شماره: IRCNE2013071896
تاريخ:11/04/92

دو برنامه نرم افزاري مخرب با نام هاي Vobfus و Beebone به يكديگر كمك مي كنند تا بر روي كامپيوترها باقي بمانند.
Hyun Choi از مركز حفاظت بدافزار مايكروسافت روز يكشنبه نوشت: اين دو برنامه براي فرار از نرم افزار آنتي ويروس با يكديگر كار مي كنند و به طور متناوب گونه هاي مختلف يكديگر را دانلود مي نمايند.
يكي از اين برنامه هاي مخرب با نام Vobfus در سپتامبر سال 2009 كشف شد. اين بدافزار به عنوان يك دانلود كننده شناخته مي شود كه قطعه كدهاي ديگر را دانلود مي كند.
زمانيكه Vobfus كامپيوتري را آلوده مي سازد، از يك سرور فرمان و كنترل راه دور، برنامه اي با نام Beebone را دانلود مي نمايد. Beebone نيز يك نوع برنامه دانلود كننده است كه برنامه هاي مخرب ديگر را بر روي كامپيوتر نصب مي كند. اين دو برنامه مخرب با يكديگر كار مي كنند و گونه هاي مختلف بدافزارها را كه به سختي توسط آنتي ويروس شناسايي مي شوند، دانلود مي كنند.
ساير برنامه هاي مخرب شناسايي شده زمانيكه يك كامپيوتر را آلوده مي سازند، خود را به روز رساني مي كنند. اما اگر بدافزاري شناسايي و حذف شود، كامپيوتر هدف ممكن است توسط يك مهاجم دوباه آلوده شود. رويكرد بدافزار Vobfus و Beebone به گونه اي است كه كامپيوتر به صورت آلوده باقي مي ماند.
هم چنين Vobfus كرمي است كه خودش را در درايوهاي قابل جابه جايي كپي مي كند. اين كرم از يك تابع autorun استفاده مي كند و در صورتيكه اين تابع بر روي يك كامپيوتر فعال شود باعث مي شود تا بدافزار Vobfus به طور خودكار اجرا شده و سيستم هاي مبتني بر ويندوز را آلوده نمايد.

ID: IRCNE2013071896
Date: 2013-07-02

According to "computerworld", two malicious software programs that help each other stay on computers are proving difficult to remove.
The programs work together by alternately downloading slighter different variations of the other in an attempt to evade antivirus software, wrote Hyun Choi of Microsoft's Malware Protection Center, on Sunday.
One of the malware programs, called Vobfus, was detected in September 2009. It is known as a downloader, or a program that downloads other pieces of code.
Once Vobfus infects a computer, it downloads from a remote command-and-control server a program called Beebone, which is another kind of downloader that installs other malicious programs on a computer. The two work together, downloading variants of the other that are not immediately detected by antivirus products, Choi wrote.
Other malware programs have been known to update themselves once a computer is infected. But if the malware is detected and removed, the targeted computer would have to be infected again by an attacker. The approach of Vobfus and Beebone makes it more likely the computer will remain infected.
Vobfus is also a worm that copies itself to removable drives. It uses the autorun function that, if enabled on a computer, causes Vobfus to automatically run and infect Windows computers.

شماره: IRCNE2013071895
تاريخ:10/04/92

با توجه به يافته هاي محققان از توليدكننده امنيتي Trusteer،يك نوع جديد از بدافزار مالي Citadel براي سرقت اعتبارنامه هاي ورودي و اطلاعات كارت اعتباري كاربران در كشورهاي مختلف از تكنيك هاي تزريق در مرورگر استفاده مي كند.
بدافزار Citadel قادر است تا وب سايت هايي كه توسط كاربر بر روي ماشين هاي آلوده باز است را تغيير دهد. اين رخداد، به عنوان حمله man-in-the-browser شناخته مي شود و اغلب توسط تروجان هاي مالي مورد استفاده قرار مي گيرد تا كاربران را فريب داده و اطلاعات حساس و جزئيات اعتبارنامه هاي ورودي آن ها را به سرقت ببرد.
بدافزار جديد Citadel كاربران شبكه هاي اجتماعي، بانك ها و سايت هاي تجاري الكترونيكي مانند آمازون را مورد هدف قرار مي دهد.
هنگامي كه وب سايت هاي مورد هدف از كامپيوترهاي آلوده به نسخه جديد بدافزار Citadel مورد دسترسي قرار مي گيرند، بدافزار Citadel اين سايت را با يك نسخه تقلبي از آن جايگزين مي نمايد و به كاربر اعلام مي كند كه حساب كاربري شما به دليل يك فعاليت مشكوك مسدود شده است. سپس از قرباني مي خواهد تا به منظور تاييد آنكه مالك قانوني اين حساب كاربري مي باشد، اطلاعات شخصي و اطلاعات كارت اعتباري خود را وارد نمايد.
اين روش مهندسي اجتماعي سال ها است كه براي حملات سرقت هويت استفاده مي شود. اما بر خلاف سرقت هويت سنتي، زماني كه وب سايت ها توسط بدافزار Citadel يا بدافزاهاي مشابه به صورت محلي تغيير مي كنند، آدرس URL نمايش داده شده در نوار آدرس به صورت آدرس هاي كاملا قانوني و معتبر مشاهده مي شود.
با توجه به داده هاي جمع آوري شده و تجزيه و تحليل شده توسط Trusteer، محققان بر اين باورند كه چندين هزار كامپيوتر به بدافزار جديد Citadel آلوده شده اند.

ID: IRCNE2013071895
Date: 2013-07-01

According to "computerworld", a new variant of the Citadel financial malware uses in-browser injection techniques combined with extensive content localization to steal log-in credentials and credit card information from users in different countries, according to researchers from security vendor Trusteer.
Citadel has the ability to modify or replace websites opened by users on infected computers. This is known as a man-in-the-browser attack and is frequently used by financial Trojan programs to trick users into exposing their log-in details and other sensitive information.
The new Citadel variant targets users of social networks, banks and major e-commerce sites, including Amazon and its local versions in France, Spain, Italy and Germany, the Trusteer researchers said in a blog post.
When the targeted websites are accessed from computers infected with the new Citadel variant, the malware replaces them with rogue versions that claim users' accounts were blocked because of suspicious activity. The victims are then asked to input their personal and credit card information in order to confirm that they are the legitimate owners of the accounts and proceed to unlock them.
This particular social engineering technique has been used for years in phishing attacks. However, unlike in traditional phishing, when websites are modified locally by Citadel or similar malware, the URLs displayed in the browser's address bar are those of the legitimate websites.
Based on data collected and analyzed by Trusteer, the company's researchers estimate that several thousands of computers have been infected with this new Citadel variant so far.

شماره: IRCNE2013061894
تاريخ: 08/04/92

شركت نرم افزاري اپرا روز چهارشنبه گفت: هكرها از سيستم هاي داخلي اين شركت حداقل يك گواهينامه امضاي كد را براي استفاده در نرم افزارهاي مخرب به سرقت بردند.
اين شركت كه در اسلو مستقر است و مرورگرهاي وب موبايلي و دسكتاپي را طراحي مي كند در وبلاگي نوشت: ما معتقديم كه بر روي سيستم هاي چند هزار كاربر ويندوز بين ساعات 1:00 تا 1:36 به وقت محلي در 19 ژوئن به طور خودكار نرم افزار مخربي نصب شده است. روز 19 ژوئن اين حمله شناسايي و متوقف شد.
گواهينامه هاي امضاي كد براي بررسي رمزگذاري ها استفاده مي شود و اين تضمين را مي دهند كه نرم افزار متعلق به شركت توليدكننده نرم افزار مي باشد. با استفاده از اين گواهينامه، به نظر مي رسد كه بدافزار متعلق به شركت معتبر اپرا است.
Vik نوشت: ما در حال بررسي اين موضوع با مقامات مربوطه مي باشيم تا منبع اين حمله را شناسايي نماييم.
شركت اپرا قصد دارد تا نسخه جديدي از مرورگر خود را با گواهينامه امضاي كد جديد منتشر كند اما در رابطه با زمان انتشار اين نسخه اظهار نظر نكرده است.

شماره: IRCNE2013061893
تاريخ: 08/04/91

مطالعه اخير شركت امنيتي Lookout نشان مي‌دهد كه تبليغ‌افزارها به يك مسأله نگران كننده در اندرويد تبديل شده‌اند.
به گزارش اين شركت، تنها در طول يك سال گذشته بيش از يك ميليون كاربر آمريكايي اندرويد به‌صورت ناآگاهانه تبليغ‌افزارها را دانلود كرده‌اند. نكته بدتر اين است كه 6.5 درصد از برنامه‌هاي رايگان موجود در فروشگاه Google Play حاوي نوعي از تبليغ‌افزارها هستند.
تعريف دقيق تبليغ‌افزارها كار ساده‌اي نيست، چرا كه مرز دقيقي بين تبليغات درست و نادرست وجود ندارد. يه گفته Lookout معيارهاي كليدي كمي براي تشخيص تبليغ‌افزارها وجود دارد:

• اين برنامه‌ها تبليغاتي خارج از عرف معمول نشان مي‌دهند
• اين برنامه‌ها اطلاعات شناسايي شخصي غيرمعمول را جمع‌آوري مي‌كنند
• اين برنامه‌ها فعاليت‌هاي غيرمنتظره مانند كليك بر روي تبليغات را انجام مي‌دهند

تبليغ‌افزارها براي مدت‌ها نگراني كاربران كامپيوتر بوده‌اند. ولي با افزايش استفاده از دستگاه‌هاي موبايل، توجه توليد كنندگان تبليغ‌افزار به اندرويد معطوف شده است. حتي گزارشي از شركت Juniper Networks نشان مي‌دهد كه بدافزارهاي موبايل نسبت به سال گذشته 614 درصد افزايش داشته‌اند كه 92 درصد از آنها دستگاه‌هاي اندرويد را تهديد مي‌كنند.
Lookout مي‌گويد كه 26 درصد از برنامه‌هاي Personalization رايگان در Google Play حاوي تبليغ‌افزار هستند. در ميان بازي‌ها نيز 9 درصد از برنامه‌هاي رايگان شامل تبليغ‌افزار هستند. نكته جالب توجه اين است كه برنامه‌هاي اجتماعي كمتر حاوي تبليغ‌افزار هستند و بنابر يافته‌هاي Lookout، تنها 2 درصد از اين برنامه‌هاي رايگان، تبليغ‌افزار در درون خود جاي داده‌اند.

شماره: IRCNE201306192
تاريخ: 08/04/91

شركت امنيتي سايمانتك آخرين نسخه‌هاي مجموعه امنيتي Norton Mobile Security را براي گوشي‌هاي هوشمند اندرويد، آيفون و آيپد عرضه كرده است. تمركز اصلي اين نرم‌افزار بر روي حريم خصوصي است كه به گفته اين شركت، يكي از نگراني‌هاي فزاينده مشتريان است و به‌طور خاص به برنامه‌هاي جعلي پرداخته است.
Norton Mobile Security با استفاده از يك تكنولوژي جديد به نام Norton Mobile Insight، گوشي‌هاي كاربران را اسكن مي‌كند تا مشخص كند كه كدام برنامه‌ها ممكن است اطلاعات شخصي آنها را در معرض خطر قرار دهند.
اين نرم‌افزار درصورتي‌كه برنامه‌اي كشف شود كه اطلاعاتي مانند ليست تماس، تصاوير يا لاگ‌هاي تماس را به بيرون ارسال كند، به كاربر هشدار مي‌دهد.
اين شركت ادعا مي‌كند كه اين كار به كاربران اين قدرت را مي‌دهد كه از اطلاعات شخصي خود محافظت نمايند و در مورد نگه داشتن يا حذف برنامه‌ها، آگاهانه تصميم بگيرند.
مدير ارشد مديريت محصولات در سايمانتك اظهار داشت كه مسأله حريم خصوصي يك مسأله پيچيده براي كاربران و توسعه دهندگان نرم‌افزار است.
به گفته وي، تا كنون اسكن برنامه‌هاي موبايل از نظر رعايت حريم خصوصي بيشتر سطحي بوده است كه اطلاعات مناسب و قابل استفاده در اختيار مشتريان قرار نمي‌دهد. اما با عرضه اين نسخه، يك ديدگاه بي‌سابقه نسبت به رعايت حريم خصوصي در برنامه‌ها و نشت اطلاعات در اختيار مشتريان قرار مي‌گيرد.
Norton Mobile Security براي كاربران دستگاه‌هاي iOS قابليت‌هاي ضد سرقت را گسترش داده است.
همچنين محصولات Norton 360 Multi-Device و Norton One نيز به‌روز رساني خواهند شد تا ويژگي‌هاي آخرين نسخه Norton Mobile Security را شامل گردند.

شماره: IRCNE2013061891
تاريخ: 08/04/92

روز چهارشنبه شركت HP تاييد كرد كه سيستم هاي ذخيره سازي StoreOnce داراي يك رخنه امنيتي است كه مي تواند به طور بالقوه به هكرها اجازه دهد تا به حجم بالايي از داده هاي شركت هاي بزرگ دسترسي يابند.
محققي كه اين رخنه را كشف كرده است، پس از سه هفته كه درخواست به روز رساني اين سيستم را داشت، آن را بر روي بلاگ خود افشاء نمود.
اين محقق اظهار داشت كه اين رخنه شامل يك حساب كاربري مديريتي مخفي است كه اعلام نشده است. اين نگراني وجود دارد كه HP مي تواند به داده هاي كاربران و شركت هاي بزرگ دسترسي يابد و هشدار داد كه رمز عبور SHA1 مي تواند به راحتي در معرض خطر حمله brute forcedقرار گيرد.
در حال حاضر كه رمز عبورهاي درهم سازي شده SHA1 منتشر شده است، هر كسي مي تواند به طور بالقوه اين رمز عبورها را شكسته و با حساب كاربري مديريتي مخفي به سيستم ها دسترسي يابد.
سخنگوي شركت HP گفت: اين رخنه سيستم هايي با نرم افزار نسخه 3.0 شامل HP StoreOnce B6200 و HP StoreOnce VSA را تحت تاثير قرار نمي دهد و تنها در مدل هاي قديمي HP StoreOnce شناسايي شده است.
شركت HP روز چهارشنبه اين رخنه را به طور عمومي منتشر كرد و اصلاحيه نرم افزار آن روز هفتم جولاي براي غيرفعال ساختن حساب كاربري مديريتي مخفي منتشر خواهد شد.

شماره: IRCNE2013061890
تاريخ: 08/04/92

شركت سيسكو اصلاحيه هايي را به منظور برطرف كردن تعدادي رخنه امنيتي، براي كاربران و مشتريان دستگاه هاي خود منتشر كرد.
اين آسيب پذيري ها نرم افزار اساسي Cisco IronPort AsyncOS را براي تعدادي از دستگاه هاي مختلف اين شركت شامل Cisco's Web Security Appliance، Email Security Appliance و Content Security Management Appliance تحت تاثير قرار داده است.
در حال حاضر سه آسيب پذيري در رابطه با Cisco Email Security Appliance با نرم افزار نسخه 7.1 و نسخه هاي پيش از آن، 7.3، 7.5 و 7.6 برطرف شده است. يكي از اين رخنه ها اجازه تزريق كد از راه دور را مي دهد و منجر به اجراي دستورات با بالاترين حق دسترسي مي شود. رخنه ديگر باعث خرابي فرآيند هاي حياتي مي شود و باعث مي شود تا اين فرآيندها پاسخي را ارسال نكنند. سومين رخنه باعث ايجاد حملات انكار سرويس مي شود.
هم چنين ابزار Content Security Management Appliance سيسكو با نرم افزار نسخه هاي 7.2 و نسخه هاي پيش از آن، 7.7، 7.8، 7.9 و 8.0 داراي آسيب پذيري هاي تزريق كد از راه دور و حمله انكار سرويس مي باشد.
در حال حاضر ابزار Cisco Web Security Appliance با نرم افزار نسخه هاي 7.1 و نسخه هاي پيش از آن، 7.5 و 7.7 اصلاح شده است و دو آسيب پذيري در رابطه با رخنه تزريق دستور احراز هويت شده و حمله انكار سرويس برطرف شده اند.
مشترياني كه از محصولات سيسكو استفاده مي كنند مي توانند به روز رساني هاي منتشر شده را از طريق كانال هاي رايج به روز رساني دريافت نمايند.

شماره: IRCNE2013061889
تاريخ: 08/04/91

موزيلا به عنوان بخشي از تلاش‌هاي خود براي كشف نقايص امنيتي پيش از خرابكاران سايبري، 14 راهنمايي امنيتي مختلف را به عنوان بخشي از فايرفاكس 22 عرضه كرده است كه چهار راهنمايي امنيتي از اين مجموعه، در رده امنيتي «حياتي» قرار گرفته‌اند.
سه راهنمايي از چهار راهنمايي امنيتي مزبور، با مسائل امنيت و تخريب حافظه مرتبط هستند. راهنمايي امنيتي 2013-53نيز به جزئيات يك نقص امنيتي بسيار ناخوشايند به نام Execution of unmapped memory through onreadystatechange event مي‌پردازد.
در ميان آيتم‌هاي متعددي كه در فايرفاكس 22 قرار گرفته است، مي‌توان از WebRTC به عنوان يك آيتم برتر نام برد. WebRTC يك ابزار ارتباط بلادرنگ است كه كاربران را قادر مي‌سازد از مرورگر به عنوان يك ابزار ارتباط و همكاري استفاده كنند. موزيلا در چندين نسخه اخير فايرفاكس بر روي WebRTC و قرار دادن آن در مرورگر خود كار كرده است و اكنون اين محصول در فايرفاكس 22 كاملاً فعال است.