Live Chat Software by Ariaphone |
|
آبان ۱۳ |
سی سالگی اولین بدافزار اینترنتی!
ارسال شده توسط روشن ۱۳ آبان ۱۳۹۷ ۱۱:۰۷ قبل از ظهر
|
|
در شرایطی که انبوهی از کرمها و ویروسها و بدافزارهای اینترنتی در تلاش برای سرقت اطلاعات شخصی کاربران هستند، 30سالگی کرم موریس به عنوان اولین کرم رایانهای فرا رسیده است.
این کرم اولین بار در دوم نوامبر سال ۱۹۸۸ در فضای مجازی پخش شد و توسط یک دانشجوی دانشگاه کرنل به نام رابرت تاپان موریس نوشته شد و به همین علت هم به کرم موریس شهرت یافت.
این اولین بار بود که یک بدافزار رایانه ای از طریق اینترنت به طور گسترده پخش می شد و از همین رو رسانه های خبری به طور گسترده این موضوع را مورد توجه قرار دادند.
هدف موریس از نگارش کدهای این کرم آسیب زدن به رایانههای متصل به اینترنت که در آن زمان از ۸۸ هزار رایانه فراتر نمیرفتند، نبود. او قصد داشت از این طریق ابعاد و میزان گستردگی اینترنت را اندازه گیری کند. اما نقص در نگارش کدهای برنامه موریس آن را در عمل به یک نرم افزار مخرب مبدل کرد. برنامه یادشده به گونه ای کدنویسی شده بود که حتی در صورت پاسخ مثبت به نصب آن بر روی یک رایانه باز هم خود را بر روی سیستم کپی می کرد و این کپی کردن های مکرر باعث می شد تا رایانه ها دچار اختلال شده و از کار بیفتند.
به گزارش ایتنا از مهر، این بدافزار به سرعت حدود ۱۰ درصد از رایانه های متصل به اینترنت را آلوده کرد و دامنه فعالیت تخریبی آن به آزمایشهای پروازی ناسا نیز کشیده شد. کرم موریس سرورهای اینترنت که به سیستم عامل های سان و یونیکس VAX/BSDمجهز بودند را کند کرده و سپس از کار انداخت.
در نهایت بعد از گذشت یک روز و با همکاری یکی از دوستان موریس وصله ای نرم افزاری برای مقابله با این کرم عرضه و مشکل حل شد. ولی پلیس به علت مشکلات ایجادشده برای نهادهای مختلف دولتی و خصوصی موریس را به عنوان اولین مجرم اینترنتی دستگیر کرد. وی از دانشگاه هم اخراج و مجبور به پرداخت ۱۰ هزار دلار جریمه شد. بعد از این حادثه سازمان هایی برای مقابله با حوادث امنیتی در امریکا و دیگر نقاط جهان شکل گرفت.
ادامه مطلب » | |
|
مهر ۲۷ |
بدافزار گودزیلا در کمین ویندوزیها
ارسال شده توسط روشن ۲۷ مهر ۱۳۹۷ ۱۰:۰۰ بعد از ظهر
|
|
مجرمان سایبری در حال تبلیغ یک بدافزار با نام Godzilla در فرومهای وب تاریک به قیمت ۵۰۰ دلار هستند. از این بدافزار به خوبی پشتیبانی میشود و بهصورت دورهای بهروزرسانی جدید دریافت میکند.
به گزارش ایتنا از ایسنا، رقیب این بدافزار Emotet است که بر اساس بررسیهای Checkpoint، نرخ آلودگی Godzilla از آن کمتر است. در تبلیغات برای Godzilla آمده است که این بدافزار میتواند UAC را دور بزند. UAC یا User Account Control یک ابزار امنیتی مایکروسافت است که از نفوذ نرمافزارهای مخرب جلوگیری میکند.
بر اساس اطلاعات سایت افتا، این بدافزار قابلیتهای دیگری از جمله حذف فایلهای پشتیبان را نیز داراست. این کار برای جلوگیری از ابزارهای ضد باجافزار است تا نتوانند از طریق فایلهای پشتیبان، عملیات بازیابی را انجام دهند. علاوه بر این، برای شناسایی و تایید سرور C&C و ارتباط با آن، بدافزار از RSA-۲۰۴۸ استفاده میکند.
بنظر میرسد که آخرین نسخه این بدافزار از دسامبر سال گذشته در حال توسعه بوده است و آخرین نسخه آن دارای ماژولهای انتشار، keylogger و سرقت گذرواژه است.
ادامه مطلب » | |
|
مهر ۱۴ |
واتس اپ طعمه جاسوس افزاری که اطلاعات را میرباید
ارسال شده توسط روشن ۱۴ مهر ۱۳۹۷ ۰۹:۴۸ قبل از ظهر
|
|
به گزارش ایتنا از ایسنا، مقصد اصلی توسعهدهنده این جاسوسافزار مشخص نیست. طبق تحلیلهای انجام شده برروی کدهای بدافزار، بهنظر میرسد این بدافزار در حال توسعه بوده و هنوز تکمیل نشده است.
قابلیتهای اصلی بدافزار شامل تهیه اسکرین شات از صفحه، جاسوسی برروی برنامه پیامرسان واتساپ، جمعآوری اطلاعات تاریخچه مرورگر، جمعآوری لیست مخاطبان، جمعآوری گزارش تماسهاست.
همچنین بر اساس اطلاعات سایت افتا، دسترسی به گالری و تصاویر، دسترسی به دوربین، بررسی وضعیت باتری و میزان استفاده از پردازنده، پایداری و باز شدن دوباره بدافزار پس از راهاندازی مجدد دستگاه هم از جمله دیگر ویژگیهای این جاسوسافزار اعلام شده است.
ادامه مطلب » | |
|
مهر ۱۰ |
باجافزاری که از طریق IP ، 68هزار کاربر را قربانی کرد!
ارسال شده توسط روشن ۱۰ مهر ۱۳۹۷ ۰۲:۴۳ بعد از ظهر
|
|
به گزارش ایتنا از ایسنا، پژوهشگران SecurityScorecard اعلام کردند که مهاجمان در حال استفاده از روش جستوجوی فراگیر (brute-force) هستند تا به برنامههای دسترسی از راه دور سمتِ سرور سازمانها نفوذ کنند و باجافزار GandCrab را به رایانههای سازمانها منتقل کنند.
مهاجمان از باتی با قابلیتهای کرم استفاده میکنند که میتواند خود را با کپی کردن در USBها و سایر دستگاههایِ حافظهی قابل حمل گسترش دهد.
این بدافزار برای یافتن سرویس Remote Desktop Protocol و سرورهای Virtual Network Computing اینترنت را اسکن میکند و سپس با استفاده از روش جستوجوی فراگیر و امتحان کردن گذرواژههایی که بصورت گسترده استفاده میشوند مانند ( Password، test، testing، server، admin، ۱۲۳۱۲۳، ۱۲۳۴۵۶ و ...) به دستگاهها نفوذ میکند.
بدافزار بصورت تصادفی آدرس IP هدف را تولید و تلاش میکند تا از طریق پورت ۵۹۰۰ وارد آن شود. درصورت نفوذ موفق، باجافزار را نصب میکند که منجر به رمزشدن فایلهای قربانی و درخواست باج میشود. همچنین مهاجمان میتوانند از آن برای DDoS، Brute-force و سایر فعالیتهای مخرب نیز استفاده کنند.
کارشناسان امنیت فضای تولید و تبادل اطلاعات توصیه کردهاند که برای سرورهای RDP و VNC از گذرواژههای قوی استفاده شود و همچنین USBها و دستگاههای حافظهی قابل حمل، قبل از استفاده توسط ضدویروس اسکن شوند.
ادامه مطلب » | |
|
مهر ۰۴ |
تروجانی که آنتیویروسها را دور میزند
ارسال شده توسط روشن ۰۴ مهر ۱۳۹۷ ۰۹:۱۰ قبل از ظهر
|
|
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروسهای مبتنی بر امضا استفاده میکند.
این RAT که با نام Adwind شناخته میشود، پیشتر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستمها سوءاستفاده کند.
به گزارش ایتنا از ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان همچنین با نامهای AlienSpy، JSocket و jRat نیز شناخته میشود و دارای قابلیتهای زیادی است. تروجان قادر به جمعآوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرمهای وب را نیز به سرقت میبرد.
بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرینشات نیز است. علاوه بر این، تروجان میتواند فایلهای سیستم را بدون اطلاع کاربر منتقل کند. در نسخههای جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستمهای آلوده نیز انجام میشود.
تروجان ابتدا از طریق عملیات فیشینگ منتقل میشود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری میکند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل میشود و بدنههای بیشتر را بارگیری میکند تا دادههای سیستم آلوده را به سرقت ببرد.
این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسبوکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستمهای ویندوز، لینوکس و مک مورد هدف قرار گرفتند.
همچنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامههای ضد ویروس مبتنی بر امضا بهرهبرداری شده است. در عملیات فیشینگ پیامهای مخرب حاوی فایلهای CSV و XLT (هر دو به صورت پیشفرض با نرمافزار اکسل باز میشوند) ارسال میشوند. فایلهای مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره میبرند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده میکند.
پژوهشگران Cisco Talos میگویند که تکنیک جدیدی برای مبهمسازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامههای ضدویروس را به اشتباه میاندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن را به عنوان یک فایل خراب تشخیص میدهد.
کد مخرب یک اسکریپت Visual Basic را ایجاد میکند که از bitasdmin بهره میبرد. ابزار bitasdmin نرمافزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیتها و نظارت بر فرایند پردازشی آنهاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج میشود و تروجان Adwind را پیادهسازی میکند.
ادامه مطلب » | |