شماره: IRCNE2012031442
تاريخ: 08/01/91

هكر UR0B0R0X ادعا مي كند كه كنترل وب سايت هاي 20 شركت را از جمله CBS وشركت مادر ZDNet در اختيار گرفته است. در حالي كه هويت كارمندان ( نام، نام خانوادگي و آدرس ايميل) معتبر به نظر مي رسيد و رمزهاي عبور درهم سازي شده بود، بنابراين هيچ راهي به منظوز بررسي لاگين هاي واقعا معتبر وجود نداشت. اگر اين ادعا درست باشد، هكر مي تواند داده هايي را كه كارمندان به آن دسترسي دارند، به سرقت ببرد.
در اين جا اسامي برخي از شركت هايي كه هكر ادعا مي كند وب سايت هاي آن ها را هك كرده، آمده است: Addison Interactive، هوش مصنوعي، اپل، براندون يانو، محصولات Bunim/Murray، CBS، Emixing، فاكس، Planetary Group، سوني، تصاوير سوني، Subway.
در حال حاضر هك بسيار سوال برانگيز به نظر مي رسد. به زودي صحت و اعتبار اين هك بررسي مي شود.

شماره: IRCNE2012031441
تاريخ: 08/01/91

در تروجان Duqu بخش هايي كه مسئول دانلود كردن و اجراي ماژول هاي اضافي است، با استاندارد C++ نوشته شده است. محققان امنيتي در حال بررسي كدهاي Duqu بودند ولي به دليل آن كه درباره زبان برنامه نويسي كه اين تروجان با آن نوشته شده است اطمينان نداشتند در نتيجه از يك گروه برنامه نويسي درخواست كردند تا در شناسايي زبان برنامه نويسي Duqu به آن ها كمك كنند. پس از يك هفته آن ها دريافتند كه چارچوب كاري Duqu با كد C نوشته شده است و سپس با MSVC 2008 و options /O1 (minimize size) /Ob1 (expand only __inline) كامپايل شده است.
كسپراسكاي اين مطلب را تاييد كرد و نتيجه گرفت كه نتيجه كدهاي باينري با MSVC 2008 و options /O1 /Ob1 كامپايل شده اند و كد منبع ورودي با زبان C نوشته شده است.
اين بدان معني است كه كد با استفاده از يك چارچوب كاري OO C سفارشي بر اساس ماكرو يا دستورات پيش پردازنده سفارشي نوشته شده است يا اين كد با OO C دستي بدون هيچ توسعه اي براي اين زبان نوشته شده است.
تروجان Duqu براي اولين بار در سپتامبر سال 2011 شناسايي شد اما آزمايشگاه كسپراسكاي بر اين باور است كه اولين قطعه از اين بدافزار در آگوست سال 2007 ديده شده است.

ID: IRCNE2012031443
Date: 2012-03-27

According to "zdnet", security researchers from TrendMicro are reporting on mass compromise of WordPress sites, currently serving client-side exploits and malware to users who click on malicious links in the spamvertised emails connected with the campaign.
According to TrendMicro, cybercriminals are impersonating the Better Business Bureau and LinkedIn in their spamvertised emails, enticing end and corporate users into clicking on the malicious links found in the emails.
Upon clicking on the links, users are exposed to the Black Hole web malware exploitation kits, currently serving CVE-2010-0188 and CVE-2010-1885 exploits, ultimately dropping a CRIDEX malware variant.
Cybercriminals regularly take advantage of compromised legitimate infrastructure acting and distribution and infection vector for their malicious campaigns, in an attempt to trick web filters into correctly identifying the legitimate infrastructure where the distribution and infection vectors are hosted.
End and corporate users are advised to ensure that they’re not running outdated versions of their-party software and browser plugins, as well as to avoid interacting with these emails.

ID: IRCNE2012031442
Date: 2012-03-27

According to "zdnet", Hacker UR0B0R0X claims to have compromised the websites of 20 different companies, including ZDNet’s parent company, CBS. While the identities (first name, last name, and e-mail address) of the employees working for said companies appear to be legitimate, their passwords are hashed, so there’s no way to verify if the logins are indeed legitimate. If they are, it’s possible the hacker stole whatever data the employees in question have access to.
Here are the 20 company websites UR0B0R0X claims to have hacked: Addison Interactive, Artificial Intelligence, Apple, Brandon Yano, Bunim/Murray Productions, CBS, Emixing, Fox, NoodleHaus, Planetary Group, RPM Productions, Scarlet Terrier, Sony, Sony Pictures, Subway, Summit Entertainment, Sycamore Solutions, Union, and Warner Bros., and Vibe Creative.
Right now, the hack looks very questionable. We’ll know soon enough if the hack is legitimate or not.

ID: IRCNE2012031444
Date: 2012-03-27

According to "techworld", Google has patched nine vulnerabilities in Chrome in the sixth security update to Chrome 17, the edition that launched on February 8.
Six of the nine bugs patched were rated "high," the second-most dire ranking in Google's threat system. One was marked "medium," and the remaining two were labeled "low."
Three of the four researchers who reported flaws fixed in Chrome 17 have been recently recognized by Google.
The update to Chrome 17 can be downloaded for Windows, Mac OS X and Linux from Google's website. Users running the browser will receive the new version automatically through its silent, in-the-background update service.

ID: IRCNE2012031441
Date: 2012-03-27

According to "zdnet", the sections responsible for downloading and executing additional modules in the Duqu Trojan,referred to by some as Stuxnet 2.0, were written in standard C++. Security researchers worked out what the mystery code does, but because they weren’t sure about the syntax, they asked the community for help in identifying the programming language. Over a week later, it turns out the Duqu Framework was written in C code, which was then compiled with MSVC 2008 and options /O1 (minimize size) /Ob1 (expand only __inline).
Kaspersky confirmed the finding by writing C code that, when compiled as described, produces the opcodes identical with the ones in the Duqu binary (an excerpt is pictured above). Changing the order of operations and if/else blocks modifies the resulting code; MSVC 2005 compiler produces slightly different code, too. The firm thus concludes that the resulting binary was compiled with MSVC 2008, with options /O1 /Ob1, and that the input source code was pure C.
This means the code was either written using a custom OO C framework, based on macros or custom preprocessor directives (this is the most common way to combine object-oriented programming with C), or the code was written in OO C manually, without any extensions to the language (technically, it is near impossible to distinguish code written with macro directives from manually copy-pasted code).
Duqu was first detected in September 2011, but Kaspersky Lab believes it has seen the first pieces of Duqu-related malware dating back to August 2007.

شماره: IRCNE2012031440
تاريخ: 28/12/90

پژوهشگران امنيتي مك كافي، يك برنامه مخرب اندرويد را كشف كردند كه قادر است كلمه هاي عبور بانكي را از روي دستگاه هاي سيار بدون آلوده كردن كامپيوتر كاربر به سرقت ببرد.
آخرين قطعه از بدافزار اندرويد، كه به آن لقب FakeToken داده اند، براي سرقت رمزهاي احراز هويت دو مرحله اي، شامل عملكرد man-in-the-middle است و مي تواند براي سرقت رمز عبور بانكي از روي دستگاه سيار آلوده شده، از راه دور عمليات را كنترل نمايد.
كارلوس كاستيلو از مك كافي توضيح مي دهد كه برنامه هاي كاربردي مخرب نهادهاي مالي شناخته شده خاص را به عنوان يك برنامه Token Generator هدف قرار مي دهند. در واقع، هنگامي كه برنامه كاربردي نصب شد، بدافزار از لوگو و رنگ بانك مورد نظر در برنامه استفاده مي كند كه براي كاربر قابل قبول باشد. هنگامي كه برنامه اجرا مي شود، يك مولفه WebView را نشان مي دهد كه يك صفحه وب جاوا اسكريپت/HTML كه وانمود مي كند يك Token Generator است را نمايش مي دهد.اين صفحه وب وانمود مي كند كه متعلق به بانك مورد نظر است.
براي گرفتن نشانه جعلي، كاربر بايد اولين مرحله از احراز هويت را وارد نمايد. اگر اين مرحله انجام نشود، برنامه يك خطا را نشان مي دهد. هنگامي كه كاربر بر روي "Generar" كليك مي كند، بدافزار يك علامت جعلي را نشان مي دهد و يك رمز عبور براي شماره تلفن خاص همراه با شناسه دستگاه ارسال مي كند. هم چنين اطلاعات مشابه براي سرورهاي كنترلي به همراه شماره تلفن دستگاه فرستاده مي شود. اين بدافزار ليست سرورهاي كنترلي را از يك فايل XML داخل APK اصلي پيدا مي كند. اين بدافزار هم چنين شامل دستوراتي براي به روز رساني خودش يا جاسوسي در دستگاه آلوده شده، است.
با توجه به محبوبيت روز افزون اندوريد و برنامه هاي بانكداري تلفن همراه، انتظار مي رود كه بيشتر شاهد از اين قبيل تهديدات باشيم.

ID: IRCNE2012031440
Date: 2012-03-18

According to "zdnet", Security researchers at McAfee have discovered a malicious Android application capable of grabbing banking passwords from a mobile device without infecting the user’s computer.
The latest piece of Android Malware, dubbed FakeToken, contains man-in-the-middle functionality to hijack two-factor authentication tokens and can be remotely controlled to grab the initial banking password directly from the infected mobile device.
McAfee’s Carlos Castillo explains:
The malicious application targets specific well-known financial entities posing as a Token Generator application. In fact, when the application is installed, the malware uses the logo and colors of the bank in the icon of the application, making it appear more credible to the user:
When the application executes, it shows a WebView component that displays an HTML/JavaScript web page that pretends to be a Token Generator. The web page also appears to be from the targeted bank (same variant of the malware but with different payload).
To get the fake token, Castillo discovered that the user must enter the first factor of authentication (used to obtain initial access to the banking account). If this action is not performed, the application shows an error.
“When the user clicks “Generar” (Generate), the malware shows the fake token (which is in fact a random number) and sends the password to a specific cell phone number along with the device identifiers (IMEI and IMSI). The same information is also sent to one of the control servers along with further data such as the phone number of the device. The malware finds the list of control servers from an XML file inside the original APK,” he added.
He said the malware also contains commands to update itself or spy on the infected machine.
Due to the increasing popularity of Android and mobile-banking applications, we expect that more threats like this will appear.

شماره: IRCNE2012031439
تاريخ: 27/12/90

موزيلا قصد دارد در راستاي بخشي از برنامه هاي به روزرساني خود، يك ابزار به روز رساني خودكار بي سرو صدا را به فايرفاكس نسخه 13 اضافه نمايد.
در حال حاضر فايرفاكس يك به روز رسان خودكار را پيشنهاد داده است اما اين فرآيند بي سرو صدا نيست و نيازمند آن است كه كاربر نهايي بعد از اتمام دانلود، بر روي اعمال اصلاحيه ها كليك نمايد.
با به روز رساني بي سرو صدا، بسته هاي به روز رساني امنيتي در پشت صحنه دانلود و نصب مي شوند.
نايمن گفت: صفحه اي با عنوان "what's new" وجود دارد كه مي تواند با توجه به اطلاعات مهم مورد نيازي كه بايد به كاربر نهايي نشان داده شود، بعد از به روز رساني اطلاعات مهم را نمايش دهد.
گوگل يك به روز رساني خودكار بي سر و صدا را براي مرورگر كروم نصب كرده است و هم چنين ادوبي قصد دارد براي نرم افزار فلش پلير خود اين مكانيسم را نصب نمايد.
چند سالي است كه متخصصان امنيت درباره به روز رساني بي سر و صدا در حال بحث هستند و هشدار مي دهند كه كاربران نهايي بايد نسبت به تغييراتي كه در ماشين آن ها اتفاق مي افتد باخبر و موافق باشند اما با توجه به يك مطالعه مشترك كه توسط گوگل سوئيس و موسسه تكنولوژي فدرال سوئيس انجام گرفته است، به روز رساني هاي بي سرو صدا، امنيت مرورگرها را بالا مي برد.

شماره: IRCNE2012031438
تاريخ: 27/12/90

هكرهاي چيني كد سوء استفاده كننده از آسيب پذيري خطرناك RDP را كه اصلاحيه آن هفته گذشته توسط مايكروسافت عرضه شد، منتشر كرده اند.
انتشار اين كد بر روي يك فروم چيني زبان نشانگر فوريت اعمال به روز رساني MS12-020 مايكروسافت است. اين به روز رساني يك آسيب پذيري اجراي كد از راه دور در پياده سازي پروتكل RDP را كه پيش از احراز هويت و با دسترسي به شبكه قابل سوء استفاده است، ترميم مي­نمايد.
اين مساله باعث اعلام هشدار براي مايكروسافت نيز شده است، چرا كه به معناي لو رفتن «برنامه به اشتراك گذاري آسيب پذيري پيش از اصلاحيه» در اين شركت است.
اين برنامه كه MAPP (Microsoft Active Protections Program) ناميده مي­شود، داده هاي آسيب پذيري را تهيه كرده و حدود 24 ساعت پيش از عرضه اصلاحيه، به توليد كنندگان امنيتي ارائه مي­دهد. اين برنامه به توليد كنندگان امنيتي كمك مي­كند كه آسيب پذيري­ها را بازتوليد كرده و امضاها و قابليت­هاي تشخيص را بدون خطا، ايجاد نمايند.
مايكروسافت اعلام كرده است كه راهكارهاي محكمي براي حصول اطمينان از اينكه داده ها به دست افراد نادرست نمي افتد دارد، اما در اين مورد به نظر مي­رسد كه هكرهاي چيني پيش از عرضه اصلاحيه، به اطلاعات MAPP دسترسي پيدا كرده اند.
اكنون مايكروسافت اين نشت اطلاعات را تاييد كرده است و اعلام كرده است كه به طور فعال در حال تحقيق در مورد افشاي اين جزئيات است و كارهاي لازم را براي محافظت از مشتريان انجام خواهد داد.
به گفته يك مدير محاسبات امن مايكروسافت، اين كد سوء استفاده كننده صرفا باعث اختلال ناشي از انكار سرويس در سيستم­هاي ويندوز اصلاح نشده خواهد شد و هنوز گزارشي مبني بر مشاهده كد سوء استفاده كننده اي كه منجر به اجراي كد از راه دور گردد، دريافت نشده است.
مايكروسافت به كاربران خود توصيه كرده است كه هرچه سريع­تر به روز رساني MS12-020 را اعمال نمايند. اين شركت هيچ جزئياتي در مورد اين نشت اطلاعات منتشر نكرده است.

مطالب مرتبط:
به روز رساني بسيار مهم در اصلاحيه ماه مارس