شماره: IRCNE2012091611
تاريخ: 18/06/91

شركت امنيتي سيمانتك پس از كشف نوع جديدي از بدافزار Shamoon، هشدارهايي را منتشر كرد. اين نسخه جديد با عنوان W32.Disttrack توسط شركت سيمانتك كشف شده است و فايل ها را تخريب و حذف مي نمايد، هم چنين فايل MBR را تخريب كرده و پارتيشن هاي فعال ماشين آلوده شده را تغيير مي دهد.
در نسخه پيشين اين بدافزار، داده هاي ماشين آلوده شده از طريق بلوك هاي 192 كيلو بايتي كه با فلگ هاي مخرب پر شده بودند، بازنويسي مي شدند. نسخه جديد از همان سايز بلوك استفاده مي كند با اين تفاوت كه بلوك ها را با استفاده از داده هايي كه به طور تصادفي توليد مي شوند، پر مي كند.
زمان پاك كردن اطلاعات از يك فايل .pnf كه بر روي سيستم ايجاد شده است، خوانده مي شود. در اين بدفزار زمان به صورت دوره اي بررسي مي شود و سپس عمليات پاك كردن اجرا مي گردد.
اين بدافزار از طريق باز و بسته كردن فايل هاي زير به دنبال هدف خود مي گردد و از اين طريق نيز حق دسترسي ها را تعيين مي كند:

\\[TARGET IP]\ADMIN$\system32\csrss.exe
\\[TARGETIP]\C$\WINDOWS\system32\csrss.exe
\\[TARGETIP]\D$\WINDOWS\system32\csrss.exe
\\[TARGET IP]\E$\WINDOWS\system32\csrss.exe

با توجه به تيم امنيتي سيمانتك: " اگر اين بدافزار هدف خود را پيدا كند، خود را از راه دور در دايركتوري system32 كپي مي كند و تلاش مي كند تا خودش را با استفاده از فايل psexec.exe اجرا نمايد. اگر در اين مرحله موفق نشود، خودش را به عنوان يك سرويس از راه دور لود خواهد كرد."
هدف نسخه جديد بدافزار Shamoon، فولدرهايي است كه حاوي نام هاي دانلود، اسناد، عكس، موسيقي، ويدئو و روميزي است. اين بدافزار مي تواند خودش را از طريق به اشتراك گذاري در شبكه محلي گسترش دهد. به طور معمول، اين بدافزار كنترل تمامي اعتبارنامه هاي دامنه را در اختيار خودش مي گيرد و بدين ترتيب دسترسي تمامي ماشين هاي روي دامنه محلي را بدست مي آورد.

مطالب مرتبط:
پاك شدن فايل هاي كامپيوتر توسط بدافزار جديد Shamoon

شماره: IRCNE2012091610
تاريخ: 18/06/91

آيا شما هرزنامه اي را دريافت كرده ايد كه فرستنده آن يكي از دوستان فيس بوك شماست اما در واقع از يك پست الكترونيكي ناشناس فرستاده شده است؟
با توجه به اظهارات بيان شده توسط تيم فيس بوك، اين بقاياي حمله اي است كه از يك پيكربندي اشتباه در فيس بوك سوء استفاده مي نمايد و هفته گذشته اين مشكل برطرف شده است.
اگرچه هرزنامه نويسان به اطلاعات دوستان جديد حساب هاي كاربري فيس بوك دسترسي ندارند اما ظاهرا با استفاده از داده هاي بدست آمده قبلي اقدام به ارسال هرزنامه مي كنند. اين بدان معناست كه تا زماني كه ارئه دهندگان پست الكترونيكي منبع ارسال كننده هرزنامه را پيدا كنند و آن را متوقف نمايند، ارسال اين هرزنامه ها مي تواند ادامه داشته باشد.
اميدواريم به زودي اين هرزنامه ها متوقف شوند زيرا بسياري از افراد توجه اي ندارند كه اينگونه پست هاي الكترونيكي از طرف دوستانشان ارسال نشده است و برخي از افراد نيز بر روي لينك هايي كه در پيام هاي دريافتي وجود دارد، كليك مي كنند.

شماره: IRCNE2012091609
تاريخ: 18/06/91

روز پنجشنبه موزيلا فايرفاكس نسخه 15.0.1 را براي برطرف كردن يك مشكل منتشر كرد. اين مشكل به طور بالقوه باعث افشاي وب سايت هاي بازديد شده در حالت "Private Browsing" مي شود.
حالت "Private Browsing" به كاربران فايرفاكس اين امكان را مي دهد تا بدون باقي گذاشتن نشانه اي از وب سايت هاي بازديد شده، در وب به گشت و گذار بپردازند.
با توجه به مقاله اي در وب سايت موزيلا، زمانيكه مرورگر شما در حالت "Private Browsing" قرار دارد، مرورگر صفحات بازديد شده، رمزهاي عبور، ورودي هاي دانلود، كوكي ها و يا فايل هاي موقتي اينترنت را ذخيره نمي كند. تمامي اين خصوصيات به عنوان محتواي cach شده وب شناخته مي شوند.
محتواي cach شده وب شامل تصاوير، فايل هاي اسكريپت و ساير منابعي است كه به طور خودكار توسط مرورگر از وب سايت هاي بازديد شده دانلود مي شوند. هنگامي كه يك صفحه وب دوباره بازديد شود به منظور كاهش زمان لود شدن صفحه، اين فايل ها به طور مستقيم از روي ديسك لود مي شوند.
اشكالات برطرف شده در فايرفاكس نسخه 15.0.1 باعث مي شوند تا زماني كه مرورگر در حالت "Private Browsing" قرار دارد، فايل هاي موقتي اينترنت به جاي ذخيره شدن در cach حافظه در cach ديسك مرورگر ذخيره شوند. برخلاف cach ديسك، زماني كه نشت مرورگر پايان مي يابد، cach حافظه به طور خودكار پاك مي شود.
اين اشكالات در فايرفاكس نسخه 15.0 معرفي شده اند اما در نسخه هاي بالاتر مرورگر نيز وجود دارند.
كاربران بايد آگاه باشند كه در هنگام به روز رساني فايرفاكس از نسخه 15.0 به نسخه 15.0.1، فايل هاي موقتي ذخيره شده در cach ديسك مرورگر به طور خودكار حذف نمي شوند.
كاربراني كه مي خواهند نوشته هاي cach ديسك خود را بازديد كنند مي توانند در نوار آدرس مرورگر خود about:cache را تايپ نمايند و از بخش "Disk cache device" بر روي لينك "List Cache Entries" كليك نمايند.

ID: IRCNE2012091611
Date: 2012-09-08

According to "zdnet", symantec has released a new warning after finding that an updated variant of malware Shamoon is in the wild. The new version -- detected by the company as W32.Disttrack -- wipes and destroys files as well as the master boot record (MBR) and changing the active partitions of an infected machine.
Instead of the previous version's methods of overwriting through 192KB blocks complete with a burning U.S. flag, the new variant uses the same size of block with randomly generated data. The wiping date is read from a .pnf file created on the system. Symantec says that the date is checked periodically, and then executes the wiper.
Scanning through a targeted list of 'priority' files, the malware seeks out a target through attempting to open and close the following files to determine access rights:
\\[TARGET IP]\ADMIN$\system32\csrss.exe
\\[TARGETIP]\C$\WINDOWS\system32\csrss.exe
\\[TARGETIP]\D$\WINDOWS\system32\csrss.exe
\\[TARGET IP]\E$\WINDOWS\system32\csrss.exe
According to Symantec's Security Response Team:
"If successful, it will then copy itself to the remote system32 directory and attempt to execute itself using psexec.exe. If unsuccessful, it will try to load itself as a remote service."
The new Shamoon variant targets filed within subfolders that contain the names download, document, picture, music, video and desktop. Once inside, it tries to spread itself within a local network through sharing. Typically, the malware gains control of the domain credentials itself which gives it access to every machine on a local domain.

Related Link:
New Shamoon Windows malware deletes computer contents, prevents reboot

ID: IRCNE2012091611
Date: 2012-09-08

According to "cnet", Are you getting spam that has a Facebook friend's name listed as sender but was actually sent from an unknown e-mail address?
These are vestiges of an attack that exploited a misconfiguration on Facebook that was fixed last week, according to Facebook. Though spammers aren't scraping any new friend information off Facebook accounts, they are apparently using previously obtained data to send spam. That means the messages could come until e-mail providers are able to find the source of the spam and shut the spammers down.
I hope the spam stops soon because not everyone will notice that the e-mail didn't come from a friend, and some people might actually click the link that is in the body of the message.

ID: IRCNE2012091609
Date: 2012-09-08

According to "computerworld", Mozilla released Firefox 15.0.1 on Thursday to fix a bug that potentially exposed the websites visited by users while in "Private Browsing" mode.
"Private Browsing" mode enables Firefox users to surf the Web without leaving any traces of the visited websites behind.
According to a support article on Mozilla's website, while running in Private Browsing mode, the browser shouldn't save visited pages, form and search bar entries, passwords, download ds, cookies, or temporary Internet files, which are collectively known as cached Web content.
The cached Web content consists of images, script files and other resources downloaded automatically by the browser from visited websites. These files are saved and loaded directly from the disk when a Web page is revisited in order to decrease the page's overall loading time.
The bug addressed in Firefox 15.0.1 caused temporary Internet files to be saved inside the browser's disk cache instead of its memory cache when browsing in private mode. Unlike the disk cache, the memory cache is automatically cleared when the browsing session is terminated.
According to a discussion on Mozilla's Firefox bug tracker, the bug was introduced in Firefox 15.0, but was also present in development builds of Firefox 16, 17 and 18.
Users should be aware that when upgrading from Firefox 15.0 to Firefox 15.0.1, the temporary files already stored in the browser's disk cache are not automatically removed.
Users who want to review their disk cache entries can type about:cache in the browser's address bar and click on the "List Cache Entries" link from "Disk cache device" section.

شماره: IRCNE2012091608
تاريخ: 15/06/91

يك گروه هكر جديد با نام NullCrew كه طي چند ماه گذشته بسيار فعال بوده است، وب سايت هاي تلفن همراه سوني را هك كردند و سوني را به ليست قربانيان خود اضافه كردند. از جمله قربانيان آن ها، دانشگاه كمبريچ، دانشگاه ييل، ارتش كامبوديا و بسياري سازمان هاي ديگر مي باشند. گروه NullCrew دلايل مختلفي را براي هك هاي خود ذكر كردند. دانشگاه كمبريج و سايت data.gov.uk به نام OpFreeAssange و ارتش كامبوديا به نام OpTPB هك شدند. به نظر مي رسد حملات ديگر اين گروه در برابر كسب و كارهاي بزرگ و بانك ها خواهد بود. اين گروه ادعا كرده است كه هك شدن سوني به اين دليل صورت گرفته است كه آ ن ها عميقا نگران امنيت كاربران هستند.
گروه NullCrew ادعا مي كند كه كنترل هشت سرور سوني را در اختيار گرفته و اطلاعات يكي از سرورها را استخراج كرده است. در اين نشت داده ها تنها 400 آدرس پست الكترونيكي و رمز عبور به سرقت رفته است.
اگر ادعاي اين گروه صحت داشته باشد، انتظار مي رود در آينده اي نزديك سرقت هاي بيشتري توسط اين گروه انجام گيرد.

شماره: IRCNE2012091607
تاريخ: 15/06/91

بنا بر نتايج تحقيقات انجام شده توسط كسپراسكاي، امروزه تهديدات سايبري يك از سه نگراني برتر شركت­ها هستند.
در يك نظرسنجي از 3300 متخصص فن آوري اطلاعات از 22 كشور، نيمي از آنها تهديدات سايبري را به عنوان يك نگراني اصلي ذكر كردند و 42 درصد نيز اظهار داشتند كه انتظار دارند اين نوع از تهديدات، در دو سال آينده به مشكل بزرگي تبديل شوند.
براي 31 درصد از پاسخ دهندگان به اين نظرسنجي، جلوگيري از نشت­هاي امنيتي فن آوري اطلاعات از بيشترين اولويت برخوردار است و پس از آن، محافظت از داده ها با 27 درصد در رده دوم اولويت­هاي پاسخ دهندگان قرار دارد.
بنا بر ادعاي شركت كنندگان در اين نظرسنجي، محدوديت­هاي بودجه اي و عدم درك درست اين موضوعات مشكل ساز است.
به گفته يك سخنگوي كسپراسكاي، به نظر مي­رسد كه مشكل اصلي براي متخصصان فن آوري اطلاعات عدم قدرت آنها در متقاعد ساختن مديريت شركت­ها در مورد ميزان اهميت محافظت از اين شركت­ها در برابر تهديدات سايبري است.
48 درصد از متخصصان فن آوري اطلاعات نيز ادعا كرده اند كه از كمبود ابزار براي محافظت در برابر سرقت دارايي­هاي معنوي، كلاهبرداري و جاسوسي­هاي صنعتي رنج مي­برند.
همزمان 31 درصد نيز ادعا كرده اند كه در مورد معمول­ترين تهديدات سايبري از جمله بدافزارها، جاسوس افزارها و كرم­ها چيزي نشنيده اند.

شماره: IRCNE2012091606
تاريخ: 15/06/91

گروه هكر AntiSec ادعا كرده است كه حدود يك ميليون شماره شناسايي يكتاي دستگاه­هاي اپل (UDID) را از طريق يك كامپيوتر متعلق به يك عامل اف بي آي كشف كرده است. اين گروه اين شماره ها را منتشر كرده است.
اين گروه ادعا كرده است كه بيش از 12 ميليون UDID و داده هاي شخصي را از كامپيوتر اف بي آي جمع آوري كرده است كه اين دستگاه­ها را به كاربران مرتبط مي­سازد. AntiSec اظهار داشت كه تصميم گرفته است بخشي از اين داده ها را منتشر نمايد تا اثبات كند كه اين داده ها را در اختيار دارد.
يك عضو AntoSec در يك يادداشت در سايت Pastebin اظهار داشت كه اين گروه برخي داده هاي شخصي مانند نام و شماره تلفن را از داده هاي منتشر شده حذف كرده است. اما اطلاعات كافي مانند نوع دستگاه، شناسه دستگاه و توكن­هاي سرويس Apple Push Notification را منتشر كرده است كه كاربران از طريق آنها مي­توانند متوجه گردند كه دستگاه آنها در اين ليست وجود دارد يا خير.
بررسي فوري صحت ادعاي گروه AntiSec در مورد اين داده ها ممكن نيست. همچنين مشخص نيست كه چرا بايد داده هاي مربوط به شناسه دستگاه­ها و ساير اطلاعات شخصي ميليون­ها كاربر اپل بر روي يك كامپيوتر اف بي آي وجود داشته باشند.
يك سخنگوي اف بي آي اظهار داشت كه اين آژانس هيچ نوع اظهار نظر رسمي در مورد اين ادعا ندارد.
به گفته يك مشاور ارشد فن آوري در سوفوس، هنوز هيچ راهي براي بررسي صحت ادعاي اين هكرها موجود نيست. هيچ راهي براي تاييد منبع اين داده ها يا ساير اطلاعاتي كه ممكن است جمع آوري شده باشد وجود ندارد. ولي به نظر مي­رسد كه اين فايل­ها حداقل حاوي برخي UDID هاي واقعي اپل هستند. به گفته وي در صورت صحت ادعاي هكرها دو سوال در اينجا وجود دارد: اول اينكه اين داده ها بر روي كامپيوتر اف بي آي چه مي­كرده اند و دوم اينكه چرا از آن به خوبي محافظت نشده است؟ به نظر مي­رسد اين هكرها بيشتر در صدد آزار رساندن به اف بي آي هستند تا به خطر انداختن كاربران بي­گناه.
UDID هاي اپل مجموعه اي از كاراكترهاي الفبايي و رقمي هستند كه براي شناسايي يك iPhone يا iPad مورد استفاده قرار مي­گيرند. اين شماره ها براي اين طراحي شده اند كه توليد كنندگان برنامه ها بدانند چه تعداد كاربر برنامه هاي آنها را دانلود كرده اند و نيز اطلاعات ديگري را براي تحليل داده ها جمع آوري نمايند. در سال 2010 نشريه وال استريت يك گزارش تحقيقي منتشر كرد كه نشان مي­داد چگونه توليد كنندگان برنامه ها از UDID هاي اپل براي جمع آوري اطلاعات شخصي زيادي در مورد صاحب دستگاه از جمله نام، سن، جنسيت، محل دستگاه و شماره تلفن استفاده مي­كنند. اپل در پاسخ به نگراني­ها در مورد ردگيري اين دستگاه­ها ديگر به برنامه هاي iOS اجازه نمي­دهد كه UDID ها را رديابي نمايند.
AntiSec در پيغام خود در سايت Pastebin نوشت كه اين شماره ها را از يك لپ تاپ ووسترو متعلق به شركت دل جمع آوري كرده است كه به يك عامل خاص اف بي آي به نام كريستوفر استنگل در نيويورك تعلق دارد.
در اين يادداشت ادعا شده است كه داده هاي موجود در اين لپ تاپ با استفاده از آسيب پذيري AtomicReferenceArray در جاوا به دست آمده اند.
به گفته AntiSec، دليل انتشار اين داده ها توسط اين گروه اين است كه افشا نمايد كه اف بي آي اطلاعات دستگاه­هاي كاربران اپل را ردگيري مي­كند.

ID: IRCNE2012091608
Date: 2012-09-05

According to "infosecurity", NullCrew, a new hacking group that has been particularly active over the last couple of months, has hacked Sony mobile websites – adding to its rapidly growing list of victims (Cambridge University, Yale University, Cambodia Army, PMT Air and many more). NullCrew cites various reasons for its hacks. Cambridge University and data.gov.uk (a 623MB dump) were both done in the name of OpFreeAssange. The Cambodia Army site and the Cambodian airline PMT Air were hacked in the name of OpTPB (following the recent arrestof one of the original Pirate Bay founders in Cambodia). Other attacks seem to be against big business and banks. Sony was hacked because “we are dearly dissapointed in your security.”
NullCrew claims to have taken control of eight Sony servers in its data dump from just one of them. This particular leak is small and includes just over 400 email addresses and encrypted passwords. If NullCrew's claims are correct, we can expect further dumps in the near future.