شماره: IRCNE2011071168
تاريخ: 11/4/90

مايكروسافت اعلام كرد كه نيازي به نصب مجدد ويندوز براي حذف بدافزار مخفي نيست، اما يك متخصص بت نت با اين موضوع مخالف است. مايكروسافت پيشنهاد خود را براي كاربران آلوده به rootkit جديد و پيچيده كه خود را در سكتور بوت هارد پنهان مي كند، روشن كرد. بيشتر محققان امنيت با اين تجديد نظر موافقند، اما يك متخصص برجسته بت نت ها شك دارد كه اين پيشنهاد تضميني براي يك كامپيوتر امن باشد.
هفته گذشته، مركز حفاظت بدافزار مايكروسافت خبر از يك تروجان جديد به نام "Popureb" داد و گفت تنها راه ريشه كن كردن اين بدافزار استفاده از ديسك بازيابي است، زيرا ديسك بازيابي ويندوز را به تنظيمات پيش فرض باز ميگرداند، مايكروسافت اساسا به كاربران اعلام كرده بود كه براي پاكسازي كامل يك كامپيوتر آلوده نياز به نصب مجدد ويندوز است.
بدافزار هايي مانند Popureb زماني كه بر روي يك سيستم قرار دارند بسيار سخت تشخيص داده و پاك مي شوند. زيرا MBR هارد (سكتور 0 كه كد در آن ذخيره شده تا سيستم را راه اندازي نمايد) را باز نويسي مي كنند. چون اين بدافزار در روي MBR پنهان مي شود، rootkit اي كه بوسيله Popureb نصب مي شود نه تنها خودش را بلكه همه بدافزار هايي را كه پس از اين به وسيله آن نصب مي شوند را براي سيستم عامل و نرم افزار امنيتي نامرئي مي سازد.
شركت هاي امنيتي متعددي درباره اين كه نياز به نصب مجدد ويندوز هست يا نه به مباحثه نشسته اند.
Vikram Thakur، يكي از مديران اصلي پاسخگويي امنيتي در Symantec مي گويد "نصب مجدد آخرين كاري است كه مي توان براي مشكل اين بدافزار انجام داد و مي توان اين مشكل را به راحتي با ترميم MBR از طريق يك ديسك خارجي حل كرد"
Symantec يك ابزار براي انجام اين كار به كاربران پيشنهاد داده است.
اين ابزار "Norton Bootable Discovery Tool," دارد كه به صورت مجاني قابل دانلود است و يك ديسك بوت براي راه اندازي كامپيوتر بدون نياز به دسترسي داشتن به هارد و در نتيجه بدون بارگذاري MBR آلوده، ايجاد مي كند. زماني كه ويندوز با استفاده از ديسك بازيابي بوت مي شود، اين ابزار امضاهاي جديد بدافزار( اثر انگشت ديجيتالي كه آنتي ويروس ها براي شناسايي تهديدات از آن ها استفاده مي كنند) را دانلود مي كند، و پس از اين مي تواند آلودگي را تشخيص داده و در صورت لزوم، MBR را تميز كند.
Thakur مي گويد "زماني كه MBR را ترميم كنيد، شما تهديد را به برنامه هاي ديگر از جمله برنامه هاي ضد ويروسي نمايش داده ايد و آن ها مي توانند اين تهديد را از بين ببرند. "
Joe Stewart، مدير مركز پژوهش بدافزار در Dell مي گويد كه نصب مجدد ويندوز تنها راه براي اطمينان از اين است كه MBR rootkit ها و بدافزار هاي اضافي كه آنها نصب كرده اند به طور كامل حذف شده اند.
Macro Giuliani، يك تحليلگر امنيتي كه تحليل خود را درباره Popureb منتشر كرده است به كاربران هشدار داد كه ممكن است در نهايت مجبور به نصب مجدد ويندوز گردند.
او در وبلاگ خود نوشت "چيزي كه درباره Popureb يك كابوس به نظر مي رسد اين است كه در مواجه با آن به نظر مي رسد خطايي رخ داده و در بعضي موارد سيستم در زمان بوت مجدد سيستم دچار اختلال مي شود و نياز است تا سيستم به طور كامل دوباره نصب شود."

مطالب مرتبط:
آلودگي rootkit نيازمند نصب مجدد ويندوز است

شماره: IRCNE2011071167

يك آسيب پذيري كه مي توانست منجر به حملات سرقت هويت عليه سيستم عامل Mac OS X، سيستم هاي iPad و توسعه دهندگان iPad گردد، برطرف شد.
گروه هكر YGN در بيست و پنجم آوريل درباره آسيب پذيري تغيير مسير خودسرانهURL و اسكريپت هاي بين سايتي به اپل هشدار داد و اعلام كرد كه اين آسيب پذيري مي تواند منجر به حملات سرقت هويت توسعه دهندگان وب سايت، شود.
شركت اپل، اطلاعات گروه YGN را در بيست و هفتم آوريل تاييد كرد ولي اين رخنه را برطرف نكرد.
گروه YGN، به خبرنگاران اين اجازه را داد كه اين اطلاعات را در يك دوره زماني كوتاه به اطلاع عموم برسانند حتي اگر شركت اپل اين آسيب پذيري را برطرف نكرده باشد. يك روز بعد از انتشار اين خبر، شركت اپل اين مشكل را برطرف كرد.
گروه هكر YGN امروز در ايميلي به Network World نوشت: هنگاميكه اپل اذعان داشت كه اين مشكل را برطرف كرده است، ما اطلاعاتي را در وبلاگ خودمان منتشر كرده بوديم.
تكنيك هاي گروه هكر YGN بحث برانگيز است زيرا بر اساس قانون ايالات متحده، يك اسكن غيرمجاز يك حمله و يا حتي يك نفوذ به شمار مي آيد.
به هر حال YGN كه در اوايل سال جاري رخنه هاي امنيتي وب سايت هاي MacAfee و Oracle را شناسايي كرد، اظهار داشت كه وب سايت ها نبايد پر از آسيب پذيري هاي شناخته شده باشند.

شماره:IRCNE2011071166
تاريخ: 11/4/90

وردپرس يك به روز رساني جديد را براي ترميم يك آسيب پذيري مهم ارائه داده است. WordPress 3.1.4 پس از به روز رساني 3.1.3 كه در اواخر مي عرضه شد، آمده است.
يكي از توسعه دهندگان وردپرس، Ryan Boren اعلام كرد كه اين به روز رساني براي رفع مشكلي است كه اجازه دسترسي بيشتر به سايت را به كاربر خرابكار سطح ويرايشگر مي دهد.
Borenهمچنين ياد آور شد كه WordPress 3.1.4، در رفع مشكلات امنيتي ديگر و اقدامات مقاوم سازي نقش دارد. يكي از اين به روز رساني ها در مجموعه 18356 عرضه شده است كه يك مقاوم ساز و ايمن ساز جديد براي فايل زبان وردپرس (WPLANG) و يك راه انداز مدير ايميل جديد را فراهم مي نمايد.
همچنين المان هاي ايمن سازي جديدي براي get_bookmarks، get_pages و get_terms در اين به روز رساني وجود دارد. هدف از ايمن سازي كد اين است تا اطمينان حاصل شود كه ورودي هاي بد نمي توانند باعث شوند تا سيستم به طور بالقوه مورد نفوذ و بهره برداري حمله كنندگان قرار گيرد.
به روز رساني جديد WordPress 3.1.4 براي حركت توسعه دهندگان به سمت نسل بعدي پلت فرم وبلاگ نويسي آمده است. عرضه سوم براي پيش نسخه WordPress 3.2 هم اكنون در دسترس است كه شامل همان اصلاحيه هاي مقاوم سازي و امنيتي در عرضه 3.1.4 است. به علاوه، WordPress 3.2 شامل اصلاح هايي در زمينه واسط كاربر و جاوا اسكريپت نيز است.
WordPress 3.2 همچنين براي فراهم كردن كارايي براي سرور ها در نظر گرفته شده است كه باعث مي شود تا پلت فرم وبلاگ نويسي سريعتر اجرا شود. WordPress 3.2 از حواسپرتي كاربر در هنگام نوشتن يك پست جلوگيري مي كند كه اين سبب مي شود كاربر بيشتر بر روي محتوي تمركز كند.
تغيير بزرگ ديگر در WordPress 3.2 اين است كه براي راه اندازي به حداقل نيازمندي هايي نياز دارد. مروگر IE 6 مايكروسافت ديگر پشتيباني نمي شود و همچنين سرور نيز ديگر PHP 4 را پشتيباني نمي كند.
Boren گفت "ما حداقل نيازمنديهاي خود را از نسخه 3.2 به PHP 5.2.4 و MYSQL 5.0 تغيير داده ايم."

شماره: IRCNE2011071165

شركت گوگل با هدف كمك به كاربران خود براي شناسايي كلاهبرداري سرقت هويت، چندين ويژگي بصري را به Gmail اضافه كرده است.
پيشرفت هاي ضد سرقت هويت، اطلاعات بيشتري در مورد منشا برخي از اين ايميل ها، به ويژه اطلاعات كساني كه به صورت جعلي يا از طرف شخص ديگري ميل ارسال مي كنند، نشان خواهد داد.
اگر كسي به صورت جعلي يك پيام از كسي كه شما به آن اعتماد داريد، مانند بانك شما براي شما ارسال كند، شما به راحتي مي توانيد ببينيد كه كه اين پيام جعلي است و از جايي كه وانمود مي كند از آن جا ارسال شده، فرستاده نشده است.
يكي از كارشناسان گوگل اظهار داشت: Gmail به طور خودكار پيام هاي مشكوك را شناسايي مي كند و وقتي كه به نظر مي رسد كسي ممكن است يك آدرس Gmail را جعل كرده باشد، يك هشدار نمايش مي دهد. در واقع گوگل با استفاده از اطلاعات احراز هويت پيام اين بررسي را ارزيابي مي كند و از سرآيند پيام براي آشكار كردن آدرس ايميل فرستنده استفاده مي كند.
سرويس هاي Mail ديگر اين قابليت را ندارند. به عنوان مثال Hotmail مايكروسافت آدرس فرستنده را در اعلان فرمان كاربر نشان مي دهد ولي به طور خودكار اين ويژگي را ندارد.

شماره: IRCNE2011071164
تاريخ: 11/4/90

موسسه SANS هفته گذشته گزارش سالانه خود را در مورد خطرناكترين خطاهاي نرم افزاري سال 2011 منتشر كرده و به 25 خطاي برتر در اين زمينه پرداخت. به گفته تعدادي از متخصصين امنيتي، اين فهرست لزوما مسائل جديدي را مطرح نمي­كند، بلكه به مشكلات قديمي مي­پردازد كه همچنان وجود دارند.
در صدر اين فهرست براي سال 2011، تزريق SQL قرار گرفته است كه براي كساني كه مسائل اخير نشت اطلاعات را دنبال كرده باشند، چندان عجيب نيست.
به گفته يكي از محققان امنيتي شركت Stach & Liu، تزريق SQL آسيب پذيري پشت پرده در حملات سوني، Infragaurd و ساير حملات اخير بوده است. مهم نيست كه اين آسيب پذيري در رده اول، چهارم يا دهم قرار گرفته باشد، مساله مهم اين است كه اين خطا همواره يكي از علل اصلي نشت اطلاعات در گذشته بوده است و همچنان نيز خواهد بود.
در سال 2010، تزريق SQL در رده دوم فهرست SANS و پس از اسكريپت­هاي بين سايتي (XSS) قرار گرفته بود.
به گفته يكي ديگر از محققين امنيتي، عجيب نيست كه تزريق SQL در صدر اين خطاها قرار گرفته باشد، مساله عجيب اين است كه اقدامات متقابل براي تزريق SQL حداقل 5 سال است كه براي زبان­هاي مختلف برنامه نويسي در برنامه هاي وب كاملا شناخته شده، موثر و در دسترس هستند.
در رده دوم فهرست خطاهاي نرم افزاري سال 2011، تزريق دستور سيستم عامل قرار گرفته است. خطاهاي سرريز بافر در مكان سوم، XSS در مكان چهارم و عدم تاييد هويت براي توابع حياتي نيز در رده پنجم قرار گرفته اند.
يكي از محققين شركت امنيتي Qualy اظهار داشت كه به نظر مي­رسد خطاهاي نرم افزاري در مرورگرهاي وب بيش از نقايص وب سايت­ها مورد علاقه مهاجمان هستند.

شماره: IRCNE2011071163
تاريخ: 11/4/90

محققان شركت امنيتي Kaspersky Lab فاش كرده اند كه به نظر مي­رسد كه ميليون­ها كامپيوتر در سراسر جهان توسط يك ابربدافزار خطرناك به نام TDSS كه بخشي از يك كمپين براي ساخت يك botnet جديد است آلوده شده اند.
بدافزارها و botnet ها مي­آيند و مي­روند، ولي TDSS متفاوت با ديگران است. اين بدافزار كه TDL نيز ناميده شده و گاهي نيز با نام جزء rootkit خود يعني Alureon شناخته مي­شود، نخستين بار بيش از سه سال پيش كشف شد. اين بدافزار رشد كرده و به يك سلسله بدافزار با اشكال گوناگون تبديل شده است كه هر روز پيچيده تر و خطرناكتر مي­شود.
در هفته هاي اخير محققان Kaspersky Lab قادر بوده اند به سه سرور دستور و كنترل مبتني بر SQL كه براي كنترل فعاليت­هاي نسخه اخير اين بدافزار يعني TDL-4 مورد استفاده قرار مي­گرفتند نفوذ نمايند. در اين سرورها 4.5 ميليون آدرس IP متعلق به كامپيوترهايي كشف شده اند كه فقط در سال 2011 توسط اين بدافزار آلوده شده اند. تقريبا حدود 1.5 ميليون از اين آدرس­هاي IP متعلق به ايالات متحده هستند. اگر اين سيستم­هاي آلوده فعال گردند، مي­توانند يكي از بزرگترين botnet هاي دنيا را بسازند.
به گفته محققان، بدافزار TDL-4 همچنين قابليت­هاي فني و اقتصادي را به فهرست ويژگي­هاي خود اضافه كرده است كه برخي از آنها خارج از ويژگي­هاي معمول botnet ها است.
اين بدافزار طوري طراحي شده است كه ركورد بوت يك كامپيوتر را آلوده مي­سازد تا TDL پيش از ساير برنامه ها بارگذاري گردد. سپس سعي مي­كند بدافزارهاي رقيب را از روي سيستم آلوده حذف كند و به همين منظور به دنبال 20 نوع بدافزار مختلف از جمله Gbot، زئوس و Optima مي­گردد. اين كار باعث مي­شود كه از تداخل ساير برنامه ها با كار اين بدافزار جلوگيري گردد و به فعاليت­هاي اقتصادي آنان نيز ضربه وارد شود.
شايد هوشمندانه ترين نوآوري در TDSS، نوآوري­هاي اقتصادي آن باشد كه به سازندگان آن كمك مي­كند آن را به شكل يك botnet به عنوان يك سرويس (botnet-as-a-service) به فروش برسانند.
يك محقق Kaspersky كه آخرين تحليل­هاي TDSS را انجام داده است اظهار داشت كه محققان اين شركت اطمينان دارند كه توسعه TDSS ادامه خواهد يافت. به گفته وي، كار مداوم بر روي كد TDL-4، rootkit هاي سيستم­هاي 64 بيتي و استفاده از فن آوري­هاي P2P، اين برنامه خرابكار را به يكي پيشرفته ترين و پيچيده ترين بدافزارها براي تحليل تبديل كرده است.
سوال مهم اين است كه چرا نويسندگان TDSS/TDL-4 هزينه زيادي را صرف پيچيده سازي اين بدافزار كرده اند، در حاليكه ساير بدفزارها كار خود را بدون داشتن اين پيچيدگي انجام مي­دهند. نكته جالب نيز نسخه 64 بيتي Alureon است كه با اينكه نسخه 64 بيتي سيستم عامل بايد در مقابل حملات مقاومتر باشد، اما مايكروسافت در ماه مي ادعا كرد كه آن را از روي صدها هزار سيستم پاك كرده است.
پاسخ اينجاست كه سازندگان TDSS مي­خواهند در كار خود پيشگام باشند. اگرچه ويندوز كاربران 64 بيتي كمتري دارد و حمله به اين سيستم عامل ممكن است سخت تر باشد، اما اين كار نتيجه بيشتري نيز خواهد داشت، چرا كه باعث مي­شود اين خرابكاران نه تنها جلوتر از رقيبان خود، بلكه جلوتر از توليد كنندگان نرم افزارهاي امنيتي نيز قرار بگيرند.

شماره: IRCNE2011071162
تاريخ: 11/4/90

اين هفته شركت گوگل يك به روز رساني را براي اصلاح بيش از هفت آسيب پذيري ممكن در كروم ارائه داده است. اين اصلاحيه امنيتي به عنوان دومين اصلاحيه اي است كه در ماه ژوئن براي اين مرورگر وب ارائه شده است. در به روز رساني 12.0.742.112 ، راه حل هايي براي 6 نقص "مهم" از نظر فاكتور ريسك ارائه گشته است.
اين به روز رساني، مسائل مهمي مربوط به موتور جاوا اسكريپت V8 و دو مشكل در خرابي حافظه CSS و خطاهاي ورود مجدد در تجزيه كننده HTML را شامل مي شود و سه خطاي باقي مانده نيز مربوط به استفاده كردن پس از آزادسازي مديريت فونت SVG است كه مي تواند مورد سوء استفاده حمله كنندگان براي تزريق كدهاي مخرب قرار گيرد.
جالب اينجاست كه پنج نقصي كه با 12.0.742.112 ترميم شده اند، بوسيله محقق امنيتي "مايوبز" كشف و به گوگل گزارش داده شده اند.
اين اصلاحيه اخير امنيتي توسط گوگل نه تنها شامل راه حل هايي براي مشكلات داخلي است، بلكه شامل يك نسخه به روز رساني براي Adobe Flash Player نيز هست.
در روز هشتم ژوئن، گوگل يك اصلاحيه براي كروم ارائه داد كه بيش از پانزده آسيب پذيري را از بين مي برد و يك ويژگي جديد را نيز اضافه مي كرد.

ID: IRCNE2011071168
Date: 2011-07-02

Computerworld - Microsoft yesterday clarified the advice it gave users whose Windows PCs are infected with a new, sophisticated rootkit that buries itself on the hard drive's boot sector.
Several security researchers agreed with Microsoft's revisions, but a noted botnet expert doubted that the advice guaranteed a clean PC.
Last week, the Microsoft Malware Protection Center (MMPC) highlighted a new Trojan, dubbed "Popureb," and said that the only way to eradicate the malware was to use a recovery disc.
Because a recovery disc returns Windows to its factory settings, Microsoft was essentially telling users that they needed reinstall Windows to completely clean an infected PC.
Malware like Popureb is especially difficult to detect and delete once it's on a system because it overwrites the hard drive's MBR, the first sector -- sector 0 -- where code is stored to bootstrap the operating system after the computer's BIOS does its start-up checks. Because it hides on the MBR, the rootkit installed by Popureb makes not only itself, but any follow-on malware installed by it later, invisible to both the operating system and security software.
Several security firms have also weighed in on the debate about whether users need to reinstall Windows.
"Reinstalling is definitely overkill for this malware problem," said Vikram Thakur, principal security response manager with Symantec, in an interview today. "It can be resolved simply by fixing the MBR via an external disk."
Symantec offers a tool to help users do that.
Named "Norton Bootable Discovery Tool," the free download creates a boot disc for starting up the PC without accessing the hard drive -- and thus without loading the infected MBR. Once the Windows machine boots using the recovery disc, the tool downloads new malware signatures -- the digital "fingerprints" antivirus software uses to detect threats -- sniffs out signs of infection and if necessary, cleans the MBR.
When you fix the MBR, you pretty much expose the threat itself to other applications, including antivirus applications," said Thakur. "They can then pick up on the threat, and delete it."
But an internationally-known botnet expert disagreed.
Joe Stewart, director of malware research at Dell SecureWorks, said that reinstalling Windows was the only way to insure that MBR rootkits and the additional malware they install are completely removed.
"Once you're infected, the best advice is to [reinstall] Windows and start over," said Stewart. "[MBR rootkits] download any number of other malware. How much of that are you going to catch? This puts the user in a tough position."
Marco Giuliani, the Webroot threat research analyst who published his own analysis of Popureb, cautioned that users may end up having to reinstall Windows after all.
"What is really a nightmare is that [Popureb] looks like it has bugs and sometimes it hangs the system during the reboot stage," Giuliani wrote on the Webroot blog. "This could become a problem that would require you to perform a full system reinstall."

Related Links:
Rootkit infection requires Windows reinstall

ID: IRCNE2011071167
Date: 2011-07-02

According to 'computerworld', A vulnerability that could have led to phishing attacks against Mac OS X, iPad and iPad developers has finally been closed.
YGN told Apple about the Arbitrary URL Redirect vulnerability and cross-site scripting issue on April 25, warning it could lead to phishing attacks on developers using the website. Apple acknowledged YGN's information on April 27, but didn't fix the hole. That frustrated YGN, which let news reporters know it would go public with the information in a short period of time even if Apple didn't correct the problem. One day after news reports on the situation, Apple fixed the problem.
"As Apple has replied that they have fixed the issue, we've released the information at our blog," the YGN Hacker Group wrote in an email today to Network World.
The tactics of the YGN Ethical Hacker Group are controversial because under U.S. law, an unauthorized scan is considered an attack or even a break-in. However YGN, which earlier this year identified security holes in the websites of McAfee and Oracle as well, counters that websites should not be full of known vulnerabilities.

ID: IRCNE2011071165
Date: 2011-07-02

According to 'zdnet', Google has added several visual features aimed at helping its webmail users pinpoint phishing scams.
The anti-phishing enhancements, will display more information about the origin of certain e-mails, especially those spoofed or sent on behalf of someone else.
If someone fakes a message from a sender that you trust, like your bank, you can more easily see that the message is not really from where it says it’s from,” .
Iwaszkiewicz said Gmail will also automatically detect suspicious messages and display a warning (see sample image blow) when it looks like someone may have spoofed a Gmail address.
Google does this by evaluating the message’s authentication data and uses the message header to uncover the sender's email address.
Other Web mail services lack a similar feature. Microsoft's Hotmail, for instance, will display the sender's address at the user's command, but does not do so automatically.