با استفاده از نرم افزارهاى ضد ویروس ، امكان شناسایى و بلاك نمودن ویروس ها قبل از آسیب رساندن به سیستم فراهم مى شود . با نصب این نوع نرم افزارها بر روى سیستم خود یك سطح حفاظتى مناسب در خصوص ایمن سازى كامپیوتر و اطلاعات موجود بر روى آن ایجاد خواهد شد . به منظور استمرار سطح حفاظتى ایجاد شده ، مى بایست نرم افزارهاى ضدویروس به طور دائم بهنگام شده تا امكان شناسایى ویروس هاى جدید ، وجود داشته باشد.
اما سئوال این جاست كه نرم افزارهاى ضد ویروس ، چگونه كار مى كنند؟
جزییات عملكرد هر یك از برنامه هاى ضد ویروس با توجه به نوع هر یك از نرم افزارهاى موجود ، متفاوت است . اینگونه نرم افزارها فایل هاى موجود بر روى كامپیوتر و یا حافظه كامپیوتر شما را به منظور وجود الگوهایى خاص كه مى توانند باعث ایجاد آلودگى شوند را پویش مى دهند . برنامه هاى ضد ویروس به دنبال الگوهایى مبتنى بر علائم خاص ، تعاریفى خاص و یا ویروس هاى شناخته شده ، مى گردند . نویسندگان ویروس هاى كامپیوترى همواره اقدام به نوشتن ویروس هاى جدید نموده و ویروس هاى نوشته شده قبلى خود را بهنگام مى نمایند . بنابراین لازم است كه همواره بانك اطلاعاتى شامل تعاریف و الگوهاى ویروس هاى كامپیوترى مربوط به نرم افزار ، بهنگام شود. پس از نصب یك نرم افزار آنتى ویروس بر روى كامپیوتر خود ، مى توان عملیات پویش و بررسى سیستم به منظور آگاهى از وجود ویروس را در مقاطع زمانى مشخص و به صورت ادوارى انجام داد . در این رابطه مى توان از دو گزینه متفاوت استفاده نمود :
• پویش اتوماتیك : برخى از برنامه هاى ضد ویروس داراى پتانسیلى به منظور پویش اتوماتیك فایل ها و یا فولدرهایى خاص و در یك محدوده زمانى مشخص شده ، هستند.
•پویش دستى : پیشنهاد مى شود ، پس از دریافت هرگونه فایلى از منابع خارجى و قبل از فعال نمودن و استفاده از آن ، عملیات بررسى و پویش آن به منظور شناسایى ویروس صورت پذیرد . بدین منظور عملیات زیر توصیه مى گردد :
- ذخیره و پویش ضمائم نامه هاى الكترونیكى و یا نرم افزارهایى كه از طریق اینترنت Download مى نمایید (هرگز ضمائم نامه هاى الكترونیكى را مستقیماً و بدون بررسى آن توسط یك برنامه ضد ویروس ، فعال ننمایید ).
- بررسى فلاپى دیسك ها ، CD و یا DVD به منظور یافتن ویروس بر روى آنان قبل از باز نمودن هر گونه فایلى.

• نحوه برخورد نرم افزار ضدویروس با یك ویروس

نرم افزارهاى ضد ویروس به منظور برخورد با یك ویروس از روش هاى متفاوتى استفاده مى كنند . روش استفاده شده مى تواند با توجه به مكانیسم پویش (دستى و یا اتوماتیك) نیز متفاوت باشد. در برخى موارد ممكن است نرم افزار مربوطه با ارائه یك جعبه محاوره اى ، یافتن یك ویروس را به اطلاع شما رسانده و به منظور برخورد با آن از شما كسب تكلیف نماید . در برخى حالات دیگر ، نرم افزار ضدویروس ممكن است بدون اعلام به شما اقدام به حذف ویروس نماید. در زمان انتخاب یك نرم افزار ضد ویروس ، لازم است به ویژگى هاى ارائه شده و میزان انطباق آنان با انتظارات موجود ، بررسى كارشناسى صورت پذیرد.

• از كدام نرم افزار باید استفاده كرد

تولیدكنندگان متعددى اقدام به طراحى و پیاده سازى نرم افزارهاى آنتى ویروس مى نمایند. عملكرد این نوع نرم افزارها مشابه یكدیگر است . به منظور انتخاب یك نرم افزار ضد ویروس مى توان پارامترهاى متعددى نظیر ویژگى هاى ارائه شده توسط نرم افزار، قیمت و میزان انطباق آنان با خواسته هاى موجود را بررسى نمود . نصب هر نوع نرم افزار ضد ویروس (صرفنظر از نرم افزار انتخاب شده) ،باعث افزایش حفاظت شما در مقابل ویروس ها مى شود. برخى از پیام هاى ارسالى كه ادعا مى كنند شامل نرم افزارهاى ضدویروس بوده و یا اینگونه نرم افزارها را به شما معرفى مى نمایند، خود به منزله یك ویروس بوده و مى بایست دقت لازم در خصوص بازنمودن آنان و ضمائم مربوطه را داشته باشیم .
با تمام این توضیحات چگونه مى توان از آخرین اخبار و اطلاعات مربوط به ویروس ها ، آگاهى یافت كه در پاسخ باید گفت، فرآیند بهنگام سازى در هر نرم افزار ضدویروس متفاوت بوده و مى بایست در زمان انتخاب اینگونه نرم افزارها، پتانسیل آنان در خصوص بهنگام سازى بانك اطلاعاتى تعاریف الگوها ، بررسى شود . تعداد زیادى از نرم افزارهاى ضد ویروس داراى گزینه اى به منظور بهنگام سازى اتوماتیك ، هستند. استفاده از پتانسیل فوق با توجه ایجاد ویروس هاى جدید ، امرى لازم و اجتناب ناپذیر است.
نصب یك نرم افزار ضد ویروس ، یكى از ساده ترین و در عین حال موثرترین روش هاى حفاظت از كامپیوتر است . آیا صرفاً با یك نصب همه چیز تمام شده و ما همواره داراى ایمنى لازم و حفاظت مطلوب خواهیم بود؟ پاسخ به سئوال فوق قطعاً منفى بوده و این نوع نرم افزارها داراى محدودیت هاى خاص خود نیز هستند. نرم افزارهاى ضد ویروس به منظور شناسایى و برخورد با ویروس ها از الگوهاى شناخته شده ، استفاده مى نمایند . بنابراین طبیعى است كه اینگونه نرم افزارها صرفاً قادر به شناسایى و برخورد با ویروس هایى هستند كه قبلاً الگوى آنان براى نرم افزار معرفى شده باشد . به منظور حفظ اقتدار نرم افزارهاى ضد ویروس و كمك به آنان در جهت شناسایى و برخورد با ویروس هاى جدید ، مى بایست فرآیند بهنگام سازى آنان به طور مداوم و در محدوده هاى زمانى مشخص ، تكرار گردد.

 

برگرفته از سایت روزنامه شرق

كرك ویستا، یك تروجان است

برنامه‌ای كه مدعی بود می تواند نسخه منتشر شده ویستا را كرك كند، در اصل یك تروجان می باشد كه پسورد های سیستم را به سرقت برده و آنها را برای مهاجم ارسال می كند.

به گفته محققین امنیتی SUNBELT SOFTWARE یك برنامه كه حاوی فایلی به نام WINDOWS VISTA ALL VERSIONS ACTIVATION 21.11.06.EXE می باشد در اصل یك تروجان است كه پسورد های سیستم را به سرقت می برد.

در نظر ابتدایی به نظر می آمد كه این برنامه كرك ویندوز ویستا می باشد كه هفته قبل در سایت مایكروسافت در دسترس عموم قرار گرفت.

به گفته یكی از محققین امنیتی KASPERSKY ، این تروجان كه به نام TROJAN-PSW.WIN32.LDPINCH.AZE می باشد در اصل پسورد های كاربران را به سرقت می برد و آنها را برای مهاجم ارسال می كند. KASPERSKY اولین آنتی ویروسی بود كه این تروجان را در گزارش های روزانه خود معرفی كرده است.

كاربرانی كه از آنتی ویروس های سیمنتك یا NOD32 استفاده می كنند اذعان داشتند كه حتی به روز رسانی این آنتی ویروس ها نیز قادر به تشخیص این تروجان نبوده اند.

مایكروسافت نسخه جدید ویستا را برای شركت های تجاری ارائه داد تا آنها نیز بتوانند سیستم های خود را با آن وفق بدهند اما بسیاری از شركت های محتاط ترجیح می دهند كه شبكه ها و كامپیوتر های خود را بعد از دو سال از ارائه نسخه جدید ویستا به روز رسانی كنند تا در این مدت اشكالات اساسی این سیستم عامل مشخص گردد.

منبع : همکاران سیستم

عجیب‌ترین ویروس‌های سال 2007

آزمایشگاه امنیتی شركت پاندا فهرستی از نرم‌افزارهای مخرب عجیب مشاهده شده در نیمه‌ی دوم سال 2007 را منتشر كرد.

Sinowal.FY؛ تروجانی است كه با گرفتن فایل‌های كاربران به عنوان گروگان یك رباینده‌ی واقعی محسوب می‌شود!

این تروجان برای رمزنگاری فایل‌ها در رایانه‌هایی كه آلوده می‌كند و وادار كردن كاربران برای خرید یك ابزار ویژه به منظور رمزگشایی آن‌ها طراحی شده است.

RogeMario؛ کرمی است كه هدف آن سرگرم كردن كاربرانی است كه آن‌ها را آلوده می‌كند؛ این كد مخرب به گونه‌ای طراحی شده تا هر زمان رایانه‌یی را آلوده می‌كند یك نسخه از بازی معروف ماریوبراس را در آن نصب كند.

کرم‏هایی مانند Mimbot.A، MSMFunny.B یا MSMSend.A ممكن است در هر سازمان ارتباطی بین‌المللی مورد استقبال قرار بگیرند زیرا می‌توانند پیام‌ها را به شمار متعددی از زبان‌ها ارسال كنند، هرچند جملات ممكن است ساختار خوبی نداشته باشند اما به هر حال نمی‌توان همه چیز را یكجا داشت.

AttachMsngr.G؛ تروجانی است كه تشنه‌ی معلومات است، معلوماتی كه در برگیرنده‌ی تمامی اقدامات از حركات موس گرفته تا مكالمات مسنجر MSN كاربر در رایانه است؛ معمولا داشتن معلومات اندك خطرناك به شمار می‌رود اما در این مورد معلومات زیاد خطرناك است.

Voter.A؛ کرمی با وجدان شهروندی است كه شهروندان كنیایی را به مشاركت در انتخابات و رای به یكی از كاندیداها دعوت می‌كند اما متاسفانه تكنیك ناراحت كننده‌ای دارد زیرا هر نه ثانیه تصویر كاندیدای تبلیغی خود را نمایش می‌دهد.

و سرانجام CivilArmy.B ورمی است كه داستان می‌گوید و قبل از اخطار به كاربران در مورد آلوده كردن رایانه‌های آن‌ها داستان رمانتیكی را تعریف می‌كند؛ شاید انگیزه این ورم تشویق كاربران به مطالعه بیش‌تر باشد.

ویروس جدیدی در قالب دعوتنامه

ویروس جدیدی كه ‌از طریق پست الكترونیكی و در قالب یك دعوتنامه ‌ارسال می‌شود، كاربران اینترنت را تهدید می‌كند.

این ویروس جدید همراه با یك فایل ضمیمه‌ تحت عنوان "دعوت"(INVITATION)?، در حال انتشار در شبكه اینترنت است.

این ویروس یكی ازبدترین ویروس‌های شناخته شده است كه در صورت باز كردن آن، هارد دیسك رایانه می‌سوزد و اطلاعات حیاتی و مهم آن از بین می‌رود.

ویروس یاد شده‌ توسط كمپانی امنیتی " مك آفی" شناسایی شده ‌و شركت مایكروسافت آن را به عنوان یكی از مخرب‌ترین ویروس‌ها رده‌بندی كرده است.

هنوز هیچ راه‌حل و اصلاحیه‌ای برای جلوگیری از فعالیت این ویروس ارایه نشده است.

اگركاربران اینترنت چنین پیامی از طرف دوستان خود دریافت كردند بلافاصله آن را بسته و سیستم رایانه خود را خاموش كنند.

منبع : ایرنا

RootKit چیست؟

RootKitها برنامه هایی هستند كه از نظر ساختار كاری بسیار شبیه Trojan ها و Backdoor ها هستند ولی با این تفاوت كه شناسایی RootKit بسیار مشكلتر از درب های پشتی است زیرا RootKit ها علاوه بر اینكه به عنوان یك برنامه كاربردی خارجی مثل شنونده Netcat و ابزارهای درب پشتی مثل Sub7 بر روی سیستم اجرا می شوند بلكه جایگزین برنامه های اجرایی مهم سیستم عامل و در گاهی مواقع جایگزین خود هسته كرنل می شوند و به هكرها این اجازه را می دهند كه از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ كنند و مدت زیادی با خیال راحت با نصب ردیابها ( Sniffer ) و دیگر برنامه های مانیتورینگ بر روی سیستم اطلاعاتی را كه نیاز دارند بدست آورند. در دنیای هكرها دو نوع RootKit اصلی وجود دارد كه هر كدام تعریف جداگانه ای دارند.
 

1- RootKit سنتی:

RootKit های سنتی با شناسایی اولین RootKit بسیار قدرتمند در اویل سال 1990 در طول یك دهه گسترش پیدا كردند و تا آنجا پیش رفتند كه امروزه انواع مختلفی از RootKit های سنتی وجود دارند كه به طور عملی خودشان نصب شده و به هكرها اجازه می دهند كه به سرعت سیستم قربانی را فتح كنند. RootKit های سنتی برای سیستم عامل های مختلف نوشته شده اند ولی به طور سنتی بر روی سیستم های یونیكس مثلHP-UX - AIX - Linux - Solaris - SunOS و از این قبیل تمركز كرده اند. ولی برای ویندوزهای سرور مثل NT/2000 نیز RootKit هایی نوشته شده اند كه جایگزین كتابخانه های پیوند پویا ( DLL ) شده و یا سیستم را تغییر می دهند ولی تعداد زیادی از RootKit ها برای سیستم های یونیكس نوشته شده اند.
RootKit ها اجازه دسترسی Root یا Administrator را به ما نمی دهند و ما هنگامی قادر به نصب آْنها بر روی یك سیستم هستیم كه دسترسی ریشه ای و مدیر یك سیستم را توسط روش های دیگری مثل سرریز بافر ... به دست آورده باشیم. بنابراین یك RootKit یك سری ابزارهایی است كه با پیاده سازی یك درب پشتی ( Backdoor ) و پنهان كردن مدارك استفاده از سیستم و ردپاها به هكر اجازه نگهداری دسترسی سطح ریشه را می دهد. ساختار كار تروجن ها به این صورت است كه فایلی را در داخل هسته سیستم مثل پوشه System32 اضافه می كند و این فایل تمامی پسوردهای قربانی را Log كرده و برای هكر می فرستد و یا با باز كردن پورتی اجازه ورود هكر را از طریق پورت باز شده می دهد ولی RootKit های سنتی به جای اینكه فایلی در هسته سیستم قربانی اضافه كنند، سرویسها و فایل های اصلی و مهم سیستم عامل قربانی را با یك نسخه تغییر یافته آن كه عملیاتی مخرب انجام می دهد جایگزین می كنند. برای مثال RootKit های معروف در سیستم های یونیكس برنامه /bin/loginرا كه یكی از اساسی ترین ابزارهای امنیتی در Unix است را با یك نسخه تغییر یافته كه شامل یك كلمه عبور درب پشتی برای دسترسی سطح ریشه می باشد عوض می كنند. سیستم های یونیكس از برنامه /bin/login برای جمع آوری و تست UserID های كلمات عبور استفاده می كند. /bin/login شناسه كاربری و پسورد تایپ شده توسط كاربر را با فایل پسوردها مقایسه می كند تا تعیین كند كه پسورد داده شده توسط كاربر صحیح است یا خیر. اگر پسورد داده شده درست باشد روتین /bin/loginبه آن User اجازه ورود به سیستم را می دهد. خب با این توضیحی كه دادیم فرض كنید كه یك RootKit این برنامه را با برنامه نوشته شده خود عوض كند. اگر هكر از پسورد ریشه درب پشتی استفاده كند، برنامه /bin/login تغییر یافته و اجازه دسترسی به سیستم را می دهد. حتی اگر مدیر سیستم پسورد ریشه اصلی را عوض كند، هكر هنوز می تواند با استفاده از كلمه عبور ریشه درب پشتی به سیستم وارد شود. بنابراین یك روتین RootKit ، /bin/login یك درب پشتی است زیرا می تواند برای دور زدن كنترل های امنیتی نرمال سیستم مورد استفاده قرار گیرد. علاوه بر آن یك اسب تروا هم هست زیرا فقط چهره آن یك برنامه نرمال و زیبای Login است ولی در اصل یك Backdoor است. اكثر RootKit ها سرویس ها و برنامه هایی مثل DU - Find - Ifconfig - Login - ls - Netstat - ps را با RootKit خود جابه جا می كنند. هر یك از این برنامه های سیستمی با یك اسب تروای منحصر به فرد جایگزین می شود كه عملكرد آنها شبیه به برنامه عادی است. همه این برنامه های Unix مانند چشم و گوش های مدیران سیستم می باشد كه تعیین می كنند چه فایل ها و سرویس هایی در حال اجرا هستند. هكرها با پوشاندن چشم و گوشهای مدیران سیستم كه توسط RootKit انجام می شود می توانند به صورت موثری حضورشان را در یك سیستم مخفی نگه دارند. linux RootKit 5 ( lrk5 ) و Tornkit دو نمونه از RootKit های سنتی هستند كه برای سیستم های Linux و Solaris نوشته شده اند و در سایت آشیانه می توانید این RootKit ها را پیدا كنید. این RootKit ها به محض نصب شدن در سیستم قربانی خود را با سرویس های حیاتی و مهم سیستم عامل كه در بالا ذكر شد جایگزین می كنند.
 

2- RootKit سطح هسته :

این نوع از RootKit ها نسبت به نوع سنتی بسیار حرفه ای تر هستند و از نظر سطح پنهان سازی بسیار پا را فراتر از نوع سنتی گذاشته اند زیرا این RootKit ها در سطح ریشه پیاده سازی می شوند و این كار شناسایی و كنترل كردن آنها را بسیار مشكل تر كرده است. RootKit های سطح هسته به ما كنترل كاملی از سیستم اصلی و یك امكان قدرتمند برای جایگیری می دهد. یك هكر با ایجاد تغییرات اساسی در خود هسته، می تواند سیستم را در سطحی بسیار اساسی كنترل كرده و قدرت زیادی برای دسترسی به درب پشتی و پنهان شدن در ماشین را به دست آورد. خود هسته در حالی كه یك كرنل زیبا و كارآمد به نظر می رسد تبدیل به یك اسب تروا می شود و در حقیقت Kernel فاسد می شود ولی صاحب سیستم از این موضوع بی خبر می ماند. درحالی كه یك RootKit سنتی جایگزین برنامه های سیستمی حیاتی مثل برنامه های ifconfig - ls ... می شود ، یك RootKit سطح هسته در حقیقت جایگزین هسته می شود و یا آن را تغییر می دهد. تمامی فایل ها - دستورها - پردازشها و فعالیت های شبكه ای در سیستم آلوده به RootKit هسته پنهان می شوند و تمامی اعمال به سود هكر ضبط می شود. اغلب RootKit های سطح ریشه توسطLKM ها پیاده سازی می شوند. نصب RootKit های سطح هسته ای كه توسطLKM ها پیاده سازی شده باشد، بسیار راحت است. برای مثال برای نصبKnrak Rootkit كه برای هسته لینوكس نوشته شده است، یك هكر كه با Account سطح ریشه یا همان Root به آن سیستم وصل است تنها كافی است insmod knark.o, را تایپ كند و ماژول نصب می شود و منتظر دستورات هكر می ماند و حتی نیازی به بوت كردن دوباره سیستم هم ندارد. RootKit های سطح هسته برای ویندوز NT هم وجود دارند كه یك Patch را بر روی خود هسته اجرایی ویندوز NT بدون استفاده ازLKM ها اعمال می كند. چند تا از معروف ترین RootKit های سطح هسته Knrak و Adore برای سیستم های لینوكس ، Plasmoid برای سیستم های Solaris و RootKit سطح هسته ویندوز NT برای سیستم های سرور ویندوز نام دارند كه همگی در لینك RootKit در سایت آشیانه برای اعضای سایت قرار داده شده اند.
راه های مقابله با RootKit های سنتی و RootKit های سطح هسته مهمترین راه دفاع در برابر RootKit ها اجازه ندادن به هكرها در دسترسی به حساب مدیر است. همانطور كه در بالا ذكر شد یك هكر برای نصب یك RootKit باید دسترسی سطح ریشه داشته باشد و اگر ما بتوانیم همیشه راه های نفوذ و آسیب های جدید سیستم عاملمان را شناسایی و آنها را از بین ببریم شانس دستیابی هكر به حساب ریشه سیستم خود را تقریباً به صفر رسانده ایم. در مرحله بعد اگر فرض كنیم كه با بی احتیاطی ما ، هكری توانست بر روی سیستم ما RootKit نصب كند، یكی از راه های تست این كه سیستم ما RootKit شده است یا خیر استفاده از دستورEcho است. تعداد بسیار كمی از RootKit ها ، دستور echo را كه برای لیست كردن محتویات یك دایركتوری می باشد تروا می كنند و اكثر RootKit ها بر روی تروا كردن ls تمركز كرده اند. به همین دلیل echo یك لیست قانونی از محتویات یك دایركتوری را برمی گرداند و اگر نتیجه ای كه echo بر می گرداند با چیزی كه دستور ls برای دایركتوری داده شده نشان می دهد متفاوت باشد ممكن است چیزی در آن دایركتوری پنهان شده باشد كه این نتیجه را می رساند كه سیستم شما RootKit شده است. ولی در كل این روش زیاد موثر نیست چون جستجوی تمام سیستم فایل برای یافتن هر اختلافی بین فایل های لیست شده در خروجی Echo و ls وقت زیادی را صرف می كند. امروزه ابزارهای مختلفی برای آنالیز برنامه Rootkit/bin/login وجود دارد كه مشخص می كنند آیا RootKit شناخته شده ای نصب شده است یا خیر. این ابزارها وقتی كه بر روی سیستم نصب می شوند به صورت دوره ای فایل های مهم بر روی سیستم را مثل /bin/login چك می كنند تا از وجود RootKit باخبر شوند كه برنامه ChRootkit ابزاری جالب در این زمینه است ولی دركل بهترین راه دفاع در برابر RootKit ها استفاده از تكنولوژی اثر انگشت دیجیتالی قوی می باشد تا به صورت دوره ای درستی فایل های سیستم بحرانی را تحقیق نماید. MD5 ( یك تابع درهم ساز یك طرفه ) یك الگوریتم بسیار مناسب برای محاسبه این نوع اثر انگشتهای قوی می باشد. با محاسبه یك اثر انگشت Encrypt شده قوی برای فایل های سیستمی مهم یك هكر قادر نخواهد بود كه فایلی را تغییر داده و با همان اثر انگشت وارد شود.TripWire یك ابزار قوی برای تست صحت است كه در سایت آشیانه برای دانلود قرار داده شده است. TripWire درهم سازی MD5 ای از فایل های بحرانی مثل/etc/passwd/bin/login - ls - ps و ... ساخته و به صورت دوره ای این درهم سازی را با یك پایگاه داده ای امن مقایسه می كند. در صورت تغییر در MD5 یك سرویس سریع به مدیر سیستم اطلاع می دهد. همچنین در RootKit های سطح هسته Scan پورت ها در شبكه كه با استفاده از ابزارهایی مثل Nmap صورت گیرد پورت های شنونده را به مدیر امنیتی سیستم نشان خواهد داد. به همین دلیل پویش دوره ای سیستم در طول شبكه برای پیدا كردن رد RootKit بسیار مفید است.

در آخر ذكر این نكته لازم است كه اگر سیستم شما با تمام این ملاحظات آلوده به RootKit شد بهترین راه از بین بردن آن فرمت هسته و نصب مجدد سیستم عامل است.

برگرفته از سایت iritn

برنامه‌های امنیتی خود را بهینه كنید

تاكنون ویروس‌ها و كرم‌های اینترنتی متعددی شناسایی شده‌اند كه روز به روز هم بر تعداد آنها افزوده می‌شود. برای ایمن نگهداشتن كامپیوتر خود در برابر این حملات نیاز به ابزارهای ضد ویروس و ضد جاسوسی پیشرفته‌ای داریم. ولی تنها نصب این نرم‌افزارها كافی نیست. در اینجا به نكاتی اشاره می‌كنیم كه به شما كمك می‌كنند تا از ابزارهای امنیتی خود بهتر استفاده كنید.

به طور منظم سیستم خود را كاملاً اسكن كنید

یك اسـكن كامل از سـیستم چـیست؟ اسـكنی كه رجیستری ویـندوز را در زمـان راه‌اندازی سیستم بررسی كرده و نیز به بررسی فایل‌های غیر قابل اجرا، فایل‌های بایگانی و فایل‌های با اندازه‌های متفاوت می‌پردازد. در اكثر اسكن‌ها؛ فایل‌های بایگانی، فایل‌های خیلی بزرگ و گاهی اوقات فایل‌های غیر قابل اجرا نادیده گرفته‌ می‌شوند. اسكن كامل زمان بیشتری می‌برد ولی بررسی دقیق‌تری انجام می‌دهد. اگر نگران ویروس‌ها هستید، به یاد داشته باشید كه از دست دادن فقط یك فایل معیوب بهتراز دست دادن تمام  فایل‌ها است. بنابراین توصیه می‌شود كه به طور منظم سیستم خود را اسكن كامل كنید. میزان ترتیب انجام این كار بستگی به میزان استفاده‌ای دارد كه از كامپیوتر خود می‌برید. اگر هر روز با فایل‌های ورودی/خروجی و پست‌های الكترونیكی زیادی سر و كار دارید، بهتر است كه از نرم‌افزارهای ضد ویروس و ضد جاسوسی طبق برنامه‌ای خاص استفاده كنید و هر شب اسكن كامل انجام دهید مگر اینكه از كامپیوترتان زیاد استفاده نكنید. از آنجا كه یك اسكن كامل می‌تواند ساعت‌ها به طول بینجامد، در صورتی كه می‌خواهید كاری با كامپیوترتان انجام دهید، می‌توانید موقتاً از انجام آن صرف نظر كنید. 

اسـكـن كـامـل را تـوسـط بـرنامـه‌های ضد جاسوسی نیز انجام دهید

ویروس‌ها نسبت به نرم‌افزارهای جاسوسی مضرتر هستند ولی این نرم‌افزارها موذی‌ترند. اگر شخصی به طور مرتب مراقب باشد كه به چه وب‌سایتی وارد می‌شوید و سپس آنها را به یك شركت دیگر بفروشد، چه كار می‌كنید؟ این كاری است كه نرم‌افزارهای جاسوسی انجام می‌دهند، بنابراین از آنها غفلت نكنید. خواه از یك بـرنـامه كـوچـك مـثـل www.lavasoftusa.com)Ad-Aware) اسـتفاده كنـیـد یـا یـك بـرنـامـه دارای ویـژگی‌هـای مـتعـدد مـثل www.steganos.com) Steganos Antispyware)، اسـكن‌های كامل می‌توانند از ورود این جاسوسان به سیستم شما پیشگیری كنند. بدین منظور، اسكن كامل یك بار در هفته كافی است ولی اگر دائماً نرم‌افزارهایی را نصب و حذف كرده و بعضی نرم‌افزارها را بررسی می‌كنید، بهتر است اسكن‌های بیشتری انجام دهید.

یك ابزار ضد جاسوسی خوب این امكان را فراهم می‌آورد كه به طور روزانه و بدون نیاز به نصب مجدد آن، سیستم خود را بررسی كنید.

هـر روز بـه دنـبـال بـه روز رسـانی‌های نرم‌افزارهای ضد ویروس باشید

بعضی از برنامه‌های ضد ویروس به طور خودكار و پیش‌فرض، به روز رسانی‌های خود را از اینترنت دریافت می‌كنند. بررسی كنید آیا برنامه‌ شما نیز دارای این ویژگی است یا خیر؟ اگر این طور نیست، بهتر است كه هر روز به طور دستی این كار را انجام دهید.

اگر مدت دو هفته است كه هیچ نسخه به روز رسانی‌شده‌ای را دریافت نكرده‌اید، بررسی كنید آیا برنامه ضد ویروس شما درست كار می‌كند یا خیر؟ اگر این طور است و به روز رسانی برای آن در سایت شركت سازنده وجود ندارد، سعی كنید كه از برنامه‌ دیگری استفاده كنید. بیشتر ویروس‌ها به ندرت ظاهر می‌شوند، ولی باید دائم مراقب آنها باشید.

بـرنـامـه Firewall ویـنـدوز را فـقـط زمـانی غـیر فعـال كـنیـد كـه بـه صـورت offline كار می‌كنید.ُ

اگر به اینترنت متصل باشید، كامپیوتر شما در معرض خطر حملات ویروس‌ها قرار دارد. بهترین دفاع در برابر آنها برنامه Firewall است،‌ بنابراین هیچ وقت آن را خاموش نكنید مگر اینكه از اینترنت خارج شوید.

بعضی از نرم‌افزارها كه دارای ویژگی‌های خوبی هستند نیز امكان استفاده بهتر از Firewall را نسبت به خود برنامه ویندوز فـراهم می‌آورند. اگـر یـك بـرنامه Firewall سومی را بـر روی سیستم خود نصب و اجرا می‌كنید، ابتدا از اینترنت خارج شده و سپس Firewall قدیمی خود را خاموش كنید. لازم نیست كه دو برنامه Firewall با هم بر روی سیستم اجرا شوند، زیرا بر عملكرد هم تاثیر می‌گذارند.

با تنظیمات كنترل شبكه برنامه Firewall خود آشنا شوید

خواه به یك شبكه محلی (LAN) متصل باشید یا نه، شما و كامپیوترتان بخشی از بزرگ‌ترین شبكه گسترده (WAN) موجود یعنی اینترنت خواهید بود. تنظیمات شبكه‌ای برنامه Firewall شما، ابزارهایی مناسب برای كار در وب‌ به صورت روزانه خواهند بود. فیلتر كردن برنامه‌های اضافه این امكان را به شما می‌دهد كه به برنامه Firewall بفهمانید كه چه برنامه‌هایی اجازه دسترسی به سیستم شما را خواهند داشت. این ویژگی همچنین این امكان را فراهم می‌آورد كه برنامه‌های كامپیوتر شما نتوانند خودشان وارد اینترنت شوند. بعضی از برنامه‌ها این كار را گهگاهی برای یافتن به روزرسانی‌های خود انجام می‌دهند و بعضی دیگر ممكن است كه فعالیت ویروس‌ها و نرم‌افزارهای جاسوسی را مشخص ‌كنند.

نكته: بعضی از برنامه‌های Firewall باید طوری تنظیم شوند كه به صورت خودكار هر زمانی كه كامپیوتر خود را روشن می‌كنید شروع به كار كنند. نادیده گرفتن این كنترل منجر به ورود شما در اینترنت بدون هیچ گونه محافظتی می‌شود.

از یك برنامه راهنمای محتوا استفاده كنید.

برنامه‌های راهنمای محتوا در كنار برنامه‌های Firewall و برنامه‌های اسكن كننده ویروس یاب بلادرنگ برای پیشگیری از حملات به كار می‌روند. آنها كاملاً می‌دانند كه چه سایت‌هایی می‌توانند تنظیمات پیش‌فرض مرورگر را تغییر داده و به صورت خودكار نرم‌افزاری را بدون اطلاع شما نصب كنند یا اینكه در زمانی كه مطلبی را از آنها دریافت می‌كنید، شما را به لیست هرزنامه‌ها اضافه كنند. این برنامه‌ها با مـطلع كردن شـما بـرای عدم ورود به این سـایت‌ها، از آسـیب دیدن سیـستم شـما پیشگیری می‌كـنند. بـرنـامه‌ رایـگان SiteAdvisor مـحـصول شـركـت www.siteadvisor.com) McAfee) از جـمـله ایـن برنامه‌هاست.

نكته: می‌توانید از تجزیه و تحلیل Online این برنامه برای ورود به یك آدرس وب و تحلیل محتوای آن استفاده كنید، ولی این روش نسبت به اجرای برنامه در پس زمینه در زمان جست‌وجو در اینترنت، وقت گیر‌تر است.

جــسـت ‌و جــو در وب بـــدون IE و Outlook Express

هـكرها بیـشتر تـمركزشان را بـر روی ایـن دو برنامه مـحصول شـركـت مـایـكروسـافت قـرار می‌دهـنـد، زیـرا مـتداول‌ترین مـرورگـر و بـرنـامـه پـسـت‌ الـكـترونـیك هـسـتـنـد. اگـر از بـرنامه‌های دیـگری مـثل Opera یا Firefox برای مـرور وب و www.pocomail.com) Pocomail) بـرای ارسـال و دریافت پست‌الكترونیك استفاده كنید، شانس بـیشتری برای ایمن ماندن نسبت به حملات آنها خواهید داشت.

نكته: اگر قـصد استفاده از برنامه Outlook Express را دارید، قاب پیش‌ نمایش آن را ببندید، زیرا پیش‌ نمایش پست‌الكترونیك می‌تواند باعث ایجاد مشكلاتی شود.

استفاده از برنامه‌های مناسب هنگام دریافت یا بازكردن هر چیزی

برنامه‌های ضد ویروس و ضد هرزنامه‌ای كه از آنها استفاده می‌كنید، ابزارهای بسیار خوبی هستند، ولی نمی‌توانند جلوی به‌خطر افتادن شما را بگیرند. بعضی از پست‌های الكترونیك دارای عناوینی فریبنده هستند. اگر چه ممكن است كه بعضی از آنها این طور نباشند ولی بـیشتر كاربـران در دام آنـها می‌افتند. بـسیـاری از بـرنامه‌های ضـد ویــروس، مــثـل McAfee Internet Security Suite  و Norton SystemWorks 2007 Premier، می‌تـوانـنـد ایـن نامه‌های الـكترونیك فریبنده را تشخیص دهند.

تلفن همراه هدف بعدی ویروس‌ها

مطالعات نشان می‌دهد که خطر حملات ویروس‌ها و اسپم‌ها به تلفن‌های همراه در حال افزایش است متخصصان امنیت دیجیتال می‌گویند که این حملات در ابتدای راه است و با گذشت زمان همان اتفاقی برای تلفن‌های همراه می‌افتد که برای کامپیوتر‌های شخصی افتاد.

استفاده از نرم افزار‌های امنیتی هنوز در بین تلفن‌های همراه رایج نشده است و به همین دلیل هشدار‌ها در این زمینه از سوی سرویس دهنده‌های تلفن همراه داده می‌شود.

آن‌ها به دارندگان تلفن‌های همراه اخطار داده‌اند که از تکنیک‌های امنیتی مشابه ویروس‌یاب‌های کامپیوتر‌های شخصی استفاده نمایند.

انستیتو فن‌آوری امنیت اطلاعات جورجیا (GTISC) در آمریکا در گزارش سالانه خود اعلام کرده‌است که تلفن‌های همراه به یکی از آسیب‌پذیرترین دستگاه‌ها از نظر امنیتی تبدیل شده‌اند.

این گزارش می‌گوید که با بالا رفتن تقاضا و استفاده از گوشی‌های تلفن هوشمند یا  Smart Phone، نرم‌افزار‌های بانکی و پرداخت از راه دور جدیدی برای این دستگاه‌ها به بازار عرضه می‌شوند که آن‌ها را به یکی از اهداف هکرها تبدیل می‌کند.

سایمون کانی از موسسه Adaptive Mobile در این باره می‌گوید که حملات به تلفن‌های همراه یادآور روزگاری است که ویروس‌ها و اسپم‌ها در بین کامپیوتر‌های شخصی به تازگی شایع شده‌بودند. موسسه ایرلندی Adaptive Mobile با سرویس دهنده‌های موبایل همکاری می‌کند و حملات موبایل را ردیابی می‌کند.

آقای کانی می‌گوید: «یکی از شایع ترین اهداف حملات جدی به سیستم عامل ‌ها،سیستم سیمبین (Symbian) است. این ویروس‌ها با استفاده از لیست شماره‌ها کار خود را شروع می‌کنند و با نفوذ به آن خود را برای افرادی که با تلفن‌ همراه تان تماس گرفته‌اند می‌فرستند و به این ترتیب تکثیر می‌شوند. سرویس دهنده‌های موبایل در بریتانیا همه ساله 100هزار ویروس را در شبکه خود دریافت می‌کنند که این مقدار  50درصد نسبت به سال پیش افزایش داشته است.

او می‌افزاید: «با این حال اکثر استفاده کنندگان از این سرویس‌ها از خطر حمله ویروس‌ها در امانند چون هنوز ویروس‌ها و حملات بسیار ساده هستند. با این حال در چند ماه اخیر پیشرفت‌هایی در این زمینه وجود داشته است. برای مثال ویروس‌ها در گذشته به صورت فایل‌های برنامه قابل اجرا ارسال می‌شدند که این امر کار را برای ما آسان می‌کرد. ولی هم اکنون فایل‌های ویروسی به شکل  mp3 و یا عکس و ویدئو ارسال می‌شوند.

جدیدترین ویروسی که توسط این شرکت شناسایی شده است Beselo نام دارد که از طریق MMS و یا بلوتوث تکثیر می‌شود.

او می‌افزاید: وقت آن رسیده است که کاربران تلفن همراه همان روش‌هایی را به کار بگیرند که برای ایمن کردن کامپیوتر شخصی‌شان به کار می‌برند. قبل از باز کردن ضمیمه‌های SMS و MMS از سالم بودن آن اطمینان حاصل کنند، قبوض تلفن خود را کنترل کنند و بلوتوثشان را بر روی حالت پنهان (Stealth) قرار دهند.

متخصصان، استفاده از سیستم عامل‌های Open-Source مثل آندروید گوگل را پیشنهاد می کنند زیرا این سیستم‌ها به سازندگان برنامه‌های امنیتی و حفاظتی، در ساخت برنامه‌های جدید و قابل نصب کمک می‌کنند.

آماری از آسیب پذیری ضد ویروس ‌ها!

در ماه گذشته چند آسیب پذیری در برنامه ها و محصولات امنیتی TREND MICRO گزارش شده است. (شركت TREND تهیه كننده نرم افزار معروف و قدیمی PC-CILLIN می باشد)

در اولین آسیب پذیری، حمله كننده می تواند از آن برای حملات عدم سرویس دهی (DOS) و همچنین اجرا كد استفاده کند. اشکال در تحلیل و بررسی فایل های فشرده اجرایی UPX میتواند هنگام بازكردن و تحلیل چنین فایل هایی باعث سرریز و كرش ( توقف برنامه ) و در نهایت اجرا كد دلخواه گردد .

دومین آسیب پذیری در IOCTL HANDLER در محصولات TREND MICRO در صورت بهره برداری می تواند باعث ارتقا دسترسی در سطح كرنل گردد .

البته برای هر دو آسیب پذیری مكمل های امنیتی انتشار یافته اند كه اكیدا توصیه می شود به نصب آنها اقدام نمایید .

آسیب پذیری در نرم افزار های ضد ویروس و امنیتی سابقه زیادی دارد. و این محصولات امنیتی بارها توسط هكر ها و متخصیصین امنیت مورد حمله قرار گرفته اند.

برای مثال می توانید به گزارش آسیب پذیری های نرم افزار های امنیتی تگاهی بكنید شاید چنین لیستی برای شما جالب و در انتخاب محصولی امن‌تر راهنما باشد . فراموش نكنید نرم افزار های ضد ویروس نقش اساسی در امنیت سیستم های خانگی و دولتی دارد.

براساس تحقیقات انجام شده در سایت SECUNIA تعداد و آمار آسیب پذیری آنتی ویروس ها را به شما ارایه می كنیم.

دقت كنید برای شمارش آسیب پذیری ها نه فقط نرم افزار آنتی ویروس بلكه تمام محصولات شركت مورد بررسی قرار گرفته اند .

MCAFEE

35 آسیب پذیری در نرم افزار های شركت MCAFEE گزارش شده است. این تعداد بسیار زیاد بوده البته طبیعی است به علت معروفیت این شركت هكر ها هم تمایل زیادی برای كشف آسیب پذیری در محصولات این شركت دارند .

KASPERSKY

12 آسیب پذیری در نرم افزار آنتی ویروس KASPERSKY گزارش شده است.

TREND MICRO

22 آسیب پذیری در نرم افزار های TREND MICRO گزارش شده است كه البته آمار بالا یی می باشد.

AVAST!

8 آسیب پذیری در نرم افزار ضد ویروس AVAST! گزارش شده است كه نشانه عملكرد خوب شركت است.

PANDA

4 آسیب پذیری در نرم افزار های PANDA كه آمار بسیار جالب و خوبی برای این شركت است.

CLAMAV

22 آسیب پذیری برای این نرم افزار غیر ویندوزی آمار چندان مناسبی نیست.

SYMANTEC

بیش از 60 آسیب پذیری كه برای این غول امنیتی كه این آمار بسیار تاسف بار است.

به نرم‌افزار امنیتی خود اطمینان دارید؟

به دلیل حجم عظیم تقاضا از سـوی بـازار، صنعت نرم‌افزارهای امنیتـی مانند یك قارچ در حال رشد است. این خبر با توجه به تعداد زیاد هكرها و برنامه‌های نفوذگر‌ی بـاعث خـوشحالی است. هیـچ برنامه ضد ویروسی نمی‌تواند به تنهایی و به طور كامل از سیستم حفاظت كند. یك راه حل چند لایه كه شـامل مجموعه متعددی از برنـامه‌ها باشد، می‌تـواند بهترین گزینه در بـرابـر تهدیدهـای جدیـد باشد زیـرا در این روش هر بـرنامه نقاط ضعف برنامه های دیگر را می پوشاند.

شما به یك ابزار «تحلیل پایه كامپیوتر» نیاز دارید تا برنامه‌های جاسوسی و برنامه‌هایی را كه به صـورت خودكـار به همـراه ویندوز شروع به كار می‌كنند را بررسـی و شناسایـی كنید. یكی از شناخته شده‌ترین ابزارهـا در این رابطه، برنامه كمكی HIJACKTHIS است كه بیشتر برنامه هـای آغازین را شناسایـی و پـردازش می كنـد اما در مورد اینكه كدام یك تهدیدی واقعـی به شمار می‌آید، معیاری ایجاد نمی‌كند.

برنامه رایگان X-RAYPC ارائه شده توسط شركت XBLOCK SYSTEMS را نیز در نظر داشته باشید. با كلیك روی دكمه ONLINE ANALYSIS، این برنامه شـروع به شناسایی نـرم‌افزارهـای بی‌ضـرر می‌كند و بدین ترتیب در جست وجوهای خود كمتر با برنامه‌های مضر مواجه می‌شویم. نرم‌‌افـزار ضـد ویروس یـك نیـاز است اما كاملا بـاعث آسودگی خیـال نمـی‌شود. اگر كامپیوتـری توسط یك ویروس آلوده شود و شركت سازنده ضد ویروس نصب شده بر روی كامپیوتر هنوز راه حلی بـرای آن ویـروس ارائه نكـرده باشد؛ آنگاه با بررسـی سیستم خود توسط آن ضد ویروس هیچ خطری دریافت نمی كنید و با وجود آلوده بودن سیستم، برنامه ضد ویروس، سیستم شما را پاك تشخیص می دهد. اگر برنامه مشكوكی بر روی سیستم شما قرار دارد ولی برنامه ضد ویروس هیچ خطری را اعلام نمی كند. آنگاه می توانید با استفاده از دو راه حلی كه در دو سایت زیر وجود دارد، مشكل خود را حل كنید:

به سایتVIRUSTOTAL.COM مراجعه كنید و فایل مشكوك را به آن سـایت انتقال دهید تا توسط 23 برنامه ضد ویروس موجود در این سـایت، فایل را به طور كامـل اسكن كنید یـا آنكه بـرای نتیجه گیری سریع‌تر به سایت JOTTI واقع در آدرسHTTP://VIRUSSCAN.JOTTI.ORG/ مراجعه كنید. این سایت با 15 برنـامه ضد ویـروس فایل را بررسی می‌كند.

برنامه‌های ضد ویروس و ضد جاسوسی هر دو سعی می كنند تا از طریق شناسایی انواع مشخصی از برنامه‌ها و ویژگی‌های انتقـال دهنده پیـام، تهدیدهای جدیـد را رفـع كنند. امـا چگونـه می‌توان از موثـر بـودن روش محـافظتی مـورد استفاده تـوسط ایـن برنامه‌ها مطمئن شد؟

در این راستا نرم افزار رایگان SPYCAR را به شما معرفی می كنیم كه مجموعه ای از ابزارها است كه عكس العمل برنامه ضد ویروس یا ضد جاسوسـی شما را در برابر اعمـال یك برنـامه جاسوسی بررسی می‌كند. نفوذهایی كه این برنامه در سیستم شما انجام می‌دهد، عبارتند از: تغییر فایل WINDOWS HOSTS (كه می‌تواند مسیر پیش فرض مرورگر را به سایت‌های موردنظر برنامه جاسوسی تغییر دهد)، اضافه كردن موارد ناخواسته به لیست FAVORITES در بـرنـامه INTERNET EXPLORER یـا ایجـاد تغییرات در رجیستری ویندوز. یك برنامه امنیتی با ارزش باید بتواند این دستكاری‌هـا را ردیابی كند و در مورد آنها اخطار دهد و حتـی جلوی این كارها را بگیرد.

اجرای برنامه SPYCAR به سیستم شما صدمه نمی‌زند اما اگر این برنامه را اجرا كنید و برنامه ضد ویروس یا ضد جاسوسی نصب شده در سیستم شما هیچ اعلان خطری نكند؛ آنگاه زمان آن فرارسیده است كه یك برنامه امنیتی جدید تهیه كنید.

منبع : ماهنامه وب

کرم اینترنتی با عنوان جعلیIE7

یک کرم جدید اینترنتی که در هفته گذشته منتشر شد، خود را به عنوان نسخه آزمایشی مرورگر اینترنت اکسپلورر مایکروسافت معرفی می کند.

ایمیلی با عنوان جعلی و گمراه کننده نظیر "admin@microsoft.com" شامل یک فایل الحاقی است که به عنوان نسخه آزمایشی مرورگر مایکروسافت معرفی شده ، اما در حقیقت یک کرم اینترنتی خطرناک است. این فایل با نام ‘ie7.0.exe’ در واقع حاوی کرم Grum-A  است.

گراهام کلولی (Graham Cluley) مشاور ارشد فناوری در شرکت امنیتی سوفوس (Sophos) می گوید: «این گونه کرم‌های اینترنتی بسیار سریع منتشر می‌شوند، زیرا بسیاری از مردم هنوز نیاموخته‌اند که باید به ایمیل‌های ناخوانده و ناشناس ظنین شد، به ویژه اگر این ایمیل‌ها خود را از سوی شرکت های شناخته شده ای نظیر مایکروسافت معرفی کنند.»

وی می افزاید: «مشکل اصلی اینجاست که این ایمیل ها بسیار واقعی به نظر می رسند و تصویری که نمایش می‌دهند، بسیار شبیه تصاویری است که مایکروسافت برای تبلیغ IE7 در وب سایت خود استفاده می کند.»

با نصب این کرم، فایل های اجرایی ویندوز در رجیستری آلوده شده و این فایل های آلوده به طور خودکار خود را در شاخه winlogon.exe\ کپی می کنند. این کرم همچنین خود را روی Systems.dll نصب می‌کند.

کامپیوتر آلوده شده قادر خواهد بود بدون آگاهی کاربر اقدام به دانلود فایل و همچنین ارسال ایمیل های آلوده و ناخواسته کند.

منبع: همكاران سیستم

آشنایی با کرم Dref-AF

توضیحات:

Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.

این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس  "random name@yahoo.com"  به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :

Subject line (موضوع ایمیل):

  Iran Just Have Started World War III

  USA Just Have Started World War III

  Israel Just Have Started World War III

  Missle Strike: The USA kills more then 10000 Iranian citizens

  Missle Strike: The USA kills more then 1000 Iranian citizens

  Missle Strike: The USA kills more then 20000 Iranian citizens

  USA Missle Strike: Iran War just have started

  USA Declares War on Iran

Attachment filename(فایل‌های الحاقی):

  Video.exe

  News.exe

  Movie.exe

  Read Me.exe

  Click Me.exe

  Click Here.exe

  Read More.exe

  More.exe

همچنین زمانی که  کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .

 سپس Dref-AF مدخل زیر را پاک می کند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

مدخل زیر را نیز تغییر می دهد :

 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

توصیه ها:

  1. به روز كردن آنتی ویروس

  2.روش پاك سازی دستی توسط آنتی ویروس  سوفوس برای Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پایین تر :

برای حذف یك تروجان كارهای زیر را انجام دهید :

•   همه ی برنامه های خود را ببندید

•   مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا كنید

•   تب ""Immediate"" و سپس درایو مورد نظر  را انتخاب كنید

•   به Options|Configuration رفته و تب ""Disinfection"" یا  ""Action"" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete"را انتخاب كنید  و در آخر OK را بزنید.

•    برای اجرا كردن پویش،"scan" یا دكمه "GO" را بزنید.

•   فایل های مورد نظر را پاك كنید، سپس یك پویش دیگر را اجرا كنید تا مطمئن شوید پاك سازی صورت گرفته است.

•   به Options|Configuration برگردید و تب "Disinfection",  "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنید  و در آخر OK را بزنید.

•  كامپیوتر را Reboot كرده و پویش نهایی را اجرا كنید تا كاملا مطمئن شوید پاك ساری صورت گرفته است

3. روش پاك سازی به صورت دستی :

 ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.

پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.

در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .

برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File  و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخل‌های:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Agent

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Start

4

 هر مدخلی كه به فایلی اشاره می كرد حذف كنید.

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.

كرم Storm و افزایش تعداد قربانی‌ها

هرزنامه نویس‌ها با یك تیز دو نشان را هدف قرار داده اند. بنا بر گزارش شركت MessageLabs، ایمیل‌های ارسالی حاوی مزایده اجناس دسته دوم توسط هرزنامه‌ها حاوی لینكی از یك كد مخرب می‌باشند. محتوای این هرزنامه‌ها نشان می‌دهد كه این گروه خرابكار اعتقاد داشتند كه دریافت كننده هرزنامه هر چند نیازمند خرید اجناس دسته دوم نباشد اما احتمال زیادی وجود دارد كه روی لینك كد مخرب كلیك خواهند كرد.

MessageLabs در چند روز گذشته بیش از 3500 ایمیل دریافت كرده است كه حاوی این محتوای مخرب می‌باشد و این نشان می‌دهد كه آنها در پی آزمایش كاربران می‌باشند تا رفتار آنها را نسبت به هرزنامه‌های دریافتی زیر نظر داشته باشند.

Mark Sunner مدیر بخش تكنولوژی شركت Mark Sunner در این زمینه می گوید :« ما كلیه این فعالیت‌ها را به دقت زیر نظر داریم و ایمیل‌های گروهی آنها نشان می‌دهد كه در حال آزمایش سطح رفتار كاربران هستند. اگر شما هرزنامه‌های زیادی را بررسی كنید كاملا از روی محتوا و اندازه‌های آنها به رفتار شبكه های Bot پی خواهید برد.»

كرم Storm كه در اصل یك تروجان می باشد به خودی خود منتشر نمی شود اما هرزنامه نویس‌ها و صاحبان اصلی شبكه‌های Bot توسط انتشار آن از طریق ایمیل، شبكه‌های خود را گسترش و تعداد قربانی‌ها را افزایش می دهند. هر چند در روش‌های قدیمی مهاجمین با استفاده از كرم‌ها و ویروس‌ها شبكه‌های Bot را گسترش می‌دادند اما در عمل كنترل كمتری روی قربانی‌های خود داشتند اما با گسترش كرم Storm توسط هرزنامه ها، شبكه‌های Bot قابل كنترل‌تر خواهند شد.

از همه مهمتر آنكه روش‌های قدیمی شناخت ویروس‌ها نیز قادر نخواهد بود انواع مختلف این كرم را شناسایی كند زیرا كه نوع جدید می‌تواند بلافاصله بعد از كلیك كاربر ایجاد شود و روی سیستم قربانی نصب گردد.

توضیح: شبكه‌های Bot به شبكه‌های مجازی‌ای اطلاق می‌شود كه از به هم پیوستن كامپیوترهای اسیر، یعنی كامپیوتر كاربرانی كه قربانی این ترفندخرابكارانه می‌شود، به‌ وجود می‌آیند. در این شبكه‌ها، كامپیوترهای اسیر، گوش به فرمان اجرای دستوراتی هستند كه یك هكر صادر می‌كند و تروجان‌های مستقر بر روی این كامپیوترها، به آن عمل می‌كنند.

منبع : همکاران سیستم

نرم‌افزارهای رایگان كشف روتكیت پاندا 

شركت امنیتی پاندا از ارائه دو نرم‌افزار رایگان برای ردیابی و كشف روتكیت(Rootkit) خبر داد. این نرم‌افزارها كه قابل دریافت هستند، علاوه بر كشف روتكیت‌های شناخته و ثبت شده، قادرند روتكیت‌های مخرب‌ ‌ناشناخته و جدید را نیز در بدو انتشار خود شناسایی و ردیابی كنند. Panda NanoScan برای ردیابی بسیار سریع  روتكیت‌های مخرب و فعال استفاده می‌شود و با بررسی عملكردهای در حال اجرای سیستم و مقایسه آن‌ها با داده‌های موجود در پایگاه بزرگ اطلاعات امنیتی، عملكردهای مخرب را شناسایی می‌كنند و نتیجه را به كاربر اطلاع می‌دهد.

Panda TotalScan ابزار دیگری است كه علاوه بر  به‌كارگیری روش فوق برای ردیابی كدهای مخرب فعال، ویروس‌ها و روتكیت‌های غیرفعال سیستم را نیز با بررسی دقیق كلیه قسمت‌های آن‌ها، شناسایی و كشف می‌كند.

روتكیت‌ها برای پنهان كردن و عدم نمایش فایل‌ها، پردازش‌ها،‌ عملكردها و یا ورودی‌های رجیستری در سیستم‌عامل، طراحی و استفاده می‌شوند. هرچند خود این برنامه‌ها به هیچ وجه مخرب نیستند، خرابكاران و مجرمان اینترنتی اغلب از آن‌ها برای مخفی كردن كدهای مخرب و حملات رایانه‌ای استفاده می كنند.

روتیکت‌ها می‌توانند از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ كنند و مدت زیادی با خیال راحت با نصب ردیاب‌ها ( Sniffer ) و دیگر برنامه‌های مانیتورینگ بر روی سیستم، اطلاعاتی را كه نیاز دارند بدست آورند.

خطرناكترین مطالب در جستجوها

آیا تا به حال اندیشیده‌اید كه نتایج جستجوی اینترنتی شما در یك موتور جستجو (هر چند معتبر و معروف) می‌تواند خطرناك بوده و شما را به سمت سایت‌های آلوده رهنمون كند؟

طبق تحقیقات به عمل آمده توسط شركت McAfee یكی از معتبرترین شركت‌های ضد ویروس جهان، جستجوی اینترنتی در زمینه موزیك و تكنولوژی در صدر خطرناكترین جستجوها قرار دارند و احتمال اینكه نتایج این جستجوها، كاربران را به سایت‌های حاوی ویروس، اسپم و كرم‌های اینترنتی راهنمایی نماید، بسیار زیاد است.

به عنوان مثال 42 درصد از كسانی كه به دنبال كلماتی نظیر"Screensavers" هستند به سمت سایت‌های قرمز یا زرد از لحاظ امنیتی سوق داده می‌شوند (قرمز – زرد- سبز درجه امنیتی سایت‌ها از دیدگاه آلوده بودن می‌باشد كه معمولا بین شركت‌های ضد ویروس به عنوان یك قرارداد در نظر گرفته شده‌اند) از جمله كلمات كلیدی خطرناك دیگری كه توسط این شركت اعلام شده‌اند كلماتی هستند كه شامل نام نرم‌افزارهای اشتراك فایل مانند BearShare ,Kazaa, LimeWire  می‌باشند.

با این‌حال McAfee به كاربران توصیه می‌كند كه از موتورهای جستجوی معروف استفاده كنند زیرا در كل تنها 4 درصد از نتایج جستجو خطرناك می‌باشند (سال گذشته این رقم 5 درصد بوده كه با كوشش موتورهای جستجو به 4 درصد كاهش داشته است).

جالب اینكه ریسك استفاده از موتورهای جستجو می‌تواند بیشتر هم شود آن هم زمانی است كه شما بر روی تبلیغات كنار صفحات كلیك می‌كنید. به گفته McAfee، هفت درصد از این كلیك‌ها شما را به سایت‌های آلوده راهنمایی می‌كند (این رقم نیز سال گذشته 8.5 درصد بوده كه با تدابیر لازم به 7 درصد كاهش داشته است).

لازم به ذكر است در این تحقیق سایت‌هایی خطرناك تلقی شده‌اند كه دارای ویروس، نرم‌افزارهای جاسوسی، ارسال جانك ایمیل و تبلیغات پوپ‌آپ بیش از اندازه باشند. نتایج این تحقیق از جستجوی 2300 كلمه كلیدی و پر مصرف در پنج موتور جستجوی معروف یعنی گوگل، یاهو، MSN مایكروسافت، AOL و ASK به دست آمده است.

برخی از این موتورهای جستجو نیز با همكاری با شركت‌های ضد ویروس نظیر McAfee ، در كنار نتایج جستجو به كاربران درجه خطرناك بودن سایت را در داخل یك پنجره كوچك (مانند پرچم) نمایش می‌دهند و كاربران می‌توانند با مشاهده آن، از ورود به سایت‌های خطرناك، خودداری كنند.