امنیت دنیای اینترنت و تکنولوژی
هر چیزى زکاتى دارد و زکات دانش این است که آن را به اهلش بیاموزى.
اولین گام در امنیت اطلاعات :
عبارت‌های «امنیت شبکه» و «امنیت اطلاعات» اغلب به جای یگدیگر مورد استفاده قرار می گیرند. امنیت شبکه به طور کلی برای فراهم کردن امکان حفاظت از مرزهای یک سازمان در برابر نفوذگران (مانند هکرها) به کار می رود. با این حال، امنیت اطلاعات به صراحت بر روی محافظت از منابع اطلاعاتی در برابر حمله ویروس‌ها یا اشتباهات ساده توسط افراد درون سازمان متمرکز شده است و برای این منظور از تکنیک‌های جلوگیری از از دست رفتن داده‌ها (DLP) بهره می برد. یکی از این تکنیک ها، تقسیم بندی شبکه‌های بزرگ توسط مرزهای داخلی است.

rss

درباره ما
إنَّ لِکُلِّ شَیءٍ زکاةً، وزکاةُ العِلمِ أن یُعَلِّمَهُ أهلَهُ . هر چیزى زکاتى دارد و زکات دانش این است که آن را به اهلش بیاموزى . امام صادق علیه‏السلام
آمار و امكانات
تعداد بازدیدها :
افراد آنلاین :
Creative Commons License
This work is licensed under a Creative Commons Attribution-ShareAlike 3.0 Unported License.
[html] [/html]





Powered by WebGozar


ویروس کانفیکر Confiker
ارسال شده توسط امین مقسومی در ساعت ۱٠:۱٩ ‎ق.ظ

این ویروس یا ورم که میشه گفت تمامی آنتی ویروس های مشهور رو غیرفعال می کنه رو به هیچ عنوان نمیشه از بین برد . در حقیقت آنتی ویروس های آپدیت شده هم این ویروس رو شناسایی می کنند ولی قادر به حذف آن نیستند.

البته کسانی که از ویندوز اکس پی استفاده می کنند زیاد مشکلی ندارند چون با تعویض ویندوز مشکلشون حل میشه .

راهکارهای این کار چیه ؟

اونایی که از ویندوز XP استفاده می کنند مطمئن باشند که ویندوزشون سرویس پک3 باشه .

یه سری پچ هایی از طرف مایکروسافت برای ویندوز اکس پی ارائه شده که می تونید از مسیر زیر راهکارهاشو ببینید.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

حتما ویندوزتون رو آپدیت کنید.(متاسفانه بسیاری از ویندوز های ما که آپدیت نمی شن.)

 

بیشترین مشکل متوجه مدیران شبکه هست .

مدیران شبکه که نمی تونند بر اساس مسائل امنیتی سرورشون رو به اینترنت متصل کنند موارد زیر را در نظر داشته باشند .

در حالت عادی آنتی ویروس شما از کار افتاده و قادر نیست این ویروس رو پاک کنه .
ابتدا از لینک های زیر این دو نرم افزار را داونلود و اجرا کنید .

http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip


بعد از اجرا کردن این دو نرم افزار آنتی ویروس خود رو فعال کنید و بزارید که سیستم رو چستجو و اسکن کنه . مشاهده می کنید که آنتی ویروس تمامی ویروس ها رو شناسایی و حذف می کنه .

------------------------------------------
اگر می تونید کامپیوتر و یا سرورتون رو به اینترنت متصل کنید که دیگه مشکلی ندارید . چون تولبار های زیادی می تونید داونلود کنید که به صورت آنلاین سیستمتون رو چک و اسکن کنه .

-----------------------------------------

در ضمن از دوستانی که زحمت کشیدند و نظر دادند صمیمانه تشکر می کنم. روحیه گرفتم . ممنون.

در ادامه مطلب مشخصات فنی این ویروس ذکر شده


طریقه انتشار

• Local network
• Mapped network drives

نامهای دیگر ان برای سایر انتی ویروسها

• Symantec: W32.Downadup.B
• Kaspersky: Net-Worm.Win32.Kido.fw
• F-Secure: Worm:W32/Downadup.gen!A
• Sophos: Mal/Conficker-A
• Panda: Trj/Downloader.MDW
• Grisoft: I-Worm/Generic.CJY
• Eset: a variant of Win32/Conficker.AE worm
• Bitdefender: Win32.Worm.Downadup.Gen

الوده کردن سیستمهای

• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

کارهائی که انجام میدهد

تغییر رجیستر
نفوذ به تمامی سافت ویرها
باز کردن راه برای کنترل از راه دور


خود را در فایلهای زیر کپی میکند


• %all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
• %ProgramFiles%\Internet Explorer\%random character string%.dll
• %ProgramFiles%\Movie Maker\%random character string%.dll
• %System%\%random character string%.dll
• %Temp%\%random character string%.dll
• %ALLUSERSPROFILE%\Application Data\%random character string%.dll


فایلهای زیر را میسازد


– %all shared folders%\autorun.inf This is a non malicious text file with the following content:
• %random comments%
shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
%random comments%


کلیدهای زیر را به رجیستر اضافه میکند

– HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
Parameters\
• ServiceDll" = "%paths and filenames of malware copies%"

– HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
• "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
"Type" = "4"
"Start" = "4"
"ErrorControl" = "4"

گلیدهای رجیستر زیر را تغییر میدهد


– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
Old value:
• "Start"=dword:00000003
New value:
• "Start"=dword:00000004

– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
New value:
• "Hidden"=dword:00000002
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000000
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000000
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000000

برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده میکند
ایجاد پسوردهای زیر


• 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
abc123; academia; access; account; Admin; admin; admin1; admin12;
admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
asdzxc; backup; boss123; business; campus; changeme; cluster;
codename; codeword; coffee; computer; controller; cookie; customer;
database; default; desktop; domain; example; exchange; explorer; file;
files; foo; foobar; foofoo; forever; freedom; ----; games; home;
home123; ihavenopass; Internet; internet; intranet; job; killer;
letitbe; letmein; login; Login; lotus; love123; manager; market;
money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
pass123; passwd; password; Password; password1; password12;
password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
root123; rootroot; sample; secret; secure; security; server; shadow;
share; sql; student; super; superuser; supervisor; system; temp;
temp123; temporary; temptemp; test; test123; testtest; unknown; web;
windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
zxcxz; zzz; zzzz; zzzzz

ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده نماس بر قرار کند.
از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل میکند
امکان دسترسی به دامین های زیر را غیر ممکن میسازد


• ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
k7computing; kaspersky; malware; mcafee; microsoft; nai.;
networkassociates; nod32; norman; norton; panda; pctools; prevx;
quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
wilderssecurity; windowsupdate

برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار میکند

کد:
http://www.getmyip.org

کد:
http://www.whatsmyipaddress.com

کد:
http://getmyip.co.uk

کد:
http://checkip.dyndns.org

و همینطور سایت های زیر

• baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
cnn.com; ebay.com; msn.com; myspace.com

برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر میدهد
در API زیر رخنه میکند


• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto

زبان پروگرام نویسی ان MS Visual C++ میباشد.
برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم ان بسیار کم شده است