ID: IRCNE2011091264
Date: 2011-09-28|

According to "zdnet", Microsoft’s Digital Crimes Unit has shut down a botnet that was investigated for hosting the MacDefender scareware that preyed on Mac OS X users.
The botnet, known as Kelihos or “Waledac 2.0,” has been linked to spam messages, ID-theft attacks and pump-and-dump stock scams, according to Microsoft senior attorney Richard Domingues Boscovich. The botnet contained about 41,000 computers worldwide and was capable of sending 3.8 billion spam e-mails per day.
For the first time since Microsoft’s anti-cybercrime team started disabling botnets, the company moved to the U.S. court system and identified a defendant that allegedly owned the domain that controlled the botnet.
“Our investigation showed that while some of the defendant’s subdomains may be legitimate, many were being used for questionable purposes with links to a variety of disreputable online activities,” Boscovich said.
In addition to hosting the Kelihos botnet, Microsoft said its investigations revealed that the defendants’ cz.cc domain was previously linked to sub-domains responsible for delivering MacDefender, a type of scareware that infects Apple’s operating system.
In May 2011, Google temporarily blocked subdomains hosted by the cz.cc domain from its search results after it discovered it was hosting malware, although Google reinstated the subdomains after the defendant allegedly corrected the problem.
Microsoft said it is in discussions with Piatti to determine which of his sub-domains were being used for legitimate business, so that those customers could be reconnected.

شماره: IRCNE2011091263
تاريخ: 4/7/90

كمتر از دو ماه پيش شركت امنيتي F-Secure از يك تروجان Mac كه وانمود مي­كرد يك برنامه نصب كننده Adobe Flash است، پرده برداشت. اين تروجان پس از نصب،كاري مي كرد كه سايت­هاي گوگل به سرورهاي جعلي تغيير مسير يابند. اكنون شركت Intego يك تروجان جديد براي سيستم­هاي OS X كشف كرده است كه تقريبا مشابه همان كار را انجام مي­دهد: اين تروجان خود را به جاي برنامه نصب كننده Flash Player جا زده و كاربران را براي نصب ترغيب مي­نمايد.
بر خلاف تروجان قبلي Flash (به نام Bash/QHost.WB) كه يك فايل را بر روي سيستم تغيير مي­داد، اين تروجان جديد كمي پيچيده تر بوده و ابتدا ويژگي­هاي امنيتي شبكه را غيرفعال مي­نمايد، سپس يك كتابخانه dyld كه كد را اجرا كرده و به برنامه در حال اجراي كاربر تزريق مي­كند، نصب مي­نمايد. اين تروجان همچنين سعي خواهد كرد اطلاعات شخصي و اطلاعات خاص سيستم را به سرورهاي راه دور ارسال نمايد.
Intego اين تروجان را OSX/flashbach.A ناميده است و در مورد نحوه اجراي اين تروجان چندان دقيق نشده است، ولي اين تروجان در صورت اجرا قطعا سيستم شما را مورد سوء استفاده قرار خواهد داد. به نظر مي­رسد كه اين تروجان از سيستم بسته نصب كننده اوليه Apple استفاده مي­كند و با استفاده از لوگوهاي Adobe Flash، ظاهر خود را معتبر نشان مي­دهد.
در صورتيكه كاربران مراقب اين تروجان و تروجان اخير Mac باشند، خطر آلوده شدن بسيار پايين خواهد بود. اگر شما به Adobe Flash بر روي سيستم خود نياز داريد، به وب سايت Adobe مراجعه نماييد و يا آن را از منابع معتبر دريافت نماييد. اين كار باعث مي­شود كه نسخه هاي قديمي، نسخه هاي تغيير يافته يا نسخه هاي جعلي اين نرم افزار را دريافت نكنيد.
علاوه بر اينكه جلوگيري از آلوده شدن به تروجان Flashback كار راحتي است، اين تروجان خود را تكثير نكرده و در نتيجه بر روي سيستم­هاي ديگر تاثير نمي­گذارد.
Intego ادعا مي­كند كه نرم افزار ضد بدافزار VirusBarrier X6 متعلق به اين شركت، اين تروجان را شناسايي كرده و حذف مي­نمايد، ولي ساير آنتي ويروس­ها نيز بايد به سرعت براي شناسايي اين تهديد به روز گردند. به گفته Intego، اين تروجان كتابخانه پوياي خرابكار خود را در فولدر /username/Library/Preferences/ با نام فايل Preferences.dyld نصب مي­كند، بنابراين شما مي­توانيد به اين فولدر رفته و اين فايل را پاك كنيد.

مطالب مرتبط:
FlashPlayer جعلي باعث ايجاد حملات تغيير مسير سايت
بدافزار جديد مكينتاش در قالب يك فايل PDF

شماره: IRCNE2011091262
تاريخ: 05/07/90

روز دوشنبه وب سايت پايگاه داده متن باز MySQL هك شد و براي ارائه بدافزار به بازديدكنندگان مورد سوء استفاده قرار گرفت.
شركت امنيتي آرمورايز، در ساعت 5 صبح روز دوشنبه به وقت اقيانوس آرام متوجه اين مشكل شده است. هكرها كدهاي جاوااسكريپتي كه انواع حملات شناخته شده مرورگر را به بازديدكنندگان سايت اعمال مي كردند، را نصب كرده بودند. بنابراين كساني كه بر روي كامپيوتر شخصي ويندوز از مرورگرهايي كه به روزرساني نشده بودند يا از نسخه هاي اصلاح نشده Adobe Flash، Adobe Reader يا جاوا استفاده مي كردند، مي توانستند با نرم افزارهاي مخرب آلوده شوند.
وين هوانگ، مدير عامل شركت آرمورايز اظهار داشت كه درست پس از ساعت 11 صبح اين مشكل برطرف شد. او فكر مي كند كه كد مخرب كمتر از يك روز بر روي سايت بوده است.
هوانگ گفت كه مهاجمان براي حمله به بازديدكنندگان سايت از جعبه Black Hole سوء استفاده كرده اند، اما تيم او هنوز كشف نكرده اند كه نرم افزارهاي مخربي كه نصب شده بودند براي چه منظور طراحي شده بودند. به طور معمول، مجرمان بدافزار را نصب مي كنند تا براي سرقت رمز هاي عبور قربانيان، تبليغات ناخواسته براي نرم افزار آنتي ويروس جعلي يا براي ساخت كامپيوترهاي بت نت كه مي توانند به ديگران اجاره دهند،از آن استفاده كنند.
اوراكل كه پروژه MySQL.com را مديريت مي كند، هنوز هم در حال بررسي اين مشكل است و قادر به توضيح مسئله روز دوشنبه نيست.

ID: IRCNE2011091263
Date: 2011-09-27

According to “CNet”, a few months ago security company F-Secure uncovered a Mac Trojan horse that posed as an installer application for Adobe Flash to trick users into installing it. After installation, the Trojan would alter the system's hosts file to redirect Google sites to fraudulent servers. Now Intego has discovered a new Trojan for OS X that does pretty much the same thing: masquerades as a Flash Player installer to trick people into installing the program.
Unlike the previous Flash Trojan (called Bash/QHost.WB), which changed one file on the system, this new Trojan is a bit more complex and first deactivates network security features, then installs a dyld library that will run and inject code into applications that the user is running. The Trojan will also try to send personal information and machine-specific information to remote servers.
Intego calls the Trojan OSX/flashback.A, and is not too specific about how this Trojan runs, but it will undoubtedly compromise your system if you run it. The Trojan appears to use Apple's basic installer package system and includes Flash player logos so it looks like a legitimate software package.
While people may be concerned about this Trojan and other recent Mac malware, the risk of being infected is exceptionally low. If you need Adobe Flash on your system, just go to Adobe's Web site and get it or go to a trusted source. Doing this will ensure that you get the file directly as the developer intended, as opposed to using either an outdated version, a modified version, or a rogue application disguised as a Flash installer.
In addition to being easy to avoid, the Flashback Trojan does not self-replicate so it will not affect other systems.
Intego claims its VirusBarrier X6 anti-malware utility can detect and remove this latest Trojan if it is installed, but other scanners should soon also be updated to detect this threat. While there is no information on how to manually remove Flashback, Intego says the program installs its malicious dynamic library in the /username/Library/Preferences/ folder as the file "Preferences.dyld," so you can go to that location and remove that file to dispose of the code.

Related Links:
Fake FlashPlayer for Mac OS X leads to site redirection attacks
New Mac malware poses as PDF doc

ID: IRCNE2011091262
Date: 2011-09-27

According to "computerworld", the website for the open-source MySQL database was hacked and used to serve malware to visitors Monday.
Security vendor Armorize noticed the problem at around 5 a.m. Pacific Time Monday. Hackers had installed JavaScript code that threw a variety of known browser attacks at visitors to the site, so those with out-of-date browsers or unpatched versions of Adobe Flash, Reader or Java on their Windows PCs could have been infected with malicious software.
By just after 11 a.m., the issue had been cleaned up, said Wayne Huang, Armorize's CEO. He thinks the malicious code was on the site for less than a day.
Huang said that the attackers used the Black Hole exploit kit to attack visitors to the site, but his team had not yet figured out what the malicious software that it installed was designed to do. Typically, criminals install malware to steal victims' passwords, pop up advertisements for fake antivirus software, or to create botnet computers that can be rented out to others.
Oracle, which manages the MySQL.com project, was still investigating the issue and unable to comment for this story Monday.

شماره: IRCNE2011091261
تاريخ: 04/07/90

شركت Adobe قصد دارد ويژگي هاي امنيتي و حريم خصوصي جديدي را در از سرگيري دوباره، به Flash Player خود اضافه كند. اين ويژگي ها شامل پشتيباني براي اتصالات سوكت SSl و معرفي ASLR(طرح بندي تصادفي فضاي آدرس) 64 بيتي مي شود.
Adobe گفت: Flash Player جديد، كه اوايل اكتبر منتظر آن هستيم، شامل پشتيباني از اتصالات سوكت SSL مي شود كه براي توسعه دهندگان، حفاظت از اطلاعات آن ها كه بر روي اتصالات سوكت Flash Player بدون لايه SSL در جريان است، را آسان تر مي كند. Flash Player نسخه 11 نيز شامل يك توليدكننده عدد تصادفي امن مي شود.
اين شركت هم چنين پشتيباني 64 بيتي به flash Player نسخه 11 اضافه كرده است، كه برخي مزاياي جانبي امنيت را به ارمغان مي آورد.
در بخش حريم خصوصي، Adobe يك حالت مرورگر خصوصي را اضافه كرده است كه به كاربران اجازه مي دهد تا در حالي كه فايل هاي فلش را مشاهده مي كنند، ناشناس باقي بمانند. هم چنين به دستگاه هاي اندرويد كنترل پنل تلفن همراه اضافه شده است تا براي كاربران مديريت تنظيمات خصوصي Flash Player بر روي دستگاه هاي اندوريد راحت تر باشد.

شماره: IRCNE2011091260
تاريخ: 04/07/90

محققان در F-Secure يك فايل حاوي بدافزار Mac OS X را كه به يك فايل PDF تغيير ظاهر مي دهد، كشف كرده اند. اين فايل كاربران را فريب مي دهد تا يك تروجان در پشتي را نصب كنند.
اين بدافزار ،كه به عنوان يك trojan dropper علامت گذاري شده است، اجزاي دانلود كننده اي را نصب مي كند كه يك برنامه در پشتي را بر روي سيستم دانلود مي كند، در حالي كه فعاليت خودش را بوسيله بازكردن يك فايل PDF براي منحرف كردن كاربر، مخفي مي كند.
با توجه به F-Secure، اين فايل PDF حاوي يك متن به زبان چيني مربوط به مسائل سياسي است كه برخي از كاربران ممكن است آن را توهين آميز بدانند.
استفاده از يك فايل PDF به عنوان يك حيله مهندسي اجتماعي به طور گسترده اي توسط هكرهاي مخرب بر روي پلت فرم ويندوز به كار برده مي شود و تيم تحقيقاتي F-Secure معتقدند كه اين يك تلاش براي كپي برداري ترفند باز كردن فايل PDF حاوي اجراي يك " pdf.exe." همراه با يك آيكون PDF است.
پس از نصب، اين trojan dropper يك برنامه درپشتي را نصب مي كند و كنترل كامل ماشين مكينتاش آلوده شده را در اختيار هكر قرار مي دهد.
اين در پشتي براي گرفتن دستورالعمل ها به يك سرور راه دور متصل مي شود و مي تواند براي سرقت فايل ها يا گرفتن عكس از سيستم كامپيوتر آلوده شده كه به سرور راه دور فرستاده مي شود، مورد استفاده قرار بگيرد.

شماره: IRCNE2011091259
تاريخ: 04/07/90

چهارشنبه گذشته Adobe يك اصلاحيه بسيار مهم براي Flash Player منتشر كرد. اين اصلاحيه رخنه هاي امنيتي كه براي حملات zero-day استفاده مي شود را برطرف مي كند.
اين شركت انتظار دارد تا شانزده آسيب پذيري مستند شده را برطرف كند. برخي از اين آسيب پذيري ها به اندازه كافي بحراني است تا كاربران ويندوز و مكينتاش را براي حملات اجراي كد از طريق فايل هاي فلش قرار گرفته بر روي صفحات وب در معرض خطر قرار دهند.
اصلاحيه Adobe يك روز بعد از به روز رساني كروم توسط گوگل كه " شامل يك به روز رساني براي Flash Player است كه آسيب پذيري zero-day را برطرف مي كند" منتشر شد.
اطلاعات بيشتري در باره اين حملات zero-day هنوز در دسترس نيست، اما كاملا واضح است كه اين نوع حملات در سطح بسيار بالايي اتفاق مي افتند.
علاوه بر Flash Player، محصولات نرم افزاري آكروبات و PDF Reader ادوب در ميان اهداف اصلي حملات پيچيده قرار دارند.

ID: IRCNE2011091261
Date: 2011-09-26

According to "zdnet", Adobe plans to add new security and privacy features to the next iteration of its ubiquitous Flash Player, including support for SSL socket connections and the introduction of 64-bit ASLR (Address Space Layout Randomization).
Adobe said the new Flash Player 11, expected in early October, will include the SSL socket connection support to make it easier for developers to protect the data they stream over the Flash Player raw socket connections. Flash Player 11 will also include a secure random number generator.
The company is also adding 64-bit support in Flash Player 11, a move that will bring some security side-benefits.
On the privacy side, Adobe is adding a private browsing mode to allow users to stay incognito while viewing Flash files. A mobile control panel is also being added to Android devices to easier for users to manage their Flash Player privacy settings on their Android devices.

ID: IRCNE2011091260
Date: 2011-09-26

According to "zdnet", Researchers at F-Secure have discovered a Mac OS X malware file masquerading as a PDF file to lure users into installing a backdoor trojan.
The malware, flagged as a trojan dropper, installs downloader component that downloads a backdoor program onto the system, while camouflaging its activity by opening a PDF file to distract the user.
According to F-Secure, the PDF file contains Chinese-language text related to political issues, which some users may find offensive.
The use of a PDF file as a social engineering gimmick is widely used by malicious hackers on the Windows platform and F-Secure’s research team believes this is an attempt to copy the trick of opening a PDF file containing a “.pdf.exe” extension and an accompanying PDF icon.
Once installed, the trojan dropper installs a backdoor program that gives a hacker full control of the infected Mac OS X machine.
The backdoor typically contacts a remote server for instructions and can be used to steal files or capture a screenshot of the infected computer system, which is then forwarded to the remote server.