ويروس شناسي
نرم افزار هاى ضد ویروس
با استفاده از نرم افزارهاى ضد ویروس ، امكان شناسایى و بلاك نمودن ویروس ها قبل از آسیب رساندن به سیستم فراهم مى شود . با نصب این نوع نرم افزارها بر روى سیستم خود یك سطح حفاظتى مناسب در خصوص ایمن سازى كامپیوتر و اطلاعات موجود بر روى آن ایجاد خواهد شد . به منظور استمرار سطح حفاظتى ایجاد شده ، مى بایست نرم افزارهاى ضدویروس به طور دائم بهنگام شده تا امكان شناسایى ویروس هاى جدید ، وجود داشته باشد.
اما سئوال این جاست كه نرم افزارهاى ضد ویروس ، چگونه كار مى كنند؟
جزییات عملكرد هر یك از برنامه هاى ضد ویروس با توجه به نوع هر یك از نرم افزارهاى موجود ، متفاوت است . اینگونه نرم افزارها فایل هاى موجود بر روى كامپیوتر و یا حافظه كامپیوتر شما را به منظور وجود الگوهایى خاص كه مى توانند باعث ایجاد آلودگى شوند را پویش مى دهند . برنامه هاى ضد ویروس به دنبال الگوهایى مبتنى بر علائم خاص ، تعاریفى خاص و یا ویروس هاى شناخته شده ، مى گردند . نویسندگان ویروس هاى كامپیوترى همواره اقدام به نوشتن ویروس هاى جدید نموده و ویروس هاى نوشته شده قبلى خود را بهنگام مى نمایند . بنابراین لازم است كه همواره بانك اطلاعاتى شامل تعاریف و الگوهاى ویروس هاى كامپیوترى مربوط به نرم افزار ، بهنگام شود. پس از نصب یك نرم افزار آنتى ویروس بر روى كامپیوتر خود ، مى توان عملیات پویش و بررسى سیستم به منظور آگاهى از وجود ویروس را در مقاطع زمانى مشخص و به صورت ادوارى انجام داد . در این رابطه مى توان از دو گزینه متفاوت استفاده نمود :
• پویش اتوماتیك : برخى از برنامه هاى ضد ویروس داراى پتانسیلى به منظور پویش اتوماتیك فایل ها و یا فولدرهایى خاص و در یك محدوده زمانى مشخص شده ، هستند.
•پویش دستى : پیشنهاد مى شود ، پس از دریافت هرگونه فایلى از منابع خارجى و قبل از فعال نمودن و استفاده از آن ، عملیات بررسى و پویش آن به منظور شناسایى ویروس صورت پذیرد . بدین منظور عملیات زیر توصیه مى گردد :
- ذخیره و پویش ضمائم نامه هاى الكترونیكى و یا نرم افزارهایى كه از طریق اینترنت Download مى نمایید (هرگز ضمائم نامه هاى الكترونیكى را مستقیماً و بدون بررسى آن توسط یك برنامه ضد ویروس ، فعال ننمایید ).
- بررسى فلاپى دیسك ها ، CD و یا DVD به منظور یافتن ویروس بر روى آنان قبل از باز نمودن هر گونه فایلى.
• نحوه برخورد نرم افزار ضدویروس با یك ویروس
نرم افزارهاى ضد ویروس به منظور برخورد با یك ویروس از روش هاى متفاوتى استفاده مى كنند . روش استفاده شده مى تواند با توجه به مكانیسم پویش (دستى و یا اتوماتیك) نیز متفاوت باشد. در برخى موارد ممكن است نرم افزار مربوطه با ارائه یك جعبه محاوره اى ، یافتن یك ویروس را به اطلاع شما رسانده و به منظور برخورد با آن از شما كسب تكلیف نماید . در برخى حالات دیگر ، نرم افزار ضدویروس ممكن است بدون اعلام به شما اقدام به حذف ویروس نماید. در زمان انتخاب یك نرم افزار ضد ویروس ، لازم است به ویژگى هاى ارائه شده و میزان انطباق آنان با انتظارات موجود ، بررسى كارشناسى صورت پذیرد.
• از كدام نرم افزار باید استفاده كرد
تولیدكنندگان متعددى اقدام به طراحى و پیاده سازى نرم افزارهاى آنتى ویروس مى نمایند. عملكرد این نوع نرم افزارها مشابه یكدیگر است . به منظور انتخاب یك نرم افزار ضد ویروس مى توان پارامترهاى متعددى نظیر ویژگى هاى ارائه شده توسط نرم افزار، قیمت و میزان انطباق آنان با خواسته هاى موجود را بررسى نمود . نصب هر نوع نرم افزار ضد ویروس (صرفنظر از نرم افزار انتخاب شده) ،باعث افزایش حفاظت شما در مقابل ویروس ها مى شود. برخى از پیام هاى ارسالى كه ادعا مى كنند شامل نرم افزارهاى ضدویروس بوده و یا اینگونه نرم افزارها را به شما معرفى مى نمایند، خود به منزله یك ویروس بوده و مى بایست دقت لازم در خصوص بازنمودن آنان و ضمائم مربوطه را داشته باشیم .
با تمام این توضیحات چگونه مى توان از آخرین اخبار و اطلاعات مربوط به ویروس ها ، آگاهى یافت كه در پاسخ باید گفت، فرآیند بهنگام سازى در هر نرم افزار ضدویروس متفاوت بوده و مى بایست در زمان انتخاب اینگونه نرم افزارها، پتانسیل آنان در خصوص بهنگام سازى بانك اطلاعاتى تعاریف الگوها ، بررسى شود . تعداد زیادى از نرم افزارهاى ضد ویروس داراى گزینه اى به منظور بهنگام سازى اتوماتیك ، هستند. استفاده از پتانسیل فوق با توجه ایجاد ویروس هاى جدید ، امرى لازم و اجتناب ناپذیر است.
نصب یك نرم افزار ضد ویروس ، یكى از ساده ترین و در عین حال موثرترین روش هاى حفاظت از كامپیوتر است . آیا صرفاً با یك نصب همه چیز تمام شده و ما همواره داراى ایمنى لازم و حفاظت مطلوب خواهیم بود؟ پاسخ به سئوال فوق قطعاً منفى بوده و این نوع نرم افزارها داراى محدودیت هاى خاص خود نیز هستند. نرم افزارهاى ضد ویروس به منظور شناسایى و برخورد با ویروس ها از الگوهاى شناخته شده ، استفاده مى نمایند . بنابراین طبیعى است كه اینگونه نرم افزارها صرفاً قادر به شناسایى و برخورد با ویروس هایى هستند كه قبلاً الگوى آنان براى نرم افزار معرفى شده باشد . به منظور حفظ اقتدار نرم افزارهاى ضد ویروس و كمك به آنان در جهت شناسایى و برخورد با ویروس هاى جدید ، مى بایست فرآیند بهنگام سازى آنان به طور مداوم و در محدوده هاى زمانى مشخص ، تكرار گردد.
برگرفته از سایت روزنامه شرق
كرك ویستا، یك تروجان است
برنامهای كه مدعی بود می تواند نسخه منتشر شده ویستا را كرك كند، در اصل یك تروجان می باشد كه پسورد های سیستم را به سرقت برده و آنها را برای مهاجم ارسال می كند.
به گفته محققین امنیتی SUNBELT SOFTWARE یك برنامه كه حاوی فایلی به نام WINDOWS VISTA ALL VERSIONS ACTIVATION 21.11.06.EXE می باشد در اصل یك تروجان است كه پسورد های سیستم را به سرقت می برد.
در نظر ابتدایی به نظر می آمد كه این برنامه كرك ویندوز ویستا می باشد كه هفته قبل در سایت مایكروسافت در دسترس عموم قرار گرفت.
به گفته یكی از محققین امنیتی KASPERSKY ، این تروجان كه به نام TROJAN-PSW.WIN32.LDPINCH.AZE می باشد در اصل پسورد های كاربران را به سرقت می برد و آنها را برای مهاجم ارسال می كند. KASPERSKY اولین آنتی ویروسی بود كه این تروجان را در گزارش های روزانه خود معرفی كرده است.
كاربرانی كه از آنتی ویروس های سیمنتك یا NOD32 استفاده می كنند اذعان داشتند كه حتی به روز رسانی این آنتی ویروس ها نیز قادر به تشخیص این تروجان نبوده اند.
مایكروسافت نسخه جدید ویستا را برای شركت های تجاری ارائه داد تا آنها نیز بتوانند سیستم های خود را با آن وفق بدهند اما بسیاری از شركت های محتاط ترجیح می دهند كه شبكه ها و كامپیوتر های خود را بعد از دو سال از ارائه نسخه جدید ویستا به روز رسانی كنند تا در این مدت اشكالات اساسی این سیستم عامل مشخص گردد.
منبع : همکاران سیستم
عجیبترین ویروسهای سال 2007
آزمایشگاه امنیتی شركت پاندا فهرستی از نرمافزارهای مخرب عجیب مشاهده شده در نیمهی دوم سال 2007 را منتشر كرد.
Sinowal.FY؛ تروجانی است كه با گرفتن فایلهای كاربران به عنوان گروگان یك ربایندهی واقعی محسوب میشود!
این تروجان برای رمزنگاری فایلها در رایانههایی كه آلوده میكند و وادار كردن كاربران برای خرید یك ابزار ویژه به منظور رمزگشایی آنها طراحی شده است.
RogeMario؛ کرمی است كه هدف آن سرگرم كردن كاربرانی است كه آنها را آلوده میكند؛ این كد مخرب به گونهای طراحی شده تا هر زمان رایانهیی را آلوده میكند یك نسخه از بازی معروف ماریوبراس را در آن نصب كند.
کرمهایی مانند Mimbot.A، MSMFunny.B یا MSMSend.A ممكن است در هر سازمان ارتباطی بینالمللی مورد استقبال قرار بگیرند زیرا میتوانند پیامها را به شمار متعددی از زبانها ارسال كنند، هرچند جملات ممكن است ساختار خوبی نداشته باشند اما به هر حال نمیتوان همه چیز را یكجا داشت.
AttachMsngr.G؛ تروجانی است كه تشنهی معلومات است، معلوماتی كه در برگیرندهی تمامی اقدامات از حركات موس گرفته تا مكالمات مسنجر MSN كاربر در رایانه است؛ معمولا داشتن معلومات اندك خطرناك به شمار میرود اما در این مورد معلومات زیاد خطرناك است.
Voter.A؛ کرمی با وجدان شهروندی است كه شهروندان كنیایی را به مشاركت در انتخابات و رای به یكی از كاندیداها دعوت میكند اما متاسفانه تكنیك ناراحت كنندهای دارد زیرا هر نه ثانیه تصویر كاندیدای تبلیغی خود را نمایش میدهد.
و سرانجام CivilArmy.B ورمی است كه داستان میگوید و قبل از اخطار به كاربران در مورد آلوده كردن رایانههای آنها داستان رمانتیكی را تعریف میكند؛ شاید انگیزه این ورم تشویق كاربران به مطالعه بیشتر باشد.
ویروس جدیدی در قالب دعوتنامه
ویروس جدیدی كه از طریق پست الكترونیكی و در قالب یك دعوتنامه ارسال میشود، كاربران اینترنت را تهدید میكند.
این ویروس جدید همراه با یك فایل ضمیمه تحت عنوان "دعوت"(INVITATION)?، در حال انتشار در شبكه اینترنت است.
این ویروس یكی ازبدترین ویروسهای شناخته شده است كه در صورت باز كردن آن، هارد دیسك رایانه میسوزد و اطلاعات حیاتی و مهم آن از بین میرود.
ویروس یاد شده توسط كمپانی امنیتی " مك آفی" شناسایی شده و شركت مایكروسافت آن را به عنوان یكی از مخربترین ویروسها ردهبندی كرده است.
هنوز هیچ راهحل و اصلاحیهای برای جلوگیری از فعالیت این ویروس ارایه نشده است.
اگركاربران اینترنت چنین پیامی از طرف دوستان خود دریافت كردند بلافاصله آن را بسته و سیستم رایانه خود را خاموش كنند.
منبع : ایرنا
RootKit چیست؟
RootKitها برنامه هایی هستند كه از نظر ساختار كاری بسیار شبیه Trojan ها و Backdoor ها هستند ولی با این تفاوت كه شناسایی RootKit بسیار مشكلتر از درب های پشتی است زیرا RootKit ها علاوه بر اینكه به عنوان یك برنامه كاربردی خارجی مثل شنونده Netcat و ابزارهای درب پشتی مثل Sub7 بر روی سیستم اجرا می شوند بلكه جایگزین برنامه های اجرایی مهم سیستم عامل و در گاهی مواقع جایگزین خود هسته كرنل می شوند و به هكرها این اجازه را می دهند كه از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ كنند و مدت زیادی با خیال راحت با نصب ردیابها ( Sniffer ) و دیگر برنامه های مانیتورینگ بر روی سیستم اطلاعاتی را كه نیاز دارند بدست آورند. در دنیای هكرها دو نوع RootKit اصلی وجود دارد كه هر كدام تعریف جداگانه ای دارند.
1- RootKit سنتی:
RootKit های سنتی با شناسایی اولین RootKit بسیار قدرتمند در اویل سال 1990 در طول یك دهه گسترش پیدا كردند و تا آنجا پیش رفتند كه امروزه انواع مختلفی از RootKit های سنتی وجود دارند كه به طور عملی خودشان نصب شده و به هكرها اجازه می دهند كه به سرعت سیستم قربانی را فتح كنند. RootKit های سنتی برای سیستم عامل های مختلف نوشته شده اند ولی به طور سنتی بر روی سیستم های یونیكس مثلHP-UX - AIX - Linux - Solaris - SunOS و از این قبیل تمركز كرده اند. ولی برای ویندوزهای سرور مثل NT/2000 نیز RootKit هایی نوشته شده اند كه جایگزین كتابخانه های پیوند پویا ( DLL ) شده و یا سیستم را تغییر می دهند ولی تعداد زیادی از RootKit ها برای سیستم های یونیكس نوشته شده اند.
RootKit ها اجازه دسترسی Root یا Administrator را به ما نمی دهند و ما هنگامی قادر به نصب آْنها بر روی یك سیستم هستیم كه دسترسی ریشه ای و مدیر یك سیستم را توسط روش های دیگری مثل سرریز بافر ... به دست آورده باشیم. بنابراین یك RootKit یك سری ابزارهایی است كه با پیاده سازی یك درب پشتی ( Backdoor ) و پنهان كردن مدارك استفاده از سیستم و ردپاها به هكر اجازه نگهداری دسترسی سطح ریشه را می دهد. ساختار كار تروجن ها به این صورت است كه فایلی را در داخل هسته سیستم مثل پوشه System32 اضافه می كند و این فایل تمامی پسوردهای قربانی را Log كرده و برای هكر می فرستد و یا با باز كردن پورتی اجازه ورود هكر را از طریق پورت باز شده می دهد ولی RootKit های سنتی به جای اینكه فایلی در هسته سیستم قربانی اضافه كنند، سرویسها و فایل های اصلی و مهم سیستم عامل قربانی را با یك نسخه تغییر یافته آن كه عملیاتی مخرب انجام می دهد جایگزین می كنند. برای مثال RootKit های معروف در سیستم های یونیكس برنامه /bin/loginرا كه یكی از اساسی ترین ابزارهای امنیتی در Unix است را با یك نسخه تغییر یافته كه شامل یك كلمه عبور درب پشتی برای دسترسی سطح ریشه می باشد عوض می كنند. سیستم های یونیكس از برنامه /bin/login برای جمع آوری و تست UserID های كلمات عبور استفاده می كند. /bin/login شناسه كاربری و پسورد تایپ شده توسط كاربر را با فایل پسوردها مقایسه می كند تا تعیین كند كه پسورد داده شده توسط كاربر صحیح است یا خیر. اگر پسورد داده شده درست باشد روتین /bin/loginبه آن User اجازه ورود به سیستم را می دهد. خب با این توضیحی كه دادیم فرض كنید كه یك RootKit این برنامه را با برنامه نوشته شده خود عوض كند. اگر هكر از پسورد ریشه درب پشتی استفاده كند، برنامه /bin/login تغییر یافته و اجازه دسترسی به سیستم را می دهد. حتی اگر مدیر سیستم پسورد ریشه اصلی را عوض كند، هكر هنوز می تواند با استفاده از كلمه عبور ریشه درب پشتی به سیستم وارد شود. بنابراین یك روتین RootKit ، /bin/login یك درب پشتی است زیرا می تواند برای دور زدن كنترل های امنیتی نرمال سیستم مورد استفاده قرار گیرد. علاوه بر آن یك اسب تروا هم هست زیرا فقط چهره آن یك برنامه نرمال و زیبای Login است ولی در اصل یك Backdoor است. اكثر RootKit ها سرویس ها و برنامه هایی مثل DU - Find - Ifconfig - Login - ls - Netstat - ps را با RootKit خود جابه جا می كنند. هر یك از این برنامه های سیستمی با یك اسب تروای منحصر به فرد جایگزین می شود كه عملكرد آنها شبیه به برنامه عادی است. همه این برنامه های Unix مانند چشم و گوش های مدیران سیستم می باشد كه تعیین می كنند چه فایل ها و سرویس هایی در حال اجرا هستند. هكرها با پوشاندن چشم و گوشهای مدیران سیستم كه توسط RootKit انجام می شود می توانند به صورت موثری حضورشان را در یك سیستم مخفی نگه دارند. linux RootKit 5 ( lrk5 ) و Tornkit دو نمونه از RootKit های سنتی هستند كه برای سیستم های Linux و Solaris نوشته شده اند و در سایت آشیانه می توانید این RootKit ها را پیدا كنید. این RootKit ها به محض نصب شدن در سیستم قربانی خود را با سرویس های حیاتی و مهم سیستم عامل كه در بالا ذكر شد جایگزین می كنند.
2- RootKit سطح هسته :
این نوع از RootKit ها نسبت به نوع سنتی بسیار حرفه ای تر هستند و از نظر سطح پنهان سازی بسیار پا را فراتر از نوع سنتی گذاشته اند زیرا این RootKit ها در سطح ریشه پیاده سازی می شوند و این كار شناسایی و كنترل كردن آنها را بسیار مشكل تر كرده است. RootKit های سطح هسته به ما كنترل كاملی از سیستم اصلی و یك امكان قدرتمند برای جایگیری می دهد. یك هكر با ایجاد تغییرات اساسی در خود هسته، می تواند سیستم را در سطحی بسیار اساسی كنترل كرده و قدرت زیادی برای دسترسی به درب پشتی و پنهان شدن در ماشین را به دست آورد. خود هسته در حالی كه یك كرنل زیبا و كارآمد به نظر می رسد تبدیل به یك اسب تروا می شود و در حقیقت Kernel فاسد می شود ولی صاحب سیستم از این موضوع بی خبر می ماند. درحالی كه یك RootKit سنتی جایگزین برنامه های سیستمی حیاتی مثل برنامه های ifconfig - ls ... می شود ، یك RootKit سطح هسته در حقیقت جایگزین هسته می شود و یا آن را تغییر می دهد. تمامی فایل ها - دستورها - پردازشها و فعالیت های شبكه ای در سیستم آلوده به RootKit هسته پنهان می شوند و تمامی اعمال به سود هكر ضبط می شود. اغلب RootKit های سطح ریشه توسطLKM ها پیاده سازی می شوند. نصب RootKit های سطح هسته ای كه توسطLKM ها پیاده سازی شده باشد، بسیار راحت است. برای مثال برای نصبKnrak Rootkit كه برای هسته لینوكس نوشته شده است، یك هكر كه با Account سطح ریشه یا همان Root به آن سیستم وصل است تنها كافی است insmod knark.o, را تایپ كند و ماژول نصب می شود و منتظر دستورات هكر می ماند و حتی نیازی به بوت كردن دوباره سیستم هم ندارد. RootKit های سطح هسته برای ویندوز NT هم وجود دارند كه یك Patch را بر روی خود هسته اجرایی ویندوز NT بدون استفاده ازLKM ها اعمال می كند. چند تا از معروف ترین RootKit های سطح هسته Knrak و Adore برای سیستم های لینوكس ، Plasmoid برای سیستم های Solaris و RootKit سطح هسته ویندوز NT برای سیستم های سرور ویندوز نام دارند كه همگی در لینك RootKit در سایت آشیانه برای اعضای سایت قرار داده شده اند.
راه های مقابله با RootKit های سنتی و RootKit های سطح هسته مهمترین راه دفاع در برابر RootKit ها اجازه ندادن به هكرها در دسترسی به حساب مدیر است. همانطور كه در بالا ذكر شد یك هكر برای نصب یك RootKit باید دسترسی سطح ریشه داشته باشد و اگر ما بتوانیم همیشه راه های نفوذ و آسیب های جدید سیستم عاملمان را شناسایی و آنها را از بین ببریم شانس دستیابی هكر به حساب ریشه سیستم خود را تقریباً به صفر رسانده ایم. در مرحله بعد اگر فرض كنیم كه با بی احتیاطی ما ، هكری توانست بر روی سیستم ما RootKit نصب كند، یكی از راه های تست این كه سیستم ما RootKit شده است یا خیر استفاده از دستورEcho است. تعداد بسیار كمی از RootKit ها ، دستور echo را كه برای لیست كردن محتویات یك دایركتوری می باشد تروا می كنند و اكثر RootKit ها بر روی تروا كردن ls تمركز كرده اند. به همین دلیل echo یك لیست قانونی از محتویات یك دایركتوری را برمی گرداند و اگر نتیجه ای كه echo بر می گرداند با چیزی كه دستور ls برای دایركتوری داده شده نشان می دهد متفاوت باشد ممكن است چیزی در آن دایركتوری پنهان شده باشد كه این نتیجه را می رساند كه سیستم شما RootKit شده است. ولی در كل این روش زیاد موثر نیست چون جستجوی تمام سیستم فایل برای یافتن هر اختلافی بین فایل های لیست شده در خروجی Echo و ls وقت زیادی را صرف می كند. امروزه ابزارهای مختلفی برای آنالیز برنامه Rootkit/bin/login وجود دارد كه مشخص می كنند آیا RootKit شناخته شده ای نصب شده است یا خیر. این ابزارها وقتی كه بر روی سیستم نصب می شوند به صورت دوره ای فایل های مهم بر روی سیستم را مثل /bin/login چك می كنند تا از وجود RootKit باخبر شوند كه برنامه ChRootkit ابزاری جالب در این زمینه است ولی دركل بهترین راه دفاع در برابر RootKit ها استفاده از تكنولوژی اثر انگشت دیجیتالی قوی می باشد تا به صورت دوره ای درستی فایل های سیستم بحرانی را تحقیق نماید. MD5 ( یك تابع درهم ساز یك طرفه ) یك الگوریتم بسیار مناسب برای محاسبه این نوع اثر انگشتهای قوی می باشد. با محاسبه یك اثر انگشت Encrypt شده قوی برای فایل های سیستمی مهم یك هكر قادر نخواهد بود كه فایلی را تغییر داده و با همان اثر انگشت وارد شود.TripWire یك ابزار قوی برای تست صحت است كه در سایت آشیانه برای دانلود قرار داده شده است. TripWire درهم سازی MD5 ای از فایل های بحرانی مثل/etc/passwd/bin/login - ls - ps و ... ساخته و به صورت دوره ای این درهم سازی را با یك پایگاه داده ای امن مقایسه می كند. در صورت تغییر در MD5 یك سرویس سریع به مدیر سیستم اطلاع می دهد. همچنین در RootKit های سطح هسته Scan پورت ها در شبكه كه با استفاده از ابزارهایی مثل Nmap صورت گیرد پورت های شنونده را به مدیر امنیتی سیستم نشان خواهد داد. به همین دلیل پویش دوره ای سیستم در طول شبكه برای پیدا كردن رد RootKit بسیار مفید است.
در آخر ذكر این نكته لازم است كه اگر سیستم شما با تمام این ملاحظات آلوده به RootKit شد بهترین راه از بین بردن آن فرمت هسته و نصب مجدد سیستم عامل است.
برگرفته از سایت iritn
برنامههای امنیتی خود را بهینه كنید
تاكنون ویروسها و كرمهای اینترنتی متعددی شناسایی شدهاند كه روز به روز هم بر تعداد آنها افزوده میشود. برای ایمن نگهداشتن كامپیوتر خود در برابر این حملات نیاز به ابزارهای ضد ویروس و ضد جاسوسی پیشرفتهای داریم. ولی تنها نصب این نرمافزارها كافی نیست. در اینجا به نكاتی اشاره میكنیم كه به شما كمك میكنند تا از ابزارهای امنیتی خود بهتر استفاده كنید.
به طور منظم سیستم خود را كاملاً اسكن كنید
یك اسـكن كامل از سـیستم چـیست؟ اسـكنی كه رجیستری ویـندوز را در زمـان راهاندازی سیستم بررسی كرده و نیز به بررسی فایلهای غیر قابل اجرا، فایلهای بایگانی و فایلهای با اندازههای متفاوت میپردازد. در اكثر اسكنها؛ فایلهای بایگانی، فایلهای خیلی بزرگ و گاهی اوقات فایلهای غیر قابل اجرا نادیده گرفته میشوند. اسكن كامل زمان بیشتری میبرد ولی بررسی دقیقتری انجام میدهد. اگر نگران ویروسها هستید، به یاد داشته باشید كه از دست دادن فقط یك فایل معیوب بهتراز دست دادن تمام فایلها است. بنابراین توصیه میشود كه به طور منظم سیستم خود را اسكن كامل كنید. میزان ترتیب انجام این كار بستگی به میزان استفادهای دارد كه از كامپیوتر خود میبرید. اگر هر روز با فایلهای ورودی/خروجی و پستهای الكترونیكی زیادی سر و كار دارید، بهتر است كه از نرمافزارهای ضد ویروس و ضد جاسوسی طبق برنامهای خاص استفاده كنید و هر شب اسكن كامل انجام دهید مگر اینكه از كامپیوترتان زیاد استفاده نكنید. از آنجا كه یك اسكن كامل میتواند ساعتها به طول بینجامد، در صورتی كه میخواهید كاری با كامپیوترتان انجام دهید، میتوانید موقتاً از انجام آن صرف نظر كنید.
اسـكـن كـامـل را تـوسـط بـرنامـههای ضد جاسوسی نیز انجام دهید
ویروسها نسبت به نرمافزارهای جاسوسی مضرتر هستند ولی این نرمافزارها موذیترند. اگر شخصی به طور مرتب مراقب باشد كه به چه وبسایتی وارد میشوید و سپس آنها را به یك شركت دیگر بفروشد، چه كار میكنید؟ این كاری است كه نرمافزارهای جاسوسی انجام میدهند، بنابراین از آنها غفلت نكنید. خواه از یك بـرنـامه كـوچـك مـثـل www.lavasoftusa.com)Ad-Aware) اسـتفاده كنـیـد یـا یـك بـرنـامـه دارای ویـژگیهـای مـتعـدد مـثل www.steganos.com) Steganos Antispyware)، اسـكنهای كامل میتوانند از ورود این جاسوسان به سیستم شما پیشگیری كنند. بدین منظور، اسكن كامل یك بار در هفته كافی است ولی اگر دائماً نرمافزارهایی را نصب و حذف كرده و بعضی نرمافزارها را بررسی میكنید، بهتر است اسكنهای بیشتری انجام دهید.
یك ابزار ضد جاسوسی خوب این امكان را فراهم میآورد كه به طور روزانه و بدون نیاز به نصب مجدد آن، سیستم خود را بررسی كنید.
هـر روز بـه دنـبـال بـه روز رسـانیهای نرمافزارهای ضد ویروس باشید
بعضی از برنامههای ضد ویروس به طور خودكار و پیشفرض، به روز رسانیهای خود را از اینترنت دریافت میكنند. بررسی كنید آیا برنامه شما نیز دارای این ویژگی است یا خیر؟ اگر این طور نیست، بهتر است كه هر روز به طور دستی این كار را انجام دهید.
اگر مدت دو هفته است كه هیچ نسخه به روز رسانیشدهای را دریافت نكردهاید، بررسی كنید آیا برنامه ضد ویروس شما درست كار میكند یا خیر؟ اگر این طور است و به روز رسانی برای آن در سایت شركت سازنده وجود ندارد، سعی كنید كه از برنامه دیگری استفاده كنید. بیشتر ویروسها به ندرت ظاهر میشوند، ولی باید دائم مراقب آنها باشید.
بـرنـامـه Firewall ویـنـدوز را فـقـط زمـانی غـیر فعـال كـنیـد كـه بـه صـورت offline كار میكنید.ُ
اگر به اینترنت متصل باشید، كامپیوتر شما در معرض خطر حملات ویروسها قرار دارد. بهترین دفاع در برابر آنها برنامه Firewall است، بنابراین هیچ وقت آن را خاموش نكنید مگر اینكه از اینترنت خارج شوید.
بعضی از نرمافزارها كه دارای ویژگیهای خوبی هستند نیز امكان استفاده بهتر از Firewall را نسبت به خود برنامه ویندوز فـراهم میآورند. اگـر یـك بـرنامه Firewall سومی را بـر روی سیستم خود نصب و اجرا میكنید، ابتدا از اینترنت خارج شده و سپس Firewall قدیمی خود را خاموش كنید. لازم نیست كه دو برنامه Firewall با هم بر روی سیستم اجرا شوند، زیرا بر عملكرد هم تاثیر میگذارند.
با تنظیمات كنترل شبكه برنامه Firewall خود آشنا شوید
خواه به یك شبكه محلی (LAN) متصل باشید یا نه، شما و كامپیوترتان بخشی از بزرگترین شبكه گسترده (WAN) موجود یعنی اینترنت خواهید بود. تنظیمات شبكهای برنامه Firewall شما، ابزارهایی مناسب برای كار در وب به صورت روزانه خواهند بود. فیلتر كردن برنامههای اضافه این امكان را به شما میدهد كه به برنامه Firewall بفهمانید كه چه برنامههایی اجازه دسترسی به سیستم شما را خواهند داشت. این ویژگی همچنین این امكان را فراهم میآورد كه برنامههای كامپیوتر شما نتوانند خودشان وارد اینترنت شوند. بعضی از برنامهها این كار را گهگاهی برای یافتن به روزرسانیهای خود انجام میدهند و بعضی دیگر ممكن است كه فعالیت ویروسها و نرمافزارهای جاسوسی را مشخص كنند.
نكته: بعضی از برنامههای Firewall باید طوری تنظیم شوند كه به صورت خودكار هر زمانی كه كامپیوتر خود را روشن میكنید شروع به كار كنند. نادیده گرفتن این كنترل منجر به ورود شما در اینترنت بدون هیچ گونه محافظتی میشود.
از یك برنامه راهنمای محتوا استفاده كنید.
برنامههای راهنمای محتوا در كنار برنامههای Firewall و برنامههای اسكن كننده ویروس یاب بلادرنگ برای پیشگیری از حملات به كار میروند. آنها كاملاً میدانند كه چه سایتهایی میتوانند تنظیمات پیشفرض مرورگر را تغییر داده و به صورت خودكار نرمافزاری را بدون اطلاع شما نصب كنند یا اینكه در زمانی كه مطلبی را از آنها دریافت میكنید، شما را به لیست هرزنامهها اضافه كنند. این برنامهها با مـطلع كردن شـما بـرای عدم ورود به این سـایتها، از آسـیب دیدن سیـستم شـما پیشگیری میكـنند. بـرنـامه رایـگان SiteAdvisor مـحـصول شـركـت www.siteadvisor.com) McAfee) از جـمـله ایـن برنامههاست.
نكته: میتوانید از تجزیه و تحلیل Online این برنامه برای ورود به یك آدرس وب و تحلیل محتوای آن استفاده كنید، ولی این روش نسبت به اجرای برنامه در پس زمینه در زمان جستوجو در اینترنت، وقت گیرتر است.
جــسـت و جــو در وب بـــدون IE و Outlook Express
هـكرها بیـشتر تـمركزشان را بـر روی ایـن دو برنامه مـحصول شـركـت مـایـكروسـافت قـرار میدهـنـد، زیـرا مـتداولترین مـرورگـر و بـرنـامـه پـسـت الـكـترونـیك هـسـتـنـد. اگـر از بـرنامههای دیـگری مـثل Opera یا Firefox برای مـرور وب و www.pocomail.com) Pocomail) بـرای ارسـال و دریافت پستالكترونیك استفاده كنید، شانس بـیشتری برای ایمن ماندن نسبت به حملات آنها خواهید داشت.
نكته: اگر قـصد استفاده از برنامه Outlook Express را دارید، قاب پیش نمایش آن را ببندید، زیرا پیش نمایش پستالكترونیك میتواند باعث ایجاد مشكلاتی شود.
استفاده از برنامههای مناسب هنگام دریافت یا بازكردن هر چیزی
برنامههای ضد ویروس و ضد هرزنامهای كه از آنها استفاده میكنید، ابزارهای بسیار خوبی هستند، ولی نمیتوانند جلوی بهخطر افتادن شما را بگیرند. بعضی از پستهای الكترونیك دارای عناوینی فریبنده هستند. اگر چه ممكن است كه بعضی از آنها این طور نباشند ولی بـیشتر كاربـران در دام آنـها میافتند. بـسیـاری از بـرنامههای ضـد ویــروس، مــثـل McAfee Internet Security Suite و Norton SystemWorks 2007 Premier، میتـوانـنـد ایـن نامههای الـكترونیك فریبنده را تشخیص دهند.
تلفن همراه هدف بعدی ویروسها
مطالعات نشان میدهد که خطر حملات ویروسها و اسپمها به تلفنهای همراه در حال افزایش است متخصصان امنیت دیجیتال میگویند که این حملات در ابتدای راه است و با گذشت زمان همان اتفاقی برای تلفنهای همراه میافتد که برای کامپیوترهای شخصی افتاد.
استفاده از نرم افزارهای امنیتی هنوز در بین تلفنهای همراه رایج نشده است و به همین دلیل هشدارها در این زمینه از سوی سرویس دهندههای تلفن همراه داده میشود.
آنها به دارندگان تلفنهای همراه اخطار دادهاند که از تکنیکهای امنیتی مشابه ویروسیابهای کامپیوترهای شخصی استفاده نمایند.
انستیتو فنآوری امنیت اطلاعات جورجیا (GTISC) در آمریکا در گزارش سالانه خود اعلام کردهاست که تلفنهای همراه به یکی از آسیبپذیرترین دستگاهها از نظر امنیتی تبدیل شدهاند.
این گزارش میگوید که با بالا رفتن تقاضا و استفاده از گوشیهای تلفن هوشمند یا Smart Phone، نرمافزارهای بانکی و پرداخت از راه دور جدیدی برای این دستگاهها به بازار عرضه میشوند که آنها را به یکی از اهداف هکرها تبدیل میکند.
سایمون کانی از موسسه Adaptive Mobile در این باره میگوید که حملات به تلفنهای همراه یادآور روزگاری است که ویروسها و اسپمها در بین کامپیوترهای شخصی به تازگی شایع شدهبودند. موسسه ایرلندی Adaptive Mobile با سرویس دهندههای موبایل همکاری میکند و حملات موبایل را ردیابی میکند.
آقای کانی میگوید: «یکی از شایع ترین اهداف حملات جدی به سیستم عامل ها،سیستم سیمبین (Symbian) است. این ویروسها با استفاده از لیست شمارهها کار خود را شروع میکنند و با نفوذ به آن خود را برای افرادی که با تلفن همراه تان تماس گرفتهاند میفرستند و به این ترتیب تکثیر میشوند. سرویس دهندههای موبایل در بریتانیا همه ساله 100هزار ویروس را در شبکه خود دریافت میکنند که این مقدار 50درصد نسبت به سال پیش افزایش داشته است.
او میافزاید: «با این حال اکثر استفاده کنندگان از این سرویسها از خطر حمله ویروسها در امانند چون هنوز ویروسها و حملات بسیار ساده هستند. با این حال در چند ماه اخیر پیشرفتهایی در این زمینه وجود داشته است. برای مثال ویروسها در گذشته به صورت فایلهای برنامه قابل اجرا ارسال میشدند که این امر کار را برای ما آسان میکرد. ولی هم اکنون فایلهای ویروسی به شکل mp3 و یا عکس و ویدئو ارسال میشوند.
جدیدترین ویروسی که توسط این شرکت شناسایی شده است Beselo نام دارد که از طریق MMS و یا بلوتوث تکثیر میشود.
او میافزاید: وقت آن رسیده است که کاربران تلفن همراه همان روشهایی را به کار بگیرند که برای ایمن کردن کامپیوتر شخصیشان به کار میبرند. قبل از باز کردن ضمیمههای SMS و MMS از سالم بودن آن اطمینان حاصل کنند، قبوض تلفن خود را کنترل کنند و بلوتوثشان را بر روی حالت پنهان (Stealth) قرار دهند.
متخصصان، استفاده از سیستم عاملهای Open-Source مثل آندروید گوگل را پیشنهاد می کنند زیرا این سیستمها به سازندگان برنامههای امنیتی و حفاظتی، در ساخت برنامههای جدید و قابل نصب کمک میکنند.
آشنایی با کرم W32/Trojan.pa
نوع: کرم اینترنتیمحیطهای قابل اجرا: Windows 2000,XP,NT,....
خصوصیات:
کرم W32/Trojan.pa دارای اندازه 49,152 بایت است و خود را در مسیر زیر کپی میکند :
%System%\New Folder.exe
با باز کردن هر پوشه در سیستم، یک کپی از این فایل را با نام آن پوشه، در کنار پوشه ایجاد میکند. با توجه به اینکه آیکون این کرم شبیه به پوشه است باعث گمراه شدن کاربر میشود.
با حذف فایل Attrib.exe از مسیر %System% باعث میشود وضعیت Attribute فایلها و پوشهها قابل تغییر نباشد.
این کرم تغییرات زیر را در رجیستری بوجود میآورد :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
New Folder= %System%\New Folder.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "30"
HideFileExt = "31"
ShowSuperHidden = "30"
SuperHidden = "30"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
FullPath = "31"
FullPathAddress = "30"
و کلید زیر را حذف میکند :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
برای بر طرفسازی اثرات تخریبی در رجیستری سیستم میتوانید را دانلود نمایید:
از دیگر کارهای W32/Trojan.pa این است که با کلیک بر روی هر قسمت TaskBar پنجره Shut down ویندوز باز میشود و همچنین مانع از اجرای برنامه Regedit و Task Manager میشود.
کرم W32/Trojan.pa همچنین مانع نمایش پسوند فایلها میشود و Folder Option را غیر فعال میکند.
منبع: شرکت مهران رایانه
آماری از آسیب پذیری ضد ویروس ها!
در ماه گذشته چند آسیب پذیری در برنامه ها و محصولات امنیتی TREND MICRO گزارش شده است. (شركت TREND تهیه كننده نرم افزار معروف و قدیمی PC-CILLIN می باشد)
در اولین آسیب پذیری، حمله كننده می تواند از آن برای حملات عدم سرویس دهی (DOS) و همچنین اجرا كد استفاده کند. اشکال در تحلیل و بررسی فایل های فشرده اجرایی UPX میتواند هنگام بازكردن و تحلیل چنین فایل هایی باعث سرریز و كرش ( توقف برنامه ) و در نهایت اجرا كد دلخواه گردد .
دومین آسیب پذیری در IOCTL HANDLER در محصولات TREND MICRO در صورت بهره برداری می تواند باعث ارتقا دسترسی در سطح كرنل گردد .
البته برای هر دو آسیب پذیری مكمل های امنیتی انتشار یافته اند كه اكیدا توصیه می شود به نصب آنها اقدام نمایید .
آسیب پذیری در نرم افزار های ضد ویروس و امنیتی سابقه زیادی دارد. و این محصولات امنیتی بارها توسط هكر ها و متخصیصین امنیت مورد حمله قرار گرفته اند.
برای مثال می توانید به گزارش آسیب پذیری های نرم افزار های امنیتی تگاهی بكنید شاید چنین لیستی برای شما جالب و در انتخاب محصولی امنتر راهنما باشد . فراموش نكنید نرم افزار های ضد ویروس نقش اساسی در امنیت سیستم های خانگی و دولتی دارد.
براساس تحقیقات انجام شده در سایت SECUNIA تعداد و آمار آسیب پذیری آنتی ویروس ها را به شما ارایه می كنیم.
دقت كنید برای شمارش آسیب پذیری ها نه فقط نرم افزار آنتی ویروس بلكه تمام محصولات شركت مورد بررسی قرار گرفته اند .
MCAFEE
35 آسیب پذیری در نرم افزار های شركت MCAFEE گزارش شده است. این تعداد بسیار زیاد بوده البته طبیعی است به علت معروفیت این شركت هكر ها هم تمایل زیادی برای كشف آسیب پذیری در محصولات این شركت دارند .
KASPERSKY
12 آسیب پذیری در نرم افزار آنتی ویروس KASPERSKY گزارش شده است.
TREND MICRO
22 آسیب پذیری در نرم افزار های TREND MICRO گزارش شده است كه البته آمار بالا یی می باشد.
AVAST!
8 آسیب پذیری در نرم افزار ضد ویروس AVAST! گزارش شده است كه نشانه عملكرد خوب شركت است.
PANDA
4 آسیب پذیری در نرم افزار های PANDA كه آمار بسیار جالب و خوبی برای این شركت است.
CLAMAV
22 آسیب پذیری برای این نرم افزار غیر ویندوزی آمار چندان مناسبی نیست.
SYMANTEC
بیش از 60 آسیب پذیری كه برای این غول امنیتی كه این آمار بسیار تاسف بار است.
به نرمافزار امنیتی خود اطمینان دارید؟
به دلیل حجم عظیم تقاضا از سـوی بـازار، صنعت نرمافزارهای امنیتـی مانند یك قارچ در حال رشد است. این خبر با توجه به تعداد زیاد هكرها و برنامههای نفوذگری بـاعث خـوشحالی است. هیـچ برنامه ضد ویروسی نمیتواند به تنهایی و به طور كامل از سیستم حفاظت كند. یك راه حل چند لایه كه شـامل مجموعه متعددی از برنـامهها باشد، میتـواند بهترین گزینه در بـرابـر تهدیدهـای جدیـد باشد زیـرا در این روش هر بـرنامه نقاط ضعف برنامه های دیگر را می پوشاند.
شما به یك ابزار «تحلیل پایه كامپیوتر» نیاز دارید تا برنامههای جاسوسی و برنامههایی را كه به صـورت خودكـار به همـراه ویندوز شروع به كار میكنند را بررسـی و شناسایـی كنید. یكی از شناخته شدهترین ابزارهـا در این رابطه، برنامه كمكی HIJACKTHIS است كه بیشتر برنامه هـای آغازین را شناسایـی و پـردازش می كنـد اما در مورد اینكه كدام یك تهدیدی واقعـی به شمار میآید، معیاری ایجاد نمیكند.
برنامه رایگان X-RAYPC ارائه شده توسط شركت XBLOCK SYSTEMS را نیز در نظر داشته باشید. با كلیك روی دكمه ONLINE ANALYSIS، این برنامه شـروع به شناسایی نـرمافزارهـای بیضـرر میكند و بدین ترتیب در جست وجوهای خود كمتر با برنامههای مضر مواجه میشویم. نرمافـزار ضـد ویروس یـك نیـاز است اما كاملا بـاعث آسودگی خیـال نمـیشود. اگر كامپیوتـری توسط یك ویروس آلوده شود و شركت سازنده ضد ویروس نصب شده بر روی كامپیوتر هنوز راه حلی بـرای آن ویـروس ارائه نكـرده باشد؛ آنگاه با بررسـی سیستم خود توسط آن ضد ویروس هیچ خطری دریافت نمی كنید و با وجود آلوده بودن سیستم، برنامه ضد ویروس، سیستم شما را پاك تشخیص می دهد. اگر برنامه مشكوكی بر روی سیستم شما قرار دارد ولی برنامه ضد ویروس هیچ خطری را اعلام نمی كند. آنگاه می توانید با استفاده از دو راه حلی كه در دو سایت زیر وجود دارد، مشكل خود را حل كنید:
به سایتVIRUSTOTAL.COM مراجعه كنید و فایل مشكوك را به آن سـایت انتقال دهید تا توسط 23 برنامه ضد ویروس موجود در این سـایت، فایل را به طور كامـل اسكن كنید یـا آنكه بـرای نتیجه گیری سریعتر به سایت JOTTI واقع در آدرسHTTP://VIRUSSCAN.JOTTI.ORG/ مراجعه كنید. این سایت با 15 برنـامه ضد ویـروس فایل را بررسی میكند.
برنامههای ضد ویروس و ضد جاسوسی هر دو سعی می كنند تا از طریق شناسایی انواع مشخصی از برنامهها و ویژگیهای انتقـال دهنده پیـام، تهدیدهای جدیـد را رفـع كنند. امـا چگونـه میتوان از موثـر بـودن روش محـافظتی مـورد استفاده تـوسط ایـن برنامهها مطمئن شد؟
در این راستا نرم افزار رایگان SPYCAR را به شما معرفی می كنیم كه مجموعه ای از ابزارها است كه عكس العمل برنامه ضد ویروس یا ضد جاسوسـی شما را در برابر اعمـال یك برنـامه جاسوسی بررسی میكند. نفوذهایی كه این برنامه در سیستم شما انجام میدهد، عبارتند از: تغییر فایل WINDOWS HOSTS (كه میتواند مسیر پیش فرض مرورگر را به سایتهای موردنظر برنامه جاسوسی تغییر دهد)، اضافه كردن موارد ناخواسته به لیست FAVORITES در بـرنـامه INTERNET EXPLORER یـا ایجـاد تغییرات در رجیستری ویندوز. یك برنامه امنیتی با ارزش باید بتواند این دستكاریهـا را ردیابی كند و در مورد آنها اخطار دهد و حتـی جلوی این كارها را بگیرد.
اجرای برنامه SPYCAR به سیستم شما صدمه نمیزند اما اگر این برنامه را اجرا كنید و برنامه ضد ویروس یا ضد جاسوسی نصب شده در سیستم شما هیچ اعلان خطری نكند؛ آنگاه زمان آن فرارسیده است كه یك برنامه امنیتی جدید تهیه كنید.
منبع : ماهنامه وب
کرم اینترنتی با عنوان جعلیIE7
یک کرم جدید اینترنتی که در هفته گذشته منتشر شد، خود را به عنوان نسخه آزمایشی مرورگر اینترنت اکسپلورر مایکروسافت معرفی می کند.
ایمیلی با عنوان جعلی و گمراه کننده نظیر "admin@microsoft.com" شامل یک فایل الحاقی است که به عنوان نسخه آزمایشی مرورگر مایکروسافت معرفی شده ، اما در حقیقت یک کرم اینترنتی خطرناک است. این فایل با نام ‘ie7.0.exe’ در واقع حاوی کرم Grum-A است.
گراهام کلولی (Graham Cluley) مشاور ارشد فناوری در شرکت امنیتی سوفوس (Sophos) می گوید: «این گونه کرمهای اینترنتی بسیار سریع منتشر میشوند، زیرا بسیاری از مردم هنوز نیاموختهاند که باید به ایمیلهای ناخوانده و ناشناس ظنین شد، به ویژه اگر این ایمیلها خود را از سوی شرکت های شناخته شده ای نظیر مایکروسافت معرفی کنند.»
وی می افزاید: «مشکل اصلی اینجاست که این ایمیل ها بسیار واقعی به نظر می رسند و تصویری که نمایش میدهند، بسیار شبیه تصاویری است که مایکروسافت برای تبلیغ IE7 در وب سایت خود استفاده می کند.»
با نصب این کرم، فایل های اجرایی ویندوز در رجیستری آلوده شده و این فایل های آلوده به طور خودکار خود را در شاخه winlogon.exe\ کپی می کنند. این کرم همچنین خود را روی Systems.dll نصب میکند.
کامپیوتر آلوده شده قادر خواهد بود بدون آگاهی کاربر اقدام به دانلود فایل و همچنین ارسال ایمیل های آلوده و ناخواسته کند.
منبع: همكاران سیستم
آشنایی با کرم Dref-AF
توضیحات:
Dref-AF یک کرم ایمیل برای سیستم های ویندوزی می باشد.
این کرم آدرس های ایمیل را از کامپیوتر آلوده جمع آوری کرده و یک کپی از خود را با آدرس "random name@yahoo.com" به این آدرس ها ارسال می کند. این ایمیل دارای خصوصیات زیر می باشد :
Subject line (موضوع ایمیل):
Iran Just Have Started World War III
USA Just Have Started World War III
Israel Just Have Started World War III
Missle Strike: The USA kills more then 10000 Iranian citizens
Missle Strike: The USA kills more then 1000 Iranian citizens
Missle Strike: The USA kills more then 20000 Iranian citizens
USA Missle Strike: Iran War just have started
USA Declares War on Iran
Attachment filename(فایلهای الحاقی):
Video.exe
News.exe
Movie.exe
Read Me.exe
Click Me.exe
Click Here.exe
Read More.exe
More.exe
همچنین زمانی که کرم Dref-AF اجرا می شود یک فایل exe با نامی تصادفی که از 7 حرف تشکیل شده در سیستم ایجاد می کند. این فایل مانند کرم Dref-AB تشخیص داده می شود .
سپس Dref-AF مدخل زیر را پاک می کند :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
مدخل زیر را نیز تغییر می دهد :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4
توصیه ها:
1. به روز كردن آنتی ویروس
2.روش پاك سازی دستی توسط آنتی ویروس سوفوس برای Windows NT مدل 4.5x و Windows NT/2000/XP/2003 مدل 4.1x و پایین تر :
برای حذف یك تروجان كارهای زیر را انجام دهید :
• همه ی برنامه های خود را ببندید
• مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا كنید
• تب ""Immediate"" و سپس درایو مورد نظر را انتخاب كنید
• به Options|Configuration رفته و تب ""Disinfection"" یا ""Action"" را انتخاب كرده سپس "Infected files" وبعد از آن "Delete"را انتخاب كنید و در آخر OK را بزنید.
• برای اجرا كردن پویش،"scan" یا دكمه "GO" را بزنید.
• فایل های مورد نظر را پاك كنید، سپس یك پویش دیگر را اجرا كنید تا مطمئن شوید پاك سازی صورت گرفته است.
• به Options|Configuration برگردید و تب "Disinfection", "Action" انتخاب كرده سپس "Infected files" وبعد از آن "Delete" را انتخاب كنید و در آخر OK را بزنید.
• كامپیوتر را Reboot كرده و پویش نهایی را اجرا كنید تا كاملا مطمئن شوید پاك ساری صورت گرفته است
3. روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینهExport Registry File و در پنل Export range گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخلHKEY_LOCAL_MACHINE رجیستری زیر مدخلهای:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Agent
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
كرم Storm و افزایش تعداد قربانیها
هرزنامه نویسها با یك تیز دو نشان را هدف قرار داده اند. بنا بر گزارش شركت MessageLabs، ایمیلهای ارسالی حاوی مزایده اجناس دسته دوم توسط هرزنامهها حاوی لینكی از یك كد مخرب میباشند. محتوای این هرزنامهها نشان میدهد كه این گروه خرابكار اعتقاد داشتند كه دریافت كننده هرزنامه هر چند نیازمند خرید اجناس دسته دوم نباشد اما احتمال زیادی وجود دارد كه روی لینك كد مخرب كلیك خواهند كرد.
MessageLabs در چند روز گذشته بیش از 3500 ایمیل دریافت كرده است كه حاوی این محتوای مخرب میباشد و این نشان میدهد كه آنها در پی آزمایش كاربران میباشند تا رفتار آنها را نسبت به هرزنامههای دریافتی زیر نظر داشته باشند.
Mark Sunner مدیر بخش تكنولوژی شركت Mark Sunner در این زمینه می گوید :« ما كلیه این فعالیتها را به دقت زیر نظر داریم و ایمیلهای گروهی آنها نشان میدهد كه در حال آزمایش سطح رفتار كاربران هستند. اگر شما هرزنامههای زیادی را بررسی كنید كاملا از روی محتوا و اندازههای آنها به رفتار شبكه های Bot پی خواهید برد.»
كرم Storm كه در اصل یك تروجان می باشد به خودی خود منتشر نمی شود اما هرزنامه نویسها و صاحبان اصلی شبكههای Bot توسط انتشار آن از طریق ایمیل، شبكههای خود را گسترش و تعداد قربانیها را افزایش می دهند. هر چند در روشهای قدیمی مهاجمین با استفاده از كرمها و ویروسها شبكههای Bot را گسترش میدادند اما در عمل كنترل كمتری روی قربانیهای خود داشتند اما با گسترش كرم Storm توسط هرزنامه ها، شبكههای Bot قابل كنترلتر خواهند شد.
از همه مهمتر آنكه روشهای قدیمی شناخت ویروسها نیز قادر نخواهد بود انواع مختلف این كرم را شناسایی كند زیرا كه نوع جدید میتواند بلافاصله بعد از كلیك كاربر ایجاد شود و روی سیستم قربانی نصب گردد.
توضیح: شبكههای Bot به شبكههای مجازیای اطلاق میشود كه از به هم پیوستن كامپیوترهای اسیر، یعنی كامپیوتر كاربرانی كه قربانی این ترفندخرابكارانه میشود، به وجود میآیند. در این شبكهها، كامپیوترهای اسیر، گوش به فرمان اجرای دستوراتی هستند كه یك هكر صادر میكند و تروجانهای مستقر بر روی این كامپیوترها، به آن عمل میكنند.
منبع : همکاران سیستم
نرمافزارهای رایگان كشف روتكیت پاندا
شركت امنیتی پاندا از ارائه دو نرمافزار رایگان برای ردیابی و كشف روتكیت(Rootkit) خبر داد. این نرمافزارها كه قابل دریافت هستند، علاوه بر كشف روتكیتهای شناخته و ثبت شده، قادرند روتكیتهای مخرب ناشناخته و جدید را نیز در بدو انتشار خود شناسایی و ردیابی كنند. Panda NanoScan برای ردیابی بسیار سریع روتكیتهای مخرب و فعال استفاده میشود و با بررسی عملكردهای در حال اجرای سیستم و مقایسه آنها با دادههای موجود در پایگاه بزرگ اطلاعات امنیتی، عملكردهای مخرب را شناسایی میكنند و نتیجه را به كاربر اطلاع میدهد.
Panda TotalScan ابزار دیگری است كه علاوه بر بهكارگیری روش فوق برای ردیابی كدهای مخرب فعال، ویروسها و روتكیتهای غیرفعال سیستم را نیز با بررسی دقیق كلیه قسمتهای آنها، شناسایی و كشف میكند.
روتكیتها برای پنهان كردن و عدم نمایش فایلها، پردازشها، عملكردها و یا ورودیهای رجیستری در سیستمعامل، طراحی و استفاده میشوند. هرچند خود این برنامهها به هیچ وجه مخرب نیستند، خرابكاران و مجرمان اینترنتی اغلب از آنها برای مخفی كردن كدهای مخرب و حملات رایانهای استفاده می كنند.
روتیکتها میتوانند از طریق درب پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ كنند و مدت زیادی با خیال راحت با نصب ردیابها ( Sniffer ) و دیگر برنامههای مانیتورینگ بر روی سیستم، اطلاعاتی را كه نیاز دارند بدست آورند.
خطرناكترین مطالب در جستجوها
آیا تا به حال اندیشیدهاید كه نتایج جستجوی اینترنتی شما در یك موتور جستجو (هر چند معتبر و معروف) میتواند خطرناك بوده و شما را به سمت سایتهای آلوده رهنمون كند؟
طبق تحقیقات به عمل آمده توسط شركت McAfee یكی از معتبرترین شركتهای ضد ویروس جهان، جستجوی اینترنتی در زمینه موزیك و تكنولوژی در صدر خطرناكترین جستجوها قرار دارند و احتمال اینكه نتایج این جستجوها، كاربران را به سایتهای حاوی ویروس، اسپم و كرمهای اینترنتی راهنمایی نماید، بسیار زیاد است.
به عنوان مثال 42 درصد از كسانی كه به دنبال كلماتی نظیر"Screensavers" هستند به سمت سایتهای قرمز یا زرد از لحاظ امنیتی سوق داده میشوند (قرمز – زرد- سبز درجه امنیتی سایتها از دیدگاه آلوده بودن میباشد كه معمولا بین شركتهای ضد ویروس به عنوان یك قرارداد در نظر گرفته شدهاند) از جمله كلمات كلیدی خطرناك دیگری كه توسط این شركت اعلام شدهاند كلماتی هستند كه شامل نام نرمافزارهای اشتراك فایل مانند BearShare ,Kazaa, LimeWire میباشند.
با اینحال McAfee به كاربران توصیه میكند كه از موتورهای جستجوی معروف استفاده كنند زیرا در كل تنها 4 درصد از نتایج جستجو خطرناك میباشند (سال گذشته این رقم 5 درصد بوده كه با كوشش موتورهای جستجو به 4 درصد كاهش داشته است).
جالب اینكه ریسك استفاده از موتورهای جستجو میتواند بیشتر هم شود آن هم زمانی است كه شما بر روی تبلیغات كنار صفحات كلیك میكنید. به گفته McAfee، هفت درصد از این كلیكها شما را به سایتهای آلوده راهنمایی میكند (این رقم نیز سال گذشته 8.5 درصد بوده كه با تدابیر لازم به 7 درصد كاهش داشته است).
لازم به ذكر است در این تحقیق سایتهایی خطرناك تلقی شدهاند كه دارای ویروس، نرمافزارهای جاسوسی، ارسال جانك ایمیل و تبلیغات پوپآپ بیش از اندازه باشند. نتایج این تحقیق از جستجوی 2300 كلمه كلیدی و پر مصرف در پنج موتور جستجوی معروف یعنی گوگل، یاهو، MSN مایكروسافت، AOL و ASK به دست آمده است.
برخی از این موتورهای جستجو نیز با همكاری با شركتهای ضد ویروس نظیر McAfee ، در كنار نتایج جستجو به كاربران درجه خطرناك بودن سایت را در داخل یك پنجره كوچك (مانند پرچم) نمایش میدهند و كاربران میتوانند با مشاهده آن، از ورود به سایتهای خطرناك، خودداری كنند.