براي مقابله با آنفلوانزاي اينترنتي آماده شويد

پژوهشگران با الهام از روش‌هاي مقابله با همه‌گيري آنفلوانزاي نوع آ، روش جديدي براي حفاظت از اينترنت در برابر حملات گسترده کرم‌هاي اينترنتي يافته‌اند.

محبوبه عميدي: ساعت 5:30 روز ششم بهمن‌ماه 1381 به وقت جهاني، کرم اينترنتي Slammer فعاليت خود را آغاز و تنها ظرف مدت چند‌ دقيقه حدود 90 درصد از کامپيوترهاي آسيب‌پذير را آلوده کرد. ارتباطات اصلي شبکه قطع شد، دستگاه‌هاي خودپرداز از کار افتادند و خطوط هوائي ناچار به لغو پروازهايشان شدند. اين چنين بود که يکي از مخر‌ب‌ترين حملات اينترنتي جهان اتفاق افتاد.

آن‌چه در مورد اسلمر بسيار‌شگفت‌انگيز شد، سرعت سرسام‌آور تکثير و انتقال اين کرم اينترنتي بود، به نحوي که هيچ شانسي براي مداخله و جلوگيري از آن باقي نماند. اما اکنون که شش‌سال از اين اتفاق گذشته، مي‌توان گفت که جهان از شرايط بهتري براي دفاع در برابر بد‌افزارها برخوردار است.

به گزارش نيوساينتيست، اسکات کول از دانشگاه کاروليناي شمالي و بولسلاو زيمانسکي از مؤسسه پلي‌تکينيک رنسلر در تروي، نيويورک؛ مي‌خواهند شرايط دفاعي به مراتب بهتري را فراهم کنند. آنها سيستمي را اختراع کرده‌اند که مي‌تواند از اينترنت در برابر کرم‌ها و بدافزارهاي بسيار‌خطرناک مراقبت کند. اين سيستم بر ايجاد مکانيسم‌هاي دفاعي در قسمت‌هاي کليدي اينترنت استوار است و از لحاظ عملکرد بيشتر به سيستم ايمني در بدن موجودات زنده مي‌ماند.

همه‌گيري آنفلوانزاي نوع آ

براي درک بهتر محدوديت‌‌ها در روش‌هاي فعلي، تصور کنيد يک ويروس زيستي شيوع پيدا کرده و براي مقابله با همه‌گيري آن، فرودگاه‌هاي بزرگ جهان تصميم مي‌گيرند اجازه ندهند هواپيماهايي که از مناطق آلوده به مقصد آنها پرواز کرده‌اند، مسافران را پياده کنند؛ اما در عوض اجازه پرواز مجدد آنها را به نقاط مختلف جهان خواهند داد.

کول مي‌گويد: «شايد با اين روش فرودگاه‌ها بتوانند ساکنان بومي را از خطر ابتلا به بيماري نجات دهند، اما در مورد ساير نقاط جهان چطور؟ مکان‌هاي ديگري که اين هواپيما فرود خواهد آمد؟ به نظر مي‌رسد قرنطينه هواپيماهاي برخاسته از مناطق آلوده و جلوگيري از پرواز آنها به اقصي نقاط جهان استراتژي به مراتب مؤثر‌تري باشد».

کول و زيمانسکي، روشي مانند قرنطينه هواپيماها را براي جلوگيري از انتشار کرم‌ها در سطح اينترنت پيشنهاد کرده‌اند. کرم‌هاي اينترنتي برنامه‌هاي نرم‌افزاري کوچکي هستند که قابليت خودتکثيري دارند. اين برنامه‌ها اگر يک کامپيوتر را آلوده کنند، از طريق آن شروع به اسکن اتفاقي ديگر کامپيوترهايي مي‌کنند که با دستگاه اول از طريق اينترنت در ارتباطند و با يافتن کامپيوترهايي که حفره امنيتي دارند، خودشان را درون دستگاه‌هاي جديد کپي مي‌کنند و با تکرار اين روش به تکثير ادامه مي‌دهند. ميزان آسيبي که يک کرم مي‌تواند به شبکه و کامپيوترها بزند، به دوچيز بستگي دارد، يکي اينکه اين کرم با چه تعداد دستگاه آسيب‌پذير مواجه خواهد بود و دوم اينکه با چه سرعتي مي‌تواند آنها را اسکن کند.

اسلمر سرعت سرسام‌آوري در اسکن کردن ميزبان‌هاي آسيب‌پذير دارد، به‌طوري‌که اين کرم اينترنتي توانست تنها در چند دقيقه 75 هزار کامپيوتر را آلوده کند. کرم ديگري به نام Code Red نيز توانست در 27 خرداد 1380، حدود 360 هزار کامپيوتر را آلوده کند. با وجود اينکه کد-رد، سرعت تکثير بسيار‌کند‌تري نسبت به اسلمر داشت، اما ميلياردها دلار خسارت به جا گذاشت.

شبيه‌سازي کرم‌هاي جديد

براي تعيين نحوه مقابله با چنين تهديدهايي و بالا‌بردن اثر آن، کول و زيمانسکي، کرم اينترنتي فرضي را در نظر گرفتند که بتواند در هر ثانيه به 4300 ميزبان دسترسي پيدا کند. اين تعداد ميزبان برابر سرعت اسلمر در اسکن کامپيوترهاست و از سوي ديگر، فرض کردند تنها يک‌درصد کامپيوترهاي متصل به شبکه حفره امنيتي داشته باشند. شبيه‌سازي نشان داد ترکيب

سرعت پويش و قدرت تخريب اين کرم مي‌تواند به مراتب خطرناک‌تر از اسلمر باشد و به آثار مخرب‌تري در کامپيوترهاي آلوده منجر شود.

کول و زيمانسکي مي‌گويند راه مقابله با اين دسته از کرم‌هاي اينترنتي، ايجاد هسته‌هاي اينترنتي از کامپيوترها و همکاري اين هسته‌ها با هم است. هر هسته اينترنتي مرکب از ده‌هاهزار «سيستم مستقل» است که هر يک توسط يک (ISP) يا سرويس‌دهنده خدمات اينترنتي اداره مي‌شوند.

اين دو محقق در شبيه‌سازي‌يي که انجام دادند، هر «سيستم مستقل» را به توان شناسايي کامپيوترهاي آلوده که معمولا خودشان را با فرستادن تعداد زياد و تصادفي درخواست‌هاي اتصال با ساير کامپيوترهاي شبکه لو مي‌دهند، مجهز کردند. در نتيجه اغلب اين درخواست‌ها بي‌جواب ماندند. از سوي ديگر هر «سيستم مستقل» که تهديدي را در شبکه‌اش شناسايي کند، علاوه بر اينکه دريافت پيام و انتقال آن را به کامپيوتر آلوده متوقف خواهد کرد، به تمامي سيستم‌هاي همتايش هم هويت منبع تهديد را اطلاع خواهد داد. براي کاهش خطر هشدارهاي نادرست، حد آستانه‌اي براي تعداد گزارشات حمله تعيين شده که در صورت رسيدن تعداد به اين حد نصاب سيستم‌هاي مستقل همتا وارد عمل خواهند شد.

در هر حال، زماني که يک تهديد واقعي شناسايي شود، سيستم‌هاي مستقل مي‌توانند کامپيوتر يا کامپيوترهاي آلوده را در قرنطينه نگهدارند و از تکثير کرم اينترنتي جلوگيري کنند. در نهايت، کامپيوترهاي آلوده را مي‌توان پاک کرد. مطابق شبيه‌سازي انجام شده، چيزي حدود 30 تا 35 درصد کل سيستم‌هاي مستقل موجود در اينترنت براي اجراي اين استراتژي بايد به خدمت گرفته شوند.

کول مي‌گويد: «براي ايجاد اين سپر دفاعي، بايد شرکت‌هاي فراهم‌کننده خدمات اينترنتي بتوانند به يکديگر اعتماد کنند و به همکاري با يکديگر بپردازند. بايد تغييراتي در زيرساخت‌ها صورت گيرد تا در صورت نياز، امکان قطع ترافيک يک آي.اس.پي وجود داشته باشد؛ البته اين در حال حاضر خلاف موافقت‌نامه ميان شرکت‌هاي مختلف فراهم‌کننده خدمات اينترنتي است. اما در نهايت دفاع در مقابل بدافزارها نمي‌تواند شرکت ها را از لحاظ مالي در طولاني‌مدت متضرر کند.

آدريين بالدوين، از متخصصان امنيت آزمايشگاه‌هاي شرکت هولت-پاکارد در بريستول انگلستان مي‌گويد: «احتمالا سرويس‌دهندگان خدمات اينترنتي تمايل چنداني نسبت به استفاده از دستگاه‌هايي که مي‌تواند کسب و کار آنها را به خطر بيندازد، نخواهند داشت. استفاده از اين سيستم مي‌تواند آنها را ميان دوراهي سخت، دفاع از اينترنت يا حفظ مشتريانشان قرار دهد. به عنوان متخصصان امنيت، شما بايد به اين فکر کنيد که در مقابل ضرر اين شرکت‌ها، چه سودي بايد نصيب آنها بشود؟».

شايد اين سرويس‌دهندگان ترجيح مي‌دهند بودجه‌شان را به شکل ديگري صرف کنند، مثلا خريد بسته‌هاي نرم‌افزاري که بتوانند حفره‌هاي امنيتي را شناسايي و مسدود کنند، يا راه حل‌هاي امنيتي ديگري که سرقت‌هاي اينترنتي از کاربران ناآگاه را کاهش دهد. با اين حال کرم‌ها هميشه يک تهديد باقي‌مي‌مانند، مخصوصا اگر حملات سايبري عليه سايت‌هاي دولتي افزايش پيدا کند. اين زمان است که ديگر ناديده‌گرفتن کرم‌هاي اينترنتي غير‌ممکن مي‌شود.

کول مي‌گويد: «حدود 60 درصد از بار ترافيکي ارسال نامه‌هاي الکترونيک به دليل وجود هرزنامه‌هاست. يک سيستم اخطار و غربالگري مشابه مي‌تواند اغلب هرزنامه‌ها را به دام انداخته و اين نقل و انتقال را متوقف کند».

10 حمله سایبری خسارت بار تاریخ

حملات سایبری تنها خوراکی برای فیلم های کم خرج یا ابزاری برای سرگرمی نوجوانان نیستند. این حملات مشکلی بسیار جدی با پی آمدهای واقعی و ملموس برای شرکت ها، کاربران و حتی ملت ها هستند.

طبق بررسی که توسط انستیتو پونمون انجام شده است، بیش از 59 درصد شرکت های کنترل شده، سال گذشته به شکلی مورد حمله قرار گرفته اند. این حملات با افزایش هزینه های جاری، مخارج و دستمزدها، کاهش سود خالص یا شکست پروژه ها، به طور متوسط برای هر کدام بیش از 500 هزار دلار ضرر به دنبال داشته اند.

البته این تنها یک عدد خیلی کلی است. در اینجا به 10 تا از پر هزینه ترین و پر ضررترین حملات سایبری تاریخ می پردازیم، تا بدانید بسیاری شرکت ها هستند که آرزو می کردند این نیم میلیون دلار را درون سطل زباله می ریختند، اما قربانی حملات هکری نمی شدند.

 Citigroup

حجم بسیار عظیمی از سرمایه هزاران گروه و موسسه، روزانه از طریق تبادلات مالی غول هایی همچون Citigroup به جریان می افتد. در ابتدای سال جاری، مقدار بسیار زیادی از پول فوق الذکر و گنجی از اطلاعات حساس کاربران که وسوسه غیر قابل تحملی برای هکرها به حساب می آید، مورد حمله قرار گرفت. نام، اطلاعات تماس، شماره حساب های بانکی و دیگر اطلاعات حیاتی بیش از 200 هزار کاربر مورد دستبرد واقع شد. دزدان خوشبخت هم بیش از 2.7 میلیون دلار پول بی زبان را از حساب کارتهای اعتباری کش رفتند.

باران تایتان

چهره عمومی روابط بین المملی بین دو کشوری که در حال جنگ نیستند، معمولا بر پایه آداب دیپلماتیک استوار است. اما در سال 2004 شاون کارپنتر کارمند آزمایشگاه ملی ساندیا کشف کرد که برخی فایل های ارتش آمریکا هک شده اند و این کار تاباندن نوری بود بر تاریکی لایه های زیرین یک کاروبار جهانی! Taitan Rain کد رمز عملیاتی اف بی آی برای پیگیری نفوذ بسیار گسترده در امنیت ارتش آمریکا و شرکت هایی همانند لاکهید و ناسا بود. این عملیات برای جلوگیری از حملات سایبری بود که توسط گروه های عملیاتی خاصی با حمایت دولت چین انجام می شد. و آخر هم معلوم نشد که این مورد، حملات برنامه ریزی شده دولتی بوده یا اینکه سرگرمی تعدادی هکر فضول و حقه باز بوده است. در حالی که برآورد کمًی اهداف و آسیب احتمالی این حملات امکان پذیر نیست، به صورت بالقوه آنها می توانستند به سرًی ترین اطلاعات دولت آمریکا دسترسی پیدا کنند. همین مورد این حمله را به یکی از اعضای لیست ده تایی ما تبدیل می کند. حمله ای که اگر برآورد آسیب هایش امکان پذیر بود، شاید بزرگترین و مخربترین حمله سایبری تمام دورانها نام می گرفت.

 سیستم های پرداخت Heartland

‏Heartland Payment Systems که کارگزار یکی از سیستمهای پرداخت امن است، در سال 2008 قربانی یک نقشه حساب شده سرقت شماره کارتهای اعتباری شد. با هجوم مخفیانه به شبکه کامپیوتری شرکت توسط یک بدافزار، گروه خرابکار توانستند بیش از 100 میلیون شماره کارت را سرقت کنند. به هر حال برای یکی از مغز های متفکر پشت این کار، آلبرت گونزالس، بعد از گناهکار شناخته شدن توسط قضات فدرال، حکم 20 سال زندان برای جرایم ارتکابی صادر شد. این داستان البته برای شرکت هرت لند سنگین تر از این حرفها تمام شد و بیش از 140 میلیون دلار خسارت در پی داشت. و البته خسارت آن برای شعار شرکت بیش از اینها بود: «بالاترین استانداردها - امن ترین نقل و انتقالات»

 برادران Hannaford

شرکت خرده فروشی خواربار برادران هانافورد یک رخنه چهار ماهه به سیستم های امنیتی اش را از زمستان 2007 تا بهار 2008 تحمل کرد. طی این دوره بیش از 4.2 میلیون شماره کارت اعتباری به همراه دیگر اطلاعات حیاتی کاربران به سرقت رفت. این شاهکار جرایم سایبری با نصب یک بدافزار بر روی سرورهای فروشگاه اتفاق افتاد، که با همه شیوه های رایج هک بانک اطلاعاتی شرکت ها مغایرت داشت. متخصصان میزان ضرر وارده به این برادران سخت کوش را بیش از 252 میلیون دلار پیش بینی می کنند. یعنی چیزی بیش از مجموع ارزش خواربار موجود در لیست این شرکت! یکی از مجرمان اصلی این حمله سایبری آلبرت گونزالس بود. کسی که علاوه بر نقش داشتن در حمله به شرکت سیستم های پرداخت هرت لند، در حمله به TJX هم دست داشت…

 TJX

‏TJX، یکی از شرکت های خرده فروشی ماساچوست و  عرضه کننده مارک های خوبی همچون  تی جی مکس و مارشال، هم از شر روح های پلید سایبری در امان نمانده است. دارودسته خرابکاران اینترنتی توانستند به بیش از 45 میلیون شماره کارت اعتباری چنگ بیاندازند، که دستچینی از مولتی میلیونرهای خوشگذران سهام وال مارت و فروشندگان تجهیزات الکترونیک هم جزو آنها بودند. میزان آسیب در ابتدا حدود 25 میلیون دلار برآورد می شد. اما در نهایت با اطلاعات جمع آوری شده از شعب، مشخص شد که زیان وارده بالغ بر 250 میلیون دلار بوده است. به نظر می رسد که صفر ماشین حساب تخمین زنندگان اولیه خراب بوده است!

Sven Jaschan

احتمالا همه شما مثال معروف تئوری هرج و مرج (chaos theory) یا اثر پروانه ای را شنیده اید: اگر پروانه ای در برزیل بالهای اش را به هم بزند، ممکن است باعث ایجاد طوفان تورنادو در تگزاس شود. خب، برای یک نوجوان آلمانی، کامپیوتر تبدیل به پیله ای برای پروانه شدن وی شد.

البته Jaschan پس از سه ماه تلاش شکارچیان جهت به دست آوردن جایزه 250 هزار دلاری مایکروسافت برای سر وی، به تله افتاد. کارشناسان شرکت میزان خسارت وارده را 500 میلیون دلار تخمین زدند، چیزی که برخی منابع دیگر حدس میزنند به چند میلیارد دلار می رسد. بله همه این دردسرها از کامپیوتر یک دانشجوی آلمانی آغاز شد.

مایکل کالچی

مایکل کالچی شاید مشهورترین پسر 15 ساله زمان خود نبود، اما MafiaBoy، یکی از ستارگان دنیای سایبر بود. کسی که به شکل هوشمندانه و تعجب برانگیزی به سطوح بالای تخصص های کامپیوتری دست یافته بود. کالچی که در اینترنت با نام مافیا بوی یا پسر مافیا شناخته می شود، تعداد زیادی حملات سایبری رسوا کننده علیه گروه بزرگی از شرکت های با سطوح امنیتی بالا را هدایت می کرد. در میان قربانیان می توان نامهای همچون Dell، غول رسانه ای CNN و سایت های فروش آمازون و Ebay را پیدا کرد. وی به دلیل خسارت هایی که بالغ بر 1.2 میلیارد دلار برآورد می شدند، تحت تعقیب قرار گرفت، آسیب هایی که نتیجه طرز تفکر ویژه و دانش کالچی بودند. البته در نهایت وی تنها به هشت ماه حبس خانگی محکوم شد. به به، عجب قضاوت عادلانه ای!

سونی

در یک حماسه بی سروصدای سایبری، امسال بیش از 100 میلیون اکانت کاربران شبکه پلی استیشن و سرگرمی های آنلاین سونی افشا شد و فصل جدیدی در تاریخ حملات سایبری رقم خورد. اطلاعات شخصی میلیون ها کاربر (شامل شماره کارت های اعتباری) توسط دزدانی که هنوز ماهیت آنها کشف نشده، به غارت رفت. کارشناسان هنوز رقم دقیقی برای میزان خسارات ندارند و آن را بین یک تا دو میلیارد دلار پیش بینی می کنند. به نظر می رسد که بعد از بررسی کامل با پرهزینه ترین حمله سایبری تاریخ روبرو خواهیم بود. بدتر از آن، زمانی که سونی مشغول بررسی و رفو کردن رخنه سیستم های اش بود، خشم و قهر گیمرهایی که نمی توانستند وارد اکانت سونی شان شوند، در آینده اثرات خود را نشان خواهد داد.

 Epsilon

حمله ای که در مارس 2011 شرکت ارائه دهنده ایمیل Epsilon را گرفتار کرد، به صورت بالقوه می تواند بین 225 میلیون تا 4 میلیارد دلار خسارت وارد کرده باشد. این شرکت هم اکنون یکی از کاندیداهای قربانیان پرهزینه ترین حمله سایبری تمام دوران ها است. این شرکت که در دالاس آمریکا قرار گرفته، سرویس های ایمیل و فروش و بازاریابی را برای شرکت های عظیمی چون Best Buy و JP فراهم می آورد. به هر حال، اغلب اطلاعات دزدیده شده، آدرس های ایمیل بودند، که امکان استفاده مجرمانه بسیار گسترده از این اطلاعات، بدین معنی است که تخمین خسارت بسیار مشکل و شامل دامنه وسیعی از اعداد است.

بمب منطق اصیل

در سال 1982 زمانی که هنوز تا آب شدن یخ های جنگ سرد فاصله زیادی باقی مانده بود، توسعه فناوری کامپیوتر آنچنان پرشتاب بود که CIA به فکر تبدیل آن به یک سلاح تاکتیکی افتاد. بدون استفاده از بمب، راکت یا دیگر ابزارهای انفجاری رایج، آمریکا برنامه ای را ترتیب داد تا لوله های گاز سیبری را منفجر کند. این کار باعث خلق بزرگترین و تاریخی ترین شیوه انفجار گردید. شیوه ای که استفاده شد، به بمب منطق یا logic bomb مشهور است. این کار شامل قرار دادن قطعات کد ویژه ای درون کامپیوترهای کنترل کننده خط لوله گاز سیبری بود که باعث آشوب و هرج و مرج محاسباتی درون سیستم می شد. این کار برای روس ها هزینه های گزاف و غیر قابل تخمینی را به دنبال داشته که هنوز هم حاضر به صحبت درباره آن نیستند. باید منتظر ماند تا گذشت زمان ابعاد این حمله سایبری را روشن کرده و قدرت مهیب اینگونه حملات را فاش کند.

با sms هم ویروسی می شوید

برنامه‌های مخرب در شبکه‌های بی‌سیم عمومی و سرویس‌های اینترنتی ارزان قیمت یافت می‌شوند که علت آن هم تمایل روزافزون دارندگان تلفن‌های همراه به استفاده از اینترنت است.

با رشد بدافزارها در سال ۲۰۰۹، میلیون‌ها تلفن همراه هوشمند به طور روزانه در معرض تهدیدات امنیتی مختلف قرار دارند.

به گزارش ایلنا، کسپرسکی، شرکت پیشرو در ارائه راه‌حل‌های امنیت اطلاعات در کنفرانس تلفن‌های همراه که در بارسلونای اسپانیا برگزار شد، اعلام کرد: خسارات فراوانی در اثر فعالیت‌های بدافزارها به دارندگان تلفن‌های همراه وارد می‌شود.

نخستین تروجانی که از طریق SMS ارتباط راه دور مهاجم که با تلفن‌همراه برقرار می‌شود، طلیعه ورود چنین بدافزارهایی به تلفن‌های همراه هوشمند بود.

الکساندر گوستف، سرپرست تیم تحقیق و تحلیل آزمایشگاه کسپرسکی و یکی از متخصصان بدافزارهای موبایل معتقد است: این قبیل تروجان‌ها با ارسال SMS به سرورهای راه دور می‌توانند اطلاعاتی را تبادل کنند. حال اگر شما تنها پیش شماره را مسدود کنید، درست است که برنامه از کار می‌افتد اما با تغییر پیش شماره در سرور، بدافزار می‌تواند مجددا فعالیت خود را از سر بگیرد.”

بنابر یافته‌های گوستف، ممکن است بدافزار قبلا روی تلفن نصب شده باشد و از طریق دریافت یک SMS فعال و به سرور راه دور مرتبط شود و حتی ممکن براساس این گزارش، از آنجایی‌که گوناگونی‌هایی در سیستم عامل‌های موبایل‌ها وجود دارد، حملاتی که روی آن‌ها سازماندهی می‌شود، شباهت کمی به حملات روی سیستم عامل پی سی‌ها دارد. البته به همین لحاظ هم پیش بینی اینکه نویسندگان ویروس‌ها به کدام سکوی کاری موبایلی روی خواهند آورد چندان ساده نیست.

آزمایشگاه کسپرسکی با رجوع به سال ۲۰۰۹ اشاره می کند که نخستین بدافزار مربوط به گوشی‌های آی فون با نام Ike در این سال نوشته شد و در همین زمان هم اولین جاسوس افزاری که تلفن های آندروید را هدف قرار می داد نوشته شد. ضمن آنکه نخستین بدافزار مربوط به تلفن‌های همراه مبتنی بر سیمبیان هم در این سال شناسایی شد.

بررسی‌های گوستف نشان می‌دهد که ۳۹ خانواده از بدافزارها و ۲۵۷ گونه جدید از بدافزارها در سال ۲۰۰۹ شناسایی شده‌اند که در مقایسه با ۳۰ خانواده و ۱۴۳ گونه در سال ۲۰۰۸ رشد را نشان می‌دهد.

حمله ویروس به ایران

رایانه‌های ایران مورد هجوم شدید کرم خطرناک رایانه‌ای به‌نام Stuxnet قرار گرفته‌اند که تلاش می‌کند اطلاعات سیستم‌های کنترل صنعتی را به‌سرقت برده و آنها را روی اینترنت قرار دهد. اندونزی و هندوستان نیز به‌واسطه این نرم‌افزار مخرب مورد هجوم قرار گرفته‌اند.

بر اساس اطلاعات جمع‌آوری شده توسط شرکت سایمنتک در حدود 60 درصد از سیستم‌های رایانه‌ای که به این ویروس آلوده شده‌اند، در ایران قرار دارند. اندونزی و هندوستان نیز به‌واسطه این نرم‌افزار مخرب که به Stuxnet شهرت دارد، مورد هجوم قرار گرفته‌اند.

به‌گفته الیاس لووی، مدیر ارشد فنی بخش «پاسخگویی ایمنی سایمنتک» با توجه به تاریخ نشانه‌های دیجیتالی که از این کرم رایانه‌ای به جا مانده، می‌توان گفت این نرم‌افزار از ماه ژانویه سال جاری میان رایانه‌ها در گردش بوده است.

Stuxnet ماه گذشته توسط شرکتی به‌نام VirusBlockAda که اعلام کرد نرم‌افزاری را بر سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. این کرم به‌دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه‌های بزرگ تولیدی و صنعتی مورد استفاده قرار می‌گیرد، بوده و تلاش می‌کند اسرار صنعتی رایانه‌های این کارخانه‌ها را روی اینترنت پخش کند.

سایمنتک اعلام کرده نمی‌داند چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی‌های ویروسی قرار دارند. به‌گفته لووی تنها می‌توان گفت افرادی که این نرم‌افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده‌اند.

زیمنس تعداد مشتریان خود را در ایران اعلام نمی‌کند اما به‌تازگی اعلام کرده دو شرکت آلمانی به‌واسطه این ویروس آلوده شده‌اند. نرم‌افزار آنتی‌ویروس رایگانی که طی چند روز گذشته روی وب‌سایت زیمنس قرار گرفته، تا کنون 1500 بار دانلود شده است.

بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای یو‌اس‌بی‌دار انتقال پیدا می‌کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا می‌کند، کدهای آن به جستجوی سیستم‌های زیمنس گشته و خود را بر هر ابزار یو‌اس‌بی‌دار دیگری که بیابد، کپی خواهد کرد.

9 تصور اشتباه در مورد ویروسها

تصورات و شایعات عجیب و غریبی در مورد ویروس‌های کامپیوتری وجود دارد. برخی تصور می‌کنند ویروس‌های کامپیوتری می‌توانند انسانها را نیز مبتلا کنند! در اینجا قصد داریم به 9 افسانه و تصور غلط در مورد ویروس‌ها بپردازیم.

1- فایروال‌ها شما را از شر ویروس‌ها خلاص می‌کنند

اگر بدانید چند نفر چنین اعتقادی دارند، شوکه می‌شوید! در واقع فایروال شما را ار شر ویروس‌ها، تروجان‌ها و جاسوس‌افزارها حفظ نمی‌کند، بلکه تنها در برابر نفوذ بدافزارها و کرم‌ها مقاومت نشان می‌دهد. چرا که بدافزارها و کرم‌ها دائما در شبکه در حرکتند و هر لحظه امکان دارد وارد سیستم شوند.

البته از لحاظ تئوری این امکان وجود دارد که یک بدافزار به همراه خود فایل‌های مخربی را از طریق یکی از برنامه‌ها وارد سیستم کند. باید توجه کنید که از این طریق، یک ویروس باهوش می‌تواند فایروال را دور بزند.

به هر حال فراموش نکنید که وجود فایروال برای یک سیستم از ضروریات است. فایروال سیستم شما باید همواره روشن و در حال کار باشد. خصوصاً در صورتیکه در یک شبکه‌ی نامطمئن مانند کافه‌ها در حال کار با سیستم خود هستید. می‌توانید از فایروال کومودو یا زون‌آلارم به این منظور استفاده کنید.

2- ویروس‌ها می‌توانند صدمات فیزیکی به قطعات وارد کنند

در این مورد ویروسی به نام CIH وجود داشت که Firmware و یا BIOS سیستم آلوده می‌کرد. اما به سخت‌افزار سیستم آسیبی نمی‌رساند. شایعات در مورد ویروس‌هایی که کامپیوتر را دیوانه می‌کنند و منجر به انفجار آن می‌شوند، زیاده‌گویی و تا حدودی هم خنده‌دار است. اگر کامپیوتر شما به خاطر یکی از این ویروس‌ها از کار بیفتد، نهایتاً شما مجبورید آن را پیش یک متخصص ببرید تا بایوس سیستم شما را جایگزین کتد، اما این مشکل منجر به این نمی‌شود که سیستم‌تان بخاطر آن ویروس به قتل برسد.

3- کامپیوتر شما خطاهای سیستم‌عاملی زیادی اعلام می‌کند پس ویروسی شده است

فایل‌ها می‌توانند بدون دستکاری ویروس‌ها هم خراب شوند و از کار بیفتند. این اتفاق ممکن است بخاطر وجود یک باگ یعنی نقص نرم افزاری در یکی از نرم‌افزارها و یا بخاطر مشکلاتی از جمله یک سکتور خراب در هارد دیسک اتفاق بیفتد. همچنین ممکن است دلیل خرابی یک فایل حافظه‌ی معیوب یا حتی ناسازگاری‌های احتمالی در نرم‌افزار آنتی‌ویروس حاصل شود. پس دفعه بعدی که چنین خطاهایی را هنگام باز کردن یک فایل یا برنامه مشاهده می‌کنید، قبل از اینکه سیستم خود را متهم به وجود ویروس متهم کنید، آن را با آنتی‌ویروس بررسی کنید. چنانچه از آنتی‌ویروس خود هم مطمئن نیستید، می‌توانید از VirusTotal بهره ببرید.

4- تنها راه حل مشکل نصب دوباره‌ی ویندوز و کپی کردن دوباره‌ی همه‌ی فایل‌هاست

واقعاً نمی‌توان تعداد دفعاتی که افراد فقط بخاطر شک به ویروسی شدن کامپیوتر ویندوز را عوض کرده‌اند، شمرد. و یا دفعاتی که فایل‌های مشکوک به آلودگی پاک شده و فایل‌های پشتیبان جایگزین آنها شده‌اند و دوباره این چرخه اتفاق افتاده و ...

لازم است که قبل از انجام هر کاری پس از شک به آلودگی فایل‌ها به ویروس، آنها را اسکن نمایید تا از شر ویروس‌های احتمالی خلاص شوید.

برای اینکه در این مورد به طور مکرر دچار مشکل نشوید، می‌توانید آنتی‌ویروسی که به روز شده بر روی سیستم خود نصب نمایید که از قابلیت حفاظت بی‌درنگ نیز برخوردار بوده و این قابلیت را فعال سازید. اگر مطمئن نیستید که از چه نرم‌افزاری برای این کار استفاده کنید، پیشنهاد می‌کنیم از Microsoft Security Essentials استفاده کنید. اما در صورتیکه تمایلی به استفاده از آن ندارید، توصیه می‌شود آخرین نسخه از آنتی‌ویروس اَوست، آویرا  AVG را برای این کار انتخاب نمایید.

5- من همیشه می توانم به آنتی‌ویروسم اعتماد کنم

اغلب اوقات که ما تصور می‌کنیم آنتی‌ویروسمان ما را از شر ویروس‌ها حفظ می‌کند، ممکن است در اشتباه باشیم. شاید آنتی‌ویروس هم مانند تمامی برنامه‌ها دچار اشکال و اشتباه شود. این احتمال وجود دارد که به دلایل مختلف هنگام اسکن کردن، فایل‌های سالمی در سیستم به اشتباه ویروس شناخته شوند. اینجاست که نه تنها کامپیوتر ویروس نداشته و پاک بوده، بلکه ممکن است ویندوز با مشکل هم مواجه شود.

برای مثال، چندی پیش (آوریل 2010) شرکت مک آفی -تولید کننده آنتی ویروس و نرم‌افزارهای امنیتی- یک به روز رسانی برای آنتی ویروس‌هایش فرستاد. کاربرانی که از ویندوز ایکس پی استفاده می‌کردند، با مشکل ریستارت شدن کامپیوتر مواجه می‌شدند. چرا که آنتی ویروس آپدیت شده‌شان به اشتباه یکی از فایل‌های سیستمی را پاک کرده بود.

6- چون ویندوز من پیغام خطای صفحه‌آبی (Blue Screen) می‌دهد، پس ویروس دارد

مطمئناً برخی ویروس‌ها می‌توانند سبب نمایش پیغام خطای بلو اسکرین شوند، اما بیشترین دلیلی که می‌تواند منجر به نمایش این صفحه شود، بد نصب شدن درایورها و یا مشکل سخت‌افزاری است که ارتباط مستقیمی به ویروس ندارد.

بهترین کاری که هنگام نمایش این صفحه می‌توانید انجام دهید این است که از ریستارت شدن خودکار سیستم جلوگیری کنید تا خطای مورد نظر را جایی یادداشت کنید. سپس می‌توانید با جستجوی خطای مورد نظر در اینترنت، مطالب مرتبط خوبی برای این خطا پیدا کنید و دلیل اصلی را متوجه شوید. اگر جستجو در اینترنت را نمی‌پسندید می‌توانید از نرم‌آفزار رایگانی که به این منظور ساخته شده استفاده کنید. برای دانلود این نرم‌افزار رایگان به لینک زیر مراجعه کنید:

دانلود BlueScreenView

7- ویندوز تنها پلتفرمی است که ویروس دارد

این یک واقعیت است که بیشتر ویروس‌ها برای سیستم‌عامل ویندوز طراحی شده‌اند، اما معنی این واقعیت این نیست که سایر پلتفرم‌ها و سیستم‌عامل‌ها هیچ بدافزار یا ویروسی ندارند. اخیراً تروجان‌هایی برای مکینتاش کشف شده و اینگونه بدافزارها ممکن است با افزایش تعداد کاربران این سیستم‌عامل، افزایش یابد. از زمانی که تروجان‌ها به عنوان یک حفره‌ی امنیتی بزرگ کشف شده‌اند، مشخص شده که همه‌ی پلتفرم‌ها مستعد دریافت این نوع بدافزار هستند.

در صورتیکه شما از لینوکس یا مک استفاده می‌کنید، می‌توانید با رعایت قوانینی مشابه ویندوز، از شر انواع بدافزارها خلاص شوید. برای مثال، نباید نرم‌افزارهایی را که نمی‌دانید از کجا دانلود شده‌اند و یا معتبر نیستند، بر روی سیستم خود نصب کنید. مراقب برنامه‌هایی که رمزعبور شما را درخواست می‌کنند، باشید. از نصب برنامه‌ها یا تولبارهای سایت‌های مستهجن بر روی سیستم خود خودداری کنید. همچنین فایروال‌ها، آنتی‌ویروسها و نرم‌افزارهای امنیتی دیگری وجود دارند که از مک و لینوکس محافظت می‌کنند. دقت کنید برخی از همین موارد ساده، می‌تواند سیستم شما را از شر فایل‌ها و برنامه‌های مخرب حفظ کند.

8- این ویروسهای لعنتی سایت‌های مستهجن را باز می‌کنند؛ تقصیر من نیست!

برخی شکایت‌هایی که کاربران از ویروس‌ها می‌کنند، مربوط به ارتباط ویروس با باز شدن سایت‌های مستهجن در سیستمشان است. این افراد نمی‌دانند دلیل باز شدن این سایت‌ها در چیست، پس دیواری کوتاه تر از دیوار ویروس‌ها پیدا نمی‌کنند تا تقصیر را گردنشان بیندازند. ماجرا از این قرار است که در واقع این آنها نیستند که اقدام به مرور این سایت‌ها می‌کنند، بلکه مشکل از مرورگرشان است. چرا که احتمالاً popup blocker در مرورگرشان فعال نیست. به همین علت با مراجعه به برخی سایت‌ها، پنجره‌های تبلیغاتی که شامل سایت‌های مستهجن هم می‌شود، بر روی صفحه نمایش آنها ظاهر می‌شود.

پس این مساله ارتباطی با ویروس ندارد. هرچند که امکان دارد اگر چیزی از این صفحات دانلود شود، حاوی ویروس هم باشد، اما مرور شدن خودکار این سایت‌ها ربطی به ویروس ندارد.

9- ویروس‌ها می‌توانند انسان‌ها را آلوده کنند

این ممکن است مضحک به نظر برسد، اما فیلم‌ها و سریال‌های تلویزیونی زیادی با این مضمون ساخته شده‌اند که در آنها یک ویروس بیگانه یا فضایی که از سفینه‌ی آدم‌فضایی ها آمده،‌انسان‌ها آلوده می‌کند و سرانجام یک ناجی همه‌ی انسانها را نجات می‌دهد. اما این قضایا مربوط به فیلم‌ها است.

آیا سیستم شما تا به حال ویروسی شده است؟ اگر موردی در این مورد برایتان پیش آمده، چه اتفاقی برای سیستم شما رخ داده است؟ آیا کسی در مورد ویروس‌های عجیب و غریبی که در سیستمش وجود داشته، از شما کمک خواسته؟ برای ما در مورد تجربیات جالب یا عجیب خود در ارتباط با ویروس‌ها، بنویسید.

آشنایی با ویروس

Sober

اسم كرم :Sober

نام مستعار : I-Worm.Sober

نوع دیگر :Sober.A

Sober یك كرم ایمیل است كه از طریق فرستادن تكنیكmailing درWorm ها پخش و زیاد می شود .این كرم پیغامی به زبانهای ایگلیسی و آلمانی به ایمیل كاربران می فرستد ، برای همین نمی توان تشخیص داد كه نویسنده آن آلمانی یا انگلیسی  است .

Sober برای اجرای خود اخطار های ایمنی را به كاربران نشان می دهد . این كرم از ضمیمه هایی به نام های Anti_Virusdoc.pif وCheck Patch.bat و غیره كه در آخر این مقاله لیست كامل این فایل ها را ارائه شده است ، استفاده می كند .

جزئیات توصیف :

این كرم توسط UPX پكیج شده و با  زبان برنامه نویسیVB طراحی شده است و در درون خود از  یكSMTP  برای ارسال میل ها استفاده می كند .

نصب شدن بر روی سیستم :

پس از فعال شدن این برنامه در رجیستری ویندوز این تغییرات ایجاد می شود :

[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]یا[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] این كلید ها برای باز خوانی بدنه كرم است كه بعضی اوقات ویروس كپی هایی از خود را در این مكان ها به این اسم فایل ها صادر می كند :%SysDir%/similare.exe%SysDir%/sysrunll.exe این كرم قادر است درClinte های زیر به راحتی فعالیت كرده و پخش شود :X-Mailer: Microsoft Outlook Express 6.00.2600.0000X-Mailer: Microsoft Outlook Express 5.00.3018.1300X-Mailer: Safety_Mail ServerX-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)X-Mailer: Microsoft OutlookIMO, Build 9.0.نحوه پخش شدن درایمیل ها : این كرم ایمیلی را باSubjects های زیر در زبان آلمانی می فرستد :Neuer Virus im Umlauf!Back At The Funny FarmSie versenden Spam Mails (Virus?)Ein Wurm ist auf Ihrem Computer!Langsam reicht es mirSie haben mir einen Wurm geschickt!Hi Schnuckel was machst du so ?VORSICHT!!! Neuer Mail WurmRe: KontaktRE: SexSorry, Ich habe Ihre Mail bekommenHi Olle, lange niks mehr gehRe: lolViurs blockiert jeden PC (Vorsicht!)berraschungIch habe Ihre E-Mail bekommen !Jetzt rate mal, wer ich bin !?Neue Sobig Variante (Lesen!!)Ich Liebe Dich و در ربان اتگلیسی با موضوع های زیر میل ارسال می شود : Congratulations!! Your Sobig Worms are very good!!!You are a very good programmer!Yours faithfullyOdin alias AnonOdin_Worm.exeNew internet virus!You send spam mails (Worm?)A worm is on your computer!You have sent me a virus!Hi darling, what are you doing now?Be careful! New mail wormRe: ContactSorry, I've become your mailHey man, long not see youViurs blocked every PC (Take care!)SurpriseI've become your mail!Advise who I am!New Sobig-Worm variation (please read)I love you (I'm not a virus!)I permanently get Spam-Mails from you and inside is a virus!!You should remove these thing. ضمیمه این میل ها كه حاوی بدنه ویروس است ، عبارتند از: AntiVirusDoc.pifCheck-Patch.batScreen_Doku.scrRemoval-Tool.exePerversionen.scrCM-Recover.comBild.scrschnitzel.exerobot_mail.scrRobotMailer.comPrivat.exeAntiTrojan.exeMausi.scrNackiDei.comAnti-Sob.batsecurity.pifFunny.scrLiebe.comOdin_Worm.execheck-patch.batanti_virusdoc.pifperversion.scrremoval-tool.exescreen_doc.scrpotency.pifCM-Recover.compic.scrplayme.exerobot_mailer.pifprivate.exeanti-trojan.exelove.comnacked.comanti-Sob.batNAV.piffunny.scrlittle-scr.scr

ویروس ، كرم و اسب تروا از الف تا ی

این روزها سخت به نظر می رسد كه هفته ای را بدون ویروس های رایانه ای در صدر اخبار رایانه به سر كنیم.
شیوع كرم اسلامر روی ایسكوئل و نیز سوبیگ در زمستان سال گذشته و به دنبال آن شبه كرم بلاستر در تابستان -گرافیك وار - حاكی از این نمود است كه چگونه طبیعت این نوع حملات مدام در حال افزایش است.
این داستان همچنین نشانگر آن است كه اگرچه ویروس ها عمری فراتر از 20 سال دارند، اما كاربران رایانه ای هنوز قادر نیستند درباره این موضوع كه برای مقاومت در برابر هر نوع آلودگی به اندازه كافی ایمن هستند، اظهارنظر كنند.
در واقع ، دنیای رایانه هفته ها و ماهها با هشدارهای جدی درباره كشف حفره ها مواجه شده و با آن دست و پنجه نرم می كند، تا این كه ناگهانی دست و پایش زیر چنگال پرمو و ناخن ویروس ها خرد می شود و شركتها و كاربران سراسر دنیا تحت تاثیر آن در اندوه و ترس فرومی روند.
باوجود این كه ویروس كدهایی در خود دارد. كه با نیات ناهنجار و بعضا پلید نوشته شده ، در سال 2003 بسیاری از این موضوع بی خبر بودند كه نسل جدید ویروس ها كه با ویروس نویسان در خدمت سازمان های مافیایی نوشته می شوند، ظهور می كنند و دست به سرقت اطلاعات در سطح وسیع می زنند.
كرم سوبیگ اثبات كرد مثلا ارسال كنندگان اسپم (اسپمرها) پشت سر قضیه هستند، تا با حمله به صندوق پستی الكترونیك كاربران و سرورها اطلاعات كاربر را به سرقت ببرند و بعد میلیاردها هرزنامه و پیام ناخواسته را وارد صندوق ایمیل ها كنند.
سوال اصلی كه امروزه مطرح می شود، تنها این نیست كه من چگونه می توانم خود یا سازمانم را در برابر ویروس ها محافظت كنم ، بلكه سوال این است كه ضربه خوردن و بهبود از آن چه هزینه ای در بر دارد.
در این راستا ریشه یابی ویروس ها كمك خوبی می كند، تا چاره جویی مناسبی برای مقابله با آن اندیشیده شود.
 

ریشه ویروس ها

شگفت انگیز این كه اولین بحث درباره ویروس های رایانه ای ، به وسیله دانشمندانی انجام شد كه روی برنامه های خود پاسخگو تحقیق و سعی می كردند برای آن مبنایی علمی تهیه كنند.
واژه ویروس رایانه ای همه نوع كدهای بداندیش و مخرب را در بر گرفت ، كه حالا آنها را در 3 فرم ویروس (Virus)، اسب تروا (Trojan) و كرمها (Worms) می شناسیم.
یك ویروس (Virus) برنامه ای است كه بدون رضایت روی سیستم اجرا شده و با نیت آلوده كردن دیگر سیستم ها و رایانه ها بخصوص حمله با كدهای مخرب روی برنامه هایی با پسوند com وexe وc. عمل می كند.
كرمها (Worms) نیز شبیه ویروس هستند، كه به طور خودگردان و خودكار روی شبكه ها و از جمله اینترنت می چرخند و اغلب آنها از طریق ایمیل منتشر می شوند و می توانند با سوءاستفاده از باگ روی برنامه ها شیوع پیدا كنند.
اسب تروا (Trojan) در نهایت پنهان كاری و با چراغ خاموش وارد سیستم می شود. ترواها به صورت خودگردان منتشر نمی شوند. ابتدا به صورت یك برنامه بی ضرر خود را نشان می دهند و از صاحب سیستم اجازه كلیك كردن می گیرند. یك ضمیمه ایمیل ، همراه با یك كرم ، یا دانلود شدن مخفی روی سیستم روشهای ورود تروا به رایانه است.
در سال 1981 اولین ویروس رایانه ای روی مكینتاش اپل با نام Virus1 و بعد 2 و 3 و روی بازی رایانه ای پخش شد; اما اكثر كارشناسان می گویند كه اولین ویروس روی پی سی ها در سال 1986 به وجود آمد.
كاربرد داس و فلاپی دیسك برای حمل ونقل اطلاعات ، ویروس Brain را كه از سوی دو برنامه نویس در پاكستان ابداع شد در سطح وسیع پخش كرد. در ظاهر این ویروس كپی رایت را نمی شكست ، اما وقتی اجرا می شد از طریق فلاپی دیسك به داس دست می یافت و فایلهای اجرایی exe. را آلوده می كرد. در سال poly morphic engine 1992 آمد.
این بخشی از نرم افزار بود كه باعث مخفی شدن ویروس ها می شد، چرا كه ویروس از این برنامه به صورت مصالحه جویانه بهره می برد; مثلا ویروس TPE در یكم دسامبر 1992 از سوی یك هلندی با حجم 3 هزار بایت نوشته شد.
نام مستعار ویروسGirafe بود كه بعدها ویروس بتهوون ، بوسینا وCivilwarvv1 از روی آن ساخته شد. شعاع عملیاتی این ویروس در حد فلاپی دیسك بود، كه فایلcom. را آلوده می كرد و مجددا روی آن می نوشت.
در همین سال ، ویروس های متنوعی مانندpsmpc،G2،IVP كه از نمونه های قبلی كاملا متمایز بودند و در سطحی وسیعتر عمل می كردند نیز آمد.
اواخر سال 1994 سیستم عاملهای ویندوز و اپلیكیشن های مرتبط با آن ، استاندارد و تحت officemacro وVBSو(Visual Basic script) ظاهر شدند و از داس به روی ویندوز پریدند.
فلاپی هاراه انتشار ویروس بودند، اما از سال 1998 اولین نقل و انتقال ویروسی از طریق اینترنت با كرمMorris عملی شد.
متعاقب آن استفاده از شبكه ها و از جمله اینترنت از سوی كاربران منجر به شیوع انفجارآمیز ویروس های رایانه ای شد.
اولین و خطرناك ترین حمله ویروسی را می توان با ویروس Meeisa از سایر داستانها در سال 1991 متمایز كرد. نمونهVBS (وی بی اسكرپیستی ) آن را می توان در كرمI Love You در سال 2000 دید.
بنابراین نام این متعیرها ناشی از حركت انسانی مانند بازكردن ضمیمه ایمیل به صورت تیر خلاص به سیستم شد و بسرعت شیوع یافت.
در سال 2001، دومین نسل حملات ویروسی و رایانه ای را با code Red، نیمدا و swem دیدیم. این كرمها با اینترنت فعال و پخش شدند. ویژگی این نسل استفاده از باگهای برنامه ای برای شیوع خود روی اینترنت و شبكه های محلی بود.
به عنوان مثال ، آتلوك مایكروسافت با هزاران حفره داخل خود تقریبا حركت انسانی را در درجه دوم اهمیت قرار داد و حفره هایش باعث ورود هزاران ویروس و كرم در سطح ویندوز شد.
هدف گیری برای هویت كاربران به صورت خودكار درآمد و بسیاری از كرمها نظیر swem تلاش كردند، تا ابتدا به ساكن فایروال هاو برنامه های ضدویروس را از كار بیندازند.
همه این اتفاقات درون دیگی داغ به نام اینترنت رخ می داد، كه هر بار هم خوردن آن رشد سرسام آور قربانیان و سیستم های آلوده را به همراه داشت...

برای كارشناسان رایانه سال 2002 به اندازه تمام سالهای پشت سر گذاشته شده پرویروس بود.
تقریبا هر ماه هزار ویروس جدید و بعضا در سطح بالای تخریب ، نظام شبكه ای در جهان را به خطر انداخت.
تلاش شركتهای ضدویروس با این پدیده جدید به نحوی ظهور یافت كه با ویروس های مشتق شده از نسخه های اصلی مبارزه خوبی انجام داد و از پس سایر كرمها و ترواها نیز تقریبا سربلند بیرون آمد.
البته این سربلندی همیشه پس از وقوع حادثه و آلوده شدن سیستم ها رخ داد و میلیاردها دلار خسارت به شركتهای كوچك و بزرگ را نادیده گرفت.
شركتهای مطلع تر با به روز كردن سیستم های خود با انواع ضدویروس ها و فایروال ها با تهدیداتی نظیرKlez و Magistr و به مبارزه برخاستند. پیش تر سال 2001 در میان دانشمندانIT به عنوان بدترین سال ویروسی لقب گرفته بود.

اما وقتی سال 2002 و ویروس هایش آمد، تقریبا شوك بزرگی را به همگان وارد كرد و حوادث سال 2001 را از یاد برد و بعد در ژانویه 2003 كارشناسان فنلاندی هشدار دادند كه سال جدید بدترین سال خواهد شد و ترس بزرگی در دل همگان ایجاد كردند.
پیشگویی فنلاندی ها درست از آب درآمد و مطابق گزارش سیمانتك از ژانویه تا ژوئن 2003 بر قرائت بدیمن فنلاندی ها صحه گذاشت. براساس آمار، شركتهای بزرگ و كوچك به طور متوسط در طول یك هفته با 38 حمله هكری و ویروسی دست و پنجه نرم می كنند.
در همین مدت نیز به طور هفتگی 1400 نرم افزار مقتبس از حفره ها و آسیب پذیری های سیستم در اینترنت پخش می شود.
ویروس نویسان و هكرها به دلیل زودتر پیداكردن این حفره ها ویروس و حملات خود را زودتر سامان داده و در نتیجه یك قدم بالاتر از شركتهای ضدویروس موی دماغ كارشناسان امنیت سیستم و راهبران می شوند.
10 ویروس برتر نیز به اهدافی نظیر سرویس های غیرعمومی نظیر مایكروسافت اسكیوئل و FileSharing چه علیه شركتهای كوچك و چه علیه آی.اس.پی های بزرگ حمله می برند. نتیجه این كه حمله به مراكز اصلی شمار و درصد قربانیان را بسیار بالا برده و مثلا با آلوده شدن یك سرور بزرگ تمام كاربران ناخودآگاه ویروسی می شوند.
بنابراین روند ساخت ویروس و ضدویروس مثل اتفاقی همیشگی در دنیای رایانه هرگز از مد نیفتاده و همگان را آزار می دهد.

تهدیدهای آتی

اما تهدیدهای آینده تركیبی از ویروس ها، اسبهای تروا و كرمهایی است كه از مسیرهای چندگانه و متنوع برای آلودن سیستم ها استفاده می كنند.
بنابراین یك كرم می تواند به طور طبیعی یك اسب تروا را روی سیستم قربانی اجرا كند و این در حالی صورت می گیرد كه یك اسب تروا در خود یك ویروس را دارد.
حمله های ویروسی استفاده از اپلیكیشن هایی نظیر مرورگرIE مایكروسافت وIIS مایكروسافت را در رئوس كاری خود قرار می دهند كه در كنار آن P2P و برنامه های پیام رسان به عنوان شیوعكننده ویروس در اولویت كاری قرار می گیرد.
برخلاف ویروس هایی نظیر ملیسا در سال 1999، ویروس های كنونی هسته های اصلی را نشانه می گیرند و همه چیز را برهم می زنند.
در سپتامبر 2003 دكتر گرهارد اشلبك ، مدیر شركت امنیت سیستمها در Qualys در كنگره گفت:حمله به شبكه ها چه در تعداد و چه در مهارت روبه توسعه و ترقی است و حملات جدید قدرت آلودگی به مراقبت بیشتری نسبت به پاسخگویی بموقع دارند.
عین این مطلب را زمان ظهور كرم اسلامر (Aka Sapphire) دیدیم. سرعت گسترش آن شبیه داستان های تخیلی بود. در اولین دقیقه ، تعداد سیستم های آلوده شده 2 برابر و در اندازه نیز هر 5/8 ثانیه دوبرابر می شد.
این كم با 55 میلیون اسكن در هر ثانیه تقریبا پس از هر 3 دقیقه فول اسكن می شد و این داستان حیرت آور مثل شوك تمام كارشناسان را میخكوب كرد.
از آنجا كه شبكه ها پهنای باند كافی نداشتند، خود به خود سرعت اسكن پایین آمد. مطابق گزارش ها بیشتر سیستم های آسیب پذیر در همان 10 دقیقه اول شیوع ویروس ، آلوده شدند.
اما متغیرهای تعریف شده در سوبیگ ، یك ماموریت مخفی را در خود جای داده بود. ویلیام هانكوك ، قائم مقامcable and wireless در این باره گفت: سوبیگ ، نسخهE اولین كرمی است كه تكنیك پیچیده هكری را در خود پیچانده و كنار مهندسی اسپم راهی سیستم ها شده است.
سوبیگ با یك ضمیمه داخل ایمیل قابل شیوع و انتقال است و با بازشدن آن یك كپی از ویروس مورد نظر به وسیله رایانه حمله كننده به نشانی بازشده ارسال می شود و همه جا را آلوده می كند.
در ابتدا این چنین به نظر می رسد كه ویروس قصد ملاقات با یك سایت مستهجن را دارد، اما فورا ویروس اسب تروای خود را با عنوانLaLa داخل سیستم قربانی می اندازد و سپس كرم سوبیگ را پاك می كند.
ما فكر می كنیم كه كرم پاك شده است ، البته درست هم می گوییم ; اما از اسب تروای LaLa اجازه هایجك شدن سیستم را فراهم می سازد و ماشین آلوده شده را آماده می كند تا صدها و هزاران اسپم وارد آن شود.
به علاوه ، پنجمین متغیر تعریف شده برای سوبیگ نسخهE ماشینSMTP است كه به طور خودكار نسخه های قبلی ویروس را به روز می كند و اجازه آلودگی بیشتر را فراهم می سازد; اما سوبیگ نسخهF6 متغیر و فاكتور از پیش تعریف شده را با خود یدك می كشد. با مراجعه به فاكتور پیش برنامه نویسی و زمان ترمینال خودكار كندی زمان پیش از نسخه جدید ویروس بین منفی 7 تا مثبت 35 روز است ، به همین خاطر سوبیگ نسخهG درحال نوشتن بوده و سروكله اش پیدا می شود.
كرم Msblast از امتیاز نقص امنیتی كشف شده در ایكس.پی ،ان.تی 2000 و سرور 2003 بهره برد و آن چنان قوی بود كه دستور حمله DOS به سایت به روزرسانی مایكروسافت را با موفقیت راهبری كرد و دمار از روزگار مایكروسافت درآورد.
قدرت در هم كوبندگی نیز به حدی بود كه قدرت چاره جویی را از مایكروسافت گرفت و در انتها، اشتباه تكثیر از جانب ویروس نویس جان مایكروسافت را نجات داد.
یكی از كاربران می گفت برای در امان ماندن فورا به طرف سایت به روز رسانی مایكروسافت رفت ، اما در حال گذراندن 15 دقیقه نصب پس دستور بود كه یك پیام آمد كه نوشته بود سیستم شما تا 60 ثانیه بعد خاموش می شود و...
بعد ضد ویروسی علیه آن آمد كه واقعا ویروس را پاك می كرد، ولی اسب تروایی نیز روی سیستم پیاده می كرد و كنترل كامل سیستم را در اختیار حمله كننده می گذاشت.
كرم جدید با ایمیلsupport@microsoft.com همراه بود و شكها را بظاهر برطرف می كرد.
هنگامی كه شركتهای امنیت رایانه ای در حال جنگ با ویروس های جدید یا هرگونه حمله ای هستند، اكثر كاربران سر خود را مثل كبك ، زیر برف كرده اند.
تنوع و تعداد تجارت های كوچك ، خطر افزایش انواع كرمها و ویروس ها را مادامی كه سیستم های فایروال نصب نشود، (به دلیل كاهش هزینه ها بالا می برد.
شركتهای بزرگتر به دلیل منافع درازمدت این شرایط را درك كرده اند و برایش راه چاره می یابند. امروزه آنچه با عنوانIT Spend معروف شده ، شامل تمام هزینه هایی است كه یك شركت برای ایمن كردن جان سیستم های خود در برابر هرگونه حمله ای خرج می كند. همین موضوع باعث تولید شغل های معتبر شده و قدرت نیروهای فنی را در ساماندهی امنیت كل شركت بالا برده است.
به روز كردن سیستم ها، نصب پس دستورها و ضدویروس ها، تغییرات لازم روی فایروال پس از نصب و راه اندازی ، چك كردن تمام دسكتاپ های داخل اداره و تحول مداوم در ساختار بانك اطلاعات مورد استفاده شركتها از جمله وظایف مدیران امنیت آی.

تی است كه بدان بها می دهند.
مدیران آگاه با توجه به خسارت هایی كه پس از حملات متحمل می شوند، چاره ای جز هزینه كردن به عنوان علاج واقعه قبل از وقوع ندارند.
در منظر كلی به اقتصاد كلان رایانه ای در سال 2001 ویروس ها 3/7 میلیارد پوند خسارت به سیستم های انگلیسی وارد آوردند.
سال گذشته نیز بانك امریكا 12 هزار ماشین خودپرداز را پس از آلوده شدن به ویروس از كار انداخت و خسارتی سنگین متحمل شد. وقتی شبه كرم بلاستر آمد، تمام ماشین های به روز نشده در كمتر از چند دقیقه اسیر آن شده و خاموش شدند.
پاكسازی چنین ویروس برای هر ماشین حداقل 80 پوند هزینه دربرداشت و این نشانگر آن است كه علاج واقعه پیش از وقوع براستی كم هزینه تر است.
آی.دی.سی پیش بینی كرده میزان پرداختIT Spend تا سال 2007 به رقم 64 میلیارد پوند در سال خواهد رسید و سرمایه گذاری در بخش امنیت سیستم ها بسیار بااهمیت تر از امروز خواهد شد.
 

ویروس های خوب

Welchi یاNachi كرم خوبی بود كه برای كشتن ویروس های بد و ضدعفونی كردن رایانه از شر ویروس ها ساخته شد.
كرم مذكور 18 آگوست 2003 كشف شد و از همان تكنیك آلودن سیستم از سوی Lovesan بهره گرفت و خود را روی تمام سیستم ها انداخت. این كرم مشكل تمام وب سرورهای حاویIIS نسخه 5 را كه توسط حفره كشف شده Webdav در مارس 2003 آلوده شده بود، حل می كرد و بعد در اول ژانویه 2004 برای همیشه مرد.
داستان ویروس های خوب ، در كنار برنامه های ضد ویروس ادبیات جدیدی از امنیت سیستم های رایانه ای خلق كرده و شاید به عنوان یك استراتژی از سوی سازندگانOS در سطح كلان مورد استفاده قرار گیرد.
برخی شركتهای ضدویروس روش پاك كردن سیستم های داخل شركتهای بزرگ و كوچك را با معماری ویروس های خوب انجام می دهند.
با این تفاسیر، فكر این كه ویروس ها از بین بروند، بسیار ساده انگارانه است ، اما این كه ویروس های خوب بتوانند ویروس های بد را از میان ببرند، بحث دیگری است ، ولی یك نكته را نمی توان فراموش كرد و آن این كه ویروس نویسان همیشه یك قدم جلوتر از بقیه هستند; یعنی تا وقتی حفره های پیدا و پنهان وجود دارد، ویروس نیز وجود خواهد داشت.
 

علیرضا خراسانی

درباره کرم اینترنتی جدید و ابزار حذف آن

کرم اینترنتی W32.Blaster.Worm بر مبنای آسیب پذیری و ضعف امنیتی موجود در سرویس DCOM RPC ویندوز که جدیدا شناخته شده بود برای نفوذ استفاده می کند. این کرم چندین نوع دارد که W32.Blaster.Worm شایعترین نوع این ویروس می باشد و از سرویس TFTP که از پورت 65 برای انجام کارهای خود استفاده می کند ، بهره می برد. البته ویندوزهای 2000 و xp مورد حمله این کرم واقع می شوند. در حالیکه ویندوز های NT و 2003 سرور در صورتی که patch آنها بدرستی نصب نشده باشد مورد آسیب پذیری واقع می شوند. این کرم سعی می کند تا فایلی با نام msblast.exe را در مسیر %WinDir%/system32 کپی کرده وسپس آنرا اجرا می کند . از آنجا که این کرم از پورت 4444 امکان کنترل سیستم را به حمله کنندگان می دهد ،به کاربران توصیه می شود تا دسترسی به پورت مزبور را در سیستم خود غیر فعال کرده و بلوک کنند و سپس در صورتی که از سرویس های RPC و TFTP استفاده نمی کنند پورت های زیر را نیز غیر فعال کنند: • TCP Port 135, "DCOM RPC" • UDP Port 69, "TFTP"

این کرم سعی می کند تا با اجرای عدم پذیرش سرویس( Denial of Service (DoS در Microsoft Windows Update Web server (windowsupdate.com) مانع از اعمال patch مربوط به رفع آسییب پذیری DCOM RPC در سیستم کاربران می شود. کاربران می توانند در صورت نیاز و برای رفع این مشکل حذف کننده آن را از قسمتدانلود سایت تبیان دریافت کنند . البته برای رفع مشکلات احتمالی بهتر است از آدرس های زیر Patch مناسب را دریافت و بر روی سیستم تان نصب کنید: ویندوز نسخه NT 4.0 ویندوز نسخه NT 4.0 Terminal ویندوز نسخه 2000 ویندوز نسخه XP ویندوز نسخه 2003 Server

جزئیات تکنیکی : هنگامی که این کرم اجرا می شود ، کارهای زیر را انجام می دهد: 1- این کرم در ابتدا اقدام به ایجاد یک Mutex به نام BILLY می کند . در صورتی که Mutex از قبل وجود داشته باشد ، کرم فعال می شود. 2-سپس عبارت "windows auto update"="msblast.exe" به کلید رجیستری زیر اضافه می شود: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run و از این طریق در هربار اجرای رجیستری این کرم اجرا و فعال می شود. 3- یک آدرس IP تولید کرده وسعی می کند تا کامپیوتری که دارای آن آدرس است را آلوده کند.این آدرس مطابق الگوریتم خاصی تولید می شود. 4- داده ها را به پورت 135 TCP ارسال می کند که می تواند از آسیب پذیری DCOM PRC استفاده کند . کرم مزبور یکی از دو نوع داده های زیر را ارسال می کند: در 80 درصد موارد داده ها به ویندوز XP و در 20 درصد موارد به ویندوز 2000 فرستاده می شود. 5- استفاده از فرمان Cmd.exe برای ایجاد یک فرایند پردازشی راه دور مخفی که در نتیجه آن سیستم به پورت 4444 گوش می دهد و به حمله کننده امکان می دهد تا فرامین خود را از راه دور در سیستم قربانی اجرا کند. 6- به پورت 69 مربوط به UDP گوش می دهد . هنگامی که کرم پاسخی از یک سیستم دریافت می کند که در آن امکان ارتباط از طریق DCMP RPC وجود داشته باشد ، فایل msblast.exe را به کامپیوتر قربانی فرستاده و آن را اجرا می کند. 7- اگر ماه جاری بعد از ماه آگوست باشد، ویا اگر بعد از پانزدهمین روز سال باشد این کرم یک DoS در Windows Update اجرا می کند . حمله DoS در 16 دهمین روز ماه فعال شده و تاپایان سال ادامه می یابد. این کرم حاوی متن زیر است که هرگز نشان داده نمی شود : I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

">انتشار ویروس جدیدبا نام mimail

ویروس جدید یك كرم رایانه ای است به نامmimail كه از طریق پست الكترونیك منتقل می شود و شیوع سریع  آن

  قدری موجب نگرانی همگان در اینترنت شده است.

این ویروس كه به صورت ایمیل به صندوق پستی شما ارسال می شود متنی به این مضمون دارد:

من می خواهم اطلاعاتی راجع به آدرس پست الكترونی تان به شما بدهم لطفاً فایل ضمیمه این ایمیل را بخوانید .

عموماً عنوان این نامه ایمیلyour account یا صندوق پست الكترونیك شماست و به نظر می رسد كه از

طرف سرپرستان شبكه برای شما ارسال شده است .

كد خطرناك این ویروس درون فایل فشرده (zip) قرار دارد . از این رو شنا سایی آن برای ویروس یاب ها سخت

 تر است و به سرعت در رایانه و شبكه پخش می شود.

حمله گسترده ویروسی روز شنبه 5 بهمن ماه

مطلب ذیل توسط یکی از بینندگان سایت تبیان در اختیار ما قرار گرفته است . ضمن تشکر از این بیننده گرامی که نام خود را در ذیل مطلب خود ذکر نکرده بودند ، مطلب ارسالی ایشان را جهت اطلاع سایر کاربران محترم سایت تبیان ارائه می نماییم .

صبح روز شنبه 5 بهمن ماه ، وقتی کاربران ایرانی وارد اینترنت شدند تا به سایت های متعدد دسترسی پیدا کنند متوجه بروز نقصی در این سایت ها شدند. بسیاری از آن ها این نقص را به حساب مشکلات تقریباهمیشگی سرورهای ایرانی گذاشتند. این نقص که دسترسی به آن سایت ها را دشوار و در زمانهایی نیز غیر ممکن کرده بود حتی بعضی ها را به این فکر انداخت که شاید یک حمله گسترده علیه سایت های ایرانی انجام گرفته است ، اما تماسهای متعدد با طرف های خارجی بلافاصله مشخص کرد که این بار امن ترین سرورهای خارجی هم در امان نبوده اند. همچنین عدم دسترسی به بسیاری از سایت های ایرانی از جمله خبرگزاری دانشجویان و آی تی ایران و همچنین بروز مشکلاتی برای ISP های ایرانی و سرورهایی حتی در مراکز دولتی و دانشگاهی گزارش شده بود اما تا بعدازظهر سایت های خبری از بروز نقص در اینترنت سخنی به میان نیاورده بودند.این نقص که در نوع خود بسیار عجیب و بی سابقه به نظر می رسید آنچنان فضای اینترنتی کشور را تحت تاثیر قرار داده بود که حتی در ساعاتی تماس از طریق نرم افزارهای پیغام بر نیز ممکن نبود. پس از چند ساعت بررسی مسئولان برخی از ISP ها و سرورهای داخلی متوجه شدند که پهنای باند اغلب آن ها به شکلی غیر منتظره اشغال شده است. این اشغالی پهنای باند در نگاه اول آنچنان پیچیده و غیر معمول به نظر می آمد که بسیاری از ISP ها ترجیح دادند که دستگاه های خود را خاموش کنند تا از خطرات احتمالی و همچنین هزینه اشغال پهنای باند اضافی در امان باشند. شریفی یکی از مسئولان شرکت تینا اینترنت می گوید: هر قدر جست و جو می کردیم متوجه نمی شدیم. در حالی که به شدت پهنای باند ما اشغال شده بود. با مخابرات تماس گرفتیم آن ها گفتند که یکی از مشتریان شما packet های ناخواسته و غیر مهم را ارسال می کند وقتی گفتیم حداقل IP آن را بگویید تا آن را مسدود کنیم گفتند آنقدر IP دیده می شود که معلوم نیست IP حقیقی کدام است. مجبور شدیم سرورمان را خاموش کنیم و با دقت به دنبال نقص بگردیم. با این حال مسئولان شرکت تینا اینترنت تنها نبودند ، در بسیاری از ISP های تهران شنبه روز سختی بود و این موضوع حتی به نهادهای دولتی و سازمان های بزرگ نیز سرایت کرده بود.

  اخبار ضد و نقیض نیز از هر طرف به گوش می رسید هر قدر برخی اطمینان می دادند که یکی از ISP های آمریکایی مشغول تعویض تجهیزات خود است و این موضوع از قبل به اطلاع همه رسیده است اما برخی نیز به اطلاعات داخلی متکی نبودند و به دنبال اخبارموثق تری در این باره می گشتند. با این حال تا بعدازظهر که برخی از متخصصان متوجه وجود نقص در نرم افزار sql شرکت مایکروسافت شدند این سردرگمی ها ادامه داشت و تازه در این زمان بود که همه به سمت نصب آخرین نسخه اصلاحیه مایکروسافت service pack 3 که بیش از 50 مگابایت حجم دارد، روی آوردند و این حلال مشکلات بود.

شریفی در این باره می گوید: تحقیقات ما نشان داد که این یک حمله اینترنتی با استفاده از نقص SQLاست مایکروسافت این نقص را 6 ماه قبل اطلاع داده بود اما نسخه سرویس پک 3 را دو روز قبل روی سایت خود قرار داده بود به همین دلیل بسیاری از سرورها این نرم افزار را نصب نکرده بودند. همین نقص باعث بروز این مشکل شد. او می گوید: تا قبل از این نقص های زیادی روی نرم افزارهای مختلف موجب چنین حملاتی (البته نه در این وسعت درکشور ما) شده بود اما این بار گویا نوبت SQL بود که دستاویز قرارگیرد. با این وجود تا بعدازظهر که سرانجام سایت CNN و یاهو اخباری را به نقل از سیمانتک و رویتر در باره این حمله بزرگ اینترنتی منتشر کردند،صحبت کردن از این موضوع کمی عجیب و غریب می رسید. رویتر در گزارش خود نوشته است: روز شنبه یک ویروس کامپیوتری با آلوده کردن سرورهای متعددی باعث کند شدن ترافیک اینترنتی درتمام جهان شده است. بیشترین مشکل در کشور کره جنوبی گزارش شده و حدس زده می شود که منشا این خرابکاری این کشور باشد.

 به نوشته رویتر نام ویروس sapphire یا sql slammer و قابلیت این را دارد که خود به خود زیاد شده در طول وب منتشر شود. مدیر بخش تحقیقات شرکت کامپیوتری Mikko Hypponen می گوید: این ویروس باعث ترافیک زیادی می شود که کل شبکه را تحت تاثیر قرار دهد البته کاربرهای نهایی چیز خاصی را نمی بینند تنها کند شدن اینترنت را درک می کنند. به گفته وی این ویروس از یک نقص قدیمی که 6 ماه قبل در sql server پیدا شده سود می برد.این ویروس خیلی شبیه codred (ویروسی که در ژولای 2001 منتتشر شد و خرابی های بسیاری به بار آورد) است اما خطر آن کمترگزارش شده است. به گفته متخصصان امنیتی تمام سرویس اینترنتی در کشور کره دچار مشکل شده البته دامنه گسترش این ویروس به ژاپن و اروپا و ایالات متحده هم گسترش پیدا کرده است.مثلا در واشینگتن سخنگوی fbi نیز اعلام کرد که از وجود یک کرم ناشناخته در اینترنت اطلاع یافته است. اما نمی تواند فعلا نوع آن را مشخص کند. او هم تایید کرده بود که این کرم می تواند سرورهای کامپیوتری که از نرم افزار Microsoft Windows 2000 - SQL استفاد می کند را دچار اختلال کند. این کرم درخواست متعددی را برای آدرس های IP دیگر می فرستد تا سرورهای آسیب پذیر دیگری را نیز پیدا کند در نتیجه این عمل ترافیکی روی شبکه ها ی خدمات دهنده اینترنت به وجود می آید که حتی می تواند به خاموش شدن سرورها بینجامد. به نوشته رویتر حتی ممکن است بعضی از وب سایت ها در روزهای آینده نیز در اثر این کرم اینترنتی متوقف شود.

 با وجودی که این کرم روی کاربران انتهایی تاثیر چندانی ندارد اما بسیاری از کاربران در سراسر جهان کند شدن اینترنت را حس کردند. کاربرانی در آمریکا و انگلستان در روی message board ها پیغام هایی منتشر کردند و از کندی ترافیک اینترنتی شکایت کردند. اما بزرگترین مشکل در کره جنوبی گزارش شد که بعد اظهرشنبه تمامی سرویس های اینترنتی در این کشور به مدت چند ساعت از کار افتاد. منابع خبری خاطرنشان می کنند که پلیس تحقیقات خود را در این زمینه آغاز کرده است . این اولین باری است که کره جنوبی با چنین مشکلی با این وسعت روبه رو می شود و البته در این کشور 70 درصد خانه ها به اینترنت دسترسی دارند و هکر ها بسیار فعال هستند. به نوشته خبرگزاری yanhap هکرها مسئول این حمله گسترده بوده اند. در این کشور همه سرویس های پرسرعت اینترنت که از سرور KT استفاده می کنند نیز از این مشکل در امان نبوده اند. یک شرکت انگلیسی ضد ویروس به نام sophos نیزگزارش داده که اولین گزارش های آلودگی از آسیا بود است البته گروهی اروپایی ها هم با این شرکت تماس گرفتند و این مشکل در سرعت اینترنت را متذکر شده بودند. با این مشکلاتی که از بابت این سرور نصیب برخی کشورها شد در قلب اینترنت و در آمریکا انگار نه انگار که اتفاقی افتاده است. سرویس های صبح شنبه به همان سرعت همیشگی کار می کردند و حتی شرکت AOL بزرگترین ISP دنیا اعلام کرده که کوچکترین آسیبی از این حمله ندیده است. همچنین cnn نیز به نقل از شرکت سیمانتک نوشته است این کرم بیشتر کاربران تجاری را تحت تاثیر قرار می دهد تا کاربران خانگی. bbc هم در این باره گزارش می دهد:در کشورهای تایلند، ژاپن، مالزی، فیلیپین و هند نیز اینترنت با کندی مواجه بود. این شبه ویروس به رایانه سرویس دهنده (سرور) القا می کند که دایما با ترافیک زیاد رو به روست، در حالی که چنین نیست. برعکس ویروس های معمولی، این کرم رایانه ای تنها در حافظه است و به همین دلیل نمی تواند توسط ویروس یاب های معمولی شناسایی شود.

به گفته بی بی سی در حمله روز شنبه، دست کم پنج مرکز (هاب) از 13 هاب عمده اینترنت هدف قرار گرفتند. مشاور جرج بوش، رییس جمهور آمریکا در امور امنیت اینترنتی گفته است که این حمله ویروسی اکنون تحت کنترل است . برگرفته از سایت Itiran
برای کسب اطلاعات بیشتر می توانید به آدرس ذیل رجوع فرمایید:

http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html

آشنایی با ویروس NAKEDWIFE

   ویروس  NakedWife به صورت ضمیمه به یك نامه الكترونیكی وارد كامپیوتر قربانی می شود و سپس با ظاهر شدن به صورت یك ویدیوی مرموز درباره همسر یك مرد ناشناس كاربران را وسوسه می كند تا آن را اجرا كنند. دامنه تخریب این ویروس بسیار وسیع است و ویروس چندین فایل سیستمی مهم را در كامپیوتر قربانیان خود حذف می كند .
   تعدادی از شركت های تولید كننده نرم افزار ضد ویروس به دلیل خسارتی كه ویروس NakedWife می تواند به بار آورد آن را به عنوان یك ویروس خیلی خطرناك درجه بندی كرده اند. این ویروس به محض آلوده كردن تمام فایل های  ,BMP ,COM ,DLL ,EXE ,INI و همچنین تمام فایل های موجود در پوشه های WINDOWS و WINDOWS/SYSTEM را حذف می كند، با فرض اینكه ویندوز در پوشه  WINDOWS نصب شده باشد .   NakedWife یك ویروس جدید از نوع   VBS Worm است كه به سرعت از طریق پست الكترونیكی منتشر می شود این ویروس كه نام مستعار آن Jib Jab است فایل های مهم را از پوشه های نامبرده  حذف می كند . ویروس NakedWife با مشخصات زیر از طریق یك نامه الكترونیكی به كامپیوتر شما راه می یابد:

موضوع نامه :

FW : Naked Wife

بدنه نامه :

 (My wife never look like that :)

best regards,

(نام فرستنده)

نام ضمیمه :

NakedWife.exe

       اگر كاربر این ضمیمه را باز كند ویروس خود را به صورت نامه الكترونیكی به تمام آدرسهای موجود در كتابآدرس Outlook  ارسال می كند. این ویروس همچنین یك پنجره Flash را بار گذاری می كند كه در آن پیغام JibJab Loading را به نمایش می گذارد سپس فایل هایی كه دارای پسوند های  BMP ,COM ,DLL ,EXE ,INI هستند را حذف می كند: در مرحله بعدی ویروس پیغام زیر را به نمایش می گذارد :

you're now f**** D!c2001 by BGK (Bill Gates Killer)

برای متوقف كردن این ویروس به نكات زیر توجه كنید:

•  Outlook Security Patch  متعلق به شركت مایكروسافت را Download كنید.

•  ضمیمه ها را باز نكنید.

•  همیشه گوش به زنگ باشید.

•  از كامپیوتر خود محافظت كنید.

•  سیستم خود را به طور منظم اسكن كنید.

•  نرم افزار ضد ویروس خود را به روز برسانید.

 با توجه به اینكه این ویروس خود را به صورت یك فیلم Micromedia Flash نشان می دهد، منحصر بفرد می باشد. اگر كاربری فریب خورده و ضمیمه را باز كند یك پنجره باز می شود و به نظر می رسد كه یك فیلم Flash در حال بارگذاری است. پنجره شامل چند لوگو از Jibjab.com است كه یك شركت تولید كننده تصاویر Flash در نیویورك است این شركت اظهار داشته است كه هیچ ارتباطی با این ویروس ندارد.

 كاربرانی كه با اشتیاق منتظر بارگذاری فیلم می مانند ناامید خواهند شد چون چنین چیزی اتفاق نمی افتد اگر یك قربانی از گزینه HELP/ABOUT در آن پنجره استفاده كند یك پیغام آزار دهنده با این مضمون ظاهر می شود:

you're now f**** D!c2001 by BGK (Bill Gates Killer)

 به اعتقاد پت نولان یكی از پژوهشگران مركز McAfee این ویروس یك ویروس موذی است . چون ضمیمه آن با یك آیكون Shockwave Flash كه به نظر واقعی می آید همراه است.

اما خبر خوب این است كه گرچه فایل های مهم سیستم های آلوده به این ویروس حذف می شوند و ویروس كامپیوتر را در عمل از كار می افزاید ولی هیچ یك از داده های كاربران نابود نمی شود و فایلها قابل بازیابی هستند.

آشنایی با ویروس Neroma

نام : Neroma

نام مستعار : Nearby, I- Worm.Nearby , Win32/Neroma.worm.5632

Nearby یك كرم ساده ایمیل است كه با زبان برنامه نویسی Visual Basic نوشته شده است .

كرم معمولاً  ضمیمه های زیر را به ایمیل وارد می كند  :

Subject:

 It's Near 911!

Body:

 Nice butt baby!

Attachment:

 nerosys.exe

بعضی از سایت ها می توانند  اسم و آیكون فایل را در حالت exe نشان دهند و از این رو كاربران در می یابند كه این فایل آلوده به ویروس است .
این ویروس پس از اجرا خود را نصب كرده و در پوشه ویندوز كپی می كند . سپس روی فایل System.ini تغییراتی ایجاد می كند تا فایل همیشه با شروع ویندوز اجرا شود .

 كرم خود را به Outlook می رساند و خود را به تمامی آدرسهای ایمیل واقع در آنجا ارسال می كند .

كرم  همه فایلهای موجود در شاخه ویندوز را در تاریخ های  1 . 4. 8 .12 .16 .20 .24 .28 ماه پاك می كند.

این كرم در  5 ماه September سال 2003 شروع به فعالیت كرد .

نوع B

تنها تغییری كه با A دارد این است كه سر تاریخ های 1 و 9 و 11 دست به پاك كردن فایلهای در شاخه ویندوز می زند.

 آشنایی با ویروس

Qaz

نام :Qaz

نام مستعار : Worm.Qaz, Worm_Qaz, W95/Qaz.110549

این ویروس یك كرم شبكه ای است و از طریق یكBackdoor  خود را بر روی  سیستم ازWin32 توسعه و انتشار می دهد. این كرم در بین ماه هایJuly و August سال 2000  پخش شد . حجم فایل اجرایی آن 120 كیلو بایت بوده  و با زبان برنامه نویسی MS Visual C++ نوشته شده است . وقتی فایل آلوده اجرا می شود كرم یكStartup در رجیستری می سازد :

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunstartIE = "filename qazwsx.hsq"

قسمتFilename اسم بدنه كرم می باشد (دیدن مادون كه معمولاNotepad.exe است ) و در نتیجه كرم روی هر ویندوزی در حالت Startup اجرا شود . سپس كرم به صورت برنامه اجرایی درRAM بارگذاری شده و خود را درTaskList مخفی می كند .

این كرم دو عمل را با هم و موازی انجام می دهد . كه اولی پخش كردن خود و دومی اجرای Backdoor است .

 كار اول این كرم یعنی پخش شدن بر روی شبكه بدین صورت است كه كرم یك كپی از خود را بر رویLAN و بر روی درایو های به اشتراك گذاشته شده كه قابلیت خواندن و نوشتن دارند قرار می دهد . این كرم در شبكه به دنبال عبارت و رشتهWIN گشته و پس از پیدا كردن آن به دنبال فایلNotepad.exe بر روی شاخه ویندوز می گردد و اسم آن را بهNote.com تغییر می دهد و درون آن می نویسدNotepad.exe .  در نتیجه این عمل می توانnotepad واقعی را در فایلNote.com پیدا كرد . كد های این كرم درNotepad.exeقرار دارند. این كرم به محض آنكه كاربر Notepad را باز كند ، فعال خواهد شد و بدین شكل ماشین را آلوده تر می كند .

 ساختار Backdoor آن روالی ساده دارد و آن از فرمان های كمی پشتیبانی می كند :Run ، برای اجرا كردن فایلهای از پیش تعیین شده .UPLOAD ، برای آپلود كردن فایلها (فایلهای ساختگی بر روی ماشین قربانی ) وQUIT ، برای خاتمه دادن به روال كرم به كار می رود .این كرم برای نصب و اجرای خود از همین سه فرمان استفاده می كند.  همچنین این كرم به نویسنده خود خبر می دهد كه سیستم قربانی آلوده شده است .