شماره: IRCNE2014112369
تاريخ: 14/08/93

شركت امنيتي بيت ديفندر هشدار داد نسخه جديدي از تروجان Rovnix كه امسال از طريق اينترنت گسترش يافت حداقل 130000 رايانه را به منظور سرقت داده هاي كارت اعتباري در انگلستان آلوده ساخته است.
تا اين زمان تروجان Rovnix يك مشكل آزاردهنده براي رايانه هاي ويندوز بوده است. اين تروجان يكسري مشكلات از قبيل خرابي از طريق پاپ آپ هاي تبليغات، فضولي در برنامه ها، سرقت داده و حتي مشكلات صفحه آبي را براي كاربران به وجود آورده است. هم چنين كاربران پيام هاي خطاي جعلي را دريافت مي كنند كه از آن ها درخواست مي كند براي برطرف شدن مشكل وجهي را پرداخت نمايند.
با توجه به يافته هاي بيت ديفندر 87 درصد از آلودگي ها در انگلستان شناسايي شده است و درصد كمتري نيز در كشورهاي آلمان، ايتاليا و امريكا كشف شده است.
مدير امنيت بيت ديفندر اظهار داشت: بانيان كمپيني كه انگلستان را هدف حمله قرار داده است ادعا مي كنند كه بات نت Rovnix هم چنان در حال گسترش مي باشد.
به طور غيرعادي، الگوريتم توليد دامنه C & C تروجان Rovnixبه گونه اي تنظيم شده است كه 5 تا 10 دامنه را در هر 15 دقيقه ايجاد مي كند و نام دامنه ها از 12 تا 23 كاراكتر تشكيل شده است.

شماره: IRCNE2014112368
تاريخ: 17/8/93

مايكروسافت اقدام به عرضه ضدبدافزار براي سرويس‌هاي ابري Azure و ماشين‌هاي مجازي براي مشتريان Azure كرده است.
اين افزونه امنيتي رايگان در ويندوزهاي Server 2008 R2، Server 2012 و Server 2012 R2 به شكل پيش‌فرض نصب مي‌گردد، اما در وضعيت غيرفعال قرار دارد. اما در پلتفورم ماشين‌هاي مجازي Azure به صورت پيش‌فرض نصب نمي‌شود.
اين سرويس ضد بدافزار از موتور و امضاهاي Forefront مايكروسافت استفاده مي‌كند. اين سرويس داراي به‌روز رساني‌ها و اسكن‌هاي مبتني بر نياز و بلادرنگ است. اگرچه اين نرم افزار رايگان است، اما اجراي آن ممكن است منجر به نياز به منابع داده‌اي، شبكه‌اي يا كامپيوتري اضافه گردد كه هزينه‌هايي مانند لايسنس يا ثبت نام را به همراه داشته باشد.
اين سرويس از طريق API ها، PowerShell و با استفاده از پيكربندي ماشين‌هاي مجازي Visual Studio در Server Explorer قابل برنامه ريزي است. اين مسأله به شركت‌ها اجازه مي‌دهد كه پيكربندي سرويس ضد بدافزار را تا حد زيادي كنترل نمايند. اين سرويس پس از نصب و اجرا، درصورتي كه با Azure Diagnostics پيكربندي گردد، رويدادها را در حساب Azure Storage ثبت مي‌كند. اين رويدادها سپس مي‌توانند به HDInsight يا يك سيستم SIEM ارسال گردند.
مايكروسافت در مقاله‌اي اين سرويس را با جزئيات و به همراه اسكريپت‌هاي نمونه PowerShell براي پيكربندي سرويس و استخراج رويدادها از آن توضيح داده است.

شماره: IRCNE2014112367
تاريخ: 14/08/93

شركت مايكروسافت در سه شنبه اصلاحيه ماه نوامبر 16 اصلاحيه امنيتي را منتشر خواهد كرد. پنج اصلاحيه در رده امنيتي بحراني قرار دارند.
تقريبا تمامي اصلاحيه ها ويندوز را تحت تاثير قرار مي دهند. يكي از اين اصلاحيه مربوط به آفيس، يك اصلاحيه مربوط به Exchange و يك اصلاحيه براي Microsoft SharePoint Foundation 2010 Service Pack 2 منتشر خواهد شد. برخي از اين اصلاحيه ها نيز IE و چارجوب كاري .NET را تحت تاثير قرار مي دهند.
دو آسيب پذيري آفيس، برنامه هاي ورد 2007، Word Viewer، Office Compatibility Pack و Office 2007 IME (ژاپني) را تحت تاثير قرار مي دهند. اصلاحيه ها از طريق فرآيند به روز رساني ويندوز در دسترس قرار دارند و شركت مايكروسافت كاربران را تشويق مي كند تا اين اصلاحيه ها را اعمال نمايند.
يكي از آسيب پذيري هاي بحراني مربوط به مشكل افزايش حق دسترسي مي باشد. اين مشكل در تمامي نسخه هاي ويندوز اصلاح شده است اما برخي نسخه ها مانند ويندوز 7 تحت تاثير اين آسيب پذيري قرار ندارند. در نتيجه شركت مايكروسافت براي اين موارد اعلام كرده است كه اعمال اين اصلاحيه دفاع عميق تر و اضافه تري را فراهم مي كند كه هيچ آسيب پذيري را برطرف نمي كند.
هم چنين شركت مايكروسافت نسخه جديد ابزار Windows Malicious Software Removal و تعدادي اصلاحيه غيرامنيتي را براي نسخه هاي مختلف ويندوز منتشر خواهد كرد.

شماره: IRCNE2014112366
تاريخ: 14/08/93

در جديدترين نسخه از سيستم عامل OpenBSD نسخه 5.6، كتابخانه معروف OpenSSL با LibreSSL جايگزين شده است. LibreSSL يك كتابخانه ايجاد شده توسط تيم OpenBSD مي باشد.
كتابخانه OpenSSL يك مرجع براي ارتباطات امن SSl/TLS مي باشد كه تنها با CryptoAPI مايكروسافت رقابت مي كند. اما اوايل امسال يك آسيب پذيري جدي در اين كتابخانه با نام آسيب پذيري Heartbleed كشف شد و باعث شد تا از اعتبار اين كتابخانه كاسته شود.
براي اصلاح اين مشكل در سيستم عامل OpenBSD و پوسته امن OpenSSH يك كتابخانه جايگزين براي OpenSSL با نام LibreSSL ايجاد شد. LibreSSL چندين هدف دارد از جمله سازگاري API با OpenSSL و ساده سازي از طريق حذف ويژگي هايي كه off-mission محسوب مي شوند.
OpenBSDدر لينوكس و پياده سازي هاي تجاري يونيكس استفاده مي شود اما پروژه LibreSSL مي تواند بر روي سيستم هاي لينوكس مورد استفاده قرار گيرد و در صورتيكه سازگاري خوبي را به نمايش بگذارد و به خوبي كار كند مي تواند مشهور شود.

ID: IRCNE2014112370
Date: 2014-11-08

According to “ITPro”, a new open source tool to help IT professionals test the security of their applications on networks has been unveiled by Google.
Nogotofail is designed to help assure Android, iOS, Linux, Windows, OS X and Chrome app developers that their offerings are secured against known flaws.
The tool should also help IT professionals guard against known threats such as Heartbleed and Poodle.
In a blog post, Android security engineer Chad Brubaker said Nogotofail would provide an “easy way to confirm that the devices or applications you are using are safe against known TLS/SSL vulnerabilities and misconfigurations”.
"Nogotofail works for Android, iOS, Linux, Windows, Chrome OS, OSX, in fact any device you use to connect to the internet,” he said.
"There's an easy-to-use client to configure the settings and get notifications on Android and Linux, as well as the attack engine itself which can be deployed as a router, VPN server or proxy."
Google has released the tool as an open source project so developers can test and secure their applications and add new features.
To this end, the Nogotofail code has been released on GitHub.

شماره: IRCNE2014112365
تاريخ: 14/08/93

يك گروه جاسوسي سايبري كه عمليات خود را از طريق يك بدافزار با نام BlackEnergy انجام مي دهند، مسيرياب ها و سيستم هاي لينوكس مبتني بر معماري ARM و MIPS به علاوه سيستم هاي ويندوز را هدف حملات خود قرار داده اند.
محققان امنيتي شركت كسپراسكي روز دوشنبه گزارشي را منتشر كردند و در آن جزئيات برخي از ماژول هايي كه اين گروه جاسوسي براي بدافزار BlackEnergy طراحي كرده اند تا براي راه اندازي حملات انكار سرويس توزيع شده از آن استفاده نمايند را توضيح دادند.
پلاگين هاي مختلف BlackEnergy كه توسط گروه جاسوسي سايبري طراحي شده است براي هر دو سيستم ويندوز و لينوكس كشف شده است. اين گروه قابليت هايي مانند اسكن كردن پورت ها، سرقت رمز عبور، جمع آوري اطلاعات سيستم، سرقت گواهينامه هاي ديجيتالي، اتصال به دسكتاپ از راه دور و حتي پاك كردن اطلاعات هارد ديسك را به اين بدافزار افزوده اند.
محققان كسپراسكي اظهار داشتند كه انتخاب هاي متفاوت از پلاگين ها از طريق يك سرور كنترل و فرمان براي هر قرباني و بنا به هدف گروه جاسوسي و سيستم قرباني انجام مي گيرد.
در يك مورد، مهاجمان يك پلاگين BlackEnergy با نام dstr را دانلود و اجرا كردند و داده هاي روي رايانه هاي ويندوزي يك سازمان را خراب كردند.
در حادثه ديگري، سازماني كه تعدادي از داده هاي ماشين هاي ويندوز آن خراب شده بود دريافت كه نمي تواند از طريق telnet به مسيرياب هاي سيسكو خود متصل شود. پس از بررسي دريافتند كه چندين اسكريپت"farewell" توسط گروه BlackEnergy بر روي مسيرياب ها قرار گرفته است.
به نظر مي رسد كه اين گروه علاقمندند تا سازماني هايي كه در حال اجراي سيستم هاي كنترل صنعتي هستند را مورد هدف قرار دهند. قربانيان شناسايي شده توسط آزمايشگاه كسپراسكي عبارتند از: اپراتورهاي توليد انرژي، شركت هاي توليدكننده ابزارهاي انرژي و سرمايه گذاران بخش انرژي.

Number: IRCNE2014112369
Date: 2014/11/05

According to “techworld”, a new version of the The Rovnix Trojan that has spent 2014 quietly spreading across the Internet has infected at least 130,000 PCs in the UK to pilfer credit card data, security firm BitDefender has warned.
To date, Rovnix has largely been a nuisance for Windows PCs, causing a range of disruption from pop-up ads, programme interference, data theft and even blue-screen system crashes. Typically, the user will also receive bogus scareware error messages imploring them to pay money to make the issue go away.
According to BitDefender, 87 percent of the recent infections it had detected were in the UK, with smaller percentages noticed in Germany, Italy and the US.
“The campaign targeting the UK proves that the Rovnix botnet is still going strong,” said Bitdefender chief security strategist, Catalin Cosoi.
Eccentrically, Rovnix’s C&C Domain Generation Algorithm (DGA) had been set up to create 5-10 domains per quarter using the US Declaration of Independence to fuel its word list.
“They are obtained by concatenating words or their first half as long as the domain name is composed of a minimum of 12 and a maximum of 23 characters,” said Cosoi.

ID: IRCNE2014112368
Date: 2014-11-08

According to “ZDNet”, Microsoft has released Microsoft Antimalware for Azure Cloud Services and Virtual Machines to Microsoft Azure customers.
The free security extension is installed by default, but in a disabled state, on all guest operating system families, specifically Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2. It is not installed by default in the Azure Virtual Machines platform, i.e. the Infrastructure as a Service offering, but may be added through the Azure Management Portal and Visual Studio Virtual Machine configuration under Security Extensions.
The Antimalware service uses the same engine and signatures as Microsoft's Forefront, System Center and Defender antimalware offerings. It has access to the same updates, on-demand and real-time scanning. While the software is free, running it "...may result in increased data, network, or compute resource usage resulting in additional license or subscription costs."
The service is programmable through APIs, PowerShell and using the Visual Studio virtual machines configuration in Server Explorer. These allow enterprises to control the configuration of the Antimalware service to a high degree. Once installed and running, if configured with Azure Diagnostics, the service logs events to the Azure Storage account. These events can then be piped to HDInsight (Microsoft's Hadoop distribution) or an SIEM (Security Information and Event Management) system.
A Microsoft white paper Microsoft Antimalware for Azure Cloud Services and Virtual Machines explains the service in more detail and includes PowerShell sample scripts for configuring the service and for extracting events from it.

Number: IRCNE2014112367
Date: 2014/11/05

According to “zdnet”, Microsoft has released their advance notification for the November 2014 Patch Tuesday updates. There will be a total of 16 updates issued next Tuesday, November 11, five of them rated critical.
Nearly all of the updates affect Windows. One is for Office, one for Exchange, one for Microsoft SharePoint Foundation 2010 Service Pack 2. Some of the updates also affect Internet Explorer and the .NET Framework.
The two Office vulnerabilities affect Word 2007, the Word Viewer, the Office Compatibility Pack and Office 2007 IME (Japanese). Current versions of Office are not affected.
Four of the bulletins, all rated Critical, affect both the Windows Technical Preview (i.e. Windows 10) and the Windows Server Technical Preview. The updates will be available through the normal Windows Update process and Microsoft encourages users to apply them.
One of the critical vulnerabilities is unusual, in that it is listed as a Privilege Elevation bug. Such bugs are usually rated less severely. This update will be released for all versions of Windows, but some versions (Windows 7 for example) are listed as not vulnerable. For these cases Microsoft says the update "provides additional defense-in-depth hardening that does not fix any known vulnerability."
Microsoft will also release a new version of the Windows Malicious Software Removal Tool and probably some as-yet undisclosed number of non-security updates to various Windows versions..

Number: IRCNE2014112365
Date: 2014/11/05

According to “techworld”, a cyberespionage group that has built its operations around a malware program called BlackEnergy has been compromising routers and Linux systems based on ARM and MIPS architectures in addition to Windows computers.
Security researchers from antivirus vendor Kaspersky Lab released a report Monday detailing some of the custom modules that the group has developed for BlackEnergy, a tool originally created and used by cybercriminals to launch distributed denial-of-service attacks.
Variants of the BlackEnergy plug-ins developed by the cyberespionage group were discovered for both Windows and Linux systems. They enhance the malware program with capabilities like port scanning, password stealing, system information gathering, digital certificate theft, remote desktop connectivity and even hard disk wiping.
Different selections of plug-ins are deployed from command-and-control servers for every victim, depending on the group's goals and the victim's systems, the Kaspersky researchers said.
In one case, attackers downloaded and executed a BlackEnergy plug-in called dstr that destroyed data on an organization's Windows computers.
In another incident, an organization that also had data from some of its Windows machines destroyed found that it was no longer able to access its Cisco routers via telnet. When they investigated, they found several "farewell" scripts left on the routers by the BlackEnergy group, the Kaspersky researchers said.
The group seems particularly interested in targeting organizations that run industrial control systems, especially from the energy sector. Victims identified by Kaspersky include power generation operators, power facilities construction companies, suppliers and manufacturers of heavy power-related materials, and energy sector investors.