نمایش نتایج: از شماره 1 تا 2 , از مجموع 2

موضوع: ورم جديد به تلفنهاي همراه نوكيا حمله كرد

  1. #1
    کاربرسایت ارسطو آواتار ها
    تاریخ عضویت
    ۸۶-۰۸-۲۳
    نوشته ها
    991
    سپاس ها
    0
    سپاس شده 3 در 3 پست

    ورم جديد به تلفنهاي همراه نوكيا حمله كرد

    سيستم عامل تلفن همراه سيمبيان هدف حمله ورم جديدي قرار گرفته كه از طريقپيام كوتاه و دسترسي به اينترنت منتشر شده و تلفنهاي قرباني را از كارمياندازد.

    به گزارش ايسنا، شركت امنيتي فورتينت به كاربران تلفنهاي همراه نوكيا هشدار داد نسبت به اين تهديد هشيار باشند.

    ورمSymbOS/Yxes.A به تلفنهايي كه با نسخه سوم S60 سيستم عامل سيمبيان عملميكنند حمله ميكند؛ اين برنامه در مدلهاي 3250 نوكيا و ان 73 نوكيامورد استفاده قرار گرفته و ممكن است در دستگاههاي مختلف ديگري نيز بهكارگرفته شده باشد.

    بر اساس اين گزارش، هيچ اطلاعاتي در مورد وسعت اينحمله منتشر نشده است و جزييات حمله مذكور براي نخستين بار در اجتماعاتاينترنتي در آسيا مطرح شد.

    به گفته محققان فورتينت، اين حملهدرصورتي موفقيتآميز است كه Yxes كاربران را براي كليك برروي لينكي كه درپيام كوتاه ارسال شده، فريب دهد.

    بهمحض آلوده شدن تلفن، ورم سعيميكند به افراد ديگري كه شماره آنها در تلفن قرباني وجود دارد پيامكوتاه ارسال كند. اين حمله تنها در تلفنهايي كه به اينترنت دسترسي دارنداجرا ميشود.

    اين ورم مخرب بوده و تلفن قرباني را از طريق برخيروندها مانند وظيفه يا مديريت برنامه، از كار مياندازد. همچنين اطلاعاتدر مورد تلفن قرباني جمعآوري كرده و آنها را به سروري ارسال ميكند كهدر آن خلافكاران اينترنتي ميتوانند اطلاعات را مشاهده كنند.

    براساس اين گزارش در حال حاضر هدف عاملان انتشار اين نرمافزار مخرب ازجمعآوري اطلاعات مشخص نيست اما طبق ورم Yxes در تلاش براي تماس بادامنههاي به ثبت رسيده در چين است. از آنجا كه بهنظر ميرسد ورم Yxesبسيار پيشرفتهتر از ورمهاي قبلي باشد، محققان امنيتي علاقه بيشتري بهاين ورم نشان دادهاند.

    ورم كبير در سال 2004 از طريق ضميمهفايلهاي به اشتراك گذاشته شده از طريق بلوتوث و كارتهاي حافظه حمله كردهو منتشر ميشد. ورم Commwarrior در سال 2005 نخستين ورمي بود كه از طريقپيام مولتي مدياي MMS منتشر شد اما همچنان از طريق ضميمه فايل منتشر ميشد.
    براساس اين گزارش ورم Yxes در مقايسه با اين ورمها، از طريق پيام كوتاهبسيار سريعتر منتشر شده و ميتواند با دانلود كپي جديد از خود از يك سروروب مخرب، تكثير شود.

    منبع : بازياب

  2. #2
    کاربرسایت ارسطو آواتار ها
    تاریخ عضویت
    ۸۶-۰۸-۲۳
    نوشته ها
    991
    سپاس ها
    0
    سپاس شده 3 در 3 پست

    Re: ورم جديد به تلفنهاي همراه نوكيا حمله كرد

    تشريح كامل و نحوه پاكسازي Conficker Worm
    ===========================
    تاریخ پیدایش : ژانویه 2009

    طریقه انتشار :

    Local network
    Mapped network drives
    نامهای دیگر ان برای سایر انتی ویروس ها:

    Symantec: W32.Downadup.B
    Kaspersky: Net-Worm.Win32.Kido.fw
    F-Secure: Worm:W32/Downadup.gen!A
    Sophos: Mal/Conficker-A
    Panda: Trj/Downloader.MDW
    Grisoft: I-Worm/Generic.CJY
    Eset: a variant of Win32/Conficker.AE worm
    Bitdefender: Win32.Worm.Downadup.Gen
    آلوده کردن سیستمهای :

    Windows 95
    Windows 98
    Windows 98 SE
    Windows NT
    Windows ME
    Windows 2000
    Windows XP
    Windows 2003
    کارهائی که انجام میدهد : تغییر رجیستر - نفوذ به تمامی سافت ویرها - باز کردن راه برای کنترل از راه دور


    خود را در فایلهای زیر کپی می کند :

    %all shared folders% \RECYCLER\S-%number%\%random character string%.vmx
    %ProgramFiles%\Internet Explorer\%random character string%.dll
    %ProgramFiles%\Movie Maker\%random character string%.dll
    %System%\%random character string%.dll
    %Temp%\%random character string%.dll
    %ALLUSERSPROFILE%\Application Data\%random character string%.dll

    فایلهای زیر را ايجاد مي كند :

    %all shared folders%\autorun.inf This is a non malicious text file with the following content:
    %random comments%
    shellexecute rundll32.exe %paths and filenames of malware copies%,%random character string%
    %random comments%

    کلیدهای زیر را به رجیستري ويندوز اضافه می کند :

    HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
    Parameters\
    ServiceDll" = "%paths and filenames of malware copies%"
    HKLM\SYSTEM\CurrentControlSet\Services\%random words%\
    "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
    "Type" = "4"
    "Start" = "4"
    "ErrorControl" = "4"
    گلیدهای رجیستر زیر را تغییر می دهد :


    – [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
    Old value:
    "Start"=dword:00000003
    New value:
    "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
    Old value:
    "Start"=dword:00000003
    New value:
    "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
    Old value:
    "Start"=dword:00000003
    New value:
    "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
    Old value:
    "Start"=dword:00000003
    New value:
    "Start"=dword:00000004

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
    New value:
    "Hidden"=dword:00000002
    "ShowCompColor"=dword:00000001
    "HideFileExt"=dword:00000000
    "DontPrettyPath"=dword:00000000
    "ShowInfoTip"=dword:00000001
    "HideIcons"=dword:00000000
    "MapNetDrvBtn"=dword:00000000
    "WebView"=dword:00000000
    "Filter"=dword:00000000
    "SuperHidden"=dword:00000000
    "SeparateProcess"=dword:00000000
    برای اطمینان از انتشار خود به سایر کامپیوترها به انها نفوذ میکند و برای اینکار از Login های زیر استفاده می کند :

    ایجاد پسوردهای زیر :

    000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
    111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
    123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
    123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
    22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
    4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
    555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
    66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
    87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
    9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
    abc123; academia; access; account; Admin; admin; admin1; admin12;
    admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
    asdzxc; backup; boss123; business; campus; changeme; cluster;
    codename; codeword; coffee; computer; controller; cookie; customer;
    database; default; desktop; domain; example; exchange; explorer; file;
    files; foo; foobar; foofoo; forever; freedom; ----; games; home;
    home123; ihavenopass; Internet; internet; intranet; job; killer;
    letitbe; letmein; login; Login; lotus; love123; manager; market;
    money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
    nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
    pass123; passwd; password; Password; password1; password12;
    password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
    qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
    root123; rootroot; sample; secret; secure; security; server; shadow;
    share; sql; student; super; superuser; supervisor; system; temp;
    temp123; temporary; temptemp; test; test123; testtest; unknown; web;
    windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
    zxcxz; zzz; zzzz; zzzzz
    ساختن IP هائی که فقط فقط سه octets انها متعلق به خودش میباشند و سپس تلاش میکند تا با ادرسهای ایجاد شده تماس بر قرار کند.
    از طریق کامپیوتری که انرا الوده کرده و به عنوان پایگاه استفاده میکند فایلی را که معمولا در RECYCLER\S-%number%\%random character string%.vmx قرار دارد را به سایر کامپیوترها به صورت دانلود اتوماتیک ان منتقل می کند

    امکان دسترسی به دامین های زیر را غیر ممکن می سازد :

    ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
    centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
    defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
    f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
    k7computing; kaspersky; malware; mcafee; microsoft; nai.;
    networkassociates; nod32; norman; norton; panda; pctools; prevx;
    quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
    spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
    wilderssecurity; windowsupdate
    برای اینکه از کانکشن عود به اینترنت مطمئن شود با DNS های زیر ارتباط بر قرار می کند :

    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]
    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]
    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]
    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]
    و همینطور سایت های زیر :

    baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
    cnn.com; ebay.com; msn.com; myspace.com
    برای بیشتر کردن تعداد کانکشنهایش به اینترنت فایل tcpip.sys را تغییر می دهد

    در API زیر رخنه می کند :

    DNS_Query_A
    DNS_Query_UTF8
    DNS_Query_W
    Query_Main
    sendto
    زبان پروگرام نویسی آن ++ MS Visual C می باشد.

    برای غیر قابل تشخیص بودن با runtime packer فشرده شده و حجم آن بسیار کم شده است

    برای از بین بردن آن یکی از برنامه های زیر را دانلود کرده و طبق توصیه ها عمل شود.

    ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip
    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]
    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]

    برای از بین بردن آن بدون استفاده از برنامه ای و بطور دستی به لینک زیر و قسمت How to Remove Conficker Worm Manually مراجعه شود


    [برای مشاهده لینک ها شما باید عضو سایت باشید برای عضویت در سایت بر روی اینجا کلیک بکنید]


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. كاهش 40 درصدي درآمدهاي نوكيا
    توسط HRG در انجمن Nokia
    پاسخ ها: 0
    آخرين نوشته: جمعه ۰۸ مرداد ۸۹, ۱۲:۳۹
  2. كاهش قيمت گوشيهاي نوكيا
    توسط HAMIDREZA در انجمن Nokia
    پاسخ ها: 0
    آخرين نوشته: چهارشنبه ۱۳ شهریور ۸۷, ۲۳:۵۳
  3. نوكيا گوشي ورزشي وارد بازار ميشود
    توسط Unknown در انجمن Nokia
    پاسخ ها: 0
    آخرين نوشته: دوشنبه ۲۲ مرداد ۸۶, ۱۵:۴۱
  4. موبايلهاي چند رسانهاي نوكيا N80
    توسط Unknown در انجمن Nokia
    پاسخ ها: 0
    آخرين نوشته: یکشنبه ۲۱ مرداد ۸۶, ۲۰:۰۹
  5. نوكيا N92
    توسط Unknown در انجمن Nokia
    پاسخ ها: 0
    آخرين نوشته: یکشنبه ۲۱ مرداد ۸۶, ۲۰:۰۳

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •