Mask
سه شنبه 30 شهریور 1389, 17:46 عصر
چند روزی بود که وقتی فلشم رو به سیستمم وصل میکنم داخلش چنتا فایل با پسوند tmp و چنتا با پسوند lnk ساخته میشه.
مانند فایلهای زیر
copy of shortcut to.lnk
df4.tmp~
,...
و آنتی ویروس بنده که Avira هست به شکل زیر اعلام خطر میکنه.
RKIT/STUXNET_A_1
یه تحقیقی کردم و متوجه شدم که سیستم بیشتر دوستان آلودست.
به همین منظور روش پاکسازی رو خدمت دوستان میگم.
به نقل از :
http://www.vaya.ir/index.php?option=com_content&view=article&id=379&Itemid=49
- ایران هدف اصلی تروجان ها
اطلاعیه:
به تازگی یک تروجان از نوع Backdoor با نام Stuxnet مشاهده شده و در حال گسترش می باشد، این تروجان مولفه های خانواده rootkitها راداراست.
مطابق اطلاعات جمع آوري شده توسط سيمانتك، نزديك به 60% كل سيستمهايي كه به اين Worm آلوده شده اند در ايران قرار دارند. اندونزي و مالزي هم به شدت تحت تاثير ويروسي به نام Stuxnet قرار گرفته اند.
Stuxnet ماه گذشته در سيستم متعلق به يك ايراني كشف شد. اين ويروس در سيستم هاي مديريتي Simens SCADA (كنترل نظارتي و اكتساب داده ها)، كه در واحد هاي بزرگ صنعتي توليدي سودمند استفاده مي شوند، جستجو مي كند، و تلاش مي كند كه اطلاعات محرمانه صنعتي را بر روي اينترنت پخش كند.
این Rootkit از یک فایل (shortcut(.LNK)استفاده کرده و سیستم عامل را آلوده می کند. بد افزار مزبور هنگامی که موفق به اجرا شود یک Backdoor (worm.win32.stuxnet.a)s) به جا می گذارد و همراه با آن 2 درایور مخرب با قابلیت های rootkit به سرویس ها اضافه کرده که به عنوان سرویس های سیستم عمل می کنند. این درایورها با نام و گواهینامه دیجیتال شرکت Realtek در سیستم اعتبار می یابند.
اطلاعات بدست آمده حاکی از آن است که كامپيوترها در ايران به شدت هدف این ويروس كامپيوتري قرار گرفته اند كه تلاش مي كند اطلاعات را از سيستم هاي كنترل صنعتي به سرقت ببرد. مطابق اطلاعات جمع آوري شده توسط سيمانتك، نزديك به 60% كل سيستمهايي كه به اين Worm آلوده شده اند در ايران قرار دارند. اندونزي و مالزي هم به شدت تحت تاثير این ويروس قرار گرفته اند.
Stuxnet ماه گذشته در سيستم متعلق به يك ايراني كشف شد. اين ويروس در سيستم هاي مديريتي Simens SCADA (كنترل نظارتي و اكتساب داده ها)، كه در واحد هاي بزرگ صنعتي توليدي سودمند استفاده مي شوند، جستجو مي كند، و تلاش مي كند كه اطلاعات محرمانه صنعتي را بر روي اينترنت پخش كند.
این Trojan توسط آنتی ویروس های مختلف با نام های ذیل شناسایی می شود:
()W32.Temphid(Symantec)
()Rootkit.Win32.Stuxnet.a(Kaspersky )
()RTKT_STUXNET.A (TrendMicro)
()Win32/Stuxnet.A(Eset)
()Rootkit.Stuxnet.A (F-Secure )
()W32 /Stuxnet-B(Sophos)
()Rootkit.Stuxnet.A (Bitdefender
در صورت اجرای این متغیرها ممکن است تغییرات زیر در سیستم عامل ایجاد شوند:
- ایجاد یک کپی از خود در مسیرهای زیر و همچنین سرویس هایی در سیستم با نام های MRXCLS و MRXNET
%System%\drivers\mrxcls.sys
( Trojan:WinNT/Stuxnet.A )
%System%\drivers\mrxnet.sys
( Trojan:WinNT/Stuxnet.B )
- اضافه کردن مسیرهای زیر در رجیستری:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxCls\"ImagePath"="%System%\drivers\mrxcls.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxNet\"ImagePath"="%System%\drivers\mrxnet.sys"
- پنهان کردن فایل های از بین رفته توسط تغییر آنها:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
- ایجاد فایل های رمزشده زیر در مسیر C:\windows\inf
mdmcpq3.pnf , mdmeric3.pnf ,oem6c.pnf ,oem7a.pnf
- وادار کردن پروسس اینترنت اکسپلور برای گذشتن از فایروال
- متوقف کردن پروسس های زیر:
vp.exe,Mcshield.exe,avguard.exe,bdagent.exe,UmxCfg .exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,ekrn.exe, tmpproxy.exe
- ارتباط با هاست های زیر از راه دور:
www.windowsupdate.com (http://www.windowsupdate.com/)
www.msn.com (http://www.msn.com/)
www. mypremierfutbol .com
www. todaysfutbol .com
- گسترش خود از طریق کپی شدن در درایوهای قابل حمل تحت عنوان فایل های زیر :
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
اقدامات ذیل در برخورد با این Trojan موثر خواهند بود:
- پاک کردن فایل ها و رجیستری ها ساخته شده توسط Stuxnet rootkit که در بالا اشاره شد.
- نصب آنتی ویروس، بروز رسانی و سپس اسکن کامپیوتر وGateway شبکه
- دقت بیشتر در باز کردن پیوست ها و پذیرش انتقال فایل ها
- دقت بیشتر در کیلک بر روی لینک های صفحات وب
و جهت جلوگیری از ورود این Trojan از طریق باگ ویندوز باید پچ فایل زیر برروی سیستم عامل نصب گردد:
Microsoft Security Bulletin MS10-046 – Critica
Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)2)
http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx (http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx)
گردآوری: تیم پشتیبانی وایــا
و به نقل از :
http://www.tarfandestan.com/forum/thread74690.html
شرکت VirusBlokAda که در انتی ویروس تخصص دارد گفته است که محقیق امنیت انفورماتیک این شرکت یک ملویر و یک 0Day Windowsیافته اند که دومی امکان الوده کردن تمامی سیستمهای ویندوز که اخرین به روز رسانی ها را دارند را میدهد و ملویر کشف شده نوع جدیدی از Advanced Persistant Threat" - APT میباشد.
در ابتدای تحقیقات, 0Day Windows فقط در زمانی اجرا میشده که برای باز کردن فلش مموری از یکExplorator نظیر Windows Explorer یا Total Commander که از"Autorun" و یا "Autoplay" ویندوز استفاده میشود اجرا میشده است. در روی این فلش مموری الوده شورتکات یک فایل ویندوز با پسوند lnk بوده و به محض Explore کردن ان این شورتکات بطور خودکار اجرا میگردد و امکان اجرای کد مخرب را میدهد.
بعد از ازمایشات دیگری توسط ISCاینطور به نظر میرسد که 0Day Windows" - LNK" میتواند از هر نقطه نظیر هارد و فایلها و فایلهای شیکه و یا فایلهای WebDav اجرا گردد.
مایکروسفت در این باره اطلاعیه 2286198 (http://www.microsoft.com/technet/security/advisory/2286198.mspx)را صادر کرده است. ودر حال بررسی ان میباشد.
0Day با مجوز و یا حقوق هر یوزری که استفاده میشود اجرا شده و اگر از یوزر ادمین استفاده شود تمامی امکانات ان یوزر و یا ادمین را برای اجرا یکار میبرد و با همان مجوزها اجرا میگردد.
برای بوزرهای عادی کمتر امکان اجرای عملیات مخرب 0Day وجود دارد.
توصیه میشود که از یوزرهائی که تمامی امکانات را دارند نظیر ادمین استفاده نشده و"Autorun" و "Autoplay" ویندوز و اپشن ایکن روی شورتکاتهای ویندوز غیر فعال شوند.
ملویر کشف شده تلاش میکند که دو فایل mrxnet.sys و mrxcls.sys را که امضای دیجیتال "Realtek Semiconductor Corp" را دارند و در دنیای انفورماتیک شناخته شده هستند را نصب کند.
با توجه به اینکه این دو درایور امضای شرکتی معروف و شناخته شده توسط مایکروسفت را دارد, نصب انها بدون هیچ اخطاری انجام میگیرد.
این مسئله که دو درایور که در این ملویر میباشند که تولید الودگی میکند و امضای Realtek را دارد نشان دهنده اینست که احتمالا کلید خصوصی امنیتی RealTek هک شده و برای امضای نرم افزارهای مخرب دیگری نیز استفاده خواهد شد.
همچنین امکان دارد که سازندگان این ملویر Certificate به نامRealTek یرای امضای دیجیتالی نرم افزارهای خود خریده یاشند.
فرانک بولدوین, یکی دیگر از محققین در امنیت انفورماتیک که امکان انالیز عمقیتر این ملویر را یافته, متوجه شده است که این ملویر بخصوص WinCCScada systemرا هدف قرار میدهد که سیستمی است که در صنعت اتمی, انرژی و غیره و همچنین ارگانیزم های دولتی استفاده میشود.
در نتیجه این ملویر که برای جاسوسی ساخته شده است ایا میتواند یک "Advanced Persistant Threat" (APT) باشد ?
در هر حال Siemens نیز اخطاری یرای مشتریان خود که از سیستم Scada استفاده میکنند ارسال کرده است و این نشان میدهد که این حمله واقعا هدفمند یوده و احتمالا پایدار و یا سمج خواهد یود .
اطلاعات بیشتر به تاریخ امروز یعنی سه شنبه 20 جولای در پست شماره 5
منیع : zataz.com
مانند فایلهای زیر
copy of shortcut to.lnk
df4.tmp~
,...
و آنتی ویروس بنده که Avira هست به شکل زیر اعلام خطر میکنه.
RKIT/STUXNET_A_1
یه تحقیقی کردم و متوجه شدم که سیستم بیشتر دوستان آلودست.
به همین منظور روش پاکسازی رو خدمت دوستان میگم.
به نقل از :
http://www.vaya.ir/index.php?option=com_content&view=article&id=379&Itemid=49
- ایران هدف اصلی تروجان ها
اطلاعیه:
به تازگی یک تروجان از نوع Backdoor با نام Stuxnet مشاهده شده و در حال گسترش می باشد، این تروجان مولفه های خانواده rootkitها راداراست.
مطابق اطلاعات جمع آوري شده توسط سيمانتك، نزديك به 60% كل سيستمهايي كه به اين Worm آلوده شده اند در ايران قرار دارند. اندونزي و مالزي هم به شدت تحت تاثير ويروسي به نام Stuxnet قرار گرفته اند.
Stuxnet ماه گذشته در سيستم متعلق به يك ايراني كشف شد. اين ويروس در سيستم هاي مديريتي Simens SCADA (كنترل نظارتي و اكتساب داده ها)، كه در واحد هاي بزرگ صنعتي توليدي سودمند استفاده مي شوند، جستجو مي كند، و تلاش مي كند كه اطلاعات محرمانه صنعتي را بر روي اينترنت پخش كند.
این Rootkit از یک فایل (shortcut(.LNK)استفاده کرده و سیستم عامل را آلوده می کند. بد افزار مزبور هنگامی که موفق به اجرا شود یک Backdoor (worm.win32.stuxnet.a)s) به جا می گذارد و همراه با آن 2 درایور مخرب با قابلیت های rootkit به سرویس ها اضافه کرده که به عنوان سرویس های سیستم عمل می کنند. این درایورها با نام و گواهینامه دیجیتال شرکت Realtek در سیستم اعتبار می یابند.
اطلاعات بدست آمده حاکی از آن است که كامپيوترها در ايران به شدت هدف این ويروس كامپيوتري قرار گرفته اند كه تلاش مي كند اطلاعات را از سيستم هاي كنترل صنعتي به سرقت ببرد. مطابق اطلاعات جمع آوري شده توسط سيمانتك، نزديك به 60% كل سيستمهايي كه به اين Worm آلوده شده اند در ايران قرار دارند. اندونزي و مالزي هم به شدت تحت تاثير این ويروس قرار گرفته اند.
Stuxnet ماه گذشته در سيستم متعلق به يك ايراني كشف شد. اين ويروس در سيستم هاي مديريتي Simens SCADA (كنترل نظارتي و اكتساب داده ها)، كه در واحد هاي بزرگ صنعتي توليدي سودمند استفاده مي شوند، جستجو مي كند، و تلاش مي كند كه اطلاعات محرمانه صنعتي را بر روي اينترنت پخش كند.
این Trojan توسط آنتی ویروس های مختلف با نام های ذیل شناسایی می شود:
()W32.Temphid(Symantec)
()Rootkit.Win32.Stuxnet.a(Kaspersky )
()RTKT_STUXNET.A (TrendMicro)
()Win32/Stuxnet.A(Eset)
()Rootkit.Stuxnet.A (F-Secure )
()W32 /Stuxnet-B(Sophos)
()Rootkit.Stuxnet.A (Bitdefender
در صورت اجرای این متغیرها ممکن است تغییرات زیر در سیستم عامل ایجاد شوند:
- ایجاد یک کپی از خود در مسیرهای زیر و همچنین سرویس هایی در سیستم با نام های MRXCLS و MRXNET
%System%\drivers\mrxcls.sys
( Trojan:WinNT/Stuxnet.A )
%System%\drivers\mrxnet.sys
( Trojan:WinNT/Stuxnet.B )
- اضافه کردن مسیرهای زیر در رجیستری:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxCls\"ImagePath"="%System%\drivers\mrxcls.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MRxNet\"ImagePath"="%System%\drivers\mrxnet.sys"
- پنهان کردن فایل های از بین رفته توسط تغییر آنها:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
- ایجاد فایل های رمزشده زیر در مسیر C:\windows\inf
mdmcpq3.pnf , mdmeric3.pnf ,oem6c.pnf ,oem7a.pnf
- وادار کردن پروسس اینترنت اکسپلور برای گذشتن از فایروال
- متوقف کردن پروسس های زیر:
vp.exe,Mcshield.exe,avguard.exe,bdagent.exe,UmxCfg .exe,fsdfwd.exe,rtvscan.exe,ccSvcHst.exe,ekrn.exe, tmpproxy.exe
- ارتباط با هاست های زیر از راه دور:
www.windowsupdate.com (http://www.windowsupdate.com/)
www.msn.com (http://www.msn.com/)
www. mypremierfutbol .com
www. todaysfutbol .com
- گسترش خود از طریق کپی شدن در درایوهای قابل حمل تحت عنوان فایل های زیر :
%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
اقدامات ذیل در برخورد با این Trojan موثر خواهند بود:
- پاک کردن فایل ها و رجیستری ها ساخته شده توسط Stuxnet rootkit که در بالا اشاره شد.
- نصب آنتی ویروس، بروز رسانی و سپس اسکن کامپیوتر وGateway شبکه
- دقت بیشتر در باز کردن پیوست ها و پذیرش انتقال فایل ها
- دقت بیشتر در کیلک بر روی لینک های صفحات وب
و جهت جلوگیری از ورود این Trojan از طریق باگ ویندوز باید پچ فایل زیر برروی سیستم عامل نصب گردد:
Microsoft Security Bulletin MS10-046 – Critica
Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)2)
http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx (http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx)
گردآوری: تیم پشتیبانی وایــا
و به نقل از :
http://www.tarfandestan.com/forum/thread74690.html
شرکت VirusBlokAda که در انتی ویروس تخصص دارد گفته است که محقیق امنیت انفورماتیک این شرکت یک ملویر و یک 0Day Windowsیافته اند که دومی امکان الوده کردن تمامی سیستمهای ویندوز که اخرین به روز رسانی ها را دارند را میدهد و ملویر کشف شده نوع جدیدی از Advanced Persistant Threat" - APT میباشد.
در ابتدای تحقیقات, 0Day Windows فقط در زمانی اجرا میشده که برای باز کردن فلش مموری از یکExplorator نظیر Windows Explorer یا Total Commander که از"Autorun" و یا "Autoplay" ویندوز استفاده میشود اجرا میشده است. در روی این فلش مموری الوده شورتکات یک فایل ویندوز با پسوند lnk بوده و به محض Explore کردن ان این شورتکات بطور خودکار اجرا میگردد و امکان اجرای کد مخرب را میدهد.
بعد از ازمایشات دیگری توسط ISCاینطور به نظر میرسد که 0Day Windows" - LNK" میتواند از هر نقطه نظیر هارد و فایلها و فایلهای شیکه و یا فایلهای WebDav اجرا گردد.
مایکروسفت در این باره اطلاعیه 2286198 (http://www.microsoft.com/technet/security/advisory/2286198.mspx)را صادر کرده است. ودر حال بررسی ان میباشد.
0Day با مجوز و یا حقوق هر یوزری که استفاده میشود اجرا شده و اگر از یوزر ادمین استفاده شود تمامی امکانات ان یوزر و یا ادمین را برای اجرا یکار میبرد و با همان مجوزها اجرا میگردد.
برای بوزرهای عادی کمتر امکان اجرای عملیات مخرب 0Day وجود دارد.
توصیه میشود که از یوزرهائی که تمامی امکانات را دارند نظیر ادمین استفاده نشده و"Autorun" و "Autoplay" ویندوز و اپشن ایکن روی شورتکاتهای ویندوز غیر فعال شوند.
ملویر کشف شده تلاش میکند که دو فایل mrxnet.sys و mrxcls.sys را که امضای دیجیتال "Realtek Semiconductor Corp" را دارند و در دنیای انفورماتیک شناخته شده هستند را نصب کند.
با توجه به اینکه این دو درایور امضای شرکتی معروف و شناخته شده توسط مایکروسفت را دارد, نصب انها بدون هیچ اخطاری انجام میگیرد.
این مسئله که دو درایور که در این ملویر میباشند که تولید الودگی میکند و امضای Realtek را دارد نشان دهنده اینست که احتمالا کلید خصوصی امنیتی RealTek هک شده و برای امضای نرم افزارهای مخرب دیگری نیز استفاده خواهد شد.
همچنین امکان دارد که سازندگان این ملویر Certificate به نامRealTek یرای امضای دیجیتالی نرم افزارهای خود خریده یاشند.
فرانک بولدوین, یکی دیگر از محققین در امنیت انفورماتیک که امکان انالیز عمقیتر این ملویر را یافته, متوجه شده است که این ملویر بخصوص WinCCScada systemرا هدف قرار میدهد که سیستمی است که در صنعت اتمی, انرژی و غیره و همچنین ارگانیزم های دولتی استفاده میشود.
در نتیجه این ملویر که برای جاسوسی ساخته شده است ایا میتواند یک "Advanced Persistant Threat" (APT) باشد ?
در هر حال Siemens نیز اخطاری یرای مشتریان خود که از سیستم Scada استفاده میکنند ارسال کرده است و این نشان میدهد که این حمله واقعا هدفمند یوده و احتمالا پایدار و یا سمج خواهد یود .
اطلاعات بیشتر به تاریخ امروز یعنی سه شنبه 20 جولای در پست شماره 5
منیع : zataz.com