ويروس

[خوبی کن]

اعلام خطر یک ویروس جدید


شرکتهای ضد ویروس با اعلام خطر جدی درباره یک اسب تروای جدید (ویروس) که یکی از قویترین ابزارهای پخش را داراست به کمک اسپم، ایمیل در حال توزیع است.

این برنامه بنام Backdoor-CGT نوع جدیدی اسب ترواست که گیرنده ایمیل بعد از دریافت آن توسط Outlook به یک وب سایت هدایت میشود.

چنین به نظر میرسد که این ویروس از هنگام ظهور خود در اوایل روز سه شنبه توانسته هزاران سیستم را آلوده کند. البته شرکتهای ضد ویروس هم بیکار ننشسته و توانسته اند در این مدت کوتاه ضد ویروس آنرا آماده کنند.

این ویروس از روش حمله چندجانبه استفاده میکند. بعد از آنکه نامه آلوده دریافتی را باز کردید یک آدرس سایت میبینید که با کلیک کردن روی آن به یک سری سایت هدایت میشوید که خود صحنه ای از حمله این ویروس است. این ویروس سپس به کمک نقطه ضعفی در Outlook بنام IFRAME میتواند وب سایت خود را از دید یوزر پنهان سازد و آنگاه در سکوت کامل نسبت به برداشت و نصب برنامه مخرب Backdoor-CGT اقدام میکند. بعد از آن تازه نوبت حمله اصلی فرامیرسد. ویروس با بازکردن یک پورت در کامپیوتر به افراد پشت پرده این ویروس امکان میدهد که بداخل کامپیوتر رخنه کنند. وب سایتی که تحت حمله این ویروس است از نوع biz بوده و ظاهرا توسط فردی در جمهوری چک راه اندازی شده است. بعضی از شرکتهای ضد ویروس به این ویروس اهمیت چندانی نداده اند و بعضی از آنها از جمله مک آفی با دادن نام SS بدان، آنرا در رده پائین رده بندی کرده است.

در هر صورت توصیه کارشناسان به شما هوشیاری کامل در برابر ویروسهاست.

 

[خوبی کن]

کرم جدید Evaman وارد شبکه شد
جمعه,26 تير 1383

عصر ارتباط
یک ویروس مخرب جدید از طریق پست الکترونیکی وارد رایانه شده، آن را خاموش کرده و از خود نسخه برداری می کند.
این ویروس موسوم به Evaman است و می تواند صدها میلیون دلار خسارت به بازار تجاری وارد کند. کارشناسان IT پیش بینی کرده اند که میزان خسارت این ویروس می تواند به اندازه My Doom باشد که در ژانویه گذشته به سیستم ها حمله کرده بود. Evaman از طریق فایل ضمیمه در پست الکترونیکی وارد شبکه می شود. اگر این فایل باز شود رایانه را مختل کرده و بلافاصله صدها پست الکترونیکی آلوده به سیستم های دیگر می فرستد.

کارشناسان IT، به کاربران توصیه می کنند که از باز کردن هر گونه پیغام ناشناخته مخصوصا با عناوین Delivery Status Notification و Failed Delivery to last recipient خودداری کنند. شایان ذکر است تا کنون کاربران سرویس پست الکترونیک یاهو بیشترین میزان آلودگی را از این ويروس داشته اند

 

[خوبی کن]

گسترش ويروس Backdoor-CGT

شركت‌هاي ضد ويروس و امنيت ايميل درباره برنامه جديد اسب تراوا، هشدارهايي داده‌اند. آن‌ها ادعا مي‌كنند كه اين برنامه جديد در حال توسعه و گسترش در اينترنت و به كار بردن ايميل‌هاي تبليغاتي ناخواسته و نيز هرزنامه‌ها است.

اين برنامه كه Backdoor-CGT نام دارد، گونه جديدي از اسب تراوا بوده كه پس از آن ‌كه كاربران برنامه Outlook شركت مايكروسافت، ايميل‌ها را دريافت كرده و لينك‌هاي درون آن‌ها را باز مي‌كنند، بر روي كامپيوترهاي آن‌ها نصب مي‌شود.

Maksym Schipka ، محقق عالي ‌رتبه شركت MessageLabs گفته است كه اگرچه نرم‌افزار ضد ويروس و گونه روزآمد ساز Outlook در مقابل حملات ويروس‌ها ايمن هستند، اما اسب تراوا از زمان آشكار شدنش تاكنون صدها سيستم اينترنتي را آلوده كرده است.

وي همچنين گفته است كه MessageLabs، در طي دو ساعت، 3600 ايميل كه حاوي لينك‌هاي تراوا بوده‌اند، دريافت كرده است. اين ميزان بيش از 10 برابر ميزان معمول براي گسترش چنين ويروس‌ها‌يي‌ست.

اسب تراوا به حمله‌كنندگان از راه دور، امكان دسترسي و كنترل كامپيوتر‌هايي را مي‌دهد كه خود در حال اجرا شدن بر روي آن‌هاست و باعث مي‌شود كه كاربران كامپيوتر نيز به طور نا آگاهانه آن را بر روي دستگاه‌هاي خود اجرا و يا به عنوان برنامه‌هاي كاربردي نرم‌افزار نصب كنند.

Backdoor-CGT پس از يك بار نصب شدن بر روي كامپيوتر كاربر، به طور اتفاقي يك آدرس اينترنتي را باز كرده و بر روي سيستم‌هاي آلوده كه براي ارتباط با سرورهاي اينترنتي به كار برده مي‌شوند، back door ايجاد مي‌كند.

شركت McAfee توصيه‌هايي درباره برنامه جديد تراوا كه SS نيز ناميده مي‌شود، ارائه كرده، اما اين برنامه را در رده ويروس‌هاي كم خطر قرار داده و خاطر نشان كرده است كه اين برنامه كاربران كسب و كار و داخل منازل را تهديد نخواهد كرد.

 

[خوبی کن]

Atak، این ویروس میخوابد تا پنهان شود!
به گزارش بخش خبر سايت اخبار فن آوري اطلاعات ايران، از سايت http://www.comtonet.com

آخرین نمونه ویروس (کرم) اسپم ساز یا ارسال کننده انبوه نامه ها به نام Atak وقتی بفهمد که برنامه ضدویروس در حال جستجوست، خود را بخواب میزند.

ویروس Atak اولین بار روز دوشنبه دیده شد. هرچند کارشناسان اعتقاد دارند این ویروس خطر چندانی ندارد اما با توان ارسال انبوه نامه ها میتواند نقطه خطر باشد. نویسنده این ویروس با اضافه کردن کدهای اضافی و تکنیک های Evasion، کار بخش تحقیقاتی شرکتهای ضد ویروس را دشوار کرده است. هرچند که پنهان کاری برای نویسندگان ویروس امری عادی است اما این یکی استثناء است. زیرا میتواند بفهمد که برنامه ای در حال تجزیه و تحلیل اوست! اگر چنین حالتی را بفهمد، فعالیتش را متوقف کرده و خود را خاموش میکند یا بعبارتی بخواب میرود.

کارشناسان اعتقاد دارند که این ویروس خطر چندانی ندارد اما از طرف دیگر چون هنوز نتوانسته اند آنرا بخوبی تحلیل کنند نمیتوانند با قاطعیت آنرا کم خطر بدانند.

 

[خوبی کن]

نگارش جديد ويروس رايانه اى Beagle
منبع : خبرگزارى جمهورى اسلامي

شرکتهاى توليد کننده نرم افزارهاى ضد ويروس اعلام کردند نگارش جديدى از ويروس رايانه اى "بگل" به نام "Beagle.AB" در اينترنت شناسايي شده است .
به گزارش سايت اينترنتي "PCworld"، ايميل آلوده به اين ويروس داراى يک فايل ضميمه فشرده ( Zip ) است و اين فايل به يک اسم رمز مجهز شده که اسم رمز مورد نياز براى باز کردن آن نيز در ايميل آلوده به ويروس ذکر شده است .
مسوولان شرکت توليد کننده نرم افزارهاى ضد ويروس "مک آفي" اعلام کردند عملکرد اين نگارش ويروس "Beagle.AB" شباهت زيادى به عملکرد يکي از نگارش هاى قبلي ويروس به نام "Beagle.Z" دارد و اين موضوع نشان ميدهد که نسخه جديد، توسط نگارنده اصلي ويروس "بگل" و يا فردى که به کد اصلي ويروس دسترسي داشته ، طراحي شده است .
اولين نگارش ويروس "بگل" که از طريق ايميل گسترش مييابد، در ماه ژانويه گذشته شناسايي شد و از آن زمان تاکنون نگارشهاى مختلفي از ويروس "بگل" در اينترنت شناسايي شده اند.
اين ويروس به ويژه در آمريکاى شمالي و اروپا گسترش نسبتا زيادى يافته و رايانه هاى فراواني را آلوده کرده است .
کارشناسان امنيتي رايانه ها همواره براى جلوگيرى از ابتلا به ويروسهاى رايانه اى، به کابران توصيه ميکنند که ايميلهاى مشکوک را باز نکرده و نرم افزارهاى ضد ويروس خود را به روز نگاه دارند.

 

[خوبی کن]

محققان امنیتی اعلام کردند که کرم Atak مربوط به گروه القاعده است
يكشنبه,28 تير 1383


گونه جدید کرم Atak که Atak.B نام دارد توسط اغلب شرکت های ضد ويروس گزارش شده است.

کارشناسان امنیتی معتقدند که با انتشار این مسئله که این کرم مربوط به گروه تروريستی القاعده است، شایعات در مورد این کرم، شاید بزرگتر از تهدید خود ويروس باشد.

کارشناسان امنیتی، سطح تهدید این نوع جدید کرم Atak را پایین برآورد کرده اند. در ضمن این گونه تنها کامپیوترهای شخصی را آلوده می کنند که ويندوز 95 را از طریق ويندوز XP اجرا می کنند.

اولین هشدار درباره این کرم توسط مطبوعات بوداپست در کشور رومانی و توسط یک شرکت ضد ويروس منتشر شد. در این هشدار، سخنگوی شرکت اظهار کرد: «که این کرم توسط یک هکر مالزيیایی نوشته شده است که قبلا ادعا کرده بود وی قصد دارد به خاطر حمله آمريکا به عراق کرم نیرومندی را منتشر کند و در نتیجه برخی افراد معتقدند که این هکر با گروه تروريستی القاعده ارتباط دارد. »

در حالیکه وجود ارتباط بین هکر و گروه های سازمان یافته تا به حال آشکار نشده است، شرکت های ضد ويروس نیز هنوز نشانه هایی در کرم Atak.B پیدا نکرده اند که از روی آن ويروس نويس خاصی را پیدا کنند.

 

[خوبی کن]

ويروسي براي وب كم ها در حال انتشار است
خبرگزاري موج
ويروسي جديد كه به تازگي در اينترنت انتشار يافته است و به سرعت نيز در حال گسترش است به سازنده ويروس اجازه مي دهد كه وب كم رايانه آلوده شده را براي جاسوسي در اختيار بگيرد.
به گزارش خبر گزاري موج ، اين ويروس كه Rbot-GR نام دارد هنوز به طور گسترده اي در اينترنت انتشار نيافته است ولي متخصصان امنيتي آن لاين عقيده دارند اين ويروس مي تواند يكي از مخرب ترين برنامه هاي جاسوسي دنياي اينترنت باشد كه صدمات جبران ناپذيري نيز به شركت ها وارد خواهد كرد.
يكي از همين متخصصان مي گويد : اين ويروس مي تواند پنجره اي براي ساير هكرها باشد كه اين بار ديگر نه تنها رايانه هاي آلوده را كنترل مي كنند بلكه مي توانkد فضاي اطراف رايانه را نيز به خوبي ببينند.
گفتني است اين ويروس با گسترش روز افزون خطوط اينترنت پر سرعت مي تواند بيش از پيش باعث ايجاد خطر شود.
به همين علت كاربران بايد هر چه بيشتر مراقب برنامه ها و سخت افزار هايي باشند كه امكان كنترل از راه دور را به هكر ها مي دهند.

 

[خوبی کن]

یک ویروس فضول و بازگشت ویروس Sasser

دو ویروس جدید در اینترنت مشاهده شده اند. اولی یک کرم اینترنتی فضول است که میتواند دوربین Webcam و میکروفن شما را از راه دور کنترل کرده و آنچه دوربین میبیند و میکروفن میشنود را به هکر بفرستد. دومی نمونه جدیدی از ویروس Sasser است که نسخه ای از ویروس NetSky را برایتان به ارمغان می آورد که این یکی، ارسال کننده انبوه ایمیل است.

به گزارش بخش خبر سايت اخبار فن آوري اطلاعات ايران، از سایت کامتونت و به نقل از نیوز و آی تی وب، هرچند که این دو ویروس هنوز دامنه گستردگی بالایی نداشته اند اما یوزرهای کامپیوتر با توجه به حضور آنها در اینترنت، اقدام به بروزرسانی برنامه های ضد ویروس خود کرده اند.

کرم Webcam که توسط Sophos معرفی شده به نام Rbot-GR شناخته میشود و میتواند بدون آنکه یوزر کامپیوتر متوجه شود، به کامپیوتر حمله کند. این ویروس که به همراه یک ایمیل معمولی می آید عملکردی مشابه یک تروا دارد. یعنی به محض باز کردن پیوست ایمیل رسیده، کامپیوتر آلوده میشود. آنچه این ویروس را از سایرین متمایز میسازد آنست که به حمله کننده امکان میدهد تا کنترل Webcam شما را در دست بگیرد.

این حمله فقط یک شوخی نیست و میتواند عواقب امنیتی وخیمی به دنبال داشته باشد. مثلا در محل کار صنعتی، این ویروس امکان درز مسائل محرمانه را فراهم میکند. درست مثل کسی که پشت پرده پنهان شده و شما را میبیند و به حرفهایتان گوش میدهد.

در سال 1990 نمونه اولیه این ویروس به نام Black Orifice دیده شده بود. امروزه گستردگی کم این ویروس فضول، کارشناسان را نگران کرده است که آیا نمونه قدرتمند آن در راه است؟

این ویروس در عین ارسال تصاویر دوربین شما میتواند به حمله کننده امکان دهد که به تمام اطلاعات روی هارد دیسک کامپیوتر آلوده دسترسی یافته و اسمهای رمز را بدزدد. کارشناسان میگویند صدها نوع این ویروس در اینترنت پخش شده است که هر یک روی یک نوع حمله تمرکز میکند. پس توصیه میکنیم چشم دوربین کامپیوتری خود را با یک چشم بند، محکم ببندید.

دوربین هایی که عملکرد فعال بودن خود را با روشن شدن یک چراغ اعلام میکنند، کمک بزرگی برای شناسایی لحظه حمله بشمار میروند.

وقتی از دوربین استفاده نمیکنید، یا آنرا از کامپیوتر بکشید و یا خاموش کنید. استفاده از فایروال و قطع پورت 445 TCP نیز میتواند جلوی این حمله را بگیرید

 

[خوبی کن]

كرم جديدي از نوع Bagle وارد شبكه جهاني شد
خبرگزاري موج
كرم كامپيوتري جديدي از نوع Bagle با نام Bagle-AQ در حجم وسيعي ديروز وارد اينترنت شد .
به گزارش خبرگزاري موج اين كرم به عنوان پيوست ايميل هابا نام foto.zip كه فايلي از عكس و تصاوير را در بر دارد وارد ايميل ها مي شود.
اين فايل شامل فايل HTML و يك فايل اجرائي به نام foto1.exe است كه اگر فعال شود فايل هاي DLL وابسته به تركيبات آپ ديت برنامه هاي مختلف ضد ويروس را از بين مي برد.اين كرم هر شش ساعت بيش از 130 وب سايت مجزا را آلوده مي كند.اين كرم همچنين از موتور SMTP خود براي انتشار در وب سايت ها استفاده مي كند و تنها سيستم هاي ويندوز را آلوده مي كند.
گفتني است روش آلوده كردن Bagle-AQ بسيار گسترده تر از انواع مختلف آن از جمله BagleDI-A و Glieder-H است

 

[خوبی کن]

کرم سخنگو
شنبه,28 شهريور 1383
به تازگی کرمی در شبکه اینترنت پخش شده است که حاوی یک پیام صوتی برای کاربران سیستم عامل ویندوز است.

به گزارش بخش خبر سايت اخبار فن آوري اطلاعات ايران، از خبرگزاري سلام، کرم مذکور به نام Amus که ظاهرا از ترکیه نشأت گرفته است با استفاده از موتور سخنگوی ویندوز که در درون ویندوز XP در نظر گرفته شده شروع به خواندن پیام زیر می‌کند:

«چطوری؟ من برگشتم. اسم من آقای همسی است. می‌بینمت. هاهاهاها. شما باید به ترکیه بیایید. من کامپیوتر شما را پاک می‌کنم. 12345. بای بای.» پس از آن، موسیقی بالا آمدن ویندوز XP نواخته شده و برخی فایل‌های ویندوز نیز پاک می‌شود و همین امر از اجرای ویندوز جلوگیری می‌کند.

گفتنی است که این ویروس از طریق ایمیل نیز گسترش می‌یابد.

 

[خوبی کن]

يك درخواست كار در دو ويروس رايانه‌يي مخفي شده است
ايسنا، به نقل از پايگاه اينترنتي آنانووا،
كارشناسان يك شركت ضدويروسي انگليسي، يك درخواست كار را در خطوط رمزي موجود در 2 ويروس جديد رايانه‌يي پيدا كردند.
عنوان اين پيغام كه تنها توسط يك متخصص ضدويروسي قابل خواندن است جمله فوق مي‌باشد كه ما به دنبال 4 متخصص در رشته‌ي صنعت ضدويروسي هستيم.
اين كارت درخواست كه در ويروس‌هاي My Doon-U و My Doon-V گنجانده شده مي‌تواند طراحان و برنامه ريزي‌هايي را كه خلاقيت بيشتري دارند پيدا كند.

ويروس نامبرده از طريق فايل ضميمه در پست الكترونيكي وارد سيستم مي‌شود. در صورتي كه فرد مراجعه كننده به اين سيستم‌هاي آلوده داراي تبحر كافي براي متوقف كردن فعاليت آن‌ها از طريق نرم‌افزارهاي ضدويروسي باشد مي‌تواند به درخواست كار مزبور دست پيدا كند.

 

[خوبی کن]

كد ويروس حمله‌كننده به « ام اس ان مسنجر » در اينترنت پخش شده‌است
يكشنبه,25 بهمن 1383


كد اصلي ويروسي كه با استفاده از يك حفره امنيتي موجود در "ام اس ان مسنجر" به رايانه‌ها حمله مي‌كند، در اينترنت پخش شده‌است.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايرنا، اين كد مخرب از يكي از قابليتهاي برنامه گفت و گوي اينترنتي "ام اس ان مسنجر" شركت مايكروسافت كه براي نمايش فايلهاي گرافيكي از نوع ‪ PNG‬است، بهره مي‌گيرد.

كارشناسان شركت خدمات امنيتي "كور سكيوريتي" نخستين بار در ماه اوت گذشته موفق به شناسايي اين كد مخرب شده و آن را به شركت مايكروسافت گزارش كردند.

شركت مايكروسافت روز سه‌شنبه يك نرم‌افزار اصلاحي براي ترميم اين حفره امنيتي عرضه كرد و درست چند ساعت پس از عرضه نرم افزار اصلاحي مذكور، كد مخرب سوء استفاده‌كننده از اين حفره امنيتي در اينترنت منتشر شد.

اين كد مخرب هنگام آغاز گفت و گوي يك كاربر "ام اس ان مسنجر" با كاربري ديگر فعال مي‌شود و ارسال يك فايل گرافيكي آلوده به اين كد مخرب از رايانه‌اي به رايانه ديگر، سبب سر ريز شدن حافظه "بافر" و امكان اجرا شدن كد مذكور در آن رايانه مي‌شود.

به گفته كارشناسان، كد مخرب مذكور مي‌تواند با استفاده از "ام اس ان مسنجر" به راحتي به رايانه‌هايي كه از "فاير وال" و "آنتي ويروس" نيز استفاده مي‌كنند راه يابد و از آنجا كه هيچ نيازي به اقدام كاربران جهت گسترش ندارد، به راحتي در ميان رايانه‌هاي مختلف پخش مي‌شود.

بررسي‌ها نشان مي‌دهند كه هم‌اكنون در حدود ‪ ۱۳۰‬ميليون نفر در جهان از "ام اس ان مسنجر" استفاده مي‌كنند و انتشار كد اصلي يك ويروس استفاده كننده از اين نرم‌افزار در اينترنت كه ممكن است مورد استفاده هكرها قرار بگيرد، مي‌تواند در آينده سبب انتشار ويروسي خطرناكتر شود.

 

[خوبی کن]

يك تروجان نرم‌افزار ضد ويروس مايكروسافت را از كار مي‌اندازد

آي تي ايران - مايكروسافت تحقيقات درباره يك برنامه تروجان را آغاز كرده كه ضمن آلوده كردن دستگاه كامپيوتر كاربران نرم افزار ضد جاسوسي نصب شده روي آن را از كار مي‌اندازد.

اين نرم‌افزار ضد جاسوسي چند هفته قبل توسط مايكروسافت منتشر شد و تا كنون شش ميليون نفر آن را از اينترنت دريافت كرده‌اند.

استفان تولوز يكي از مديران امنيتي مايكروسافت نام اين تروجان را Bankash-A عنوان كرد كه از طريق فايل‌هاي الصاقي ايميل براي كاربران ارسال مي‌شود.

به گفته مايكروسافت احتمال اين كه اين تروجان در سطح وسيع گسترش يافته باشد بسيار ضعيف است اما به كاربران توصيه مي‌شود كه نرم‌افزارهاي ضد ويروس خود را به روز كنند.

اين تروجان پس از آلوده كردن دستگاه كاربر تلاش مي‌كند تا ابزار ضد جاسوسي مايكروسافت را حذف يا غير فعال كند و از اين طريق جلوي پيغام‌هاي هشدار آميز به كاربر را بگيرد.

همه ساله تعداد زيادي از اطلاعات شخصي و تجاري اشخاص به هنگام استفاده آنها از ابزارهاي آنلاين دزديده مي‌شود.

 

[خوبی کن]

مايكروسافت در جستجوي ويروس تروجان نرم افزار ضد جاسوسي
دوشنبه,26 بهمن 1383

مايكروسافت به دنبال كشف برنامه تروجاني است كه سعي در متوقف كردن نرم افزار ضد جاسوسي اين شركت دارد.

ابزار جاسوسي در چند هفته اخير فقط توسط مايكروسافت منتشر شد و تا به حال 6 ميليون نفر نيز آن را دانلود كرده اند.
استفان تالاس، مدير امنيت مايكرو سافت گفت اين برنامه مخرب Bankash-ATrojan است و به عنوان ضميمه ايميل ارسال مي شود.
مايكروسافت معتقد است كه اين ويروس هنوز به صورت گسترده منتشر نشده است و به كاربران توصيه كرد كه از برنامه ضد ويروس استفاده كنند. اين برنامه تلاش مي كند برنامه ضد جاسوسي مايكرو سافت را غير فعال يا حذف كند و پيام هاي هشدار ارسال شده به كاربران را متوقف كند.
اين ويروس با به دنبال كردن انتخاب هاي كاربران سعي در دزديدن رمز عبور بانكداري آنلاين يا ديگر اطلاعات شخصي را دارد. مايكروسافت اعلام كرد كه آنها در حال رسيدگي به مسئله اي هستند كه به گفته آنها يك حمله محرمانه به نرم افزار آنها محسوب مي شود. مايكروسافت اوايل اين هفته اعلام كرده بود كه آنها براي توسعه امنيت خود در زمينه نرم افزار ايميل و ويندوز شركت نرم افزار سازنده ضد ويروس Sybari را خريداري مي كنند.
برنامه ضد جاسوسي در حال حاضر در مرحله آزمايشي است و هدف آن كمك به كاربران در پيدا كردن و حذف برنامه هاي جاسوسي است كه استفاده از اينترنت را بازبيني مي كند. موجب انتشار تبليغات نا خواسته و كاهش كارايي pc ها مي شود

 

[خوبی کن]

ارايه PATCH توسط شرکت F-SECURE
سايت همکاران سيستم
شرکت F-Secure براى نقص جدى و خطرناک در محصولات ضد ويروس خود، patchارايه کرده است . اين دومين بار در اين هفته بوده که يک شرکت امنيتى از وجود خطرى در نرم افزار خود گزارش داده است.

اين حفره امنيتى در کتابخانه ضد ويروس ، ۱۸ مورد از محصولات دسک تاپها، سرورها و ورودى ها را آلوده ساخته و محصولات شبکه را در معرض خطر جدى قرار داده است .
بر اساس اين گزارش ،با ايجاد يک فايل آرشيو ARJ، افراد مزاحم و مخرب مى توانند از يک سرريز بافر براى اجراى کد بر روى يک ماشين patchشده استفاده کنند.
Tony Magellanez، يکى از مهندسان سيستم در F-Secure گفته است که سيستم هاى امنيت اينترنت که اين نقص جديد را کشف کرده اند، نمونه هايى از کد مخرب ARJرا براى F-Secure فراهم نکرده اند.
وى افزود : تنها ISSجزيياتى را ارايه داده که بنا بر آن ها F-Secure توانسته patch جديدى توليد کند. اين آسيب پذيرى مىتواند به متجاوزان امکان دهد تا درباره اطلاعات محرمانه شرکت جاسوسى کنند. تعدادى از فروشندگان بزرگ و تامين کنندگان امنيت اينترنت از کتابخانه ضد ويروس در محصولات خود استفاده مى کنند. F-Secure تمامى مشتريان را وادار کرده تا هرچه سريع تر از patchجديدى که ارايه شده استفاده کنند.
Magellanez گفت : کسب و کارهايى که داراى امنيت کنترل شده هستن ، مىتوانند از مدير سياست هاى امنيتى براى ارسال خودکار برنامه هاى به روز رسانى به کامپيوترهاى کاربران استفاده کنند.
شرکت توليدکننده نرم افزار امنيتى، Symantecدرباره وجود آسيب پذيرى در کتابخانه ضد ويروس خود به مشتريان هشدار داده است . اين آسيب پذيرى توسط ISS نيز کشف شده است ، اين نقص نرم افزارى که اکثر محصولات ضد ويروس و ضد هرزنامه Symantecرا تحت تاثير قرار داده ، مى تواند موجب اجراى ويروس بر روى سيستم ها شود

 

[خوبی کن]

ويروسها و تروجانها در كدام قسمت ويندوز شما مخفي شده‌اند؟

چهار روش جهت مخفي شدن ويروسها و تروجانها در زير توضيح داده شده اند:

روش 1 ::
در این روش می توان فایل را در قسمت C:\Windows\Start Menu\Programs\start کپی کرد البته شاخه ها مانند C:\Windows متغییر است و بنا به دایرکتری نصب ویندوز شما فرق می کند .

روش 2 ::
فایل Win.ini است ::
این فایل هم قدرت اجرایی دارد . مانند ::
run= trojan
NullPort=None
BaseCodePage=1256

روش 3 ::
استفاده از فایل System.ini می باشد :
اگر شما پیدا کردید کد shell=Explorer.exe trojan.exe زیر را فایل trojan.exe بعد از Explorer.exe اجرا خواهد شد .

روش 4 ::
استفاده از رجیستری است در لیست زیر شاخه های استارت آپ رجیستری را مشاهده می کنید:


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Info"="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
و این هم فرمان های اجرای رجیستری ::
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command

 

[خوبی کن]

معرفي Adware ها
مترجم: مرجان دارابي

Adware ها ، برنامه هاي مخربي هستند كه تبليغات ناخواسته براي كاربران مي فرستند و نسبت به ساير بدافزارهاي اينترنتي شيوع بيشتري يافته اند. به واقع نمي توان هيچ كاربر اينترنتي را پيدا كرد كه حداقل با يك نوع Adware برخورد نكرده باشد.
گونه هاي مختلف adware به نحوي به سيستم كاربر نفوذ مي يابند كه كاربر متوجه آنها نشود البته ورودشان به يك سيستم كاملا با اجازه كاربر صورت مي گيرد، به نحوي كه درخواست آنها براي نصب ، در غالب بك برنامه كاملا
بي خطر انجام مي گيرد و كاربر بدون توجه به غير واقعي بودن آن برنامه ، درخواست مذكور را قبول مي كند.
Adware ها پس از ورود، به يك سرور خارجي متصل مي شوند كه به وسيله آن تبليغات مشخصي به سيستم آلوده ارسال مي كنند. نحوه عملكردشان به گونه اي است كه زماني كه كاربر به اينترنت وصل مي شود، Adware مذكور به يك كامپيوتر ديگر متصل مي شود و تبليغاتي را به صورت pop-up‌ بر روي صفحه نمايش، اجرا مي كند. اغلب كاربران متوجه نمي شوند كه اين pop-up ها مربوط به وب سايتي است كه مشاهده مي كنند يا از طريق يك adware كه كامپيوترشان را آلوده كرده، ‌برايشان ارسال شده. اين عملكرد به خودي خود براي كاربران مضر است به اين دليل كه ارتباط كاربر را با اينترنت بسيار كند مي كند. ضمنا از آنجا كه adware ها اغلب spyware ها يي را كه علاقمنديهاي كاربر را جمع آوري مي كنند همراه خود دارند مي توانند اطلاعات سيستم آلوده شده را روي سرورهاي خود بفرستند. براي مثال اگر شما در اينترنت مرتبا به دنبال سايت هاي باغباني بگرديد، adware نصب شده روي سيستمتان دائما براي شما تبليغاتي كه مربوط به گل و گياه است مي فرستد.
يك مثال خوب براي نشان دادن نحوه عملكرد adware ها بررسي Twain-Tech است. اين adware به شكل
" پرداخت " براي يك برنامه كاربردي به سيستم كاربر نفوذ مي كند و پس از نصب دائما pop-up هاي تبليغاتي روي صفحه، نمايش مي دهد. محتواي اين تبليغات بستگي به وب پيچ هايي دارد كه كاربر غالبا مشاهده يا جستجو مي كند. كار ديگري كه اين برنامه مخرب انجام مي دهد دانلود كردن spyware ها و انواع ديگري از adware‌ ها مانند Alchemy, Xplugin, و BetterInet است.

مبارزه با Adware ها
به دليل شيوع گسترده اين بدافزارها در اينترنت، رهائي از دست آنها كاري مشكل است. مخصوصا براي سيستم هايي كه آنتي ويروس مناسبي ندارند. هم چنين از آنجا كه نويسندگان اين كدهاي مخرب با دستيابي به اهداف مالي، آنها را منتشر مي كنند، دائما سعي مي كنند نمونه هاي پيچيده تر و جديتر از مدلي هاي قبلي را منتشر كنند.
در نتيجه بهترين راه حل نصب يك آنتي malware همراه يك فايروال است كه دائما به روز شود. اين كار باعث
مي شود نه تنها از ورود adware ها به سيستم جلوگيري شود بلكه راه ورود و خروج اطلاعات از پورت هاي محافظت نشده نيز بسته مي شود.
شركت آنتي ويروس پاندا با ارائه محصولي جديد به نام Panda Platinium Internet Security 2005 كه مجهز به يك فايروال شخصي و تكنولوژي جديد Truprevent است اين امكان را به كاربران مي دهد كه سيستم خود را در مقابل انواع ويروسها و بدافزارهاي شناخته شده و حتي آنهايي كه هنوز شناخته نشده اند،‌ محافظت كند.
براي آشنائي بيشتر با اين محصول مي توانيد به سايت اينترنتي http://www.pandasoftware.com مراجعه نمائيد.

 

[hwt]

اين خبر 213 با 214 خيلي شبيه هم هستنا

 

[خوبی کن]

آشنايي با Spywareها و تهديدات اينترنتي
منبع: www.pandasoftware.com
ترجمه : مرجان دارابي

تا به حال الفاظي چون " تهديدات IT‌" يا " كدهاي مخرب " منحصرا به ويروس هاي كامپيوتري اطلاق مي شد در حاليكه گونه هايي ديگر از برنامه هاي مخرب كامپيوتري وجود دارند كه باعث به وجود آمدن خسارات بسيار جدي تري از خسارات ويروسها، ‌كرم ها يا تروجان ها مي شوند.
اين برنامه ها شامل Spywares ( نرم افزارهاي جاسوسي )‌، Adwares ، Keyloggers ، spams و Dialer ها هستند. اينها مخرب هاي جديدي نيستند و مي توان گفت كه سالها از حضور آنها در اينترنت مي گذرد اما در اين مدت تعداد آنها در مقايسه با ويروسها بسيار ناچيز بوده است.
در صورتيكه اخيرا حضور آنها بسيار مهم شده است، آنقدر مهم كه اصطلاح Malware ( بد افزار ) براي همه آنها ابداع شده.
كلمه "Malware " كه از دو كلمه (‌(MALicious softWARE استخراج شده، به كليه برنامه ها، اسناد يا نامه هايي كه باعث ايجاد يك خرابكاري در سيستمهاي IT هستند، اطلاق مي شود. اين اصطلاح كليه ويروسهاي كامپيوتري را نيز در بر مي گيرد. به همين دليل فايلهايي مانند كوكي ها كه معمولا كاملا بي خطر هستند، از آنجا كه گاهي اوقات دست به سرقت اطلاعات محرمانه يك كامپيوتر مي زنند ، مي توانند در اين دسته بندي جاي بگيرند.
دليل اصلي ازدياد انواع Malwares سودهاي مالي است كه نصيب نويسندگان آنها مي شود. بر اي مثال نويسنده يك spyware با هدف فروش اطلاعات سري كاربران به شركتهاي بازاريابي ، به كامپيوتر كاربران مختلف دستبرد مي زند و يا نويسنده يك Adware مي تواند از طريق ارسال تبليغات يك شركت به كاربران مختلف كسب درآمد كند، بدون توجه اينكه كاربران تمايلي به ديدن اين تبليغات داشته باشند.
Keylogger ها اغلب براي جمع آوري اطلاعات مالي مانند شماره حساب بانكي، جزئيات كارت هاي اعتباري ، password ها و PIN ها استفاده مي شوند.
Dialer ها ، بدون اينكه كاربر متوجه شود از طريق مودم شروع به شماره گيري يك تماس پر هزينه مي كنند.
انواع Malware‌‌‌‌ هاي مذكور مي توانند در سطح بسيار گسترده اي منتشر شوند و بدون اينكه كاربران متوجه شوند روي سيستمشان نصب شوند. به اين دليل عجيب نيست زمانيكه كامپبوترهاي بدون محافظ با يك anti-malware اسكن مي شوند تعداد زيادي برنامه هاي مخرب در آنها پيدا شود.

حكايت Spyware ها
spyware يك برنامه آلوده است كه وظيفه جاسوسي حركت هاي كاربر را در اينترنت به عهده دارد. Spyware مي تواند اطلاعاتي از قبيل ماهيت صفحات وب بازديد شده و مدت زمان و تعداد دفعات بازديد از يك صفحه را جمع آوري كند. اين اطلاعات براي شركت هاي تبليغاتي بسيار با ارزش هستند چرا كه اين شركت ها مي توانند با استفاده از اين اطلاعات هرزنامه هايي مطابق علائق كاربران برايشان ارسال كنند. براي مثال كاربري كه دائما وب سايت هاي ورزشي را مي بيند ممكن است نامه هايي ناخواسته دريافت كند كه تبليغات لوازم ورزشي مي كنند.
Gator و Bargainbuddy دو spyware معروف بودند كه به طور وسيعي منتشر شدند و هنوز هم فعال هستند. شايد به سختي يك كاربر اينترنتي حرفه اي پيدا شود كه تا به حال با spyware ‌ ها برخورد نكرده باشد.
.
Gator مثال خوبي است براي اينكه نشان دهيم چگونه spyware ها كار مي كنند. اين برنامه با ارسال يك فرم و پيشنهاد ارائه خدمات رايگان براي كاربر او را تشويق به نصب برنامه اي مي كند و او را ترغيب مي كند براي اينكه password خود را فراموش نكند آن را ذخيره كنند. سپس از طريق يك پنجره از كاربر اجازه نصب مي خواهد و در ميان كارهاي اينترنتي كاربر تبليغاتي ناخواسته را نمايش مي دهد. از همه بدتر اين است كه كاربر با دادن اجازه براي نصب برنامه Spyware ها را نيز نصب مي كند.
.
Spyware ها معمولا به طور محرمانه اي بر روي سيستم نصب مي شوند. گاهي اوقات با ديدن يك صفحه وب و قبول كردن نصب يك ActiveX control به طور خودكار نصب مي شوند و در بعضي مواقع از طريق بك برنامه ديگر بر روي سيستم نصب مي شوند.

آينده Spyware ها
درست مثل بقيه تهديدات اينترنتي، Spyware ها هم روز به روز پيچيده تر و پيشرفته تر مي شوند و شناسائي و از بين بردن آنها نيز مشكل تر. در همين زمان سازندگان اين بدافزارها سعي مي كنند محصولاتشان تا جائي كه ممكن است بيشتر منتشر شود تا بتوانند سود بيشتري بدست آورند. از آنجا كه spyware ها عمدتا حجم زيادي دارند و نمي توانند از طريق e-mail منتشر شوند در نتيجه تعداد ويروسهاي كامپيوتري (‌ كه آسان تر و سريعتر منتشر مي شوند )‌ كه
مي توانند Spyware ها را بر روي سيستم آلوده شده download كنند هر روز بيشتر مي شود. در واقع يك ويروس مي تواند راه را براي نفوذ تعداد زيادي نرم افزار جاسوسي بر روي يك كامپيوتر باز كند.

مبارزه با Spyware ها
تنها راه حل موجود براي جلوگيري از نفوذ Spyware ها به روز كردن يك Anti- malware و يك فايروال است كه بنوانتد پورت هاي انتقال اطلاعات ( كه كاربر اطلاعي از آنها ندارد ) را ببندتد. يك راه حل خوب ،استفاده از يك برنامه امنيتي مثل Panda Platinum Internet Security 2005 است كه نه تنها از پيشرفته ترين تكنولوژي آنتي ويروس استفاده كرده بلكه داراي سيستمي است كه قادر به شناسائي و از بين بردن انواع تهديدات اينترنتي و spyware ها
مي باشد. همچنين اين محصول شركت آنتي ويروس پاندا داراي يك فايروال شخصي بسيار قوي و تكنولوژي جديد Truprevent مي باشد كه قابليت شناسائي انواع ويروس هاي ناشناخته را دارد

 

[خوبی کن]

این ویروس جدید و خطرناک، باگ دارد!!


نمونه جدیدی از ویروس سابر با سرعتی سرسام آور به کامپیوترهای اروپا و امریکا حمله کرده است.
کارشناسان اعلام کرده اند که کرم سابر، اواخر دوشنبه 21 فوریه از لانه اش سربدرآورده و با سرعت تمام در حال حمله به کامپیوترهاست.
این ویروس از نوع "ارسال انبوه" میباشد و بدان معناست که خود را از طریق ارسال ایمیل به آدرسهای موجود در کامپیوترها، تکثیر میکند.
اما این ویروس باگ دارد! بدینصورت که بعد از فعال شدن و حمله به کامپیوتر، "فایل سیستم" آنرا در یک سند Notepad نمایش میدهد که کارشناسان علت اینکار را نمیدانند و آنرا به باگ ویروس نسبت میدهند.
ماکزیم شیپکا، محقق ارشد ضدویروس شرکت MessageLabs Ltd گفت: اولین نمونه این ویروس بنام کامل W32.Sober-K-mm توسط شرکت امنیتی MessageLabs Ltd در ساعت 05:01 صبح به وقت گرینویچ دیده شد. در اولین ساعت شناسایی، شرکت تعداد 663 نمونه از این ویروس را رد گیری کرد و مشاهده کرد که با سرعت تا ساعت 11 صبح به 2200 نمونه رسید و در هنگام ظهر بود که شرکت اعلام خطر فوق العاده برای آنرا اعلام کرد.
در مقایسه با نمونه قدیمی تر سابر، معلوم است که سرعت انتشار این ویروس بسیار بالاست.
شیپکا گفت: نمونه اصلی سابر در آلمان ایجاد شده و تا نیمه صبح در فرانسه، انگلستان و امریکا شناسایی گردید. احتمالا این نمونه جدید هم مانند ویروس سابر قبلی که در اکتبر 2003 از آلمان حمله کرد، توسط همان هکر نوشته شده است. این ویروس بزبان کامپیوتری ویژوال بیسیک نوشته شده است و لذا کار برگردان کد آن برای رمزگشایی نسبت به ++C و اسمبلی مشکلتر است.
این ویروس با پیامی بزبان انگلیسی یا آلمانی که بستگی به آدرس ایمیل مقصد دارد با یک پیوست و Subject کاملا تصادفی به دستتان میرسد. از جمله Subject هایی که تا کنون دیده شده عبارتند از:
Alert! New Sober worm
Paris Hilton Sex Videos
You visit illegal websites
Your new Password
این ویروس توان ایجاد پیامهای قلابی برای گول زدن گیرنده را دارد تا او را وادار کند فایل zip پیوست ایمیل را باز کند. بعضی از این ایمیلها ادعا میکنند که یک اصلاحیه امنیتی را از طرف شرکت ضدویروس برای نمونه جدید کرم سابر همراه دارند، در حالیکه این خود ویروس سابر است. بعضی ایمیلها میگویند که از طرف FBI امریکا ارسال شده اند که نام پیوست خود را indictment گذاشته است.
اگر فایل پیوست باز شود، ویروس چندین فایل اجرایی به نامهای csrss.exe, winlogon.exe, smss.exe میسازد. سپس کلید SoftwareMicrosoftWindowsCurrentVersionRun رجیستری کامپیوتر را بازنویسی میکند تا فایلهایش طی هربار آغاز بکار کامپیوتر، اجرا شوند.
سپس این کرم بخشی از محتویات "فایل سیستم" ماشین آلوده را در سند Notepad نشان میدهد. شیپکا میگوید هنوز علت اینکار روشن نیست و احتمال میدهیم که اینکار ویروس، ناشی از باگ آن باشد.
در مقابل، یکی دیگر از کارشناسان اعلام کرد که شاید فایل Notepad معرف علامتی باشد دال براینکه نویسنده ویروس در حال انجام تجربه ای روی یک تکنیک جدید است.
ویروس سابر، عملکرد کامپیوتر را بسیار کند میکند و گلوگاه باریکی برای سرورهای ایمیل و شبکه ها ایجاد مینماید که حکم مسدود کردن آنرا دارد.
هیچگاه نامه های ایمیل ناشناس و مشکوک را باز نکنید. ایمیلهای رسیده از دوستان و آشنایان نیز ممکن است آلوده باشد. قبل از باز کردن ایمیلهای حاوی پیوست، حتما از فزستنده ایمیل استعلام کنید تا مطمئن شوید که او نامه را فرستاده است. در غیراینصورت پیوست ایمیل را باز نکنید.