یک ایمیل جعلی دیگر از فدرال اکسپرس بر روی اینترنت منتشر شده است. مهاجمین با گذشت زمان به آرامی در تلاش هستند. این ایمیل وانمود می کند که از سوی fedex.com می باشد و دلایل قانع کننده ای را برای کاربر جهت باز کردن فایل های پیوست شده ارائه می کند. این ایمیل می گوید که وزن بسته بندی شده، بیش از حد مجاز به هنگام تحویل رایگان است. بنابراین شما باید شخصاً برای دریافت بسته بروید و همزمان باید یک کپی از فاکتور که ضمیمه ایمیل است را به همراه داشته باشید. ادامهی خواندن
این آسیب پذیری در بخشی از ویندوز به نام پروتکل دسکتاپ از راه دور (RDP) نهفته است و می تواند به هکرها اجازه اجرای کد مخرب بدون اجازه کاربران را بدهد. حفره امنیتی ویندوز XP و همه نسخه های بعدی ویندوز منتشر شده از جمله پیش نمایش توسعه ویندوز ۸ را تحت تاثیر قرار می دهد. ادامهی خواندن
موج جدیدی از کلاهبرداری تحت عنوان USPS شکل گرفته است. اگر شما یک ایمیل همانند شکل زیر دریافت کردید شما باید بسیار مواظب باشید. در نگاه اول بسیار معتبر به نظر می رسد و ممکن است که مردم احساس کنند که آن از سوی USPS (سرویس پستی ایالات متحده آمریکا) آمده است. ایمیل جعلی حامل موضوعی به نام – “پیگیری بسته NO # 61،۲۷۱” است و یک فایل زیپ شده مخرب به آن متصل است. ادامهی خواندن
مراقب هشدار گزارش دروغین ردیابی FedEx باشید. هفته گذشته برخی از مشتریان ما به ما اطلاع داد که آنها ایمیل های اسپمی را دریافت کرده اند که مدعی است که از سوی فدرال اکسپرس حامل موضوع : “هشدار ارسال کالا از طریق فدرال اکسپرس” است. ادامهی خواندن
آلودگی کاربران اندروید به بدافزار از طریق سایت های بازار آندروید صورت گرفته است. بدافزار اندروید، کاربران را با یک URL وب سایت جعلی بازار آندروید هدف قرار داد که چیزی شبیه به وب سایت واقعی بازار آندروید (https://market.android.com). است . زمانیکه کاربران روی تبلیغات نرم افزار کلیک می کنند در برنامه آنها چیزی شبیه به صفحه بازار اندروید گوگل به نظر می رسد و نرم افزار اندروید جهت دانلود نمایش داده می شود. ادامهی خواندن
بسیاری از کاربران تصور غلط را دارند که روشن گذاشتن WiFi تنها موجب خالی شدن باطری گوشی های هوشمند می شوند. اگرچه این تصور اشتباه نیست، اما حقیقت این است که تهدید دیگری نیز وجود دارد که باید از آن آگاه بود. در واقع روشن گذاشتن وای فای “زیان توام” می باشد. ادامهی خواندن
مهاجمان فیشینگ از آدرس های ایمیل جعلی کامپیوتر تیم واکنش اضطراری ایالات متحده (US-CERT) به منظور فریب دادن استفاده می کنند و اقدام به دانلود یک فایل اجرایی مخرب در سیستم آنها می کنند. ادامهی خواندن
اخیراً مایکروسافت توانست در دادگاه مربوط به دامنه اینترنتی خرابکارانه چینی org.3322 به همراه DNSهای پویای آن پیروز گردد. این دامنه بدخواه حدود ۷۰۰۰۰ زیردامنه مخرب را میزانی کرده و نزدیک به ۵۰۰ گونه مختلف از بدافزارها را از طریق توزیع نرم افزارهای جعلی توزیع می کرده است. ادامهی خواندن
یک سری از حملات فیشینگ با هدف سرقت اطلاعات ورودی کاربر به جیمیل و یاهو در حال افزایش است. ما اعتقاد داریم که این حملات بخشی از یک مبارزه بزرگ می باشد که هدف آن سرقت اطلاعات کاربر و به خطر انداختن سیستم های کامپیوتری است . اگر کاربران جزئیات لاگین خود را بر روی لینک های فیشینگ وارد کنند ، اطلاعات بدست آمده از آنها به مهاجمان انتقال داده می شود . با اطلاعاتی از این دست، مهاجمان می توانند وارد بخش مدیریت شوند و در حساب کاربری شما تغییرات خاصی را اعمال کنند که به آنها این اجازه را دهد تا بر روی تمامی ایمیل های ارسالی شما نظارت داشته باشند. ادامهی خواندن
ظهور وب ۲٫۰، مهندسی اجتماعی و بسته های مرورگرهای بهره برداری گسترده (BEP) منجر به افزایش مقدار زیادی از تهدیدات در زمان بازدید از سایتهای اینترنتی گردیده است. هنگامی که شما در یک وب سایت به گشت و گذار می پردازید و آدرسی را در URL آن تایپ می کنید ظاهراً یک وب سایت به نظر می رسد. اما به طور بالقوه، می تواند تهدیدات ناخواسته ای را برای شما به ارمغان بیاورد که در کد HTML آن تعبیه شده است. ادامهی خواندن
ما مفتخریم تا رونمایی از محصولات کوییک هیل ۲۰۱۳ را اعلام کنیم. چه تغییراتی رخ داده؟ در اینجا خلاصه ای مختصر و مفید از قابلیت های جدیدی که به ما کمک می کند تا سیستم هایمان در برابر انواع تهدیدات ناخواسته محافظت کنیم، را آورده ایم. ادامهی خواندن
مشاهده شده است که مجرمان اینترنتی پس از مرگ رهبر کره شمالی با استفاده از نام کیم جونگ-II کاربران اینترنت را مورد هدف خود قرار داده اند. مهاجمان در حال دستیابی به ایمیل های هرزه نگاره مخرب که حاوی فایل های دستکاری شده PDF ویژه به نام “BriefintroductionofKim-Jong-il.pdf” هستند.
این فایل PDF پیدا شده برای بهره برداری CVE-2010-2883 و CVE-2010-3333 از آسیب پذیری در نرم افزار ادوب آکروبات ریدر استفاده می کند.
پس از موفقیت نفوذ جهت سوء استفاده، این بدافزار مبادرت به اجرای کد از راه دور در سیستم قربانی می نماید.
ما در زمان تجزیه و تحلیل این DLL فعال را در سیستم شناسایی کردیم :
“Rundll32 %temp%com.dll,COMResModuleInstance”
ما همچنین متوجه تلاش های انجام شده برای ارتباط با “c[xxxx]p.m[xxxx]u.com”شدیم .
کوییک هیل این بدافزار را با نام Trojan.BHO.btgg شناسایی می کند.
ما به کاربران خود پیشنهاد می کنیم تا اگر آنها از نسخه های قدیمی آکروبات ریدر استفاده می کنند لطفاً پچ های زیر را در سیستم خود اعمال نمایند :
http://www.adobe.com/support/security/bulletins/apsb10-21.html
http://www.adobe.com/support/security/bulletins/apsb11-08.html
علاوه بر این ما به کاربران پیشنهاد می کنیم تا :
– از وب سایتهای نامعتبر بازدید ننمایند.
– بر روی هر لینک یا فایل پیوست در ایمیل خود کلیک نکنید.
– اطلاعات مالی و شخصی خواسته شده از خود را در این ایمیلها فاش نسازید.
امروز آخرین روز سال زمانی مناسب برای لیست کردن ۱۰ خانواده ی بدافزار برتر سال است. لیست زیرین براساس گزارشی که به صورت نظر خودکار توسط کوییک هیل های نصب شده درسراسر هند جمع کرده ایم ساخته شده است.
۱۰ خانواده ی برتر بدافزار ۲۰۱۱
• W32.Autorun.Gen: کرمهای Autorun از طریق درایوهای USB و همچنین درایوهای ثابت و mapped (درایو شبکه) پخش می شوند. کرمهای Autorun رها می شوند یا اینکه نرم افزار ی اضافی از قبیل backdoor و دزد کلمه ی عبور دریافت می کنند.
• W32.Sality: آلوده کننده ی فایل های اجرایی قابل حمل که فایلهای اجرایی در پوشه ی ریشه و فایلهای مشترک شبکه و درایوهای حذف شدنی را آلوده می کند.
• Trojan.Agent.gen: یک خانواده ی بدافزار که از HTTP برای رسیدن به سرور راه دور استفاده می کند. Agent های تروجان ازفایلهای بستهای برای طفره رفتن از یافتن امضا استفاده می کنند و خود را با استفاده از نامهای تصادفی فایل نصب می کنند و کلیدهای Autorun را به رجیستری ویندوز اضافه می کنند. Agent های تروجان برنامه های تقلبی و مؤلفه های دیگر را دریافت می کنند.
• W32.Virut: ویروس آلوده کننده ی فایل با قابلیت بکدور براساس IRC (رله ی اینترنتی چت) می باشد. این ویروس توانایی دریافت بدافزارهای دیگر را با دریافت دستورات دارد.
• Worm.VBNA: یک کرم یک بدافزار طراحی شده برای انتشار و گسترش در شبکه می باشد. کرمها این طور شناخته شده اند که با یکی از بردارهای انتقال مانند ایمیل، IRC، قسمت مشترک شبکه، پیغام فوری و شبکه های peer-to-peer پخش می شود. کرم VBNA همچنین یک پیغام هشدار آلودگی یک ویروس قلابی برای فریب کاربران برای خرید نرم افزار تقلبی ضد بدافزار نمایش می دهد. تاکتیکهای ایجاد وحشت از این قبیل در حال افزایش می باشد و کاربران بی اطلاع را شکار می کنند.
• Trojan.Starter: یک اسب تروجان بدخواه یا روبات که می تواند خطر امنیتی سیستم آلوده و یا محیط شبکه آن را نشان دهد.
• LNK.Exploit: یک بدخواه فایلهای میانبر که از آسیب پذیری که هم اکنون توسط این خانواده بهره برداری شده است استفاده می کند. هنگامی که کاربر یک پوشه که در آن میانبر بدخواه موجود است را از طریق برنامه ای که آیکون های میانبر را نمایش می دهد مرور می کند، به جای آن بدافزار اجرا می شود.
• Worm.SlenfBot.Gen: یک باتنت دیگر که می توان از طریق نرم افزارهای چت از قبیل ام.اس.ان مسنجر و یاهو مسنجر و اسکایپ پخش شود. این باتنت همچنین می تواند از طریق درایوهای متحرک و همچنین بهره برداری از حفره ی MS06-040 پخش شود.
• FakeAV: گرچه به معنای واقعی یک ویروس نمی باشد، اما برنامه ی کلاهبردار جزو نرم افزارهای ضد بدافزار مدرن می باشد بنابراین همه ی آلودگیها یک کلاهبردار آنتی ویروس تقلبی را با ظرفیت بارگزاری داراست. این گروه های آنتی ویروس جعلی فعال از عنوان هنرمندان برجسته سال برای گسترش آلودگی ویروس در همه جا استفاده کره اند. یکی از دلایلی که FakeAV موفقیت آمیز می باشد این است که کاربران عادت به دریافت هشدارهای ویروس در پیام های پست الکترونیکی تولید شده توسط مبادی قانونی مانند دسکتاپ، سرور و Gateway برنامه های آنتی ویروس کرده اند.
• TDSS/Alureon: MBR دستگاه قربانی را آلوده می کند و مدت زمانی طول نمی کشد تا کنترل زمان بوت را بدست گیرد. این یکی از پیچیده ترین اجزای Bootkit های تا کنون دیده شده است و ظاهراً تیم توسعه بسیار زیرکی در پشت آن قرار دارد. اجزای این بدافزار موجب تغییر تنظیمات DNS، ربودن درخواست جستجو(hijack)، نمایش آگهی های مخرب، رهگیری اطلاعات محرمانه، دانلود فایل های دلخواه و تخریب دیسک درایور هامی شود.
• W32.Ramnit: PE-آلوده است که آلوده به فایل های اجرایی و HTML در پوشه ریشه، فایل ها بر روی به اشتراک گذاشته شبکه و درایوهای قابل جابجایی است. ویروس یک backdoor را باز و در انتظار دستورالعمل است.
نویسنده: باجرانگ مین
مایلیم تا از آخرین بروزرسانی در رابطه با آنالیز Flamer (شعله) -بد افزار سارق اطلاعات- که اخباری فراوانی از آن در فضای سایبر منتشر شده، خوانندگان خود را آگاه سازیم.
بررسی ها نشان داد که برخی از اجزای بدافزار Flamer گزارش شده در پورتال اسکنر آنلاین، مربوط به ۲ سال و ۱۰ ماه پیش (آگوست ۲۰۰۹) می باشد. لیست زیر نشان می دهد که Flame محصولات امنیتی را شناسایی و متوقف می سازد.
رشته ‘KasperskyLab\AVP6’ و ‘KasperskyLab\protected\AVP7’ سرنخ مربوط به زمان تولید Flame را می دهد. این محصولات امنیتی خاص در سالهای ۲۰۰۸ و ۲۰۰۹ منتشر شده بودند. این بخش احتمال تولید این بدافزار در بین تاریخ های انتهای ۲۰۰۸ تا اویل ۲۰۰۹ را بسیار افزایش می دهد.
مخرب “شعله” شباهت های زیادی مانند استفاده از آسیب پذیری ای Print Spooler و LNK جهت انتشار برداری و قوانین نامگذاری برخی از فایلها با ویروس Stuxnet/Duqu دارد. هرچند که نحوه پیاده سازی آن به علت استفاده از زبان برنامه نویسی Lua -یک زبان اسکریپتی قدرتمند، سبک و قابل درونسازی از ویروسهای استاکس نت/دوکو متفاوت است. پیاده سازی با زبان Lua مزایای فراوانی در فرآیند توسعه دارد مثلاً پکیج های فراوان منتشر شده در https://github.com/LuaDist/Repository برای برنامه نویسی شبکه ای، کتابخانه های فشرده ساز و برنامه نویسی پایگاه داده ای که همه این عوامل تولید نرم افزار را تسریع می کند.
استفاده از کلیدنگار (key logging)، تصویربرداری از صفحه نمایش (screenshot taking)، رصد بسته های شبکه (network sniffing)، آلودگی USB، آلودگی Autorun.inf، ارسالی اطلاعاتی به سرورهای C&C، معماری مبتنی بر کامپوننت، مکانیزم خود-بروزرسانی و متدهای رمزنگاری/فشرده سازی با فرمتهای پیچیده فایل در این بد افزار نهفته است. تمایز Flame در استفاده از پایگاه داده SQLite برای ذخیره سازی مقدار زیادی از اطلاعات ذخیره شده، ضبط صدا از میکروفن، قابلیت ها بلوتوث و… می باشد.
ویروس “شعله” همچنین دارای ماژولهای متفاوتی است که بر روی موارد زیر متمرکز شده اند:
– انتخاب فایلهای خاص از کامپیوتر قربانی
– ذخیره لیستی از دایرکتوری های رد شده
– فشرده سازی فایلها در فضای ذخیره سازی
– تقسیم داده ها به بخش های کوچکتر قبل از ارسال آنها
– اولویت بندی داده ها برای ارسال
– محدود کردن مقدار اطلاعاتی که باید ارسال شوند
– ارسال مجدد در صورت شکست در ارسال
– نظارت بر عملکرد رایانه بدون برانگیختن سوءظن
در موارد حملات هدفمند، ویژگی های مهمی وجود دارند که بهره برداری موفق از هر یک از این ویژگی ها برای مهاجمین بسیار ارزشمند است. عملکرد Flamer برای اجرای دستورات بر مبنای هفتگی و ماهانه برنامه ریزی شده بود. تعداد کل آلودگی های گزارش شده زیر ۵۰۰ مورد است که در حال حاضر بیشتر سازمانهای دولتی خاورمیانه را هدف قرار داده اند. به دلیل تعداد آلودگی اندک، طی این ۳ سال از رادار شرکتهای امنیتی در برابر شناسایی در امان بوده است.
سوالات درباره چگونگی حمله و محتویات اطلاعات جمع آوری شده هنوز بی پاسخ باقی مانده است. تحقیق و تفحص جهت پاسخگپویی به این پرسشها همچنان ادامه دارد.
این امکان وجود دارد که مانند “شعله های” آتش در حال سوزاندن مزارع زیادی باشد، نه فقط در خاورمیانه!
کاربران کوییک هیل در برابر این جاسوسی سایبری محافظت شده می باشند. Quick Heal این بد افزار را با عنوان “Trojan.Flamer.A” شناسایی و پاکسازی می کند.
نویسنده: رانجش نیکام
از قطعی اینترنت در هشتم مارس اجتناب شد، قاضی فدرال موافقت کرده تا زمان استفاده از DNS سرورهای موقت FBI به مدت ۱۲۰ روز دیگر تمدید گردد تا سازمان ها و افراد بتوانند فرصت بیشتری را جهت پاک سازی سیستم از تروجان DNSChanger یابند. این تصمیم در اواخر دیروز گرفته شده است.
بر اساس ضرب الاجل قبلی ۴ ماهه هشتم مارس ، نرم افزارهای مخرب DNSChanger هنوز در حال اجرا بر روی هزاران کامپیوتر در شرکت های مختلف مشاهده شدهاند. برای جلوگیری از یک مشکل بزرگتر برای کسانی که هنوز کامپیوترشان آلوده است ، این افراد باید یک درخواست تمدید مهلت را به قاضی دادگاه فدرال ناحیه جنوبی نیویورک ارسال کنند تا سرورهای آلوده خاموش نشود و کامپیوتر های آلوده به اینترنت متصل بمانند، تا فرصت کافی برای ویروسیابی و از بین بردن این آلودگی برای کاربران باقی بماند.
منبع خبر: msnbc.com
برای بررسی اینکه آیا کامپیوتر شما به نرمافزار مخرب DNS جعلی آلوده شده لطفاً از ابزار رایگان ارائه شده در اینجا استفاده کنید:
http://www.qhi.ir/chkdns.asp
