"سيمرغ" از نگاه ديگران

 

شناسايي يک ضعف در سوفوس

 

"مايکروسافت در شيوه ارائه وصله هاي امنيتي، تجديد نظر کند."

 

تشکيل گروه oCERT توسط گوگل

 

آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت دهم):

 

اطلاعات 159 هزار مشتري HSBC در معرض سواستفاده

 

 

هکرهاي چيني به سراغ سايت هاي بلژيک و هند هم رفتند.

 

آشنايي با ويروس سلطان

 

شناسايي چندين حفره در Mail Security سيمانتک

 

مايکروسافت: سرويس پک ويستا با بعضي برنامه ها مشکل دارد!

 

آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت نهم)

 

هشدار به کاربران: از بابيلون استفاده نکنيد.

 

مروري بر ويژگي هاي ضدويروس "هما"

 

کارشناسان در مورد "ترنادو" هشدار مي دهند

 

آمار نامتعارف مايکروسافت از تهديدات امنيتي

 

آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت هشتم)

 

"روباه آتشين" دوباره وصله پينه شد!

 

حمله هکرها به فضانوردان!

 

 کشف بيش از 100 حفره امنيتي ناشناخته در VoIP:

 

خطرات استفاده از XP Antivirus 2008:

 

آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت پنجم):

 

مشکل NoDriveTypeAutoRun در ويستا:

 

معرفي گونه جديد ويروس فوجک:

 

آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت ششم):

 

سايت وزارت صنايع و معادن هک شد.

 

 

  1. "سيمرغ" از نگاه ديگران

 

نشريه عصر شبکه در مقاله اي با عنوان "سيمرغ دژبان" به بررسي نسخه سيمرغ آنتي ويروس ايمن پرداخته است. در اين مقاله که توسط بخش لابراتوار عصر شبکه تهيه شده است،   ويژگي هاي "نصب"، "رابط کاربري" و "کارايي" سيمرغ آناليز گشته است. براي خواندن مقاله به صفحه 25 شماره 67 نشريه عصرشبکه مراجعه فرمايد.

 

 

  1. شناسايي يک ضعف در سوفوس

شناسايي يک ضعف امنيتي در نگارش 0/7 ضدويروس سوفوس مي تواند باعث اجراي حملات Denial of Service يا عدم سرويس دهي گردد. به گزارش سکونيا اين حفره از بروز اشتباه در بررسي ورودي هاي  hooked SSDT function "NtCreateKey() ناشي مي شود و تاکنون (10 مي – 21 ارديبهشت) شرکت سوفوس وصله اي براي اصلاح آن منتشر نکرده است. گفتني است اين آسيب پذيري، "کم خطر" درجه بندي شده است.

 

  1. "مايکروسافت در شيوه ارائه وصله هاي امنيتي، تجديد نظر کند."

 

گروهي از کارشناسان رايانه اي دانشگاه کارنگي ملون با بررسي نحوه انتشار وصله هاي امنيتي (Patch) توسط مايکروسافت، از اين شرکت خواستند اين شيوه را که خطرآفرين و هشداردهنده است، تغيير دهد. به گزارش securityfocus اين کارشناسان فناوري ويژه اي ساخته اند که قادر است به طور خودکار با استفاده از آسيب پذيري هاي رايانه ها و وصله هاي منتشر شده مايکروسافت، به رايانه ها حمله کند. در واقع اين تکنيک مي تواند چند دقيقه پس از انتشار يک وصله اصلاحي، با آناليز وصله به طور خودکار، حملات گوناگون و متعددي عليه رايانه ها تدارک ببيند. کارشناسان مذکور گفته اند اگر مايکروسافت در شيوه ارائه وصله هاي امنيتي خود به مشتريان و کاربرانش تجديد نظر نکند، هکرها مي توانند به فاصله چند دقيقه پس از انتشار وصله، رايانه هايي را که به آن وصله مجهز نشده اند مورد تاخت و تاز قرار دهند. به تعبير ديگر مي توان اين کار مايکروسافت را نوعي انتشار کدمخرب قلمداد کرد! و اين امر مسلماً باعث خوشحالي بيش از پيش هکرها خواهد شد!

 

  1. تشکيل گروه oCERT توسط گوگل

 

شرکت محبوب گوگل که با ارائه خدمات ارزنده و متنوع، کاربران بسياري را در سراسر جهان جذب خود کرده است، در اقدامي تازه از تشکيل گروهي به نام oCERT خبر داده است.  oCERT که به معناي گروه فوريت هاي امنيتي   نرم افزارهاي متن باز (open source) است با هدف مقابله با نواقص و حفره هاي امنيتي موجود در بسياري از نرم افزارهاي کدباز و نيز ارائه راه حل های مناسب در اين خصوص تاسيس شده است. وبلاگ امنيتي گوگل با اشاره به رواج گسترده نرم افزارهاي کدباز (از قبيل لينوکس و فايرفاکس) در اينترنت، از يکسو امنيت اين برنامه ها را مهم شمرده و از سوي ديگر سالم سازي آنها را نيز حائز اهميت خوانده است. متن کامل گزارش را در آدرس ذيل بخوانيد:         

 http://googleonlinesecurity.blogspot.com/2008/05/contributing-to-open-source-software.html

 

 

  1. آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت دهم):

 

16. ديواره آتش (انگليسي: Firewall – تلفظ: fīr'wôl): ديواره آتش يا فايروال، سيستمي است که در بين کاربران عادي و يا يک شبکه محلي و شبکه جهاني قرار ‌‌گرفته و ضمن نظارت بر دسترسي‌ها، ورود و خروج اطلاعات را تحت نظر قرار مي دهد. در اين ساختار هر سازمان يا نهادي که بخواهد ورود و خروج اطلاعات را کنترل‌کند موظف است تمام ارتباطات مستقيم شبکه داخلي خود را با دنياي خارج قطع کند. هرگونه ارتباط خارجي نيز از طريق ديواره آتش صورت مي پذيرد. بسته‌هاي اطلاعاتي بايد قبل از ورود يا خروج، از مسير ديواره آتش گذشته و طبق معيارهاي حفاظتي و امنيتي پردازش شوند.

 

 

 

  1. اطلاعات 159 هزار مشتري HSBC در معرض سواستفاده

 

گروه بانکي بين المللي HSBC هنگ کنگ، با اذعان به مفقود شدن يکي از سرورهاي خود اعلام کرد اطلاعات 159 هزار مشترک خود را از دست داده است. به گزارش رويترز اين رايانه سروري در دفتر مرکزي بانک قرار داشته است و در آن اطلاعاتي از قبيل شماره حساب و اسامي مشتريان، همچنين نوع و مقدار فعاليت هاي بانکي آنان ذخيره مي شده است. HSBC ضمن عذرخواهي از کاربران درگير در اين حادثه، گفته است که آنان در صورت وقوع فعاليت هاي بزهکارانه، مسئول خسارات مالي نخواهند بود.

 

 

  1. هکرهاي چيني به سراغ سايت هاي بلژيک و هند هم رفتند.

بلژيک و هند حملات هکرهاي چيني را محکوم کردند. در اوايل هفته جاري شبکه ارگان هاي دولتي بلژيک و هند توسط هکرها مورد رخنه و کاوش قرار گرفت و هکرها به دنبال اطلاعاتي بوده اند که دستيابي آنها "به سود حکومت چين" اعلام شده است. به گفته آقاي Jo Vandeurzen وزير دادگستري بلژيک وي شواهدي در اختيار دارد که نشان مي دهد در پشت پرده اين حملات جاسوسي، رد پاي حزب کمونيست چين ديده مي شود. بر اساس گزارش هاي موجود، هکرها در حملات خود، ايميل هاي آلوده به جاسوس افزار را به شبکه هاي دولتي بلژيک ارسال کرده اند. پيش از اين نيز کشورهاي انگليس، فرانسه، آلمان و آمريکا اعلام کرده بودند مورد حمله هکرهاي احتمالاً چيني قرار گرفته اند.

 

 

  1. آشنايي با ويروس سلطان

 

بدافزار سلطان (W32/Soltan) يک ويروس ايراني است که به تازگي در فضاي اينترنت مشاهده شده است. سلطان با داشتن حجم 048/450 بايت، کارهاي خاصي به شرح ذيل انجام مي دهد:

اين ويروس به گونه اي طراحي شده که به محض اجرا  پوشه هايي را به همراه فايل‌هايي بر روي سيستم ايجاد مي کند؛ به طور مثال:

%CommonPrograms%\Startup\Explorer.exe
c:\al\li.exe
c:\al.exe
c:\barname\download.exe
c:\barname.exe
c:\bas\zad.exe
c:\bas.exe

و پنجره اي به شکل زير بر روي  Desktop به نمايش در مي آيد:

 

 

 

همچنين W32/Soltan فايلهاي زير را تغيير مي دهد :

%Windir%\pchealth\helpctr\binaries\msconfig.exe

%Windir%\regedit.exe

%System%\taskmgr.exe

و گزينة Run را غيرفعال نموده و در صورتيکه کاربر بخواهد برنامة Task Manager را اجرا کند، بازي Spider Solitaire اجرا مي‌شود.

سپس خود را به شکل زير در رجيستري ثبت مي‌کند تا با هر بار راه‌اندازي سيستم بطور خودکار اجرا شود:

HKUS\Software\Microsoft\Windows\CurrentVersion\Run

  vi me = "%CommonPrograms%\Startup\Explorer\Explorer.exe"

   vi me2 = "%CommonPrograms%\Startup\Explorer.exe"

شايان ذکر است ضدويروس ايمن، اين ويروس را شناخته و پاکسازي مي نمايد.

 

  1. شناسايي چندين حفره در Mail Security سيمانتک

با شناسايي چندين حفره امنيتي در ماژول Autonomy KeyView محصول Mail Security شرکت سيمانتک، ريسک استفاده از اين نرم افزار افزايش يافته است. به گزارش First اين آسيب پذيري هاي امنيتي به گونه اي عمل مي کنند که نفوذگران با استفاده از آنها مي توانند کنترل کامل رايانه قرباني را در اختيار بگيرند و حملات عدم پذيرش سرويس را عملياتي کنند. اين مشکل به دليل بروز يکسري خطا در ماژول  Autonomy KeyView پديد مي آيد. گفتني است کارشناسان به اين نواقص امنيتي درجه "بسيار خطرناک" داده اند.

 

  1. مايکروسافت: سرويس پک ويستا با بعضي برنامه ها مشکل دارد!

به نظر مي رسد دسته گل هاي مايکروسافت تمامي ندارد! اين شرکت اخيراً ليستي از برنامه هايي که پس از نصب اولين سرويس پک ويستا کارآيي درست خود را از دست خواهند داد و يا به طور کامل بلوکه مي شوند، منتشر کرده است. مايکروسافت مدعي است سرويس پک ويستا، وصله مهمي است که حاوي بروزرساني هاي امنيتي و ... براي ويندوز ويستا   مي باشد اما جالب اينجاست که بعد از نصب، اکثر برنامه هايي که کارشان مختل مي شود يا به طور کامل فعاليت آنها متوقف مي گردد، نرم افزارهاي امنيتي و ضدويروس ها هستند! ترندميکرو 2008 (Trend Micro Internet Security 2008)، بيت دفندر (BitDefender)، محصول امنيتي زون الارم (Zone Alarm)، ضدويروس Jiangmin و ديواره آتش رايزينگ (Rising Personal Firewall) از جمله اين محصولات هستند که مايکروسافت به زيبايي آنها را در بخش پشتيباني سايت خود ليست کرده است!!

 

  1. آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت نهم):

14. کدهاي مخرب از راه دور (انگليسي: Remote Exploit): اکسپلويت‌ها را - که شرح آن در خبرنامه قبلي رفت - مي توان به دو دسته تقسيم کرد. دسته اول يعني کدهاي مخرب از راه دور يا "اكسپلويت ريموت" کدهايي هستند كه براي حمله به يک سيستم راه دور نوشته شده‌اند. به‌طور مثال براي حمله به يک سيستم در اينترنت از طريق داشتن IP به اين نوع اکسپلويت نياز است.

15. کدهاي مخرب محلي (انگليسي: Local Exploit): کدهاي مخرب محلي يا داخلي، بر خلاف اکسپلويت‌هاي ريموت، به‌صورت محلي نوشته مي‌شوند و قادر نيستند به يک سيستم راه دور حمله کنند. اين اکسپلويت‌ها، تنها توانايي حمله به رايانه کاربر خود را دارند. درتداول به اين کدها "اکسپلويت‌هاي لوکال" نيز گفته مي شود.

4.      هشدار به کاربران: از بابيلون استفاده نکنيد.

بابيلون (يا بابل)، واژه‌نامه رايانه‌اي است که با استفاده از پرونده‌هاي مختلف فرهنگ واژگان که هر کدام به يک موضوع اختصاص دارند، مي‌تواند به يک واژه‌نامهٔ چندمنظوره بر روي رايانهٔ شخصي تبديل شود. اين نرم‌افزار توسط شرکتي اسرائيلي - آمريکايي به همين نام توليد مي‌شود و در حال حاضر حدود ۳۰ ميليون کاربر ثبت شده در سراسر جهان براي اين نرم‌افزار وجود دارد. در بابيلون نرم افزار مخربي به نام Cydoor جاخوش کرده است که در واقع يک جاسوس افزار مي باشد. Cydoor که توليد يک شرکت تبليغاتي اسرائيلي به نام Cydoor Desktop Media است، اقدام به دانلود تبليغات از سرورهاي Cydoor نموده، آنها را در برنامه هايي که از اين جاسوس افزار پشتيباني مي کنند (من جمله بابيلون) نمايش مي دهد. اين نرم افزار را که 4/3 مگابايت حجم دارد، نمي توان با استفاده از برنامه Windows uninstaller از رايانه پاک کرد. وب سايت شرکت بابيلون به وجود اين جاسوس افزار اذعان کرده است. متذکر مي شود نسخه هاي اخير بابيلون فاقد اين جاسوس افزار عنوان شده است.

 

  1. مروري بر ويژگي هاي ضدويروس "هما":

شرکت مهندسي مهران رايانه در راستاي ارائه خدمات امنيتي به جامعه انفورماتيک ايران، درصدد است  نسخه جديدي از محصول ضدويروس ايمن را به نام هما روانه بازار نمايد. اين نسخه داراي ويژگي هاي خاصي است که ذيلاً به دو مورد آن اشاره مي شود: 1. امکان پاکسازي سيستم کاربر با استفاده از ضدويروس نصب شده بر روي سيستم اصلي در حالت راه اندازي با لوح فشرده راه انداز (با ويندوز XP و مستقل از سيستم کاربر) و 2. قابليت بررسي فايل اجرايي ضدويروس قبل از اجرا و ترميم آن در صورت آلوده بودن. شايان ذکر است هما قابليت هاي مفيدي همچون "پاکسازي رجيستري"، "بررسي پروسه هاي موجود در حافظه"، "امکان بروزرساني از طريق اينترنت" و ... را از نسخه هاي قبلي ضدويروس ايمن به ارث برده است.

 

6.      کارشناسان در مورد "ترنادو" هشدار مي دهند:

کارشناسان امنيتي به تازگي ابزار هک اينترنتي جديدي شناسايي کرده اند که هکرها با استفاده از آن مي توانند علاوه بر کشف حفره ها و نواقص امنيتي 14 مرورگر، اقدام به نصب بدافزار (Malware) بر رايانه کاربران نمايند. اين ابزار تازه کشف شده ترنادو (Tornado) نام دارد و معمولاً بر روي سرورهايي که فقط يک مدير دارند، نصب مي گردد. اين ابزار پس از نصب اقدام به ارسال حساب ها و اطلاعات موجود در سرور به هکرها مي نمايد. نفوذگران سپس با تزريق کد به صفحات اينترنتي، باعث مي شوند سيستم کاربران به بدافزار آلوده شده، و آنها به جاي صفحات اينترنتي مورد نظر خود، به سرور ترنادو هدايت شوند. "ترنادو" ويژگي هاي ديگري نيز دارد که از آن جمله مي توان به ارائه اطلاعات ترافيک اينترنتي اشاره کرد. هکرها با اين برنامه همچنين اين امکان را مي يابند که براي اجراي اکسپلويت ها، گزينشي عمل کرده و دست به انتخاب بزنند. شايان ذکر است ابزارهاي Neosploit و MPack نيز مشابه "ترنادو" عمل مي کنند و مي توانند با دست کاري کردن سرورها، بدافزارهاي مخربي عليه کاربران به راه اندازند.

 

  1. آمار نامتعارف مايکروسافت از تهديدات امنيتي:

آخرين گزارش امنيتي مايکروسافت حاکي از آن است که استفاده از ابزارهاي هک روند نزولي داشته و بيش از نيمي از مشکلات امنيتي مربوط به "تجهيزات رايانه اي مفقود شده" است. اين گزارش مدعي است بر اساس آمار به دست آمده در نيمه دوم سال 2007 سخت افزارهاي گم شده، 58 درصد مشکلات مربوط به امنيت اطلاعات را شامل شده است. در همين دوره زماني "هک کردن" 13 درصد اين مشکلات را در بر گرفته که نسبت به نرخ 23 درصدي مدت مشابه در سال قبل از آن، با 10 درصد کاهش روبروست. ويني گالوتو (Vinny Gullotto) مدير کل دفتر محافظت از بدافزار در مايکروسافت با اشاره به رواج استفاده از تلفن هاي همراه هوشمند (smartphone) و لپ تاپ ها، احتمال گم شدن اين تجهيزات را يک مشکل امنيتي عمده ارزيابي مي کند. براي خواندن متن کامل گزارش، به آدرس ذيل مراجعه فرماييد:

http://www.vnunet.com/vnunet/news/2214887/hacking-fades-favour-theft

 

8.      آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت هشتم):

13. کدهاي مخرب (انگليسي: Exploit): اکسپلويت‌ها يا همان کدهاي مخرب ، برنامه‌ها و کدهايي هستند که توسط هکرها يا محققين امنيتي براي اثبات و يا استفاده از آسيب‌پذيري امنيتي خاصي در يک نرم‌افزار ، سيستم عامل و يا سخت‌افزار خاص نوشته مي‌شوند. اين برنامه‌ها لزوماً براي خرابکاري نوشته و منتشر نمي‌شوند بلکه اهداف تحقيقاتي و آموزشي را نيز دنبال مي‌نمايند؛ هرچند استفاده از اين کدها براي نفوذ به سيستم‌هاي کاربران امري متداول مي‌باشد. امروزه خريد و فروش اين کدها بصورت يک تجارت درآمده است. در واقع کدهاي مخرب با توجه به نوع و دسته‌بندي آسيب‌پذيري مورد استفاده در آن و همچنين نوع سيستم‌هاي هدف و روش‌هاي کد نويسي، گاهي تا صدها هزار دلار نيز به فروش مي‌رسند! متذکر مي شود اکسپلويت (Exploit) از لحاظ لغوي به معني استثمار مي باشد.

 

9.      "روباه آتشين" دوباره وصله پينه شد!

شرکت موزيلا، توليد کننده مرورگر فايرفاکس (که ترجمه تحت اللفظي آن به فارسي "روباه آتشين" است) يک وصله اصلاحي "بسيار مهم" منتشر کرده است. اين وصله براي پوشش دهي چند حفره امنيتي اين مرورگر متن باز طراحي شده که "کارکرد مخرب پنجره هاي پاپ آپ (pop-up) ويندوز" و "اجراي کدهاي مخرب از راه دور" از آن جمله مي باشد. ضعف فايرفاکس در اجراي يک کد جاوااسکريپت، دليل عمده اين نواقص اعلام گشته است. در حقيقت هکرها با استفاده از يک کد جاوا اسکريپت دستکاري شده خاص، مي توانند به مرورگر رايانه رخنه کنند و دست به اجراي کدهاي مخرب از راه دور زده يا حملات موسوم به cross-site scripting را پياده سازي نمايند. اين وصله اصلاحي "بسيار مهم" رتبه بندي شده است که بالاترين سطح از چهار سطح هشدار فايرفاکس تلقي مي شود. پيش از اين نيز اخبار متعددي در خصوص نواقص امنيتي اين مرورگر تقديم خوانندگان خبرنامه شده است که خبر "حملات اينترنتي به کمک فايرفاکس!" (خبرنامه شماره 103)، "شناسايي يک حفره جديد در فايرفاکس" و "يک پژوهش کوتاه در مورد فايلهاي گسترش در مرورگر اپرا" (خبرنامه شماره 106) و ... از آن جمله است. با ما همراه باشيد. n

10.   حمله هکرها به فضانوردان!

هکرها با رخنه به سيستم رايانه اي ايستگاه فضايي بين المللي، اين ايستگاه را در وضيت بحراني فرو برده اند. قبلاً ناسا رايانه هاي اين ايستگاه را "کامل و بي نقص" خوانده بود. سه فضانورد مستقر در ايستگاه شب گذشته (31 مارس) گزارش دادند که سيستم ايميل آنها از کار افتاده است. به نظر مي رسد هکرها يک تروجان به رايانه هاي اين ايستگاه در هوستون وارد کرده اند و به دنبال آن خطوط uplink ماهواره اي را به ايستگاه فضايي هدايت نموده اند. مشکل از آنجا پيچيده تر شده است که در اين رايانه ها از کدهاي قديمي مورد استفاده در Windows 3.1 استفاده مي شود! مايکروسافت اعلام کرده است که چون اين شرکت براي Windows 3.1 وصله هاي امنيتي بيرون نمي دهد، لذا در خصوص مشکل پيش آمده نمي تواند کاري انجام دهد. پروفسور Brian Offin رئيس بخش سيستم عامل هاي قديمي مايکروسافت گفت: "Windows 3.1 يک سيستم عامل بسيار قديمي است و پرسنل پشتيباني فني ما به طور کامل به تيم پشتيباني ويستا پيوسته اند." وي افزود التبه مايکروسافت در اين خصوص احساس مسئوليت مي کند و به دنبال پيدا کردن راهي براي حل اين مشکل است. در حال حاضر هيچ خطري جان فضانوردان را تهديد نمي کند اما کپسول فراري که فضانوردان براي بازگشت به زمين از آن استفاده مي کنند، روشن و آماده جدا شدن است.

 

11. کشف بيش از 100 حفره امنيتي ناشناخته در VoIP:

آزمايشگاه هاي VoIPshield از شناسايي بيش از 100 نقص امنيتي در VoIP هاي توليد شده توسط شرکت هاي Avaya، Cisco و Nortel خبر داد. هکرها با استفاده از اين حفره ها مي توانند دست به خرابکاري هاي مختلفي بزنند. از جمله اين بزهکاري هاي مي توان به نفوذ به سيستم و جاسوسي، شنود، سرقت اطلاعات شخصي و حساس کاربران، دسترسي هاي غيرمجاز، اجراي کدهاي مخرب و اجراي DOS اشاره کرد. VoIPshield اوايل سالجاري، اين شرکت ها را در جريان کشفيات خود قرار داده بود. VoIP که سرواژه Voice over Internet Protocol است، فناوري انتقال صوت از طريق اينترنت مي باشد و کاربران زيادي در سراسر جهان از آن استفاده مي نمايند.

E      

  1. خطرات استفاده از XP Antivirus 2008:

کنسرسيوم امنيتي StopBadWare.org در سايت خود با هشداردهي در مورد عملکرد ضدويروس XP 2008، اين نرم افزار را يک "بدافزار" تلقي کرده است. به عقيده اين گروه امنيتي XP Antivirus 2008 به چند دليل بدافزار است:     اول اينکه نسخه ثبت نشده اين نرم افزار به دروغ ادعا مي کند که سيستم کاربر دچار نقص هاي امنيتي است و با اين ترفند مي کوشد کاربر را به خريد نسخه کامل، ترغيب نمايد. دوم اينکه با اجراي يك سري پروسه هاي مخفي و به دور از جلب نظر کاربر، باعث ايجاد اختلال در عملکرد طبيعي رايانه مي گردد. سوم اينکه نمي توان آن را با استفاده از ابزار Windows Add/Remove Programs يا دانلود uninstaller هاي ديگر، از رايانه حذف کرد. اين کنسرسيوم امنيتي در ادامه افزوده است که ما با ايميل توليد کننده اين محصول يعني support@xpantivirus.com تماس گرفتيم اما با پيغام "کاربر ناشناخته" مواجه شديم، همچنين با ايميل ديگر شرکت يعني support@innovagest2000.com نيز تماس گرفتيم اما هيچ پاسخي دريافت ننموديم.

 

  1.  آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت پنجم):

9. روت کيت (انگليسي: Rootkit): بدافزارهايي هستند که اغلب، ﺁنها را به خودي خود نمي توان مخرب يا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ويروس ها يا کرم هاي اينترنتي يا نوع استفاده از ﺁنهاست که به ﺁنان ماهيتي خطرناک مي بخشد. به عنوان يک تعريف ميتوان گفت که روت کيت ابزاري نرم افزاري است که بوسيله ﺁن مي توان فايل، پروسه يا کليدي خاص را در رجيستري پنهان نمود. روت کيت ها اغلب در سطح سيستم عامل فعاليت کرده و با تغييراتي که در سيستم عامل يا منابع ﺁن انجام مي دهند، به مقاصد خود دست پيدا مي کنند. به علت قابليت پنهان سازي قوي اينگونه برنامه ها، شناسايي ﺁنها يا برنامه هايي که توسط ﺁنها پنهان گرديده اغلب مشکل بوده و اين امر مي تواند مشکلاتي را براي کاربران بوجود ﺁورد.


14. مشکل NoDriveTypeAutoRun در ويستا:

يک آسيب پذيري امنيتي در ويندوز ويستا گزارش شده است که با استفاده از آن مي توان تمهيدات امنيتي سيستم را دور زد و ... باقي ماجرا هم که ناگفته پيداست! به گزارش CERT اين ضعف امنيتي به گونه اي است که هکرها مي توانند با استفاده از آن، تنظيمات امنيتي مشخصي را دور بزنند. AutoPlay يک ويژگي است که براي اجراي بلادرنگ يک فايل (نظير فايل setup) پس از افزودن يک مديا به رايانه، استفاده مي شود. به گفته مايکروسافت اين ويژگي را مي توان با تغيير مقدار

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun به 0xFF غيرفعال کرد اما نکته اينجاست که ويستا براي مديريت اين کليد رجيستري مشکل دارد و حتي با اعمال اين تغيير، برنامه باز هم کار مي کند. حمله موفقيت آميز مستلزم داشتن دسترسي فيزيکي به رايانه و يا فريب کاربر به افزودن يک رسانه (مانند USB) به رايانه است. روش حل اين مشکل و توضيحات کامل مربوط به آن را در secunia.com/advisories/29458 بخوانيد. n

 

15.   معرفي گونه جديد ويروس فوجک:

بدافزار فوجک . اي (W32/Fujack.e) ويروسي است که پلتفرم ويندوز را آلوده مي سازد. اين ويروس که در پيش زمينه و به دور از جلب توجه کاربر، به خرابکاري مشغول مي شود، يک درپشتي تعبيه مي کند که هکرها از اين طريق مي توانند دسترسي غيرمجاز به رايانه کاربران پيدا کرده و کنترل آن را به دست گيرند. فوجک به گونه اي طراحي شده است که از طريق اينترنت، به سراغ وب سايت هاي خاصي رفته و يک سري فايل ويژه را دانلود مي نمايد. اين ويروس همچنين در حملات خود به رايانه ها و شبکه ها، پس از يافتن فايل هايي خاصي آنها را تغيير داده يا حذف مي نمايد. هنگامي که W32/Fujack.e براي اولين بار در رايانه وارد مي شود، خود را در System\drivers\spoclsv.exe کپي نموده و با ساخت مقادير کليدهاي ريجستري ذيل، باعث مي شود با هر بار روشن شدن سيستم، فايل spoclsv.exe اجرا گردد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

svcshare

System\drivers\spoclsv.exe

فوجک همچنين مي کوشد خود را با نام GameSetup.exe در مسيرهاي شبکه اي ذيل که رمز عبور ضعيفي دارند، کپي نمايد:

<Root>\Documents and Settings\All Users\Start Menu\Programs\Startup\

<Root>\Documents and Settings\All Users\bkbe\

<Root>\WINDOWS\Start Menu\Programs\Startup\

<Root>\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

 

  1.   آشـنـايي بـا چنـد اصطـلاح امـنيتـي (قـسمـت ششم):

10. کليک کننده ها (انگليسي: Adclicker