مایکروسافت یکی از بزرگترین بات نت های جهان مسدود کرد

اخیراً مایکروسافت توانست در دادگاه مربوط به دامنه اینترنتی خرابکارانه چینی org.3322 به همراه DNSهای پویای آن پیروز گردد. این دامنه بدخواه حدود ۷۰۰۰۰ زیردامنه مخرب را میزانی کرده و نزدیک به ۵۰۰ گونه مختلف از بدافزارها را از طریق توزیع نرم افزارهای جعلی توزیع می کرده است. یکی از بد نام ترین بات نت هایی که از این دامنه سرچشمه می گرفت ” Nitol“ بود ولی اکنون مایکروسافت به طور کامل همه فعالیتهای مخرب منتشره از این منبع را رهگیری و مسدود می کند.

نیتول معمولا از یک کانال توزیع جعلی نرم افزار (خصوصا برای ویندوز) برای انتشار انواع مختلف بدافزار استفاده می کرد و به همین دلیل مایکروسافت توانست در برابر دامنه org.3322 اقدام قانونی انجام دهد. عملیات حقوقی (عملیات b70) توسط “دادگاه منطقه ای شرق ویرجینیای آمریکا” به “واحد جرایم دیجیتالی مایکروسافت” اجازه داد تا دامنه مخرب را مسدود سازد. مایکروسافت ابتدا تحقیقاتی را در رابطه با زنجیره های تامین که منجر به توزیع نرم افزارهای تقلبی آلوده به بدافزار می شوند انجام داد، که همین تحقیق باعث شد تا این دامنه مخرب که در چین میزبانی کشف شود.

این دومین بات نت در ۶ ماه اخیر است که مایکروسافت در جهت تلاش برای محافظت از قربانیان بی گناه سایبری، اقدام به مسدودسازی آن می کند. این قربانیان اغلب به نرم افزارهای جعلی مبتلا هستند که توسط زنجیره های توزیع غیرمجاز توزیع شده اند. این نوع بات نت ها به طور سنتی خطرناک می باشند، چرا که بدون اطلاع قربانی، سیستم را آلوده کرده و از طریق مخاطبین ایمیل ها، شبکه های اجتماعی، ابزارهای USB و رسانه های دیگر به سرعت گسترش می یابند.

کوییک هیل زیردامنه های org.3322 را شناسایی می کند

پیش از این کوییک هیل به عنوان بهترین نرم افزار محافظتی سیستم، این دامنه ها را شناسایی می کرده و هشدارهایی درمورد انواع تروجان و بدافزارهایی که از این دامنه سرچشمه می گرفت، می داده است. این بدافزارها شامل Backdoor.Hupigon.xda ،TrojanDownloader.Agent.brns و TrojanDropper.Small.avc می باشند.

بدافزار Nitol botnet همچنین چندین حمله DDoS (انکار سرویس پویا) انجام داده است که شبکه های بزرگ را با بار ترافیک اینترنتی سنگینی مواجه کرده که در نهایت منجر به فلج شدن آنها شده بود. علاوه بر آن، این دامنه همچنین نقاط دسترسی اضافی بر روی ماشین های آلوده ایجاد می کرد که گونه های جدید بدافزار می توانستند از طریق منابع دیگر وارد سیستم ها شوند.

این اقدام موفق مایکروسافت تاثیرت خطرناک Nitol و دامنه org.3322 را کاهش داده و میلیون های کاربر در سطح جهان را از خطرات آن حفظ می کند. زنجیره های تامین ناامن یک روش معمول برای آلوده کردن قربانیان ناآگاه می باشد و این اولین گام در جهت پیشگیری از این نوع تهدیدات می باشد.

منبع: مطالب جالب امنیتی

حفره کشف شده جاوا

چطور یک آسیب پذیری کوچک در باز کردن جعبه پاندورا باعث سوء استفاده از جاوا شد.

آسیب پذیری "روز-صفر" جاوا 7 موجب افشای اطلاعات کاربران در حمله مبتنی بر میزبان می شود

حفره های ناب در بخشی از اوراکل، راههای سوء استفاده از جعبه پاندورا جاوا را باز کرده است . برای اولین بار  FireEye (نرم افزارهای مخرب بر پایه ایالات متحده و آزمایشگاه های اطلاعاتی) نقص روی "روز صفر"  را گزارش کرد که در یک حمله هدفمند از یک وب سرور چینی مورد استفاده قرار می گرفت . رفع نقص جاوا برای بسیاری از ما که تعداد دستگاه های نصب شده جاوا در آن به میلیون ها عدد می رسد ضرورری بود و این نقص برای مجرمان اینترنتی یک فرصت بسیار سودآور است.

این نقص بر تمام نسخه های جاوا اوراکل 7 (نسخه 1.7) که روی تمام سیستم عامل های پشتیبانی شده است، تاثیر می گذارد . ظاهراً این آسیب پذیری ممکن است برای کد نامعتبر جهت دسترسی به پیاده سازی امنیت در جاوا بوجود آمده باشند، جایی که معمولاً کدهای غیر معتبر نمی توانند وارد شوند و یا تماس بگیرند. این بدان معناست که کدهای مخوف به طور موثر مدیر امنیتی جاوا را غیر فعال می کنند.

اوراکل در حال حاضر یک رکورد معیوب بودن دارد بدلیل انتشار وصله های امنیتی آنی برای افرادی که نگران سوء استفاده از جاوا هستند. این آسیب پذیری بلافاصله به کیت BlackHole بهره برداری اضافه شده است - (یک بسته جرم افزار تجاری طراحی شده است تا به طور خودکار به جرایم اینترنتی بپردازد) . در حالی که این مطلب به پول هنگفتی در بازار سیاه ترجمه می شود، بدین معنی نیز هست که بسیاری از مردم در حال هدایت به طعمه شدن به جرم مهندسی اجتماعی (مانند ایمیل های فیشینگ) برای سرقت اطلاعات محرمانه و / یا مالی هستند. به عبارت ساده - یک بخش عظیمی از اطلاعات حساس شما در حال سرقت هویت یا دله دزدی است .

حتی کاربران مکینتاش نیز در معرض این حملات می باشند. اگر شما جاوا 7 نسخه برای OS X دارید، پس شما هم می توانید در معرض خطر باشید.

با خطرات بزرگی که این آسیب پذیری به بار آورده است، اوراکل اذعان داشته است که وصله های امنیتی را برای نجات شهرت و اعتبار خود از تهدید منشر کرده است. برای کسب اطلاعات بیشتر در مورد اینکه شما چگونه می توانید این پچ را نصب کنید، لطفاً این پست وبلاگ اختصاص داده شده را بخوانید.

به هر حال، با راه حل های امنیتی چند لایه مثل کوییک هیل از رفتن به راه طولانی برای جلوگیری از چنین حملاتی ممانعت به عمل می آید. راه حل های امنیتی که در مرورگر سندباکس شما فعال باشد به شما اجازه باز کردن مرورگر در یک محیط مجازی را می دهد . این راهکارها کامپیوتر و سیستم عامل شما را از حملات امن و بی تاثیر نگه می دارد.

منابع:

وبلاگ امنیت IT

http://www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html

http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html 

سندباکس چیست؟

ظهور وب ۲٫۰، مهندسی اجتماعی و بسته های مرورگرهای بهره برداری گسترده (BEP) منجر به افزایش مقدار زیادی از تهدیدات در زمان بازدید از سایتهای اینترنتی گردیده است. هنگامی که شما در یک وب سایت به گشت و گذار می پردازید و آدرسی را در URL آن تایپ می کنید ظاهراً یک وب سایت به نظر می رسد. اما به طور بالقوه، می تواند تهدیدات ناخواسته ای را برای شما به ارمغان بیاورد که در کد HTML آن تعبیه شده است. در این وضعیت، نیاز به یک لایه محافظ برای ما ضروریست و این همان “سندباکس″ است که ما قصد ارائه آنرا داریم.

سندباکس چیست؟

sandbox یک ابزار پیشگیرانه است که مرورگر آن را در یک محیط مجازی قرار می دهد و در نتیجه از هر گونه دانلود برنامه های مخرب که از طریق مرورگر می تواند کامپیوتر شما را تحت تاثیر خود قرار دهد، جلوگیری به عمل می آورد . برنامه های کاربردی که در چنین محیطی اجرا شوند، محدودیت دسترسی به سیستم و فایل های سیستمی مختلف دارند، از این رو در واقع سندباکس یک لایه نسبتاً ضخیم از پروتکل های امنیتی را فراهم می کند . سندباکس کدها و برنامه های غیرمطمئن را بدقت بررسی، سطح حمله را کاهش و مانیتور کرده/ بهره برداری از برنامه های کاربردی را مسدود می نماید. هر کد یا برنامه ای که منشاء آن گروههای شخص ثالث، تامین کنندگان، وب سایت ها و یا کاربرانی تایید نشده باشند قبل از اجرا توسط سندباکس مورد تایید قرار می گیرند.

درست مثل یک سندباکس فیزیکی در زندگی واقعی، این ویژگی، مرورگر وب شما را محدود به یک محیط مجازی می کند و تهدیداتی که قرار است تا کامپیوتر یا برنامه های کاربردی دیگر شما را تحت تاثیر خود قرار دهند را متوقف می سازد. در نتیجه، کدهای مخرب از ورود به سیستم عامل (OS) منع می شوند. سندباکس هر گونه فعالیت غیر مجاز انجام شده توسط یک برنامه که نباید وجود داشته باشد، و یا یک برنامه در حال اجرا که بر خلاف ماهیت آن است را مسدود می کند.

sandbox ارائه شده توسط کوییک هیل

کوییک هیل ویژگی های موجود حفاظتی مانند حفاظت فیشینگ، کنترل والدین، فایروال و IPS، مسدود کننده پاپ آپ و طبقه بندی URL هایی که به زودی ممکن است نامناسب شوند را تشخیص می دهد. ویژگی های جستجو خصوصی که مرورگرهای وب محبوب فراهم کرده اند کافی نیست. جستجو خصوصی که از طریق مرورگرهای وب انجام می گیرد همه پلاگین ها شخص ثالث سندباکس نیست. بنابراین کوییک هیل مرورگر را در سندباکس اجرا می کند.

این محیط مجازی به شما اجازه بازی، گپ زدن، جستجو را می دهد و این امکان را فراهم می کند تا استفاده از یک اینترنت بدون زحمتی را تجربه نمایید در حالی که سندباکس خطرات را محدود و اجازه نمی دهد تا آنها کامپیوتر، سیستم عامل و یا برنامه های کاربردی شما را آلوده کنند. سندباکس همچنین تله های تمام نرم افزار های مخرب دانلود شده را در سندباکس اجرا می کند. تمام فعالیت های دیدن سایت، کوکی ها و فایل های موقت را نیز توسط سندباکس محدود می گردد. به همین جهت ویروس ها اعتقاد دارند که در حال حمله به یک کامپیوتر هستند، اما در حقیقت آنها تنها به یک کپی محیط مجازی حمله  کرده اند و PC شما محافظت شده است.

sandbox در حال حاضر در دسترس کوییک هیل ۲۰۱۳ است و از مرورگرهای گوگل کروم، اینترنت اکسپلورر و موزیلا فایرفاکس پشتیبانی می کند. این سپر کامپیوتر شماست و تضمین ایمنی در شبکه های اجتماعی (فیس بوک، توییتر و غیره)، چت IM (اسکایپ، ICQ و غیره) و یا سایت های به اشتراک گذاری فایل می باشد. این ویژگی هوشمند، ترفندی است که ویروس ها و نرم افزارهای مخرب فکر می کنند که به PC شما حمله کرده اند در حالی که شما با این ویژگی کامپیوتر خود را ایمن، دست نخورده و کاملاً امن نگه داشته اید.

منبع: وبلاگ امنیت فناوری اطلاعات

نکاتی برای استفاده بهینه از اینترنت در سازمانها

کسی نمی تواند نقش جامع اینترنت در رشد، مشاغل و موفقیت تکامل بازارهای جهانی نادیده بگیرد. براساس برآورد موسسه ی جهانی مک کینسی در سال ۲۰۰۷، بلوغ اینترنت و ایجاد سرمایه به یکدیگر مربوط می باشند. این برآورد یک افزایش ۱۰% بهره وری برای شرکت های کوچک و متوسط از طریق استفاده از اینترنت گزارش می دهد. این گزارش همچنین به این نکته اشاره می کند که شرکت های کوچک و متوسطی که زیاد از فناوری های وب استفاده می کنند دو برابر دیگران رشد و صادرات می کنند. به نسبت اینکه میزان رقابت برای زنده ماندن سخت تر می شود، شرکت های کوچک و متوسط (SMB) از وب برای بسیاری از فعالیت ها از قبیل هدایت تجارت، ارتباطات، گرفتن رهبران مشتری و خرید کالاها و خدمات استفاده می کنند.

در حالی که شرکت های کوچک و متوسط مصرانه تقاضای استفاده از اینرنت برای رساندن صدای خود می کنند، خطری همراه با این مزیت وجود دارد. برای کاربر SMB،  آسیب پذبری ها دوچندان می شود زیرا هیچ هوشیاری به صورت پیشگیرانه برای محافظت اطلاعاتی که تجارت آنها را راهبری کند وجود ندارد. علاوه بر این تجارت نیازمند یافتن راه برای افزایش بهره وری کارکنان خود می باشد.

با افزایش وابستگی کاربر SMB به اینترنت اثرات منفی همزمان افزوده می شود. شرکت های SMB از طرق زیر تحت تأثیر قرار می گیرند:

• کاهش بهره وری کارکنان به دلیل دسترسی به محتوای غیرتجاری مربوطه در اینترنت.
• کارکنان به متون نامناسب وب در وقت اداری دسترسی پیدا کرده و در نتیجه بر طبق قانون مدیون می شوند.
• افشای اطلاعات مهم شرکت از طریق چت، اکانت های ایمیل های تصویب نشده، جاسوس،backdoor  تروجان و…
• آلودگی و نابودی اطلاعات شرکت و منابع کامپیوتری به خاطر دسترسی به سایت های مرتبط غیرتجاری
• هزینه ی بالاتر به خاطر ترکیب عوامل بالا

پروسه‌های جمع آوری سود، رکوردهای مالی و سیستم‌های مدیریت پول نقد SMBها به امنیت و موفقیت بسیار نیازمندند. توانایی در حفظ آنها در مقابل هکرها، ویروس ها و تهدیدات دیگر برای زنده ماندن تجارت در طولانی مدت ضروری می باشد. یک شرکت کوچک محافظت نشده می تواند هدفی آسان برای یک هکر (یک مجرم که به سیستم های امنیتی سازمان نفوذ پیدا می کند) باشد تا بدین وسیله ثابت کنند که می توانند داخل سیستم شوند و به سیستم آسیب برسانند یا از آن سوء استفاده کنند. ممکن است هکرها به شرکت های کوچک به خاطر اهداف رقابتی برای اینکه آنان رقابایی دارای وسواس کمتر را بدست آورند و یا برای هیجان از کار انداختن سیستم شما حمله کنند. از آنجایی که امروزه اطلاعات ارزشمندترین دارایی می باشد بدافزار با هدف دزدیدن اطلاعات محرمانه از قبیل جزئیات کارت اعتباری، مالکیت معنوی و داده ی مشتریان ایجاد می شود.

خوشبختانه اقداماتی پیشگیرانه وجود دارد که می تواند از حادثه جلوگیری کند. نرم افزارهای فیلترینگ اینترنت از پلاگین های ساده برای فیلترینگ پایه تا نرم افزارهای بسیار پیشرفته که ویژگیهای مختلف دارند و پایگاه داده ی غنی از وب سایتهای سفید و یا سیاه را دارا می باشند. ابزار ویروسیابی از قبیل کوییک هیل وجود دارند که با خود ویژگی «کنترل والدین» دارند. این ویژگی به کارفرما اجازه می دهد تا علاوه بر مانیتورینگ دسترسی به اینترنت را برای کاربران به راحتی تنظیم کنند.

کارفرمایان می توانند به راحتی دسته ی وب سایتها (مثل شبکه های اجتماعی، سایتهای خشن، مواد مخدر و …) را محدود کنند یا سایت خاصی را بیان کنند. آنان همچنین می توانند زمانبندی دسترسی کارکنان از اینترنت را تعیین کنند تا استفاده از اینترنت به صورت اعتیاد در نیاید و کارهای ضروری که به اینترنت نیاز دارد انجام شود. آنان همچنین می توانند تعیین کنند کارکنان تا چه حد از کاربردهای اینترنت از قبیل پست الکترونیک، صفحه ی وب و… می توانند استفاده کنند. اگر استفاده‌ی کارمند تنها برای افزایش فروش است، سایت می تواند با توجه به نیاز فیلتر شود.

اینترنت یکی از بزرگترین گرداننده های اصلی رشد اقتصادی جهانی می باشد و در دهه های آتی نیز خواهد ماند. با  بمباران شدن SMBها توسط تهدیدهای پیچیده ی اینترنتی، نیاز برای بررسی و تعریف امنیت برای این شرکتها ضروری می شود.

منبع: امنیت اینترنتی

بررسی بازار آنتی ویروس ها در ایران

هرچند حضور کرک و جعل نسخه ی اصلی برای همه نرم افزارها حتی نرم افزارهای امنتی را نمی توان نادیده گرفت، اما آنتی ویروس ها را می توان جزء محدود محصولات نرم افزاری دانست که محصولات اورجینال آنها را می توان در بازار ایران یافت کرد. تقریباً محصولات همه شرکتها بزرگ جهانی در ایران یافت می شود، که حضور برخی پررنگ تر از بقیه است.

بسیاری از شرکتهای توزیع کننده ویروسیاب ها بازار خرده فروشی و محصولات خانگی را جدی نمی گیرند و تنها بر بازار سازمانی و نسخه های شبکه تاکید دارند. که در این بین کوییک هیل مقام نخست را در این بین دارد و شاید یکی از عواملی که باعث کمتر شناخته شدن آن می شود عدم توجه این نکته باشد. هرچند که بازار کلاینتی و تک کاربره دردسرهای خاص خودش را داشته و سود آنچنانی عاید شرکت ها نمی کند اما عدم حضور باعث از دست دادن یکی از مهمترین ابزارهای تبلیغاتی می شود.

حضور شرکتهای تولید کننده ضد ویروس مانند کسپرسکی، بیت دیفندر، آویرا و کوییک هیل به صورت رسمی و برخی دیگر من جمله، مکافی، ای ست ناد32، مکافی، سیمانتک به صورت غیررسمی مشهود است.

بلاشک بازار ایران فعلا در اختیار Kaspersky روس می باشد، هرچند رقبا هم بیکار ننشسته و تمرکز بیشتری در فعالیتهای تبلیغاتی خود گرفته اند.

Bitdefender هرچند نمایندگان ایران را از لیست سایت اصلی شرکت خود خارج کرده است، اما به صورت چراغ خاموش مشغول اما پر نور مشغول جذب نماینده و گسترش شبکه فروش خود است.

اما Avira همچنان آرام در بازار حرکت می کند و به نظر می رسد با دارا بودن 3 نماینده هدف و میزان فروش به اهداف تجاری خود در بازار نزدیک شده است.

آنتی ویروس Quick Heal با افزودن یک نماینده باسابقه به نظر می رسد حجم بیشتری از بازار را طلب می کند. علیرغم دسترسی کم این محصول در ویترین مغازه ها، اما نسخه شبکه این آنتی ویروس توانسته در شبکه سازمانها حضور جدی و مثبتی داشته باشد.

آنتی ویروسهای غیر رسمی بازار مانند: Symantec, McAfee, AVG, Sophos, Eset Nod32 با توجه به گسترش محدودیت ها در بروزرسانی و پشتیبانی در حال از دست دادن بازار شبکه ای خود و جایگزین شدن با بقیه هستند.

باید منتظر بمانیم و ببینیم که این شرکتها چگونه بازار را بین خودشان تقسیم می کنند و چه سهمی آنها را راضی می کند؟

لیست نمایندگان رسمی را می توانید از لینک های زیر مشاهده نمایید:

http://me.kaspersky.com/en/partners/buyoffline?country=ir

http://partnernet.avira.com/en/partner-locator/region/asia/?country=IR

http://quickheal.com/locatedistributor.asp

خطرناک ترین ویروس های 2011

امروز آخرین روز سال زمانی مناسب برای لیست کردن ۱۰ خانواده ی بدافزار برتر سال است. لیست زیرین براساس گزارشی که به صورت نظر خودکار توسط کوییک هیل های نصب شده درسراسر هند جمع کرده ایم ساخته شده است.
۱۰ خانواده ی برتر بدافزار ۲۰۱۱
• W32.Autorun.Gen: کرمهای Autorun از طریق درایوهای USB و همچنین درایوهای ثابت و mapped (درایو شبکه) پخش می شوند. کرمهای Autorun رها می شوند یا اینکه نرم افزار ی اضافی از قبیل backdoor و دزد کلمه ی عبور دریافت می کنند.
• W32.Sality: آلوده کننده ی فایل های اجرایی قابل حمل که فایلهای اجرایی در پوشه ی ریشه و فایلهای مشترک شبکه و درایوهای حذف شدنی را آلوده می کند.
• Trojan.Agent.gen: یک خانواده ی بدافزار که از HTTP برای رسیدن به سرور راه دور استفاده می کند. Agent های تروجان ازفایل‌های بسته‌ای برای طفره رفتن از یافتن امضا استفاده می کنند و خود را با استفاده از نامهای تصادفی فایل نصب می کنند و کلیدهای Autorun را به رجیستری ویندوز اضافه می کنند. Agent های تروجان برنامه های تقلبی و مؤلفه های دیگر را دریافت می کنند.
• W32.Virut: ویروس آلوده کننده ی فایل با قابلیت بکدور براساس IRC (رله ی اینترنتی چت) می باشد. این ویروس توانایی دریافت بدافزارهای دیگر را با دریافت دستورات دارد.
• Worm.VBNA: یک کرم یک بدافزار طراحی شده برای انتشار و گسترش در شبکه می باشد. کرمها این طور شناخته شده اند که با یکی از بردارهای انتقال مانند ایمیل، IRC، قسمت مشترک شبکه، پیغام فوری و شبکه های peer-to-peer پخش می شود. کرم VBNA همچنین یک پیغام هشدار آلودگی یک ویروس قلابی برای فریب کاربران برای خرید نرم افزار تقلبی ضد بدافزار نمایش می دهد. تاکتیکهای ایجاد وحشت از این قبیل در حال افزایش می باشد و کاربران بی اطلاع را شکار می کنند.
• Trojan.Starter: یک اسب تروجان بدخواه یا روبات که می تواند خطر امنیتی سیستم آلوده و یا محیط شبکه آن را نشان دهد.
• LNK.Exploit: یک بدخواه فایلهای میانبر که از آسیب پذیری که هم اکنون توسط این خانواده بهره برداری شده است استفاده می کند. هنگامی که کاربر یک پوشه که در آن میانبر بدخواه موجود است را از طریق برنامه ای که آیکون های میانبر را نمایش می دهد مرور می کند، به جای آن بدافزار اجرا می شود.
• Worm.SlenfBot.Gen: یک باتنت دیگر که می توان از طریق نرم افزارهای چت از قبیل ام.اس٫ان مسنجر و یاهو مسنجر و اسکایپ پخش شود. این باتنت همچنین می تواند از طریق درایوهای متحرک و همچنین بهره برداری از حفره ی MS06-040 پخش شود.
• FakeAV: گرچه به معنای واقعی یک ویروس نمی باشد، اما برنامه ی کلاهبردار جزو نرم افزارهای ضد بدافزار مدرن می باشد بنابراین همه ی آلودگیها یک کلاهبردار آنتی ویروس تقلبی را با ظرفیت بارگزاری داراست. این گروه های آنتی ویروس جعلی فعال از عنوان هنرمندان برجسته سال برای گسترش آلودگی ویروس در همه جا استفاده کره اند. یکی از دلایلی که FakeAV موفقیت آمیز می باشد این است که کاربران عادت به دریافت هشدارهای ویروس در پیام های پست الکترونیکی تولید شده توسط مبادی قانونی مانند دسکتاپ، سرور و Gateway برنامه های آنتی ویروس کرده اند.
• TDSS/Alureon: MBR دستگاه قربانی را آلوده می کند و مدت زمانی طول نمی کشد تا کنترل زمان بوت را بدست گیرد. این یکی از پیچیده ترین اجزای Bootkit های تا کنون دیده شده است و ظاهراً تیم توسعه بسیار زیرکی در پشت آن قرار دارد. اجزای این بدافزار موجب تغییر تنظیمات DNS، ربودن درخواست جستجو(hijack)، نمایش آگهی های مخرب، رهگیری اطلاعات محرمانه، دانلود فایل های دلخواه و تخریب دیسک درایور هامی شود.
• W32.Ramnit: PE-آلوده است که آلوده به فایل های اجرایی و HTML در پوشه ریشه، فایل ها بر روی به اشتراک گذاشته شبکه و درایوهای قابل جابجایی است. ویروس یک backdoor را باز و در انتظار دستورالعمل است.

مرجع: وب سایت مطالب امنیتی

حمله به فضا مجازی توسط ویروس خطرناک کیم جونگ 2

مشاهده شده است که مجرمان اینترنتی پس از مرگ رهبر کره شمالی با استفاده از نام کیم جونگ-II کاربران اینترنت را مورد هدف خود قرار داده اند. مهاجمان در حال دستیابی به ایمیل های هرزه نگاره مخرب که حاوی فایل های دستکاری شده PDF ویژه به نام “BriefintroductionofKim-Jong-il.pdf” هستند.

این فایل PDF پیدا شده برای بهره برداری CVE-2010-2883 و CVE-2010-3333 از آسیب پذیری در نرم افزار ادوب آکروبات ریدر استفاده می کند.

پس از موفقیت نفوذ جهت سوء استفاده، این بدافزار مبادرت به اجرای کد از راه دور در سیستم قربانی می نماید.

ما در زمان تجزیه و تحلیل این DLL فعال را در سیستم شناسایی کردیم :

“Rundll32 %temp%com.dll,COMResModuleInstance”

ما همچنین متوجه تلاش های انجام شده برای ارتباط با “c[xxxx]p.m[xxxx]u.com”شدیم .

کوییک هیل این بدافزار را با نام Trojan.BHO.btgg شناسایی می کند.

ما به کاربران خود پیشنهاد می کنیم تا اگر آنها از نسخه های قدیمی آکروبات ریدر استفاده می کنند لطفاً پچ های زیر را در سیستم خود اعمال نمایند :

http://www.adobe.com/support/security/bulletins/apsb10-21.html

http://www.adobe.com/support/security/bulletins/apsb11-08.html

علاوه بر این ما به کاربران پیشنهاد می کنیم تا :

- از وب سایتهای نامعتبر بازدید ننمایند.

- بر روی هر لینک یا فایل پیوست در ایمیل خود کلیک نکنید.

- اطلاعات مالی و شخصی خواسته شده از خود را در این ایمیلها فاش نسازید.

مرجع: وبلاگ امنیتی

ارتقاهای فنی در کوییک هیل 2013

شرکت کوییک هیل رونمایی از محصولات کوییک هیل ۲۰۱۳ را اعلام کرد. چه تغییراتی رخ داده؟ در اینجا خلاصه ای مختصر و مفید از قابلیت های جدیدی که به ما کمک می کند تا سیستم هایمان در برابر انواع تهدیدات ناخواسته محافظت کنیم، را آورده ایم.

سندباکس مرورگر وب (Web Browser Sandbox)

Quick Heal 2013 ویژگی «سندباکس مرورگر وب» را به ارمغان می آورد. سندباکس یک محیط مجازی است که تهدیدها را در زمان به وجود آمدن، ایزوله و منزوی می کند و از انتشار آلودگی به کل سیستم جلوگیری می کند. چه از گوگل کروم، اینترنت اکسپلورر یا فایرفاکس استفاده کنید، سندباکس به شما این اطمینان را می دهد که تهدیدات آسیب رسانی-مرورگر نمی تواند بر سیستم شما اثر گذارد. این قابلیت سیستم شما را در برابر حملات بدافزارهای روز-صفر و کلیدنگار (keylogger) محافظت می کند.

موتور اسکن پیشرفته با توانایی یادگیری ماشین

جدیدترین خط تولید محصولات، شامل قابلیت های یادگیری ماشین می باشد که باعث بهبود عملکرد موتور اسکن آنتی ویروس می شود. این قابلیت به صورت فعالانه و پیشگیرانه اعضای جدید خانواده بدافزارهای شناخته شده را شناسایی می کند. یادگیری ماشین باعث می شود تا انجین اسکن تهدیدات را به صورت خودکار شناسایی کند که این خود منجر به افزایش نرخ تشخیص و کم شدن اندازه یک انجین می شود.

آماده برای ویندوز ۸

ویندوز ۸ که در اکتبر ۲۰۱۲ منتشر خواهد شد که انتظار می رود تغییرات عمده ای در آن رخ دهد.کوئیک هیل ۲۰۱۳ برای کار با Windows 8 آماده سازی شده و با نسخه جدید ویندوز به صورت کاملاً یکپارچه و سازگار می باشد. این محصول توانست تا تست های خود را با آخرین نسخه RTM منتشر شده توسط مایکروسافت با موفقیت پشت سر گذارد.

کاهش اندازه پایگاه داده ویروس

اکنون این راهکار نیاز به حجم کمتری از فضای دیسک داشته و حافظه کمتری را برای اسکنر مبتنی بر-تقاضا اشغال کرده و با سرعت بیشتری نصب می شود. بهینه سازی فایل های امضای مورد استفاده در انجین اسکن ۲۰۱۳، اندازه پایگاه داده ویروس را حدود ۱۰۰ مگابایت (۲۵%) کاهش داده است.

اکنون امنیت وب و کنترل والدین از مسدود کردن سایت های HTTPS پشتیبانی می کنند

کوییک هیل قابلیت فعال کردن مسدودسازی وب سایت های HTTPS را فراهم کرده است. وب سایت های زیادی از این پروتکل استفاده می کنند، اما حوزه از جمله در حال حاضر می تواند مسدود شود. علاوه بر این، کاربر می تواند کنترل زیر-دامنه ها (subdomain) را نیز به خوبی به دست آورد. این بدان معنی است که در حال حاضر کاربران می توانند دسترسی به https://mail.google.com را مسدود اما اجازه دسترسی به یک دامنه فرعی مانند http://news.google.com را مجاز نمایند.

پشتیبانی از تصدیق درایو USB

کاربران کوییک هیل توتال سکیوریتی هم اکنون می توانند از حافظه های USB و فلش دیسک های خود را حتی زمانی که قابلیت Data Protection غیر فعال است، استفاده کنند. این امکان را می توان با استفاده از یک رمز عبور تعیین شده توسط کاربر، به دست آورد. این اعتبارسنجی رمز عبور درایو USB به طور خودکار در هنگام اتصال حافظه های USB صورت می پذیرد.

توسعه در پشتیبانی

کوییک هیل بخاطر ارائه پشتیبانی فنی در کلاس جهانی به خود می بالد و آخرین سری تولید چندین ویژگی قابل توجه ارائه کرده است. داشبورد کوییک هیل با افزوده شدن دسترسی آسان به مرکز پشتیبانی و امکان گفتگوی زنده، تعامل مستقیم با مهندسین پشتیبانی به همراه چندین ویژگی دیگر ارتقا یافته است.

علاوه بر این، ویژگی های دیگر مانند، محافظت هسته (Core Protection)،امنیت وب (Web Security)، امنیت ایمیل (Email Security)، حفاظت از حریم خصوصی (Privacy Protection)، ابزار بهینه ساز رایانه PCTuner و اسکن موبایل PC2Mobile Scan کمک می کنند تا بهترین امنیت را در برابر تهدیدات همواره در حال تغییر ارائه دهیم.

ارتقاء ۲۰۱۳ در چه زمانی برای کاربران فعلی در دسترس قرار خواهد گرفت؟

حالا برای آن دسته از کاربران فعلی که منتظر آپگرید ۲۰۱۳ هستند! ارتقا از اواخر ماه سپتامبر / اوایل اکتبر در دسترس برای همه کاربران فعلی کوییک هیل خواهد بود. کاربرانی که تمایل دارند تا همین الان نسخه خود را upgrade کنند باید این مراحل را دنبال کنند:

شماره سریال محصول (Product Key) موجود را یادداشت کنید

کوییک هیل ۲۰۱۳ را از اینجا دانلود کنید (www.qhi.ir/buids.asp)

نسخه ی موجود کوییک هیل را un-install نمایید

نسخه جدید دانلود شده کوییک هیل ۲۰۱۳ را نصب نمایید

آنتی ویروس را با استفاده از شماره سریال محصول فعال (active) کنید

برای کسب اطلاعات بیشتر و جزئیات قیمت، لطفا به www.qhi.ir مراجعه نمایید.

منبع: وبلاگ امنیت IT

“Flame” آتش زننده فضای سایبر

همه چیز درباره ویروس جدید شعله (Flame)

مایلیم تا از آخرین بروزرسانی در رابطه با آنالیز Flamer (شعله) -بد افزار سارق اطلاعات- که اخباری فروانی از آن در فضای سایبر منتشر شده، خوانندگان خود را آگاه سازیم.

بررسی ها نشان داد که برخی از اجزای بدافزار Flamer گزارش شده در پورتال اسکنر آنلاین، مربوط به ۲ سال و ۱۰ ماه پیش (آگوست ۲۰۰۹) می باشد. لیست زیر نشان می دهد که Flame محصولات امنیتی را شناسایی و متوقف می سازد.

رشته ‘KasperskyLab\AVP6’ و ‘KasperskyLab\protected\AVP7’ سرنخ مربوط به زمان تولید Flame را می دهد. این محصولات امنیتی خاص در سالهای ۲۰۰۸ و ۲۰۰۹ منتشر شده بودند. این بخش احتمال تولید این بدافزار در بین تاریخ های انتهای ۲۰۰۸ تا اویل ۲۰۰۹ را بسیار افزایش می دهد.

مخرب “شعله” شباهت های زیادی مانند استفاده از آسیب پذیری ای Print Spooler و LNK جهت انتشار برداری و قوانین نامگذاری برخی از فایلها با ویروس Stuxnet/Duqu دارد. هرچند که نحوه پیاده سازی آن به علت استفاده از زبان برنامه نویسی Lua -یک زبان اسکریپتی قدرتمند، سبک و قابل درونسازی از ویروسهای استاکس نت/دوکو متفاوت است. پیاده سازی با زبان Lua مزایای فراوانی در فرآیند توسعه دارد مثلاً پکیج های فروان منتشر شده در https://github.com/LuaDist/Repository برای برنامه نویسی شبکه ای، کتابخانه های فشرده ساز و برنامه نویسی پایگاه داده ای که همه این عوامل تولید نرم افزار را تسریع می کند.

استفاده از کلیدنگار (key logging)، تصویربرداری از صفحه نمایش (screenshot taking)، رصد بسته های شبکه (network sniffing)، آلودگی USB، آلودگی Autorun.inf، ارسالی اطلاعاتی به سرورهای C&C، معماری مبتنی بر کامپوننت، مکانیزم خود-بروزرسانی و متدهای رمزنگاری/فشرده سازی با فرمتهای پیچیده فایل در این بد افزار نهفته است. تمایز Flame در استفاده از پایگاه داده SQLite برای ذخیره سازی مقدار زیادی از اطلاعات ذخیره شده، ضبط صدا از میکروفن، قابلیت ها بلوتوث و… می باشد.

ویروس “شعله” همچنین دارای ماژولهای متفاوتی است که بر روی موارد زیر متمرکز شده اند:
- انتخاب فایلهای خاص از کامپیوتر قربانی
- ذخیره لیستی از دایرکتوری های رد شده
- فشرده سازی فایلها در فضای ذخیره سازی
- تقسیم داده ها به بخش های کوچکتر قبل از ارسال آنها
- اولویت بندی داده ها برای ارسال
- محدود کردن مقدار اطلاعاتی که باید ارسال شوند
- ارسال مجدد در صورت شکست در ارسال
- نظارت بر عملکرد رایانه بدون برانگیختن سوءظن

در موارد حملات هدفمند، ویژگی های مهمی وجود دارند که بهره برداری موفق از هر یک از این ویژگی ها برای مهاجمین بسیار ارزشمند است. عملکرد Flamer برای اجرای دستورات بر مبنای هفتگی و ماهانه برنامه ریزی شده بود. تعداد کل آلودگی های گزارش شده زیر ۵۰۰ مورد است که در حال حاضر بیشتر سازمانهای دولتی خاورمیانه را هدف قرار داده اند. به دلیل تعداد آلودگی اندک، طی این ۳ سال از رادار شرکتهای امنیتی در برابر شناسایی در امان بوده است.

سوالات درباره چگونگی حمله و محتویات اطلاعات جمع آوری شده هنوز بی پاسخ باقی مانده است. تحقیق و تفحص جهت پاسخگپویی به این پرسشها همچنان ادامه دارد.

این امکان وجود دارد که مانند “شعله های” آتش در حال سوزاندن مزارع زیادی باشد، نه فقط در خاورمیانه!

کاربران کوییک هیل در برابر این جاسوسی سایبری محافظت شده می باشند. Quick Heal این بد افزار را با عنوان “Trojan.Flamer.A” شناسایی و پاکسازی می کند.

سایت کوییک هیل

کوییک هیل اقدام به ثبت دامنه سه حرفی ساده با عنوان qhi.ir نموده است.

کلیه ساب دومین ها نیز به همین دامنه تغییر پیدا کرد:

فروشگاه اینترنتی کوییک هیل: http//shop.qhi.ir

وبلاگ کوییک هیل: blogs.quickheal.ir

رونمایی از نسخه بلک بری کوییک هیل

از نسخه موبایل سکیوریتی BlackBerry کوییک هیل رونمایی شد.

شرکت تکنولوژی‌های کوییک هیل، پیشرو در ارائه راه حل‌های امنیتی در سراسر جهان، اعلام کرد که مجموعه های امنیتی بلک‌بری کوییک‌هیل در دسترس کاربران بلک بری قرار گرفته است. مجموعه امنیتی جدید ترکیبی از بهترین‌ها در امنیت، ویژگی ها و عملکرد می‌باشد.

کایلاش کتکار، مدیرعامل و بنیانگذار تکنولوژی‌های کوییک‌هیل در این باره چنین می‌گوید: " گوشی‌های هوشمند بلک‌بری برای سرعت بخشیدن به انتخاب شما طراحی شده و علاوه بر امکانات و قیمت ویژه آن شامل فن‌ آوری‌های پیام‌رسانی و هماهنگ‌سازی با چند ایمیلی و نرم افزار‌های مختلف کسب و کارهای دیگر نیز می‌باشد. این پلتفرم در میان کاربران تجاری و مصرف کنندگان شخصی جدید محبوبیت زیادی دارد و از آن‌ به عنوان یک محصول چند وظیفه‌ای قدرتمند یاد می‌شود. اما همانطور با هر چیزی که بسیار محبوب است و با اثر real-time کار می کند، نقاط ضعفی نیز در پلتفرم دستگاه و در زمان کار و ارتباط با شبکه وجود دارد. نیاز به امنیت بیشتر در زمان اتصال و ارتباطات دستگاه های همه کاره بلک بری یک اولویت می باشد."

تجربه بی‌همتا ارتباطات تلفن همراه که گوشی‌های هوشمند بلک‌بری فراهم می‌کند بی‌بدیل است. این BBM است که به مردم اجازه می دهد تا با دوستان خود در یک سطح کاملا جدید ارتباط برقرار نمایند. اما همانطور برای هر سرویسی که سیار، اجتماعی و متنی است احتمال از دست دادن اطلاعات چندین برابر می‌شود.

در نوامبر 2011، بلک‌بری، گزارش داد که افزایش قابل توجهی در سهم بازار داشته و  مشترکان آن به 165 میلیون گوشی هوشمند در سراسر جهان رسیده است. بیش از 50 میلیون نفر در حال حاضر از خدمات رایگان پیام‌رسان BBM ، در مقایسه با 28 میلیون نفر سال 2010 استفاده می‌کنند. بلک‌بری به عنوان یک شرکت معتبر کسب و کار مناسب و کارآمد در تلفن همراه میزبان داده های تجاری زیادی به غیر از اطلاعات شخصی می‌باشد. بنابراین ضروری است به دنبال یک راه حل فراگیر برای امنیت پلتفرم‌ها و نرم‌افزارها در همه مدل‌ها باشد.

کوییک‌هیل موبایل سکیوریتی بلک‌بری یک بسته امنیتی و مدیریتی کامل است. این مجموعه قدرتمند حفاظت بلادرنگی را در مقابل تهدیدات، ضد سرقت، مسدود کردن تماسها و SMS‌ها را به ارمغان می آورد. قابلیت مدیریت ویژگی‌های این مجموعه به شما اجازه مدیریت پیام‌های اسپم، ایجاد لیست "سیاه" و "سفید" را می‌دهد به طوریکه شما می‌توانید بیشتر SMS ها و تماس های ناخواسته را بررسی و مدیریت کنید. نرم افزار هوشمند کوییک‌هیل موبایل سکیوریتی بلک‌بری از ورود تبلیغات، SMS‌ها و پاپ‌آپ به اینباکس شما جلوگیری می‌کند.

آبیجیت جوروکار، قائم مقام فروش و بازاریابی تکنولوژی‌های کوییک‌هیل می‌گوید: "این تحرک، بیشتر در مورد افرادی است که نیاز به راه حل های امنیتی سریع، آسان و قابل تجمع در سیستم عامل دارند، ضروری به نظر می‌رسد. این نکته نیز بسیار حائز اهمیت است که امنیت آگاهانه در زمان ارتباطات گوشی های هوشمند بلک بری با دستگاههای دیگر همواره وجود داشته باشد. در حالی که اینترنت تلفن همراه امروزه سهولت دسترسی به ارمغان آورده است، اما در این باره کمبود آگاهی زیادی وجود دارد. ما نیز در حال کار بر روی راه حل‌هایی بر روی پلتفرم های پویا هستیم تا امنیت در سیستم عاملهای موجود را هوشمند، ساده و آسان برای استفاده نماییم."

کوییک‌هیل موبایل سکیوریتی بلک‌بری سازگاری، انعطاف‌پذیری و امنیت تدافعی مورد نیاز برای پلت فرم تجاری و اجتماعی مانند بلک‌بری فراهم کرده است. اکنون برای دریافت اطلاعات بیشتر درباره محصول ، از صفحه مقابل دیدن نمایید.  http://www.quickheal.ir/mobileseclt.asp

8 مارس 2012: رستاخیز قریب الوقوع اینترنت - قطع شدن اینترنت

FBI آماده تعطیل کردن سرورهای موقتی تغییردهنده DNS می باشد، بررسی این واقعیت و تاثیرات جانبی و اقدامات اصلاحی مورنیاز

در 8 مارس 2012 مطابق با 18 اسفند ماه 1390 خورشیدی، اینترنت برای میلیون ها کاربر در سطح جهان اجباراً از دسترس خارج می شود. این معضل نتیجه حمله یک ویروس می باشد که در سطح گسترده ای از جهان میلیون ها کامپیوتر را آلوده کرده و هنوز هم در صدر نرخ آلودگی قرار دارد. این موضوع بر می گردد به سال 2007 وقتی 6 مرد استونیایی با هم جمع شدند و برای ساخت یک botnet (روباتهای اینترنتی) و گسترش بدافزار DNSChanger و هدایت مسیر اینترنت به سمت سرورهای تقلبی، کابران وب را به سمت سایتها ناخواسته -و گاهی غیرقانونی- می کشاندند. به عنوان بخشی از عملیات شبح کلیک، FBI کنترل فرمان بات نت و سرورهای تقلبی را در نوامبر 2011 در دست گرفت و سرورهای جعلی را با سرورهای موقت قانونی که تنها برای 120 روز مجاز به فعالیت بودند، جایگزین کرد -مهلت به سرعت در حال خاتمه است.
نوع انتشار بدافزار DNSChanger با بقیه بد افزارها متفاوت نبود. طراحان این بدافزار خیلی زود متوجه شدند که با در اختیار گرفتن سرورهای DNS کاربر، می توانند رفتارهای کاوش اینترنتی کاربر را در کنترل و مدیریت خود در بیاورند. این فکر بد اندیشانه با تغییر در تبلیغات آنلاین از طریق کلیک دزدی انجام شد.  قربانیان از به خطر افتادن رایانه هایشان و اینکه این بد افزار کامپیوتر آنها را در برابر سیلی از انواع ویروسها بی دفاع کرده، بی اطلاع بودند. 
برای درک بهتر چگونگی کارکردن تغییردهنده DNS، ابتدا باید با معنی DNS و اینکه چه کسانی گرداننده آن هستند بیشتر آشنا شویم. سامانه نام دامنه (Domain Name System (DNS یک سرویس اینترنتی است که نامه های دامنه را به آدرسهای عددی پروتکل اینترنت (IP) تبدیل می کند و به کاربران اجازه می دهد تا با یکدیگر ارتباط داشته باشند. وقتی شما یک نام دامنه را نوار آدرس مرورگر خود وارد می کنید، برای مثال www.quickheal.ir، رایانه شما جهت مشخص نمودن آدرس IP مربوط با نام آن وب سایت، با سرورهای DNS ارتباط برقرار می کند. این آدرس IP برای مکان یابی و اتصال به وب سایت استفاده می شود. سرورهای DNS توسط ISPها مشخص شده و شامل تنظیمات کارت شبکه رایانه شما نیز می باشد. 
DNSChanger متعلق به دسته کلاس نرم افزارهای مخرب است که به یکی از روشهای توضیح داده شده در زیر فعالیت می کند:
1- تغییر تنظیمات DNS Server کاربر با جایگزین کردن DNS سرورهای جعلی متعلق به تبهکاران سایبری به جای DNS صحیح متعلق به ISP.
2- تجهیزات اینترنتی مانند روترها یا تجهیزات Gateway اینترنتی خانگی هدف هستند. اگر شما رمز عبور پیش فرض کارخانه ای دستگاهها را عوض نکرده باشید، شکستن و عبور از آن بسیار ساده است، احتمال اینکه بد افزار بتواند سیستم یا شبکه شما را با تغییر تنظیمات DNS موجود در روتر، آلوده کند زیاد است.

علاوه بر این بد افزار از آپدیت شدن سیستم عامل و نرم افزارهای امنیتی ضد ویروس - که در واقع دو امر حیاتی محافظت از کامپیوتر در برابر سارقان و مهاجمان سایبری است - ممانعت به عمل می آورد.

وقتی FBI نرم افزار اصلاحی این بات نت را تولید کرد، تقریباً 4 میلیون کامپیوتر در بیش از 100 کشور جهان به خطر افتاده بودند. مجرمان توانسته بودند حداقلب 14 میلیون دلار به صورت غیرقانونی کسب نمایند. جایگزینی سرورها توسط FBI قرار نیست نرم افزارهای مخرب یا دیگر ویروسهای خطرناک را از کامپیوترهای آلوده از بین ببرد. تنها هدف این پروژه این بود که کاربران اطمینان حاصل کنند که سرویسها DNS از دست نرفته و همچنان برقرار است.

بیش از نیمی از 500 شرکتهای برتر جهان (Fortune 500 companies) و 27 سازمان از 55 سازمان موجود حداقل دارای یک کامپیوتر یا روتر آلوده با این بد افزار تغییر دهنده DNS هستند. به زبان دیگر 500,000 آلودگی زنده! تیم آنالیز بد افزار کوییک هیل بیش از 70 گونه مختلف از بد افزار DNSChanger گزارش داده اند.

پیش از وحشت از این حمله، درک راههای مقابله با این موضوع عاقلانه تر است.

ابتدا، بد افزار تغییر دهنده DNS باید از روی سیستم(ها) پاکسازی شود. قبل از همه از کلیه اطلاعات مهم پشتیبان تهیه نموده، سپس با استفاده از یک آنتی ویروس خوب بد افزار را پاکسازی نمایید.

پس از انجام مراحل فوق، تنظیمات DNS موجود بر روی همه دستگاهها باید با آدرسی صحیح، مقداردهی شود. می توانید از ISP خود برای دریافت تنظیمات مناسب DNS خود کمک بگیرید. (می توانید از DNSهای 4.2.2.4 یا 8.26.56.26 یا 156.154.70.22 استفاده نمایید)

اگر این بد افزار یک شبکه را تحت تاثیر قرار دهد، باید تنظیمات DNS بر روی همه کامپیوترهای موجود در LAN را اصلاح نمود.

هیچ راه حل مطمئنی برای از بین بردن بدافزار مربوطه نیست. چندین ابزار وجود دارند که با شما اجازه می دهند تنظیمات DNS را تغییر دهید، اما تنظیمات جعلی همچنان در روتر باقی می مانند. برای بازیابی تنظیمات روتر باید به راهنمای محصول و یا شرکت تولید کننده تماس بگیرید.

کوییک هیل یک ابزار رایگان و اختصاصی برای کاربران درنظر گرفته که آلوده شدن کامپیوتر کاربران توسط بد افزار تغییر دهند DNS را بررسی می کند، لطفاً به لینک زیر مراجعه فرمایید:

http://www.quickheal.ir/chkdns.asp

شرح فنی تکمیلی: 

خبرهایی در پیرامون ما وجود دارد که اینترنت بطور کامل در هشتم مارس قطع خواهد شد. این داستان به طور کامل صحیح نیست.

فقط کاربرانی که با تروجان تعویض دی ان اس (DNS changer Trojan) آلوده شده‌اند با قطعی اینترنت مواجه خواهند شد نه همه کاربران.

به منظور روشن شدن موضوع، در زیر شرح مختصری از کار تروجان تعویض دی ان اس بیان شده است.

پس از اجرای نمونه، به سادگی DNS پیش‌فرض سیستم شما را به دی ان اس سرور جعلی دیگری تغییر و کپی های آن را حذف می‌کند.

بنابراین هر زمان که کاربر دسترسی به هر سایت فرض کنید Google.co.in “، داشته باشد درخواستی به دی ان اس سرور جعلی فرستاده می شود که آگهی های مربوط به DNS جعلی را نمایش می دهد. از این ترفند برای جلوگیری از به روز رسانی آنتی ویروس نیز استفاده می شود.

اف بی آی در ماه نوامبر یک شبکه DNS جعلی را پیدا کرد. با توجه به عملیاتی که توسط این سیستم صورت گرفته می‌تواند منجر به توقف کامل دسترسی اینترنت برای کاربران دی ان اس جعلی شود.

FBI سرورهای جعلی DNS را با سرورهای قانونی و رسمی جایگزین کرد -به گفته آژانس اعتبارسنجی برای ۱۲۰ روز [یعنی تا ۸ مارس مطابق با ۱۸ اسفند ۱۳۹۰]. این کار برای آن انجام شد تا مدت زمانی را در اختیار کاربران آلوده شده به این بدافزار قرار دهد تا بتوانند سیستم خود را پاکسازی نمایند.

 برای مطمئن شدن از اینکه سیستم شما به این آلودگی مبتلا نیست می توانید از ابزار زیر که کوییک هیل در اختیار قرار داده استفاده نمایید:

http://quickheal.ir/chkdns.asp

همچنین کارشناسان شبکه می توانند با استفاده از [ Run-> Cmd-> Ipconfig /all ] آدرس سرور DNS را بررسی نمایند، اگر IP موجود در DNS Server در رنج آی پی های زیر قرار داشت، بنابراین ممکن است سیستم شما به تروجان DNS Changer آلوده باشد.

از کاربران درخواست می کنیم تا به اخبار غیر موثق در این مورد اعتنا ننمایند.

کوییک هیل این تروجان را با نام Trojan.DnsChanger.Gen به صورت خودکار شناسایی می کند.

شرح کامل خبر را می توانید در سایت کوییک هیل مشاهده نمایید:

http://www.quickheal.ir

مرجع: وب سایت شرکت آنتی ویروس

کلاهبردار قرعه کشی پیام کوتاه!

دیده شده است که حیله ی مبلغ پیش پرداخت یعنی حقه ی اعتماد برای بدست آوردن پول توسط کلاهبرداران به وسیله ی پیامک با هدف جذب قربانی های خود انجام می پذیرد. این پیامک ها ادعا می کنند که دریافت کننده یک مبلغ قابل توجه پول در یک قرعه کشی آنلاین همانطور که در زیر نشان داده شده برده است.

متون ادعا می کند که دریافت کننده ی «خوش اقبال» براساس این یک مبلغ قابل توجه پول –در بعضی از نسخه ها یک جایزه ی باارزش مثل اتومبیل- برده است. برای گرفتن جایزه از دریافت کننده خواسته می شود از طریق جزئیات تماس موجود در پیغام تلفن یا ایمیل ارتباط برقرار کنند.

در حقیقت قرعه کشی ها و تبلیغات بیان شده در پیامکها وجود خارجی ندارند. هیچ جایزه ای وجود ندارد. جایزه ی وعده داده شده تنها یک طعمه برای اغوای دریافت کنندگان پیامک برای تماس با مجرمان مسئول کلاهبرداری می باشد. از کسانی که طبق دستورالعمل تماس گرفته درخواست می شود برای آنان پول ارسال کنند ظاهرا به منظور آزادسازی و انتقال جایزه ی فرضی با ادعای اینکه پول برای پوشش هزینه هایی از قبیل مالیات، هزینه های قانونی، بیمه یا هزینه های بانکی نیاز است. در طول مسیر کلاهبرداری، قربانی ممکن است سهواً اطلاعات مهم مالی و شخصی را فرضاً به عنوان اثبات هویت و اجازه انتقال «پول جایزه» به کلاهبرداران ارائه دهد. کلاهبرداران پس از آن از اطلاعات استفاده کنند و هویت قربانی خود را بدزدند.

کلاهبرداران جهت دریافت مبلغ پیش پرداخت از روش های مختلف شامل ایمیل، پست، فکس، شبکه های اجتماعی، پیامک و … برای رسیدن به قربانی خود استفاده می کنند. کاربران باید خیلی مراقب پیامهای ناخواسته ای که ادعا می کنند انها مبلغی پول یا جایزه در قرعه کشی یا تبلیغاتی که آنان حتی در آن شرکت نکرده اند باشند. تکنولوژی‌های کوییک‌هیل به کاربران خود توصیه می‌کند به هر پیامی در هر فرمتی که ادعا می کند نام یا ایمیل یا تلفن شما به صورت تصادفی از میان لیستی به عنوان برنده ی جایزه ی قابل توجه ای انتخاب شده باشید، توجه نکنید. قرعه کشی های واقعی با این روش عمل نمی کنند. اگر شما چنین پیغامی دریافت کرده اید به هیچ روشی به کلاهبرداران پاسخ ندهید.

مرجع: وبلاگ امنیت IT

هشدار – کلاهبردار شغل تقلبی MARUTI SUZUKI

روز به روز حیله های شغل آنلاین حرفه ای و معتبر تر می شوند. با این تعداد زیاد افرادی که هم اکنون به دنبال شغل می گردند، تعداد بیشتری کلاهبردار از همیشه وجود دارند. کلاهبرداران از اشتیاق و تمایل دانشجویان تازه به اتمام رسانده برای گرفتن یک شغل مناسب به خوبی خبر دارند.

من به این طور کلاهبردار برخورد کردم که وانمود می کرد از تیم استخدام MARUTI SUZUKI باشد. ایمیل یک ضمیمه فایل داک  به نام Notice.docx دارد.

فایل داک به خوبی ساخته شده به طوریکه به مسائل احساسی و طمع افراد خواهان شغل توجه دارد. آنها با اطمینان راجع به یک بسته ی زیبا و جایگاه خوب در شرکت خواهان شغل را اغوا می کنند. پس از این، هدف کلاهبرداران به روی تصویر می آید. کلاهبرداران  از کاندیدا درخواست می کنند مبلغ  ۱۵,۸۰۰ را واریز نمایند تا در مصاحبه ی زمانبندی شده حضوریاب شوند. آنها همچنین می گویند کل مبلغ پس از اتمام مصاحبه قابل برگشت می باشد.
محتوای فایل داک به صورت زیر می باشد:

متأسفانه افراد بی پروا سعی می کنند آنهایی را که به طور قانونی به دنبال شغل می گردند را شکار کنند، اما چیز دیگر اتفاق می افتد.

کوییک هیل به کاربران توصیه می کند از این ایمیل های حیله گر دور بمانند و حتی به آنها جواب ندهند.

مرجع: کاملترین مرجع امنیتی ایران

کلاهبردار فیس بوک «گیم ماریو کارت را بازی کن»

کلاهبردار فیس بوک «Play Mario Kart Game» وانمود می کند که هر کسی می تواند بازی «ماریو کارت» را روی فیس بوک بازی کند. کلاهبردار(scam) می گوید: «بازی ماریو کارت را با دوستان خود در فیس بوک بازی کنید. به هرج و مرج چند نفره هم اکنون بپیوندید! برای بازی اینجا کلیک کنید.»

تب «بازی» شما را به یک پیوند می فرستد و از شما درخواست می کند به بازی بپیوندید.وقتی شما روی آن برای پیوستن کلیک می کنید، پیغام روی دیوار فیس بوک شما به طور خودکار  پُست می شود، همانطور که آنرا «می پسندید». همزمان آن از شما درخواست می کند یک پیمایش آنلاین را کامل کنید. بعد از تکمیل پیمایش آنها هیچ نشانی از بازی‌های آنلاین نیست.

این روشی است که کلاهبرداران کاربران را اغوا می کنند و آن ها را به سایتهای خاصی می فرستند.هدف کلاهبرداران هدایت بیشتر ترافیک به سایت های خاص است، راهی که آنها از آن کسب درآمد می کنند. همچنین ممکن است آنها بدافزارهای جدید را پخش کنند و اطلاعات شخصی را بدست بیاورند.لطفا هیچگونه پیمایش آنلاین را تکمیل نکنید.

مرجع: وبلاگ مطالب روز امنیتی

مراقب هرزنامه‌ی بانکی «پرداخت لغو شد»

هجوم هرزنامه ی جدید کاربران رایانه را هدف قرار داده است و تلاش می کند آنها را با یک نوع تروجان بانکی که به صورت پیغام های عدم موفقیت انتقال ظاهر می شود آلوده کند.

ایمیل هرزنامه یکی از موضوعات زیر را دارد:

• پرداخت ACH لغو شده
• پرداخت ACH رد شده
• تراکنش ACH لغو شده
• انتقال ACH لغو شده
• انتقال ACH رد شده
• پرداخت ACH رد شده
• تراکنش ACH رد شده
• انتقال ACH رد شده
• تراکنش ACH شما
• انتقال ACH شما

هرکدام از اینها ادعا می کنند از طرف  “nacha.org” ( the National Automated Clearing House Association) کسانی که پرداخت الکترونیکی بین بانکها را مدیریت می کنند هستند.

آدرسهای «فرستنده»ی ایمیل ها به صورت زیر هستند:
- ach@nacha.org
- dmin@nacha.org
- alert@nacha.org
- alerts@nacha.org
- info@nacha.org
- payment@nacha.org
- payments@nacha.org
- risk@nacha.org
- risk_manager@nacha.org
- transactions@nacha.org
- transfers@nacha.org

فایل زیپ “report_10112011.pdf.exe” حاوی یک تروجان بانکی است که سعی می کند اعتبارنامه های بانکی را از قربانی بدزدد. (اعتبارنامه ها شامل نام کاربری، کلمه ی عبور، شماره ی کارت اعتباری و … می باشند).

با درو کردن کوکیها و دسترسی به اطلاعات دیگر مجرمان می توانند اطلاعات زیادی را استخراج کنند که می تواند بخت آنان را در دسترسی به اکانت آنلاین قربانی افزایش دهد.

اگر شما به این طور ایمیل ها برخورد کردید ضمیمه ی آنها را باز نکنید. بلکه درعوض آنها را پاک کنید و آنتی ویروس خود را به روز نگه دارید. کوییک هیل فایل ضمیمه ی بدخواه را با نام  “Trojan.Genome.vpnbe” می شناسد. بنابراین کاربران از قبل محافظت شده هستند.ما به کاربران توصیه می کنیم چنین ضمیمه هایی از فرستندگان ناشناس را باز نکنند.

انتشار فایرفاکس 8

وزیلا امروز (۸ نوامبر) انتشار رسمی فایرفاکس ۸ نسخه ی جدید مرورگر متن باز مشهور خود را اعلام کرد. این به روز رسانی نسبتا کوچک چند ویژگی جدید معرفی می کند و تعدادی بهبود لایه ی زیرین مترجم اچ.تی.ام.ال را با خود می آورد.
جعبه ی جستجوی میله ی ابزار navigation فایرفاکس توسعه یافته است تا بتواند جستجوی توییتر را پشتیبانی کند. کاربران اکنون می تواند از لیست موتورهای جستجوی قابل دسترس توییتر را انتخاب کنند. موزیلا پیشتر در سال جاری با توییتر همکاری داشته تا نسخه ای خاص از مرورگر را انتشار دهند که با سایت شبکه ی اجتماعی توییتر سازگاری داشته باشد. جعبه ی جستجوی آن نسخه از مرورگر هم اکنون جزئی از نسخه ی رسمی مرورگر فایرفاکس است.

ویژگی دیگر قابل ذکر فایرفاکس کنترل سخت تر افزوده شده های مستقل بارگذاری شده است. موزیلا در حال حذف افزودنیهای شخص ثالثی که بدون آگاهی یا اجازه ی کاربر نصب می شوند می باشد. این چنین افزودنیها در گذشته باعث مشکلات جدی شدند مانند جعبه ی ابزار اسکایپ که آشکارا دارای باگ (ایراد) بود و موزیلا در اوایل سال مجبور بود آنرا از راه دور حذف کند زیرا باعث ازکارافتادگی ۳۳۰۰۰ باره ی فایرفاکس در مدت یک هفته شده بود.
اگر فایرفاکس یک افزوده ی مستقل بارگزاری شده در هنگام شروع پیدا کند به طور پیش رفت آنها را غیر فعال می کند و پیغامی مبنی بر سؤال از کاربر برای فعال کردن آن افزودنی می کند. این باعث جلوگیری هجوم جعبه های ابزار ناخواسته و دیگر کدهای اضافی ناخواسته می شود.

علاوه بر این ویژگی های جدید مرورگر، فایرفاکس چند بهبود نیز با خود دارد. موتور مترجم اچ.تی.ام.ال به اشتراک گذاری قابل حمل را اضافه کرده است، این ویژگی اجازه می دهد بافت های WebGL را از سایتهای دیگر بارگزاری کند. WebSocketها نیز در این نسخه تقویت شدند تا این نسخه ی بهبود یافته با آخرین پیش نویس استاندارد همخوانی داشته باشد.

کاربران می توانند فایرفاکس ۸ را از سایت موزیلا دانلود کنند.

همچنین نسخه ی جدید از طریق کانال به روز رسانی در دسترس کاربران قرار خواهد گرفت. استفاده از آنتی‌ویروسی مطمئن مانند کوییک‌هیل توتال سکیوریتی در کنار آخرین بروزرسانی‌های مرورگر می‌توانند سطح بالاتری از امنیت را برای کاربران به همراه آورند.

مرجع: وبلاگ امنیتی

راهکار کوییک‌هیل برای رهگیری لپ تاپ‌های مسروقه

لپ‌تاپ مرا بیاب کوییک هیل، یک راه حل جستجوگر رایگان، باز و آسان

گارتنر، یک شرکت پیشرو در تحقیقات مربوط به بازاریابی می گوید که تنها در سال ۲۰۱۰ خریداران بیش از ۳۶  میلیارد دلار صرف خریدن لپ تاپ نمودند. افزایش درخواست برای لپ تاپ یک افزایش همزمان (اگر نگوییم مناسب) در دسترس بودن نرم افزار پیداکننده را موجب شده است. به هر حال عجیب است که هیچ یک از این فناوری های به اصطلاح نگهبان پیشرفته به صورت اجباری برای لپ تاپها نصب نیستند. اغلب موارد، با فرمت کردن هارد این وابستگی به اتمام می رسد، ایرادی که به اندازه ی کافی بزرگ است که آنرا شکست خورده بنامیم.

بیشتر نرم افزارهای جستجوگر (ترکینگ) باید روی سیستم نصب باشند و به سیگنال از راه دوری مثل جی پی اس و وای فای نیازمندند تا سیگنال را از طریق ایمیل یا اس ام اس ارسال نمایند. اکثر دزدان لپ تاپ منتظر وصل شدن نمی مانند و حتی پیش از هوشیاری نرم افزار هارد دیسک را بلافاصله فرمت می کنند. هیچ اطمینان یا اتصال یا پایگاه داده ای و جود ندارد که به کاربر راحتی خیال بدهد یا قانون به آن تکیه کنند و اطلاعات  آنرا به اجرا در آورد تا با استفاده از آن صاحب درست لپ تاپ دزدیده شده را پیدا کند و آن را به صاحب حقیقی پس دهد.

کوییک هیل از پیشتازان ارائه ی راه حل امنیتی، اخیرا سرویس رایگان «لپ تاپ مرا بیاب» را راه اندازی کرده که به کاربران اجازه می دهد لپ تاپ گمشده یا دزدیده شده ی خود را بیابند. سرویس «لپ تاپ مرا بیاب» یک پلتفرم بی همتا برای کمک به افراد حقیقی و اشخاص حقوقی است و می دهد دزد لپ تاپ خود را بیابند. از طریق آدرس وبhttp://www.trackmylaptop.net قابل دسترس است و برای همه رایگان است، چه کاربر کوییک هیل باشند و یا نباشند. این سرویس یک پلاتفرم پیشکش کاربران لپ تاپ در سراسر جهان است که هزاران کاربر می توانند مشخصات لپ تاپ دزدیده شده ی خود را وارد کنند. از طریق این پلاتفرم، یک مخزن از جزئیات مربوط به لپ تاپهای دزدیده شده در حال ایجاد شدن است.

«Track My Laptop» به مجریان قانون یک دسترسی ویژه می دهد تا به مخزن در حال افزایش وارد شده و به دزد مورد نظر اشاره کنند.

این پلتفرم جدید و بی همتا برای سه دسته از افراد مناسب است: الف) صاحبان لپ تاپ که لپ تاپ آنان دزدیده شده است ب) آنانی که می خواهند لپ تاپ دست دوم بخرند ومی خواهند مطمئن شوند یک لپ تاپ دزدی نمی باشد  ج) مجریان قانون که حالا دسترسی به پایگاه داده ی بزرگی از لپ تاپهای دزدی دارند و می توانند لپ تاپهای دزدی شده را شناسایی کنند و صاحبان واقعی لپ تاپ را پیدا کنند.

بازبینی لپ تاپ‌ها بر اساس آدرس مک لپ تاپ اتفاق می افتد. این ویژگی قابلیت بازبینی را ۱۰۰% می کند، حتی اگر لپ تاپها پس از دزدی فرمت شوند.

با افزایش سرقت لپ تاپ و تبدیل شدن به یکی از دلائل اصلی دزدی و شکاف امنیتی، چیزی که حتی نیروی دریایی ایالات متحده نیز نسبت به آن دارای نقطه ی ضعف است، نیاز روزافزون به یک فاروم  مشترک که قربانی های دزدی و مجریان قانون را برای پیدا کردن رد لپ تاپ ها و بازیابی آنان متحد سازد وجود دارد.

سالانه بیش از ۸۰۰۰۰ لپ تاپ دزدی می شود و پیدا کردن رد آنها به کاری طاقت فرسا و دشوار تبدیل شده است. مجریان قانون تعداد زیادی لپ تاپ دزدی در یافت می کنند که پیدا کردن صاحب آنها مخصوصا اگر ثبت نشده باشد مشکل ساز است. «لپ تاپ مرا بیاب» کوییک‌هیل یک تلاش خالصانه از طرف شرکت کوییک هیل است به عنوان سرویسی که در حال حاضر قابل دسترس است و مخصوصا مجریان قانون می تواند روی آن اتکا کنند تا به یک پایگاه داده ی بزرگ رجوع کنند و دزدی را تایید نمایند. این سرویس رایگان است و نیاز ندارد که کاربر یا پلیس به طور فیزیکی دزدی را موشکافی کنند یا حضور فیزیکی برای تشخیص داشته باشند. این پلتفرم با هدف مخاطب جهانی طراحی شده که تعداد سرقت‌های سالانه لپ‌تاپ‌ به میلیونها می‌رسد.

مرجع: وبلاگ مطالب امنیتی

حقه ی جدید فیس بوک «اکانت شما بلاک شده است»

یک هرزنامه ی دیگر که وانمود می کند اکانت شما بلاک شده است هم اکنون در اینترنت رایج است. موضوع به این صورت است: سرویس فیس بوک، اکانت شما بلاک شده است، سفارش ۸۲۳۶٫

این پست الکترونیک به همراه یک ضمیمه به نام  New_Password_FB_1148.zip می آید.

فایل فشرده شده شامل New_Password.exe می باشد که سعی می کند کاربر را با شمای پرونده ی مایکروسافت وورد فریب دهد. شما نباید هیچگاه به شمای یک پرونده توجه کنید، بلکه باید به پسوند فایل توجه کنید و مطمئن شوید مرورگر ویندوز (Windows Explorer) پسوندها را نشان می دهد.

همزمان با نصب کامپیوتر شما را آلوده کرده و برنامه مخرب را نصب می کند. در حال حاضر این بد افزار، برنامه جعلی “System restore”را نصب می کند. اگر به چنین ایمیلهایی برخورد کردید آنها را پاک کنید و آنتی ویروس خود را به روز نگه دارید. کوییک هیل این فایل آلوده شده ضمیمه را با نام “Trojan.Menti.iohe” می شناسد. بنابراین کاربران به صورت پیشگیرانه محافظت شده اند.

ما توصیه می کنیم این چنین ضمیمه های ایمیل های ناشناس را باز نکنید.

مرجع: وبلاگ امنیتی

آنتی ویروس ایمن با طعم بیت دفندر

چند روز پیش که به الکامپ هفدهم رفته بودم یک سی دی ایمن نسخه ققنوس را دریافت کردم. طبق عادت که همه‌ی آنتی ویروس ها را نصب می‌کنم، این رو هم بردم نصب کردم، قبل از نصب دیدم امضای فایل ستاپ بنام بیتدفندر هست. تفاوت حجمی 10-20 مگابابت به 230 مشخصه که اتفاقی طی این چند روز افتاده. البته مدیران ایمن با توجه به ضعف فاحش نرم افزار قبلی، بر حمایت و نقاط مثبت ایمن اتکا می کردند، کم اطلاع‌ترین کارشناسان IT هم می‌دونند که تولید آنتی‌ویروس بدون همکاری‌های بین‌المللی ممکن نیست، ولی آن مدیران همچنان بر طبل نرم افزار ضعیف خود می کوبیدند تا جایی که وقتی نتونستند حمایت مالی رو جلب کنند اعلام به جمع شدن شرکت کردند.

البته فروش Bitdefender فقط با تغییر لوگو به نام آنتی ویروس ایرانی و دریافت حمایت مالی، کاری غیراخلاقی به نظر می‌رسد، هرچند که این کار به طور رسمی و با انجام قرارداد با شرکت خارجی صورت پذیرفته باشد.

هم اکنون ایمن هم در کنار شید قرار گرفت با تغییراتی جزئی.

تصویر آنتی ویروس ایرانی ایمن نسخه ققنوس اینترنت سکیوریتی:

تصویر آنتی ویروس بیت دفندر:

انتشار آخرین وصله امنیتی مایکروسافت

MS11-085- آسیب پذیری در Windows Mail  و  Windows Meeting Space می تواند باعث اجازه ی اجرای از راه دور کد شود (۲۶۲۰۷۰۴).

این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به مایکروسافت ویندوز بود را رفع می کند. آسیب پذیری می‌توانست اجازه ی اجرای از راه دور کد شود اگر کاربر سعی می کرد یک پرونده مجاز (از قبیل فایل با پسوند .eml  یا  .wcinv) که در همان شاخه ی شبکه ی یک کتابخانه ی پیوند داینامیک (DLL) به طور خاص ساخته شده قرار دارد باز کند. سپس، هنگامی که سعی در باز کردن فایل مجاز می شد، Windows Mail یا  Windows Meeting Space فایل دی.ال.ال را بارگزاری نموده و کد آن را اجرا می نمود. برای موفق بودن حمله، یک کاربر می بایست یک مکان سیستم فایل غیرقابل اعتماد یا یک اشتراک WebDAV  را مرور کند و یک فایل مجاز (از قبیل فایل با پسوند .eml  یا  .wcinv) را از این مکان باز کند که بعدا توسط یک برنامه ی آسیب پذیر بارگزاری شده است.

MS11-086 – آسیب پذیری در  Active Directory می تواند باعث بالا بردن سطح دسترسی شود (۲۶۳۰۸۳۷).

این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به اکتیودایرکتوری، اکتیودایرکتوری حالت کاربردی، اکتیودایرکتوری سرویس دایرکتوری سبک را رفع می کند. اگر اکتیودایرکتوری طوری تنظیم شده باشد که LDAP را بر روی SSL (LDAPS) استفاده کند و مهاجم از یک شناسنامه ی ابطال شده ی یک دامین معتبر برای ورود استفاده کند می تواند اجازه ی بالا رفتن سطح دسترسی را دهد. به طور پیش فرض، LDAPS فعال نیست.

آسیب پذیری زیر متوسط است:

MS11-084- آسیب پذیری در درایورهای حالت هسته ی ویندوز می تواند باعث  Denial of Service شود.  (۲۶۱۷۶۵۷) این به روزرسانی امنیتی یک آسیب پذیری که در گزارش خصوصی راجع به مایکروسافت ویندوز بود را رفع می کند. اگر کاربر یک فایل به خصوص فونت نوع صحیح را به عنوان ضمیمه ی ایمیل باز کند یا به مکان اشتراک گذاشته شده در شبکه یا WebDAV  برود و در آن یک فایل فونت نوع صحیح باشد می تواند اجازه ی Denial of Service را دهد. برای اینکه یک حمله موفقیت آمیز باشد کاربر باید یک فایل سیستم از راه دور یا WebDAV اشتراکی را که در آن فایل فونت نوع صحیح می باشد را مشاهده کند یا فایل را به عنوان ضمیمه ی ایمیل باز کند. در تمام این حالات مهاجم نمی تواند کاربر را اجبار کند بلکه باید کاربر را متقاعد کند یکی از این کارها را بکند نوعا از طریق یک پیوند در ایمیل یا مسنجر.

برای اطلاعات بیشتر به آدرس زیر رجوع کنید:

http://technet.microsoft.com/en-us/security/bulletin/ms11-nov

کوییک‌هیل به کاربران توصیه می کنیم به روزرسانی خودکار ویندوز را فعال کنند تا وصله های ضروری خودکار نصب شوند.

منبع: وبلاگ امنیتی

تجربه امنیت در اینترنت با ویژگی سندباکس مرورگر

امروزه بیشتر قربانی های آلودگی ها با دیدن سایتهای آلوده که کدهای مخرب در خود جای داده‌اند آلوده می شوند. اگرچه شهرت سایتها توسط همه ی نرم افزارهای ضد بدافزار مورد بررسی قرار می گیرد، همیشه تعدادی سایت باقی می مانند که به تازگی آلوده شده اند و نام آن ها در پایگاه داده شهرتها قرار ندارد. در نتیجه نیازی به ایجاد لایه‌ی دیگر حفاظت  برای بلاک و فیلتر مؤثر این تهدیدات با سرعت در حال افزایش وب به وجود می آید.

این احتمال وجود دارد که آلودگی را از سایتی آلوده بگیرد که اخیرا آلوده شده است و از بدافزارهای خاصی که برای این منظور طراحی شده که حتی توسط نرم افزار امنیتی به روز شده  پیدا نمی شود استفاده می کند. دلیلی که وجود دارد این است که این تروجان های سایتهای آلوده سعی می کنند از یک حفره ی جدید مستند نشده در ویندوز یا مرورگر اینترنت یا یک نرم افزار مانند ادوبی ریدر برای در اختیار گرفتن کنترل رایانه ی شخصی شما استفاده کنند.

در این صورت، سامانه سندباکسینگ مرورگر  یک لایه ی اضافی امنیتی ضروری را ارائه می دهد. سندباکسینگ مرورگر تکنیکی است که محیطی مجازی را ایجاد کرده و بروزر شما را از طریق این محیط مجازی ایجاد شده در رایانه ی شخصیتان اجرا می کند. زمانی که شما در حال مرور سایتهای اینترنتی توسط مرورگری که در محیط مجازی اجرا شده می‌باشید، باعث محافظت محیط واقعی رایانه ی شخصی شما در مقابل سایتهایی که ممکن است آلوده باشند و شما آنها را ببینید می شود. با این روش رایانه ی واقعی شما تحت تاثیر قرار نمی گیرد.

روش اجرای مرورگر در سندباکس چند سالی است که استفاده می شود. گوگل کروم ویژگی سندباکس را ارائه می دهد و اینترنت اکسپلورر این ویژگی را با نام «اجرا در حالت محافظت شده» دارد که محیطی مشابه را ارائه می دهد. هرچند محدودیت هایی برای این ویژگی توسط توسعه دهندگان مرورگرها تعبیه شده است. اول اینکه این ویژگی به صورت پیش فرض فعال نیست و کاربر مجبور است خود آن را فعال سازد. دیگر آنکه مجازی سازی محیط کامل نمی باشد و کاربر ممکن است با بدافزارهای هوشمندتر آلوده شود.

این باعث ایجاد جای خالی در مرورگرهای مشهور می شود که باید محیط سندباکس امن تری توسعه یابد که به طور پیش فرض فعال است و هر نوع بدافزار را از آلوده کردن وا می دارد. آقای راجش نیکام محقق ارشد کوییک هیل نتایج تحقیقات خود و یک دیدگاه عمیق در رابطه با سندباکسینگ مرورگر را در کنفرانس بین المللی آوار در هنگ کنگ در ۱۱ نوامبر ۲۰۱۱ ارائه می دهد. برای جزئیات بیشتر راجع به کنفرانس اَوار ۲۰۱۱ به این پیوند مراجعه کنید:
http://www.aavar.org/avar2011

مرجع: وب سایت امنیتی

روبات های گوگل جهت جلوگیری از هک

بات های جدید جستجوی گوگل باهوشترند، آیا برای جلوگیری از سوء استفاده به اندازه ی کافی باهوشند

ظاهرا گوگل اخیرا خدمات جستجوی خود را به روز رسانی نموده است. در میان ویژگی های جدید بسیار که اضافه شده اند یکی که از نظر کاربر بدخواه خیلی مهم است توانایی اش در خواندن توضیحات کاربر است. باتهای گوگل هم اکنون قادرند توضیحات پویای ارسال شده توسط کاربران را بخوانند.  بیشتر موتورها یا فریم ورکها که به کاربران در ارسال توضیحات کمک می کنند بر اساس جاوا اسکریپت می باشند و توسط باتهای گوگل قابل دیدن نیستند. به نظر می رسد گوگل بر این چالش چیره شده است زیرا هم اکنون باتهای گوگل قادرند جاوا اسکریپت و مؤلفه های آژاکس را اجرا کنند و توضیحات پویا را که بعدا در نتایج جستجو ایندکس می شوند بخوانند. هم اکنون این باعث ایجاد تکنیک بهینه سازی موتور جستجو (SEO) توسط ماشین آلات بازاریابی آنلاین می شود و همزمان می تواند توسط کاربران بدخواه نیز مورد سؤاستفاده قرار گیرد.

همانطور که همه آگاهی دارند مجرمان سایبری از تکنیکهای SEO برای بهبود موقعیت پیوند آلوده ی خود در جستجوی گوگل استفاده می کنند و این ویژگی جدید گوگل را به آسانی برای لیست کردن پیوندهای خود در نتایج گوگل مورد سؤاستفاده قرار میدهند. برای انجام آن از پستهای خودکار در مطالب داغ (که مانیتور نمی شود) به همراه پیوند به پایگاهای آلوده. می توان منتظر بود و اتفاق افتادن این را در اینترنت دید.

نرم افزار جعلی دکتر باطری اندروید

نرم‌افزار کلاهبردارانه (Scareware) جدید گوشی های موبایلی که سیستم عامل اندروید گوگل را اجرا می کنند ادعایی مبنی بر توانایی شارژ کردن باتری می کند.  این گوشی همچنین توانایی سرقت  اطلاعات را دارد.

وقتی پنجره برای اولین بار اجرا می شود، پنجره ی پیش نمایش زیر ظاهر می شود. همانطور که می بینید اطلاعاتی در باره ی باتری و برنامه های در حال اجرا و نمودار دایره ای در سمت راست میزان فضای قابل دسترس حافظه ی دستگاه را نشان می دهد.

برنامه یک سرویس به نام NotifAdSDK را بارگزاری می کند که هر چهار ساعت چک می شود و اطلاعات پروفایل شما را ارسال می کند.

Battery Doctor اطلاعات زیر را به سرور خانگی‌اش “push.m[xxxx]ze.com” ارسال می کند:
- اندازه ی صفحه اش
- نسخه ی مرورگر و سیستم عامل گوشی
- برنامه ای که ترافیک را اجرا می کند  (com.androidupgrade.battery)  و نسخه آن
- نام کامپین
- مدل و سازنده ی دستگاه
- شبکه‌ای که گوشی از آن استفاده می کند
- شبکه ی موبایل گوشی یا مکان مناسب جی پی اس
- IMEI  و شماره ی تلفن
- کلید API  برنامه
- یک شناسه ی یکتا برای دستگاه (گوشی)

از سندیپ برای آنالیز نمونه تشکر می کنیم. بسته ی امنیتی کوییک هیل فایل را به عنوان  Android.Batterydoctor.A می شناسد.

به کاربران توصیه می شود برنامه ها را فقط از سایتهای قابل اعتماد دانلود کنند.

مرجع: مقالات امنیتی IT

ویژگی آنتی ویروس های موبایل بر روی اندروید

چیزهایی که از یک موبایل سکیوریتی کامل انتظار می‌رود، بیش از یک آنتی‌ویروس ساده برای موبایل است. اگرچه گرایش تفکرات مخرب و ویروس‌نویسان در حال میل به سمت دستگاههای قابل حمل مانند موبایل و تبلت بیشتر شده، اما نباید سطح انتظار از یک پکیج امنیتی را تنها محصور به ویروسیابی نمود. 

در میان سیستم‌عاملهای فعال در گوشی‌های موبایل هوشمند و PDAها بی‌شک گوگل اندروید در صدر فهرست قرار دارد. برمبنای تئوری تمرکز تبهکاران سایبری بر روی پرطرفدارترین سیستم عامل‌ها، انتشار بدافزارهای اندروید روز به روز در حال رشد می‌باشد. 

شرکتهای بزرگ امنیتی مانند کوییک‌هیل، مکافی، سیمانتک، ای‌ست، کسپرسکی دست به تولید پکیج‌های امنیتی ویژه موبایل‌های اندروید نموده‌اند که هر یک دارای ویژگی‌هایی می‌باشند. از این بین تکنولوژی‌های کوییک‌هیل توانسته با استفاده تجربیات خود در زمینه امنیت و بکارگیری و اجتماع چندین تکنولوژی یک نرم‌افزار جامع طراحی و با قیمتی کمتر از رقبای خود وارد بازار نماید.

پکیج امنیتی کوییک‌هیل علاوه بر ماژول ویروسیابی، از امکانات دیگری مانند مسدود کردن پیامک‌های ناخواسته، مسدود کردن تماس‌های خاص، امکان ردیابی گوشی پس از سرقت و... برخوردار می‌باشد.

در ویژگی ضد سرقت، شما می‌توانید از راه دور گوشی خود را قفل نمایید و شماره و مکان گوشی خود را بیابید. همچنین در صورت تعویض سیمکارت، شماره سیمکارت جدید فوراً به شماره از پیش تعریف شده پیامک می‌شود.

با استفاده از ویژگی مسدود کردن تماس صوتی، می‌توانید یک یا چند شماره خاص را مسدود نمایید. علاوه بر این می‌توانید امکان تماس به شماره خاصی را از گوشی خود مجاز شمارید. این ویژگی در مواقعی که شما می‌خواهید گوشی را به کسی بدهید تا فقط بتواند با شما تماس بگیرد کاربرد دارد.

ماژول محافظت از داده‌های حساس، امکان رمزنگاری فایل‌ها، شماره‌ها، SMSها و... بر روی گوشی شما را فعال می‌سازد.

برای اطلاعات بیشتر به وب‌سایت آنتی‌ویروس مراجعه نمایید. قیمت پک کامل موبایل سکیوریتی اندروید کوییک‌هیل 12000 تومان می‌باشد که از طریق فروشگاه اینترنتی قابل تهیه است.

حمله جدید فیشینگ تویتر

امروز یک حمله ی جدید فیشینگ تویتر به سرعت در حال پخش شدن است و سعی می کند از طریق پیغام مستقیم اطلاعات ورودی اکانت را کسب کند. اگر شما یک پیغام «یک تصویر خنده دار از شما پیدا کردم» (Found a funny picture of you! ) را همراه با پیوند به mugweb.ru دریافت کردید، روی این پیوند کلیک نکنید.

کلیک روی این پیوند شما را به آدرس زیر می برد:

twittelr.com/verify-/session/login-/

کاربرانی که روی لینک کلیک می کنند و جزئیات اکانت خود را وارد می کنند سهوا اجازه می دهند فرستندگان هرزنامه اختیار اکانتشان را در دست گیرند و این چنین هرزنامه ای را توسط پیغام مستقیم به تمام دوستان آنها ارسال کنند.

صفحه ی وب twittelr.com تقلیدی است از صفحه ورود تویتر. اطلاعات اکانت خود را در این صفحه وارد نکنید. با این کار کنترل کامل اکانت خود را به هکرها می دهید.

اگر اطلاعات اکانت خود را وارد کردید، شما باید کلمه عبور خود را تغییر دهید. اگر نمی توانید وارد شوید، باید درخواست ریست پسوورد را به سایت تویتر بدهید.

کوییک هیل این دامین را می شناسد و بلاک می کند.

انتشار اسپم استیو جابز زنده است!

اخبار مرگ استیو جابز توسط مجرمان اینترنتی سو استفاده شده است و هرزنامه هایی در ارتباط با این واقع فرستادند.

هرزنامه ی پست الکترونیک دارای یکی از عنوان های زیر می باشد:
استیو جابز هنوز نمرده است!
آیا استیو جابز  واقعا مرده است؟
استیو جابز زنده است! یا استیو جابز نمرده است.

اگر شما یکی از این پیغام های استیو جابز زنده است را دریافت کرده اید، به شما توصیه می کنیم که روی لینکی کلیک نکنید و یا فایل ضمیمه ی آنرا دانلود نکنید، زیرا شما را به سمت دریافت کننده ی تروجان و سایت های آلوده و فریبکار هدایت نمایند و امنیت رایانه ی خود را به خطر بی اندازید و سیستم شما آلوده شود.

این تروجان ها نه تنها به حمله کننده اجازه می دهد بدافزارهای دیگر را نصب کند و عملکرد کاربر را ذخیره می کند و راگویر نصب می کند بلکه از آن کامپیوتر نیز برای حمله به دیگران استفاده می کند و هرزنامه پخش می کند.

ما در کوییک هیل به همه کاربران هشدار می‌دهیم که خبری که استیو جابز مؤسس مشهور شرکت اپل زنده است  جعلی می باشد پس بنابراین به آنها توجه نکنید.

مرجع:  وب سایت مقالات امنیت IT

انتشار ویروس نت فلیکس اندروید

لابراتوار کوییک هیل یک بدافزار جدید دریافت نموده که شبیه به نرم افزار Netflix اصلی می باشد و برای دزدیدن اطلاعات اکانت نت فلیکس استفاده می شود.

این یک مورد کلاسیک بدافزار تروجان می باشد که در آن نرم افزار قلابی خیلی شبیه به نرم فزار اصلی می باشد و کاربر را فریب می دهد به طوری که کاربر اطلاعات اکانت نت فلیکس را وارد کند، حتی اجازه ی مورد نیاز نرم افزار تقلبی مثل نرم فزار اصلی می باشد.

پس از نصب نرم افزار آن از کاربر می خواهد که اطلاعات مربوط به اکانت از قبیل پست الکترونیک و کلمه ی عبور را وارد نماید. اطلاعات بدست آمده به یک سرور راه دور که هنگام نوشتن این متن از کار افتاده است می فرستد.وقتی اطلاعات وارد شده است صفحه ای دیگر نشان داده می شود مبنی بر اینکه این نسخه با سخت افزار موجود هم خوانی ندارد و نسخه ی دیگر نرم افزار نصب شود.

آیکن برنامه

صفحه ی اعتبار نامه ی اکانت

کد لازم برای فرستادن اطلاعات به سرور راه دور

از سندیب برای بررسی نمونه متشکریم. بسته نرم افزاری امنیت کوییک فایل را به عنوان  Android.Fakeneflic.A. می شناسد.

به کاربران توصیه می شود برنامه را فقط از سایت های معتبر دریافت کنند.

مرجع: بروزترین وب سایت مقالات امنیتی

گوگل کروم کاربران را در مقابل دانلود فایل آلوده محافظت می کند

گوگل یک ویژگی جدید برای بروزر خود کروم اعلام کرد که در صورتی که کاربری در حال دانلود یک فایل اجرایی مشکوک به بدافزار بود، به کاربر هشدار می دهد.

تیم کروم در حال توسعه سرویس API گشت امن اینترنت خود برای شامل کردن فایل های دانلود شده می باشند.سرویس API گشت امن اینترنت چیست؟

سرویس ای.پی.آی گشت امن اینترنت یک API تجربی می باشد که به کلاینت ها اجازه می دهد پیوندهای اینترنتی را با لیست سیاه همواره به روز شده صفحات مشکوک به بدافزار و فیشینگ مقایسه کند. نرم افزار کلاینت شما می تواند از این API برای دانلود یکه جدول رمزگذلری شده برای جستجوی محلی و از سمت کلاینت URLهایی که شما می خواهید آنها را بررسی کنید.

این وژیگی با گوگل کروم همراه خواهد شد و در صورتی که کاربری در حال دانلود یک فایل اجرایی مشکوک به بدافزار بود، به کاربر هشدار می دهد.

این پیغام برای هر آدرس اینترنتی دانلودشده که با آخرین لیست وب سایت های منتشر شده توسط API گشت امن اینترنت مطابقت کند نمایش داده می شود. با اضافه کردن پشتیبانی از این مقاصد بدافزار شناخته شده، آنها میزان آلودگی کاربرانی که از گوگل کروم استفاده می کنند را کاهش می دهد.

کوییک هیل همواره به کاربران توصیه می‌کند تا نرم‌افزارهای خود را به‌روز نگه دارند.

مرجع: سایت مقالات امنیت IT

اصلاحیه امنیتی مایکروسافت برای ویروس دوکو Duqu

مایکروسافت راهکار موقت (حل مشکل بدون حذف خود باگ) برای حفره استفاده شده توسط دوکو را منتشر کرد.

مایکروسافت یک توصیه ی امنیتی ۲۶۳۹۶۵۸ برای رفع و رجوع آسیب پذیری اخیر هسته ی ویندوز (CVE-2011-3402)  که توسط بدافزار دوکو کشف شده است اعلام کرد.

مایکروسافت به این نتیجه رسیده است که این حفره در پردازش فونت های نوع صحیح جایگذاری شده می باشد.این باگ خیلی مهم است. به زبانی که حرفه ای های امنیت معمولا استفاده می کنند، این باگ توانایی اجرای از راه دور کد (RCE) و ترفیع امتیاز (EoP) را دارد.

مایکروسافت ساعیانه تلاش می کند تا پَچ آنرا بدهد و در حال حاضر ابزار دانلود «آنرا تعمیر کن» را که ویژگی فونتهای نوع صحیح جایگذاری شده را برای تامین امنیت در مقابل حفره غیرفعال می کند ارائه داده است.

مشکلی که با این دانلود وجود دارد این است که نرم افزارهایی که بر اساس این فونتها هستند دیگر نمی توانند به خوبی نمایش داده شوند. برای نمونه نرم افزارهای «اسناد مایکروسافت آفیس»،  مرورگرها و نمایش دهنده های اسناد از این فونت ها استفاده می کنند.

ما به کاربرانمان توصیه می کنیم اگر نشانی از این بدافزار دیدند این بسته را نصب کنند. کوییک هیل به عنوان پیشگامان صنعت نرم‌افزارهای امنیتی، بدافزار مذکور را با نام Trojan.Duqu می‌شناسد.

مرجع: مقالات امنیتی