توصیه های امنیتی

[Shahryar]

این هم بعد نیست بدونید که دور بمونید از این کرم ها و ویروس ها تا در محیط سالم تری عزیزان کار کنند :
۱- كرم اینترنتی W32.Lovgate.AN@mm
سیستم‌های آسیب‌پذیر: ویندوز 2000 ،95 ،Me ،NT ،XP

* شرح: این كرم اینترنتی از طریق پست الكترونیك گسترش می‌یابد و از طریق ایجاد یك اشتراك ((Share در جاوا Java)) سیستم، عمل می‌كند.
* میزان اهمیـت این ویروس " متوسط" اعلام شده است.

* پیشگیری: پیكربندی سرور پست الكترونیك برای حذف الصاقاتی(Attachment) كه مشهور به سوء‌استفاده می‌باشند(exe, vbs, bat, bif) و غیر فعال كردن سرویس‌های اضافی سیستم مانند , FTP , Telnet .

# برای مشاهده جزئیات بیشتر به این سایت مراجعه کنید:
http://www.symantec.com/avcenter/venc/data/w32.lovgate.an@mm.html#technicaldetails
۲- كرم اینترنتی Mydoom
سیستم‌های آسیب‌پذیر: ویندوز 2000، 95، 98، Me، NT، 2003 سرور، XP

* شرح: این كرم اینترنتی از پروتكل SMTP استفاده كرده و از طریق پست الكترونیك گسترش می‌یابد. ویروس با پیدا كردن نشانه‌های الكترونیكی اولین قربانی، خود را به دیگر آدرس‌های پست الكترونیك همراه با فایل الصاقی با پسوندهای exe, com ,scr, pif, bat, cmd (و یا همین فایل‌ها بصورت فشرده شده و با پسوند zip ) می‌فرستد. همچنین ممكن است فایل با دو پسوند برای گمراه كردن كاربر فرستاده شده باشد.
* میزان اهمیـت این ویروس " متوسط" اعلام شده است.
* پیشگیری: پیكربندی سرور پست الكترونیك برای حذف الصاقاتی(Attachment) كه مشهور به سوء‌استفاده می‌باشند(exe, vbs, bat, bif) و بلوكه نمودن پورت 1034 TCP و استفاده از ضدویروس‌های معتبر.
برای مشاهده جزئیات بیشتر به این سایت مراجعه کنید:
http://www.symantec.com/avcenter/venc/data/w32.mydoom.m@mm.html

۳- آسیب‌پذیری در کاوشگر اینترنت مایکروسافت
سیستم‌های آسیب‌پذیر: کاوشگر اینترنت مایکروسافت نسخه 5.01 و 5.5 و6

* شرح: تعدادی آسیب‌پذیری در این کاوشگر گزارش شده است که به نفوذگر اجازه می‌دهد از محدودیت‌های امنیتی عبور نماید.
* میزان اهمیـت این آسیب‌پذیری " متوسط" اعلام شده است.
* راه‌حل: غیرفعال کردن Scripting.
* برای مشاهده جزئیات بیشتر به این سایت مراجعه کنید:
http://secunia.com/advisories/12048/
۴-آسیب‌پذیری در کاوشگر اینترنت موزیلا
سیستم‌های آسیب‌پذیر: موزیلا نسخه ( 1.0، 1.1، 1.2، 1.3، 1.4، 1.5، 1.6، 1.7، 1.7x)

* شرح: تعدادی آسیب‌پذیری در این کاوشگر گزارش شده است که به نفوذگر اجازه می‌دهد از طریق وب سایت‌های نفوذی رابط کاربری را مورد سوء استفاده قرار دهد.
* میزان اهمیـت این آسیب‌پذیری " متوسط" اعلام شده است.
* راه‌حل: از ورود به سایت‌ها و پیوندهای (Links) غیرمطمئن خودداری كنید.
* برای مشاهده جزئیات بیشتر به این سایت مراجعه کنید:
http://secunia.com/advisories/12188/
۵- آسیب‌پذیری در برنامه زمانبندی كار ویندوز
سیستم‌های آسیب‌پذیر: ویندوز 2000 سرور، سرور پیشرفته (Advanced Server)، سرور داده‌مركزی (Datacenter Server، XP)

* شرح: تعدادی آسیب‌پذیری در این کاوشگر گزارش شده است که به نفوذگر اجازه می‌دهد از محدودیت‌های امنیتی عبور نماید.
* میزان اهمیـت این آسیب‌پذیری "بالا" اعلام شده است.
* راه‌حل: به‌روز كردن سیستم و نصب وصله ترمیمی:
* وصله ترمیمی ویندوز 2000 سرور پیشرفته
* وصله ترمیمی ویندوز XP
* برای مشاهده جزئیات بیشتر به این سایت مراجعه کنید:
http://www.symantec.com/avcenter/security/Content/10708.html
باتشکر شهریار

[Shahryar]

یکی از قوی ترین و شایعرین ویروس/تروجان هایی که اخیرآ در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس "Exploit.JS.ADODB.Stream.e" است.

در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود. بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد.

هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمز های شخصی افراد می پردازد. در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسبترین گزینه برای از بین بردن آن است:

پیام و لینک هایی که این ویروس ارسال می کند چیست ؟!

در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود.

در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟!

1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.

2- گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد.

3- فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند. (برای اطمینان پوشه های windows و temp را بررسی کنید.)

4- ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما (Yahoo Messenger ID List) ارسال می کند.

چگونه ویروس را از کامپیوتر خود پاک کنیم ؟!

1- مرورگر اینترنت اکسپلورر را ببندید. از یاهو مسنجر خارج شوید. اتصال اینترنت را قطع کنید.

2- جهت فعال کردن Reg Edit دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enetr را کلیک کنید.

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

3- جهت فعال کردن Task Manager دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enetr را کلیک کنید.

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

4- اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم. دکمه های Start > Run را کلیک کنید و در کادر مربوطه عبارت Regedit را وارد کنید. و در نهایت کلید Enetr را کلیک کنید. میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند تغییر داده و بجای آنها سایت مورد نظر خود مثلاً گوگل (google.com) را وارد کنید.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

5- اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم. دکمه های Ctrl + Alt + Del را فشار دهید. در لیست برنامه های فعال تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید.

6- از طریق جستجو و یا وارد شدن به پوشه های Windows و temp فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید.

7- مجددآ به قسمت Start menu > Run > Regedit باز گردید. از طریق جستجو به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید.

8- کامپیوتر خود را ریست نمایید. امیدواریم دیگر خبری از این ویروس نباشد.
برای دانلود آنتی ویروس یاهو از اینجا دانلود کنید:
http://www.winbeta.net/temp/Y.V.Remover.zip
منبع : وین بتا . نت
باتشکر شهریار

[X Ray]

مرسي...

[Security]

كرم Delbot-O

Delbot-O یك كرم IRC با قابلیت درپشتی می باشد كه به مهاجم اجازه می دهد به سیستم دسترسی داشته باشد

● توضیحات :
Delbot-O یك كرم IRC با قابلیت درپشتی می باشد كه به مهاجم اجازه می دهد به سیستم دسترسی داشته باشد . این كرم می تواند نرم افزارهای جدیدی را دانلود ، نصب و سپس اجرا كند .
كرم Delbot-O با اولین اجرا خودش را در crsss.exe كپی می كند ،كه با اجرای crsss.exe مدخل زیر در

رجیستری ایجاد می شود :
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Win۳۲ Security Service
Systemcrsss.exe
Delbot-O از طریق شبكه های share شده با پسوردهای ضعیف و كامپیوترهایی با آسیب پذیری Symantec (SYM۰۶-۰۱۰) منتشر می شود .

▪ توصیه ها :
۱) به روز كردن آنتی ویروس
۲) روش پاك سازی دستی توسط آنتی ویروس سوفوس برای Windows NT مدل ۴.۵x و Windows NT/۲۰۰۰/XP/۲۰۰۳ مدل ۴.۱x و پایین تر :
برای حذف یك تروجان كارهای زیر را انجام دهید :
▪ همه ی برنامه های خود را ببندید .
▪ مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا كنید .
▪ تب Immediate; و سپس درایو مورد نظر را انتخاب كنید.
▪ به Options|Configuration رفته و تب Disinfection یا Action; را انتخاب كرده سپسInfected filesوبعد از آن Deleteرا انتخاب كنید و در آخرOK. را بزنید .
▪ برای اجرا كردن پویش،scan یا دكمهGO را بزنید .
▪ فایل های مورد نظر را پاك كنید ، سپس یك پویش دیگر را اجرا كنید تا مطمئن شوید پاك سازی صورت گرفته است.
▪ به Options|Configuration برگردید و تب ;Disinfection; یا Action; انتخاب كرده سپس Infected files وبعد از آن ;Delete; را انتخاب كنید و در آخرOK. را بزنید .
▪ كاپیوتر را Reboot كرده و پویش نهایی را اجرا كنید تا كاملا مطمئن شوید پاك ساری صورت گرفته است .

● روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_LOCAL_MACHINEرجیستری زیر مدخلهای:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Win۳۲ Security Service
Systemcrsss.exe

هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.

[Mahdi Hero]

مگه انجمنه اينترنت نداريم آخه اينا چه دخلی دارن به مباحثه شبکه؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

[M A H R A D]

مگه انجمنه اينترنت نداريم آخه اينا چه دخلی دارن به مباحثه شبکه؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

سلام مهدی جان

این تاپیک جزء تاپیکهای قدیمی و یحتمل قبل از بروزرسانی انجمنها و ایجاد انجمنهای جدید

انتقال داده شد به موضوعات عمومی اینترنت

سپاس