شما می توانید با ارسال ایمیل خود ، بصورت رایگان مشترک شده و از بروزسانی مطلع شوید.

ایمیل خود را وارد کنید:

بایگانی برای می, 2012

راهکارهای شرکت Panda Security برای شناسایی و پاکسازی ویروس وایپر و VRBAT

بدون نظر

هرچند برخی از سازمان های فعال در زمینه امنیت اطلاعات، راهکارهایی برای کنترل و انسداد حملات وایپر ارائه کرده اند، اما این روش های پیشنهادی، به هیچ وجه مؤثرنیستند.

نمونه از روشهای ارایه شده، راهکارهای مبتنی بر محدود نمودن دستری به فایل Diskpart و یا حذف کامل آن می باشد، اما نکته این است که اضافه نمودن این فایل ۱۶۰ KB به ویروس بسیار ساده بوده و این در حالی است که گزینه های بسیار بهتری جهت جایگزینی آن در اختیار منتشر کنندگان ویروس است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، از نظر ما بهترین و موثرترین راهکار حفاظتی، در نظر گرفتن مرحله اصلی تخریب و جلوگیری از فعالیت این ویروس و یا ویروس های مشابه در هنگام آغاز عملی حمله است. در این رابطه به نظر نمی رسد که راهکارهای سنتی ویروس یابی یعنی شناسایی ویروس ها بر مبنای فایل بروزرسانی (Signature) موثر باشد.

این یک راهکار پساکنترلی محسوب می شود و ویروس های بسیار جدید معمولاً از این سد دفاعی براحتی عبور میکنند. به همین منظور برخی از شرکتهای ضد ویروس راهکارهای امنیتی دیگری دارند که میتوانند کدهای مخرب را پیش شناسایی کنند. این روش های مکمل معمولاً بر مبنای رفتار شناسی و حرکت سنجی کدهای اجرایی عمل میکنند.

نمونه ای از قدرتمندترین روش های حفاظت پیشگیرانه در مقابله با ویروس های اینترنتی که در اختیار شرکت امنیتی پاندا می باشد، به فن آوریTruPrevent مشهور است. این تکنولوژی حفاظتی می تواند به محض اجرای یک فایل، تمام رفتارها، حرکات و نحوه عملکرد آن را به سرعت بررسی کند تا در صورت مشکوک بودن یا مخرب بودن آن فایل، از ادامه اجرایش جلوگیری شود. بنابراین، ویروس های ثبت نشده و بسیار جدید نیز با این روش براحتی به دام می افتند و پس از قرنطیه شدن و تشخیص قابلیت های تخریبی، در پایگاه های اطلاعات امنیتی شرکت پاندا و به عنوان یک ویروس جدید ثبت می شوند.

بله! در مورد ویروس های بسیار جدید و بسیار خطرناک که به سرعت در اینترنت منتشر شده یا به صورت هدفدار عمل می کنند، متأسفانه روش های سنتی شناسایی ویروس ها، عملاً غیر مؤثر و بی فایده هستند. تحقیقاتی که توسط تیم فنی شرکت ایمن رایانه بر روی کد منبع این ویروس W۳۲/VRBAT انجام شده، نشان می دهد فایل های اصلی که ویروس تنها با تغییر آن ها موفق به انجام فرایندهای تخریبی خود می شود، با عنوان Ntldr و Bootmgr فایل های سیستمی بسیار حیاتی هستند که باید دسترسی به آنها تحت کنترل کامل مدیر شبکه باشد.

با استفاده از روش های پیشگیرانه حفاظتی مانند Panda TruPrevent ، نه تنها می توانیم دستورالعمل های جدید و دلخواه حفاظتی برای انسداد دسترسی به این دو فایل حساس سیستمی تعریف کنیم، بلکه می توانیم این ماژول های جدید حفاظتی را بر روی تمام سرورها و رایانه های سازمانی اعمال نماییم. در این حالت ویروس هایی که با تغییر فایل های Ntldr و Bootmgr فعال می شوند، در عمل قادر به تخریب رایانه شما نخواهند بود.

هم چنین راهکارهای عمومی امنیت اطلاعات مانند امن نگاه داشتن پورت های یو اس بی با استفاده از برنامه Panda USBVaccine ، نصب اصلاحیه های امنیتی سیستم عامل بر روی تمام ایستگاه های کاری شبکه و نیز تعریف صحیح پیکربندی امنیت شبکه می توانند در شناسایی و کنترل سریع و پیشگیرانه حملات و ویروس های رایانه ای مفید باشند.

خاطرمان باشد که مهم نیست ویروس های رایانه ای، کی، کجا، چگونه و با چه شدتی به ما حمله می کنند؛ مهم این است که ما خود را برای مقابله با بدترین و خطرناک ترین آن ها آماده کرده باشیم و این آمادگی را همواره بروز نگاه داریم. در این صورت، احتمال ایجاد آلودگی و اختلال در سیستم های رایانه ای ما حتماً به سمت صفر میل خواهد کرد.


اکسپلویت چیست ؟ Exploit چیست ؟

1 نظر

اکسپلویت کدی برای سوء استفاده از حفره های امنیتی برنامه های کاربردی، سیستم عامل ها، هسته سیستم عامل ها، وب سرور و در کل هر نرم افزاری که در یک شبکه و یا کامپیوتر کار میکند میباشد. اکسپلویت ها میتوانند با زبان های مختلف برنامه نویسی نوشته شوند و هدف آنها استفاده و ایجاد دسترسی غیر مجاز، ایجاد حملات مختلف و یا اختلال در سیستم های کامپیوتری میباشد.

 

اکسپلویت ها معمولا هنگام کشف آسیب پذیری ها و یا بعد از کشف حفره های امنیتی نوشته میشوند، اکسپلویت نویس ها عمدتا هکر میباشند که با تکنیک ها و متدهای مختلف اقدام به نوشتن کدهای مخرب مینمایند، بعضا دیده میشود که متخصصان و مدیران امنیتی مطرح نیز اقدام به نوشتن اکسپلویت، برای اثبات آسیب پذیری های مهم کرده اند.

اکسپلویت ها به زبانهای مختلف و در دسته بندی های مختلف عرضه میشوند

اکسپلویت ها عمدتا به زبانهای C++، Perl و یا PHP و Python نوشته میشوند، ولی بسته به نوع آسیب پذیری و بستر آسیب پذیر متغییر میباشند، برای مثال زبانی که اکسپلویت های معروف Metasploit با آن نوشته شده Ruby میباشد.

عمده اکسپلویت ها به دو نوع تقسیم بندی میشوند، لوکال و رموت؛ اکسپلویت های Local نیاز به دسترسی قبلی به سیستم قربانی دارد و بعد از ایجاد دسترسی اولیه که ممکن است از آسیب پذیری های تحت وب دیگر به دست آمده باشد مورد استفاده قرار میگیرد که منجر به ارتقاء دسترسی موجود تا کاربری سطح ریشه و مدیر، را فراهم میکنند.

اکسپلویت های Remote، از آسیب پذیری های برنامه های کاربردی (Aplicattion) استفاده کرده و منجر به نفوذ به شبکه میشوند و معمولا دسترسی های غیر مجاز با سطوح مختلف بسته به نوع آسیب پذیری را ایجاد میکنند.

اکسپلویت ها معمولا بصورت سورس و کد منتشر میشوند که میتوانند در سیستم عامل های مختلف مورد استفاده قرار گیرند، و نیاز به کامپایل دارند، معمولا هکرها همه کامپایلرهای زبان های مختلف را در سیستم خود دارند و کامپایلرها جزئی جدا نشدنی از ابزارهای هک برای هکرها محسوب میشوند.

پژوهشگرها یا محققین امنیتی – Security Reserchers

باگ ها و حفره های امنیتی توسط این افراد کشف و گزارش میشوند که منجر به نوشته شدن کدهای مخرب و اکسپلویت ها، برای آسیب پذیری های کشف شده میشوند، بعضا خود این افراد اقدام به کد نویسی و انتشار آن در سایتهای امنیتی برای اثبات آسیب پذیری و گاهی اوقات برای معروفیت خود مینمایند، عمده این محققین جوان و جویای نام بوده و حفره های امنیتی خطرناک که باعث رخداد های بزرگ امنیتی جهانی میشوند، توسط این جوانهای هکر کشف و مورد استفاده قرار میگیرند.

منافع اقتصادی اکسپولیت و اکسپلویت نویسی

برخی Resercher ها نیز از علم خود برای منافع اقتصادی استفاده میکنند، باگ های و حفره های امنیتی را کشف و به فروش میرسانند، این باگ ها که توسط هکرهای هدف دار خریداری میشوند گاه تا چندین میلیون و یا چند صد میلیون تومان قیمت گذاری میشوند، برای مثال در کشور ایران هکرهایی از این مثل داریم که حفره امنیتی کشف و بفروش میرسانند که تا 20 میلیون تومان قیمت گذاری میشوند. (سایت هایی برای فروش اکسپلویت و آسیب پذیری وجود دارند)

نویسنده: netqurd (بیشتر…)


Virus Hidden

1 نظر

ایتدا وارد استارت شوید سپس وارد محیط run در اینجا عبارتregedit را وارد نمایید.

حالا ابتدا وارد HKEY_LOCAL_MACHINE سپس وارد SOFTWARE بعدmicrosoft سپس وارد بخش windows شوید.
حالا از منو بار های سمت چپ تک تک این مراحل را بروید.
ایتداCurrentVersion
سپسExplorer
سپسAdvanced
سپسFolder
سپسHidden
سپسSHO WALL
حالا فایل checkedValue را پاک کنید.
حالا وقتی شما پاک کردید دوباره با همین نام ایجاد کنید.
value را با 1 ایجاد کنید./
این بهترین روش برای پاک کردن ویروس هیدن بود


VPN، روشی جدید برای سرقت اطلاعات

بدون نظر

در روزهای اخیر، استفاده گسترده کاربران از سرویس VPN (Virtual Private Network) به دلیل اختلالات موجود در اینترنت و همچنین عبور از سد فیلترینگ کشور، مشکلات فراوانی را برای استفاده کنندگان در پی داشته است.

رشد فزاینده فروش اکانت های VPN و نرم افزارهای فیلترشکن که با قیمت های بسیار نازل و حتی تست های چند روزه رایگان، عرضه می شود، تهدیدات بیشماری را متوجه رایانه های کشورمان نموده است و باعث شده تا کاربران به دلیل عدم آگاهی، بخش عظیمی از اطلاعات درون کشور را در اختیار کشورهای بیگانه قرار دهند.

متأسفانه، بیشتر سرورهایی که اشتراک VPN را در اختیار کاربران قرار می‌دهند، نه تنها تمامی اطلاعات رد و بدل شده را بررسی می‌کنند، بلکه توسط پورت‌های باز رایانه کاربر، به اطلاعات درون رایانه وی نیز دسترسی داشته و با استفاده از نرم افزارهای پیشرفته، بدون اطلاع کاربر، اقدام به کپی‌برداری یا دیدن اطلاعات داخلی رایانه وی می کنند. این موضوع، زمانی که کاربر از طریق رایانه محل کار، اقدام به برقراری ارتباط VPN می کند، از اهمیت دو چندانی برخوردار است چرا که موجب دسترسی به اطلاعات سازمان می گردد.


کاربر، با استفاده از سرویس VPN و یا نرم‌افزارهای فیلترشکن، به یک سرور در خارج از کشور که معمولاً در کشورهای آمریکا و انگلیس مستقر هستند، متصل می شود. این اتصال از هر نقطه دنیا، موجب اختصاص یک آدرس IP خارجی به رایانه کاربر شده و موقعیت مکانی وی را به آن کشور تغییر داده و در اینترنت، به عنوان کاربری از آن کشور شناخته می شود. پس از برقراری ارتباط، کاربر توسط سرور خارجی، وارد اینترنت ‌شده و بدین وسیله، از فیلترینگ داخلی کشور یا تحریم های خارجی عبور می کند.

اگر چه اطلاعات تبادل شده توسط VPN، از طریق ارتباط امن SSL صورت می گیرد و بجز خود کاربر و رایانه سرور، هیچ فرد دیگری به آن اطلاعات دسترسی ندارد ولی به علت رمزنگاری، رمزگشایی و بازرسی محتویات هر بسته، این سرویس گاهی اوقات عملکرد کندی دارد.

علاوه بر این، گرایش به سوی سرویس VPN، تلاش عده زیادی از کلاهبرداران اینترنتی را نیز در بر داشته است تا با فریب کاربران به نصب نرم افزارهای مخرب که اغلب Trojan یا key logger هستند، در قالب برنامه های VPN، به دزدیدن اطلاعات نام کاربری، کلمه عبور افراد و همچنین اطلاعات محرمانه آن ها اقدام نمایند.

اگر چه به گفته رضا باقری اصل، مدیر دفتر مطالعات فناوری های نوین مرکز پ‍ژوهش های مجلس، ” VPN غیر قانونی نیست و در قانون جرایم رایانه ای هیچ ماده ای مبنی بر این که پروتکل VPN غیر قانونی است، وجود ندارد ” و به طور مثال، بانک ها و مؤسسات مالی از این پروتکل برای تبادل اطلاعاتشان استفاده می کنند چرا که از امنیت بالاتری برخوردار است، اما به کاربران توصیه می شود که همچنان تدابیر امنیتی را برای حفظ حریم خصوصی خویش بکار گیرند.


راهنمای حذف تروجان برای ویندوز

بدون نظر

اگر شما فکر می کنید که کامپیوترتون با ویروس/تروجان آلوده شده است، این آموزش به شما کمک می کنه که چطور این ها را بطور کامل پاک کنید از کامپیوترتون.

اگر شما بطور کامل و با دقت این مقاله رو دنبال کنید ؛ خیلی راحت میتونید کامپیوترتون رو امن کنید از هر گونه بد افزار.

کارایی این برنامه : این راهنمای حذف و پاکسزی نرم افزارهای مخرب در نظر گرفته شده برای کمک و راهنمائی به کاربر. این مقاله یه جایگزین برای پاک کردن ترجان های حرفی نیست !!!

مطمئن باشید که حتما یک بکاپ از تمامی فایل های زروریتان تهیه کردین قبل از شروع کار!!

توجه داشته باشید:

در برخی مواقع شما نیاز دارید که سیستم خودتون رو دوباره نصب کنید برای پاک سازی کامل کامپیوترتون.

در صفحهٔ کیبورد خود Ctrl + D رو فشار دهید برای بوکمارک کردن این پیج و ذکر کردن منبع.

این مقاله شامل ۳ بخش می باشد.

ایندکس

امادسازی کامپیوترتون برای پاکسازی.

روند حذف کردن.

اسکن کردن روت کیت ها.

اسکن کردن برای نرم افزرهای مخرب.

اسکن کردن با استفاده از برنامه ی AV.

نتیجه و پایان.

ابزار های اضافه برای حذف کردن برنامه های مخرب.

آماده سازی کامپیوتر برای انجام عملیات پاک سازی

۱-بوت کردن کامپیوتر برای بالا آمدن در حالت SAFE MODE (اختیاری)

اگر کامپیوتر شما آلوده به ترجان هست و این برنامه ها باعث میشن که مانع دسترسی شما به اینترنت و باز شدن برنامه هاتون می شه، شما نیاز دارید که کامپوترتون رو با بالا بیارید برای اینکه برنامه های مخرب در حالت Safe Mode نمی تونن اجرا بشن.

برای بوت کردن کامپیوتر و بالا آمدنش در حالت Safe Mode ، کامپیوتر را ریستارت کنید.

رو بزنید قبل از اینکه لوگوِ ویندوز ظاهر بشه.

Safe Mode with netWorking رو انتخاب کنید و Enter رو بزنید.

توجه داشته باشید : اگر شما مشکل دارید که کامپیوترتون در حالت SafeMode بالا نمیاد میتونید از SafeMode Fixer استفاده کنید.

۲-حذف و پاکسازی هرگونه فرایند های مخرب:

اگه شما نمیتونید هیچ برنامی رو باز کنید ( .exe ) در حالت Safe Mode ، استفاده از رهنمی در سپویلر؛

سپیلر (برای مشاهده کلیک کنید)

اگر هر یک از مشکلات زیر رو با exe داشتین :

ویندوز نمی تواند فایل رو باز کنید.

برنامه خاصی رو که شما می خواهید رو انتخاب کنید.

این ارور Not a valid Win32 application.

ویندوز نمیتونه به دستگاه دسترسی پیدا کند.

بعد این برنامه های مجانی رو امتحان کنید برای توقف روند برنامه های مخرب:

1-RKill
2- FixExec
3- FixEXE.reg

Rkill

Download

با دابل کلیک RKill رو باز کنید.

پنجرهٔ CMD باز می شه.

اجازه دهید یوند پایان پیدا کنه خودش.

بعدش هرگونه برنامه*های مخرب بسته می شه.

Fixec

اگر RKill برای شما کار نکرد، میتوانید از Fixec استفاده کنید.

DOWNLOAD

بعد از دانلود، دابل کلیک کنید برای فیکس کردن مشکل.

FixEXE.reg

اگر Fixec برای شما کار نکرد، میتوانید از FixEXE.reg استفاده کنید.

Download

۳- رفع هرگونه مشکل وصل شدن به اینترنت

بعضی از برنامه های مخرب تنظیمات اینترنت رو با روشن کردن تنظیمات پروکسی و ربودن DNS ویندوز ممکن باعث قطع شدن اینترنت شما بشه.

برای رفع این مشکل، روش زیر رو دنبال کنید:

MiniToolBox رو دانلود کنید

این افزارها رو چک کنید: Flush DNS, Reset IE P.Ro.Xy Settings, Reset FF P.r.o.x.Y Settings

بستن تمامی پنجره های باز مرورگر قبل از اینجام اینکار.

الان روی GO کلیک کنید.

گام ۱ – اسکن کردن روت کیت ها

اول از همچی و قبل از هر کاری شما نیاز دارید به اسکن جزعی روت کیت ها.

روت کیت چیست ؟

روت کیت ها بد افزار های هستند که خود رو از دید آنتی ویروس ها و ضّد تروژان ها پنهان میکنند.

TDSKiller یک برنامه ی مجانی هستش که طراحی شده برای پاکسازی و حذف روت کیت ها. این روت کیت ها توسط برنامه های دیگر دانلود میشن و تغییر مسیر پیدا می کنن و از اجرا شدن فایل های .EXE جلوگیری می کنن.

TDSKiller روت کیت های مثل ZeroAccess رو شناسایی و سپس حذف می کنه. کار کردن با TDSKiller خیلی راحت هستش و نیزی به نصب کردن ندارد.

DOWNLOAD : TDSKiller


یک توضیح کوتاه دربار ی استفاده از این برنامه :

برنامه رو باز کنید

روی Start scan کلیک کنید

اگر هر بد افزاری رو شناسی و پیدا کرد، روی Cure یا Delete کلیک کنید.

وقتی همه ی این مراحل رو انجام دادید و خنثا شد بد افزار ها، برنامه رو ببندید.

گام ۲ -اسکن کردن برای نرم افزرهای مخرب

بیشتر برنامه های حذف نرم افزارهای مخرب ، بد افزارها رو به طور کامل و ۱۰۰ % پاکسازی و حذف نمیکنن. بنا براین شما همیشه نیاز به استفاده از بیش از ۱ نرم افزار حذف بدافزرها دارید.

براتون چند تا از برنامه های مجانی حذف بدافزرها برای کمک به شما که زیاد ازشون استفاده می*شه رو معرفی می کنم.

مطمئن باشید که اسکنر شما به روز (آپدیت) هستش.

قطع کردن اتصال به اینترنت برای بلاک کردن فعالیت بدافزرها و جلوگیری از فرستادن اطلاعات.

بستن برنامه های که به آن نیاز ندارید یا برنامه*های که در Background در حال اجرا هستن در زمان اسکن.

همیشه کامپیوتر رو ریستارت کنید بعد از اسکن.

برنامه های مجانی که گفت بودم :

MalwareBytes AntiMalware
HitmanPro 32Bit
HitmanPro 64Bit

گام ۲ -اسکن کردن با استفاده از برنامه ی

اگر این نرم افزرا های که برای حذف بدافزار ها تا به اینجا به شما معرفی کردم به شما کمکی نکرد، شما نیاز به استفاده از آنتی ویروس دارید.

اگر این نرم افزارها برای شما کار آمد نبود تمامی آنها را پاک کنید.

توجه داشته باشید : مطمئن باشید که فایل های شناسی شده تروژان هستند، شما میتونید با استفاده از سایت های Virustotal و Jotti’s Virus Scan مطمئن باشید که فایل شما امن هستش.

اگر شما هیچگونه آنتی ویروسی ندارید ، یکی از آنتی ویروس های زیر رو دانلود کنید :

Avast
Microsoft Security Essentials

بعد از این روند ها

۱- فایل های موقت رو حذف کنید؛

فایل های موقت رو به صورت دستی یا با استفاده از نرم افزار CCleaner کاملا پاک کنید

۲- تغییر دادن و عوض کردن پسورد

بعضی از بدافزرها همچنان اطلاعات شخصی شما رو میدزدن مثل پسورد ها ، ایمیل ها و اطلاعات حساب های بانکی . تمامی پسورد های مربوط به موارد گفت شده رو به صورت عوض کنید، خصوصا اگر شما وارد حساب بانکی خود شدید یا وجهی رو از طریقه اینترنت و از کامپیوتر خودتون به حساب شخص دیگری واریز کردید.

نتیجه و پایان

کامپیوتر شما الان باید به دور از هرگونه خطری باشد. و کامپیوتر شما الان بطور کامل پاکسازی و امن شده است