اند.
شركت MCAFEE نيز درجه خطر ويروس Lovgate.AB را از كم به متوسط افزايش داده است.
گفتني است اين گونه جديد از بسياري جهات مشابه گونه قبلي اين ويروس است چرا كه سعي مي كند از Share هايي كه داراي رمزهاي عبور ساده و ضعيف هستند , براي نفوذ به سيستم ها استفاده كند.

بر اساس اين گزارش, اين ويروس يك شاخهShare شده بنام Media را بر روي كامپيوتر آلوده ايجاد مي كند و پيام هاي الكترونيكي آلوده را به نشاني هايي كه از كامپيوتر آلوده جمع آوري كرده است ارسال مي كند.
همچنين به پيامهاي دريافتي و خوانده نشده بر روي كامپيوتر آلوده پاسخ داده و سپس آنها را حذف مي كند. شايان ذكر است اين ويروس از مكانيزم SMTP خود براي ارسال پيامهاي آلوده استفاده مي كند و فايلهاي EXE و ZMX را تغيير نام داده و يك كپي از خود را به جاي فايل اصلي EXE قرار مي دهد . اين ويروس اجراي برنامه هاي امنيتي مانند ضد ويروسها را متوقف مي سازد .

بر اساس اين گزارش, ويروس Lovgate.AB از طريق پيام هاي الكترونيكي , فايل هاي آلوده و SHARE ضعيف انتشار مي يابد و با فعال شدن ويروس , فايل هاي آلوده متعددي بر روي كامپيوترها ايجاد مي شود .

 

[خوبی کن]

ويروس كورگو ، در كمين كارتهاي اعتباري

جام جم :
مقامات آلماني به كاربران اينترنتي در خصوص فعال شدن ويروس جديدي كه عمدتاً حسابهاي بانكي و كارتهاي اعتباري را مورد هدف قرار مي دهد هشدار داده اند.
به گزارش سايت خبري اي بي سي نيوز اين ويروس داراي شباهت هاي بسيار قابل توجهي با كرم ساسر است كه ماه گذشته ميليونها سيستم را در سراسر جهان از كار انداخت.
اداراه فدرال برقراري امنيت IT ، موسوم به «BSI» نام اين ويروس خطرناك را كورگو نهاده است.
به گفته اين اداره ، ويروس كورگو از حفره هاي امنيتي موجود در سيستم عامل ويندوز مايكروسافت ، بهره فراواني مي برد.
عملكرد ويروس كورگو درست مانند كرم ساسر است يعني به هيچ وجه لازم نيست تا كاربر اي ميلي را باز كند تا كامپيوتر او آلوده شود بلكه تنها كافيست به اينترنت متصل شده باشد.
بر اساس گزارش منتشر شده در مجله PC Professionell ويروس كورگو عمدتاً به جستجو و تخريب پسورد هاي بانك هاي آنلاين و كارتهاي اعتباري مي پردازد.
گفته مي شود كابراني كه مورد حمله اين ويروس قرار گرفته اند بايد كليه پس ورد هاي خود را عوض كنند و كارتهاي اعتباري خود را باطل نمايند.
به گزارش BSI اين ويروس قادر است كليه سيستم عامل هاي مايكروسافت را مورد حمله قرار دهد و مايكروسافت در تلاش است تا با انتشار «پچ» هايي ، در برابر پيشرفت تخريب اين ويروس ايستادگي نمايد.
ماه پيش يك نوجوان 18 ساله آلماني اعتراف كرد كه سازنده كرم مخرب ساسر بوده است.
وي احتمالاً به 5 سال زندان محكوم خواهد شد

 

[خوبی کن]

شركت MCAFEE مجموعه كاملي از نرم افزارهاي ضد ويروس ارايه كرد
ايلنا
شركت MCAFEE مجموعه كاملي از نرم افزارهاي ضد ويروس براي انواع سيستم و محيط هاي كامپيوتري ارائه كرده است .
با به كار گيري يكپارچه نرم افزارهاي شركت MCAFEE مي توان ضريب امنيت سيستم ها را افزايش داد.

بنابراين گزارش، مجموعه كامل Total Virus Defense تركيبي از نرم افزارهايvirusscan براي شبكه هاي محلي , نرم افزار Nesshieid براي سرويس دهنده هاي محلي و Web Shieldo براي دروازه هاي اينترنت جهت كنترل ترافيك وE-policy orchestrator براي مديريت نرم افزارهاي ضد ويروس در شبكه از يك نقطه واحد هستند

 

[خوبی کن]

سوء استفاده‌ي ويروس Netsky.p از محبوبيت آخرين فيلم هري‌ پاتر


*شنبه 16 خرداد 83 - *
ويروس مزاحم رايانه‌يي Netsky.p از محبوبيت آخرين فيلم هري پاتر براي بازگشت به شبكه، سوء استفاده كرده است. به گزارش سرويس بين‌الملل ايسنا به نقل از شبكه‌ي خبري بي‌بي‌سي، كارشناسان ضدويروسي هشدار دادند كه كرم Netsky.p با تغيير چهره‌ي خود با عنوان بازي پاتر فعاليت خود را آ?غاز كرده است! اين ويروس كه نخستين بار در اواخر ماه مارس مشاهده شده بود، از طريق پست الكترونيكي و خدمات فايل‌هاي مشترك منتشر شد. طبق گزارشات شركت ضدويروسي سوفوس، Netsky.p دومين ويروس شايع در ماه گذشته، تنها به فعاليت كرم ناشناخته‌ي ساسر در رده‌ي دوم قرار گفت. اين ويروس كه تنها بر ويندوزهاي ميكروسافت رايانه‌هاي شخصي موثر است، براي آغاز فعاليت تنها منتظر كليك كاربر بر فايل آلوده است؛ در اين ميان ويروس‌نويسان سعي مي‌كنند كه با استفاده از اسامي و عناوين جذاب، كاربران را به باز كردن و اجراي فايل‌هاي مخرب تشويق كنند!. اين كارشناسان هشدار دادند؛ از آنجا كه اين ويروس با انتخاب عنوان بازي هري‌پاتر كاربران جوان رايانه‌يي را هدف قرار داده است، والدين بايد براي مقابله با تهديدات اين ويروس آموزش‌هاي لازم را در اختيار فرزندانشان قرار دهند. آنان تاكيد كردند كه اين كرم تنها به سراغ پست‌هاي الكترونيكي نمي‌رود، لذا كاربران سيستم‌هاي فايل مشترك كه محتويات اين فايل‌ها را اجرا مي‌كنند بايد به همين اندازه نسبت به آن‌ چه كه وارد سيستم مي‌كنند محتاط باشند كه محتوي برنامه‌ي مخرب و نامطلوب نباشد.

 

[خوبی کن]

از ميان 10 ويروس اينترنتي برتر در ماه گذشته‌ي ميلادي ويروس Netsky.p به رتبه‌ي اول نائل شد
ايسنا
از ميان ‌١٠ ويروس اينترنتي برتر از ‌١٢ ارديبهشت الي ‌١١ خرداد ماه سال جاري ويروس Netsky.p توانست با آلوده كردن ‌١٠ درصد كاربران به رتبه‌ي اول نائل شود.
از نمايندگي رسمي شركت Panda software خانواده‌ي ويروس‌هاي Sasser و Netsky شايع‌ترين ويروس‌هاي ‌٣٠ روز ماه پنجم ميلادي شمرده مي‌شود.
كد كرم ‌٣٢ بيتي Sasser به شكل گسترده‌اي فضاي سايبر را دچار آشوب كرده و اين كد مخرب با استفاده از حفره‌ي امنيتي ويندوز به نام LSASS توانست سيستم رايانه‌يي ميليون‌ها كاربر را در سراسر جهان درمدت زمان بسيار اندك آلوده كند و هر چند كه با توجه به آمار ارائه شده توسط Panda active scan ، اين ويروس نتوانست مقام اول را در اين ماه به دست آورد.
ويروس Briss.A كه داراي مقام دوم اين رتبه‌بندي است در همان ابتداي ماه مي شروع به انتشار كرد و مانند ساير كدهاي مخرب از طريق دانلود و همچنين نامه‌هاي پست الكترونيك منتشر شد.
هر چند در روز هفتم ماه مي (‌١٨ ارديبهشت) خبر دستگيري نويسنده‌ي Sasser و Netsky اعلام شد اما اين جريانات نه تنها باعث كاهش حملات اين چنيني نشد بلكه تا اواخر ماه مذكور ادامه يافت كه به وضوع رتبه‌ي سوم و چهارم ويروس هاي Sasser.b و Sasser.ftp تاييد كننده‌ي اين امر است.
كاربران مي‌توانند جهت پاكسازي رايانه‌يي خود از برنامه‌ي رايگان Panda Active Scan در سايت اينترنتي http://www.pandasoftware.com استفاده كنند.
همچنين مسؤولان سايت هاي اينترنتي مي‌توانند امكانات فوق را به صورت كد HTML با مراجعه به آدرس
http://www.pandasoftware.com/partners/webmasters در وب سايت خود اجرا كنند.

 

[خوبی کن]

چندين شکاف امنيتي در فايروال Symantec (نورتون)


تاريخ انتشار: 2004-05-13
منبع: Eeye.com
ميزان خطر: بشدت بالا

شماره CVE:
CAN-2004-0444
CAN-2004-0445

سيستمهاي تحت تاثير:
Norton Personal Firewall 2004
Norton Internet Security 2004
Norton Internet Security 2004 Professional
Norton Internet Security 2003
Norton Internet Security 2003 Professional
Norton Personal Firewall 2003
Norton Internet Security 2002
Norton Personal Firewall 2002
Symantec Client Firewall 5.x
Symantec Client Security 1.x
Symantec Client Security 2.x
Norton AntiSpam 2004

چکيده:
وجود چندين شکاف امنيتي در سرويسهاي مختلف فايروال شخصي شرکت Symantec(Norton) امکان حملات از نوع DoS و Buffer Overflow را براي نفوذگران فراهم ميکند. نفوذگران ميتوانند با استفاده از اين شکافهاي امنيتي به کامپيوتر شما نفوذ کرده و کنترل کامل آنرا در دست گيرند و يا سرويسهاي خاصي ازان را از کار بياندازند.

توضيح:

عدم چک کردن محدود بافر در سرويس SYMDNS.SYS در هنگام آناليز ديتاگرامهاي NETBIOS ممکن است باعث خطاي سرريز پشته شود. نفوذگران ميتوانند با فرستادن پاسخهاي خاص NETBIOS به اين سرويس، پشته را سرريز و کنترل کامل کامپيوتر مورد حمله را در دست گيرند. حمله موفق به اين سرويس باعث اجراي برنامه نفوذگر در حلقه صفر(0 Ring) با بالاترين اولويت ميشود. البته به صورت پيش فرض پورت 137 UDP که براي اين حمله به کار ميرود بسته است.
وجود خطا در سرويس SYMDNS.SYS باعث ميشود تا با ارسال ديتاگرامهاي خاص DNS توسط نفوذگر کامپيوتر مورد حمله کاملا از کار بيافتد.
وجود خطا در سرويس SYMDNS.SYS باعث ميشود تا نفوذ گر بتواند با ارسال پاسخهاي خاص NBNS(NetBios Name Service) باعث خطاي سرريز Heap شود. تاثيرات اين حمله مشابه شماره يک است.
وجود خطا در درايور SYMDNS.SYS باعث ميشود تا نفوذگر بتواند با ارسال پاسخهاي طولاني DNS (فيلد CNAME در Resource Record هاي DNS) باعث خطاي سرريز پشته و اجراي کد مورد نظر خود بر روي کامپيوتر مورد حمله گردد. کد مورد نظر نفوذگر در حلقه صفر سيستم عامل و با بالاترين اولويت اجرا خواهد شد. اين خطا بر خلاف موارد قبل حتي در صورت فيلتر شدن تمامي پورتها و اعمال تمامي قواعد امنيتي هم در دسترس خواهد بود زيرا به مشکل طراحي اين فايروال بازميگردد.
اين مشکلات امنيتي ممکن است باعث توليد کرمهاي اينترنتي آينده شوند. به همين دليل ميزان جديت اين هشدارها بالا گزارش شده.

راه حل:
به روز رساني نرم افزار مذکور از طريق برنامه LiveUpdate (که در خود بسته نرم افزاري Symantec موجود است) يا اعمال Patch مربوطه.

لينکها:
Symantec
http://securityresponse.symantec...security/Content/2004.05.12.html

eEye Digital Security
http://www.eeye.com/html/Research/Advisories/AD20040512A.html
http://www.eeye.com/html/Research/Advisories/AD20040512B.html
http://www.eeye.com/html/Research/Advisories/AD20040512C.html
http://www.eeye.com/html/Research/Advisories/AD20040512D.html

 

[خوبی کن]

حقه‌هاي شهرت (celebrity tricks)

به عقيده شركت ضد ويروس Sophos، ويروس Netsky.P دومين ويروس رايج در ماه مه بوده‌ كه تنها كرم نفرت‌انگيز Sasser برتر از آن تشخيص داده شده است.
اما هم‌اكنون به نظر مي‌رسد كه بنا به گفته Sophos ، انتشار اين ويروس شدت گرفته و هزاران نمونه آن در طي روزهاي اخير مشاهده شده است.
Netsky.P كه تنها بر روي كامپيوترهاي داراي ويندوز مايكروسافت تاثيرگذار است، كاربران كامپيوتر را از طريق كليك كردن بر روي فايل آلوده فريب مي‌دهد.
توليد كنندگان ويروس به طور فزاينده‌اي از اسامي مشهور استفاده كرده‌اند تا به اين طريق باعث شوند افراد، نامه‌هاي الكترونيكي را باز كرده و ويروس‌هاي مخرب آنها را فعال سازند.
نمونه‌هاي پيشين Netsky.P به صورت عكس‌هاي برهنه Britney Spears، فايل‌هاي موسيقي Eminem و نرم افزار غير قانوني ‌‌‌ظاهر شده‌اند.
Graham Cluely ، مشاور عالي‌رتبه شركت Sophos گفته‌است«Netsky.P: با بهره‌گيري از روشي كه در سال 2000 توسط كرم Pikachu به كار گرفته شد، كاربران جوان كامپيوتر خود را با تبديل به مضموني مرتبط با كتاب‌ها و فيلم‌هاي هري پاتر مورد هدف قرار مي‌دهد«.
او همچنين گفته است: «لازم است پدر و مادر، فرزندان خود را از خطر ويروس‌ها آگاه كرده تا مطمئن شوند كه محبوبيت پاتر موجب پديدار شدن ويروس مخربي بر روي كامپيوترشان نمي‌شود«.
آقاي Cluely گفته است: «نه تنها كاربران نامه‌هاي الكترونيكي بايد احتياط كنند، بلكه كاربران سيستم‌هاي مبتني بر اشتراك فايل‌ها كه اطلاعاتي را به كامپيوترهاي خود منتقل مي‌كنند نيز بايد مراقب باشند آنچه را كه از اينترنت به كامپيوتر خود منتقل مي‌كنند، آنها را به شكل ناخوشايندي شگفت زده نسازد«.

 

[خوبی کن]

مشاهده‌ي 7 نوع مختلف از ويروس كورگو در اينترنت

*یکشنبه 17 خرداد 83 - *
كارشناسان ضد ويروسي هشدار دادند كه كاربران ويندوزها بايد مراقب ويروس جديدي باشند كه به طرز وحشتناكي شماره‌هاي كارت‌هاي اعتباري و گذرواژه‌ها (Password) را به سرقت مي‌برند. به گزارش سرويس بين‌الملل ايسنا به نقل از شبكه‌ي خبري بي بي سي، اين ويروس كورگو (Korgo) نام دارد كه اولين بار در 22 مي سال جاري مشاهده شد و از آن زمان تاكنون بر تعداد قربانيان خود افزوده است. اگر چه اين ويروس انتشار قابل توجهي نداشته است، اما شركت‌هاي امنيتي هشدار دادند كه دزديده شدن اطلاعات محرمانه توسط اين ويروس تاثيرات نامطلوبي در پي خواهد داشت. اين متخصصان از كاربراني كه گرفتار اين ويروس شده‌اند خواستند كه در صورت استفاده از شبكه‌، گذرواژه‌ها و كارت‌هاي اعتباري خود را تعويض كنند. كورگو نيز مانند ساسر خود به تنهايي در سراسر شبكه منتشر مي‌شود. با وجودي كه بسياري از كاربران، رايانه‌هاي شخصي خود را در مقابل ويروس ساسر ايمن كرده‌اند، اما كمپاني‌هاي ضدويروسي اعلام كردند كه اين كاربران بايد سيستم‌هاي خود را در مقابل اين ويروس جديد نيز حفاظت كنند. اين محققان ضدويروسي در مقاله‌اي كه در مجله‌ي اينترنتي شركت F-Secure منتشر كردند هشدار دادند كه گذر واژه‌ها و كارت‌هاي اعتباري را كه به ويژه طي يك هفته‌ي اخير استفاده شده‌اند، تغيير يابند. آنها تاكيد كردند كه اين خطر واقعي وجود دارد كه اي‌دي‌هاي شبكه‌هاي بانكي كاربران به دست افراد ناشنايست و سوء استفاده‌كن بيافتد. شركت امنيتي سيمنتيك نيز با مشاهده‌ي انواع مختلف اين ويروس در برابر آن مجهز‌تر شده است. تاكنون اين كارشناسان 7 نوع مختلف از ويروس كورگو را پيدا كرده‌اند. طبق گزارشات ارايه شده از سوي كمپاني ضدويروسي سوفوس اين كمپاني در ماه مي تنها 595 ويروس جديد كشف كرده است كه اين رقم بيشتر از كل ويروس‌هايي است كه از دسامبر سال 2001 شناسايي شده‌اند. هم چنين در اين گزارشات آمده است كه در حال حاضر بيش از 90 هزار ويروس در گردش در شبكه وجود دارد كه از اين ميان ساسر و نت اسكاي در بالاي اين گروه قرار گرفته‌اند

 

[خوبی کن]

ويروس جديد، ضعف‌هاي مايكروسافت را نشانه رفته است!
تاریخ خبر : 17 خرداد 1383
همكاران سيستم -
شركت‌هاي توليد كننده‌ي نرم‌افزارهاي ضدويروس، درباره‌ي ويروس جديدي كه از طريق ضعف‌ها و آسيب‌پذيري‌هاي تازه فاش شده‌ي نرم‌افزارهاي مايكروسافت به كامپيوترهايي كه از سيستم عامل windows استفاده مي‌كنند، آسيب مي‌رساند، هشدار داده‌اند. اين ويروس كه توسط ايميل ارسال مي‌شود، كامپيوترهايي را كه از patch هاي اخير شركت مايكروسافت استفاده نكرده‌اند، مورد هدف قرار داده است.

بر اساس اين هشدارها، ويروس جديد كه به نام‌هاي Plexus و Explet.A معروف است، روز چهارشنبه براي نخستين بار نمايان گشته و با بهره‌گيري از همان آسيب‌پذيري‌هاي كه دو ويروس اخير يعني Sasser و Blaster آن را آشكار ساخته‌اند، منتشر شده است.
شركت Network Associates توليدكننده‌ي نرم‌افزار ضد ويروس McAfee و شركت Symantec توليدكننده‌ي نرم‌افزار ضد ويروس Norton به اتفاق اعلام كرده‌اند كه ويروس جديد، خطر و تهديد جدي به حساب نمي‌آيد، اما با اين همه هر دو شركت براي شناسايي اين ويروس، نرم‌افزارهاي خود را روز گذشته، به هنگام ساختند.
ويروس Plexus همانند ويروس Sasser، از ضعف موجود در بخشي از سيستم عامل windows به نام LSASS بهره مي‌گيرد. گفتني است كه مايكروسافت در ماه آوريل، patch اي‌ را براي برطرف كردن اين ضعف ارايه كرده بود. افزون بر اين، ويروس Plexus همانند ويروس Blaster كه در ماه اوت سال گذشته پديدار شد، از طريق ضعف در بخش ديگري از سيستم عامل Windows با نام DCOM در كامپيوترهاي شخصي رخنه مي‌كند.
ويروس Plexus به صورت فايل‌هاي پيوست شده به ايميل‌هايي با آدرس‌هاي جعلي و موضوعات مبهمي همچون “RErder” ، “For you” و “good offer” منتشر مي‌شود. هنگامي كه كابران، فايل‌هاي ويروسي را باز مي‌كنند، ويروس فعال مي‌شود و پيكربندي سيستم عامل windows را تغيير مي‌دهد. بدين ترتيب، هر بار كه كامپيوتر روشن و كار با Windows شروع مي‌شود، برنامه‌ي ويروس اجرا مي‌گردد.
اين ويروس، آدرس‌هاي ايميل مختلف را از حافظه‌ي كامپيوترهاي آلوده استخراج مي‌كند و آنان را مورد هدف قرار مي‌دهد، بدين ترتيب كه سيلي از ايميل‌هاي همراه با فايل‌هاي ويروسي را به سوي آنان روانه مي‌سازد.
شركت‌هاي توليد كننده‌ي نرم‌افزاري ضد ويروس به كاربران سيستم عامل windows توصيه كرده‌اند كه patch هاي مربوط به LSASS و DCOM را به كار گيرند و نرم‌افزارهاي ضد ويروس خود را براي مقابله‌ي فوري با ويروس Plexus روزآمد سازند

 

[خوبی کن]

كمي راجع به ويروس Wyx شنبه,23 خرداد 1383
از: روزنامه جام جم

ويروس Wyx ويروسي قديمي است كه سال 1999 ميلادي شيوع پيدا كرد. اين ويروس كه به وسيله تمام ويروس كش ها به عنوان ويروسي با درجه خطرسازي پايين ( Low ) معرفي شده، فقط وفقط قادر است از طريق ديسكت سيستمي آلوده به ديگر رايانه ها منتقل شود.

به اين ترتيب كه خود را ميان بخشي از كد مربوط به بوت شدن سيستم در فلاپي ديسك جاي مي دهد و به محض اين كه ديسكت در درايو خود قرار گرفت و رايانه شروع به بالا آمدن از روي آن كرد، خود را به حافظه رايانه منتقل مي كند.

اين ويروس از نوع ويروس هاي مقيم در حافظه است. پس از اين كه Wyx به حافظه راه پيدا كرد،سكتورهاي ابتدايي حافظه يعني بوت سكتورها را كه اطلاعات مربوط به بوت شدن رايانه در آن قرار دارد، كمي دستكاري كرده و خودش را در آنها جاي مي دهد.

اين ويروس ممكن است كه به بوت سكتور ( MBR ) و نيز پارتيشين هايي كه به صورت Fat32 هستند، آسيب وارد كند؛

در ضمن Wyx قدرت آلوده كردن تمامي انواع ويندوزها ( حتي آنها كه پس از سال 1999 ارائه شده اند ) و نيز سيستم هاي لينوكس و يونيكس را داراست.

براي پاك كردن اين ويروس ابتدا بايد يك ديسكت سيستمي سالم كه از آلوده نبودن آن به ويروس مطمئن هستيد، بسازيد. سپس رايانه خود را Shut Down و پس از قرار دادن ديسكت سيستمي در آن، آن را از روي فلاپي بوت كنيد.

مرحله بعدي پاك كردن ويروس بوسيله نرم افزار ويروس كش در محيط Dos است. اين مرحله با تايپ چندين دستور انجام مي شود كه البته اين دستورات بسته به نرم افزار ويروس كشي كه استفاده مي كنيد، با يكديگر تفاوت دارند.

براي اطلاع از چگونگي اين دستورات مي توانيد به سايت ارائه كننده ويروس كش خود مراجعه و اطلاعات لازم را دريافت كنيد.

 

[خوبی کن]

حمله يك ويروس به ضد ويروس‌ها

شركت امنيتي F-secure خبري را منتشر كرد كه موجبات نگراني بسياري از كاربران اينترنت را به بار آورد. بر اساس مشاهدات اين شركت، كرم جديدي در اينترنت پراكنده شده كه به نرم‌افزارهاي ضد ويروس حمله كرده و آنها را از كار مي‌اندازد.
Zafi.b كه يكي از چندگونه مختلف كرم مذكور است از طريق ضميمه e-mail با پسوندهاي pif، exe و com منتشر شده و به گفته شركت F-secure، اين كرم مخرب پس از نفوذ به كامپيوتر قرباني كليه فايل‌هايي را كه در نام آنها ويروس يا فايروال باشد تخريب مي‌كند.
در حال حاضر اين ويروس به زبان انگليسي، ايتاليايي، اسپانيايي، روسي، سوئدي، آلماني و فنلاندي در اينترنت پراكنده بوده و از طريق آدرس موجود در e-mail قربانيان به سايرين منتقل مي‌شود. كرم مذكور حتي خود را به عنوان نرم‌افزار0.7 winamp و با ضميمه Full - install.exe معرفي مي‌كند

 

[خوبی کن]

شيوع ويروس «مجازات مرگ»
تاریخ خبر : 27 خرداد 1383
همكاران سيستم -
بر اساس گزارش شركت ارايه‌ كننده‌ي ضد ويروس‌ Sophos ، ويروس چند زبانه‌اي با نام Zafi_B به سرعت از راه اشتراك گذاري فايل‌ها در شبكه و ايميل در حال گسترش است.
اين Worm، اولين هنگام در تاريخ يازدهم ژوئن و با زبان‌هاي مختلفي همچون مجارستاني، انگليسي و اسپانيايي مشاهده شد.
اين Worm، پيامي را به يكي از زبان‌ها ظاهر مي‌سازد كه در آن به «مجازات مرگ» و «اسكان بي‌خانمان‌ها» اشاره مي‌كند.

گراهام كلولي، يكي از مشاوران فناوري شركت Sophos گفته است:«60 درصد گزارش‌هايي كه از پايش شبكه‌هاي جهاني طي 24 ساعت گذشته توسط Sophos به دست آمده، حكايت از اين ويروس داشته اند، به گونه اي كه مي‌توان آن را به عنوان يكي از پرشيوع ترين Worm ها در لحظه‌ي حاضر تلقي كرد».