اخبار مرگ استیو جابز توسط مجرمان اینترنتی سو استفاده شده است و هرزنامه هایی در ارتباط با این واقع فرستادند.
هرزنامه ی پست الکترونیک دارای یکی از عنوان های زیر می باشد:
استیو جابز هنوز نمرده است!
آیا استیو جابز واقعا مرده است؟
استیو جابز زنده است! یا استیو جابز نمرده است.
اگر شما یکی از این پیغام های استیو جابز زنده است را دریافت کرده اید، به شما توصیه می کنیم که روی لینکی کلیک نکنید و یا فایل ضمیمه ی آنرا دانلود نکنید، زیرا شما را به سمت دریافت کننده ی تروجان و سایت های آلوده و فریبکار هدایت نمایند و امنیت رایانه ی خود را به خطر بی اندازید و سیستم شما آلوده شود.
این تروجان ها نه تنها به حمله کننده اجازه می دهد بدافزارهای دیگر را نصب کند و عملکرد کاربر را ذخیره می کند و راگویر نصب می کند بلکه از آن کامپیوتر نیز برای حمله به دیگران استفاده می کند و هرزنامه پخش می کند.
ما در کوییک هیل به همه کاربران هشدار میدهیم که خبری که استیو جابز مؤسس مشهور شرکت اپل زنده است جعلی می باشد پس بنابراین به آنها توجه نکنید.
مرجع: وب سایت مقالات امنیت IT
لابراتوار کوییک هیل یک بدافزار جدید دریافت نموده که شبیه به نرم افزار Netflix اصلی می باشد و برای دزدیدن اطلاعات اکانت نت فلیکس استفاده می شود.
این یک مورد کلاسیک بدافزار تروجان می باشد که در آن نرم افزار قلابی خیلی شبیه به نرم فزار اصلی می باشد و کاربر را فریب می دهد به طوری که کاربر اطلاعات اکانت نت فلیکس را وارد کند، حتی اجازه ی مورد نیاز نرم افزار تقلبی مثل نرم فزار اصلی می باشد.
پس از نصب نرم افزار آن از کاربر می خواهد که اطلاعات مربوط به اکانت از قبیل پست الکترونیک و کلمه ی عبور را وارد نماید. اطلاعات بدست آمده به یک سرور راه دور که هنگام نوشتن این متن از کار افتاده است می فرستد.وقتی اطلاعات وارد شده است صفحه ای دیگر نشان داده می شود مبنی بر اینکه این نسخه با سخت افزار موجود هم خوانی ندارد و نسخه ی دیگر نرم افزار نصب شود.
آیکن برنامه
صفحه ی اعتبار نامه ی اکانت
کد لازم برای فرستادن اطلاعات به سرور راه دور
از سندیب برای بررسی نمونه متشکریم. بسته نرم افزاری امنیت کوییک فایل را به عنوان Android.Fakeneflic.A. می شناسد.
به کاربران توصیه می شود برنامه را فقط از سایت های معتبر دریافت کنند.
گوگل یک ویژگی جدید برای بروزر خود کروم اعلام کرد که در صورتی که کاربری در حال دانلود یک فایل اجرایی مشکوک به بدافزار بود، به کاربر هشدار می دهد.
تیم کروم در حال توسعه سرویس API گشت امن اینترنت خود برای شامل کردن فایل های دانلود شده می باشند.سرویس API گشت امن اینترنت چیست؟
سرویس ای.پی.آی گشت امن اینترنت یک API تجربی می باشد که به کلاینت ها اجازه می دهد پیوندهای اینترنتی را با لیست سیاه همواره به روز شده صفحات مشکوک به بدافزار و فیشینگ مقایسه کند. نرم افزار کلاینت شما می تواند از این API برای دانلود یکه جدول رمزگذلری شده برای جستجوی محلی و از سمت کلاینت URLهایی که شما می خواهید آنها را بررسی کنید.
این وژیگی با گوگل کروم همراه خواهد شد و در صورتی که کاربری در حال دانلود یک فایل اجرایی مشکوک به بدافزار بود، به کاربر هشدار می دهد.
این پیغام برای هر آدرس اینترنتی دانلودشده که با آخرین لیست وب سایت های منتشر شده توسط API گشت امن اینترنت مطابقت کند نمایش داده می شود. با اضافه کردن پشتیبانی از این مقاصد بدافزار شناخته شده، آنها میزان آلودگی کاربرانی که از گوگل کروم استفاده می کنند را کاهش می دهد.
کوییک هیل همواره به کاربران توصیه میکند تا نرمافزارهای خود را بهروز نگه دارند.
مرجع: سایت مقالات امنیت IT
مایکروسافت راهکار موقت (حل مشکل بدون حذف خود باگ) برای حفره استفاده شده توسط دوکو را منتشر کرد.
مایکروسافت یک توصیه ی امنیتی ۲۶۳۹۶۵۸ برای رفع و رجوع آسیب پذیری اخیر هسته ی ویندوز (CVE-2011-3402) که توسط بدافزار دوکو کشف شده است اعلام کرد.
مایکروسافت به این نتیجه رسیده است که این حفره در پردازش فونت های نوع صحیح جایگذاری شده می باشد.این باگ خیلی مهم است. به زبانی که حرفه ای های امنیت معمولا استفاده می کنند، این باگ توانایی اجرای از راه دور کد (RCE) و ترفیع امتیاز (EoP) را دارد.
مایکروسافت ساعیانه تلاش می کند تا پَچ آنرا بدهد و در حال حاضر ابزار دانلود «آنرا تعمیر کن» را که ویژگی فونتهای نوع صحیح جایگذاری شده را برای تامین امنیت در مقابل حفره غیرفعال می کند ارائه داده است.
مشکلی که با این دانلود وجود دارد این است که نرم افزارهایی که بر اساس این فونتها هستند دیگر نمی توانند به خوبی نمایش داده شوند. برای نمونه نرم افزارهای «اسناد مایکروسافت آفیس»، مرورگرها و نمایش دهنده های اسناد از این فونت ها استفاده می کنند.
ما به کاربرانمان توصیه می کنیم اگر نشانی از این بدافزار دیدند این بسته را نصب کنند. کوییک هیل به عنوان پیشگامان صنعت نرمافزارهای امنیتی، بدافزار مذکور را با نام Trojan.Duqu میشناسد.
مرجع: مقالات امنیتی
مجموعهای از حملات فیشینگ با هدف سرقت اطلاعات کاربری (نام کاربری و رمز عبور) سرویسهای ایمیل یاهو و جیمیل درحال افزایش است. به نظر میرسد این حملات بخشی از یک حرکت بزرگتر باشد که با هدف سرقت اطلاعات کاربری و در اختیار گرفتن سیستمهای کامپیوتری باشد.
به محض اینکه کاربر جزئیات لاگین خود را در سایتهای جعلی وارد کند، بلافاصله اطلاعات کاربری به مهاجمان منتقل میشود. مجرمان سایبری با استفاده از این اطلاعات میتوانند وارد پنل ایمیل شما شده و با اعمال تغییرات خاص در تنظیمات، همهی ایمیلهای خروجی شما را مانیتور کنند. مهاجمان Gmail وارد آدرس ایمیل شده و با اعمال تنظیمات در “forwarding and delegation settings” حساب کاربری ایمیل را تحت کنترل خود در میآورند، که این کار به آنها اجازه ارسال و دریافت پیامهای ایمیل حتی بدون نیاز به ورود مجدد به ایمیل را میدهد.
لابراتوار کوییکهیل چندین لینک سایتهای کلاهبردارانه که به ایمیلهای Gmail و Yahoo حمله میکردند را رصد کردهاند.
آنالیز بیشتر لینک سایت فیشینگ: hxxp://consciousliving.me/gmail.htm مشخص کرد که دامنه consciousliving.me جهت انتقال برای انجام حملات فیشینگ تخصیص یافته است.
این دومین شامل بسیاری دیگر صفحات فیشینگ مرتبط با جیمیل، یاهو میل، فیسبوک و غیره میباشد. مهاجمان ممکن است این دامنه را با افزودن صفحات بیشتری از سایتهای جعلی، به روز کرده و به سایتهای سرویس دهنده آنلاین بیشتری حمله کنند.
Quick Heal همواره در حال رصد و مسدود کردن چنین سایتهای فیشینگ برای کاربران خود میباشد.
نویسندگان بد افزار اندروید راهی جدید و برای ارسال مخربهای به کاربران یافتند. این راه چیزی جز استفاده از کدهای مخرب Quick Response نمیباشد.
کدهای QR) Quick Response) نوعی از بارکدهای ماتریکسی هستند که شامل دادههای کدشده میباشند. از این بارکدخوان همچنین برای ذخیره اطلاعات آدرسهای اینترنتی استفاده میشود.
بیشتر مردم با استفاده از رایانههای شخصی به دنبال نرمافزارهای جدید برای دستگاههای دیجیتالی خود هستند.
بنابراین به جای تایپ کردن کامل آدرس اینترنتی در مرورگر تلفنهای هوشمند، معمولاً وبسایتها دارای کدهای QR میباشند که به راحتی توسط گوشی موبایل اسکن میشوند.
تروجان جدید در برخی سایتهای آلوده که از کد QR استفاده میکنند، یافت شده است.
زمانی که کاربران کد QR را با استفاده از گوشی همراه خود اسکن میکنند، کد مربوطه آنها را به سایتی هدایت میکند که برنامه آلوده و تروجان را بر روی گوشی آنها نصب میکند. وقتی برنامه نصب شد، تروجان تعدادی پیامک به شمارههای سرویسهای ارزش افزوده ارسال میکند. این کار باعث میشود تا با انتقال مبالغی از سیمکارت به صاحبان شمارهی خاص، هزینهی قابل توجهی به کاربر تحمیل شود.
آیکن برنامه:
تروجان در زمان نصب، پرمیژن و اجازه دسترسیهای زیر را درخواست میکند:
بد افزار پیامهای SMS را به شمارههای ویژه با نرخ بالا ارسال میکند:
کوییک هیل موبایل سکیوریتی اندروید، فایل فووق را با عنوان “TrojanSMS.AndroidOS.Jifake.f” شناسایی میکند.
از کاربران درخواست میشود تا از اسکن کدهای QR سایتهای نامعتبر خودداری نمایند.
مرجع: وب سایت مقالات امنیتی
استفاده از اینترنت و گشت و گذار در وب میتواند ساده و جذاب باشد. اطلاعات به آسانی در دسترس است و جهان به شکل محلی کوچک با ارتباطات سریع به نظر میرسد. پایگاههای شبکههای اجتماعی به هیجان ارتباطات اینترنتی افزودهاند و رسانهای را فراهم نمودند که اطلاعات شخصی را به همراه اطلاعات سازمانی به اشتراک گذاشته میشود. به هر حال ظاهراً لذت کار با اینترنت، مشکلاتی را نیز به همراه خود میآورد.
رونق مخاطبان آنلاین اینترنت، علت چرایی محبوبیت این بستر برای سارقان اطلاعات شخصی، حملات سایتهای کلاهبردارانه و فیشینگ و تهدیدهای بدافزاری میباشد. هرچند که روشهایی وجود دارند که شما میتوانید به کمک آنها در هنگام استفاده از اینترنت امن بمانید.
- در زمان ارسال آنلاین اطلاعات شخصی مانند نام کامل، آدرس یا شمارههای تلفن خیلی مراقب باشید.فراموش نکنید که مجرمین و سارقان سایبری در تعقیب بیتهای اطلاعات شما میباشند تا بتوانند از آنها در جهت منافع خود استفاده کنند. تاریخ تولد خود را فاش نکنید (چیزهایی که بانکها برای شناسایی مشتریان خود از آنها استفاده میکنند). شما میتوانید از یک زبان مخفی و امنیتی یا رمز عبوری را انتخاب نمایید که بین دوستان شما و افراد غریبه تفاوت ایجاد کنید.
- اگر نرمافزار امنیتی اینترنتی بر روی رایانهی خود ندارید، فایلهای پیوست ایمیلهایی که از افراد ناشناس دریافت میکند باز نکنید.چنین ایمیلهایی اغلب شامل ویروس یا جاسوسافزار میباشند که میتواند به کامپیوتر شما آسیب رساند یا دادههای شما را به سرقت ببرد.
- آیا صندوق پستی الکترونیکی شما سرشار از ایمیلهای کلاهبردارانه میباشد که ادعا میکنند از سوی هوندا، پیپال، ایبی یا هر بانک یا شرکت مشهور دیگری میباشد و از شما درخواست اطلاعات حساس یا شخصی شما را میکند؟به این ایمیلها، فیشینگ میگویند. در این باره فکر کنید، چرا BBC در یک تصمیم ناگهانی به شما ۱۰۰ هزار بورو میدهد؟ و از شما میخواهد تا شماره حساب بانکی خود را با یک انتقال مبلغ کمی به عنوان پیشپرداخت یا هزینه انتقال به یک حساب نامشخص در جایی دیگر اعلام نمایید! به سادگی این نوع ایمیل ها را به پوشه Junk یا هرزنامه منتقل یا آنها را به عنوان Spam نشاندار نمایید. این ایمیلها را برای شرکتی که ادعا میشود از سوی آن ارسال شده، فوروارد نمایید. آنها تائید خواهند کرد که این ایمیلهایی که شما دریافت نمودهاید واقعی هستند یا خیر. برنامههای ایمیل مانند Yahoo ،MSN و Gmail هرگز از شما رمزعبور ایمیل شما را نخواهند پرسید، فریب اینگونه ایمیلها را هم نخورید.
- به غیر از مواردی که در حال خرید از طریق صفحات بانکهای آنلاین معتبر هستید، از انتشار اطلاعات حساب بانکی یا کارت اعتباری خود جداً خودداری نمایید.شرکتهای معتبر از ابزارهای امنیتی استفاده میکنند. ممکن است شما یک کلید طلایی در پایین صفحه مشاهده کنید که نشان میدهد سایت امن است. در زمان وارد نمودن اطلاعات بانکی یا هر اطلاعات دیگر، مطمئن شوید که اتصال امن میباشد (آدرس صفحات سایت باید با https و بعد یک کولون (:) و دو اسلش (//) آغاز شود) و نشانی سایت به طور کامل قابل اعتماد است. هر سایتی که با HTTPS آغاز شود و کارت اعتباری را بپذیرد قابل اطمینان نیست.
- بسیاری از سایتها از شما درخواست میکنند تا پرسشنامه یک نظر سنجی را تکمیل نمایید. مطمئن شوید که متن را به دقت و تا آخر خواندهاید و همه سوالاتی که از شما پرسیده میشود و شرایط و مواد دیگر قرارداد را به دقت مطالعه کردهاید.در صورتی که تصمیم به تکمیل فرمهای نظرسنجی پا پرسشنامههای آنلاین نمودید، بخشهایی که با * مشخص شدهاند را تکمیل نموده و بقیه قسمتها را بدون تغییر بگذارید.
- فراموش نکنید هر ماه رمز عبور خود را عوض کنید.در ساختن رمز عبور خلاقیت به خرج داده و از ترکیب حرف و عدد استفاده کنید. حدس رمزعبور باید مشکل باشد. شما میتوانید پسوردها را در یک فایل notepad در جایی مطمئن ذخیره کنید.
- با احترام با اینترنت برخورد کنید و مراقب آنچه میگویید یا ارسال میکنید باشید.از افشای اطلاعات شخصی و خاطرات خود بر روی اینترنت خودداری کنید. یک فکر ساده در پشت این نکته قرار دارد: شرکتها اغلب استعدادها را از اینترنت رصد میکنند، اگر شما اطلاعات رسمی تماس خود را بر روی سایتهای شبکههای اجتماعی قرار دهید، آنچه که امروز میگویید میتواند شغل رویاییتان که در ۵ سال آینده میخواهید بگیرید را تهدید کند. بخاطر داشته باشید، زمانی که اطلاعات را بر روی اینترنت قرار دادهاید، دیگر نمیتوانید آن را حذف کنید.
- اگر شما فردی ماجراجو هستید و تصمیم دارید با شخصی که به صورت آنلاین با او آشنا شدید، ملاقات کنید، جلسه را در مکانی عمومی تنظیم کرده و به دوستان و خانواده خود اطلاع دهید.همیشه یک طرح جایگزین درنظر داشته باشید تا در موارد خاص از آن استفاده نمایید. جزئیات طرحها را به دوستان و خانواده خود اطلاع دهید.
- زمانی که کودکان از کامپیوتر یا لپتاپ شما دسترسی دارند، از ویژگی مدیریت خانوادهها (parental controls) استفاده کنید.واقعیت این است که اینترنت دوستار کودکان نمیباشد. یک آنتیویروس (quickheal.ir) با ویژگی مدیریت خانواده تهیه کرده و فعالیت اینترنتی کودکان خود را مدیریت و رصد کنید. از این طریق میتوانید با مشاهده لیست وبسایتهای بازدید شده توسط کودکانتان، مراقبت بیشتری از آنها نمایید. امکان ایجاد محدودیت در ساخت حساب کاربری در شبکههای اجتماعی نظیر فیس بوک برای والدین فراهم آمده است.اگر فرزندتان از قبل عضو این شبکههای اجتماعی میباشد، با این نرمافزار چشم از حساب کاربریشان برندارید. از هر مورد فعالیت گستاخانه، شرم آور آنها گزارش تهیه نمایید.
- یک نرمافزار ضد ویروس قدرتمند نصب کنید.یک آنتیویروس قدرتمند میتواند اکثر حملات را مسدود کرده و در صورت بروز مشکلات اخطارهای ضروری را به اطلاع شما برساند. نرمافزارهای ضد ویروس مانند کوییک هیل (Quick Heal) که دارای چندین ویژگی مانند ضدویروس(AntiVirus)، ضد جاسوسافزار(AntiSpyware)، ضد بدافزار (AntiMalware)، ضد هرزنامه (AntiSpam)، ضد سایتهای کلاهبردار (AntiPhishing)، مدیریت خانواده (Parental Control)، اسکن موبایل از روی کامپیوتر(PC2Mobile)، بهبود عملکرد سیستم (PCTuner) و… میباشند، وجود دارند. چنین آنتیویروسهایی حفاظت و امنیتی چندلایه برای کامپیوتر شما فراهم کرده و به همراه آن امنیت برای گوشیهای موبایل را نیز برای شما به ارمغان میآورد.
مرجع: وبلاگ امنیتی
سایتی که توسط بخش وبگردی 20:30 تلویزیون معرفی -تبلیغ- شده یک سایت غیر معتبر و غیررسمی (iransetup.ir)میباشد که انواع نرمافزارها از جمله آنتیویروسهای غیر اورجینال و کرکی را ارائه می دهد. حتی این سایت تائید ستاد ساماندهی وزارت ارشاد را هم دارا نمی باشد.
بر طبق ادعای این سایت بی اسم و رسم که شامل هیچ تلفن، آدرس یا مشخصات صاحب سایت نیست، اقدام به خرید انواع آنتی ویروس از شرکتهای اصلی و فروش به مشتریان خود می کند.
نکته قابل توجه قیمت های نجومی این سایت برای انواع آنتی ویروسها میباشد. اکثر آنتی ویروس ها با قیمتی کمتر با پشتیبانی و توسط نمایندگان رسمی آنها در ایران ارائه می شود. جالبه که قیمتها از قیمتهای رسمی سایتهای خارجی ارائه دهندگان آنتی ویروس اورجینال بیشتره.
ضمناً توضیح راجع به نحوه پشتیبانی و آپدیت و عدم دریافت نمایندگی توضیحی داده نشده است.
آنتیویروسهای Avast، AVG، Avira، Bitdefender، ESET، F-Secure، G-Data، Kaspersky، Symantec و Quick Heal توسط این سایت به فروش میرسد.
به نظر میرسد این وبسایت متعلق به سری وبسایت های تبلیغات آنتیویروس شید میباشد. آنتی ویروس شید یک ضد ویروس ایرانی-خارجی غیر معتبر میباشد که با ادعای ایرانی بودن و دارای موتور آنتیویروسهای آویرا و ایست بوده که اخیراً این دو آنتیویروس اقدام به مسدود کردن وبسایت و نرمافزار مربوطه کردهاند.
آنتیویروس شید که فقط قابلیت آنتیویروس را داراست، از قابلیتهای امنیتی دیگر مانند، فایروال، آنتیفیشینگ، آنتیاسپایویرو، آنتیاسپم، بروزر پروتکشن و... برخوردار نیست.
ضمناً به علت استفاده از موتور آنتیویروسهای خارجی، از امکان شناسایی ویروسهای جدید و خدمات لابراتواری بیبهره میباشد.
لابراتوار کوییک هیل اخیراً یک بد افزار جدید اندروید از اندروید مارکت گوگل دریافت کرده است که آیکن آن شبیه Google+ app است.
این برنامهی خطرناک، اطلاعات GPS، تاریخچهی تماسها، پیامهای متنی و حتی مکالمات تلفنی را ذخیره وجمعآوری کرده و این اطلاعات را به یک سرور راه دور ارسال میکند.
این نرمافزار مخرب، بعد از نصب برای ماژولهای زیر حق دسترسی درخواست میکند:
PROCESS_OUTGOING_CALLS
INTERNET
ACCESS_GPS
ACCESS_COARSE_LOCATION
ACCESS_COARSE_UPDATES
ACCESS_FINE_LOCATION
READ_PHONE_STATE
READ_CONTACTS
WRITE_CONTACTS
ACCESS_WIFI_STATE
PERMISSION_NAME
SEND_SMS
READ_SMS
RECEIVE_SMS
WRITE_SMS
WAKE_LOCK
RECORD_AUDIO
WRITE_EXTERNAL_STORAGE
MODIFY_PHONE_STATE
DEVICE_POWER
ACCESS_NETWORK_STATE
ACCESS_WIFI_STATE
MODIFY_PHONE_STATE
DISABLE_KEYGUARD
WRITE_SETTINGS
DELETE_PACKAGES
KILL_BACKGROUND_PROCESSES
FORCE_STOP_PACKAGES
RESTART_PACKAGES
WRITE_APN_SETTINGS
همچنین ممکن است سرویسهای زیر را راهاندازی نماید:
AlarmService
CallLogService
CallRecordRegisterService
CallRecordService
CallsListenerService
CommandExecutorService
ContactService
EnvRecordService
GpsService
KeyguardLockService
LocationService
MainService
ManualLocalService
RegisterService
ScreenService
SendResultService
SmsControllerService
SmsService
SocketService
SyncContactService
UploadService
این ویروس همچنین قابلیت دریافت دستورات از راه دور و به صورت پیامهای متنی را دارا میباشد، البته نیاز است تا فرستنده از شماره از پیش تعریف شده “کنترل کننده” استفاده کند.
همچنین قادر به پاسخدهی خودکار تماسهای صوتی وارده میباشد. به این صورت که مانند یک منشی میتواند بجای شما پاسخگوی تماسهای شما باشد!
پیش از پاسخگویی به تماس، تلفن را به حالت سایلنت قرار داده و مانع گوش کردن و متوجه شدن کاربر تلفن میشود. این بدافزار پد شمارهگیر را مخفی کرده و صفحه نمایش جاری را به عنوان صفحهاصلی نمایش میدهد.
همانطور که در نوشتههای پیشین اشاره شد، بهترین روش برای مقابله با چنین بدافزارهایی، توجه به اعطای حقوق دسترسی درخواستی برنامهها و استفاده از برنامههای امنیتی جامع و کامل مانند کوییکهیل موبایل سکیوریتی بر روی موبایل میباشد.
این ویروس تحت عنوان Android.Nickispy.C توسط آنتیویروس کوییکهیل شناسایی میشود.
برای اطلاعات بیشتر از http://www.qhi.ir/androidmobile.asp بازدید نمایید.
با تشکر از ساندیپ برای آنالیز این بدافزار.
مرجع: سایت مطالب فنی و امنیتی
پیش از ارسال تصاویر تعطیلات خود به فیس بوک، کمی تامل کنید – شما میتوانید به افراد بزهکار کمک کنید تا اطلاعات شخصی را از روی رایانهتان به سرقت ببرند. یک باتنت (botnet) به نام Stegobot در هند ساخته شده تا نشان دهد به چه سادگی یک شخص خرابکار میتواند با نفوذ و سرقت تصاویر فیسبوک یک کانال ارتباطی محرمانهای ساخته که شناسایی آن بسیار دشوار میباشد.
مانند بسیاری از باتنتها، استگوبات کنترل کامپیوترها را در دست گرفته و کاربران را برای باز کردن پیوستهای آلوده ایمیل یا بازدید از سایتهای آلوده فریب میدهد.
در عوض تماس مستقیم با مدیران باتها (botmasters)، این بدافزار به واسطه کاربران آلوده شبکههای اجتماعی و از طریق فعالیتهای عادی آنها شیوع مییابد. “اگر یکی از دوستان شما که وی دوستِ دوستِ مدیر بات باشد، اطللاعات به صورت گام به گام در شبکه اجتماعی منتشر شده و در نهایت به دست مدیر بات میرسد”.
استگوبات از یک تکنیک بنام steganography برای مخفی کردن اطلاعات در فایلهای تصویری بدون تغییر دادن ظاهر آنها استفاده میکند. این روش ذخیره سازی ۵۰ کیلوبایت داده را در یک عکس ۷۲۰ در ۷۲۰ پیکسل ممکن میسازد که برای انتقال اطلاعات مهم مانند شماره کارتهای اعتباری و پسوردهایی که استگوبات از هارد دیسک شما یافته، کافی است.
باتنت مذکور میتواند این اطلاعات را در هر عکسی وارد نماید و شما آنرا به فیس بوک ارسال نمایید؛ در این هنگام این باتنت منتظر میماند تا یکی از دوستانتان بخواهد از پروفایل شما بازدید نماید. حتی نیازی به کلیک بر روی تصویر نیست، چون Facebook زحمت دانلود فایلها را میکشد. احتمال اینکه دوست شما هم به این بات نت آلوده شده باشد، زیاد است، زیرا هر ایمیلی که شما برای دوستان خود ارسال میکنید، تروجان همراه آن منتشر میشود و زمانی که آنها بخواهند عکسهای خود را آپلود نمایند، اطلاعات خصوصیشان به همراه تصاویر برای سارقان ارسال خواهد شد.
از اینرو، در نهایت دادهها راه خود را از حساب کاربری دوست شما به حساب کاربری دوستِ دوست شما یافته و این فرایند ادامه مییابد تا به طراحان این بدافزار برسند. در نتیجه مجرمان سایبری میتوانند اطلاعات شخصی و هویتی شما را از تصاویر استخراج نمایند. همچنین مدیران باتنت میتوانند دستوراتی را از طریق فرایند معکوس به بات نت ارسال نمایند- ارسال یک تصویر محتوی دستورات مخفی شده که راه خود را به کامپیوترهای آلوده پیدا میکند.
با سپاس از استگوبات که تنها در لابراتوار وجود دارد. فعلاً.
مرجع: وب سایت امنیتی
هرزنامهای جدید که مدعی ارسال از طریق فدرال اکسپرس (FedEX) میباشد به سرعت در حال گسترش است. این ایمیل اسپم شامل موضوعی در مورد “اطلاعیه FedEX” است.
این ایمیل دارای یک فایل ضمیمه است و از کاربر درخواست می کند تا فایل پیوست را که سندی حاوی جزئیات پیام تحویل دارد را استخراج کند.
در زمان استخراج فایل ضمیمه ، کاربر یک فایل exe مخرب ، که دارای آیکون فایل PDF می باشد را دریافت میکند.
اگر کاربر فایل اجرایی مخرب را که در داخل فایل پیوست زیپ شده اجرا کند، فعالیت های زیر انجام میگیرد:
ایجاد پروسس SVCHOST.EXE و تزریق کد آن .
دانلود فایل ابزار جعلی از آدرس “http://6X.9X.116.16.
بعد از اینکه دانلود نرمافزار جعلی آنتی ویروس (FakeAV) به پایان رسید ، نرمافزار جعلی آنتی ویروس (FakeAV) شروع به نصب میکند.
زمانیکه نصب به پایان رسید، هشدار جعلی “سیستم در حال تعمیر است ” مانند شکلی که در زیر دیده می شود نشان داده خواهد شد:
کوییکهیل نصب جعلی فایل AV را تشخیص میدهد و از کاربران خود در مقابل آن محافظت میکند.
ما قویاً به کاربران خود توصیه میکنیم که فایل ضمیمه ایمیل های ناشناخته را باز نکند.
مرجع: وبلاگ آنتی ویروس
به نظر می رسد که رشد بدافزار در اندروید روز به روز در حال افزایش است. ما یک بدافزار جالب دریافت کردیم که می تواند اطلاعات تاریخچهی تماس ها و صدای ضبط شده ی همه مکالمات تلفنی را ذخیره کرده، و آنها را به شخص بزهکار ارسال نماید.
بسیاری از بدافزارهای پیشین اندروید بدین صورت عمل می کنند که با ارسال یک پیام کوتاه یا برقراری یک تماس تلفنی با شماره های دارای سرویس ویژه هزینه ی گزافی را به کاربران تلفن همراه تحمیل کرده و بدین ترتیب به راحتی به درآمد هنگفتی می رسند.
اما این تروجان خاص، صدای مکالمات را به فرمت AMR با اجازه دسترسی که قبلاً توسط کاربر تایید شده، ذخیره می نماید:
در زمان نصب برنامه، این بدافزار مجوز دسترسی برای اجرای کارهای زیر درخواست میکند:
دسترسی به موقعیت مکانی Cell-ID و WiFi
دسترسی به آپدیتهای Cell-ID و WiFi
دسترسی به موقعیت مکانی GPS
دسترسی به اطلاعات مرتبط با شبکههای WiFi
مجاز کردن دسترسی با سطح پایین مدیریت نیروی الکتریسیته
مجاز کردن دسترسی فقط خواندنی به وضعیت تلفن
مجاز کردن استفاده از PowerManager WakeLocks (قفل بیداری مدیریت نیرو) برای نگهداشتن پردازشگر در حالت نیمهفعال (sleeping) یا صفحهی نمایش در حالت کاهنده (dimming)
برقراری تماس تلفنی بدون استفاده از واسط کاربری شمارهگیر (بنابراین کاربر از تماسهای برقرار شده توسط این تروجان بیخبر میباشد)
مانیتورینگ، تغییر یا قطع تماسهای خروجی کاربر
باز کردن سوکتهای شبکه
خواندن پیامهای SMS
خواندن اطلاعات لیست تماس و دفترچه تلفن کاربر
ذخیره صدا
ارسال پیامک
نوشتن (بدون خواندن) اطلاعات تماس کاربر
نوشتن پیامهای SMS
نوشتن در حافظههای جانبی
وقتی تروجان اجرا شد، خود را برای اجرای همیشگی در زمان روشن شدن گوشی برای شنود، با خط فرمان زیر ثبت میکند:
android.permission.ACTION_BOOT_COMPLETED
همچنین این بدافزار خطرناک ممکن است هر یک سرویسهای زیر را فعال نماید:
GpsService
MainService
RecordService
SocketService
XM_SmsListener
XM_CallListener
XM_CallRecordService
این برنامه یک SMS شامل کد IMEI گوشی تلفن به شماره تلفن زیر ارسال میکند:
۱۵۸۵۹۲۶۸۱۶۱
سپس اقدام به ثبت اطلاعات زیر میکند:
لیست شماره تلفنها
اطلاعات موقعیت جغرافیایی GPS
پیامهای SMS دریافتی
پیامهای SMS ارسالی
اطلاعات فوق در کارت SD در مکان زیر نوشته میشوند:
/sdcard/shangzhou/callrecord/
اطلاعات جمعآوری شده از طریق پورت ۲۰۱۸ به سرور زیر ارسال میگردد:
jin.56mo.com
بهترین اقدام در برابر این نوع از بدافزارها، توجه داشتن به اعطای اجازه دسترسی به برنامهها میباشد. از خودتان بپرسید که آیا این برنامه واقعاً نیاز به این قابلیتها دارد؟ اگر شک دارید، بگویید نه! علاوه بر اینکه تشخیص این موارد برای کاربران معمولی کمی دشوار به نظر میرسد، تکنیکهای برقراری امنیت نیاز به تخصص، دانش و فعالیت گسترده دارد که این وظیفه بر عهدهی شرکتهای امنیتی میباشد. اخیراً کوییکهیل اقدام به انتشار راهکار امنیتی ویژه اندروید کرده است. کوییکهیل موبایل سکیوریتی برای اندروید این تروجان را با نام Android.Nickispy.A شناسایی میکند.
بیش از ۹۰۰۰۰ وبسایت آلوده یافت شدهاند که با یک iFrame به سایت willysy(dot)com وصل میشوند.
وبسایتهای که از پکیج متنباز osCommerce برای مدیریت فروشگاههای اینترنتی خود استفاده نمودهاند، مورد حمله قرار گرفتهاند.
یک iFame کد یک خطی است که داده را از سایت دیگر در صفحه وب فعلی بارگذاری میکند.
در صورتی که کاربر یک صفحه اینترنتی که یک iFrame آلوده در پایین صفحهی آن وارد شده را باز نماید، این صفحه میتواند به صورت خودکار بدافزار خطرناک را به سیستم کاربر وارد مینماید.
این تغییر مسیر به سایت جدید منجر به نفوذ کیت آلوده و موجب بهرهبرداری از آسیبپذیری در جهت حملات بعدی و دانلود فایل مخرب به درون سیستمهای میشود:
CVE-2010-0840
CVE-2010-0188
CVE-2010-0886
CVE-2006-0003
پس از اجرای بدافزار مخرب، برای بدست آوردن حساب کاربری و اطلاعات ضروری جهت ورود به سایتهای بانکداری، شروع به جستجو در فایلهای کوکی اینترنت، تاریخچه برای سرقت اطلاعات ورودی سیستم میکند.
کوییکهیل فایلهای دانلود شده را شناسایی کرده و همچنین سایتهای آلوده را از طریق ویژگی محافظ مرورگر خود مسدود میکند.
مرجع: وبلاگ آنتی ویروس
دو دسته مردم در نحوه برخورد با کارتهای اعتباری دیده می شوند، عدهای بیش از حد درباره امنیت حساس و سختگیر هستند و از کارتهای اعتباری در همه کارها استفاده نمی کنند یا به هیچ عنوان برای تراکنشهای بانکی آنلاین و اینترنتی از آن استفاده نمی کنند و دسته دیگر، افرادی هستند که درباره امنیت و استفاده از کارتهای اعتباری برای انجام پرداختهای آنلاین و جاهای دیکر نکات ایمنی را رعایت نمی کنند. نمی توان کلمه بیدقتی را برای این دسته از کاربران استفاده کرد اما غفلت میتواند در مورد آنها صحیح باشد. رویکرد متعادل استفاده از فناوریها و تسهیلات جدید با رعایت اصول امنیتی، میتواند ما را در افزایش بهرهوری و کاهش تهدیدها یاری نماید.
گسترش آگاهی در رابطه با حملات سطحی و کلاهبرداری از کارتهای اعتباری امری ضروری است هرچند که برای برخی از کاربران کارت اعتباری بیش از حد دیر شده باشد. کلاهبرداران نسل جدید، روز به روز خود را ارتقاء داده و راه های جدیدی را برای سرقت از اعتبار کارتهای بانکی کاربران بی گناه مییابند.
توجه به چند نمونه از دستورالعمل های ساده ذیل برای دارندگان کارت اعتباری یا هر نوع کارت بانکی ضروری است:
نکته ۱:
شماره رمز کارت اعتباری خود را با اشخاص دیگر به اشتراک نگذارید. در بسیاری از اوقات این اتفاق می افتد که برخی از مردم به علت مشغله کاری، نداشتن وقت یا هر دلیل دیگری که نمیتوانند شخصاً به دستگاه ATM مراجعه نمایند، شخص دیگری را برای برداشتن پول از دستگاه خودپرداز میفرستند. برای انجام این کار شما باید شماره رمز را به آن شخص بگویید تا بتواند از کارت استفاده نماید. مهم نیست که چقدر فرد مورد اطمینان باشد، اما به اشتراک گذاری شماره رمز می تواند مخاطرهانگیز باشد به اینصورت که ما از امن بودن نحوه استفاده یا تایپ رمز عبور در دستگاه خودپرداز نمیتوانیم مطمئن شویم. هیچ شخص دیگری نمیتواند مراقب شما و کارت اعتباری شما و نحوه استفاده از آن باشد.
نکته ۲:
اگر شما به طور مرتب از خدمات دستگاه خودپرداز استفاده میکنید بهتر است همواره آن از یک یا تعداد معدودی از دستگاههای خودپرداز استفاده نمایید. این مسئله به شما کمک خواهد کرد تا به جزئیات دیگر دستگاه دقت کنید و هرگونه تغییر نسبت به دفعه پیشین استفاده از ATM را مشاهده نمایید. دستکاری بر روی دستگاه خودپرداز رو به افزایش است و این کار با تمپرینگ دستگاه ATM به همراه برخی افزونههای دیگر به آن از طریق تصویربرداری از جزئیات کارت اعتباری انجام میشود. اخیرا یک دستکاری ATM جهانی توسط آژانس پلیس اروپا کشف شد. لینک کامل اخبار در زیر آمده است.
نکته ۳:
همیشه صورتحساب کارت اعتباری و جزئیات حساب خود را به دقت بررسی کنید. در صورت مشاهده معاملهای که به نظر میرسد توسط شما انجام نشده، بلافاصله آن را به بانک خود گزارش دهید. زمانی که صورتحساب کارت اعتباری را در زمان گردش صورتحساب مالی خود دریافت نمیکنید، یک هشدار مهم برای شما است که نیاز به بررسی داد تا مطمئن شوید که آیا تاخیر آن تصادفی است و یا آدرس صورتحساب شما بدون اطلاع شما تغییر کرده است.
نکته ۴:
تا زمانیکه در مقابل بخش پرداخت وجه یا قسمت تحویل کالا فروشگاه هستید ، مراقب کارت اعتباری خود باشید.
نکته ۵:
شماره تلفن همراه خود را به حساب کارت اعتباریتان، برای هشدار تراکنش لینک کنید. در این روش شما میتوانید در هر زمانی که از کارت اعتباری خود استفاده کردید SMS اطلاعرسانی دریافت کنید. به این ترتیب اگر هیچگونه تراکنشی بر روی کارت اعتباری خود انجام ندادهاید اما یک پیامک اطلاعرسانی مبنی بر انجام معامله توسط کارت خود دریافت نمودهاید، شما میتوانید کلاهبرداری در کارت اعتباری خود را بلافاصله تشخیص دهید .
نکته ۶:
در هنگام استفاده از کامپیوتر برای استفاده از خدمات بانکداری آنلاین و یا خرید از طریق کارت اعتباری، بسیار مهم است که نرم افزار امنیتی مناسب بر روی کامپیوتر شما نصب شده باشد. نرم افزار امنیتی شما باید برخی از قابلیتهای مهم مانند امنیت وب مبتنی بر تکنولوژی ابری و ضد فیشینگ را علاوه بر ویژگیهای محافظت از هسته مانند آنتی ویروس ، فایروال، ضدجاسوسافزار و غیره را دارا باشد. فقط کافیست از محفاظ آنتی ویروس (مانند نرم افزارهای رایگان یا ارزان) که همهی ویژگیهای مهم را دارا نیست استفاده نمایید تا خطر همچنان همراهتان باشد. برخی محصولات امنیتی جامع مانند کوییکهیل اینترنت سکیوریتی و توتال سکیوریتی کوییکهیل از همهی ویژگیهای موردنیاز برای خرید الکترونیکی و انجام امور بانکداری اینترنتی امن پشتیبانی میکنند. هر دو این محصولات محفاظت قابل اعتمادی به شما هنگامی که در حال انجام معاملات آنلاین می باشید ، میدهند.
بنابراین از این به بعد برای استفاده از کارت بانکی خود جهت پرداخت و یا استفاده در دستگاه خودپرداز بیشتر در مورد بخش جلوگیری از دچار مشکل شدن هوشیار باشید. آگاهی مهمترین بخش ایجاد امنیت در بستر IT میباشد. گسترش پیامهای امنیتی به خانواده و دوستانتان و هوشیار نمودن آنها در استفاده امنتر از کارت اعتباری در آینده بسیار حائز اهمیت میباشد.
لینکهای مهم :
Global ATM skimming racketQuick Heal Internet SecurityQuick Heal Total Security
نحوه ارسال اطلاعات سیستمی جهت آنالیز به لابراتوار کوییکهیل:
How to generate system information
در صورت آلودگی احتمالی سیستم به ویروس، میبایست اطلاعات سیستمی را به همراه فایل مشکوک (که باید آن را با پسورد 123 فشرده و zip کرد) به ایمیل واحد پشتیبانی شرکت (support@quickheal.com) ارسال نمایید.
نحوه ساختن فایل System information به صورت تصویری شرح داده شده است:
1- اجرای کوییکهیل و از منوی Help زیرمنوی Support را اجرا میکنیم:
2- در پنجره Support دکمه Submit System information را میزنیم:
3- بر روی Next کلیک میکنیم:
4- در این بخش اطلاعات مشکل را به شرح زیر وارد میکنیم:
در قسمت (1) در صورتی که احتمال میدهید سیستم به بدافزار جدید آلوده شده است گزینه اول را انتخاب میکنیم. اگر در کار کردن با مشکل برخورد کردیم گزینه دوم را انتخاب مینماییم.
در قسمت (2) توضیحاتی راجع به مشکل به همراه مشخصات خود را ارسال مینماییم.
در قسمت (3) ایمیل خود را وارد و دکمه Finish را کلیک میکنیم.
5- پس از جمعآوری اطلاعات ضروری سیستمی پنجره زیر نمایش داده میشود:
6- در انتها فایل info.qhc را که در درایو ریشه ویندوز (معمولاً C) ساخته میشود را به همراه فایل مشکوک در فایل فشرده Zip با پسورد 123 قرار داده و به ایمیل شرکت ارسال نمایید.
عدم ویروسیابی برخی فایلهای آلوده مانند کرک
Exclude Files and Folders
در برخی موارد کاربران مایلند تا درایو، پوشه یا فایل خاصی که ویروسی نیز میباشد |(مانند Keygen، Crack، درایور قفلهای سختافزاری غیرمجاز، برخی پچهای نرمافزاری ایرانی و...) را در کامپیوتر خود نگاه دارند. کوییکهیل برای این دسته از کاربران ویژگی خاصی به نام Exclude را تعریف کرده است تا فایل، یا پوشه مورد نظر را از ویروسیابی مستثنی کرده و در عین حال از انتشار آن جلوگیری میکند. پیشنهاد میشود همهی فایلهای آلوده (کرک، کیجن و...) را در یک پوشه قرار داده و آن پوشه را استثناء کنید.
نحوه استثناء کردن فایل یا پوشه خاص از ویروسیابی به صورت تصویری شرح داده شده است:
1- اجرای کوییکهیل و کلیک بر روی هستهی اول Files & Folder:
2- کلیک بر روی گزینه Exclude Files & Folders:
3- در پنجره Exclude Files & Folders دکمه Add را کلیک میکنیم:
4- پنجره New Exclude Item باز میشود که به شرح زیر قابل تنظیم میباشد:
در قسمت (1) دو دکمه فایل و فولدر وجود دارد. با توجه به نوع آیتمی که میخواهید استثناء کنید (فایل یا پوشه) بر روی دکمه مورد نظر کلیک نمایید.
در قسمت (2) سه گزینه دارد: گزینه نخست برای عدم شناسایی همه ویروسها، گزینه دوم استثناء کردن از اسکن DNA و گزینه سوم استثناء کردن از فایلهای بستهای مشکوک میباشد. پیشنهاد میشود گزینه اول را تیک نمایید.
5- پس از کلیک بر روی دکمه Folder، پنجرهBrows باز میشود که میتوانید فولدر موردنظر را انتخاب نمایید. در صورتی که مایلید همه زیرپوشهها و فولدرهای دخلی آن نیز از اسکن استثناء شوند، گزینه Include Sebfolder را نیز تیک نمایید.
6- بر روی OK کلیک نمایید:
7- در انتها بر روی دکمه Save Changes کلیک میکنیم.
در آخرین آزمون VB100% بر روی سیستم عامل Windows Vista SP2 x64 Business Ed که در تاریخ آگوست 2011 برگزار شد نتایج جالبی بدست آمد.
در این آزمون AVG (ای وی جی)، کومودو (Comodo)، کسپرسکی (Kaspersky)، پیسی تولز (PC Tools) نتوانستند در این آزمون موفق بیرون بیایند و در این آزمون رد شدند.
آنتی ویروسهای مطرحی مانند نورتون سیمانتک، مایکروسافت فورفرانت (Microsoft Forefront)، K7، اف سکیور F-secure در این آزمون شرکت نکردند.
تنها چند آنتیویروس مانند Eset (ناد 32)، آویرا (Avira)، کوییک هیل (Quick Heal)، مکافی McAfee توانستند از این آزمون سربلند بیرون بیایند.
نوع جدیدی از بوتکیت Bootkit.Trup به صورت گسترده در حال گسترش میباشد. این بدافزار خطرناک که برای آلودگی ثبات راهانداز اصلی (Master boot record) بروز شده است. رمزنگاری استفاده شده در نوع جدید بدافزار یعنی “Bootkit.Trup.B” بسیار شبیه نوع قدیمی آن “Bootkit.Trup.A” که از یک عملیات ساده چرخش به راست (ROR) استفاده میکند، میباشد.
این روتکیت موقعیت هندسهی درایو دیسک آلوده را دریافت کرده سپس موقعیت نزدیک به انتهای پارتیشن را برای ذخیره MBR اولیه و دیگر اجزای سختافزاری را محاسبه مینماید. این اجزا و پیمانهها در بخش تخصیص نیافته پارتیشن نوشته میشوند، و در مواردی که دیسک پر شده باشد امکان رونویسی با دادههای دیگر وجود دارد.
MBR اولیه و اجزای درایور به صورت رمزشده با استفاده از همان متد رمزنگاری ذخیره شدهاند.کامپوننت درایو، بخش DriverStartIo متعلق به ATAPI جایی که عملیات نوشتن را رصد میکند، را هوک میکند. در مواردی که عملیات نوشتن قصد نوشتن در سکتور بوت رکورد اصلی (MBR) را دارد، روتکیت، عملیات نوشتن را تغییر میدهد. این روش با استفاده از محصولات امنیتی، عملیات تعمیر را دور میزند.
مکانیزم محافظتی MBR قبلاً در TDSS مشاهده شد. TDL4 در پایین پشته ذخیرهسازی برای نظارت بر عملیات خواندن و نوشتن در اولین سکتور قرار دارد و اجزای رمزنگاری شدهی آن در فضای پارتیشن نشدهی دیسک مستقر میباشند.
این بدافزار مرورگرهای پرطرفدار را برای تزریق کد و افزودن قابلیت تبلیغات کلیکی برای کسب منافع مالی هدف قرار داده است. روتیکیت مذکور اطلاعات تبلیغات کلیک شده را در یک فایل INI ذخیره میکند.
برخی نرمافزارهای امنیتی آلودگی MBR را با عنواینی نظیر: Trojan:DOS/Popureb.B و بدافزار بوتکیت را با عنوان Trojan:Win32/Popureb.E شناسایی میکنند.برخی از مقالات منتشر شده درباره این روتکیت پیشهناد حذف و نصب مجدد ویندوز را برای حذف این بدافزار میدهند.
کاربران کوییکهیل میتوانند از ابزار BootKitRemover برای شناسایی و پاکسازی این بوتکیت استفاده نمایند. برای تکمیل فرایند ترمیم نیاز به راهاندازی مجدد سیستم میباشد.
نویسنده: راجش نیکام – لابراتوار تکنولوژی کوییکهیل