شماره: IRCNE2012061508
تاريخ: 16/03/91

يك مطالعه مك كافي بر روي كامپيوترهاي شخصي در سراسر جهان نشان داد كه 17 درصد آن ها داراي حفاظت آنتي ويروس نمي باشند.
در اين مطالعه ماشين هاي حفاظت نشده شامل سيستم هايي بودند كه بر روي آن ها آنتي ويروس نصب نشده بود يا اعتبار آنتي ويروس هاي آن ها منقضي شده بود. در ايالات متحده، 12 درصد كامپيوترهاي شخصي فاقد آنتي ويروس بودند و اعتبار آنتي ويروس 7 درصد از سيستم ها منقضي شده بود.
مك كافي تجزيه و تحليل اين داده ها را از اسكن 27 ميليون ماشين داوطلب در 24 كشور بدست آورده است. به گفته اين شركت، اين مطالعه براي اولين بار به جاي راي گيري از كاربران به بررسي مستقيم ماشين ها پرداخته است. گري ديويس، مدير بازاريابي مك كافي اظهار داشت كه آمارها در نظرسنجي از كاربران نشان مي دهد كه تنها 6 درصد از كامپيوترهاي شخصي فاقد آنتي ويروس هستند. ديويس توضيح داد: مردم مي دانند استفاده از آنتي ويروس كار درستي است. در برخي از موارد آن ها معتقدند كه نرم افزار آننتي ويروس آن ها فعال است در صورتي كه اعتبار آن منقضي شده است.
ديويس گفت: ما فكر مي كرديم كه كشورهاي آمريكا و ژاپن در صدر كشورهاي حفاظت شده قرار دارند، اما در واقع آن ها در پايين اين ليست قرار دارند. اسپانيا با 16 درصد، بالاترين درصد كامپيوترهاي شخصي بدون حفاظت آنتي ويروس را دارا مي باشد.
ديويس معتقد است كه آموزش كاربران ممكن است به كاهش تعداد ماشين هاي بدون آنتي ويروس كمك نمايد. هم چنين به روز رساني به ويندوز 8 كه مستلزم فعال كردن آنتي ويروس است، ممكن است به حل اين مساله كمك كند.

ID :IRCNE2012061509
Date: 2012-06-05

According to Computerworld, Microsoft on Sunday revoked several of its own digital certificates after discovering that the makers of the Flame super-cyber spy kit figured out a way to sign their malware with the company's digital "signature."
The weekend emergency update for all versions of Windows -- including the just-shipped Windows 8 Release Preview -- was unusual, perhaps hinting at the seriousness of the flaw.
At least one security expert saw it that way. "This is a big deal," said Andrew Storms, director of security operations at nCircle Security, in an interview Sunday conducted via instant messaging.
Big because a flaw in Microsoft's Terminal Services licensing certificate authority (CA), which is normally used by enterprises to authorize remote desktop services and sessions, allowed attackers to generate digital certificates that could be used to "sign," or validate, code in Flame.
"Flame is using valid but fake Microsoft certificates to sign the code through a bug in their CA system via Terminal Services," Storms summarized. "So when the code was checked for validity, it properly linked back to the root and was accepted as okay."
Microsoft addressed the flaw by revoking three certificates, and issuing an update to all versions of Windows that added those certificates to the revocation list.
Even Windows 8 -- both the Consumer Preview and last week's Release Preview -- was affected, and will receive the certificate revocation update, Microsoft said in a security advisory released Sunday.
To prevent other attackers from doing the same -- and spoofing certificates on unpatched PCs -- Microsoft also modified the Terminal Server licensing service so it can no longer issue code-signing certificates.

Related Topics:
Identification of a New Targeted Cyber-Attack

ID: IRCNE2012061508
Date: 2012-01-05

According to "techworld", a McAfee study of PCs around the world found that 17% had no antivirus protection.
The study counted as unprotected machines those that had no antivirus protection installed, or whose antivirus subscription had expired. In the US which outpaced the average, 12% of PCs did not contain any antivirus program, and 7% had software that was expired.
McAfee analysed data from voluntary scans of 27 million machines in 24 countries. According to the company, the study was the first to examine machines directly rather than polling their users. User polls have typically found that 6% of PCs are not protected by antivirus software, Gary Davis, McAfee's director of global consumer product marketing, said.
People know it's correct to run antivirus," Davis explained. In some cases, they may believe their software subscription is still active when in fact it has expired.
"We thought for sure the US and Japan would be at top of protected countries, but they were actually at the bottom," said Davis.
Spain had the highest percentage of PCs without any installed security protection at 16%.
User education may help reduce the number of unprotected machines, Davis said. Updates to Windows 8, which requires active antivirus protection, may also help, he said.

شماره: IRCNE2012051507
تاريخ: 09/03/91

پس از انتشار خبر مربوط به شناسايي عضو جديد خانواده استاكس نت، مركز ماهر در مرحله بعد اقدام به عرضه ابزار پاكسازي بدافزار Flame كرد. اين مركز ضمن عرضه اين ابزار، يك راهنمايي نيز به دو زبان فارسي و انگليسي براي استفاده از اين ابزار جهت پاكسازي Flame منتشر كرده است. در اين راهنما، نحوه تشخيص آلوده بودن سيستم به اين بدافزار و سپس نحوه پاكسازي آن با استفاده از ابزار عرضه شده، به صورت گام به گام شرح داده شده است. فايل ابزار پاكسازي Flame به همراه راهنماي استفاده از اين ابزار، در انتهاي اين مطلب قابل دريافت مي باشند.

مطالب مرتبط:
شناسايی عامل تهديد هدفمند سايبری

شماره: IRCNE2012051506
تاريخ: 09/03/91

در پي انتشار خبر شناسايي بدافزار Flame توسط آزمايشگاه تحقيقاتي مركز ماهر، شركت­هاي امنيتي سايمانتك، سوفوس، مك آفي، F-Secure و همچنين آزمايشگاه رمزنگاري دانشگاه فناوري و اقتصاد بوداپست نيز اقدام به انتشار اطلاعاتي در اين مورد كرده و به خبر مركز ماهر ارجاع داده اند.
همچنين تعدادي از خبرگزاري­هايي كه اين خبر را با اشاره به خبر منتشر شده توسط مركز ماهر پوشش داده اند به شرح زير مي­باشند:
 

http://www.computerworld.com/s/article/9227524/Researchers_identify_Stuxnet_like_malware_called_Fla…
http://news.cnet.com/8301-1009_3-57442473-83/massive-targeted-cyber-attack-in-middle-east-uncovered…
http://news.techworld.com/security/3360425/researchers-discover-major-cyber-weapon-targeting-middle…
http://in.news.yahoo.com/researchers-expose-worlds-most-complicated-espionage-virus-flame-062245387…

مطالب مرتبط:
شناسايی عامل تهديد هدفمند سايبری

ID: IRCNE2012051505
Date: 2012-05-28

Having conducted multiple investigations during the last few months, the Maher center, the Iranian CERTCC, following the continuous research on the targeted attacks of Stuxnet and Duqu since 2010, announces the latest detection of this attack for the very first time.
The attack, codenamed "Flame" is launched by a new malware. The name “Flame” comes from one of the attack modules, located at various places in the decrypted malware code. In fact this malware is a platform which is capable of receiving and installing various modules for different goals. At the time of writing, none of the 43 tested antiviruses could detect any of the malicious components. Nevertheless, a detector was created by Maher center and delivered to selected organizations and companies in first days of May. And now a removal tool is ready to be delivered.
Some features of the malware are as follows:

• Distribution via removable medias
• Distribution through local networks
• Network sniffing, detecting network resources and collecting lists of vulnerable passwords
• Scanning the disk of infected system looking for specific extensions and contents
• Creating series of user’s screen captures when some specific processes or windows are active
• Using the infected system’s attached microphone to record the environment sounds
• Transferring saved data to control servers
• Using more than 10 domains as C&C servers
• Establishment of secure connection with C&C servers through SSH and HTTPS protocols
• Bypassing tens of known antiviruses, anti malware and other security software
• Capable of infecting Windows Xp, Vista and 7 operating systems
• Infecting large scale local networks

According to file naming conventions, propagation methods, complexity level, precise targeting and superb functionality, it seems that there is a close relation to the Stuxnet and Duqu targeted attacks.
The research on these samples implies that the recent incidents of mass data loss in Iran could be the outcome of some installed module of this threat.
A list of the major infection components of this malware is presented below; these samples would be available for security software vendors.
Table1: Infection Components
 

شماره: IRCNE2012051505
تاريخ: 07/03/91

در پي بررسي­هاي تخصصي انجام شده طي چند ماه گذشته توسط كارشناسان مركز ماهر و در ادامه تحقيقات صورت گرفته از سال 2010 پيرامون حملات هدفمند سازمان دهي شده استاكس نت و ديوكيو، اين مركز براي نخستين بار اقدام به انتشار اطلاعات آخرين نمونه از حملات اين خانواده مي نمايد.
اين حمله توسط بدافزاري كه از اين پس با نام Flame (شعله آتش) معرفي خواهد شد صورت مي گيرد. اين نام برگرفته از محتويات رمزگشايي شده فايل هاي اصلي بدافزار است. اين بدافزار در واقع پلتفرمي است كه قابليت دريافت و نصب ابزارهاي گوناگون جهت فعاليت هاي مختلف را داراست. در حال حاضر هيچ كدام از اجزاي پرشمار تشكيل دهنده اين بدافزار توسط بيش از 43 نرم افزار آنتي ويروس در دسترس مورد شناسايي قرار نمي گيرند. با اين وجود ابزار شناسايي و پاكسازي اين بدافزار در مركز ماهر تهيه شده و از امروز در اختيار سازمان ها و شركتهاي متقاضي قرار خواهد گرفت.
شماري از قابليت­هاي مهم اين بدافزار عبارتند از:

• انتشار از طريق حافظه هاي فلش
• انتشار در سطح شبكه
• پويش شبكه و جمع آوري و ثبت اطلاعات منابع شبكه و رمز عبور سيستم­هاي مختلف
• پويش ديسك كامپيوتر آلوده و جستجو براي فايل­هايي با پسوندها و محتواي مشخص
• تهيه تصوير از فعاليت­هاي خاص كاربر سيستم آلوده با ذخيره سازي تصاوير نمايش داده شده بر روي مانيتور كاربر
• ذخيره سازي صوت دريافتي از طريق ميكروفن سيستم در صورت وجود
• ارسال اطلاعات ذخيره شده به سرورهاي كنترل خارج از كشور
• دارا بودن بيش از 10 دامنه مورد استفاده به عنوان سرور C&C
• برقراري ارتباط امن با سرورهاي C&C از طريق پروتكل هاي SSH و HTTPS
• شناسايي و از كار انداختن بيش از 100 نرم افزار آنتي ويروس، ضد بدافزار، فايروال و ...
• قابليت آلوده سازي سيستم­هاي ويندوز XP، ويستا و ويندوز 7
• قابليت آلوده سازي سيستم­هاي يك شبكه در مقياس بالا

به احتمال قريب به يقين و با در نظر گرفتن پيچيدگي و كيفيت بالاي عملكرد و همچنين اهداف مشابه اين بدافزار، مي­توان آن را محصولي از خانواده استاكس نت و ديوكيو دانست.
نشانه هاي يافت شده حاكي از آن است كه رويدادهاي رخ داده اخير درخصوص از بين رفتن همزمان اطلاعات سيستم­هاي كامپيوتري نتيجه فعاليت يكي از اجزاي اين بدافزار مي­باشد.
با تحليل انجام شده فهرستي از اجزاي تشكيل دهنده اين بدافزار شناسايي شده و در جدول زير ارائه مي­گردد. اين اطلاعات قابل ارائه به توليدكنندگان عمده آنتي ويروس مي­باشد و از اين پس اجزاي اين بدافزار مي­تواند مورد شناسايي آنتي ويروس­ها قرار گيرد.

علائم آلودگي و جزئيات اجزاي تشكيل دهنده بدافزار
وجود هريك از اين نشانه ها بيانگر آلودگي سيستم به بدافزار flame است:
 

شماره: IRCNE2012051504
تاريخ: 03/03/91

گوگل قصد دارد پروژه اي را آغاز نمايد كه در آن به 500 هزار كاربري كه سيستم­هاي آنها توسط بدافزار DNSChanger آلوده شده است، اطلاع رساني كرده و اخطار دهد.
اين پروژه كه از ديروز آغاز شده است براي اين طراحي شده است كه به اين افراد اطلاع داده شود كه ارتباط اينترنت آنها در روز 9 جولاي قطع خواهد شد، در آن زمان سرورهاي موقتي كه توسط اف بي آي براي كمك به قربانيان DNSChanger راه اندازي شده اند، قطع خواهند شد.
به گفته يك مهندس امنيت گوگل، اين هشدار در رأس نتايج جستجوهاي عادي، جستجوهاي تصويري و جستجوي خبر نمايش داده مي­شود. اين هشدار مي­گويد: «به نظر مي­رسد كامپيوتر شما آلوده شده باشد»، و سپس جزئيات بيشتري توضيح داده خواهد شد كه آنها در آينده احتمالا قادر نخواهند بود به اينترنت متصل گردند.
اين بدافزار كه با نام­هاي RSPlug، Puper و Jahlav نيز شناخته مي­شود، به فعاليت خود ادامه مي­داد تا اينكه يك گروه تحقيقاتي اف بي آي به نام Ghost Click در ماه نوامبر توانست عده اي را در اين باره دستگير نمايد.
DNSChanger به اين ترتيب كار مي­كند كه سيستم­هاي آلوده را به سرورهاي DNS جعلي هدايت مي­كند كه براي مثال مي­توانند فردي را كه قصد اتصال به وب سايت يك بانك را دارد، به يك وب سايت فريبكار منتقل نمايند.
اين كامپيوترها زماني كه كاربران وب سايت­هاي خاصي را مشاهده كرده يا نرم افزار خاصي را براي تماشاي آنلاين ويدئو دانلود كرده اند، آلوده شده اند. اين بدافزار علاوه بر تغيير سرور DNS، از به روز رساني آنتي ويروس نيز جلوگيري مي­نمايد.
گوگل تابستان گذشته نيز كار مشابهي را در مورد كامپيوترهاي آلوده اي كه از طريق پراكسي­ها متصل مي­شدند انجام داد.

ID: IRCNE2012051504
Date: 2012-05-23

According to “CNet”, Google is about to begin an ambitious project to notify some half a million people that their computers are infected with the DNSChanger malware.
The warning that will appear at the top of search results for people whose computers are infected.
The effort, scheduled to begin this afternoon, is designed to let those people know that their Internet connections will stop working on July 9, when temporary servers set up by the FBI to help DNSChanger victims are due to be disconnected.
"The warning will be at the top of the search results page for regular searches and image searches and news searches," Google security engineer Damian Menscher told CNET this morning. "The text will say, 'Your computer appears to be infected,' and it will give additional detail warning them that they may not be able to connect to the Internet in the future."
The malware, also known as "RSPlug," "Puper," and "Jahlav," was active until an FBI investigation called Ghost Click resulted in six arrests last November.
DNSChanger worked by pointing infected computers to rogue Domain Name System servers that could, for instance, direct someone trying to connect to BankOfAmerica.com to a scam Web site.
Computers became infected with DNSChanger when they visited certain Web sites or downloaded particular software to view videos online. In addition to altering the DNS server settings, the malware also prevented antivirus updates from happening.
Google took similar steps last summer when it displayed security alerts to infected computers that were connecting through intermediary servers called proxies.

شماره: IRCNE2012051503
تاريخ: 02/03/91

مجرمان سايبري در حال ارسال بدافزار براي كساني هستند كه سعي در خلاص شدن از شر حساب فيس بوك خود دارند. اگر ايميلي دريافت كرده ايد كه از شما مي­خواهد درخواست كنسل كردن حساب فيس بوك خود را تاييد يا رد نماييد، آن را پاك كنيد. اين پيغام ممكن است حاوي بدافزار يا لينكي به بدافزاري مانند Mal/SpyEye-B باشد.
فيس بوك هرگز از شما نخواهد خواست كه درخواست كنسل كردن يك حساب را تاييد يا رد نماييد. اين شركت ابتدا اين گزينه را در اختيار شما قرار مي­دهد كه حساب خود را غيرفعال كنيد، پس از آن شما قادر خواهيد بود حساب خود را پاك نماييد و چيزي به نام كنسل كردن حساب فيس بوك وجود ندارد.
متن اين ايميل به صورت زير است:
Hi [e-mail address]
We are sending you this email to inform you that we have received an account cancellation request from you. Please follow the link below to confirm or cancel this request
Thanks,
The Facebook Team
To confirm or cancel this request, follow the link below:
click here
لينك click here شما را به يك برنامه متفرقه فيس بوك منتقل مي­كند، ولي اين بدان معنا نيست كه اين ايميل از طرف فيس بوك است. اگر شما به صفحه اين برنامه برويد، از شما خواسته مي­شود كه يك اپلت جاواي ناشناخته را بر روي سيستم خود نصب كنيد. درصورتي­كه به اين درخواست پاسخ منفي بدهيد، همچنان اين پيغام براي دريافت مجوز به شما نمايش داده مي­شود.
مجرمان سايبري مي­دانند كه ممكن است كاربران از حذف حساب فيس بوك خود پشيمان شوند، در نتيجه ممكن است بدون توجه كاري را كه اين برنامه از آنها مي­خواهد انجام دهند تا درخواست حذف حساب خود را كنسل كنند.
اگر شما به اين اپلت اجازه اجرا شدن بدهيد، پيغامي براي شما نمايش داده مي­شود كه مي­گويد Adobe Flash بايد به روز رساني گردد. البته اين حرف بي معني است. شما به جاي به روز رساني Adobe Flash يك تروجان در پشتي را نصب مي­كنيد كه به هكرهاي راه دور اجازه مي­دهد در مورد فعاليت­هاي شما جاسوسي كرده و كنترل سيستم شما را در اختيار بگيرند.