شناسایی حملات بدافزار جدید به سرورهای Apache

July 14, 2013, 12:57 am

≫ Next: موج جدید سرقت‌ از حساب‌های بانکی اینترنتی

≪ Previous: این بدافزار از کاربران اندروید ۳۰۰ دلار اخاذی می‌کند

$

0

0

کارشناسان امنیتی از انتشار گسترده و همه‌گیر یک بدافزار جدید روی سرورهای Apache خبر داده‌اند که به کاربران پیشنهاد می‌کند با پرداخت ۳۰۰ دلار به صورت رایگان از همه خدمات این سرورها بهره‌مند شوند.به گزارش ایتنا، محققان مرکز امنیتی Eset در گزارش جدید خود توضیح دادند این بدافزار که برای مدت طولانی فعالیت می‌کرده است، شرکت‌های ارایه‌دهنده خدمات میزبانی وب را مورد هدف قرار می‌دهد و کدهای مخرب فراوان را با نام Darkleech روی سرورهای Apache منتشر می‌کند."سباستین دوکوت"( Sebastien Duquette) یکی از کارشناسان بدافزاری مرکزی امنیت Eset در وبلاگ رسمی این شرکت توضیح داد: «انتشار کدهای مخرب روی سرورها و دسترسی به کاربران از این طریق یکی از روش‌های معمول برای انتشار گسترده بدافزارها محسوب می‌شود که مجرمان اینترنتی این روزها آن را دنبال می‌کنند.»شرکت امنیتی Eset همچنین اعلام کرد که هکرها توانسته‌اند به بخش CPanel و Plesk هم در این سرورها دسترسی پیدا کنند که هر دو برنامه نرم‌افزاری یاد شده توسط شرکت‌های ارایه دهنده خدمات میزبانی وب مورد استفاده قرار می‌گیرند و سایت‌های اینترنتی زیادی مبتنی بر آنها ساخته می‌شوند.

---

موج جدید سرقت‌ از حساب‌های بانکی اینترنتی

February 15, 2013, 1:26 am

≫ Next: هشدار متخصصان نسبت به آسیب پذیری های اصلاح نشده در جاوا 6

≪ Previous: شناسایی حملات بدافزار جدید به سرورهای Apache

$

0

0

تولیدکنندگان بدافزارهای مالی و سارقان اینترنتی با استفاده از روش‌های قدیمی خود اقدامات جدیدی را پیش‌ می‌برند که به موجب آن امنیت سیستم‌های بانکی دچار اختلال می‌شود و حساب‌های بانکی به راحتی مورد سرقت قرار می‌گیرند. به گزارش ایتنا بیشترین برنامه‌های Trojan مخصوص سرقت‌های اینترنتی که توسط کلاهبرداران سایبری مورد استفاده قرار می‌گیرند، قادرند زمانی که قربانی در حال وارد کردن اطلاعات شخصی خود است و قصد ورود اینترنتی به حساب بانکی خود را دارد، این اطلاعات را سرقت کنند.در این روش صفحه‌ای کاملا شبه به محل ورود اینترنتی کاربر به حساب بانکی در اختیار او گذاشته می‌شود تا هنگامی که اطلاعات محرمانه وارد این صفحه شد، سارقان به صورت مخفیانه حساب وی را خالی کنند. این اتفاق موجب شده است تا بانک‌های سراسر جهان به فکر تقویت سیستم‌های امنیتی خود بیفتند و امکان حضور مشتریان خود در سایت‌های تقلبی را به حداقل برسانند. بررسی‌های جدید نشان داده است که کلاهبرداران اینترنتی برای دستیابی به هدف یاد شده سراغ تکنیک‌های قدیمی خود رفته‌اند و سعی دارند با تمرکز بر این روش‌ها دست به کلاه‌برداری بزنند.

هشدار متخصصان نسبت به آسیب پذیری های اصلاح نشده در جاوا 6

August 31, 2013, 1:18 am

≫ Next: نفوذ اسب تروا در اپل و گوگل

≪ Previous: موج جدید سرقت‌ از حساب‌های بانکی اینترنتی

$

0

0

گروهی از متخصصان امنیت هشدار داده اند: كسب و كارهایی كه قادر نیستند جاوا نسخه ۶ را بر روی سیستم های خود به روز رسانی نمایند، در برابر حملات هكرها آسیب پذیر هستند. آخرین اصلاحیه برای پلت فرم جاوا نسخه ۶ در ماه آوریل توسط اوراكل منتشر شد. این مشكل با نام CVE-۲۰۱۳-۲۴۶۳ شناسایی شده است و در رده امنیتی "بحرانی" قرار دارد. به گزارش ایتنا از مرکز ماهر،‌ با توجه به راهنمایی امنیتی منتشر شده، این آسیب پذیری تنها از طریق برنامه های كاربردی Java Web Start و اپلت های جاوا كه در sandbox قرار دارند می تواند مورد سوء استفاده قرار بگیرد. در حالی كه كاربران جاوا ۶ نسبت به این مشكل آسیب پذیر می باشند، این مشكل در جاوا ۷ برطرف شده است. Timo Hirvonen، تحلیلگر ارشد شركت امنیتی F-Secure اظهار داشت: در حال حاضر این مساله بسیار با اهمیت می باشد زیرا بسته سوء استفاده كننده Neutrino از آسیب پذیری های جاوا سوء استفاده می كند. این بسته به منظور دانلود بدافزار بر روی سیستم های كامپیوتری از رخنه های موجود در جاوا سوء استفاده می كند. مهاجم می تواند كد دلخواه خود را بر روی سیستم اجرا كند و سیستم را به بدافزار آلوده نماید. با این حال مشكلی كه در رابطه با این به روز رسانی ها وجود دارد آن است كه برنامه های كاربردی حیاتی برای كسب و كارها در سیستم های قدیمی ممكن است قادر نباشند این به روز رسانی ها را اعمال نمایند. در عوض شركت ها باید از طریق مرورگرهایی كه سرویس لیست سفید اپلت های جاوا را پشتیبانی می كنند مانند گوگل كروم و IE، خطر را كاهش دهند.

نفوذ اسب تروا در اپل و گوگل

July 16, 2012, 4:45 am

≫ Next: ده نکته جالب در مورد ویروس کبیر(اولین ویروس تلفن همراه)

≪ Previous: هشدار متخصصان نسبت به آسیب پذیری های اصلاح نشده در جاوا 6

$

0

0

بر اساس یافته‌های کارشناسان کسپرسکی، اسب تروآی جدیدی در دو سرویس آنلاین App Store و Google Play منتشر شده است که دفترچه تلفن کاربران را سرقت کرده و روی سرور مشخصی بارگذاری می‌کند.به گزارش ایتنا از پارس آتنا دژ (پاد)، کاوشگران ویروس شرکت کسپرسکی در پی درخواستی از سوی یک اپراتور روسی به نام MegaFon، برنامه موبایلی Find and Call را مورد بررسی قرار دادند و دریافتند که قسمتی از خدمات این نرم‌افزار با عنوان Find your friends بی‌سر و صدا و بدون آگاهی کاربران، اطلاعات و شماره‌های دفترچه تلفن آنها را روی سرور نویسندگان این برنامه بارگذاری می‌کند.این در حالی است که هنگام بارگذاری یا همان «دزدیدن» اطلاعات دفترچه های تلفن، هیچ گزینه‌ای برای کسب اجازه از کاربران و رضایت آنها از انجام این کار وجود ندارد.دنیس ماسلنیکوف، یکی از کارشناسان ارشد بدافزارها در تیم کاوش و بررسی جهانی کسپرسکی بر این باور است که برنامه موبایلی Find and Call علاوه بر دزدیدن اطلاعات شخصی کاربران، موقعیت جغرافیایی آنها را هم فاش می‌کند.اپراتور MegaFon در ابتدا گمان می‌کرد این برنامه موبایلی یک کرم پیامکی است که از یک گوشی به گوشی دیگر پخش می‌شود.ولی با وجود شباهت فراوان Find and Call به کرم‌های پیامکی، این نرم‌افزار عملکرد متفاوتی دارد.Find and Call به شماره‌های مختلف دفترچه تلفن کاربران پیامک می‌فرستد و کاربران را به دریافت و نصب این برنامه تشویق می‌کند؛ کاربران قربانی همزمان هنگامی می‌بینند این پیام از سوی دوست یا دوستانشان به آنها ارسال شده، روی لینک دانلود کلیک می‌کنند.با اینکه به نظر می‌رسد گوگل و اپل از وجود این بدافزار روی فروشگاه برنامه‌های کاربردی خودآگاه شده‌اند، با این حال ظاهرا نسخه آندروییدی و آیفون Find and Call هنوز روی App Store و Google Play قابل دانلود است.گوگل با راه‌اندازی سرویس Google Play تلاش کرده است از گسترش بدافزارها و برنامه‌های خرابکارانه روی پلت‌فورم آندرویید جلوگیری کند.غول جست‌وجو و تبلیغات اینترنتی فوریه گذشته از راه‌اندازی یک نرم‌افزاری امنیتی روی فروشگاه اینترنتی Google Play به نام Bouncer خبر داد که کار آن شناسایی بدافزارهاست.با این حال گسترش نرم‌افزارهای خرابکارانه‌ای مثل Find and Call نشان می‌دهد که پشت سر گذاشتن از این دیواره های امنیتی کار دشواری نیست.

ده نکته جالب در مورد ویروس کبیر(اولین ویروس تلفن همراه)

June 22, 2014, 5:55 am

≫ Next: باج‌خواهی تروجان از کاربران اینترنتی

≪ Previous: نفوذ اسب تروا در اپل و گوگل

$

0

0

این مقاله قصد دارد شما را با اولین ویروس تلفن های همراه که حدود ده سال از انتشار آن میگذرد آشنا سازد.به گزارش ایتنا از گروه خبری کسپرسکی، درست ده سال پیش اولین ویروس نوشته شده برای تلفن های هوشمند آن زمان (گوشی‌هایی نظیر نوکیا N-Gage) شناسایی شد. اسم این ویروس کبیر "Cabir" بود که دنیای جدیدی را پیش روی کارشناسان و تحلیلگران بدافزارها، ویروس نویسان و حتی کاربران ساده باز کرد.در ادامه اطلاعات جالبی را در مورد این ویروس ده ساله می‌خوانیم:۱- دلایل نامگذاری این ویروس بنام کبیر نسبت دادن آن به ماهی Caribe بود به دلیل قدرت نفوذی که داشت و همچنین اینکه درست زمانی که آزمایشگاه کسپرسکی مشغول تحلیل و بررسی این ویروس بود عضوی جدید بنام Elena Kabirova به این تیم پیوست.۲- کبیر بین محبوب‌ترین گوشی‌های تلفن همراه سال ۲۰۰۴ یعنی گوشی‌های نوکیای تحت سیستم عامل سیمبین منشر می‌شد.۳- تنها کانال انتشار این ویروس بلوتوث بود، لذا دریافت و یا ارسال ناخواسته این ویروس در هر مکانی نظیر رستوران‌ها، کنسرت‌ها، ورزشگاه‌ها و... امکان‌پذیر بود، و بزرگ‌ترین آمار انتشار این ویروس در مسابقات ورزشی هلسينكي پایتخت فنلاند بود.۴- برای محافظت در برابر ویروس کبیر افراد می‌بایست بلوتوث گوشی خود را خاموش نگه می‌داشتند و یا حداقل آن را در حالت invisible نگه می‌داشتند.۵- کارشناسان آزمایشگاه کسپرسکی برای آزمایش این ویروس در شرایط عادی اقدام به تهیه دو گوشی همراه نوکیا نمودند که در آن زمان چندان هم ارزان نبود و از آن پس این کارشناسان کسپرسکی هر گوشی محبوب موجود در بازار را خریداری نموده تا برای پلتفرم مربوطه آن اقدام به بررسی‌هایی دقیق‌تر نمایند.۶- برای بررسی این ویروس در آزمایشگاه قدیمی کسپرسکی بمنظور تهیه ضدویروس مناسب، اتاق ویژه‌ای ساخته شد که دیوارهای آن عایق امواج رادیویی و بلوتوث بودند و یکی از اهداف ساخت این اتاقک حفظ امنیت تلفن‌های همراه سایر کارکنان مجموعه بود.۷- درست چند ماه پیش از شناسایی و انتشار ویروس کبیر،از Alex Gostev محقق ارشد آزمایشگاه کسپرسکی طی مصاحبه‌ای پرسش شد که چرا تابحال ویروسی برای تلفن‌های همراه نوشته نشده است و وی در پاسخ گفت که احتمالاً تا سال آینده شاهد انتشار ویروس در این حوزه نیز خواهیم بود و دیدیم که این پیش‌بینی نیز به حقیقت پیوست.۸- اگر دقیق‌تر به این موضوع بپردازیم، کبیر را نمی‌توان اولین ویروس در پلتفرم‌های تلفن همراه دانست چراکه پیش از آن ویروس‌هایی هم برای PDA دستگاه‌های (circa ۲۰۰۰) نیز نوشته شده بود، ولی کبیر اولین ویروس گوشی‌های هوشمند بود که با از قدرت نفوذ و انتشار قابل توجهی برخوردار بود.۹- نویسندگان ویروس کبیر گروهی از هکرها با نام 29A بودند که به ساخت ویروس‌های پیچیده و جدید کامپیوتری شهرت داشتند.۱۰- فردی که نمونه‌ای از این ویروس را برای آزمایشگاه کسپرسکی بمنظور آزمایش و تحلیل و یا ارائه راهکار و ساخت آنتی‌ویروس مناسب ارسال نموده بود، به پنج یا شرکت دیگر نیز این ویروس را فرستاده بود اما آزمایشگاه قدرتمند کسپرسکی اولین و تنها مجموعه‌ای بود که موفق شد سریعاً ماهیت این کد را شناسایی نماید و دیتابیس‌های ضدویروس‌های خود را با ابزار شناسایی این ویروس به‌روزرسانی کند؛ و جالب‌تر آنکه Roman Kuzmenko که موفق شد طی شیفت شب کاری خود در آزمایشگاه کسپرسکی (که ۲۴ ساعته و تمام روزهای هفته کار میکردند) به کشف و حل معمای این کد پیچیده بپردازد، یک گوشی جدید و قدرتمند نوکیای تحت سیمبین از این شرکت هدیه گرفت!

باج‌خواهی تروجان از کاربران اینترنتی

September 25, 2011, 1:27 am

≫ Next: گزارش مرکز ماهر در باره بدافزار "مهدی"

≪ Previous: ده نکته جالب در مورد ویروس کبیر(اولین ویروس تلفن همراه)

$

0

0

به گزارش ایتنا، براساس اعلام لابراتور‌های امنیتی شرکت پاندا که برای نخستین‌بار موفق به کشف و رد‌یابی این نرم‌افزار مخرب گردیده است، این بد‌افزار به خانواده کد‌های مخرب«تروجان» تعلق دارد که شایع‌ترین نوع از بد‌افزار‌های رایانه‌ای محسوب می‌شوند.این ویروس مخرب با عنوان Ransom.AN، از طریق نامه‌های الکترونیک دانلود فایل، لینک‌های مشکوک اینترنتی و یا از طریق حافظه‌های جانبی، به‌طور کاملاً نامحسوس به رایانه کاربران نفوذ کرده و فعالیت‌های تخریبی خود را آغاز می‌کند.کاربرانی که رایانهٔ آن‌ها به این ویروس آلوده شده باشد؛ ابتدا و به‌ صورت ناگهانی پیغامی را برروی صفحهٔ نمایش خود مشاهده می‌کنند، مبنی بر این‌که نسخهٔ سیستم عامل ویندوز مورد استفاده آن‌ها، غیررسمی و غیرقانونی است و اگر آن‌ها فوراً شماره سریال یک نسخهٔ اصل از سیستم عامل ویندوز را در این پنجره وارد نکنند، اطلاعات و تجهیزات رایانه‌ای‌شان به شدت آسیب خواهد دید.این پیغام از لحاظ گرافیکی و ظاهری به حدی حرفه‌ای طراحی ‌شده که در نگاه اول اغلب کاربران اطمینان حاصل می‌کنند که آن را از طرف شرکت مایکروسافت دریافت کرده‌اند، در صورتی که این یک هشدار غیرواقعی و جعلی است که تنها هدف آن دستپاچه ‌کردن کاربران برای اقدام‌های فوری و نسجیده است.نکتهٔ جالب در اینجاست که شما چه نسخه اصل و چه نسخه غیراصل از سیستم عامل ویندوز را داشته باشید، از شما خواسته می‌شود تا مبلغ صد دلار از طریق کارت اعتباری خود به یک حساب خاص واریز کنید تا از این که فایل‌ها و تجهیزات رایانه‌ای شما صدمه ببینند، جلوگیری شود.این صدمه می‌تواند بنا بر ادعای این ویروس، شامل پاک‌ شدن فایل‌ها، سرقت آن‌ها و یا آلودگی شدید باشد که درصورت عدم پرداخت وجه طلب شده انجام خواهد شد.براساس اعلام پاندا، شیوع اصلی این ویروس رایانه‌ای فعلا در کشور‌های اروپایی و به ویژه کشور آلمان است؛ اما کارشناسان این شرکت پیش‌بینی کرده‌اند که درصورت نتیجه بخش‌ بودن فعالیت‌های تخریبی این ویروس برای خرابکاران اینترنتی، دیگر نقاط جهان نیز به زودی شاهد جهش و انتشار سریع این تروجان خواهند بود.توصیه می‌شود برای این‌که از قدرت دفاعی لازم در برابر حملات مخرب این ویروس رایانه‌ای برخوردار باشید، از نسخهٔ رسمی و اصل یک ضد ویروس قدرتمند استفاده کنید و آن را همواره بروز نگاه دارید.بهتر است برنامهٔ امنیتی مورد استفاده شما مجهز به فن‌آوری‌های هوشمند حفاظت پیشگیرانه باشند تا از نفوذ و اجرای این ویروس در رایانه شما جلوگیری کنند. نرم‌افزار‌ رایگان و قدرتمند Panda Cloud Antivirus می‌تواند یک گزینهٔ مناسب برای مقابله با این ویروس و سایر بدافزار‌های کاملاً جدید دیگر باشد.ترجمه اسماعیل ذبیحی -شرکت امنیتی پاندا

گزارش مرکز ماهر در باره بدافزار "مهدی"

July 18, 2012, 4:01 am

≫ Next: جنجال آفرینی در باره یک بدافزار

≪ Previous: باج‌خواهی تروجان از کاربران اینترنتی

$

0

0

مرکز ماهر گزارش خود در باره بدافزار مهدی "Mahdi" یا "Madi" را منتشر کرد.به گزارش ایتنا، متن کامل توضیحات این مرکز به شرح زیر است:در روز سه شنبه ۲۷ تیرماه خبری مبنی بر انتشار یك ویروس جدید در خاورمیانه توسط رسانه‌ها منتشر شد.این خبر كه اولین بار توسط كسپرسكی اعلام شده، ادعا می‌كند كه این تروجان بیش از ۸۰۰ كامپیوتر را كه بیشتر آنها در ایران و اسرائیل قرار دارند آلوده نموده است و بیش از ۸ ماه از شروع فعالیت آن می‌گذرد.اهم فعالیت‌های این بدافزار به شرح ذیل است:· ثبت اطلاعات صفحه كلید· عكس گرفتن از صفحه مانیتور در فواصل مشخص· عكس گرفتن در صورت استفاده از ابزارهای ارتباطی از قبیل facebook، skype و یا Gmail· ایجاد درهای پشتی جهت نفوذ و دسترسی مهاجم· ضبط، ذخیره و ارسال فایل‌های صوتیاین تروجان توسط آزمایشگاه كسپرسكی به نام مهدی "Mahdi" یا "Madi" نامگذاری شده به این دلیل كه این بدافزار فایلی به نام Mahdi.txt روی سیستم قربانی ایجاد می‌كند.همچنین ادعا شده كه در كد این برنامه عبارات فارسی و نیز تاریخ‌هایی با فرمت تقویم ایرانی مشاهده شده است.بررسی‌های صورت گرفته بر روی نمونه بدافزار توسط مركز ماهر نتایج ذیل را بدست می‌دهد:· منبع اولیه شناسایی و اعلام این بدافزار شركتی با عنوان seculert است كه یك شركت امنیت فناوری اطلاعات اسرائیلی است.· بررسی‌های به عمل آمده بر روی نمونه‌های بدافزار نشان می‌دهد كه این یك بدافزار ساده و كم‌هزینه است. همچنین در این بدافزار از هیچ آسیب‌پذیری خاصی جهت انتشار و آسیب‌رسانی به سیستم‌ها استفاده نشده است. لذا بر خلاف ادعاهای صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یك تهدید هدفمند سایبری دور از ذهن بنظر می‌رسد.· با یك جست‌وجوی ساده در اینترنت به راحتی می توان فهمید كه این بدافزار از مدتها پیش شناسایی شده است. شركت ضدبدافزار Sophos حدود ۵ ماه پیش (۲۸ بهمن ۱۳۹۰) طی گزارشی به تشریح عملكرد این بدافزار پرداخته است.به طور كلی مشخص نیست چرا یك بدافزار ساده كه از مدت‌ها قبل توسط شركت‌های معتبر آنتی ویروس شناسایی شده بوده است، اكنون به طور گسترده تحت پوشش خبری قرار می‌گیرد.

جنجال آفرینی در باره یک بدافزار

July 22, 2012, 2:26 am

≫ Next: 10 گروه روسی 30 درصد تروجان‌های جهان را تولید می‌کنند

≪ Previous: گزارش مرکز ماهر در باره بدافزار "مهدی"

$

0

0

اسماعیل ذبیحی - شرکت امنیتی پاندا - انتشار یک ویروس بسیار ساده و ابتدایی با عنوان “Madi” و بزرگنمایی آن توسط رسانه‌های عمدتاً سیاسی جهان نظیر رویترز، بی بی سی، فاکس نیوز و ... این سئوال را در ذهن ها متبادر کرده که چرا در تحلیل بدافزارهایی که به نحوی با کشور ایران و برنامه‌های صنعتی آن مربوط می شوند، تا این حد بزرگنمایی و اغراق صورت می‌گیرد و بلافاصله تمام رسانه‌های غرب و شرق جهان بسیج می‌شوند تا حتی کوچک‌ترین تحلیل‌ها و گمانه‌زنی‌ها درباره این بدافزارها را به سرعت در سرخط اصلی خبرهای خود قرار دهند.بر اساس گزارش شرکت ماهر(مرکز ملی مدیریت، امداد و هماهنگی رخدادهای کشور): "ویروس “Madi” یک بدافزار بسیار ساده است که توسط تقریباً تمام برنامه های ضدویروس شناسایی می‌شود و حالا مشخص نیست که چرا به طور گسترده مورد پوشش خبری قرار می‌گیرد."این مسئله البته مورد تأیید اغلب شرکت‌های امنیتی ست به جز شرکت‌های خاصی که این ویروس را برای اولین بار(!) کشف کرده‌اند و در بزرگنمایی آن به حدی تلاش کردند تا مسئله “Madi” به رسانه‌های بزرگ جهان کشیده شده و زمینه برای جنجال‌آفرینی علیه کشور ایران فراهم شود.البته بسیاری از رسانه‌های بزرگ جهان، یا به علت ضعف دانش فنی در حوزه فناوری اطلاعات و یا به دلایل سیاسی و یا حتی در جهت ایجاد تشویش روانی علیه کشوری مانند ایران که مورد هجمه رسانه‌های شرق و غرب است، آتقدرها هم نسبت به بزرگنمایی تهدیدها علیه ایران(حتی اگر این تهدیدها کم اهمیت و غیرواقعی باشند)، بی‌میل نیستند.این رسانه ها خواسته و یا ناخواسته به این نکته بسیار ساده توجه نمی کنند که تمام ویروس های رایانه ای، حتی "استاکس نت"، "فلیم" و حالا“Madi” برای فعالیت های تخریبی خود با محدودیت های فراوانی مواجهند. مثلاً تمام ویروس هایی که به سرقت یا جاسوسی اطلاعات می پردازند، فقط در سیستم های عامل خاصی توان اجرا دارند. این یعنی اگر شما اطلاعات فوق محرمانه خود را در یک رایانه مجهز به سیستم عامل Mac OS و یا لینوکس ذخیره کنید، ویروس های تحت سیستم عامل ویندوز مانند "فلیم" یا “Madi” ،هرچقدر هم که خطرناک باشند، توانایی دسترسی و سرقت آن اطلاعات را نخواهند داشت. هم چنین اگر ارتباط رایانه های حساس و حاوی اطلاعات محرمانه را از شبکه های کوچک محلی، اینترنت و یا از شبکه های گسترده سازمانی قطع کنیم، حتی به فرض نفوذ ویروس های سارق اطلاعات از طریق حافظه های جانبی و پورت های یو اس بی، باز هم این ویروس ها قادر به انتقال اطلاعات سرقت شده به بیرون از ان مجموعه سازمانی نخواهند بود. و عملکرد تخریبی آن ها عملاً عقیم و بی نتیجه خواهد ماند. بنا براین نباید تصور کرد که حتی خطرناک ترین بدافزارها ی کشف و اعلام شده، یک تهدید غیر قابل کنترل و یا یک نابودگر تمام عیار هستند. بلکه باید وجه اشتراک تمام ویروس های رایانه ای، محدودیت های عملیاتی آن ها و روش کنترل و انسداد نفوذ آنها را به خوبی فرا بگیریم و این روش ها را همواره به روز نگاه داریم. اما در این میان نقش شرکت های امنیتی چیست؟چرا برخی از شرکت های امنیتی به ویژه شرکت هایی از روسیه و آمریکا، تلاش کردند تا ویروس ساده و ابتدایی "“Madi را به صورت یک تهدید جدی و فوق العاده خطرناک جلوه دهند و باعث سردرگمی و نگرانی بسیاری از مدیران شبکه های سازمانی و حتی کاربران خانگی کشور شوند. جالب تر این که چرا برخی از شرکت های امنیتی و به تبع آنها بسیاری از رسانه های سیاسی به جای اینکه درباره راهکارهای امنیتی و پیشگیری از نفوذ ویروس اطلاع رسانی کرده و روی روش های ردیابی و خنثی سازی تهدیدهای رایانه ای تأکید کنند، روی خود تهدیدها، ویروس ها، فعالیت های مخرب و قابلیت های تخریبی آن ها تمرکز می کنند. بدون شک این مسئله موجب تأثیر منفی بر روی جو روانی و امنیتی حاکم بر فضای مجازی کشور می گردد.متأسفانه به نظر می رسد شرکت های امنیتی و نیز رسانه های سیاسی غربی یا شرقی که ویروس ساده“Madi” را تا این حد بزرگ و جنجال آفرین تصویر کردند، هر دو در راستای منافع خود حرکت کرده اند؛ دسته ای در جهت بهره برداری رسانه ای برای مقاصد تجاری و دسته ای دیگر در جهت جنجال آفرینی و ایجاد تنش برای بهره برداری سیاسی و سازمانی ...

---

10 گروه روسی 30 درصد تروجان‌های جهان را تولید می‌کنند

August 13, 2013, 4:41 am

≫ Next: هشدار کسپرسکی در مورد یک بدافزار قدیمی

≪ Previous: جنجال آفرینی در باره یک بدافزار

$

0

0

نتایج حاصل از مطالعه جدید مرکز امنیت موبایلی Lookout نشان داد که ۱۰ گروه تخصصی تولید بدافزار در روسیه در مجموع مسؤول ۳۰ درصد تروجان‌ها، برنامه‌های جاسوسی یا دیگر ابزارهای آلوده مخصوص گوشی‌های هوشمند هستند که در سراسر جهان منتشر می‌شود.به گزارش ایتنا از شماران سیستم، این آزمایشگاه‌های زیرزمینی تولید بدافزار با بررسی‌ روش‌های مختلف برای نفوذ به سیستم‌ها، سرعت بیشتری نسبت به فرآیند تولید ابزارهای امنیتی دارند و آنها را پشت‌سر گذاشته‌اند.ابزارهایی که توسط این مراکز ساخته می‌شود می‌تواند برای انتشار بدافزارها مورد استفاده قرار گیرد تا در نهایت امکان کسب درآمد این گروه‌های زیرزمینی روسی را فراهم کند. زمانی که هر یک از این ابزارهای آلوده روی دستگاه الکترونیکی نصب می‌شوند، بدافزار به صورت خودکار در قالب یک ابزار کاربردی فعالیت خود را آغاز می‌کند و به صورت مخفیانه اطلاعات شخصی کاربر را به مراکز مشخص انتقال می‌دهد و از این طریق کاربر را به دام می‌اندازد.با توجه به اینکه محبوب‌ترین و پرکاربردترین ابزار الکترونیکی در جهان دستگاه‌های مبتنی بر سیستم‌عامل اندروید محسوب می‌شوند، متخصصان آزمایشگاه‌های زیرزمینی روسی بر این سیستم‌عامل تمرکز کرده‌اند و بخش قابل ملاحظه درآمد آن‌ها از این طریق تامین می‌شود.کارشناسان می‌گویند که هر از این گروه‌های تولیدکننده بدافزار در روسیه به طور میانگین ماهانه بین ۷۰۰ تا ۱۲ هزار دلار درآمد دارند.

هشدار کسپرسکی در مورد یک بدافزار قدیمی

July 6, 2014, 5:48 am

≫ Next: UROBUROS نرم‌افزار جاسوسی بسیار پیچیده با منشأ روسی!

≪ Previous: 10 گروه روسی 30 درصد تروجان‌های جهان را تولید می‌کنند

$

0

0

شرکت کسپرسکی در مورد بازگشت دوباره بدافزار جاسوسی Miniduke و حملات وسیع آن به کاربران هشدارد داد.به گزارش ایتنا از روابط عمومی گروه آتنا، شرکت کسپرسکی نخستین بار در سال ۲۰۱۳ در مورد حملات این بدافزار هشدار داده بود.هدف حملات این بدافزار، بیشتر دولت‌ها و جاسوسی از آنها بوده و از اوایل دهه ۲۰۰۰ میلادی آغاز شده بود.یوجین کسپرسکی بنیانگذار و مدیرعامل شرکت كسپرسكی در خصوص این بدافزار می‌گوید: «ما از نویسندگان این بدافزار تعجب می‌كنیم كه در دهه اول ۲۰۰۰ برای مدت زیادی در خاموشی بسر می‌بردند، اما به یك باره فعال و عضو گروه‌های پیچیده‌ای از مجرمان سایبری دنیا شدند. این بدافزارنویسان کهنه کار و کاربلد در گذشته مهارت فراوانی در تولید ویروس‌های بسیار پیچیده داشته و امروزه نیز با بهره‌گیری از راهکارهای پیشرفته دور زدن سیستم‌های امنیتی سندباکس، سازمان های دولتی و موسسه های تحقیقاتی چندین کشور را هدف حملات خود قرار داده‌اند.»هرچند فعالیت‌های این گروه به شدت کاهش یافته بود، به نظر می‌رسد حملات Miniduke بر روی پلتفرم جدیدی دوباره آغاز شده است و به نظر می‌رسد فعالیت این بدافزار پیچیده‌تر شده باشد و این بار علاوه بر حملات پیشین، توسط سازمان‌های قانونی نیز مورد استفاده قرار گفته است.در حال حاضر این بدافزار دارای یك backdoor جدید و قابلیت‌های بیشتری است.محققان آزمایشگاه كسپرسكی دریافته‌اند كه نوع قدیم بدافزار miniduke هنوز در برخی كشورها فعال هستند و برخی موسسات و سازمان‌های دولتی را هدف قرار می‌دهد.به علاوه پلتفرم جدید miniduke-Botgenstudio- ممكن است نه تنها توسط هكرهای حملات هدفمند (APT) بكار گرفته شود بلكه توسط سازمان‌های مجری قانون و مجرمان معمولی نیز مورد استفاده قرار گیرد.Botgenstudio برای ایجاد یك حمله سه جانبه جهت شناسایی، نفوذ و حملات متناوب بكار می‌رود.این نرم‌افزار به علت وجود ویژگی‌های غیرمنتظره، قربانیان غیرمنتظره نیز دارد. اما دو احتمال در مورد این بدافزار وجود دارد.یكی آنكه پلتفرم بدافزار Botgenstudio كه در Miniduke استفاده می‌شود به عنوان نرم‌افزارهای جاسوسی دولت‌ها مانند نرم‌افزار دسترسی از راه دور شركت hacking team جهت استفاده قانونی به كار می‌رود.احتمال دیگر آن است كه توسط گروه‌های زیرزمینی و كسب و كارهای مختلف جهت جاسوسی از رقیبان استفاده می‌شود.

UROBUROS نرم‌افزار جاسوسی بسیار پیچیده با منشأ روسی!

July 8, 2014, 11:23 pm

≫ Next: رد پای استاکس‌نت در بدافزار شعله

≪ Previous: هشدار کسپرسکی در مورد یک بدافزار قدیمی

$

0

0

کارشناسان امنیتی شرکت آلمانی جی دیتا بدافزار پیچیده و خطرناکی را کشف کرده اند که برای دزدیدن اطلاعات سری تولید شده است.به گزارش ایتنا از شرکت رایان سامانه آرکا، متخصصان امنیتی G Data بخش بسیار پیشرفته و پیچیده‌ای از بدافزار را تحلیل کرده‌اند که برای سرقت اطلاعات محرمانه طراحی شده بود.G Data از آن به عنوان Uroburos نام می‌برد که با رشته‌ای یافت شده در رمز بدافزار به تبعیت از سمبل کهن نمایش یک مار کبری یا اژدها در حال خوردن دمش، مرتبط است.Uroburos چیست؟Uroburos روت کیتی مرکب از دو فایل است٬ یکی راه‌انداز و دیگری سیستم فایل مجازی رمزگذاری می‌باشد.یک روت کیت دارای قدرت به اختیارگیری سیستم آلوده و اجرای دستورات دلخواه و مخفی نمودن فعالیت‌های سیستم است و قادر است اطلاعات را سرقت(اکثراً فایل‌ها) و همچنین ترافیک شبکه را ضبط نماید.ساختار ماژولارش براي آن توان توسعه خود با قابلیت‌های جدید را فراهم می‌کند که این نه تنها آن را بسیار پیچیده٬ بلکه بسیار انعطاف‌پذیر و خطرناک می‌سازد.بخش راه انداز Uroburos بیش از اندازه پیچیده است و به گونه اي طراحی شده که خیلی مجزا از هم بوده و تشخیص آن خیلی مشکل باشد.پیچیدگی تکنولوژیکی نشانگر ارتباط آن با آژانس‌های جاسوسی می‌باشد. ایجاد قالبی مانند Uroburos سرمایه‌گذاری عظیمی می‌طلبد. به وضوح تیم خلاق پشت این بدافزار متخصصان کامپیوتر با مهارتی بالا هستند به طوری که از ساختار و طراحی پیشرفته روت کیت قابل استنتاج است.ما بر این باوریم که تیم پشتیبان Uroburos کارشان را روی انواع بسیار پیشرفته ای ادامه میدهند که هنوز باید کشف شوند.Uroburos برای کار کردن به صورت همتا(peer-to-peer) طراحی شده بدین معنی که سیستم‌های آلوده با هدایت مهاجمان از راه دور بین خودشان ارتباط برقرار می‌کنند.با هدایت یکی از سیستم‌های آلوده که به شبکه اینترنت متصل باشد بدافزار قادر به آلوده کردن سیستم‌های بیشتری در شبکه می‌باشد٬ حتی آنهایی که به شبکه اینترنت متصل نیستند.بدافزار می‌تواند از هر یک از سیستم‌های آلوده جاسوسی نموده و اطلاعات جمع آوری شده را از طریق سیستم‌های آلوده به سیستمی دارای اتصال اینترنتی است رسانده و به مهاجمان ارسال کند.این رفتار بدافزار نمونه‌ای از انتشار در شبکه شرکت‌های عظیم و سازمان‌های عمومی است. مهاجمان پیش‌بینی می‌کنند که یقیناً کامپیوترهایی منفک از شبکه اینترنت در هدف حمله‌شان وجود دارند و از این تکنیک به عنوان نوعی راه حل برای دستیابی به اهدافشان استفاده می‌کنند.Uroburos سیستم عامل Microsoft Windows ۳۲ و ۶۴ بیتی را پشتیبانی می‌کند.بدلیل پیچیدگی این بدافزار و با ملاحظه پیچیدگی تکنیک‌های بکار برده شده در آن، گمان می‌رود که این روت کیت٬ دولت‌ها، موسسات تحقیقاتي و یا شرکت‌های بزرگ را مورد هدف قرار می‌دهد.گمانه‌زنی ارتباط حمله روس‌ها با حمله انجام شده بر ضد ایالات متحده! به دلیل جزئیات تکنیکی زیاد(نام فایل، کلیدهای رمزگذاری، رفتار و جزئیاتی که در این گزارش ذکر شده است) احتمال مي‌دهيم که گروه پشت سر Uroburos همان گروهی است که حمله ای سایبری بر ضد ایالات متحده آمریکا در ۲۰۰۸ با یک بدافزار بنام Agent.BTZ. انجام داد. Uroburos حضور Agent.BTZ. کنترل کرده و در صورت نصب آن در سیستم، غیرفعال باقی می‌ماند.ظاهراً پدیدآورندگان Uroburos به زبان روسی صحبت می‌کنند که این مویّد ارتباطش با Agent.BTZ. است.افزون بر این، مطابق مقالات یک روزنامه عمومی، این واقعیت(استفاده از زبان روسی)، شامل پدیدآوردگان Agent.BTZ. نیز می‌شود.مطابق کلیه شواهدی که ما از تحقیق و تحلیل‌های بدافزار بدست آوردیم به این حقیقت اطمینان داریم که حملاتی که توسط Uroburos انجام می‌شود افراد نامعلوم مورد هدف قرار نمی‌گیرند بلکه بنگاه‌های اقتصادی بسیار برجسته، حکومت‌ها، سازمان‌های جاسوسی و اهداف مشابه هدف‌گیری می‌شوند.Uroburos احتمالاً حداقل به مدت سه سال پنهان مانده است!روت کیت Uroburos یکی از پیشرفته‌ترین روت کیت‌ها است که ما تا بحال در این زمینه تحلیل کرده‌ایم.قدیمی‌ترین راه‌اندازی که ما شناسائی کردیم در سال ۲۰۱۱ جمع آوری شد این بدان معنی است که اين حمله حداقل به مدت سه سال پنهان باقی مانده است.حامل آلودگی هنوز ناشناخته استاین که چگونه Uroburos ابتدا توانست به شبکه‌های بسیار برجسته نفوذ کند در این مرحله از تحقیقات ناشناخته است.حامل‌هایِ آلودگیِ زیادی همچون spear phishing، drive-by-infections، حافظه فلش USB یا حملات مهندسی اجتماعی امکان‌پذیر قابل تصور هستند.

رد پای استاکس‌نت در بدافزار شعله

June 16, 2012, 12:58 am

≫ Next: کرم سارق در گوشی‌های اندروید

≪ Previous: UROBUROS نرم‌افزار جاسوسی بسیار پیچیده با منشأ روسی!

$

0

0

محققان با بررسی کد کرم Flame دریافتند که این ابزار خرابکارانه با کرم استاکس‌نت بی‌ارتباط نبوده و هر دو از یک ریشه برخاسته‌اند.به گفته متخصصان Kaspersky Lab، ماژول مهمی که Flame برای تکثیر خود به کار برده، مشابه همان ماژولی است که استاکس‌نت از آن استفاده کرده است.این ماژول در واقع یک نسخه ابتدایی از کرم استاکس‌نت است که در سال ۲۰۰۹، یعنی بیش از یک سال زودتر از شناسایی نسخه اصلی این کرم به وسیله شرکت ضد ویروس بلاروسی VirusBlokAda، در اینترنت فعال بود.عده‌ای از کارشناسان کرم بدافزار Flame را مستقیما به استاکس‌نت مربوط می‌دانند؛ ویروسی که به گفته بسیاری از کارشناسان سایت غنی‌سازی هسته‌ای نطنز را هدف حملات خود قرار داده بود.ظهور استاکس‌نت و کمی بعد از آن بدافزار Flame از وقوع یک دوره جنگ سایبری و حملات شدید به اهداف گوناگونی در ایران دارد که سال‌ها به طول خواهد انجامید.محققان کسپرسکی بر این باورند که نسخه‌های ابتدایی استاکس‌نت در واقع از دل چیزی برخاسته است که به آن «پلات‌فورم شعله» می‌گویند.بر اساس مطلبی که در وبلاگ Securelist شرکت کسپرسکی منتشر شده است، احتمال می‌رود که توسعه استاکس‌نت و Flame از سال ۲۰۰۹ مسیر تازه‌ای به خود گرفته بود، زیرا دو تیم برنامه‌نویسی مختلف با اهدافی متفاوت به صورت مستقل روی یک پلات‌فورم واحد مشغول به کار شدند.متخصصان Kaspersky Lab و شرکت‌های دیگر ابتدا بر این باور بودند که استاکس‌نت و بر پایه دو ساختار نرم‌افزاری کاملا متفاوت بنا شده و شواهد زیادی برای ارتباط دادن این بدافزارها به یکدیگر وجود نداشت.با وجود این رفته رفته دلایل و شواهد فراوانی کارشناسان را به ارتباط این بدافزارها به دیگری واداشت. از یک سو استاکس‌نت و Flame هر دو ایران و کشورهای همسایه این کشور را هدف قرار داده‌اند که پیش از این چنین الگوی رفتاری در هیچ بدافزاری دیده نشده است.از سوی دیگر Flame به منظور تکثیر از یک کامپیوتر به کامپیوتر دیگر عمدتا از همان شیوه‌هایی استفاده می‌کند که استاکس‌نت هم برپایه آنها تکثیر و گسترش می یابد، مثل آلودگی از طریق USB و بهره‌گیری از آسیب‌پذیری Autorun ویندوز و یک آسیب‌پذیری دیگر دربخش پرینت.اینگونه بود که محققان دریافتند گمان ابتدایی آنها در مورد Flame اشتباه بوده است.متخصصان کسپرسکی در تحقیقات خود به سرنخ‌هایی رسیدند که از طریق فناوری تحلیل خودکار ویروس کسپرسکی موفق به کشف و شناسایی آن شدند. این در حالی است که محققان از طریق همین فناوری در اکتبر سال ۲۰۱۰ فایل خرابکارانه‌ای را شناسایی کردند که شکل تغییریافته استاکس‌نت بود.کارشناسان کسپرسکی در آن زمان با بررسی این نسخه تغییریافته، شباهت چندانی بین آن و استاکس‌نت پیدا نکردند و از این رو آن را Tocy.a نامیدند.بیش از دو سال پیش همان گروه محققان هنگام جست‌وجو برای یافتن نمونه‌های قدیمی تر بدافزارهایی شبیه به شعله به کرم Tocy.a برخوردند.محققان با درنظر گرفتن تاریخچه Tocy.a و ریشه گرفتن به عنوان یکی از نسخه‌های اولیه استاکس‌نت، تحقیقات خود را گسترش دادند تا دریابند که چرا هوش مصنوعی شرکت‌های امنیتی دو کد خرابکارانه را این چنین شبیه به هم در نظر می‌گیرد، ولی با سایر بدافزارهای شناسایی شده در پایگاه داده جامعه کسپرسکی شباهتی پیدا نمی‌کند.نتایج محققان از این قرار بود: ماژولی که در یک نمونه اولیه از استاکس‌نت پیدا شده بود، Resource ۲۰۷ نام گرفت.این ماژول که کمی بیش از ۳۵۰ هزار بایت حجم دارد، در Stuxnet.a به کار رفته بود تا دسترسی کامل به سیستم‌های کامپیوتری را در مهاجمان قرار دهد.پس از روی کار آمدن نسخه های بعدی استاکس‌نت اثری از Resource ۲۰۷ دیده نشد، از این رو کارشناسان توجه بیشتری به این نسخه از استاکس‌نت نشان دادند و رد پای این نمونه اولیه را در نسخه‌های پیشرفته تر بدافزار استاکس‌نت شناسایی کردند.محققان با تحقیق بیشتر دریافتند که Resource ۲۰۷ تقریبا با ماژول بدافزار Flame تفاوتی ندارد. کسپرسکی هم اکنون Resouce ۲۰۷ را یک پلاگین Flame یا به بیان دقیق‌تر «نمونه اولیه Flame» می‌نامد. در واقع Resource ۲۰۷ تقریبا از هر نظر با یکی از فایل های Comntemporary شعله به نام mssecmgr.ocx برابری می‌کند.هر دوی این عناصر از ساختار مشابهی برخوردار است؛ فایل‌های زیرمجموعه هم نام، الگوریتم و رشته رمزگشایی مشابه و شیوه‌های کم و بیش یکسان نوشتن کد پایه. محققان کسپرسکی همچون کارشناسان شناسایی و تطابق دست خط به این نتیجه رسیدند که بی شک بخشی از عناصر استاکس‌نت و Flame به دست یک نفر یا یک گروه خلق شده است. به اعتقاد محققان، Resource ۲۰۷ پایه پلات‌فرم شعله بوده است. کارشناسان کسپرسکی در وبلاگ Securelist نوشته‌اند: در بازه زمانی ماه ژانویه تا ژوئن ۲۰۰۹ که استاکس‌نت فعال شده بود، پلات‌فورم شعله هم خلق شده بود. بر اساس محاسبات ما، تاریخ ساخت بدافزار شعله به تابستان ۲۰۰۸ بر می‌شود، یعنی زمانی که این کرم از ساختاری ماژولی برخوردار شده بود.این کارشناسان معتقدند که استاکس‌نت از ماژول پایه پلات‌فرم Flame استفاده کرده است. به احتمال فراوان آن ماژول به طور خاص برای کارکرد در ساختار استاکس‌نت طراحی شده بود. به گفته محققان، این ماژول ابتدا از یک آسیب پذیری شناخته نشده موفق به نفوذ به یک سیستم کامپیوتری و کنترل کامل آن شد که مایکروسافت بعدا با انتشار وصله امنیتی MS۰۹-۰۲۵ این آسیب پذیری را پوشش داد.این ماژول سپس در سال ۲۰۱۰ از چرخه فعالیت خارج شد، زیرا هدایت‌کنندگان استاکس‌نت به دنبال شیوه‌های جدیدی برای نفوذ به سیستم از طریق آسیب‌پذیری بودند که مایکروسافت با عرضه وصله امنیتی MS۱۰-۰۴۶ آن را مسدود کرد. در سال ۲۰۰۹ تحول پلات‌فورم Flame از طریق تیمی که به طور مستقل روی استاکس‌نت کار می‌کردند، ادامه یافت.در این حال محققان کسپرسکی احتمال دادند که کار روی برنامه‌های خرابکارانه به دو گروه برنامه‌نویس مستقل سپرده شده است؛ تیم F (Flame) و تیم D (Tilded یا همان برنامهFlame ) محققان کسپرسکی در این باره می‌گویند: هر یک از این دو گروه از سال ۲۰۰۷ به این سو مشغول توسعه پلات‌فورم خاص خود بوده‌اند، اما پایه و شواهد مشترکی در ساختار هر دو بدافزار به چشم می‌خورد. علاوه بر ارتباط مستقیم بین Flame و استاکس‌نت، محققان پنج آسیب پذیری ناشناخته‌ای را کشف کردند که نسخه‌ای از استاکس‌نت در سال ۲۰۰۹ از طریق آن به سیستم‌های کامپیوتری نفوذ می‌کرد. این نسخه از استاکس‌نت در ماژول استاکس‌نت و Flame هم به کار رفته بود. کد نفوذ از طریق آن آسیب‌پذیری همچنین در نمونه دیگری از استاکس‌نت که اوایل سال ۲۰۰۹ فعال بود، گنجانده شده بود. کد آن نسخه استاکس‌نت در فوریه ۲۰۰۹ نوشته شده بود و نفوذپذیری مربوط به آن هنوز کشف نشده بود.مایکروسافت این آسیب پذیری را چهار ماه بعد با انتشار به‌روزرسانی امنیتی MS۰۹-۰۲۵ وصله کرد. رول شوونبرگ، یکی از محققان ارشد بدافزار در کسپرسکی می‌گوید: برنامه‌نویسی که پشت حملات این حفره و حفره MS۱۰-۰۷۳ بوده، در توسعه کرم Stuxnet.b هم نقش داشته است.محققان دقیقا نمی‌دانند که چرا Resource ۲۰۷ از کد استاکس‌نت حذف شد، هرچند می‌توان این اقدام را راهی برای مجزا کردن ساختار استاکس‌نت و شعله دانست. یک فرضیه می‌گوید که Flame یک ابزار جاسوسی سایبری برای مقاصد کلی است و برنامه نویسان نمی‌خواستند دو پلات‌فورم را بیش از حد لازم با هم درآمیزند.تحقیقات متخصصان نتایج بسیار جالبی را به دنبال داشته است. دانستن این نکته که دو کد خرابکارانه با اهداف و مقاصد یکسان از یک منبع سرچشمه گرفته است، برای بسیاری از کارشناسان امنیتی تعجب آور نیست.بسیاری تصور می‌کردند که اصل و اساس بدافزار Flame به یک دولت ناشناس بر می‌گردد و نه گروه‌های هکری و مجرمان سایبری. با این حال انتشار خبر حمله Collision بی‌سابقه Flame به منظور شبیه‌سازی یک به‌روزرسانی نرم‌افزاری مایکروسافت، شک کارشناسان را به یقین تبدیل کرد. این در حالی است که گزارش‌های خبری اخیر به نقل از منابع دولتی ناشناس، ایالات متحده را عامل اصلی توسعه استاکس‌نت می‌داند. بر اساس این گزارش‌ها ممکن است آمریکا و متحدانش پس پرده بدافزار Flame هم نقش داشته باشند. ---------------------------------------------------------تهیه شده در شرکت پارس آتنا دژ

کرم سارق در گوشی‌های اندروید

August 17, 2011, 1:28 am

≫ Next: زیمنس عامل استاکس‌نت

≪ Previous: رد پای استاکس‌نت در بدافزار شعله

$

0

0

امروزه با توجه به رشد فزاینده استفاده از گوشی‌های اندروید در جهان ، به نظر می‌رسد که بدافزارها در اندروید روز به روز در حال افزایش هستند. به گزارش ایتنا، دپارتمان فنی کوییک هیل یک بدافزار جالب دریافت کرده است که می‌تواند اطلاعات تاریخچهٔ تماس‌ها و صدای ضبط شدهٔ همه مکالمات تلفنی را ذخیره کرده و آن‌ها را به شخص بزهکار ارسال نماید.بسیاری از بدافزارهای پیشین اندروید بدین صورت عمل می‌کنند که با ارسال یک پیام کوتاه یا برقراری یک تماس تلفنی با شماره های دارای سرویس ویژه هزینهٔ گزافی را به کاربران تلفن همراه تحمیل کرده و بدین ترتیب به راحتی به درآمد هنگفتی می‌رسند.اما این تروجان خاص، صدای مکالمات را به فرمت AMR با اجازه دسترسی که قبلاً توسط کاربر تایید شده، ذخیره می‌نماید.در زمان نصب برنامه، این بدافزار مجوز دسترسی برای اجرای کارهای زیر درخواست می‌کند:دسترسی به موقعیت مکانی Cell-ID و WiFiدسترسی به آپدیت‌های Cell-ID و WiFiدسترسی به موقعیت مکانی GPSدسترسی به اطلاعات مرتبط با شبکه‌های WiFiمجاز کردن دسترسی با سطح پایین مدیریت نیروی الکتریسیتهمجاز کردن دسترسی فقط خواندنی به وضعیت تلفنمجاز کردن استفاده از PowerManager WakeLocks (قفل بیداری مدیریت نیرو) برای نگه‌داشتن پردازشگر در حالت نیمه‌فعال (sleeping) یا صفحهٔ نمایش در حالت کاهنده (dimming)برقراری تماس تلفنی بدون استفاده از واسط کاربری شماره‌گیر (بنابراین کاربر از تماس‌های برقرار شده توسط این تروجان بی‌خبر می‌باشد)مانیتورینگ، تغییر یا قطع تماس‌های خروجی کاربرباز کردن سوکت‌های شبکهخواندن پیام‌های SMSخواندن اطلاعات لیست تماس و دفترچه تلفن کاربرذخیره صداارسال پیامکنوشتن (بدون خواندن) اطلاعات تماس کاربرنوشتن پیام‌های SMSنوشتن در حافظه‌های جانبیوقتی تروجان اجرا شد، خود را برای اجرای همیشگی در زمان روشن شدن گوشی برای شنود، با خط فرمان زیر ثبت می‌کند:android.permission.ACTION_BOOT_COMPLETEDهمچنین این بدافزار خطرناک ممکن است هر یک سرویس‌های زیر را فعال نماید:GpsServiceMainServiceRecordServiceSocketServiceXM_SmsListenerXM_CallListenerXM_CallRecordServiceاین برنامه یک SMS شامل کد IMEI گوشی تلفن به شماره تلفن زیر ارسال می‌کند:۱۵۸۵۹۲۶۸۱۶۱سپس اقدام به ثبت اطلاعات زیر می‌کند:لیست شماره تلفن‌هااطلاعات موقعیت جغرافیایی GPSپیام‌های SMS دریافتیپیام‌های SMS ارسالیاطلاعات فوق در کارت SD در مکان زیر نوشته می‌شوند:/sdcard/shangzhou/callrecord/اطلاعات جمع‌آوری شده از طریق پورت ۲۰۱۸ به سرور زیر ارسال می‌گردد:jin.۵۶mo.comبهترین اقدام در برابر این نوع از بدافزارها، توجه داشتن به اعطای اجازه دسترسی به برنامه‌ها می‌باشد. از خودتان بپرسید که آیا این برنامه واقعاً نیاز به این قابلیت‌ها دارد؟ اگر شک دارید، بگویید نه! علاوه بر اینکه تشخیص این موارد برای کاربران معمولی کمی دشوار به نظر می‌رسد، تکنیک‌های برقراری امنیت نیاز به تخصص، دانش و فعالیت گسترده دارد که این وظیفه بر عهدهٔ شرکت‌های امنیتی می‌باشد.اخیراً کوییک‌هیل اقدام به انتشار راهکار امنیتی ویژه اندروید کرده است. موبایل سکیوریتی اندروید کوییک هیل این تروجان را با نام Android.Nickispy.A شناسایی می‌کند.

زیمنس عامل استاکس‌نت

April 16, 2011, 3:32 am

≫ Next: 718 هزار ابزار آلوده مخصوص سیستم‌عامل اندروید شناسایی شد

≪ Previous: کرم سارق در گوشی‌های اندروید

$

0

0

به گزارش ایتنا به نقل از ايرنا، پس از تهاجم ويروس استاكس‌نت به تاسيسات و مراكز صنعتي ايران و فاش شدن اين مساله كه برخي از دولت‌ها در اين حمله سايبري نقش دارند، ضرورت مقابله با تهديدات اينترنتي بيش از گذشته مورد توجه قرار گرفت و در اين ميان سير توجهات به سازمان پدافند غير عامل معطوف شد.سازمان پدافند غير عامل به عنوان نهادي كه وظيفه هماهنگي براي ايجاد زيرساخت‌هاي غير نظامي در مقابل حملات دشمنان و كاهش آسيب پذيري كشور را بر عهده دارد، تمهيدات زيادي را براي مقابله با تهديدات سايبري در نظر گرفت.به قول سردار جلالي رييس سازمان پدافند غير عامل، سايبر عرصه پنجم وقوع جنگ جهاني است كه دولت‌هاي بزرگ برنامه‌هاي گسترده‌اي را براي نفوذ و ضربه‌زدن به كشورهاي مختلف از طريق آن تدارك ديده‌اند. بنابراين لازم است در ايران نيز ساختارهاي پدافندي براي مقابله با حملات سايبري تهيه شود.با توجه به فعاليت سازمان پدافند غير عامل در زمينه مقابله با تهديدات سايبري، پيگير مصاحبه با سردار سرتيپ غلامرضا جلالي رييس اين سازمان شديم .رييس سازمان پدافند غير عامل در اين مصاحبه كه در آستانه روز ارتش صورت گرفت، اقدامات انجام شده براي مقابله با ويروس استاكس‌نت و ساير تهديدات سايبري را تشريح كرد و از برنامه‌هاي سازمان براي افزايش آمادگي دستگاه‌هاي اجرايي و مراكز صنعتي در مواجهه با تهديدات سايبري خبر داد.شكل گيري تهديدات جديد با محوريت فناوري هاي نوينرييس سازمان پدافند غير عامل با اشاره به تغيير ماهيت تهديدات گفت: تهديدات جديد با محوريت فناوري‌هاي نوين شكل مي‌گيرد.اين فناوري‌ها از يك طرف براي كشورهاي صاحب فناوري، سه مولفه قدرت، ثروت و سلطه به ارمغان مي آورد اما از طرف ديگر باعث نگراني و احساس خطر ساير كشورها مي‌شود.سردار جلالي با ذكر نمونه‌اي از ظرفيت فناوري‌هاي جديد براي كنترل ساير كشورها اظهار داشت: به عنوان مثال از طريق فناوري سنجش از راه دور (RS) ‌، دولت‌هاي صاحب فناوري مي‌توانند از مسافت‌هاي دور كشورهاي ديگر را تحت كنترل بگيرند و فعاليت‌هاي آنها را رصد كنند.رييس سازمان پدافند غير عامل با بيان اينكه با ظهور فناوري اطلاعات، انقلابي در عرصه ارتباطات شكل گرفته است تصريح كرد: فناوري اطلاعات، ساختار نظام بين‌الملل را دگرگون كرده به طوري كه مرزهاي طبيعي و سياسي كم رنگ شده است.سردار جلالي با اشاره به تاثير گذاري فرامرزي فناوري اطلاعات در انقلاب هاي اخير خاورميانه و شمال آفريقا اظهار داشت: در جنبش‌هاي اخير در كشورهاي اسلامي مشاهده شد كه شعارها و خواسته‌هاي مردم به سرعت از طريق فناوري‌هاي نوين سايبري مرزها را در نورديد و از يك كشور به كشور ديگر منتقل شد به طوري كه شعار مردم تونس در تجمعات، به فاصله چند ساعت در تجمعات مردمي در مصر و يمن مورد استفاده قرار مي‌گرفت.رييس سازمان پدافند غير عامل خاطر نشان كرد: فناوري اطلاعات، قدرت دولت مركزي بر كشورها را كاهش داده و يك فضاي اشتراك جمعي ايجاد كرده است.سردار جلالي تصريح كرد: فناوري اطلاعات در كنار خدمات و مزايايي كه براي عموم مردم در عرصه‌هاي خدماتي، علمي، نظامي، امنيتي، رفاهي ، پولي و مالي فراهم كرده، براي صاحبان و توليد‌كنندگانش، قدرت و سلطه جويي به ارمغان آورده است.وي اظهار داشت: كشورهاي صاحب فناوري تلاش مي كنند با وابسته كردن ساير كشورها به فناوري اطلاعات، حوزه قدرت خود را افزايش دهند؛ به عبارت ديگر به نسبت پيشرفت فناوري اطلاعات، قدرت نفوذ و دخالت كشورهاي صاحب فناوري افزايش پيدا مي كند.سايبر، عرصه پنجم جنگ جهانيسردار جلالي با تاكيد بر اهميت روزافزون سايبر در رقابت بين كشورها گفت: در گذشته، جنگ سايبري تنها در نظريه و تحليل مطرح مي‌شد اما امروز اين تهديد كاملا جنبه عيني پيدا كرده و همه دنيا متوجه اين تهديد شده است.رييس سازمان پدافند غير عامل افزود: يكي از استراتژيست‌هاي آمريكايي، سايبر را بعد از زمين، دريا، هوا و فضا پنجمين عرصه جنگ جهاني مي‌داند كه رقابت‌هاي آينده حول آن شكل مي‌گيرد.وي تصريح كرد: در حوزه جنگ سايبر، مفاهيم جديدي مانند سلاح‌هاي سايبري، ساختارهاي دفاعي سايبري و تروريسم سايبري پديد آمده است.سردار جلالي با اشاره به توجه كشورها به جنگ سايبري اظهار داشت: واشنگتن در سال گذشته قرارگاه دفاع سايبري امريكا را به رياست ژنرال آركس سايند تاسيس كرده است.رييس سازمان پدافند غير عامل افزود: البته اگرچه اسم اين قرارگاه را دفاعي گذاشته‌اند اما در عمل، حمله و آفند نيز انجام مي‌دهد. اين قرارگاه بخش زيادي از هكرها را تحت پوشش قرار مي‌دهد به طوري كه مي‌توان منشا بسياري از حملات سايبري در دنيا را اين قرارگاه دانست.وي اضافه كرد: آلمان نيز اخيرا مركز دفاع سايبري خود را فعال كرده و دستورالعمل‌هاي آن را نيز مشخص كرده است.سردار جلالي خاطر نشان كرد: اتحاديه اروپا نيز چندي پيش، مانور دفاع سايبري را در زير ساخت‌هاي اقتصادي و بانكي خود انجام داده و عمليات تست نفوذ را به اجرا گذارده است.با استاكس نت، اولين حمله سايبري به ايران انجام شدرييس سازمان پدافند غير عامل حمله ويروس استاكس‌نت را اولين طليعه جنگ سايبري در ايران دانست و گفت: با توجه به رشد سريع استفاده از فناوري اطلاعات در بخش هاي مختلف خدماتي و اقتصادي بايد به ارتقا امنيت زير ساخت‌هاي فناوري اطلاعات در كشور توجه بيشتري شود.سردار جلالي افزود: در برنامه پنجم دولت مكلف شده است هفتاد درصد از فعاليت‌هاي خدماتي خود را از طريق اين زير ساخت‌ها ارايه دهد كه لازم است به تمهيدات امنيتي اين بخش نيز انديشيده شود.وي با اشاره به شناسايي كشورهايي كه در تهاجم سايبري استاكس نت دخالت داشته‌اند تصريح كرد: كارشناسان فني ايراني، منشا و چگونگي نفوذ و روش‌هاي مقابله و مهار ويروس استاكس‌نت را مورد بررسي قرار داده‌اند.رييس سازمان پدافند غير عامل افزود: متخصصان، ويروس استاكس‌نت را در آزمايشگاه تخصصي ويروس قرار داده و ظرفيت‌ها و توانمندي‌هاي آن را بررسي كرده اند.سردار جلالي خاطر نشان كرد: اگرچه حمله استاكس‌نت غافلگيرانه بود اما متخصصان ما به خوبي با آن مقابله كردند.وي با بيان اينكه حمله استاكس‌نت بركات خوبي براي كشور ما داشت اين حمله را باعث افزايش آمادگي متخصصان ايراني دانست.رييس سازمان پدافند غير عامل اضافه كرد: متخصصان سايبري ايران نرم افزار ضد ويروس استاكس‌نت را تهيه و دستگاه‌هاي آلوده را پاكسازي كرده‌اند و به نيروهاي متخصص نيز آموزش هاي لازم داده شده است.شكايت از كشورهاي منتشر كننده ويروس استاكس‌نتسردار جلالي مقابله با ويروس استاكس‌نت را داراي ابعاد سياسي و حقوقي دانست و خاطرنشان كرد: دشمنان با استفاده از فضاي مجازي به زيرساخت‌هاي صنعتي حمله و روند توليد صنعتي را تحت تاثير قرار داده‌اند. اين يك اقدام خصمانه عليه كشور ما بود كه اگر به موقع با آن مقابله نمي‌شد احتمال داشت صدمات مالي و جاني زيادي وارد كند.رييس سازمان پدافند غير عامل تاكيد كرد: ابعاد سياسي و حقوقي اين تهاجم سايبري را بايد وزارت امور خارجه و ساير مراجع سياسي و قضايي پيگيري و به مراجع ذيصلاح بين‌المللي شكايت كنند.وي گفت: اگر آمادگي مقابله با اين بحران در كشور وجود نداشت و حمله آنها با موفقيت همراه مي شد امكان داشت در زيرساخت‌هاي پالايشگاهي و صنعتي، خطاي صنعتي ايجاد و حوادث ناگواري به وجود بيايد.سردار جلالي افزود: به عنوان مثال اختلال در يك مجتمع پتروشيمي ممكن است به آتش سوزي و آلودگي شيميايي خطرناك براي مردم و محيط زيست مانند حادثه بوپال هند منجر شود.رييس سازمان پدافند غير عامل با بيان اينكه كشورهايي مهاجم بايد مسووليت حقوقي حمله سايبري را بپذيرند تصريح كرد: در صورت اختلال در حوزه نفت، گاز، برق و پتروشيمي امكان داشت خسارت هاي سنگين به كشور ما وارد شود.شكايت از زيمنسسردار جلالي با اشاره به سواستفاده از نرم‌افزار اسكاداي شركت زيمنس گفت: مسوولان فني و اجرايي بايد نسبت به نرم افزار اسكاداي زيمنس كه بستر فعاليت ويروس استاكس‌نت را فراهم كرده پيگيري حقوقي انجام دهند.رييس سازمان پدافند غير عامل با تاكيد بر اينكه اعتبار و جايگاه شركت زيمنس زير سوال رفته است اظهار داشت: شركت زيمنس بايد پاسخگو باشد و توضيح دهد كه بر چه اساس و از چه طريقي كدها و نرم افزار اصلي را در اختيار دشمنان قرار داده و زمينه تهاجم سايبري عليه ما را فراهم كرده است.جهاد اقتصادي در عرصه سايبرسردار جلالي در خصوص برنامه سازمان پدافند غير عامل براي رفع نيازهاي كشور در بخش فناوري اطلاعات تصريح كرد: راه حل نهايي رفع مشكلات سايبري ايران، شكل گيري جهاد اقتصادي براي رسيدن به خودكفايي در توليد نرم افزارهاي اساسي مانند سيستم‌هاي عامل و نرم‌افزارهاي ديتا بانك است.رييس سازمان پدافند غيرعامل با اشاره به فرمايشات امام راحل و رهبر معظم انقلاب تصريح كرد: تحريم و محاصره براي ما بركات و مزايايي به دنبال داشته و زمينه تلاش بيشتر متخصصان داخلي را فراهم كرده است.وي افزود: بر اساس رهنمودهاي رهبر معظم انقلاب براي جهاد اقتصادي بايد در گام اول فعاليت هاي دشمن در عرصه‌هاي مختلف رصد شود و در گام دوم آسيب‌ها و نقاط ضعف مشخص و سپس تلاش گردد تا در اقدامي جهاد گونه تهديدات، نقاط ضعف و كمبودها به فرصت تبديل شود.سردار جلالي تاكيد كرد: جهاد اقتصادي در عرصه سايبر، حركت به سوي توليد نرم افزارهاي بومي، ايمن و مطمئن براي بخش هاي اصلي و حياتي كشور است.مقصد نهايي گزارش‌هاي ارسالي استاكس‌نت، ايالت تگزاس آمريكا و رژيم صهيونيستي استرييس سازمان پدافند غير عامل در خصوص كشورهايي كه در حمله سايبري عليه ايران دست داشته‌اند گفت:بررسي‌ها و تحقيقات ما نشان مي‌دهد كه منشاي ويروس استاكس‌نت به امريكا و رژيم صهيونيستي بازمي‌گردد.وي با تشريح روند فعاليت ويروس استاكس‌ت، خاطر نشان كرد: ويروس استاكس‌نت زماني كه در سيستم كامپيوتري مستقر مي‌شود در مرحله اول كار شناسايي را انجام مي‌دهد و در مرحله بعد اقدام به ارسال گزارش از سيستم آلوده به مقصد مورد نظر مي‌كند.سردار جلالي افزود: با پيگيري گزارشات ارسال شده مشخص شد كه مقصد نهايي اين گزارش‌ها رژيم صهيونيستي و ايالت تگزاس آمريكا است.برنامه هاي سال ۱۳۹۰سردار جلالي در خصوص برنامه هاي سازمان پدافند غير عامل در سال ۱۳۹۰، توسعه آموزش و فرهنگ‌سازي را از برنامه‌هاي مهم اين سازمان معرفي كرد و از ايجاد ۶ رشته در مقطع كارشناسي ارشد و يك رشته در مقطع دكتري خبر داد.وي با اشاره به رشد آموزش‌هاي عرضي و از راه دور اظهارداشت: پنج سطح آموزش از رده‌هاي عادي تا رده‌هاي عالي تخصصي به صورت آموزش از راه دور تهيه شده است.رييس سازمان پدافند غير عامل ايجاد رشته‌هاي جديد در حوزه سايبر را اقدام ديگر اين سازمان در سال ۱۳۹۰ مطرح كرد.سردار جلالي خاطرنشان كرد: در حوزه پدافند غير عامل در پزشكي، رشته NPH در دانشگاه شهيد بهشتي ايجاد شده است.رييس سازمان پدافند غير عامل اضافه كرد: در حوزه نفت نيز با دانشگاه نفت توافق‌هاي لازم براي ايجاد رشته HSED كه رشته تخصصي پدافند غير عامل در بخش نفت مي‌باشد انجام شده است.وي تصريح كرد: براي همه دستگاه‌ها و سازمان‌هاي مهم و حياتي در سال ۱۳۹۰، پيش‌بيني تهديدات سايبري انجام مي‌شود.رييس سازمان پدافند غير‌عامل افزود: بعد از شناسايي آسيب‌ها و نقاط ضعف، اين دستگاه‌ها ايمن سازي مي‌شوند.سردار جلالي برنامه ديگر سازمان پدافند غيرعامل را طراحي الگوي مديريت بحران در حوادث طبيعي و غير طبيعي در تمام زير ساخت‌هاي كشور اعلام كرد.رييس سازمان پدافند غير عامل اظهار داشت: اقدام بعدي سازمان پدافند غير عامل در سال ۱۳۹۰ اجرايي كردن سياست‌هاي ابلاغي رهبر معظم انقلاب در بخش پدافند غير عامل است.سردار جلالي همچنين از برگزاري نشست هم‌انديشي براي بررسي سياست‌هاي ابلاغي مقام معظم رهبري در بخش پدافند غير عامل خبر داد و گفت: سياست‌هاي ابلاغي رهبر معظم انقلاب در خصوص پدافند غير‌عامل داراي ۱۳ بند است كه براي بررسي نحوه اجراي آنها در سال ۱۳۹۰ نشست هم‌انديشي با كمك مجمع تشخيص مصلحت نظام، دستگاه‌هاي اجرايي، كارشناسان و دانشمندان براي بررسي اين سياست ها برگزار مي شود.رييس سازمان پدافند غير عامل همچنين اعلام كرد: سومين همايش پدافند غير عامل كشور با محوريت سايبر در سال ۱۳۹۰ برگزار مي‌شود.

718 هزار ابزار آلوده مخصوص سیستم‌عامل اندروید شناسایی شد

August 12, 2013, 3:01 am

≫ Next: استارس: دومين ويروس جاسوسي هم وارد ايران شد

≪ Previous: زیمنس عامل استاکس‌نت

$

0

0

کارشناسان امنیتی بر اساس آخرین بررسی‌های خود اعلام کردند که تعداد ابزارها آلوده و ویروسی مخصوص سیستم‌عامل اندروید با رشدی قابل ملاحظه به بیش از ۷۰۰ هزار عدد رسید.به گزارش ایتنا از شماران سیستم، کارشناسان با مطالعات جدید خود اعلام کردند که بیش از ۷۱۸ هزار نوع ابزار و نرم‌افزار کاربردی آلوده به ویروس را برای سیستم‌عامل اندروید شناسایی کرده‌اند که برخی از این ابزارها می‌توانند اطلاعات شخصی کاربر و رمزهای عبور وی را سرقت کنند.این طور که کارشناسان امنیتی گزارش داده‌اند، بیش از ۵۰۹ هزار عدد از این ابزارها و نرم‌افزارهای آلوده در نیمه نخست سال جاری میلادی شناسایی شده است.بسیاری از این ابزارها و برنامه‌ها ظاهری شبیه به ابزارهای کاربردی معمول دارند و کاربران از روی شکل ظاهری و قابلیت‌های این محصولات نمی‌توانند بفهمند که ابزار یاد شده آلوده است."جی‌دی شری"(JD Sherry) مدیر مرکز امنیتی Trend Micro که این بررسی را انجام داده است توضیح داد: «با توجه به ساختار شبکه‌ای تعریف شده برای اندروید، وصله کردن حفره‌های امنیتی مربوط به آن به سختی صورت می‌گیرد و استفاده گران اینترنتی به راحتی می‌توانند به آن نفوذ کنند».بررسی‌های جدید نشان داد که ۴۴ درصد ابزارهای آلوده مخصوص اندروید کاربر را مجبور می‌کنند شناسه کاربردی و رمز عبور خود را در سایت‌های دروغین وارد کنند.

---

استارس: دومين ويروس جاسوسي هم وارد ايران شد

April 25, 2011, 4:59 am

≫ Next: اسپمرها دوباره جان گرفته‌اند

≪ Previous: 718 هزار ابزار آلوده مخصوص سیستم‌عامل اندروید شناسایی شد

$

0

0

رئیس سازمان پدافند غیرعامل با تاکید بر لزوم پیگیری حقوقی وزارت خارجه برای تهاجم سایبری علیه کشور، از ادامه بررسی‌ها بر روی دومین بدافزار جاسوسی «استارس» خبر داد.به گزارش ايتنا به نقل از مهر، غلامرضا جلالی در خصوص بدافزار «استارس» که بعد از بدافزار «استاکس نت» توسط دانشمندان ایرانی شناسایی شد، گفت: خوشبختانه دانشمندان جوان ما موفق شدند که این ویروس را کشف کنند و هم اکنون ویروس "استارس" به آزمایشگاه ارائه شده است اما هنوز بررسی ها بر روی آن ادامه دارد و نتایج نهایی و قطعی در این رابطه بدست نیامده است.وی در بیان علت تاخیر در شناسایی کامل بدافزار «استارس» گفت: ویژگی‌های خاصی را در مورد ویروس «استارس» شناسایی کرده‌اند بطوریکه مشخص شده است که این ویروس هماهنگ و همساز با سیستم بوده، تخریب آن در مرحله اول بسیار کم است به شکلی که ممکن است بعضا با فایل‌های اجرایی دستگاه‌های دولتی اشتباه گرفته شود، بنابراین باید متخصصان ما ابعاد مختلف این ویروس را مورد ارزیابی قرار دهند تا همه ابهامات و اشکالات ما نسبت به آن برطرف شود و سپس اقدام لازم برای مقابله با آن انجام شود.جلالی همچنین در خصوص مقابله با بدافزار «استاکس نت» گفت: باید به این موضوع توجه داشت که مقابله با ویروس استاکس نت به این معنی نیست که این تهدید بطور کامل برطرف شده است چون ویروس‌ها یک طول عمر مشخصی دارند و ممکن است به شکل دیگری فعالیت خود را ادامه دهند.وی تصریح کرد: بنابراین کشور باید خود را برای مقابله با ویروس‌های بعدی آماده کند، زیرا امکان دارد که ویروس‌های جدید وقتی وارد سیستم ما شوند به مراتب از ویروس اولی خطرناک‌تر باشند.رئیس سازمان پدافند غیرعامل با بیان اینکه مرکز «ماهر»(مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانه‌ای) تحت نظر شرکت فناوری اطلاعات وزارت ارتباطات، این نوع ویروس‌ها را کشف می‌کند، گفت: این مرکز بعد از شناسایی بدافزارها ساختار، فعالیت‌ها و ظرفیت‌های آنها را در آزمایشگاه مورد تجزیه و تحلیل قرار می‏دهد و به عبارتی ویروس را «دی‌کد»(رمزگشایی) می‌کنند تا ببینند که این ویروس‌ها چه فعالیت‌هایی را می‌توانند انجام دهد و سپس اقدام لازم را برای مقابله با آن به عمل می‌آورند.وی همچنین درخصوص انجام عملیات تهاجمی به سایتهای دشمن گفت: با وجود اینکه آمریکائی‌ها و اسرائیلی‌ها به سایت‌های ما حمله می‌کنند و توجهی به مسائل حقوقی ندارند اما این موضوع به لحاظ حقوقی مسائل خاص خود را دارد و ما هم بعنوان یک ایرانی مسلمان به قوانین بین‌المللی پایبند هستیم.رئیس سازمان پدافند غیرعامل اضافه کرد: ممکن است وزارت امور خارجه کشور نسبت به پیگیری حقوقی این موضوع کم‌توجهی کرده باشد و به نظر می‌رسد دستگاه دیپلماسی ما باید بیش از پیش به موضوع پیگیری حقوقی عملیات تهاجم سایبری علیه جمهوری اسلامی ایران توجه نماید، زیرا خیلی از کشورها مثل روسیه هرگونه تهاجم سایبری را جنگ رسمی علیه خود تلقی می‌کنند.وی با بیان اینکه به نظر می‌رسد که اگر قرار است وارد این حوزه شویم باید چارچوب‌های قانونی آن هم به لحاظ حقوق بین‌الملل و هم به لحاظ حقوق داخلی را مشخص کنیم، در عین حال تصریح کرد: البته شاید کسی بطور شخصی سایت‌های دشمن را هک کند، ولی اگر دولت بخواهد بطور رسمی وارد این کار شود طبیعتا باید ابتدا ابعاد حقوقی این کار مشخص شود.

اسپمرها دوباره جان گرفته‌اند

April 10, 2011, 11:57 pm

≫ Next: جام جهاني 2022 سوژه جديد بدافزارنويسان

≪ Previous: استارس: دومين ويروس جاسوسي هم وارد ايران شد

$

0

0

به گزارش ایتنا به نقل از موسسه دیده بان آی تی، ماريا نامسنيكووا، تحليل گر ارشد هرزنامه‌هاي لابراتوار كسپرسكي در اين باره مي‌گويد:« در پي بسته شدن بات‌نت‌هاي عمده در نيمه دوم سال گذشته، اسپمرها به تدريج در حال بازيابي موقعيت خويش هستند و پيش‌بيني مي‌كنيم سطح هرزنامه‌ها طي ماه‌هاي آوريل و مي ۲۰۱۱ به ۸۱ تا ۸۲ درصد برسد»منابع هرزنامه‌هابا نگاهي به آمار ۸۳/۸ درصدي از كل ترافيك هرزنامه‌ها (كه در مقايسه با ماه ژانويه ۰۲/۱ درصد كاهش داشت) مي‌توان دريافت كه هندوستان همچنان منبع پيشتاز اسپم‌ها در ماه فوريه بود. تقريبا نصف همين مقدار از روسيه (دومين منبع بزرگ هرزنامه‌ها) است كه نسبت به ماه گذشته آن هم يك افت ۲۶/۴ درصدي داشت. برزيل در جايگاه سوم ايستاده (با ۴۱/۰+) و اندونزي ( با ۳۹/۰-) به جايگاه چهارم آمده است. اما تازه وارد پنج برتر اين فهرست كره جنوبي است كه براي احراز مقام پنجم نسبت به ماه پيش ۴/۱ درصد و در نتيجه شش پله صعود داشته است. ايتاليا هم (با ۷۸/۰-) به رتبه ششم رفته است.احياي ترافيك هرزنامه‌هاي ناشي از آمريكاگرچه ايالات متحده آمريكا در ماه مورد اشاره در ميان منابع هرزنامه‌ها در مكان هشتم قرار گرفت، اما بايد اشاره كرد كه افزايشی تدريجي در حجم ترافيك اسپم‌هايي كه از اين كشور مي‌آيند، مشاهده مي‌شود. پس از انسداد بات‌نت Pushdo/ cutwail در ماه آگوست ۲۰۱۰ حجم هرزنامه‌هاي منتشره از آمريكا در پايان سال گذشته دچار كاهش چشمگيري شد (حدودا يك تا ۵/۱ درصد از اكتبر تا دسامبر). ولی در ماه فوريه، نمودار اين كشور به بالاترين سطح خود طي چهار ماه اخير رسيد (۲۷/۴%) و به نظر مي‌رسد اين روند افزايش طي ماه‌هاي آتي تداوم داشته باشد. بدافزارها در ترافيك ايميل‌هادر ميان ۱۸/۳درصد كل ايميل‌هاي فوريه، فايل‌هاي مخرب نيز يافت شدند كه در مقايسه با ماه پيش رشدي ۴۳/۰ درصدي را نشان مي‌دهد. اغلب برنامه‌هاي مخرب فوريه را مي‌توان به دو دسته تقسيم‌بندي كرد. گروه اول شامل كرم‌هاي ايميلي مي‌شوند كه عملكرد اصلي‌شان شخم زدن نشانی‌هاي ايميل به منظور تداوم انتشار است. بعصي از اين كرم‌ها برنامه‌هاي مخرب ديگري هم روي سيستم‌هاي آلوده نصب مي‌كنند. دسته دوم بدافزارها شامل برنامه‌هايي مي‌شوند كه براي سرقت اطلاعات محرمانه (و اصولا اطلاعات مالي) طراحي شده‌اند. آمار ماه فوريه مشتمل بر يك برنامه مخرب هم مي‌شود كه قادر به از كار انداختن كامپيوترهاي قرباني و سپس درخواست پول براي بازگرداندن دسترسي به وي، مي‌باشد.قوانين ضد هرزنامهدر ماه مارس سند مشتركي توسط مقامات چنين و آمريكايي يا عنوان « مبارزه با هرزنامه‌ها براي ایجاد اعتماد» تدوين و منتشر شد. ماريا نامسنیكووا مي‌گويد:« تدوین این سند رويدادي بزرگ در حوزه قانون گذاري ضد هرزنامه‌ها است. مسئله اسپم‌ها هم امري بين‌المللي و هم منطقه‌اي است. اين بدان معنيست كه هر اقدامي براي مقابله با آن بايد فراتر از موضوع هر كشور مستقلي انجام شود. جاي اميدواري است كه اين ابتكار مقامات ديگر كشورها را نيز تشويق به پيروي از اين اقدام خواهد كرد.»

جام جهاني 2022 سوژه جديد بدافزارنويسان

February 5, 2011, 12:45 am

≫ Next: حمله اسب تراوا به آندروئید در پایان 2010

≪ Previous: اسپمرها دوباره جان گرفته‌اند

$

0

0

در آخرين كلاهبرداري از اين دست جام جهاني ۲۰۲۲ به ميزباني قطر مورد توجه هكرها و هرزنامه نويسان قرار گرفته است. بررسي هاي موسسه امنيتي سمانتك نشان مي دهد در چند ماه اخير ۴۱۹ نوع بدافزار مختلف با هدف فريب علاقه‌مندان به جام جهاني با موضوع جام جهاني سال ۲۰۲۲ در فضاي مجازي منتشر شده و موضع اكثر آنها خريد بليط هاي اين جام جهاني و اخبار جعلي و تقلبي است. ارسال ايميل با فايل هاي ضميمه پي دي اف با موضوع برنده شدن گيرنده نامه هم يكي ديگر از سوژه هاي مورد علاقه كلاهبرداران اينترنتي است. در اين فايل ها كه معمولاً با لوگوي فدراسيون جهاني فوتبال و فدراسيون فوتبال قطر ارسال مي شوند ادعاشده كه گيرنده ايميل ۱.۵ ميليون پوند برنده شده و براي دريافت اين پول بايد اطلاعات شخصي خود را براي آدرس خاصي ارسال كند. به نظر مي رسد با توجه به همسايگي قطر با ايران در ماه هاي آينده تعداد قابل توجهي از كاربران اينترنت در كشور هم هدف كلاهبرداري ها و حملاتي با موضوعات مشابه قرار بگيرند.

حمله اسب تراوا به آندروئید در پایان 2010

January 1, 2011, 12:00 am

≫ Next: ده نکته جالب در مورد ویروس کبیر(اولین ویروس تلفن همراه)

≪ Previous: جام جهاني 2022 سوژه جديد بدافزارنويسان

$

0

0

این برنامه مخرب یک اسب تراوا (تروجان) است که از طریق یک برنامه جانبی وارد تلفنهای همراه هوشمند آندروئید می شود. زمانی که این اسب تروا بر روی سامانه آندروئید نصب شود می تواند با منابع خارج تماس گیرد و اطلاعات مهم و ذخیره شده داخل تلفن همراه را به این منابع ارسال کند. این اسب تراوای جدید که در پایان سال ۲۰۱۰ کشف شد Geinimi نام دارد. شرکت آمریکایی Lookout، ارائه دهنده سیستمهای امنیتی ویژه دستگاههای موبایل این اسب تروا را کشف کرده است. این شرکت همچنان مشغول بررسی عملکرد و ساختار این اسب تراوا است اما تاکنون موفق شده جزئیاتی را درباره این برنامه مخرب ارائه کند. به گفته کارشناسان Lookout، این اسب تراوا بسیار پیشرفته تر از نمونه های قلبی خود است چرا که با رمزگذاری می تواند خود را استتار کند و به روشی کاملا دیده نشده تمام مراحل خود را بر روی سیستم عامل آندروئید اجرا کند. همچنین پتانسیل تخریبی این اسب تراوا بسیار بیشتر از نمونه های قلبی آن است. به نظر می رسد که این برنامه مخرب تنها در بازار چین وجود دارد و بنابراین هنوز وارد بازار رسمی آندروئید نشده است اما از آنجا که این اسب تروا کنترل سیستم کاربر را در اختیار شخص ثالث قرار می دهد بنابراین به طور بالقوه خطرناک است. براساس گزارش آندروئید نت، اسب تراوای Geinimi اطلاعات کاربر را به یک سرور خارجی برای پیدا کردن موقعیت تلفن همراه هوشمند ارسال می کند. سپس اطلاعات شناسایی دستگاه را به این سرور خارجی فرستاده و یک برنامه جانبی را بارگذاری می کند و از کاربر می پرسد که آیا می خواهد این برنامه را نصب کند. این ویروس، لیستی از برنامه های جانبی نصب شده بر روی دستگاه را تهیه کرده و این اطلاعات را برای سرور خارجی ارسال می کند.

ده نکته جالب در مورد ویروس کبیر(اولین ویروس تلفن همراه)

June 22, 2014, 6:55 am

≫ Next: جنجال آفرینی در باره یک بدافزار

≪ Previous: حمله اسب تراوا به آندروئید در پایان 2010

$

0

0

این مقاله قصد دارد شما را با اولین ویروس تلفن های همراه که حدود ده سال از انتشار آن میگذرد آشنا سازد.به گزارش ایتنا از گروه خبری کسپرسکی، درست ده سال پیش اولین ویروس نوشته شده برای تلفن های هوشمند آن زمان (گوشی‌هایی نظیر نوکیا N-Gage) شناسایی شد. اسم این ویروس کبیر "Cabir" بود که دنیای جدیدی را پیش روی کارشناسان و تحلیلگران بدافزارها، ویروس نویسان و حتی کاربران ساده باز کرد.در ادامه اطلاعات جالبی را در مورد این ویروس ده ساله می‌خوانیم:۱- دلایل نامگذاری این ویروس بنام کبیر نسبت دادن آن به ماهی Caribe بود به دلیل قدرت نفوذی که داشت و همچنین اینکه درست زمانی که آزمایشگاه کسپرسکی مشغول تحلیل و بررسی این ویروس بود عضوی جدید بنام Elena Kabirova به این تیم پیوست.۲- کبیر بین محبوب‌ترین گوشی‌های تلفن همراه سال ۲۰۰۴ یعنی گوشی‌های نوکیای تحت سیستم عامل سیمبین منشر می‌شد.۳- تنها کانال انتشار این ویروس بلوتوث بود، لذا دریافت و یا ارسال ناخواسته این ویروس در هر مکانی نظیر رستوران‌ها، کنسرت‌ها، ورزشگاه‌ها و... امکان‌پذیر بود، و بزرگ‌ترین آمار انتشار این ویروس در مسابقات ورزشی هلسينكي پایتخت فنلاند بود.۴- برای محافظت در برابر ویروس کبیر افراد می‌بایست بلوتوث گوشی خود را خاموش نگه می‌داشتند و یا حداقل آن را در حالت invisible نگه می‌داشتند.۵- کارشناسان آزمایشگاه کسپرسکی برای آزمایش این ویروس در شرایط عادی اقدام به تهیه دو گوشی همراه نوکیا نمودند که در آن زمان چندان هم ارزان نبود و از آن پس این کارشناسان کسپرسکی هر گوشی محبوب موجود در بازار را خریداری نموده تا برای پلتفرم مربوطه آن اقدام به بررسی‌هایی دقیق‌تر نمایند.۶- برای بررسی این ویروس در آزمایشگاه قدیمی کسپرسکی بمنظور تهیه ضدویروس مناسب، اتاق ویژه‌ای ساخته شد که دیوارهای آن عایق امواج رادیویی و بلوتوث بودند و یکی از اهداف ساخت این اتاقک حفظ امنیت تلفن‌های همراه سایر کارکنان مجموعه بود.۷- درست چند ماه پیش از شناسایی و انتشار ویروس کبیر،از Alex Gostev محقق ارشد آزمایشگاه کسپرسکی طی مصاحبه‌ای پرسش شد که چرا تابحال ویروسی برای تلفن‌های همراه نوشته نشده است و وی در پاسخ گفت که احتمالاً تا سال آینده شاهد انتشار ویروس در این حوزه نیز خواهیم بود و دیدیم که این پیش‌بینی نیز به حقیقت پیوست.۸- اگر دقیق‌تر به این موضوع بپردازیم، کبیر را نمی‌توان اولین ویروس در پلتفرم‌های تلفن همراه دانست چراکه پیش از آن ویروس‌هایی هم برای PDA دستگاه‌های (circa ۲۰۰۰) نیز نوشته شده بود، ولی کبیر اولین ویروس گوشی‌های هوشمند بود که با از قدرت نفوذ و انتشار قابل توجهی برخوردار بود.۹- نویسندگان ویروس کبیر گروهی از هکرها با نام 29A بودند که به ساخت ویروس‌های پیچیده و جدید کامپیوتری شهرت داشتند.۱۰- فردی که نمونه‌ای از این ویروس را برای آزمایشگاه کسپرسکی بمنظور آزمایش و تحلیل و یا ارائه راهکار و ساخت آنتی‌ویروس مناسب ارسال نموده بود، به پنج یا شرکت دیگر نیز این ویروس را فرستاده بود اما آزمایشگاه قدرتمند کسپرسکی اولین و تنها مجموعه‌ای بود که موفق شد سریعاً ماهیت این کد را شناسایی نماید و دیتابیس‌های ضدویروس‌های خود را با ابزار شناسایی این ویروس به‌روزرسانی کند؛ و جالب‌تر آنکه Roman Kuzmenko که موفق شد طی شیفت شب کاری خود در آزمایشگاه کسپرسکی (که ۲۴ ساعته و تمام روزهای هفته کار میکردند) به کشف و حل معمای این کد پیچیده بپردازد، یک گوشی جدید و قدرتمند نوکیای تحت سیمبین از این شرکت هدیه گرفت!