ID: IRCNE2012121708
Date: 2012-12-22

According to "techworld", a new Linux iFrame attack has been spotted, this time one attempting to infect its victims with the Zeus/Zbot bank login stealer, security firm ESET has reported.
Aimed at Russian and European bank users, Chapro injects malicious content into web pages, targeting Windows users vulnerable to one of several well-known Java, IE and Adobe flaws using the ‘Sweet Orange exploit pack hosted on a remote server.
A secondary main task is to hide itself from admins for as long as possible, dropping a cookie and recording the IP address of the infected machine. That means the PC will not be infected over and over when returning, making it harder for researchers to detect where a given infection happened.
“The attack described in the present analysis shows the increased complexity of malware attacks. This complicated case spreads across three different countries, targeting users from a fourth one, making it very hard for law enforcement agencies to investigate and mitigate its effects,” said ESET's Pierre-Marc Bureau.
The main difference between the new attack and Snasko is its greater menace; the latter seemed rough around the edges. This one looks like a fully-functioning attack system, albeit that ESET said it hadn’t detected many examples of the attack in the wild.

ID: IRCNE2012121707
Date: 2012-12-22

According to "computerworld", VMware has issued a patch for its VMware View product that fixes a security vulnerability that could allow an unauthorized user to access system files.
"VMware View contains a critical directory traversal vulnerability that allows an unauthenticated remote attacker to retrieve arbitrary files from affected View Servers," VMware posted on a security advisory alerting customers to the issue. "Exploitation of this issue may expose sensitive information stored on the server." VMware's update to VMware View is available for free to license holders of the product and can be downloaded here.
While conducting a series of vulnerability tests on VMware View systems, DDI found that a guest user who had been granted access to specific files on a VM could prompt the VM to retrieve files that the user should not have access to. Basically external users had access to internal network files. This means a potential intruder could access file systems on a web server to access sensitive hashed passwords, for example. DDI found the directory traversal flaw in both a connection server and a security server running VMware view.
DDI runs a series of generic directory traversal checks on VMware systems and found this vulnerability by tying together various strings of prompts in subdirectories. Castro says VMware products are "juicy," because by the nature of virtualization, they provide access to a lot of virtual machines. Directory traversals seem to be a consistent area of interest for both hackers and vulnerability auditors. He adds that VMware seems to be getting better at auditing third-party tools in recent months to ensure any updates and patches of tools VMware uses in its products and services are reflected in updates from VMware.

شماره: IRCNE2012121706
تاريخ:27/09/91

يك حفره امينتي مشكوك كه تعدادي از گوشي هاي هوشمند سامسونگ را تحت تاثير قرار داده است مي تواند باعث شود تا مهاجمان دسترسي برنامه ها و داده هاي كاربر را بدست آورند.
اين آسيب پذيري توسط يكي از اعضاي XDA كشف شده است. Alephzain گفت: با استفاده از اين آسيب پذيري مي توان از مجوزهاي سيستم عبور كرد، به برنامه هاي كاربردي اجازه مي دهد تا داده ها را از روي RAM دستگاه استخراج كنند يا كد مخربي را به هسته آن تزريق نمايند.
او هم چنين اشاره كرد: زماني كه در حال يافتن راه جديدي براي ورود به root گوشي Galaxy S3 خود بوده است، به طور اتفاقي اين آسيب پذيري را كشف مي كند. گوشي هاي Galaxy S2، Galaxy Note و Meizu MX را نيز در معرض اين آسيب پذيري قرار دارند. با اين وجود گوشي Nexus 10 كه از تراشه Exynos 5 استفاده مي كند تحت تاثير اين آسيب پذيري قرار ندارد.

شماره: IRCNE2012121705
تاريخ:26/09/91

شركت امنيتي روسي Dr. Web بدافزاري را كشف كرده است كه تلاش مي كند توسط پيام هاي كوتاه جعلي از كاربران OS X سوء استفاده نمايد.
اين بدافزار جديد يك اسب تروجان با نام"Trojan.SMSSend.3666," است و بخشي از خانواده تروجان هاي ويندوز و ساير سيستم عامل ها است. اين خانواده از تروجان ها سال‌هاست كه كاربران ويندوز را تحت تاثير قرار داده اند.
همانند ساير تروجان ها، اين تروجان خود را در قالب برنامه هاي معتبر نشان مي دهد و از طريق بسياري از وب سايت ها براي دانلود در دسترس مي باشد. در حال حاضر اين بدافزار براي OS X در قالب يك نصب كننده براي برنامه اي با نام VKMusic 4 ظاهر مي شود. اين برنامه ابزاري است كه نسخه معتبر آن براي ارتباطات بين دستگاه ها بر روي شبكه اجتماعي اروپايي با نام VK استفاده مي شود.
هنگام نصب اين برنامه، اين بدافزار با استفاده از يك پيام كوتاه جعلي از كاربر مي خواهد تا شماره تلفن همراه خود را وارد نمايد و براي تاييد، پيام كوتاه ديگري ارسال مي كند و پس از آن كاربر بايد هزينه هاي بالايي را براي پيام هاي ناخواسته اي كه به تلفن او ارسال مي شود، پرداخت نمايد.
برخلاف بدافزارهاي اخير كه OS X را مورد هدف قرار داده بودند، اين بدافزار از روش هاي مبتني بر جاوا براي هك كردن سيستم و نصب برنامه هاي dropper براي باز كردن يك راه نفوذ مخفي بر روي سيستم استفاده نمي كند. بدافزار مذكور يك فايل باينري Mach-O مي سازد كه توسط زمان اجراي محلي OS X استفاده مي شود.
اين بدافزار بر خلاف بدافزار MacDefender سيستم هاي زيادي را تحت تاثير قرار نمي دهد و تنها براي كاربران شبكه اجتماعي VK ساخته شده است.

ID: IRCNE2012121706
Date: 2012-12-17

According to "cnet", a suspected security hole affecting a handful of Samsung smartphones could give apps access to user data and leave the handset vulnerable to malicious apps and bricking, according to a developer.
The vulnerability, which was discovered and detailed by an XDA member with the handle "alephzain," lies in Exynos 4, the ARM-based system-on-chip typically found in Samsung smartphones and tablets. Alephzain developed an exploit he said bypasses the system permissions, allowing any app to extract data from the device's RAM or inject malicious code into the kernel.
Alephzain said that he stumbled upon the vulnerability while trying to find a new way to root his Galaxy S3, but that the exploit affects the Galaxy S2, Galaxy Note, and Meizu MX as well. However, the Nexus 10 is unaffected as it uses the Exynos 5 chip.
"The good news is we can easily obtain root on these devices and the bad is there is no control over it," alephzain writes.

ID: IRCNE2012121705
Date: 2012-12-17

According to "cnet", the Russian security firm Dr. Web has uncovered another malware attempt on OS X systems that tries to exploit users with SMS fraud.
The new malware is a Trojan horse, dubbed "Trojan.SMSSend.3666," and is part of a family of Trojan malware for Windows and other platforms that have affected Windows users for years.
As with all Trojans, these pose as legitimate programs that are made available for download from a number of underground Web sites, with this current one for OS X appearing to be an installer for a program called VKMusic 4, a utility whose legitimate version is used for communication between machines on a European social network called VK.
During its installation, the malware triggers an SMS fraud routine where it asks users to enter cell phone numbers, then sends them SMS messages to confirm, which then subscribes the users to a scam that charges high fees for junk messages being sent to their phones.
Unlike recent malware targeted at OS X, this one is not a Java-based attempt to hack the system and install dropper programs that open backdoor access to the system. This one is built as a Mach-O binary that uses the OS X native runtime.
As with other recent malware for OS X, this one appears to be built specifically to fool those that use the European VK social network, as opposed to being a more widespread attempt, as was seen with the MacDefender malware.

شماره: IRCNE2012121704
تاريخ:26/09/91

شركت مايكروسافت در حال بررسي يك رخنه در مرورگر وب خود است كه به مهاجمان اجازه مي دهد تا حركات موس كاربر را حتي زماني كه مرورگر در حال استفاده نيست، ردگيري نمايند.
اين نقض امنيتي، كه چند ماه پيش شركت امنيتي Spider.io آن را كشف كرد، باعث مي شود تا مهاجمان كنترل امنيت صفحه كليد مجازي را در اختيار بگيرند.
اين شركت امنيتي در بيانيه اي اظهار داشت: زماني كه يك صفحه با آگهي تبليغاتي باز مي ماند يا حتي زماني كه صفحه وب شما در نوار پس زمينه قرار دارد، حركات موس شما مي تواند ردگيري شود.
شركت امنيتي Spider.io هشدار مي دهد كه يك مهاجم به سادگي و با خريدن يك صفحه آگهي بر روي صفحاتي كه مشاهده مي كنيد مي تواند كنترل حركات موس شما را بدست آورد. هر سايتي از يوتيوب به The New York Times كه منجر به فعاليت تبليغاتي گردد، مي تواند به عنوان يك بردار حمله در نظر گرفته شود.
اين شركت امنيتي گفت كه اول اكتبر اين مساله را به اطلاع شركت مايكروسافت رسانده است اما به نظر مي رسد كه اين شركت قصد انتشار اصلاحيه اي براي اين آسيب پذيري ندارد. بسيار مهم است كه كاربران اينترنت اكسپلورر از اين آسيب پذيري و پيامدهاي آن مطلع باشند.
Dean Hachamovitch از شركت مايكروسافت گفت: ما به طور جدي در حال بررسي و رفع اين مشكل هستيم. هم چنين افزود: اين قابليت در مرورگرهاي ديگر نيز وجود دارد.

شماره: IRCNE2012121703
تاريخ:26/09/91

در ادامه فعاليت هاي مركز ماهر در خصوص پاسخگويي به رخداد هاي امنيتي و تحليل بدافزارهاي ناشناس، اين مركز موفق به شناسايي بدافزاري هدفمند با عملكرد پاك كردن اطلاعات ديسك گرديد.بررسي هاي اوليه حاكي از آن است كه اين بدافزار در زمان هاي مختلف اقدام به پاك كردن اطلاعات درايوها مي كند و تا زمان شناسايي اين بدافزار ضدبدافزارها موفق به شناسايي آن نبوده اند. اين بدافزار با وجود سادگي طراحي و عملكرد، كارآمد بوده و بدون جلب توجه نرم افزار آنتي ويروس امكان از بين بردن محتويات درايوها و فايل هاي كاربر را دارد.
به نظر نمي رسد اين بدافزار باعث آلوده شدن سيستم هاي بسياري شده باشد.
پس از اضافه شدن امضاي اين فايل ها در آنتي ويروس، كاربران مي توانند نسبت به اسكن سيستم هاي خود اقدام نمايند.
در جدول زير مشخصات فايل هاي مرتبط با اين بدافزار آمده است.
 

شماره: IRCNE2012121702
تاريخ:25/09/91

شركت اوراكل ارائه بسته هاي امنيتي خود را با تركيب دو ابزار امنيتي در يك بسته تسهيل نموده است. در اين بسته Audit Vault و Database Firewall اوراكل، شنود ترافيك شبكه براي تهديدات امنيتي و تجزيه و تحليل داده ها را بر عهده دارند. هم چنين قابليت بررسي OSها، دايركتوري ها و ساير منابع به اين بسته افزوده شده است.
Vipin Samar، مدير توسعه امنيت پايگاه داده اوراكل گفت: Audit Vault و Database Firewall اوراكل به عنوان يك نرم افزار براي استقرار آسان تر در نظر گرفته شده اند. پيش از اين، مشتريان بايد اين محصولات را به طور جداگانه خريداري مي كردند.
اين محصول مي تواند ترافيك SQL را بر روي پايگاه داده اوراكل نظارت نمايد. هم چنين در اين محصول يك مخزن مركزي براي بررسي و ثبت لاگ ها در نظر گرفته شده است.
Alex Gorbachev گفت: Database Firewall اوراكل مي تواند يك فايروال فعال باشد و حملات را مسدود نمايد يا مي تواند در حالت بررسي و مميزي باشد و تنها شنود كند و گزارش دهد.

ID: IRCNE2012121704
Date: 2012-12-16

According to "cnet", Microsoft is investigating a possible flaw in its Internet Explorer Web browser that allegedly enables attackers to track users' mouse cursor anywhere on the screen, even if the browser window isn't in use.
The alleged flaw, which security firm Spider.io says it discovered a few months ago, compromises the security of virtual keyboards and virtual keypads in all supported versions of the browser since IE6, the security firm reports.
"As long as the page with the exploitative advertiser's ad stays open -- even if you push the page to a background tab or, indeed, even if you minimize Internet Explorer -- your mouse cursor can be tracked across your entire display," the security firm said in a statement.
"An attacker can get access to your mouse movements simply by buying a display ad slot on any Web page you visit," the security firm warned, adding that any site from YouTube to The New York Times would be a possible attack vector due to ad exchange activity.
The security researcher said it informed Microsoft of the issue on October 1 but that the software giant doesn't appear to be in a hurry to patch the vulnerability.
"Whilst the Microsoft Security Research Center has acknowledged the vulnerability in Internet Explorer, they have also stated that there are no immediate plans to patch this vulnerability in existing versions of the browser," the firm said in a statement. "It is important for users of Internet Explorer to be made aware of this vulnerability and its implications."
"From what we know now, the underlying issue has more to do with competition between analytics companies than consumer safety or privacy," Dean Hachamovitch, VP of Internet Explorer, said in a company blog post this afternoon.
"We are actively working to adjust this behavior in IE," he wrote, adding that there are similar capabilities in other browsers. He promised to update the blog when more information becomes available.