بد افزار اندرويد خود را به جاي برنامه‌ي گوگل پلاس جا مي‌زند

ارسال شده در 2011/09/11 by وبلاگ كوييك‌هيل

لابراتوار كوييك هيل اخيراً يك بدافزار جديد اندرويد از اندرويد ماركت گوگل دريافت كرده است كه آيكن آن شبيه برنامه Google+ است.
اين برنامه‌ي خطرناك، اطلاعات GPS، تاريخچه‌ي تماس‌ها، پيام‌هاي متني و حتي مكالمات تلفني را ذخيره وجمع‌آوري كرده و اين اطلاعات را به يك سرور راه دور ارسال مي‌كند.

اين نرم‌افزار مخرب، بعد از نصب براي ماژول‌هاي زير حق دسترسي درخواست مي‌كند:
PROCESS_OUTGOING_CALLS
INTERNET
ACCESS_GPS
ACCESS_COARSE_LOCATION
ACCESS_COARSE_UPDATES
ACCESS_FINE_LOCATION
READ_PHONE_STATE
READ_CONTACTS
WRITE_CONTACTS
ACCESS_WIFI_STATE
PERMISSION_NAME
SEND_SMS
READ_SMS
RECEIVE_SMS
WRITE_SMS
WAKE_LOCK
RECORD_AUDIO
WRITE_EXTERNAL_STORAGE
MODIFY_PHONE_STATE
DEVICE_POWER
ACCESS_NETWORK_STATE
ACCESS_WIFI_STATE
MODIFY_PHONE_STATE
DISABLE_KEYGUARD
WRITE_SETTINGS
DELETE_PACKAGES
KILL_BACKGROUND_PROCESSES
FORCE_STOP_PACKAGES
RESTART_PACKAGES
WRITE_APN_SETTINGS

همچنين ممكن است سرويس‌هاي زير را راه‌اندازي نمايد:
AlarmService
CallLogService
CallRecordRegisterService
CallRecordService
CallsListenerService
CommandExecutorService
ContactService
EnvRecordService
GpsService
KeyguardLockService
LocationService
MainService
ManualLocalService
RegisterService
ScreenService
SendResultService
SmsControllerService
SmsService
SocketService
SyncContactService
UploadService

اين ويروس همچنين قابليت دريافت دستورات از راه دور و به صورت پيام‌هاي متني را دارا مي‌باشد، البته نياز است تا فرستنده از شماره از پيش تعريف شده “كنترل كننده” استفاده كند.

همچنين قادر به پاسخ‌دهي خودكار تماس‌هاي صوتي وارده مي‌باشد. به اين صورت كه مانند يك منشي مي‌تواند بجاي شما پاسخگوي تماس‌هاي شما باشد!

پيش از پاسخگويي به تماس، تلفن را به حالت سايلنت قرار داده و مانع گوش كردن و متوجه شدن كاربر تلفن مي‌شود. اين بدافزار پد شماره‌گير را مخفي كرده و صفحه نمايش جاري را به عنوان صفحه‌اصلي نمايش مي‌دهد.

همانطور كه در نوشته‌هاي پيشين اشاره شد، بهترين روش براي مقابله با چنين بدافزارهايي، توجه به اعطاي حقوق دسترسي درخواستي برنامه‌ها و استفاده از برنامه‌هاي امنيتي جامع و كامل مانند كوييك‌هيل موبايل سكيوريتي بر روي موبايل مي‌باشد.
اين ويروس تحت عنوان Android.Nickispy.C توسط آنتي‌ويروس كوييك‌هيل شناسايي مي‌شود.
براي اطلاعات بيشتر از http://www.qhi.ir/androidmobile.asp بازديد نماييد.
با تشكر از سانديپ براي آناليز اين بدافزار.

نويسنده: Shrinivas

منتشرشده در تهديدات جديد, عمومی | برچسب‌شده , , , , | دیدگاه‌تان را بنویسید:

چگونه هكرها عكس‌هاي فيس‌بوک شما را مي‌دزدند؟

ارسال شده در 2011/08/25 by وبلاگ كوييك‌هيل

پيش از ارسال تصاوير تعطيلات خود به فيس‌بوک، كمي تامل كنيد – شما مي‌توانيد به افراد بزهكار كمك كنيد تا اطلاعات شخصي را از روي رايانه‌تان به سرقت ببرند. يك بات نت (botnet) به نام Stegobot در هند ساخته شده تا نشان دهد به چه سادگي يك شخص خرابكار مي‌تواند با نفوذ و سرقت تصاوير فيس‌بوک يك كانال ارتباطي محرمانه‌اي ساخته كه شناسايي آن بسيار دشوار مي‌باشد.

مانند بسياري از باتنت‌ها، استگوبات كنترل كامپيوترها را در دست گرفته و كاربران را براي باز كردن پيوست‌هاي آلوده ايميل يا بازديد از سايت‌هاي آلوده فريب مي‌دهد.

در عوض تماس مستقيم با مديران بات‌ها (botmasters)، اين بدافزار به واسطه كاربران آلوده شبكه‌هاي اجتماعي و از طريق فعاليت هاي عادي آنها شيوع مي‌يابد. “اگر يكي از دوستان شما كه وي دوستِ دوستِ مدير بات باشد، اطللاعات به صورت گام به گام در شبكه اجتماعي منتشر شده و در نهايت به دست مدير بات مي‌رسد”.

استگوبات از يك تكنيك بنام steganography براي مخفي كردن اطلاعات در فايل‌هاي تصويري بدون تغيير دادن ظاهر آنها استفاده مي‌كند. اين روش ذخيره سازي 50 كيلوبايت داده را در يك عكس 720 در 720 پيكسل ممكن مي‌سازد كه براي انتقال اطلاعات مهم مانند شماره كارت‌هاي اعتباري و پسوردهايي كه استگوبات از هارد ديسك شما يافته، كافي است.

بات‌نت مذكور مي‌تواند اين اطلاعات را در هر عكسي وارد نمايد و شما آنرا به فيس‌بوک ارسال نماييد؛ در اين هنگام اين باتنت منتظر مي‌ماند تا يكي از دوستانتان بخواهد از پروفايل شما بازديد نمايد. حتي نيازي به كليك بر روي تصوير نيست، چون Facebook زحمت دانلود فايل‌ها را مي‌كشد. احتمال اينكه دوست شما هم به اين بات نت آلوده شده باشد، زياد است، زيرا هر ايميلي كه شما براي دوستان خود ارسال مي‌كنيد، تروجان همراه آن منتشر مي‌شود و زماني كه آنها بخواهند عكس‌هاي خود را آپلود نمايند، اطلاعات خصوصي‌شان به همراه تصاوير براي سارقان ارسال خواهد شد.

از اينرو، در نهايت داده‌ها راه خود را از حساب كاربري دوست شما به حساب كاربري دوستِ دوست شما يافته و اين فرايند ادامه مي‌يابد تا به طراحان اين بدافزار برسند. در نتيجه مجرمان سايبري مي‌توانند اطلاعات شخصي و هويتي شما را از تصاوير استخراج نمايند. همچنين مديران بات‌نت مي‌توانند دستوراتي را از طريق فرايند معكوس به بات نت ارسال نمايند- ارسال يك تصوير محتوي دستورات مخفي شده كه راه خود را به كامپيوترهاي آلوده پيدا مي‌كند.

با سپاس از استگوبات كه تنها در لابراتورا وجود دارد. فعلاً.

نويسنده: Ravindra Deotare

منتشرشده در تهديدات جديد, عمومی | برچسب‌شده , , , , , , , , , | دیدگاه‌تان را بنویسید:

نصب آنتي ويروس جعلي توسط هرزنامه رسيده از FedEx

ارسال شده در 2011/08/21 by وبلاگ كوييك‌هيل

هرزنامه‌اي جديد كه مدعي ارسال از طريق فدرال اکسپرس (FedEX) مي‌باشد به سرعت در حال گسترش است. این ایمیل اسپم شامل موضوعي در مورد “اطلاعیه FedEX” است.
اين ايميل داراي يك فايل ضميمه است و از كاربر درخواست مي كند تا فايل پيوست را كه سندي حاوي جزئيات پيام تحويل دارد را استخراج كند.

در زمان استخراج فايل ضميمه ، کاربر یک فایل exe مخرب ، که داراي آیکون فایل PDF مي باشد را دریافت مي‌كند.

اگر کاربر فايل اجرایی مخرب را كه در داخل فایل پیوست زيپ شده اجرا  كند، فعالیت های زیر انجام مي‌گيرد:
ایجاد پروسس  SVCHOST.EXE و تزریق کد آن .
دانلود فایل ابزار جعلی از آدرس “http://6X.9X.116.16.

بعد از اينكه دانلود نرم‌افزار جعلي آنتي ويروس (FakeAV) به پایان رسید ، نرم‌افزار جعلي آنتي ويروس (FakeAV) شروع به نصب مي‌كند.‌
زمانيكه نصب به پايان رسيد، هشدار جعلي “سيستم در حال تعمير است ” مانند شكلي كه در زیر دیده می شود نشان داده خواهد شد:

كوييك‌هيل نصب جعلی فایل AV را تشخیص مي‌دهد و از کاربران خود در مقابل آن محافظت مي‌كند.
ما قویاً به کاربران خود توصیه مي‌كنيم که فایل ضمیمه ایمیل های ناشناخته را باز نكند.

نویسنده: Ravindra Deotare

منتشرشده در تهديدات جديد, عمومی | برچسب‌شده , , , , | دیدگاه‌تان را بنویسید:

تروجان جاسوسی از مکالمات در اندروید

ارسال شده در 2011/08/14 by وبلاگ كوييك‌هيل

به نظر می رسد که رشد بدافزار در اندروید روز به روز در حال افزایش است. ما یک بدافزار جالب دریافت کردیم که می تواند اطلاعات تاريخچه‌ي تماس ها و صدای ضبط شده ی همه مکالمات تلفنی را ذخیره کرده، و آنها را به شخص بزهکار ارسال نماید.

بسیاری از بدافزارهای پیشین اندروید بدین صورت عمل می کنند که با ارسال یک پیام کوتاه یا برقراری یک تماس تلفنی با شماره های دارای سرویس ویژه هزینه ی گزافی را به کاربران تلفن همراه تحمیل کرده و بدین ترتیب به راحتی به درآمد هنگفتی می رسند.

اما این تروجان خاص، صدای مکالمات را به فرمت AMR با اجازه دسترسي كه قبلاً توسط كاربر تاييد شده، ذخیره می نماید:

در زمان نصب برنامه، اين بدافزار مجوز دسترسي براي اجراي كارهاي زير درخواست مي‌كند:
دسترسي به موقعيت مكاني Cell-ID و WiFi
دسترسي به آپديت‌هاي Cell-ID و WiFi
دسترسي به موقعيت مكاني GPS
دسترسي به اطلاعات مرتبط با شبكه‌هاي WiFi
مجاز كردن دسترسي با سطح پايين مديريت نيروي الكتريسيته
مجاز كردن دسترسي فقط خواندني به وضعيت تلفن
مجاز كردن استفاده از PowerManager WakeLocks (قفل بيداري مديريت نيرو) براي نگه‌داشتن پردازشگر در حالت نيمه‌فعال (sleeping) يا صفحه‌ي نمايش در حالت كاهنده (dimming)
برقراري تماس تلفني بدون استفاده از واسط كاربري شماره‌گير (بنابراين كاربر از تماس‌هاي برقرار شده توسط اين تروجان بي‌خبر مي‌باشد)
مانيتورينگ، تغيير يا قطع تماس‌هاي خروجي كاربر
باز كردن سوكت‌هاي شبكه
خواندن پيام‌هاي SMS
خواندن اطلاعات ليست تماس و دفترچه تلفن كاربر
ذخيره صدا
ارسال پيامك
نوشتن (بدون خواندن) اطلاعات تماس كاربر
نوشتن پيام‌هاي SMS
نوشتن در حافظه‌هاي جانبي

وقتي تروجان اجرا شد، خود را براي اجراي هميشگي در زمان روشن شدن گوشي براي شنود، با خط فرمان زير ثبت مي‌كند:
android.permission.ACTION_BOOT_COMPLETED

همچنين اين بدافزار خطرناك ممكن است هر يك سرويس‌هاي زير را فعال نمايد:
GpsService
MainService
RecordService
SocketService
XM_SmsListener
XM_CallListener
XM_CallRecordService

اين برنامه يك SMS شامل كد IMEI گوشي تلفن به شماره تلفن زير ارسال مي‌كند:
15859268161

سپس اقدام به ثبت اطلاعات زير مي‌كند:
ليست شماره تلفن‌ها
اطلاعات موقعيت جغرافيايي GPS
پيام‌هاي SMS دريافتي
پيام‌هاي SMS ارسالي

اطلاعات فوق در كارت SD در مكان زير نوشته مي‌شوند:
/sdcard/shangzhou/callrecord/

اطلاعات جمع‌‌آوري شده از طريق پورت 2018 به سرور زير ارسال مي‌گردد:
jin.56mo.com

بهترين اقدام در برابر اين نوع از بدافزارها، توجه داشتن به اعطاي اجازه دسترسي به برنامه‌ها مي‌باشد. از خودتان بپرسيد كه آيا اين برنامه واقعاً نياز به اين قابليت‌ها دارد؟ اگر شك داريد، بگوييد نه! علاوه بر اينكه تشخيص اين موارد براي كاربران معمولي كمي دشوار به نظر مي‌رسد، تكنيك‌هاي برقراري امنيت نياز به تخصص، دانش و فعاليت گسترده دارد كه اين وظيفه بر عهده‌ي شركتهاي امنيتي مي‌باشد. اخيراً كوييك‌هيل اقدام به انتشار راهكار امنيتي ويژه اندرويد كرده است. كوييك‌هيل موبايل سكيوريتي  براي اندرويد اين تروجان را با نام Android.Nickispy.A شناسايي مي‌كند.

نويسنده: Shrinivas

منتشرشده در عمومی, مقالات | دیدگاه‌تان را بنویسید:

حملات شديدي سايت‌هاي osCommerce را هدف قرار داده‌اند

ارسال شده در 2011/08/07 by وبلاگ كوييك‌هيل

بيش از 90000 وب‌سايت آلوده يافت شده‌اند كه با يك iFrame به سايت willysy(dot)com وصل مي‌شوند.

وب‌سايت‌هاي كه از پكيج متن‌باز osCommerce براي مديريت فروشگاههاي اينترنتي خود استفاده نموده‌اند، مورد حمله قرار گرفته‌اند.

يك iFame كد يك خطي است كه داده را از سايت ديگر در صفحه وب فعلي بارگذاري مي‌كند.
در صورتي كه كاربر يك صفحه اينترنتي كه يك iFrame آلوده در پايين صفحه‌ي آن وارد شده را باز نمايد، اين صفحه مي‌تواند به صورت خودكار بدافزار خطرناك را به سيستم كاربر وارد مي‌نمايد.

اين تغيير مسير به سايت جديد منجر به نفوذ كيت آلوده و موجب بهره‌برداري از آسيب‌پذيري در جهت حملات بعدي و دانلود فايل مخرب به درون سيستم‌هاي مي‌شود:

CVE-2010-0840
CVE-2010-0188
CVE-2010-0886
CVE-2006-0003

پس از اجراي بدافزار مخرب، براي بدست آوردن حساب كاربري و اطلاعات ضروري جهت ورود به سايت‌هاي بانكداري، شروع به جستجو در فايل‌هاي كوكي اينترنت، تاريخچه براي سرقت اطلاعات ورودي سيستم مي‌كند.

كوييك‌هيل فايل‌هاي دانلود شده را شناسايي كرده و همچنين سايت‌هاي آلوده را از طريق ويژگي محافظ مرورگر خود مسدود مي‌كند.

نويسنده: Shrinivas

منتشرشده در تهديدات جديد, عمومی | دیدگاه‌تان را بنویسید:

تكنيك‌هاي امنيتي محافظت از کارت‌هاي اعتباری

ارسال شده در 2011/08/03 by وبلاگ كوييك‌هيل

دو دسته مردم در نحوه برخورد با كارت‌هاي اعتباري ديده مي شوند، عده‌اي بيش از حد درباره امنيت حساس و سختگير هستند و از كارت‌هاي اعتباري در همه كارها استفاده نمي كنند يا به هيچ عنوان براي تراكنش‌هاي بانكي آنلاين و اينترنتي از آن استفاده نمي كنند و دسته ديگر، افرادي هستند كه درباره امنيت و استفاده از كارت‌هاي اعتباري براي انجام پرداخت‌هاي آنلاين و جاهاي ديكر نكات ايمني را رعايت نمي كنند. نمی توان کلمه بی‌دقتي را برای این دسته از کاربران استفاده کرد اما غفلت می‌تواند در مورد آنها صحيح باشد. رویکرد متعادل استفاده از فناوری‌ها و تسهيلات جدید با رعايت اصول امنيتي، مي‌تواند ما را در افزايش بهره‌وري و كاهش تهديدها ياري نمايد.

گسترش آگاهی در رابطه با حملات سطحي و كلاهبرداري از کارت‌هاي اعتباری امري ضروري است هرچند كه برای برخی از کاربران کارت اعتباری بیش از حد دير شده باشد. كلاهبرداران نسل جديد، روز به روز خود را ارتقاء داده و راه های جدیدي را برای سرقت از اعتبار کارتهاي بانكي کاربران بی گناه مي‌يابند.

توجه به چند نمونه از دستورالعمل های ساده ذيل براي دارندگان کارت اعتباری يا هر نوع كارت بانكي ضروري است:

نکته 1:
شماره رمز كارت اعتباري خود را با اشخاص ديگر به اشتراك نگذاريد. در بسیاری از اوقات این اتفاق می افتد که برخی از مردم به علت مشغله كاري، نداشتن وقت يا هر دليل ديگري كه نمي‌توانند شخصاً به دستگاه ATM مراجعه نمايند، شخص دیگری را برای برداشتن پول از دستگاه خودپرداز مي‌فرستند. برای انجام این کار شما بايد شماره رمز را به آن شخص بگوييد تا بتواند از كارت استفاده نمايد. مهم نيست كه چقدر فرد مورد اطمينان باشد، اما به اشتراك گذاري شماره رمز مي تواند مخاطره‌انگيز باشد به اينصورت كه ما از امن بودن نحوه استفاده يا تايپ رمز عبور در دستگاه خودپرداز نمي‌توانيم مطمئن شويم. هيچ شخص دیگری نمی‌تواند مراقب شما و کارت اعتباری شما و نحوه استفاده از آن باشد.

نکته 2:
اگر شما به طور مرتب از خدمات دستگاه خودپرداز استفاده مي‌كنيد بهتر است همواره آن از یک یا تعداد معدودي از دستگاه‌های خودپرداز استفاده نماييد. این مسئله به شما كمك خواهد كرد تا به جزئیات دیگر دستگاه دقت كنيد و هرگونه تغيير نسبت به دفعه پيشين استفاده از ATM را مشاهده نماييد. دستکاری بر روی دستگاه خودپرداز رو به افزایش است و این كار با تمپرينگ دستگاه ATM به همراه برخی افزونه‌هاي ديگر به آن از طريق تصويربرداري از جزئیات کارت اعتباری انجام مي‌شود. اخیرا يك دستکاری ATM جهانی توسط آژانس پلیس اروپا كشف شد. لينك كامل اخبار در زير آمده است.

نکته 3:
همیشه صورتحساب کارت اعتباری و جزئيات حساب خود را به دقت بررسی کنید. در صورت مشاهده معامله‌ای که به نظر مي‌رسد توسط شما انجام نشده، بلافاصله آن را به بانک خود گزارش دهيد. زماني كه صورتحساب کارت اعتباری را در زمان گردش صورتحساب مالي خود دریافت نمی‌كنيد، يك هشدار مهم براي شما است كه نياز به بررسی داد تا مطمئن شويد که آیا تاخیر آن تصادفی است و یا آدرس صورتحساب شما بدون اطلاع شما تغییر كرده است.

نکته 4:
تا زماني‌كه در مقابل بخش پرداخت وجه يا قسمت تحويل کالا فروشگاه هستيد ، مراقب کارت اعتباری خود باشيد.

نکته 5:
شماره تلفن همراه خود را به حساب کارت اعتباری‌تان، برای هشدار تراكنش لینک كنيد. در این روش شما می‌توانید در هر زمانی که از کارت اعتباری خود استفاده كرديد SMS اطلاع‌رسانی دریافت كنيد. به این ترتیب اگر هيچگونه تراكنشي بر روی کارت اعتباری خود انجام نداده‌ايد اما يك پيامك اطلاع‌رساني مبني بر انجام معامله توسط كارت خود دريافت نموده‌ايد، شما مي‌توانيد كلاهبرداري در کارت اعتباری خود را بلافاصله تشخیص دهيد .

نکته 6:
در هنگام استفاده از کامپیوتر برای استفاده از خدمات بانکداری آنلاین و یا خرید از طريق کارت اعتباری، بسیار مهم است که نرم افزار امنیتی مناسب بر روی کامپیوتر شما نصب شده باشد. نرم افزار امنیتی شما باید برخی از قابليت‌های مهم مانند امنیت وب مبتني بر تكنولوژي ابري و ضد فیشینگ را علاوه بر ویژگی‌های محافظت از هسته مانند آنتی ویروس ، فایروال، ضدجاسوس‌افزار و غیره را دارا باشد. فقط كافيست از محفاظ آنتی ویروس (مانند نرم افزارهاي رایگان یا ارزان) كه همه‌ي ويژگي‌هاي مهم را دارا نيست استفاده نماييد تا خطر همچنان همراهتان باشد. برخي محصولات امنيتي جامع مانند كوييك‌هيل اينترنت سكيوريتي و توتال سكيوريتي كوييك‌هيل از همه‌ي ويژگي‌هاي موردنياز براي خريد الكترونيكي و انجام امور بانكداري اينترنتي امن پشتيباني مي‌كنند. هر دو این محصولات محفاظت قابل اعتمادي به شما هنگامی که در حال انجام معاملات آنلاین می باشيد ، مي‌دهند.

بنابراین از اين به بعد براي استفاده از کارت بانكي خود جهت پرداخت و یا استفاده در دستگاه خودپرداز بیشتر در مورد بخش جلوگیری از دچار مشکل شدن هوشیار باشيد. آگاهي مهمترين بخش ايجاد امنيت در بستر IT مي‌باشد. گسترش پيام‌هاي امنيتي به خانواده و دوستان‌تان و هوشيار نمودن آنها در استفاده امن‌تر از كارت اعتباري در آينده بسيار حائز اهميت مي‌باشد.

لينكهاي مهم :
Global ATM skimming racket
Quick Heal Internet Security
Quick Heal Total Security

منتشرشده در عمومی | دیدگاه‌تان را بنویسید:

نوع مخفي بوتكيت Bootkit.Trup

ارسال شده در 2011/07/07 by وبلاگ كوييك‌هيل

نوع جديدي از بوت‌كيت Bootkit.Trup به صورت گسترده در حال گسترش مي‌باشد. اين بدافزار خطرناك كه براي آلودگي ثبات راه‌انداز اصلي (Master boot record) بروز شده است. رمزنگاري استفاده شده در نوع جديد بدافزار يعني “Bootkit.Trup.B” بسيار شبيه نوع قديمي آن “Bootkit.Trup.A” كه از يك عمليات ساده چرخش به راست (ROR) استفاده مي‌كند، مي‌باشد.

اين روتكيت موقعيت هندسه‌ي درايو ديسك آلوده را دريافت كرده سپس موقعيت نزديك به انتهاي پارتيشن را براي ذخيره MBR اوليه و ديگر اجزاي سخت‌افزاري را محاسبه مي‌نمايد. اين اجزا و پيمانه‌ها در بخش تخصيص نيافته پارتيشن نوشته مي‌شوند، و در مواردي كه ديسك پر شده باشد امكان رونويسي با داده‌هاي ديگر وجود دارد.

MBR اوليه و اجزاي درايور به صورت رمزشده با استفاده از همان متد رمزنگاري ذخيره شده‌اند.كامپوننت درايو، بخش DriverStartIo متعلق به ATAPI جايي كه عمليات نوشتن را رصد مي‌كند، را هوك مي‌كند. در مواردي كه عمليات نوشتن قصد نوشتن در سكتور بوت ركورد اصلي (MBR) را دارد، روتكيت، عمليات نوشتن را تغيير مي‌دهد. اين روش با استفاده از محصولات امنيتي، عمليات تعمير را دور مي‌زند.

مكانيزم محافظتي MBR قبلاً در TDSS مشاهده شد. TDL4 در پايين پشته ذخيره‌سازي براي نظارت بر عمليات خواندن و نوشتن در اولين سكتور قرار دارد و اجزاي رمزنگاري شده‌ي آن در فضاي پارتيشن نشده‌ي ديسك مستقر مي‌باشند.

اين بدافزار مرورگرهاي پرطرفدار را براي تزريق كد و افزودن قابليت تبليغات كليكي براي كسب منافع مالي هدف قرار داده است. روتيكيت مذكور اطلاعات تبليغات كليك شده را در يك فايل INI ذخيره مي‌كند.

برخي نرم‌افزارهاي امنيتي آلودگي MBR را با عنوايني نظير:  Trojan:DOS/Popureb.B و بدافزار بوت‌كيت را با عنوان Trojan:Win32/Popureb.E شناسايي مي‌كنند.برخي از مقالات منتشر شده درباره اين روتكيت پيشهناد حذف و نصب مجدد ويندوز را براي حذف اين بدافزار مي‌دهند.

كاربران كوييك‌هيل مي‌توانند از ابزار BootKitRemover براي شناسايي و پاكسازي اين بوت‌كيت استفاده نمايند. براي تكميل فرايند ترميم نياز به راه‌اندازي مجدد سيستم مي‌باشد.

نويسنده: راجش نيكام – لابراتوار تكنولوژي كوييك‌هيل

منتشرشده در تهديدات جديد, عمومی | دیدگاه‌تان را بنویسید:

برنامه‌ي امنيتي بر روي اندرويد

ارسال شده در 2011/06/25 by وبلاگ كوييك‌هيل

اگر فقط شما بتوانيد يك روبات كوچك داشته باشيد – دستيار كامل، به اندازه جيب شما، بدون مشكل و باگ كه با سرعت زياد كار مي‌كند! اكنون تصور كنيد دستيار شيك شما وارد اندرويد شده و مجموعه‌ي كاملي از دستبند آهنين براي قفل كردن وسيله شما در برابر سارقان ارائه داده و محافظت جامعي را معرفي مي‌نمايد.

اين نسل بعدي امنيت است كه تنها بر روي Android شما به شكل جذابي مي‌نشيند.

اطلاعات بيشتري درباره آرزوهاي آينده مي‌خواهيد؟ براي رونمايي از برنامه‌ي ما ثبت نام كنيد در:

http://quickheal.com/android

دريافت آخرين اطلاعات پرنده درباره برنامه باورنكردني Android از خانواده محصولات كوييك‌هيل و دريافت قيمتي استثنايي ويژه فروش اوليه.

منتشرشده در عمومی | برچسب‌شده , , , , , , , , , , | دیدگاه‌تان را بنویسید:

ابزار تقلبي بازيابي ويندوز اكس‌پي (Windows XP Recovery)

ارسال شده در 2011/06/18 by وبلاگ كوييك‌هيل

ما ايميل آلوده‌ي زير را آناليز كرديم. طبق معمول ادعا مي‌كند كه از شركت معتبر حمل بار جهاني DHL مي‌باشد.

به همراه اين ايميل يك فايل فشرده zip الصاق شده كه شامل يك بدافزار مي‌باشد.
كاربر با استخراج محتويات اين فايل فشرده يك فايل قابل اجرا با آيكن pdf دريافت مي‌كند.

اگر اين فايل را اجرا كنيد، از سايت “http://9X.6X.9.15/f/g.php” يك اسكريپت را اجرا كرده و شروع به دانلود فايل ابزار جعلي از مسير “http://6X.9X.116.16/pusk3.exe” مي‌كند.

پس از تكميل فرايند دانلود، فايل موبوطه بر روي رايانه‌ي آلوده اجرا شده و به عنوان ابزار جعلي “بازيابي ويندوز اكس‌پي” شروع به فعاليت مي‌كند.
اين برنامه همه‌ي آيتم‌هاي موجود در دسكتاپ كاربران را مخفي مي‌كند. همچنين به صورت مداوم شروع به نمايش پيغام خطاي دروغين “Hard Drive Failure” (خرابي در درايو هارد) مي‌كند. اين ابزار تقلبي به صورت زير مي‌باشد:

كوييك‌هيل اين فايل مخرب را با عنوان “TrojanDownloader.Dapato.dt” شناسايي مي‌كند و موجب حفاظت پيشگيرانه كاربران مي‌شود.ما همواره به كابران توصيه مي‌كنيم كه پيوست‌هاي (attachment) ايميل‌هاي ناشناخته را باز نكنند.

نويسنده: Pravesh – تكنولوژي‌هاي كوييك‌هيل

منتشرشده در تهديدات جديد, عمومی | برچسب‌شده , , , , | دیدگاه‌تان را بنویسید:

آيا پسورد شما ساده است؟

ارسال شده در 2011/06/07 by وبلاگ كوييك‌هيل

آيا شما هم يكي از ميليون‌هاي افرادي هستيد كه از رمزعبور (password) ساده و قابل حدس زدن استفاده مي‌كند؟
اكنون زمان آن است كه گذرواژه خود را تغيير دهيد، پيش از آنكه دير شود.

سايت‌هايي نظير Facebook ،Orkut ،Twitter ،LinkedIn ،Gmail ،Rediff و ياهو از جمله وب‌سايت‌هايي هستند كه بيشتر مردم از آنها استفاده مي‌كنند.و اكثر اين وب‌سايت‌ها به كاربران خود توصيه مي‌كنند تا پسورد خود را تغيير دهند.

مساله اين است كه بسياري از كاربران (33%) تنها از يك رمز عبور براي وب‌سايت‌ها استفاده مي‌كنند. به اين معني كه اگر پسورد شما از يكي از سايت‌هاي به سرقت رود مثل Yahoo يا Gmail، مي‌تواند براي باز كردن حساب‌هاي كاربري شما در سايتهاي ديگر مورد استفاده قرار گيرد.

متاسفانه بسياري از مردم گذرواژه‌هاي بسيار ساده را برمي‌گزينند كه حدس زدن را براي هكرها بسيار ساده مي‌كند. سارقان سايبري پسوردهاي متداول و معروف را مي‌دانند و به سرعت مي‌توانند به حساب كاربري شما دسترسي يابند.

بدافزارهايي مانند كرم بدنام كانفليكر (Conficker) به همراه خود يك ليست پسوردها متداول حمل مي‌كنند و از آن براي گسترش بيشتر خود استفاده مي‌نمايند.

در هنگام ايجاد پسورد از عبارات زير استفاده نكنيد:
كلمات استاندارد و معني‌دار در هر زباني
نوشتن برعكس حروف كلمات، غلط‌هاي رايج املايي و مخفف‌ها
كاركترها (حروف يا اعداد) پشت سر هم يا تكراري. مانند: 12345678، 2222222، abcdefg يا حروف مجاور بر روي صفحه كليد مانند: qwerty.
اطلاعات شخصي، نام، تاريخ تولد، شماره گواهينامه، شماره پاسپورت، شماره ملي، يا اطلاعاتي مشابه.

بنابراين، روشن است مردم نياز دارند تا عادت استفاده از پسورد يكسان در همه‌جا را ترك كنند و همچنين مطمئن شوند كه حدس زدن پسوردشان آسان و قابل نفوذ نيست.

راه‌هاي فراواني براي ساختن پسوردهاي پيچيده و طولاني وجود دارد. در لينك زير يكي از راه‌هاي ساده توصيه شده شرح داده شده است:
http://www.microsoft.com/security/online-privacy/passwords-create.aspx

نكته:مطمئن باشيد كه قبل از بستن مرورگر اينترنت از سايت‌هاي اينترنتي خارج (log out) شويد.

منتشرشده در عمومی | برچسب‌شده , , , , | دیدگاه‌تان را بنویسید:

بيت ديفندر 2011 تقلبي

ارسال شده در 2011/05/28 by وبلاگ كوييك‌هيل

آنتي ويروس جعلي BitDefender 2011 يك نرم‌افزار امنيتي گمراه كننده مي‌باشد كه شبيه برنامه قانوني بوده و كاربران كامپيوتر را فريب مي‌دهد.

بيت دفندر واقعي را مي‌توان از سايت bitdefender.com دانلود كرده و آنرا به صورت دستي نصب نمود، در صورتي كه نمونه‌ي تقلبي آن بدون رضايت كاربر بر روي كامپيوتر قرار گرفته و نصب مي‌شود.

جالبه بدونيد بيت ديفندر 2011 تقلبي مي‌تواند بدون شناسايي شدن در كامپيوتر نفوذ كند. چون اين نرم‌افزار جعلي از تكنيكي استفاده مي‌كند كه با تزريق كد خود را در پشت يك پروسس قانوني ويندوز مخفي مي‌كند. همچنين يك تروجان سبب مي‌شود تا بيت دفندر 2011 جعلي بتواند بدون ممانعت هرگونه نرم‌افزار امنيتي نصب شده يك سيستم را دستكاري كند. ممكن است تغييراتي در رجيستري صورت پذيرد تا به اين برنامه مخرب اجازه‌ي اجرا همزمان با بالا آمدن ويندوز را دهد.

به نظر مي‌رسد، مجرمان در حال سرقت نام برنامه‌هاي قانوني مي‌باشند. فريب دادن كاربران با استفاده از نام برنامه‌هاي مطرح بسيار ساده‌تر مي‌باشد، بنابراين كاربران بايد بيشتر مراقب سايت‌هاي اينترنتي باشند.

كوييك‌هيل به همه‌ي كاربران توصيه مي‌كند برنامه‌ها را از وب‌سايت رسمي شركت‌ها دانلود نمايند.

منتشرشده در عمومی | برچسب‌شده , , , , , | دیدگاه‌تان را بنویسید:

فيلم كوييک هيل 2011

ارسال شده در 2011/05/22 by وبلاگ كوييك‌هيل

ما يك شات ويدئويي كوتاه (با زيرنويس فارسي) منتشر كرديم تا محصول كوييکهيل 2011 را معرفي كنيم. تلاش كرديم تا ويژگي‌هاي جديد سري 2011 را تشريح كنيم. آبيجيت جوروكار -قائم مقام و مدير فروش و بازاريابي، آبيجيت كولارني -مدير برنامه توسعه و سواناد شاينده -سرپرست ارشد نرم‌افزار به شكلي زيبا به ارائه ويژگي‌ها پرداختند. اين اولين تلاش ما براي ساخت فيلم بوده و مي‌توانم همه را در اين فيلم ببينم كه واقعاً عالي كار كردند.

 

لطفاً چند دقيقه‌اي وقت بگذاريد و فيلم را نگاه كنيد. اميدوارم همگي فيلم را دوست داشته باشيد.

منتشرشده در عمومی, کوییک هیل | برچسب‌شده , , , | دیدگاه‌تان را بنویسید:

بدافزار هاي “Chepvil” نرم‌افزارهاي جعلي “XP Anti-Virus 2011” را منتشر مي‌سازند

ارسال شده در 2011/05/11 by وبلاگ كوييك‌هيل

يكي پس از ديگري به خانواده بدافزارهايي كه سعي مي‌كنند با ترساندن كاربر اقدام به نصب برنامه‌هاي تقلبي امنيتي نمايند افزوده مي‌شود. حالا نوبت به بدافزار Chepvil رسيد كه از طريق پيوست ايميل منتشر مي‌شود. ايميل در زير نشان داده شده است:

فايل الصاق ايميل با نام‌هايي نظير doc.zip, details.zip, document.zip ارسال مي‌گردند. بعد از استخراج و خارج شدن از حالت فشرده، يك فايل اجرايي با آيكن pdf ايجاد خواهد شد.

اگر كاربر اين فايل اجرايي را اجرا كنيد، فايل‌هاي pusk.exe/pusk2.exe/pusk3.exe دانلود مي‌شوند. همانطور كه از ترافيك http مي‌بينيم:

فايل pusk*.exe به عنوان يك برنامه جعلي “XP Anti-Virus 2011” همانطور كه نشان داده شده كار مي‌كند:

طبق معمول، اين نرم‌افزار قلابي نيز پيام‌هايي جعلي تهديدهاي بر روي صفحه نمايش نشان مي‌دهد و كاربر را مجاب به ثبت محصول براي حذف تهديدات دروغين مي‌نمايد.

به كاربران توصيه مي‌شود تا پيوست‌هاي دريافت شده از منابع و افراد ناشناس باز ننمايند.
كوييك هيل پيوست آلوده را با نام “TrojanDownloader.Chepvil.J” شناسايي مي‌كند.

نويسنده: Pravesh

منتشرشده در تهديدات جديد, عمومی | برچسب‌شده , , , , , , , | دیدگاه‌تان را بنویسید:

ويدئوي اعدام بن‌لادن بر روي فيس‌بوک را نبينيد

ارسال شده در 2011/05/10 by وبلاگ كوييك‌هيل

امروز يك ايميل بر روي فيس‌بوک دريافت كردم كه حاوي پيام زير بود. ايميل درباره ويديوي جديد قتل اسامه اختصاصي از CNN از بود. اين ايميل اطلاع‌رساني در رابطه با بروزرساني ديواره فيس بوك من بود كه لينك كليپ ويدئوي اختصاصي بن لادن توسط يكي از دوستانم ارسال شده بود.

با مطالعه دقيق متوجه شدم كه نوعي از كلاهبرداري توسط مجرمان سايبري مي‌باشد كه تلاش مي‌كنند با بهره‌گيري از داغ‌ترين اخبار جهان كامپيوترهاي جديد را آلوده نمايد. هيچ فيلمي از CNN يا ديگر بنگاه‌هاي خبري درباره اعدام بن‌لادن منتشر نشده است. اين پيامي كه شما از دوستان خود بر روي Facebook wall دريافت مي‌كنيد، ممكن است نتيجه آلودگي توسط كرم رايانه‌اي باشد كه از حساب‌هاي كاربري آلوده به همه‌ي دوستان كاربري كه بر روي لينك كليك كرده و آلوده شده، ارسال مي‌گردد. در اين زمان آلودگي دوباره به همه دوستان كاربر جديد گسترش مي‌يابد.

به همه‌ي كاربران توصيه مي‌كنيم چنين لينك‌هاي ويدئويي دريافتي بر روي ديواره فيس‌بوک را كليك نكرده و حتي پيوست‌هاي ايميل را نيز دانلود نكنند. مجرمان اينترنتي از آخرين اخبار براي گسترش آلودگي و افزايش قربانيان جديد استفاده مي‌نمايند.

منتشرشده در تهديدات جديد, عمومی | دیدگاه‌تان را بنویسید:

ارائه آپدیت امنیتی ادوبی ریدر و آکروبات

ارسال شده در 2011/04/30 by وبلاگ كوييك‌هيل

یک حفره ی مهم در کامپوننت authplay.dll که با نرم افزارهای ادوبی ریدر و آکروبات اکس (10.0.1) و نسخه های پیشین .x10 و  .x9 برای سیستم عامل های ویندوز و مکینتاش شناسایی شد. این حفره (CVE-2011-0609)، همانطوری که در توصیه امنیتی APSA11-01 ارجاع داده شده، می تواند باعث از کار افتادن آن (crash) شده و اختیار سیستم تحت تاثیر یافته را به هجوم کننده بدهد.

گزارش هایی مبنی بر کشف حملات هدف در سیستم های ناامن از طریق فایل (swf) فلش که در فایل (xls) نرم افزار اکسل قرار داده می شود و با ایمیل پیوست می شود وجود دارد. در حال حاضر شرکت ادوبی از حملات انجام شده که نرم افزارهای ادوبی ریدر و آکروبات را مورد هجوم قرار داده است آگاهی ندارد.  ادوبی ریدر اکس حالت محافظت شده ی تسکین از اجرای یک  بهره برداری از این نوع جلوگیری می کند.

ما به کاربران خود توصیه می کنیم که نرم افزار ادوبی ریدر (10.0.1) خود برای مکینتاش را به ادوبی ریدر X (10.0.2) را آپدیت کنند. برای کاربران ادوبی ریدر 9.4.2 تحت ویندوز و مکینتاش، ادوبی به روزرسانی ادوبی ریدر 9.4.3  را در دسترس قرار داد.

برای مشاهده ی جزئیات لطفاً به پیوند زیر مراجعه کنید:
http://www.adobe.com/support/security/bulletins/apsb11-06.html

منتشرشده در عمومی, وصله های امنیتی | برچسب‌شده , , , , , , , , , | دیدگاه‌تان را بنویسید: