سلام
در این تاپیک در مورد طرق مختلف حقه هائی که برای دزدیدن پسوورد ایمیل شما استفاده میشود و همچنین و راههای مبارزه با این روشها بحث خواهد شد.
یکی از انواع هک که علاقمندان بسیاری دارد هک نمودن آیدی پسوورد ایمیل اشخاص است که به طرق مختلفی انجام میشود. برای مبارزه با این روشها ابتدا باید آنها را بشناسیم.مثلا" برای هک کردن آیدی ایمیل یاهو از طرقی بشرح زیر استفاده میشود:

مهندسی اجتماعی، صفحات html ، ارسال تروجان و ویروس های خاص و روش هائی مانند بروت فورس ....
در این تاپیک به بحث در مورد این روشها و راههای مقابله با آنها میپردازیم

1- مهندسی اجتماعی
در این روش هکر با ساختن یک آیدی نظیر :
YahooSupport@yahoo.com
YahooVerifyPass@yahoo.com
YahooPersonels@yahoo.com
VerifyId@yahoo.com
.,,,,,..........
سعی میکند خودرا یکی از کارمندان شرکت یاهو معرفی نماید شما هم با دیدن آیدی شخص مشکوک میشوید که شاید راست بگوید. در این حالت از طرقی بشرح زیر برای بدست آوردن پسووردتان استفاده میکند:

*میگوید که شرکت یاهو در صدد حذف نمودن ایمیل آدرسهای اضافی و فراموش شده است و چون مدتی از صندوق پستی شما استفاده نشده است شرکت یاهو قصد دارد آن را دیلیت نماید. بنابراین اگر صندوق پستی شما فعال است و میل ندارید که آیدیتان حذف شود فورا" به این ایمیل پاسخ داده و آیدی و پسوورد خود را در پاسخ بفرستید. تا شرکت یاهو متوجه شود ایمیل آدرس شما فعال است و از حذف بی دلیل آن خودداری نماید...

* خود را یک روبات یا بوت شرکت یاهو معرفی میکند و چنین وانمود میکند که بدلیل sign in با پسوورد اشتباه با آیدی شما ، در چند روزه اخیر که سبب ایجاد ارور در سرور یاهو شده روبات شرکت میخواهدصحت آیدی پسوورد شما را از طریق Verify نمودن آن با Database موجود در سرور یاهو چک نماید بنابراین لازم است شما در پاسخ به این نامه آیدی و پسوورد خود را در آن نوشته و SUBJECT ریپلای خود را Verify انتخاب نمایید در غیر اینصورت در ظرف 48 ساعت آیدی شما بعنوان آیدی مشکل دار از سرور یاهو حذف خواهد شد.

و سایر طرق دیگری که شما را متقاعد نمایند آیدی پسووردتان را بدست خود به هکر پست کنید.

راه حل: شرکت یاهو هیچگاه برای مشترکان خود نامه ای از طرف پرسنل ارسال نمیکند اگر هم ارسال کند هیچگاه نیازی به دانستن یوزر پسوورد شما ندارد چون در سرور خودش موجود است. بنابراین اگر از طرف هرکسی به هر بهانه ای پسوورد آیدی شما درخواست شد بسادگی به آن جوابی ندهید و همیشه بیاد داشته باشید که چنین ایمیل هائی همیشه تقلبی هستند.

2- تحریک شما برای هک نمودن آیدی پسوورد دیگران

شما در یک گروپ هک یاهو یا یک انجمن یا سایتی مانند ست ست عضو هستید. ناگهان با مطلبی بعنوان راهنمای هک کردن آیدی یاهو برخورد میکنید.در این مطلب نوشته شده است :
که اگر مایل به دانستن پسوورد یاهوی دیگران هستید این کار بسادگی از طریق گول زدن روباتی که مسئول فرستادن پسوورد فراموش شده یا ریکاور نمودن پسووردهاست امکان پذیر است. زیرا همانطور که میدانید در صورتیکه پسوورد خود را فراموش نمایید در یاهو گزینه ای برای برگرداندن آن وجود دارد که از شما سوالات پرسیده شده در هنگام ثبت نام و Hint مربوط به پسوورد را سوال نموده و در صورتی که جواب شما درست باشد پسوورد فراموش شده را به شما خواهد گفت. شما با کد زیر میتوانید این روبات را گول زده و با وانمود کردن خود بجای شخصی که پسووردش را گم کرده پسوورد را از این بوت دریافت نمایید. این هم طریقه عملیات:
نامه ای به آدرس Forgotten_password_Bot_@yahoo.com بنویسید. (این ایمیل مستقیما" به روبات مزبور ارسال خواهد شد) .
در subject نامه User ID شخصی که میخواهید هک کنید را بنویسید.
در داخل نامه رشته کدهای زیر را قرار دهید:

diehderhd34d4i3fhehe3df
d3dfjojd3j3oj3dj3oddd3d
234j42jrjrrj434j43joo34r
oj345jk6jy65ioujyu6u6i65
4jj5oj54o6i5hi54jhi56jo6o
907vf99vv9fdvf9v7f9v9vdf
ljkregfre8er7rr0g09gr0gr
97fe97f8wefrerff999reufr
ff9ffr9f9f9╁╁╁joooooeop
XXXXXXXXXXXXXXXXXX
d3dfjojd3j3oj3dj3oddd3d
234j42jrjrrj434j43joo34r
oj345jk6jy65ioujyu6u6i65
4jj5oj54o6i5hi54jhi56jo6o
907vf99vv9fdvf9v7f9v9vdf

در ردیف دهم رشته کدها بجای XXXXXXXXXXXXXXXXXX پسوورد فعلی خودتان را قرار دهید .
این رشته کدها سبب خواهد شد که روبات یاهو جواب سوالات خود را True در نظر گرفته و برایتان پسوورد شخصی را که آیدی اش را در سابجکت نامه نوشته اید طی ایمیل ظرف حداکثر 48 ساعت برایتان ارسال نماید.
توضیح : آیدی Forgotten_password_Bot_@yahoo.com که برایش این رشته کدها را که حاوی پسوورد خودتان است را میفرستید در واقع مربوط به هکریست که با سو استفاده از طمع شما (برای دانستن پسوورد یاهوی دیگران) گولتان زده و از اینطریق شما بدست خودتان پسووردتان را برای هکر ارسال میکنید.
راه حل: چنین روبوتی وجود ندارد که به نامه شخصی شما در یاهو پاسخ دهد و هیچ کدی هم وجود ندارد که بخواهد برایتان پسوورد ایمیل دیگران را بفرستد.ضمنا" پسوورد شما چه ربطی به پسوورد آن یوزر دارد؟ بنابراین همانند راه حل اول همیشه درنظر داشته باشید که: اگر از طرف هرکسی به هر بهانه ای پسوورد آیدی شما درخواست شد بسادگی به آن جوابی ندهید و همیشه بیاد داشته باشید که چنین ایمیل هائی همیشه تقلبی هستند.

3- ارسال ایمیل HTML و وادار نمودنتان به لاگین در آن

در این روش شما با هکری سروکار دارید که قادر به تولید و نوشتن صفحات HTML است و برای شما نامه ای میفرستد که حاوی صفحه ورود به ایمیل آدرس و میل باکس شماست . از طرق مختلف شما را وادار میکند که در آن صفحه یوزر و پسوورد خود را وارد نمایید . ایمیل آدرسی که نامه را برایتان میفرستد نظیر مورد یک (مهندسی اجتماعی) بوده و چنین وانمود میشود که از طرکت یاهو این ایمیل برایتان ارسال شده است . شما هم که در برابر خود صفحه ای درست مانند صفحه سایت یاهو با آرمهای آن را دارید بدون هیچ شکی یوزر و پسووردتان را در آن صفحه وارد نموده و تکمه ورود را فشار میدهید. با فشار این تکمه آیدی و پسووردی که در باکس مربوطه وارد کرده اید مستقیما" برای جناب هکر ایمیل میشود.متاسفم شما هک شده اید!!!
در این روش حقه های زیادی برای وادارنمودنتان به لاگین از طریق صفحه هک مربوطه وجود دارد که به ذکر چند نمونه آن میپردازم:
*اعلام میکند که ورژن جدید یاهو مسنجر 8 بتا (با امکانات باورنکردنی و امکان ارسال SMS بصورت ناشناس در آن )تولید شده و از طرف شرکت یاهو شما انتخاب شده اید تا این ورژن جدید را آزمایش نموده و Feedback خود را به شرکت یاهو ارسال فرمایید. بنابراین برای ورود به صفحه دانلود مسنجر یوزر آیدی و پسوورد یاهوی خود را وارد نموده و با فشار تکمه اینتر به قسمت دانلود بروید .....یا میتواند بجای مسنجر ، تولبار یاهو ....یا برنامه جدید تماس تلفنی پی سی فون یا ....را پیشنهاد دهد.

*اعلام میکند که از طرف آیدی شما تعداد زیادی Spam به سایر کاربران یاهو ارسال شده است و تعداد بسیاری از کاربران از شما شکایت دارند بنابر این با ورود در صفحه اختصاصی پاسخ مستقیم که برای شما ایجاد شده است اعلام کنید که این عمل توسط شما انجام نشده است والا آیدی یاهوی شما ظرف 48 ساعت آینده مسدود خواهد شد.

*اعلام میکند که شرکت یاهو به منظور توسعه امکانات خود اقدام به ایجاد یک نظر سنجی نموده است و از شما درخواست میکند که با ورود به صفحه نظر سنجی (از طریق وارد نمودن یوزر و پسوردتان) به سوالاتی که در آن صفحه وجود دارد پاسخ دهید.

*اعلام میکند که شرکت یاهو تصمیم گرفته است بطور آزمایشی برای تعدادی از کاربران خود سیستم ایمیل POP3 و همچنین دایورت را فعال نماید . بنابراین اگر مایلید که بطور رایگان از این سرویسها استفاده کنید با ورود به صفحه تنظیمات یاهو از طرف فرمی که برایتان ارسال شده دایورت و پاپ تری را در تنظیمات ایمیل خود فعال نمایید.

*اعلام میکند که از طریق قرعه کشی تصادفی بین میلیونها دارنده آیدی یاهو شما بعنوان برنده جایزه لاتاری یاهو انتخاب شده اید . برای دریافت جایزه خود از سریق فرم زیر به فرم آدرس وارد شده و آدرسی که مایلید جایزه شما به آن نشانی پست شود را اعلام فرمایید.

*از طرف شرکت میکروسافت ایمیلی دریافت میکنید که در آن نوشته شده است با هماهنگی شرکت یاهو و میکروسافت بطور تصادفی از بین کاربران فعال یاهو شما انتخاب شده اید که نسخه بتای سرویس پک 4 میکروسافت را روی کامپیوتر خود نصب نمایید. نظر به اینکه برای استفاده از این سرویس پک وینوز شما باید رجیستر شود لازم است از طریق ورود در فرم مربوطه ویندوز خود را رجیستر نمایید و سپس به صفحه autoupdate windows در صفحه میکروسافت مراجعه کنید تا سرویس پک مربوطه بصورت رایگان در ویندوز شما نصب شود و....

و .....و.....و...و سایر روشهائی که تنها هدف آنها وارد نمودن آیدی پسوورد توسط شما در فرم مربوطه و در نتیجه ارسال ان به هکر مربوطه است.

راه حل: بهیچوجه در فرمهایی که از طریف ایمیل برای شما ارسال شده اند آیدی و پسوورد خود را وارد نفرمایید. چون حتی اگر حرفهای زده شما به شما حقیقت هم داشته باشد شما باید قادر باشید از طریق لاگین معمولی در صفحه اصلی یاهو در قسمت مربوطه وارد شوید و نیازی به وارد نمودن یوزر پسوورد در سایر فرمهای ارسالی توسط ایمیل نیست.

4- ارسال SMS از طریق یاهو مسنجر

در این روش هکر صفحه ای در یک هاست (مجانی یا پولی) میسازد که در آن باکسی برای عضویت وجود دارد .ایمیلی برای شما ارسال میشود یا از طریق پیامی توسط یاهو مسنجر یا مطلبی در یک سایت متوجه میشوید که سایت مزبور بطور مجانی ارسال و دریافت SMS از طریق یاهو را فراهم مینماید. لینک سایت مزبور همان صفحه ای است که هکر مربوطه ساخته است . در آن صفحه شما ابتدا رجیستر میکنید و برای شما یک شماره خاص ایمیل میشود که شماره یاهو مسنجر شما خواهد بود. شرکت مزبور ادعا میکند که با ثبت نام در این سایت شما قادر خواهید بود با اد نمودن فلان آیدی به یاهو مسنحر خود و ارسال پیامی با فرمت xxxx yyyyyyyyyyy به آن آیدی (که در آن xxxx شماره موبایل دریافت کننده SMS و yyyyyy پیام شما میباشد) تا اینجای قضیه درست است و مشکلی هم نیست چون شما میبینید که با تست هم جواب میدهد و مثلا" با ادکردن آیدی LGEIRAN در یاهو مسنجر و رعایت کردن فرمت ارسالی اس ام اس شما بدست طرف میرسد و مطمئن میشوید که جریان صحت دارد (در همین سایت ست ست تاپیکش هست و کار هم میکند) طرف دیگر قضیه آن است که در آن سایت ادعا میشود که اگر ثبت نام کنید دریافت ایمیل از طریق یاهو مسنجر نیز برایتان ممکن خواهد شد. یعنی به شما یک شماره مجازی اختصاص داده خواهد شد که هرکس توسط موبایل معمولی به این شماره مجازی SMS بفرستد مستقیما" به یاهو مسنجر شما ارسال خواهد شد و شما میتوانید پیام اس ام اس ارسال شده را همراه با شماره موبایل ارسال کننده آن در یاهو مسنجرتان داشته باشید. برای اینکار نیاز به ثبت نام در این سایت (مربوط به هکر) دارید تا برایتان شماره مجازی ارسال گردد. در سایت جناب هکر علاوه بر سایر اطلاعاتی که از شما تقاضا میگردد. آیدی ایمیل یاهو شما و پسوورد آن نیز درخواست میشود تا شرکت قادر باشد sms های ارسالی به شماره مجازی را برایتان توسط یاهو مسنجر ارسال نماید (منطقی بنظر میرسد) ....بنابر این شما هم با پر کردن فرم مربوطه عملا" آیدی یاهو و پسووردتان را در اختیار جناب هکر قرار میدهید.

راه حل: مشخصا" حتی برای ارسال پیام به مسنجر شما هم هیچکس نیازی به دانستن پسوورد شما ندارد و قاعدتا" دانستن آیدی شما برای این کار کافیست .بنابراین از ارسال پسوورد خود به دیگران به هر بهانه ای خودداری کنید.

5- ثبت نام و ورود به ORKUT بدون **********

در این مورد که عملا" هم مشاهده نمودم برای پسوورد Gmail کاربران نقشه کشیده بودند. بدین معنی که با استفاده از صفحه ای ادعا شده بود که با توجه به ********** شدن سایت اورکات در ایران ، این شرکت امکان استفاده از اورکات را بدون ********** در اختیار کاربران قرار میدهد. ضمنا" ادعا شده بود که برای کسانی که Gmail دارند ولی در اورکات عضو نیستند نیز توسط این شرکت دعوتنامه ارسال خواهد شد. با ورود به سایت این شرکت با فشار روی تکمه اورکات بدون ********** ملاحظه میکنید که بدون مشکلی صفحه اورکات ظاهر میشود (با استفاده از یک **********شکن معمولی این کار را انجام داده است) بنابراین به سایر گفته های این سایت نیز اطمینان میکنید. آنجائی که نوشته شده است بشرط داشتن Gmail این شرکت برایتان دعوتنامه اورکات میفرستد برای Verify نمودن اینکه آیا شما جی میل دارید آدرس جی میل شما درخواست شده است. ضمنا" برای وریفای نمودن اینکه آن آدرس جی میل متعلق به شخص شما باشد و همینطور الکی جی میل کس دیگری را ننوشته باشید پسوورد جی میلتان جهت وریفای نمودن صحت آن ، در باکس دیگری درخواست شده است....
این سایت حدود 6 ماه پیش برای مدت کوتاهی (حدود یکهفته) در اینترنت بود و از این طریق Gmail افراد زیادی توسط این شرکت قلابی هک گردید....

راه حل: حتی بفرض صحت ادعای شرکت (یا فرد مربوطه) راههای بسیار منطقی تری برای Verify نمودن و اثبات اینکه جی میل اعلام شده مال شماست ، وجود دارد. از آنجمله دادن یک پین کد به شما هنگام ثبت نام و ارسال ایمیل به Gmail اعلام شده توسط شما و درخواست تایید اینکه واقعا" متعلق به شماست یا خیر..... و یا حتی ارسال پین کد اعلام شده موقع ثبت نام از طریق جی میل اعلام نموده شده توسط شما که راه بسیار آسانتر و منطقی تری برای صحت اظهارات شماست ....تا دادن یوزر و پسوورد آن به شخص یا شرکتی که نمیشناسید.
بنابراین از ارسال پسوورد خود توسط ایمیل به هرکس یا شرکت و همچنین وارد نمودن پسوورد ایمیل خود در هر فرم یا سایتی بجز سایت مربوط به سرور سرویس دهنده ایمیل خود خودداری کنید.

روش ششم : روش Brute Force

در این روش هکر با استفاده از یک برنامه اجرائی application که به یک دیتابیس بنام فایل دیکشنری لینک میشود با دادن Username شما به برنامه به آن دستور میدهد که تمامی پسووردهای ممکن برای این یوزر آیدی را با سرعت بالا روی سرور ایمیل مربوطه چک نموده ودر صوذت مچ بودن یا تطابق یک پسوورد با یوزر آیدی مربوطه متوقت شده و پسوورد را گزارش کند. اینگونه برنامه ها به برنامه های Brute Force معروف هستند که خود شامل چند نوع مختلف هستند. با توجه به محدودیت کلمات و کاراکترهای موجود در فایل دیکشنری این روش همیشه کارا نبوده و فقط در 10درصد موارد ممکن است جواب بدهد. مضاف براینکه تمهیدات مختلف سرورها از قبیل تست تصویری کلمات (برای وریفای نمودن و تشخیص انسان از روبوت و یا برنامه بروت فورس) سبب شده است که اینگونه برنامه ها کم کم منسوخ شوند.
البته جنگ بین هکرها و گروههای امنیتی سرور همیشه برقرار است و در این راه هردو گروه به موفقیتهای چشمگیری دست یافته اند. بعنوان مثال هکرها برای رفع محدودیت کلمات و کاراکترها در فایل های دیکشنری از یک دیکشنری قابل توسعه نامحدود که برطیق فرمول خاصی کاراکترها را در حالت های مختلف میچیند بجای فایل دیکشنری ثابت استفاده میکنند و یا سرورها برای جلوگیری از کار اینگونه برنامه ها از تطابق تصویری حروف و کلمات بصورت تصاویرGif و وریفای نمودن آن با کاراکترهای تایپ شده توسط کاربر برای تشهیص تفاوت بین برنامه و روبات با انسان استفاده میکنند و در عوض هکرها نیز از برنامه های بروت فورس هوشیار با امکان تشخیص حروف از تصاویر و وارد نمودن ماشینی آنها استفاده میکنند. سرورها نیز برای رفع این مشکل تصاویر ارائه شده را با کاراکترهائی بصورت کج و معوج و محو ارائه میکنند تا بهیچ صورت توسط روبات قابل تشخیص نباشد و گاه در اینکار تا حدی پیش میروند که چشمان خود انسان نیز قادر به تشخیص حروف تغییر شکل داده شده نخواهد بود. برای رفع این مشکل سرورها از روش دیگری استفاده نموده اند که نمونه اش در سایت ست ست نیز قابل مشاهده است. در این روش بعد از چند بار وارد نمودن پسوورد اشتباه و چند بار آزمایش تطابق تصویری و کاراکترها درصورتیکه بازهم پسوورد اشتباه داده شود آی پی آدرس شخص به مدت زمان مشخصی ban میشود (در سایت ما این زمان روی 15 دقیقه ست شده است) که البته هکرها نیز بیکار ننشسته اند و در برنامه های بروت فورس خود میتوانند از application های دارای خاصیت IP CHANGER استفاده نموده و سرور را گول بزنند. بهرصورت جنگ بین واحدهای امنیتی سرور و هکر ها پایانی ندارد و همیشه برای هر روشی ضد آن وجود دارد که برعلیه یکدیگر استفاده مینمایند. اما در این مورد خاص استفاده از روش بروت فورس به نظر من سرورها از هکرها جلو افتاده اند و کم کم استفاده از این روش منسوخ میشود.
راه حل: باید توجه داشت که برای انتخاب پسوورد حتما" از ترکیبی از اعداد، حروف ، کاراکترها و همچنین سایر کاراکترهای اسکی , و استفاده از حروف مرکب بزرگ و کوچک استفاده شود (چون برای آیتم پسوورد بیشتر سرورها Case Sensetive هستند و بین حروف بزرگ و کوچک بخاطر اینکه کد اسکی آنها متفاوت است فرق قائل میشوند) تا امکان یافتن اتفاقی آن از روش بروت فورس و همچین روشهای سعی و خطا کاهش یابد. تعداد حروف در پسوورد اهمیت بسزائی دارد. بطوریکه زمان مصرف شده برای یافتن یک پسوورد با 5 کاراکتر نسبت به یافتن یک پسوورد با 6 کاراکتر تفاوت بسیار زیادی دارد که اگر از شیوه های حساب احتمالات استفاده شود مشخص خواهد شد که زمان تلف شده بصورت تصاعدی و لگاریتمی با اصافه شدن هر کاراکتر به پسوورد افزایش خواهد یافت.
مثلا" مقایسه پسووردی مانند : Srtmalon2005 با پسوردی مانند rx☻m♂5├l☺b♀ با در نظر گرفتن توانائیهای برنامه های بروت فورس نشان میدهد که اگر یافتن پسوورد اول زمانی حدود یک دقیقه (بعنوان مثال) برای این برنامه طول بکشد برای یافتن پسوورد دوم زمانی حدود 500 دقیقه آنهم با سرعتی در حد سرعت پروسسورها مورد نیاز است.این مثال نشان میدهد که تعداد کاراکترها و تنوع نوع آنهاو استفاده مختلط از حروف کوچک و بزرگ تا چه حد در هک شدن یا ایمنی پسوورد شما حائز اهمیت است.

روش هفتم: استفاده از تروجانها

در این روش هکر با ارسال یک فایل آلوده به تروجان به فربانی نه تنها پسوورد ایمیل ، بلکه تمامی پسووردهای دیال آپ ، کوکیهای موجود در کامپیوتر و پسووردهای سایتها ، پسوورد مسنجرهای مختلف از قبیل یاهومسنجر ، ICQ,MSN mesenge,Google talk,......., و بطور کلی کنترل کامپیوتر قربانی را در اختیار میگیرد.
این روش بسیار مرسوم بوده و از بیرحمانه ترین ، معروف ترین ، موثرترین و بهترین روشها برای هک نمودن پسووردها و سایر اطلاعات خصوصی اشخاص بشمار میرود.
اصطلاح تروجان از اسب معروف تروا گرفته شده است..
بهتر است در ابتدا در مورد جریان اسب تروا توضیحاتی را داشته باشیم:


http://pnu-club.com/imported/mising.jpg


تروجانها معمولا" تک منظوره هستند و فقط برای آلوده نمودن یک قربانی خاص مورد استفاده قرار میگیرند. بعنوان مثال در تروجائی مانند SubSeven ، پک مربوطه شامل سه فایل Server, Client , Editserver است که در آن برنامه کنترل کننده ای که توسط هکر استفاده میشود Client و بنام Sub7.exe و برنامه Edit server نیز بعنوان سازنده سروریست که با وارد نمودن مشخصات خاصی که به آن اشاره خواهم نمود در فایل سرور Server.exe آن را تبدیل به یک سرور خاص با پارامترهای تعریف شده نموده و آنگاه با چسباندن این فایل به انواع فایلهای تکست یا تصویر یا ویدئو یا صوتی یا......از آن یک تروجان هورس میسازد . همان اسب چوبینی که بر خلاف ظاهر آن حامل سربازان هکر میباشد و به محض ورود در کامپیوتر قربانی اینس ربازان بعنوان جاسوسانی مخفی در کامپیوتر رها شده و کنترل تمامی قسمتهای آن را به اختیار هکر در دست میگیرند.در واقع هک نمودن پسوورد ایمیل قربانی تنها یکی از صدها نوع عملیست که توسط تروجانها قابل انجام است.


ادامه دارد...

ادامه بحث تروجانها:


http://pnu-club.com/imported/mising.jpg


همانطور که گفتم در مورد تروجانی مانند ساب سون هکر قادر است با استفاده از فایل ادیت سرور ، مشخصاتی از خود از قبیل ایمیل آدرس ، شماره ICQ و یا آیدی یاهومسنجر و....را در فایل سرور وارد نماید .سپس از تلفیق این فایل و یک فایل عادی عکس یا تکست یا ویدئو یا آهنگ یا...یک تروجان ساخته و سپس آن را با انواع حقه ها ( و با کمک گرفتن از ترفندهای مهندسی اجتماعی) به قربانی ارسال میکند. (توسط ایمیل یا توسط سندنمودن هنگام چت یاهو ) مثلا" مدعی میشود که میخواهد عکسش را برای شما بفرستد . الباته عکسش را هم میفرستد اما عکسی که آلوده به تروجان است و جالب اینجاست که تروجانهائی وجود دارند که پس از عمل نمودن خود را نابود نموده و ردیابی هکر از این طریق غیرممکن میگردد.مثلا" شما عکسی از هکر دریافت میکنید و به محض2 باز نمودن آن تروجان عمل نموده و در جائی که باید مینشیند. ضمنا" خود را از عکس مربوطه جدا نموده و فایل ارسالی به شما پس از عمل نمودن تروجان تبدیل به یک عکسساده یمشود بطوریکه اگر زمانی هم متوجه شوید که Infect شده اید با بررسی فایلهای خود متوجه نخواهید شد که توسز آن عکس خاص آلوده شده اید.
همانطور که گفتم هکر مشخصاتی از خود را در فایل سرور وارد میکند. این عمل بدینمنظور انجام میشود که تروجان مربوطه به محض اتصال شما به اینترنت عمل نموده و آدرس IP شما را از طریق ایمیل ، یاهو مسنجر و یا ICQ برای هکر ارسال مینماید. در واقع به منزله اعلام آنلاین شدن شما به هکر عمل میکند و به محض اینکه شما آنلاین میشوید هکر مربوطه متوجه شده و توسط برنامه کنترلی کلاینت اختیار کامپیوتر شما را در دست میگیرد.
پیام ارسالی از طرف تروجان به هکر معمولا" به این شکل است :
VICTIM XXX :IP address:194.153.23.18- Port 80
این پیام به ایمیل یا یاهو مسنجر یا ICQ هکر فورا" ارسال میشود.
که در آن XXX نامیست که در فایل سرور برای آن قربانی خاص تعریف شده و آی پی آدرس و پورت هم مشخصاتی هستند که توسط آنها ارتباط بین سرور و کلاینت توسط هکر برقرار میشود.
دامنه کار تروجانها بسیار وسیع است مثلا" در برنامه کنترلی ساب سون یک رنج جستجوی آی پی نیز وجود دارد که شما میتوانید یک رنج خاص IP مانند زیر را به آن داده و برنامه با تک تک آن آی پا ها ارتباط برقرار نموده و درصورت وجود فایل سرور در کامپیوتر متصل به آن آی پی آدرس شما را مطلع کند.
مثلا" رنج 192.156.71.1 الی آدرس 192.156.72.255 روی پورت 2160 شامل 510 آی پی آدرس متفاوت است که بسرعت توسط برنامه چک میشود و در صورت الوده بودن هریک از آنها بلافاصله به شما اطلاع داده در صورت تمایل میتوانید وارد کامپیوتر شخص مذکور بشوید.
البته یکی از مواردی که در هنگام ساختن تروجان میتواند توسط هکر مورد استفاده قرار گیرد انتخاب قربانی شخصی از طریق اعمال پسوورد برای فایل سرور است. بدینصورت که روی فاتیل تروجان یک پسوورد خاص میگذارد. در اینصوررت سایر هکرها اگر چه با سرچ رنج آی پی متوجه آلوده بودن قربانی مورد نظر خواهند شد اما چون فایل تروجان پسوورددار است فقط خود هکر اصلی که آن را ایجاد نموده قادر به ورود به کامپیوتر قربانی خواهد بود و سایر هکر ها در پشت پورت بدون پسوورد اجازه عبوذ نخواهند داشت.
حال بفرض مثال اعمالی که توسط یک تروجان مانند ساب سون میتواند اجرا شود را مورد بررسی قرار میدهیم:

ادامه دارد....

حال بفرض مثال اعمالی که توسط یک تروجان مانند SUBSEVEN میتواند اجرا شود را مورد بررسی قرار میدهیم:

* بررسی تمامی پارتیشنهای موجود در کامپیوتر قربانی
*دانلود فایل از کامپیوتر قربانی یا آپلود فایل به کامپیوتر قربانی اش
*سیو نمودن تمامی پسووردهای سیو شده در کانکشن های دیال آپ کامپیوتر قربانی (شامل نام یوزر و پسوورد و شماره تلفن و نام ارتباط )
* سیو نمودن پسوردهای ذخیره شده در رجیستری ویندوز مانند پسوورد انواع مسنجرها از قبیل Yahoo Messenge, MSN, ICQ
*سیو نمودن پسوورد تمامی سایتها که در Cooky ها ذخیره شده اند مانند پسوورد سایت SatSat و سایت Croteam و........
*Key Logger: بصورتی که قربانی روی هر کلیدی که فشار دهد در صفحه ای رویروی هکر آن کلید تایپ میشود . از این طریق هکر در جریان تمامی پیامها و صحبتهای نوشته شده توسط قربانی در مسیج ها یا چت ها خواهد بود.
*Redirect Port: از بیرحمانه ترین روشهاست که در این روش از کامپیوتر قربانی سو استفاده میشود. مثلا" از طریق کامپیوتر قربانی و ارتباط کانکشن قربانی به اینترنت ایمیلی به هرکجا که بخواهد میزند یا به هرسایتی که بخواهد سرکشی میکند . در این صورت در تمامی این حالات اطلاعات استخراج شده توسط سرور سایتها و همچنین سورس ایمیلها نشاندهنده آی آپی آدرس فرد قربانی خواهد بود و هر عملی که هکر انجام دهد بپای قربانی نوشته خواهد شد. چون از طریق کامپیوتر و ارتباط اینترنت قزبانی استفاده شده است.
*Capture گرفتن از صفحه مونیتور قربانی که توسط فشار یک تکمه در قسمت کنترلی برنامه هکر قادر به دیدن تصویر مونیتور قربانی و تهیه عکس از آن خواهد بود. میتوان زمان برای ریفرش عکس معین نمود و بدینصورت هر چند ثانیه یکبار عکسی از صفحه نمایش قربانی برای هکر ارسال خواهد شد.
*در اختیار گرفتن کنترل کیبرد ، موس قربانی : این عمل معمولا" برای اذیت کردن و ترساندن قربانی انجام میشود .در این حالت هکر قادر است بجای قربانی حروفی را تایپ کند ، اپلیکیشنی را اجرا نماید یا با حرکات موس هر عملی که میخواهد در کامپیوتر قربانی انجام دهد.
* باز و بسته نمودن سی دی رام : که این عمل هم به منظور ترساندن قربانی و شوخی انجام میشود . با فشار یک تکمه Cdram بیرون آماده eject میشود و با فشار مجدد همان تکمه دوباره بسته میشود.
*در اختیار گرفتن کنترل وب کم و میکروفون : در این حالت بدون اطلاع قربانی دوربین Webcam کامپیوتر روشن شده علاوه بر ارسال تصویر روبروی دوربین از طریق میکروفون صداهای اطراف کامپیوتر قربانی نیز توسط میکروفون به هکر ارسال میشود.
*در اختیار گرفتن مونیتور : در این حالت هکر قادر است با فشار یک تکمه مونیتور و صفحه نمایش قربانی را از 0 تا 360 درجه بچرخاند. مثلا" ناگهان آن را 180 درجه بچرخاند و قربانی در اسکرین خود صحنه را سرو ته خواهد دید و.....
* دیسکانکت نمودن کامپیوتر قربانی از اینترنت توسط یک تکمه
* shut down نمودن یا Restart و یا لاگ آف نمودن کامپیوتر قربانی توسط فشار یک تکمه در برنامه کنترلی کلاینت.
........
و.......ده ها عمل دیگر که بحث در مورد آنها در این مقال نمیگنجد.
به نمونه دیگری از تروجان در مثال بعدی توجه بفرمایید:

ادامه دارد...

قبل از بررسی راه حل مبارزه با تروجانها اجازه بدهید اطلاعات بیشتری در این مورد داشته باشیم. پس از بررسی برنامه خطرناک SUB7 اکنون به به برنامه معروف Let Me Rule میپردازیم:
این قسمت از مطلب (مطلب برنامه Let Me Rule نوشته بنده نیست چون برخلاف تروجان قبلی یعنی ساب سون خودم با آن کار نکرده ام و این راهنمای طرز کار برنامه را از مطالب آقای پدرام حیاتی (دانشجوی رشته فناوری اطلاعات) در این پست میگذارم:




http://pnu-club.com/imported/mising.jpg


گام دوم بدست آوردن آدرس آی پی رایانه ایست که برنامه Server.exe روی آن اجرا شده است .اگر به آن رایانه دسترسی دارید وارد Command Prompt آن شده و در ویندوز اکس پی دستور IPCONFIG را وارد کنید (در ویندوزهای قدیمی تر مانند 98 میتوانید از دستور WinIpCfg استفاده کنید)


http://pnu-club.com/imported/2009/06/183.gif


نمای ظاهری برنامه :


http://pnu-club.com/imported/2009/06/184.gif
http://pnu-club.com/imported/2009/06/185.gif
http://pnu-club.com/imported/2009/06/186.gif
http://pnu-club.com/imported/2009/06/187.gif
http://pnu-club.com/imported/2009/06/188.gif
http://pnu-club.com/imported/2009/06/189.gif



همانطور که ملاحظه فرمودید هک از طریق تروجانها در واقع هک نیست بلکه استفاده هوشمندانه از برنامه هائیست که توسط هکرها نوشته شده و در اینترنت نیز فراوان است.
یک هکر واقعی سعی میکند راه های نفوذ از طریق کدهای سورس ویندوز را بدست آورده و بداخل کامپیوتر قربانی نفوذ نماید.
والا استفاده از تروجانها کار هر بچه ای میتواند باشد که کافیست با کمی سرچ در اینترنت این برنامه ها را تهیه نموده و با کمی تلاش راه کار با آنها را یاد گرفته و به خیال خودش دیگران را هک نماید.
برای نمونه بارها در همین سایت شاهد آن بودیم که آن زمان که همه کاربران حق آپلود فایل داشتند اشخاصی با ارسال فایلهای ویروسی و حاوی تروجان قصد هک نمودن سایر کاربران سایت را داشتند.
حتی هم اکنون که کاربران حق آپلود ندارند نیز شاهد بودیم که کاربری با قرار دادن یک فایل آلوده به تروجان در یک هسات مجانی و معرفی لینک آن در سایت قصد آلوده نمودن کاربران را داشت که خوشبختانه با تذکر بموقع مدیران و ناظمان لینک مزبور حذف شد و به کاربر مربوطه نیز تذکر داده شد.
در پست بعدی به نحوه مبارزه با این نوع تروجانها میپردازم

ادامه دارد...

طریق مقابله با تروجانها
در مورد تروجانها چند نکته حائز اهمیت است:
1- اگرچه اکثر تروجانها توسط نرم افزارهای ضد هک و ضد ویروس شناسائی میشوند اما تروجانهای دست ساز کوچکی وجود دارند که بدلیل محدودیت استفاده و معروف نبودن در اینترنت توسط این نرم افزارها قابل شناسائی نیستند. بعنوان نمونه تروجانهائی که توسط ایرانیها نوشته میشود علیرغم سادگی و بی بخاری توسط نرم افزارهای ضد ویروس قابل شناسائی نیستند و بهمین علت اگر یک شخص ناوارد به اصول هک و طریق مبارزه با آن به چنین تروجانهائی برخورد نماید میتوانند بیشترین صدمه را به شخص وارد نمایند.

2- بعضی از تروجانها در سایت ها (اکثرا" درسایتهای ******ی) بصورت اسکریپت وجود دارند و شما با ورود به این سایتها ناخود آگاه آلوده خواهید شد.

3- بعضی از تروجانها خصوصا" آنهائی که توسط ایمیل ارسال میشوند آنقدر خطر ناک هستند که حتی دریافت آنها (بدون باز کردنشان ) سبب آلوده شدن کامپیوتر شما خواهد شد. بهمین دلیل تنها هنگامی از ایمیل های Pop3 و برنامه Outlook experess استفاده کنید که از لحاظ نرم افزارهای ضد ویروس و تروجان کامپیوترتان مجهز باشد. در غیر اینصورت صرف استفاده از برنامه اوت لوک اکسپرس کافیست که شما با دریافت یک ایمیل آلوده به ویروس (اگر چه اصلا" بازش نکرده آن را دیلیت نمایید) کامپیوترتان Infect شده و به تمامی افرادی که در address Book برنامه اوت لوک شما قرار دارند بدون اطلاعتان یک نسخه از ویروس ارسال شود.

4- اشکال مهم بعضی از این ویروسهای منتشر شونده توسط ایمیل آن است که با سو استفاده از کانکشن اینترنت شما به تمامی افرادی که در آدرس بوکتان قرار دارند یک نسخه از خودش را با یک فایل اتفاقی از کامپیوترتان اتچ نموده و ارسال مینماید. صرف نظر از خطر آلودگی ویروسی و ...باید این خطر را نیز در نظر داشت که ممکن است فایل تکست مربوطه که توسط ویروس بطور اتفاقی انتخاب و افراد دیگر فرستاده میشود شامل اطلاعاتی محرمانه و یا فایل تکستی خصوصی باشد که شما مایل نباشید دیگران از محتویات آن مطلع شوند.
در این حالت مثلا" لیست شماره تلفن و ادرس دوستانتان که دریک فایل تکستت مرتب نموده اید یا مثلا" Resume خودتان که به یک شرکت کاریابی ارسال نموده بودید ودر یک فایل متنی شامل تمامی اطلاعات شما از قبیل اسم و ادرس و شماره تلفن و شماره شناسنامه و حتی عکستان ....بطور اتفاقی توسط ویروس انتخاب شده و بعد از متصل نمودن ویروس به آن برای دیگران ارسال خواهد شد. این مورد را برای ان بیان نمودم که از حجم خطری که فایلهای ویروسی میتوانند برای شما تولید نمایند با خبر باشید.

برای محافظت خود در برابر ویروسها و تروجانها و برنامه های جاسوسی :

راه حل اینکار بسیار ساده است. فقط کافیست موارد زیر را رعایت فرمایید:

الف) نصب یک آنتی ویروس آپدیت و بروز مانند مک آفی یا نورتن یا پاندا و...

ب) استفاده از برنامه های ضد تروجان (که چند نمونه اش را در بخش نرم افزار معرفی نموده ام)

ج) عدم اطمینان با ایمیلهای دارای پیوست . مهم نیست که فرستنده ایمیل چه کسی باشد چون با روشهای ارسال Facked Mail میتوان از هر ایمیل آدرسی و از طرف هرشخصی ایمیل فرستاد . بنابراین هیچگاه به ایمیلهایی که دارای اتچمنت هستند اعتماد نکنید. اگر فرستنده ناشناس باشد که مطمئن باشید صد درصد حاوی تروجان است چون هیچکس ارتباط اینترنتش را مفت و مجانی برای اتچ نمودن یک فایل و ارسال آن به افراد ناشناس تلف نمیکند. حتی اگر دیدید که Matrix هم برایتان ایمیل حاوی اتچمنت فرستاده (بدون آنکه خودتان از او درخواست کرده باشید) بهیچوجه نامه را باز نکنید و بدون اینکه حتی متن آن را بخوانید ایمیل را حذف کنید. چون همانطور که گفتم ممکن است هکری با سو استفاده از ایمیل آدرس ماتریکس برایتان تروجان بفرستد. بنابراین نامه های دارای پیوستتان حتی الامکان با هماهنگی قبلی با فرستنده یا گیرنده باشد .
د) صرف استفاده از داشتن برنامه ضد ویروس و تروجان نباید سبب شود که فکر کنید در باز نمودن اتچمنها آزادید که هرطور خواستیدذ عمل کنید چون همانطور که اشاره شد بعضی از تروجانهای بسیار ساده هم ممکن است توسطز این برنامه ها قابل شناسائی نباشند.بنابراین باز هم تکرار میکنم که نامه های دارای پیوستتان حتی الامکان با هماهنگی قبلی با فرستنده یا گیرنده باشد .

ه) تازمانیکه از آپدیت بودن برنامه های ضد ویروس و تروجان خود مطمئن نیستید از استفاده از برنامه های ایمیل پاپ 3 و برنامه هائی نظیر Outlook express بپرهیزید چون همانطور که در مورد 3 ذکر شدبعضی از تروجانها خصوصا" آنهائی که توسط ایمیل ارسال میشوند آنقدر خطر ناک هستند که حتی دریافت آنها (بدون باز کردنشان ) سبب آلوده شدن کامپیوتر شما خواهد شد.

و) هرچند وقت یکبار با دستور MSCONFIG از منوی RUN قسمت StartUp کامپیوترتان را واقع در صفحه System Configuration utility چک کنید . بسیاری از برنامه های ضد ویروس با نشستن در Start Up کامپیوتر هربار که شما کامپیوتر را روشن میکنید شروع بکار نموده و اطلاعات شما را برای هکر ارسال میکنند. بنابراین هنگامی که از سلامت کامپیوترتان مطمئن هستید عکس یا لیستی از صفحه استارت آپ کامپیوترتان توسط دستور Msconfig تهیه نموده هرچند وقت یکبار این لیست را با وضعیت فعلی استارت آپ کامپیوترتان مطابقت دهید و درصورتی که دید آیتمی مشکوک یا ناآشنا به آن موارد اضافه شده مطلع باشید که ویروسی شده اید.
نمایش صفحه System Configuration utility و منوی Start up در آن :


http://pnu-club.com/imported/2009/06/190.gif


ی) اگر متوجه فایلی نا آشنا در صفحه دسکتاپ یا درایوهای کامپیوترتان شدید و دیدید که با فرمان Delete قادر به حذف آن نیستید و پیغامی مطابق شکل زیر دریافت نمودید


http://pnu-club.com/imported/2009/06/191.gif

ممکن است که آن فایل یک ویروس باشد (البته فقط ممکن است و ممکن است ویروس هم نباشد). برای حذف آن سعی کنید با گرفتن تکمه های سه گانه Ctrl+Alt+Del به قسمت Task manager رفته پس از متوقف نمودن عملیات فایل مربوطه آن را دیلیت کنید. یا کامپیوتر را ری استارت نموده و در حالت Safe Mode آن را روشن نموده و فایل مذکور را پاکسازی نمایید.

طریقه های نفوذ و انتشار ویروسها و تروجانها از طریق اینترنت
همانطور که میدانید تروجانها ، ویروسها و worm ها و malware ها دارای انواع زیادی هستند که هرکدام به شیوه خاص خودشان منتشر شده و کامپیوترها را آلوده میکنند. میخواهم در این بخش به نوع خاصی از این ویروسها که شامل ویروسهایی مانند Nimda و یا ویروسهای جدیدتر MS Blaster و ویروس SARS است بپردازم.
البته تولزهای کوچک ضد این ویروسها ساخته شده است که در اینجا آپلود میکنم. اما همیشه پیشگیری بهتر از درمان است.
.یروسهائی امثال ام اس بلاستر ، سارس و نیمدا که بیشتر از طریق شبکه های لن و همچنین شبکه های متصل به اینترنت بسرعت پخش میشوند تنها به کامپیوترهائی صدمه میزنند که فایروال نداشته باشند و یا لااقل فایروال ویندوز اکس پی در آنها خاموش باشد.
در سرویس پک 2 این مشل رفع شده و با چند پچ امنیتی حفره های مربوط به نفوذ ویروسهای سارس و بلاستر مسدود شده اند. اما باید توجه داشت که اگر بصورت عمدی یا غیر عمد فایروال ویندوز خود را خاموش کنید در کسری از ثانیه امکان آلوده شدن شما از طریق شبکه وجود دارد.نتیجه همکاملا" مشخص است. در مورد ویروس نیمدا حجم فایلها افزایش پیدا نموده و کم کم ویروس تمامی فایلهای اجرائی شما را آلوده میسازد و در زمان کودکی با تصرف تمامی خافظه کامپیوترشما ابتدا کند شده و سپس کاملا" از کار می افتد. در مورد ویروس بلاستر ، شات داون های مکرر سیستم شما را کلافه میکند و وسط کار (مثلا" وسط کپی کردن اطلاعات روی سی دی ) ویروس فوق فعال شده و در عرض چند ثانیه کامپیوتر شما را شات داون میکند. نتیجه مشخص است. لااقلش شما یک سی دی سوخته روی دستتان خواهد ماند. در مورد ویروس سارس از این هم خطرناک تر است و علاوه بر شات داون های مکرر نسبت به آلوده سازی فایلهای موجود و از کار انداختن ویندوز شما نیز در مدت کوالهی اقدام خواهد شد.
در بعضی از ویروسها یا تروجانها با نوشتن خود در محلی مانند بوت سکتور یا (File alocation table( fat و...کاری میکنند که حتی با فرمت نمودن هارددیسکتان هم از شرشان رها نمیشوید و ناچارید با سپردن هارددیسک خود به تعمیرکاران از برنامه های خاص Low level Format و برنامه های Reconfiguration هارددیسک استفاده نمایید تا از شر آنها خلاص شوید.
در پست بعدی سه نرم افزار کوچک ضد ویروس مربوط به شرکت سایمنتک را برایتان میگذارم.
یکی برای نیمدا ، دیگری برای ام اس بلاستر و سومی برای ویروس سارس.....


ادامه دارد....

ادامه تروجانها
برنامه های مختلفی در اینترنت موجود هستند که به پورت اسکنر معروف بوده و هکرها برای یافتن پورتهای باز شما از این برنامه ها استفاده میکنند. البته برنامه هائی مانند زون آلارم سبب خواهد شدکه تمامی اینپورتهای باز به محض دسترسی غیرمجاز مسدود شده راه بر نفوذگر مسدود شود اما باید توجه داشت که این برنامه نیز مانند سایر برنامه های مشابه دارای بک دورهای خاص خودش بوده و در جای خودش میتواند از طرف افراد ماهر به عنوان سرور مورد استفاده قرار گیرد.
برنامه های کلاینت تروجان نیز دارای پورت اسکنر هستند که میتوان در محدوده رنج آی پی خاصی بطور اتفاقی کامپیوترهای آلوده را شناسائی نمود و در صورت امکان (پسوورد نداشتن تروجان سرور) به آن کانکت شده و اطلاعات Victim را شناسائی ،تغییر یا سرقت نمود.این اطلاعات شامل تمامی پارتیشنها ...کوکی ها...پسووردهای سیو شده وب و پسووردهای مسنجرها و پسووردهای دیال آپ میباشد. علاوه برآن keylogger ها هم در قسمت کلاینت پیش بینی شده اند که با استفاده به موقع از آنها میتوان حتی پسووردهای سیو نشده در کامپیوتر را هم سیو نمود.
ادامه دارد..

سلام
این ابزار کوچک ضد ویروس Stinger نام دارد که تولید شرکت معروف مک آفی میباشد
با این ابزار میتوانید ویروسها و تروجانهای مهم روز را از پی سی خود پاک کنید
این ضدویروس علاوه بر قابلیت پاک نمودن ویروسهائی همچون ساسر و بلاستر این نوع تروجانها و وورمهای ایمیل را هم شناسائی و نابود میکند:



http://pnu-club.com/imported/mising.jpg


http://pnu-club.com/imported/2009/06/1523.jpg



Update History




2/02/2006



Added W32/Mywife.d



10/05/2005


Added W32/Bagle.cc - .dd

Added W32/Bropia.worm.bx/by

Added W32/Korgo.worm.aj

Added W32/Lovgate.ar@MM

Added W32/Mydoom.bw@MM

Added W32/Sober.r@MM

Added W32/Zafi.e@MM

Changed default download name to "s_t_i_n_g_e_r.exe" as Sober.r terminates "stinger" based process names




8/17/2005



Added Stinger 2.5.6 for ePO



8/16/2005



Added W32/IRCBot.worm family (includes W32/IRCBot.worm!MS05-039)

Added W32/Zobot.worm family



5/03/2005



Changed default download name to "s-t-i-n-g-e-r.exe" as Sober.p terminates "stinger" based process names



5/02/2005



Added W32/Bagle.bo - bt@MM

Added W32/Bropia.worm.q - aj

Added W32/Sober.m - .p@MM

Changed default download name to ST1NGER.EXE as Sober.p terminates "stinger" based process names



3/01/2005



Added W32/Bagle.dldr

Added W32/Bagle.bi - bn@MM

Added W32/Bropia.worm.q - .u

Added W32/Mydoom.bf - bi@MM



2/21/2005



Added W32/Mydoom.be@MM

Added W32/Sober.l@MM



2/18/2005



Added W32/Mydoom.bc - bd@MM

Added W32/Bropia.worm.a - .p



2/16/2005



Added W32/Bagle.bh - bm@MM

Added W32/Dumaru.bd - bg@MM

Added W32/Mydoom.ao - bb@MM

Added W32/Nimda.u@MM



1/03/2005



Increased expiration date



12/14/2004



Added W32/Zafi.d@MM

Added Exploit-Lsass

Added W32/Bagle.bf - .bg@MM

Added W32/Korgo.ag - .ai

Added W32/Mydoom.an@MM

Renamed BackDoor-CHR -> BackDoor-CEB



11/22/2004



Posted ePO version 2.4.5.1



11/19/2004



Posted version 2.4.5.1 to correct an incorrect identificaion issue



11/19/2004



Added W32/Sober.j@MM



11/8/2004



Added W32/Bugbear.j@MM

Added W32/Korgo.worm.aa.dam

Added W32/Korgo.worm.ac.dam

Added W32/Korgo.worm.ae

Added W32/Lovgate.aq@MM

Added W32/Mydoom.ad - .ah@MM

Added W32/Pate.d

Added W32/Sasser.worm.g



10/29/2004



Stinger configured to scan all files by default

Added W32/Bagle.ba - .bd@MM

Added W32/Netsky.ah - .ai@MM

Added W32/Zafi.c@MM



10/14/2004



Added W32/Netsky.ag@MM



9/28/2004



Added W32/Bagle.ar - .az@MM

Added W32/Dumaru.aw - .bb@MM

Added W32/Korgo.w - .ad

Added W32/Lovgate.ap@MM

Added W32/Mydoom.t - .ac@MM

Added W32/Nachi.worm.m



8/17/2004



Posted ePO version 2.3.9



8/16/2004



Added W32/Mydoom.s@MM

Added Backdoor-CHR



8/9/2004



Added W32/Bagle.aj - .aq@MM

Added W32/Lovgate.al - .am@MM

Added W32/Mydoom.p - .r@MM



7/30/2004



Added BackDoor-CFB



7/28/2004



Added W32/Zindos.worm



7/26/2004



Added W32/Mydoom.o@mm



7/19/2004



Added W32/Bagle.ai@mm

Added W32/Mydoom.n@mm

Added W32/Lovgate.ae - .ak@mm



7/18/2004



Added W32/Bagle.ag - .ah@mm



7/16/2004



Added W32/Bagle.ad - .af@mm



7/02/2004



Added W32/Korgo.worm.p - .v

Added W32/Lovgate.ac@MM - .ad@MM

Added W32/Mydoom.l@MM - .m@MM



6/14/2004



Added W32/Korgo.worm.a - .o

Added W32/Zafi.a@MM - .b@MM



5/19/2004



Posted ePO Stinger version 2.2.7



5/18/2004



Added W32/Bagle.ac@MM

Added W32/Dumaru.aj - .ap

Added W32/Lovgate.ab@MM

Added W32/Mydoom.k@MM

Added W32/Sasser.worm.f

Added W32/Sober.g@MM



5/10/2004



Added W32/Bagle.ab@MM

Added W32/Netsky.ac - ad@MM

Added W32/Sasser.worm.e



5/04/2004



Added W32/Sasser.worm.d



5/03/2004



Posted ePO Stinger v2.2.4



5/02/2004



Added W32/Sasser.worm.b - .c



4/30/2004



Added W32/Sasser.worm



4/28/2004



Added W32/Bagle.aa@MM

Added W32/Netsky.aa - .ab@MM



4/26/2004



Added W32/Bagle.x - .z@MM

Added W32/Bugbear.c - .d@MM

Added W32/Doomjuice.c

Added W32/Dumaru.ae - .ah@MM

Added W32/Elkern.cav.f

Added W32/Lovgate.z@MM

Added W32/Mimail.v@MM

Added W32/Mydoom.i - .j@MM

Added W32/Netsky.u - .z@MM

Added W32/Yaha.aa@MM



4/6/2004



Added W32/Netsky.s - .t@MM

Added W32/Lovgate.n - .y@MM



4/4/2004



Added W32/Sober.f@MM



3/29/2004



Added W32/Netsky.q@MM



3/26/2004



Added W32/Bagle.u@MM



3/22/2004



Added W32/Netsky.o - .p@MM

Added W32/Bagle.r - .t@MM

Added W32/Mydoom.h@MM



3/15/2004



Added W32/Bagle.o - .p@MM

Added W32/Netsky.k - .n@MM



3/13/2004



Added W32/Bagle.k - .n@MM



3/9/2004 2:25pm pst



Posted ePO Version 2.1.2



3/8/2004 2:25pm pst



Added W32/Netsky.j



3/3/2004



Added W32/Sober.d@mm



3/3/2004



Posted ePO Version 2.1.0



3/2/2004



Added W32/Bagle.f - .j@MM

Added W32/Mydoom.g@MM



3/1/2004



Posted ePO Version 2.0.7



2/29/2004



Added W32/Bagle.e@MM



2/27/2004



Added W32/Bagle.c@MM



2/25/2004



Added W32/Netsky.c@MM

Posted ePO Version 2.0.4



2/24/2004



Posted ePO Version 2.0.3



2/23/2004



Added W32/Mydoom.f@mm



2/18/2004



Added W32/Netsky.a@MM & W32/Netsky.b@MM

Posted ePO Version 2.0.2



2/17/2004



Added W32/Bagle.b@MM, W32/Doomjuice.worm

Updated Sdbot, Deborm, Mimail, and Nachi

Renamed W32/Lovsan.worm -> W32/Blaster.worm

Renamed W32/Dfcsvc.worm -> W32/Anig.worm

Posted ePO Version 2.0.1



1/30/2004



Posted ePO Version 2.0.0



1/29/2004



Added W32/Mymail.s@MM

Added W32/Dfcsvc.worm



1/28/2004



Added W32/MyDoom.b@MM

Posted ePO version 1.9.9



1/27/2004



Enhanced W32/Mydoom@MM repair to remove reboot dependency during the repair process.

Posted ePO version 1.9.7



1/26/2004



Added W32/MyDoom@MM *Note that a reboot is required after running Stinger for a complete clean

Added W32/Dumaru.y@MM - .aa@MM

Updated Mimail with the latest additions



1/20/2004



Posted ePO version 1.9.5



1/18/2004



Added W32/Bagle@MM



12/22/2003



Posted ePO version 1.9.4



12/21/2003



Added W32/Sober.c@MM, W32/Mimail.j - .o



12/18/2003



Added W32/Sober.b@MM



11/14/2003



Added W32/Mimail.d - .i



11/11/2003



Enhanced W32/Sober@MM repair



10/31/2003



Added W32/mimail.c@MM



10/28/2003



Added W32/Sober@MM, W32/Dumaru.o - .r



10/10/2003



Added W32/Pate, W32/Dumaru.e - .m



10/01/2003



Posted version 1.8.7 with new expiration date

Posted ePO version 1.8.7



9/25/2003



Posted ePO version 1.8.6



9/19/2003



Added W32/Swen@MM, W32/Yaha.x@MM and W32/Yaha.y@MM



8/28/2003



Added W32/Dumaru.b - .d and PWS-Narod, Posted ePO version 1.8.5



8/19/2003



Added W32/Dumaru@MM, W32/Sobig.f@MM



8/18/2003



Added W32/Nachi.worm, W32/Lovsan.worm.d



8/15/2003



Posted ePO version 1.8.2



8/14/2003



Corrected issue, which prevented W32/Lovsan.worm.a from being repaired properly



8/13/2003



Added Exploit-DcomRpc, W32/Lovsan.worm.a & .b, and generic W32/Lovsan.worm to version 1.8.1, posted ePO version 1.8.0



8/11/2003



Added W32/Lovsan.worm



8/01/2003



Added W32/Mimail@MM, posted ePO version 1.7.9



7/30/2003



Added IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, W32/Sdbot.worm.gen, and W32/MoFei.worm



7/21/2003



Added W32/Deborm.worm.gen



7/03/2003



ePO verson 1.7.6 posted



7/02/2003



Added W32/Mumu.worm.b and PWS-Sincom



6/25/2003



Added W32/Sobig@MM variants



6/20/2003



Minor detection name correction



6/19/2003



Added Bat/Mumu.worm, IPCScan trojan, NTServiceLoader trojan, PCGhost application, RemoteProcesslLaunch application, W32/Lovgate.n@M, and W32/Yaha.t@MM - .u@MM



6/5/2003



Added W32/Bugbear.b@MM



5/16/2003



Added W32/Lovgate.j@M through .m@M

Resolved an issue where Stinger was not preserving the last access date on files.

Posted ePO Deployable version of Stinger 1.6



5/12/2003



Added W32/Fizzer@MM and W32/Yaha.s@MM



4/14/2003



Added W32/Lovgate.e@M - W32/Lovgate.g@M, updated BackDoor-AQJ detection, W32/Yaha.m@MM - W32/Yaha.r@MM

Includes self-validation integrity check



2/26/2003



Added W32/Lovgate.a@M - W32/Lovgate.d@M, BackDoor-AQJ, W32/Sircam@MM, W32/Funlove@MM, and W32/Nimda.a@MM - W32/Nimda.q@MM



2/14/2003



Posted EPO deployable version of Stinger.exe



1/25/2003



Added W32/SQLSlammer.worm and name detection for W32/Lirva.c@MM



1/08/2003



Added W32/Lirva.a@MM and W32/Yaha.m@MM



12/30/2002



Added W32/Yaha.a@MM - W32/Yaha.l@MM

DAT files are now stored in the executable



10/09/2002



Removed Rwabs.dll dependency as it caused problems for users who had very old versions of the scan engine installed

Allows users to enter a drive letter or driver letter: when configuring Stinger to scan for additional drives

Clarified the purpose of the List Viruses button



10/04/2002



Reposted package as self-extracting archive instead of .zip archive, updated DAT files to include detection for corrupted W32/Bugbear.dam files.

چگونه از اطلاعات کامپیوتر و پسوورد ایمیلمان محافظت کنیم
سلام
تروجانهای جدید همیشه در راه هستند و برای در امان بودن از آنها ناچاریم از انواع نرم افزارهای ضدویروس و ضد تروجان استفاده نماییم.
پیشنهاد من استفاده از مک آفی 10 است که خودم استفاده میکنم و تابحال هم با کمک این نرم افزار مفید هیچ تروجانی نتوانسته کامپیوترم را اۀوده کند و هک نشده ام.

نرم افزارهای دیگری هم برای این منظو وجود دارد که علاوه بر تروجانها اسپای ویرها را هم شناسائی میکند.
نمونه هائی از آنها را دراین تاپیک میگذارم:


http://pnu-club.com/imported/mising.jpg

:: Ewido Anti-Spyware 4.0 نرم افزاري قدرتمند براي خلاصي از شر هر نوع مخرب اينترنتي ::

شركت Grisoft از شركت هاي مطرح دنيا در زمينه ي ساخت ضد ويروس است كه ويروس كش قدرمند AVG اين معرف حضور بسياري از كاربران مي باشد .
اين شركت ضد جاسوس بسيار قدرتمندي نيز تحت عنوان Ewido Anti-Spyware داراست كه به تازگي نسخه ي 4.0 آن با ويژگي هاي جديد عرضه شده است . اين ابزار قدرتمند كه امنيت كافي و بالايي را در برابر اين نوع نسل جديد ويروس ها و به عبيارتي آلودگي هاي اينترنتي براي شما فراهم مي آورد كه از آلوده شدن سيستم به انوع ابزارهاي مخرب مانند Trojan ها, Worm ها, Dialer ها, Hijacker ها, Spyware ها و Keylogger ها جلوگيري به عمل مي آورد .
ويژگر هاي كليدي نرم افزار Ewido Anti-Spyware 4.0 :
توانايي شناسايي انواع و ابزارهاي مخرب و نابودي آنها مانند Trojan ها, Worm ها, Dialer ها, Hijacker ها, Spyware ها و Keylogger ها .
ويژگي Heuristics براي شناسايي خطرات ناشناخته و جديد تنها از روي عملكرد آنها .
ابزارهاي آناليز Startup , كانكشن ها و پروسه هاي در حال اجرا .
توانايي آپديت هوشمند به صورت روزانه و رايگان .
كشف و حذف تروجان هايي كه در فايلهاي DLL هستند .
توانايي Quarantine كردن فايلهايي كه قابل پاكسازي نيستند .
ظاهر جديد و زيباي نرم افزار .
توانايي خلق استثنا براي برخي خطرات و يا تروجان ها .
بخش Shredder براي نابود سازي فايل هاي نا خواسته .


دانلود كنيد نسخه ي 4.0.0.172 را با حجم حدود 8.0 مگابايت (http://www.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172a.exe)


کرک نسخه ی 4.0.0.172 این برنامه (http://rapidshare.de/files/24071434/Ewido.Anti-Spyware.4.0.0.172.zip)

پسورد فایل زیپ : www.p30world.com (http://www.p30world.com/)

یا میتوانید نسخه ی کامل آپلود شده ی نرم افزار همراه با کرک با حجم حدود 8 مگابایت را از این آدرس بگیرید:

لینک دانلود نسخه کامل + کرک (http://rapidshare.de/files/23618868/ewido-setup_4.0.0.172.rar.html)



اگر از کرک نتوانستید استفاده کنید با سریال نامبر زیر برنامه رجیستر میشود:

70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY

دیگری از بایندرها Binders بصورتی هوشمندانه عمل میکند
این نوه بایندرها یک تروجان سرور را با یک فایل متنی TEXT باهم ترکیب نموده و آیکون فایل EXE را به آیکون فایل متنی تغییر میدهد. (یا یک فایل تصویری -عکس را با تروجان سرور ترکیب نموده و آیکون فایل خروجی علیرغم آنکه اپلیکیشن است آیکون فایل تصویری مانند GIF , JPG نمایش داده میشود)
نکته جالب اینجاست که فایل مزبور صحیح نیز عمل میکند. یعنی بعد از یانکه آن را اجرا میکنید فایل تکست و یا تصویر مربوطه باز میشود. و شما متوجه نمیشوید که این فایل اپلیکیشن است . چون کارش را طبیعی انجام میدهد.
اما در پشت زمینه کامپیوتر شما بلافاصله آلوده میشود.
نکته جالبتر این بایند هوشیارانه این است که این فایلها بعد از اجرا و اینفکت نمودن شما بطو.ر اتوماتیک به صورت فایل اصلی تغییر شکل داده خواهند شد.
یعنی بعد از الوده شدن اگر مجددا" آن فایل را چک کنید خواهید دید یک فایل تکست و یا یک فایل تصویری عادی است.
از این نوع بایندرها زمانی استفاده میشود که میخواهند یکی از دوستانشان را هک کنند و نمیهواهند حتی بعد از هک نمودن ، قربانی متوجه شود که از طریق فایل ایشان آلوده شده است.
مثلا" یکی از یان فایلها که شامل تصویر خودشان است را در یاهو مسنجر برای دوستشان ارسال میکنند. دوست ایشان هم بعد از اجرای فایل تصویرش را مشاهده میکند و شکی نمیکند....
حتی بعد از اینکه قربانی فهمید آلوده شده است هم دیگر نمیتواند بفهمد که از طریق دوست هکرش آلوده شده است. چون فایل مزبور بعد از یکبار اجرا بصورت یک فایل نرمال و طبیعی تصویری ( ویا تکست) درآمده و قسمت تروجان آن جدا شده و در هارد شما به فایلهای دیگر میچسبد و شمارا آلوده میکند
این روش فقط بریا ارسال تروجان نیست
میتوان از آن بریا ارسال ویروس نیز بهمین صورت استفاده نمود
بنابراین بهتر است اگر به کسی اطمینان ندارید بهیچوجه هیچ فایلی ، حتی فایل عکس وی ا متنی و تکست هم از او نه در مسنجر و نه درایمبل قبول نکنید

راههای متعددی برای حفظ اطلاعات وجود دارد که به ذکر نمونه هایی از آنها میپردازیم:

1- اگر بخواهید بدون استفاده از نرم افزار دیگری چنین امنیتی برای اطلاعاتتان ایجاد کنید میتوانید بسادگی اطلاعاتتان را ZIP نموده و روی آن پسورد بگذارید (یا از نرم افزار Winrar ) و گذاشتن پسورد برروی فایل کمپرس شده استفاده نماییداین راه قابل اطمینانترین راه است چون تا کسی پسورد فایل رار شما را نداشته باشد قادر به بازکردنش نخواهد شد و بهمان صورت کمپرس شده هم که بهیچوجه قابل استفاده نیست.


2- درصورتی که بخواهید اطلاعاتتان کمپرس نشود و بدون باز نمودن فایل کمپرس شده در دسترس باشد میتوانید از انواع نرم افزار قفل ساب دایرکتوری مانند Folder Lock استفاده نمایید بدینصورت که اطلاعاتتان را داخل یک فولدر ریخته و با نرم افزار فوق روی آن فولدر قفل گذاری کنید تا برای ورود به فولدر نیاز به پسورد دادن باشد.


3- میتوانید فایلهایتان را پنهان کنید نرم افزارهای پنهانساز و رمزگزاری میتوانند برای اینکار استفاده شوند. مانند Xiao که اطلاعات و فایل شما را دریک تصویر پنهان میکند و تا کسی کلید رمز را نداشته باشد و با این نرم افزار تصویر مورد نظر را رمزگشانی نکند قادر به دستیابی به اطلاعات شما نخواهد بود.


4- نرم افزارهای متعددی برای Encrypt کردن اطلاعات وجود دارند که مانند Xiao پنهانساز نیستند اما با درهم ریختن اطلاعات فایل شما توسط یک Cypher Key چنان محتویات فایل را بهم میریزند که قابل استفاده نیست مگر آنکه شما یا هرکسی که کلید رمز را میداند فایل مربوطه را Decrypt نماید تا قابل استفاده باشد

5-راه ديگري هم براي پنهان كردن اطلاعات وجود دارد كه تا حدي تخصصي است و ضمنا" چون خطر از دست رفتن اطلاعات هم وجود دارد استفاده از آن توصيه نميشود.
شما ميتوانيد اطلاعاتتان را داخل يك فولدر ريخته و سپس با استفاده از نرم افزارهاي اديت هارد (مانند dISKEDIT برنامه نورتن كماندر) در داخل هارد ديسك نام فولدر خود را يافته و سپس حرف اول آ‹ را عوض كنيد و يك كاراكتر nONdOS بجاي آن بگذاريد. در چنين حالتي فولدر شما كاملا" ژنهان ميشود بصورتي كه حتي از داخل ويندوز با گزينه مشاهده قايلها و فولدرهاي HIDDEN هم نميتوان آن را پيدا و مشاهده نمود. تنها راه ظاهر شدن مجدد آن هم اين است كه مجددا" با همان نرم افزار حرف اول نام فولدر را عوض كرده و يك كاركتر عادي بجاي آن قراردهيد. براي ورود عادي به فولدر (بدون ظاهر كردن آن) هم ميتوانيد بسادگي از طريق پنجره داس پرومپت و فرمان CD يا همان cHANGE DIRECTORY به آن فولدر وارد شويد. البته بايد بعد از فرمانcd نام فولدر را بهمان صورت nONDOS (از طريق كاراكتر اسكي aLT+XXX) وارد نماييد تا وارد آ‹ فولدر مخفي شويد. تنها راه ديدن اطلاعات و آن فولدر هم دانستن آن كاراكتر اسكي و نام فولدرتان است و بهيچوجه آن فولدر ظاهر نميشود (نه در داس و نه در ويندوز)
خطر اينكار آن است كه اگر حجم هاردديسك شما پر شود چون داس آن فولدر را بعنوان يك فولدر حذف شده ميشناسد (چون حرف اول آن nONDOS) است ممكن است اطلاعات جديدي روي آن سكتور هارد بريزد و در نتيجه اطلاعاتتان حذف گردد. بهمين دليل اين راه توصيه نميشود.

خيلي طول كشيد تا همشو بخونم ولي ارزشش رو داشت (دستت درد نكنه دوست عزيز)