ويروس شناسي
براي مقابله با آنفلوانزاي اينترنتي آماده شويد
پژوهشگران با الهام از روشهاي مقابله با همهگيري آنفلوانزاي نوع آ، روش جديدي براي حفاظت از اينترنت در برابر حملات گسترده کرمهاي اينترنتي يافتهاند.
محبوبه عميدي: ساعت 5:30 روز ششم بهمنماه 1381 به وقت جهاني، کرم اينترنتي Slammer فعاليت خود را آغاز و تنها ظرف مدت چند دقيقه حدود 90 درصد از کامپيوترهاي آسيبپذير را آلوده کرد. ارتباطات اصلي شبکه قطع شد، دستگاههاي خودپرداز از کار افتادند و خطوط هوائي ناچار به لغو پروازهايشان شدند. اين چنين بود که يکي از مخربترين حملات اينترنتي جهان اتفاق افتاد.
آنچه در مورد اسلمر بسيارشگفتانگيز شد، سرعت سرسامآور تکثير و انتقال اين کرم اينترنتي بود، به نحوي که هيچ شانسي براي مداخله و جلوگيري از آن باقي نماند. اما اکنون که ششسال از اين اتفاق گذشته، ميتوان گفت که جهان از شرايط بهتري براي دفاع در برابر بدافزارها برخوردار است.
به گزارش نيوساينتيست، اسکات کول از دانشگاه کاروليناي شمالي و بولسلاو زيمانسکي از مؤسسه پليتکينيک رنسلر در تروي، نيويورک؛ ميخواهند شرايط دفاعي به مراتب بهتري را فراهم کنند. آنها سيستمي را اختراع کردهاند که ميتواند از اينترنت در برابر کرمها و بدافزارهاي بسيارخطرناک مراقبت کند. اين سيستم بر ايجاد مکانيسمهاي دفاعي در قسمتهاي کليدي اينترنت استوار است و از لحاظ عملکرد بيشتر به سيستم ايمني در بدن موجودات زنده ميماند.
همهگيري آنفلوانزاي نوع آ
براي درک بهتر محدوديتها در روشهاي فعلي، تصور کنيد يک ويروس زيستي شيوع پيدا کرده و براي مقابله با همهگيري آن، فرودگاههاي بزرگ جهان تصميم ميگيرند اجازه ندهند هواپيماهايي که از مناطق آلوده به مقصد آنها پرواز کردهاند، مسافران را پياده کنند؛ اما در عوض اجازه پرواز مجدد آنها را به نقاط مختلف جهان خواهند داد.
کول ميگويد: «شايد با اين روش فرودگاهها بتوانند ساکنان بومي را از خطر ابتلا به بيماري نجات دهند، اما در مورد ساير نقاط جهان چطور؟ مکانهاي ديگري که اين هواپيما فرود خواهد آمد؟ به نظر ميرسد قرنطينه هواپيماهاي برخاسته از مناطق آلوده و جلوگيري از پرواز آنها به اقصي نقاط جهان استراتژي به مراتب مؤثرتري باشد».
کول و زيمانسکي، روشي مانند قرنطينه هواپيماها را براي جلوگيري از انتشار کرمها در سطح اينترنت پيشنهاد کردهاند. کرمهاي اينترنتي برنامههاي نرمافزاري کوچکي هستند که قابليت خودتکثيري دارند. اين برنامهها اگر يک کامپيوتر را آلوده کنند، از طريق آن شروع به اسکن اتفاقي ديگر کامپيوترهايي ميکنند که با دستگاه اول از طريق اينترنت در ارتباطند و با يافتن کامپيوترهايي که حفره امنيتي دارند، خودشان را درون دستگاههاي جديد کپي ميکنند و با تکرار اين روش به تکثير ادامه ميدهند. ميزان آسيبي که يک کرم ميتواند به شبکه و کامپيوترها بزند، به دوچيز بستگي دارد، يکي اينکه اين کرم با چه تعداد دستگاه آسيبپذير مواجه خواهد بود و دوم اينکه با چه سرعتي ميتواند آنها را اسکن کند.
اسلمر سرعت سرسامآوري در اسکن کردن ميزبانهاي آسيبپذير دارد، بهطوريکه اين کرم اينترنتي توانست تنها در چند دقيقه 75 هزار کامپيوتر را آلوده کند. کرم ديگري به نام Code Red نيز توانست در 27 خرداد 1380، حدود 360 هزار کامپيوتر را آلوده کند. با وجود اينکه کد-رد، سرعت تکثير بسيارکندتري نسبت به اسلمر داشت، اما ميلياردها دلار خسارت به جا گذاشت.
شبيهسازي کرمهاي جديد
براي تعيين نحوه مقابله با چنين تهديدهايي و بالابردن اثر آن، کول و زيمانسکي، کرم اينترنتي فرضي را در نظر گرفتند که بتواند در هر ثانيه به 4300 ميزبان دسترسي پيدا کند. اين تعداد ميزبان برابر سرعت اسلمر در اسکن کامپيوترهاست و از سوي ديگر، فرض کردند تنها يکدرصد کامپيوترهاي متصل به شبکه حفره امنيتي داشته باشند. شبيهسازي نشان داد ترکيب
سرعت پويش و قدرت تخريب اين کرم ميتواند به مراتب خطرناکتر از اسلمر باشد و به آثار مخربتري در کامپيوترهاي آلوده منجر شود.
کول و زيمانسکي ميگويند راه مقابله با اين دسته از کرمهاي اينترنتي، ايجاد هستههاي اينترنتي از کامپيوترها و همکاري اين هستهها با هم است. هر هسته اينترنتي مرکب از دههاهزار «سيستم مستقل» است که هر يک توسط يک (ISP) يا سرويسدهنده خدمات اينترنتي اداره ميشوند.
اين دو محقق در شبيهسازييي که انجام دادند، هر «سيستم مستقل» را به توان شناسايي کامپيوترهاي آلوده که معمولا خودشان را با فرستادن تعداد زياد و تصادفي درخواستهاي اتصال با ساير کامپيوترهاي شبکه لو ميدهند، مجهز کردند. در نتيجه اغلب اين درخواستها بيجواب ماندند. از سوي ديگر هر «سيستم مستقل» که تهديدي را در شبکهاش شناسايي کند، علاوه بر اينکه دريافت پيام و انتقال آن را به کامپيوتر آلوده متوقف خواهد کرد، به تمامي سيستمهاي همتايش هم هويت منبع تهديد را اطلاع خواهد داد. براي کاهش خطر هشدارهاي نادرست، حد آستانهاي براي تعداد گزارشات حمله تعيين شده که در صورت رسيدن تعداد به اين حد نصاب سيستمهاي مستقل همتا وارد عمل خواهند شد.
در هر حال، زماني که يک تهديد واقعي شناسايي شود، سيستمهاي مستقل ميتوانند کامپيوتر يا کامپيوترهاي آلوده را در قرنطينه نگهدارند و از تکثير کرم اينترنتي جلوگيري کنند. در نهايت، کامپيوترهاي آلوده را ميتوان پاک کرد. مطابق شبيهسازي انجام شده، چيزي حدود 30 تا 35 درصد کل سيستمهاي مستقل موجود در اينترنت براي اجراي اين استراتژي بايد به خدمت گرفته شوند.
کول ميگويد: «براي ايجاد اين سپر دفاعي، بايد شرکتهاي فراهمکننده خدمات اينترنتي بتوانند به يکديگر اعتماد کنند و به همکاري با يکديگر بپردازند. بايد تغييراتي در زيرساختها صورت گيرد تا در صورت نياز، امکان قطع ترافيک يک آي.اس.پي وجود داشته باشد؛ البته اين در حال حاضر خلاف موافقتنامه ميان شرکتهاي مختلف فراهمکننده خدمات اينترنتي است. اما در نهايت دفاع در مقابل بدافزارها نميتواند شرکت ها را از لحاظ مالي در طولانيمدت متضرر کند.
آدريين بالدوين، از متخصصان امنيت آزمايشگاههاي شرکت هولت-پاکارد در بريستول انگلستان ميگويد: «احتمالا سرويسدهندگان خدمات اينترنتي تمايل چنداني نسبت به استفاده از دستگاههايي که ميتواند کسب و کار آنها را به خطر بيندازد، نخواهند داشت. استفاده از اين سيستم ميتواند آنها را ميان دوراهي سخت، دفاع از اينترنت يا حفظ مشتريانشان قرار دهد. به عنوان متخصصان امنيت، شما بايد به اين فکر کنيد که در مقابل ضرر اين شرکتها، چه سودي بايد نصيب آنها بشود؟».
شايد اين سرويسدهندگان ترجيح ميدهند بودجهشان را به شکل ديگري صرف کنند، مثلا خريد بستههاي نرمافزاري که بتوانند حفرههاي امنيتي را شناسايي و مسدود کنند، يا راه حلهاي امنيتي ديگري که سرقتهاي اينترنتي از کاربران ناآگاه را کاهش دهد. با اين حال کرمها هميشه يک تهديد باقيميمانند، مخصوصا اگر حملات سايبري عليه سايتهاي دولتي افزايش پيدا کند. اين زمان است که ديگر ناديدهگرفتن کرمهاي اينترنتي غيرممکن ميشود.
کول ميگويد: «حدود 60 درصد از بار ترافيکي ارسال نامههاي الکترونيک به دليل وجود هرزنامههاست. يک سيستم اخطار و غربالگري مشابه ميتواند اغلب هرزنامهها را به دام انداخته و اين نقل و انتقال را متوقف کند».
10 حمله سایبری خسارت بار تاریخ
حملات سایبری تنها خوراکی برای فیلم های کم خرج یا ابزاری برای سرگرمی نوجوانان نیستند. این حملات مشکلی بسیار جدی با پی آمدهای واقعی و ملموس برای شرکت ها، کاربران و حتی ملت ها هستند.
طبق بررسی که توسط انستیتو پونمون انجام شده است، بیش از 59 درصد شرکت های کنترل شده، سال گذشته به شکلی مورد حمله قرار گرفته اند. این حملات با افزایش هزینه های جاری، مخارج و دستمزدها، کاهش سود خالص یا شکست پروژه ها، به طور متوسط برای هر کدام بیش از 500 هزار دلار ضرر به دنبال داشته اند.
البته این تنها یک عدد خیلی کلی است. در اینجا به 10 تا از پر هزینه ترین و پر ضررترین حملات سایبری تاریخ می پردازیم، تا بدانید بسیاری شرکت ها هستند که آرزو می کردند این نیم میلیون دلار را درون سطل زباله می ریختند، اما قربانی حملات هکری نمی شدند.
Citigroup
حجم بسیار عظیمی از سرمایه هزاران گروه و موسسه، روزانه از طریق تبادلات مالی غول هایی همچون Citigroup به جریان می افتد. در ابتدای سال جاری، مقدار بسیار زیادی از پول فوق الذکر و گنجی از اطلاعات حساس کاربران که وسوسه غیر قابل تحملی برای هکرها به حساب می آید، مورد حمله قرار گرفت. نام، اطلاعات تماس، شماره حساب های بانکی و دیگر اطلاعات حیاتی بیش از 200 هزار کاربر مورد دستبرد واقع شد. دزدان خوشبخت هم بیش از 2.7 میلیون دلار پول بی زبان را از حساب کارتهای اعتباری کش رفتند.
باران تایتان
چهره عمومی روابط بین المملی بین دو کشوری که در حال جنگ نیستند، معمولا بر پایه آداب دیپلماتیک استوار است. اما در سال 2004 شاون کارپنتر کارمند آزمایشگاه ملی ساندیا کشف کرد که برخی فایل های ارتش آمریکا هک شده اند و این کار تاباندن نوری بود بر تاریکی لایه های زیرین یک کاروبار جهانی! Taitan Rain کد رمز عملیاتی اف بی آی برای پیگیری نفوذ بسیار گسترده در امنیت ارتش آمریکا و شرکت هایی همانند لاکهید و ناسا بود. این عملیات برای جلوگیری از حملات سایبری بود که توسط گروه های عملیاتی خاصی با حمایت دولت چین انجام می شد. و آخر هم معلوم نشد که این مورد، حملات برنامه ریزی شده دولتی بوده یا اینکه سرگرمی تعدادی هکر فضول و حقه باز بوده است. در حالی که برآورد کمًی اهداف و آسیب احتمالی این حملات امکان پذیر نیست، به صورت بالقوه آنها می توانستند به سرًی ترین اطلاعات دولت آمریکا دسترسی پیدا کنند. همین مورد این حمله را به یکی از اعضای لیست ده تایی ما تبدیل می کند. حمله ای که اگر برآورد آسیب هایش امکان پذیر بود، شاید بزرگترین و مخربترین حمله سایبری تمام دورانها نام می گرفت.
سیستم های پرداخت Heartland
Heartland Payment Systems که کارگزار یکی از سیستمهای پرداخت امن است، در سال 2008 قربانی یک نقشه حساب شده سرقت شماره کارتهای اعتباری شد. با هجوم مخفیانه به شبکه کامپیوتری شرکت توسط یک بدافزار، گروه خرابکار توانستند بیش از 100 میلیون شماره کارت را سرقت کنند. به هر حال برای یکی از مغز های متفکر پشت این کار، آلبرت گونزالس، بعد از گناهکار شناخته شدن توسط قضات فدرال، حکم 20 سال زندان برای جرایم ارتکابی صادر شد. این داستان البته برای شرکت هرت لند سنگین تر از این حرفها تمام شد و بیش از 140 میلیون دلار خسارت در پی داشت. و البته خسارت آن برای شعار شرکت بیش از اینها بود: «بالاترین استانداردها - امن ترین نقل و انتقالات»
برادران Hannaford
شرکت خرده فروشی خواربار برادران هانافورد یک رخنه چهار ماهه به سیستم های امنیتی اش را از زمستان 2007 تا بهار 2008 تحمل کرد. طی این دوره بیش از 4.2 میلیون شماره کارت اعتباری به همراه دیگر اطلاعات حیاتی کاربران به سرقت رفت. این شاهکار جرایم سایبری با نصب یک بدافزار بر روی سرورهای فروشگاه اتفاق افتاد، که با همه شیوه های رایج هک بانک اطلاعاتی شرکت ها مغایرت داشت. متخصصان میزان ضرر وارده به این برادران سخت کوش را بیش از 252 میلیون دلار پیش بینی می کنند. یعنی چیزی بیش از مجموع ارزش خواربار موجود در لیست این شرکت! یکی از مجرمان اصلی این حمله سایبری آلبرت گونزالس بود. کسی که علاوه بر نقش داشتن در حمله به شرکت سیستم های پرداخت هرت لند، در حمله به TJX هم دست داشت…
TJX
TJX، یکی از شرکت های خرده فروشی ماساچوست و عرضه کننده مارک های خوبی همچون تی جی مکس و مارشال، هم از شر روح های پلید سایبری در امان نمانده است. دارودسته خرابکاران اینترنتی توانستند به بیش از 45 میلیون شماره کارت اعتباری چنگ بیاندازند، که دستچینی از مولتی میلیونرهای خوشگذران سهام وال مارت و فروشندگان تجهیزات الکترونیک هم جزو آنها بودند. میزان آسیب در ابتدا حدود 25 میلیون دلار برآورد می شد. اما در نهایت با اطلاعات جمع آوری شده از شعب، مشخص شد که زیان وارده بالغ بر 250 میلیون دلار بوده است. به نظر می رسد که صفر ماشین حساب تخمین زنندگان اولیه خراب بوده است!
Sven Jaschan
احتمالا همه شما مثال معروف تئوری هرج و مرج (chaos theory) یا اثر پروانه ای را شنیده اید: اگر پروانه ای در برزیل بالهای اش را به هم بزند، ممکن است باعث ایجاد طوفان تورنادو در تگزاس شود. خب، برای یک نوجوان آلمانی، کامپیوتر تبدیل به پیله ای برای پروانه شدن وی شد.
البته Jaschan پس از سه ماه تلاش شکارچیان جهت به دست آوردن جایزه 250 هزار دلاری مایکروسافت برای سر وی، به تله افتاد. کارشناسان شرکت میزان خسارت وارده را 500 میلیون دلار تخمین زدند، چیزی که برخی منابع دیگر حدس میزنند به چند میلیارد دلار می رسد. بله همه این دردسرها از کامپیوتر یک دانشجوی آلمانی آغاز شد.
مایکل کالچی
مایکل کالچی شاید مشهورترین پسر 15 ساله زمان خود نبود، اما MafiaBoy، یکی از ستارگان دنیای سایبر بود. کسی که به شکل هوشمندانه و تعجب برانگیزی به سطوح بالای تخصص های کامپیوتری دست یافته بود. کالچی که در اینترنت با نام مافیا بوی یا پسر مافیا شناخته می شود، تعداد زیادی حملات سایبری رسوا کننده علیه گروه بزرگی از شرکت های با سطوح امنیتی بالا را هدایت می کرد. در میان قربانیان می توان نامهای همچون Dell، غول رسانه ای CNN و سایت های فروش آمازون و Ebay را پیدا کرد. وی به دلیل خسارت هایی که بالغ بر 1.2 میلیارد دلار برآورد می شدند، تحت تعقیب قرار گرفت، آسیب هایی که نتیجه طرز تفکر ویژه و دانش کالچی بودند. البته در نهایت وی تنها به هشت ماه حبس خانگی محکوم شد. به به، عجب قضاوت عادلانه ای!
سونی
در یک حماسه بی سروصدای سایبری، امسال بیش از 100 میلیون اکانت کاربران شبکه پلی استیشن و سرگرمی های آنلاین سونی افشا شد و فصل جدیدی در تاریخ حملات سایبری رقم خورد. اطلاعات شخصی میلیون ها کاربر (شامل شماره کارت های اعتباری) توسط دزدانی که هنوز ماهیت آنها کشف نشده، به غارت رفت. کارشناسان هنوز رقم دقیقی برای میزان خسارات ندارند و آن را بین یک تا دو میلیارد دلار پیش بینی می کنند. به نظر می رسد که بعد از بررسی کامل با پرهزینه ترین حمله سایبری تاریخ روبرو خواهیم بود. بدتر از آن، زمانی که سونی مشغول بررسی و رفو کردن رخنه سیستم های اش بود، خشم و قهر گیمرهایی که نمی توانستند وارد اکانت سونی شان شوند، در آینده اثرات خود را نشان خواهد داد.
Epsilon
حمله ای که در مارس 2011 شرکت ارائه دهنده ایمیل Epsilon را گرفتار کرد، به صورت بالقوه می تواند بین 225 میلیون تا 4 میلیارد دلار خسارت وارد کرده باشد. این شرکت هم اکنون یکی از کاندیداهای قربانیان پرهزینه ترین حمله سایبری تمام دوران ها است. این شرکت که در دالاس آمریکا قرار گرفته، سرویس های ایمیل و فروش و بازاریابی را برای شرکت های عظیمی چون Best Buy و JP فراهم می آورد. به هر حال، اغلب اطلاعات دزدیده شده، آدرس های ایمیل بودند، که امکان استفاده مجرمانه بسیار گسترده از این اطلاعات، بدین معنی است که تخمین خسارت بسیار مشکل و شامل دامنه وسیعی از اعداد است.
بمب منطق اصیل
در سال 1982 زمانی که هنوز تا آب شدن یخ های جنگ سرد فاصله زیادی باقی مانده بود، توسعه فناوری کامپیوتر آنچنان پرشتاب بود که CIA به فکر تبدیل آن به یک سلاح تاکتیکی افتاد. بدون استفاده از بمب، راکت یا دیگر ابزارهای انفجاری رایج، آمریکا برنامه ای را ترتیب داد تا لوله های گاز سیبری را منفجر کند. این کار باعث خلق بزرگترین و تاریخی ترین شیوه انفجار گردید. شیوه ای که استفاده شد، به بمب منطق یا logic bomb مشهور است. این کار شامل قرار دادن قطعات کد ویژه ای درون کامپیوترهای کنترل کننده خط لوله گاز سیبری بود که باعث آشوب و هرج و مرج محاسباتی درون سیستم می شد. این کار برای روس ها هزینه های گزاف و غیر قابل تخمینی را به دنبال داشته که هنوز هم حاضر به صحبت درباره آن نیستند. باید منتظر ماند تا گذشت زمان ابعاد این حمله سایبری را روشن کرده و قدرت مهیب اینگونه حملات را فاش کند.
با sms هم ویروسی می شوید
برنامههای مخرب در شبکههای بیسیم عمومی و سرویسهای اینترنتی ارزان قیمت یافت میشوند که علت آن هم تمایل روزافزون دارندگان تلفنهای همراه به استفاده از اینترنت است.
با رشد بدافزارها در سال ۲۰۰۹، میلیونها تلفن همراه هوشمند به طور روزانه در معرض تهدیدات امنیتی مختلف قرار دارند.
به گزارش ایلنا، کسپرسکی، شرکت پیشرو در ارائه راهحلهای امنیت اطلاعات در کنفرانس تلفنهای همراه که در بارسلونای اسپانیا برگزار شد، اعلام کرد: خسارات فراوانی در اثر فعالیتهای بدافزارها به دارندگان تلفنهای همراه وارد میشود.
نخستین تروجانی که از طریق SMS ارتباط راه دور مهاجم که با تلفنهمراه برقرار میشود، طلیعه ورود چنین بدافزارهایی به تلفنهای همراه هوشمند بود.
الکساندر گوستف، سرپرست تیم تحقیق و تحلیل آزمایشگاه کسپرسکی و یکی از متخصصان بدافزارهای موبایل معتقد است: این قبیل تروجانها با ارسال SMS به سرورهای راه دور میتوانند اطلاعاتی را تبادل کنند. حال اگر شما تنها پیش شماره را مسدود کنید، درست است که برنامه از کار میافتد اما با تغییر پیش شماره در سرور، بدافزار میتواند مجددا فعالیت خود را از سر بگیرد.”
وی می افزاید: “این قبیل برنامههای مخرب در شبکههای بی سیم عمومی و سرویسهای اینترنتی ارزان قیمت یافت میشوند که علت آن هم تمایل روزافزون دارندگان تلفنهای همراه به استفاده از اینترنت است.”
بنابر یافتههای گوستف، ممکن است بدافزار قبلا روی تلفن نصب شده باشد و از طریق دریافت یک SMS فعال و به سرور راه دور مرتبط شود و حتی ممکن براساس این گزارش، از آنجاییکه گوناگونیهایی در سیستم عاملهای موبایلها وجود دارد، حملاتی که روی آنها سازماندهی میشود، شباهت کمی به حملات روی سیستم عامل پی سیها دارد. البته به همین لحاظ هم پیش بینی اینکه نویسندگان ویروسها به کدام سکوی کاری موبایلی روی خواهند آورد چندان ساده نیست.
آزمایشگاه کسپرسکی با رجوع به سال ۲۰۰۹ اشاره می کند که نخستین بدافزار مربوط به گوشیهای آی فون با نام Ike در این سال نوشته شد و در همین زمان هم اولین جاسوس افزاری که تلفن های آندروید را هدف قرار می داد نوشته شد. ضمن آنکه نخستین بدافزار مربوط به تلفنهای همراه مبتنی بر سیمبیان هم در این سال شناسایی شد.
بررسیهای گوستف نشان میدهد که ۳۹ خانواده از بدافزارها و ۲۵۷ گونه جدید از بدافزارها در سال ۲۰۰۹ شناسایی شدهاند که در مقایسه با ۳۰ خانواده و ۱۴۳ گونه در سال ۲۰۰۸ رشد را نشان میدهد.
حمله ویروس به ایران
رایانههای ایران مورد هجوم شدید کرم خطرناک رایانهای بهنام Stuxnet قرار گرفتهاند که تلاش میکند اطلاعات سیستمهای کنترل صنعتی را بهسرقت برده و آنها را روی اینترنت قرار دهد. اندونزی و هندوستان نیز بهواسطه این نرمافزار مخرب مورد هجوم قرار گرفتهاند.
بر اساس اطلاعات جمعآوری شده توسط شرکت سایمنتک در حدود 60 درصد از سیستمهای رایانهای که به این ویروس آلوده شدهاند، در ایران قرار دارند. اندونزی و هندوستان نیز بهواسطه این نرمافزار مخرب که به Stuxnet شهرت دارد، مورد هجوم قرار گرفتهاند.
بهگفته الیاس لووی، مدیر ارشد فنی بخش «پاسخگویی ایمنی سایمنتک» با توجه به تاریخ نشانههای دیجیتالی که از این کرم رایانهای به جا مانده، میتوان گفت این نرمافزار از ماه ژانویه سال جاری میان رایانهها در گردش بوده است.
Stuxnet ماه گذشته توسط شرکتی بهنام VirusBlockAda که اعلام کرد نرمافزاری را بر سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. این کرم بهدنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار میگیرد، بوده و تلاش میکند اسرار صنعتی رایانههای این کارخانهها را روی اینترنت پخش کند.
حدود 60 درصد از سیستمهای رایانهای که به این ویروس آلوده شدهاند، در ایران قرار دارند.
سایمنتک اعلام کرده نمیداند چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگیهای ویروسی قرار دارند. بهگفته لووی تنها میتوان گفت افرادی که این نرمافزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کردهاند.
زیمنس تعداد مشتریان خود را در ایران اعلام نمیکند اما بهتازگی اعلام کرده دو شرکت آلمانی بهواسطه این ویروس آلوده شدهاند. نرمافزار آنتیویروس رایگانی که طی چند روز گذشته روی وبسایت زیمنس قرار گرفته، تا کنون 1500 بار دانلود شده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای یواسبیدار انتقال پیدا میکند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا میکند، کدهای آن به جستجوی سیستمهای زیمنس گشته و خود را بر هر ابزار یواسبیدار دیگری که بیابد، کپی خواهد کرد.
9 تصور اشتباه در مورد ویروسها
تصورات و شایعات عجیب و غریبی در مورد ویروسهای کامپیوتری وجود دارد. برخی تصور میکنند ویروسهای کامپیوتری میتوانند انسانها را نیز مبتلا کنند! در اینجا قصد داریم به 9 افسانه و تصور غلط در مورد ویروسها بپردازیم.
1- فایروالها شما را از شر ویروسها خلاص میکنند
اگر بدانید چند نفر چنین اعتقادی دارند، شوکه میشوید! در واقع فایروال شما را ار شر ویروسها، تروجانها و جاسوسافزارها حفظ نمیکند، بلکه تنها در برابر نفوذ بدافزارها و کرمها مقاومت نشان میدهد. چرا که بدافزارها و کرمها دائما در شبکه در حرکتند و هر لحظه امکان دارد وارد سیستم شوند.
البته از لحاظ تئوری این امکان وجود دارد که یک بدافزار به همراه خود فایلهای مخربی را از طریق یکی از برنامهها وارد سیستم کند. باید توجه کنید که از این طریق، یک ویروس باهوش میتواند فایروال را دور بزند.
به هر حال فراموش نکنید که وجود فایروال برای یک سیستم از ضروریات است. فایروال سیستم شما باید همواره روشن و در حال کار باشد. خصوصاً در صورتیکه در یک شبکهی نامطمئن مانند کافهها در حال کار با سیستم خود هستید. میتوانید از فایروال کومودو یا زونآلارم به این منظور استفاده کنید.
2- ویروسها میتوانند صدمات فیزیکی به قطعات وارد کنند
در این مورد ویروسی به نام CIH وجود داشت که Firmware و یا BIOS سیستم آلوده میکرد. اما به سختافزار سیستم آسیبی نمیرساند. شایعات در مورد ویروسهایی که کامپیوتر را دیوانه میکنند و منجر به انفجار آن میشوند، زیادهگویی و تا حدودی هم خندهدار است. اگر کامپیوتر شما به خاطر یکی از این ویروسها از کار بیفتد، نهایتاً شما مجبورید آن را پیش یک متخصص ببرید تا بایوس سیستم شما را جایگزین کتد، اما این مشکل منجر به این نمیشود که سیستمتان بخاطر آن ویروس به قتل برسد.
3- کامپیوتر شما خطاهای سیستمعاملی زیادی اعلام میکند پس ویروسی شده است
فایلها میتوانند بدون دستکاری ویروسها هم خراب شوند و از کار بیفتند. این اتفاق ممکن است بخاطر وجود یک باگ یعنی نقص نرم افزاری در یکی از نرمافزارها و یا بخاطر مشکلاتی از جمله یک سکتور خراب در هارد دیسک اتفاق بیفتد. همچنین ممکن است دلیل خرابی یک فایل حافظهی معیوب یا حتی ناسازگاریهای احتمالی در نرمافزار آنتیویروس حاصل شود. پس دفعه بعدی که چنین خطاهایی را هنگام باز کردن یک فایل یا برنامه مشاهده میکنید، قبل از اینکه سیستم خود را متهم به وجود ویروس متهم کنید، آن را با آنتیویروس بررسی کنید. چنانچه از آنتیویروس خود هم مطمئن نیستید، میتوانید از VirusTotal بهره ببرید.
4- تنها راه حل مشکل نصب دوبارهی ویندوز و کپی کردن دوبارهی همهی فایلهاست
واقعاً نمیتوان تعداد دفعاتی که افراد فقط بخاطر شک به ویروسی شدن کامپیوتر ویندوز را عوض کردهاند، شمرد. و یا دفعاتی که فایلهای مشکوک به آلودگی پاک شده و فایلهای پشتیبان جایگزین آنها شدهاند و دوباره این چرخه اتفاق افتاده و ...
لازم است که قبل از انجام هر کاری پس از شک به آلودگی فایلها به ویروس، آنها را اسکن نمایید تا از شر ویروسهای احتمالی خلاص شوید.
برای اینکه در این مورد به طور مکرر دچار مشکل نشوید، میتوانید آنتیویروسی که به روز شده بر روی سیستم خود نصب نمایید که از قابلیت حفاظت بیدرنگ نیز برخوردار بوده و این قابلیت را فعال سازید. اگر مطمئن نیستید که از چه نرمافزاری برای این کار استفاده کنید، پیشنهاد میکنیم از Microsoft Security Essentials استفاده کنید. اما در صورتیکه تمایلی به استفاده از آن ندارید، توصیه میشود آخرین نسخه از آنتیویروس اَوست، آویرا AVG را برای این کار انتخاب نمایید.
5- من همیشه می توانم به آنتیویروسم اعتماد کنم
اغلب اوقات که ما تصور میکنیم آنتیویروسمان ما را از شر ویروسها حفظ میکند، ممکن است در اشتباه باشیم. شاید آنتیویروس هم مانند تمامی برنامهها دچار اشکال و اشتباه شود. این احتمال وجود دارد که به دلایل مختلف هنگام اسکن کردن، فایلهای سالمی در سیستم به اشتباه ویروس شناخته شوند. اینجاست که نه تنها کامپیوتر ویروس نداشته و پاک بوده، بلکه ممکن است ویندوز با مشکل هم مواجه شود.
برای مثال، چندی پیش (آوریل 2010) شرکت مک آفی -تولید کننده آنتی ویروس و نرمافزارهای امنیتی- یک به روز رسانی برای آنتی ویروسهایش فرستاد. کاربرانی که از ویندوز ایکس پی استفاده میکردند، با مشکل ریستارت شدن کامپیوتر مواجه میشدند. چرا که آنتی ویروس آپدیت شدهشان به اشتباه یکی از فایلهای سیستمی را پاک کرده بود.
6- چون ویندوز من پیغام خطای صفحهآبی (Blue Screen) میدهد، پس ویروس دارد
مطمئناً برخی ویروسها میتوانند سبب نمایش پیغام خطای بلو اسکرین شوند، اما بیشترین دلیلی که میتواند منجر به نمایش این صفحه شود، بد نصب شدن درایورها و یا مشکل سختافزاری است که ارتباط مستقیمی به ویروس ندارد.
بهترین کاری که هنگام نمایش این صفحه میتوانید انجام دهید این است که از ریستارت شدن خودکار سیستم جلوگیری کنید تا خطای مورد نظر را جایی یادداشت کنید. سپس میتوانید با جستجوی خطای مورد نظر در اینترنت، مطالب مرتبط خوبی برای این خطا پیدا کنید و دلیل اصلی را متوجه شوید. اگر جستجو در اینترنت را نمیپسندید میتوانید از نرمآفزار رایگانی که به این منظور ساخته شده استفاده کنید. برای دانلود این نرمافزار رایگان به لینک زیر مراجعه کنید:
دانلود BlueScreenView
7- ویندوز تنها پلتفرمی است که ویروس دارد
این یک واقعیت است که بیشتر ویروسها برای سیستمعامل ویندوز طراحی شدهاند، اما معنی این واقعیت این نیست که سایر پلتفرمها و سیستمعاملها هیچ بدافزار یا ویروسی ندارند. اخیراً تروجانهایی برای مکینتاش کشف شده و اینگونه بدافزارها ممکن است با افزایش تعداد کاربران این سیستمعامل، افزایش یابد. از زمانی که تروجانها به عنوان یک حفرهی امنیتی بزرگ کشف شدهاند، مشخص شده که همهی پلتفرمها مستعد دریافت این نوع بدافزار هستند.
در صورتیکه شما از لینوکس یا مک استفاده میکنید، میتوانید با رعایت قوانینی مشابه ویندوز، از شر انواع بدافزارها خلاص شوید. برای مثال، نباید نرمافزارهایی را که نمیدانید از کجا دانلود شدهاند و یا معتبر نیستند، بر روی سیستم خود نصب کنید. مراقب برنامههایی که رمزعبور شما را درخواست میکنند، باشید. از نصب برنامهها یا تولبارهای سایتهای مستهجن بر روی سیستم خود خودداری کنید. همچنین فایروالها، آنتیویروسها و نرمافزارهای امنیتی دیگری وجود دارند که از مک و لینوکس محافظت میکنند. دقت کنید برخی از همین موارد ساده، میتواند سیستم شما را از شر فایلها و برنامههای مخرب حفظ کند.
8- این ویروسهای لعنتی سایتهای مستهجن را باز میکنند؛ تقصیر من نیست!
برخی شکایتهایی که کاربران از ویروسها میکنند، مربوط به ارتباط ویروس با باز شدن سایتهای مستهجن در سیستمشان است. این افراد نمیدانند دلیل باز شدن این سایتها در چیست، پس دیواری کوتاه تر از دیوار ویروسها پیدا نمیکنند تا تقصیر را گردنشان بیندازند. ماجرا از این قرار است که در واقع این آنها نیستند که اقدام به مرور این سایتها میکنند، بلکه مشکل از مرورگرشان است. چرا که احتمالاً popup blocker در مرورگرشان فعال نیست. به همین علت با مراجعه به برخی سایتها، پنجرههای تبلیغاتی که شامل سایتهای مستهجن هم میشود، بر روی صفحه نمایش آنها ظاهر میشود.
پس این مساله ارتباطی با ویروس ندارد. هرچند که امکان دارد اگر چیزی از این صفحات دانلود شود، حاوی ویروس هم باشد، اما مرور شدن خودکار این سایتها ربطی به ویروس ندارد.
9- ویروسها میتوانند انسانها را آلوده کنند
این ممکن است مضحک به نظر برسد، اما فیلمها و سریالهای تلویزیونی زیادی با این مضمون ساخته شدهاند که در آنها یک ویروس بیگانه یا فضایی که از سفینهی آدمفضایی ها آمده،انسانها آلوده میکند و سرانجام یک ناجی همهی انسانها را نجات میدهد. اما این قضایا مربوط به فیلمها است.
آیا سیستم شما تا به حال ویروسی شده است؟ اگر موردی در این مورد برایتان پیش آمده، چه اتفاقی برای سیستم شما رخ داده است؟ آیا کسی در مورد ویروسهای عجیب و غریبی که در سیستمش وجود داشته، از شما کمک خواسته؟ برای ما در مورد تجربیات جالب یا عجیب خود در ارتباط با ویروسها، بنویسید.
آشنایی با ویروس
Sober
اسم كرم :Sober
نام مستعار : I-Worm.Sober
نوع دیگر :Sober.A
Sober یك كرم ایمیل است كه از طریق فرستادن تكنیكmailing درWorm ها پخش و زیاد می شود .این كرم پیغامی به زبانهای ایگلیسی و آلمانی به ایمیل كاربران می فرستد ، برای همین نمی توان تشخیص داد كه نویسنده آن آلمانی یا انگلیسی است .
Sober برای اجرای خود اخطار های ایمنی را به كاربران نشان می دهد . این كرم از ضمیمه هایی به نام های Anti_Virusdoc.pif وCheck Patch.bat و غیره كه در آخر این مقاله لیست كامل این فایل ها را ارائه شده است ، استفاده می كند .
جزئیات توصیف :
این كرم توسط UPX پكیج شده و با زبان برنامه نویسیVB طراحی شده است و در درون خود از یكSMTP برای ارسال میل ها استفاده می كند .
نصب شدن بر روی سیستم :
پس از فعال شدن این برنامه در رجیستری ویندوز این تغییرات ایجاد می شود :
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]یا[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] این كلید ها برای باز خوانی بدنه كرم است كه بعضی اوقات ویروس كپی هایی از خود را در این مكان ها به این اسم فایل ها صادر می كند :%SysDir%/similare.exe%SysDir%/sysrunll.exe این كرم قادر است درClinte های زیر به راحتی فعالیت كرده و پخش شود :X-Mailer: Microsoft Outlook Express 6.00.2600.0000X-Mailer: Microsoft Outlook Express 5.00.3018.1300X-Mailer: Safety_Mail ServerX-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)X-Mailer: Microsoft OutlookIMO, Build 9.0. این كرم ایمیلی را باSubjects های زیر در زبان آلمانی می فرستد :Neuer Virus im Umlauf!Back At The Funny FarmSie versenden Spam Mails (Virus?)Ein Wurm ist auf Ihrem Computer!Langsam reicht es mirSie haben mir einen Wurm geschickt!Hi Schnuckel was machst du so ?VORSICHT!!! Neuer Mail WurmRe: KontaktRE: SexSorry, Ich habe Ihre Mail bekommenHi Olle, lange niks mehr gehRe: lolViurs blockiert jeden PC (Vorsicht!)berraschungIch habe Ihre E-Mail bekommen !Jetzt rate mal, wer ich bin !?Neue Sobig Variante (Lesen!!)Ich Liebe Dich و در ربان اتگلیسی با موضوع های زیر میل ارسال می شود : Congratulations!! Your Sobig Worms are very good!!!You are a very good programmer!Yours faithfullyOdin alias AnonOdin_Worm.exeNew internet virus!You send spam mails (Worm?)A worm is on your computer!You have sent me a virus!Hi darling, what are you doing now?Be careful! New mail wormRe: ContactSorry, I've become your mailHey man, long not see youViurs blocked every PC (Take care!)SurpriseI've become your mail!Advise who I am!New Sobig-Worm variation (please read)I love you (I'm not a virus!)I permanently get Spam-Mails from you and inside is a virus!!You should remove these thing. ضمیمه این میل ها كه حاوی بدنه ویروس است ، عبارتند از: AntiVirusDoc.pifCheck-Patch.batScreen_Doku.scrRemoval-Tool.exePerversionen.scrCM-Recover.comBild.scrschnitzel.exerobot_mail.scrRobotMailer.comPrivat.exeAntiTrojan.exeMausi.scrNackiDei.comAnti-Sob.batsecurity.pifFunny.scrLiebe.comOdin_Worm.execheck-patch.batanti_virusdoc.pifperversion.scrremoval-tool.exescreen_doc.scrpotency.pifCM-Recover.compic.scrplayme.exerobot_mailer.pifprivate.exeanti-trojan.exelove.comnacked.comanti-Sob.batNAV.piffunny.scrlittle-scr.scr
ویروس ، كرم و اسب تروا از الف تا ی
این روزها سخت به نظر می رسد كه هفته ای را بدون ویروس های رایانه ای در صدر اخبار رایانه به سر كنیم.
شیوع كرم اسلامر روی ایسكوئل و نیز سوبیگ در زمستان سال گذشته و به دنبال آن شبه كرم بلاستر در تابستان -گرافیك وار - حاكی از این نمود است كه چگونه طبیعت این نوع حملات مدام در حال افزایش است.
این داستان همچنین نشانگر آن است كه اگرچه ویروس ها عمری فراتر از 20 سال دارند، اما كاربران رایانه ای هنوز قادر نیستند درباره این موضوع كه برای مقاومت در برابر هر نوع آلودگی به اندازه كافی ایمن هستند، اظهارنظر كنند.
در واقع ، دنیای رایانه هفته ها و ماهها با هشدارهای جدی درباره كشف حفره ها مواجه شده و با آن دست و پنجه نرم می كند، تا این كه ناگهانی دست و پایش زیر چنگال پرمو و ناخن ویروس ها خرد می شود و شركتها و كاربران سراسر دنیا تحت تاثیر آن در اندوه و ترس فرومی روند.
باوجود این كه ویروس كدهایی در خود دارد. كه با نیات ناهنجار و بعضا پلید نوشته شده ، در سال 2003 بسیاری از این موضوع بی خبر بودند كه نسل جدید ویروس ها كه با ویروس نویسان در خدمت سازمان های مافیایی نوشته می شوند، ظهور می كنند و دست به سرقت اطلاعات در سطح وسیع می زنند.
كرم سوبیگ اثبات كرد مثلا ارسال كنندگان اسپم (اسپمرها) پشت سر قضیه هستند، تا با حمله به صندوق پستی الكترونیك كاربران و سرورها اطلاعات كاربر را به سرقت ببرند و بعد میلیاردها هرزنامه و پیام ناخواسته را وارد صندوق ایمیل ها كنند.
سوال اصلی كه امروزه مطرح می شود، تنها این نیست كه من چگونه می توانم خود یا سازمانم را در برابر ویروس ها محافظت كنم ، بلكه سوال این است كه ضربه خوردن و بهبود از آن چه هزینه ای در بر دارد.
در این راستا ریشه یابی ویروس ها كمك خوبی می كند، تا چاره جویی مناسبی برای مقابله با آن اندیشیده شود.
شگفت انگیز این كه اولین بحث درباره ویروس های رایانه ای ، به وسیله دانشمندانی انجام شد كه روی برنامه های خود پاسخگو تحقیق و سعی می كردند برای آن مبنایی علمی تهیه كنند.
واژه ویروس رایانه ای همه نوع كدهای بداندیش و مخرب را در بر گرفت ، كه حالا آنها را در 3 فرم ویروس (Virus)، اسب تروا (Trojan) و كرمها (Worms) می شناسیم.
یك ویروس (Virus) برنامه ای است كه بدون رضایت روی سیستم اجرا شده و با نیت آلوده كردن دیگر سیستم ها و رایانه ها بخصوص حمله با كدهای مخرب روی برنامه هایی با پسوند com وexe وc. عمل می كند.
كرمها (Worms) نیز شبیه ویروس هستند، كه به طور خودگردان و خودكار روی شبكه ها و از جمله اینترنت می چرخند و اغلب آنها از طریق ایمیل منتشر می شوند و می توانند با سوءاستفاده از باگ روی برنامه ها شیوع پیدا كنند.
اسب تروا (Trojan) در نهایت پنهان كاری و با چراغ خاموش وارد سیستم می شود. ترواها به صورت خودگردان منتشر نمی شوند. ابتدا به صورت یك برنامه بی ضرر خود را نشان می دهند و از صاحب سیستم اجازه كلیك كردن می گیرند. یك ضمیمه ایمیل ، همراه با یك كرم ، یا دانلود شدن مخفی روی سیستم روشهای ورود تروا به رایانه است.
در سال 1981 اولین ویروس رایانه ای روی مكینتاش اپل با نام Virus1 و بعد 2 و 3 و روی بازی رایانه ای پخش شد; اما اكثر كارشناسان می گویند كه اولین ویروس روی پی سی ها در سال 1986 به وجود آمد.
كاربرد داس و فلاپی دیسك برای حمل ونقل اطلاعات ، ویروس Brain را كه از سوی دو برنامه نویس در پاكستان ابداع شد در سطح وسیع پخش كرد. در ظاهر این ویروس كپی رایت را نمی شكست ، اما وقتی اجرا می شد از طریق فلاپی دیسك به داس دست می یافت و فایلهای اجرایی exe. را آلوده می كرد. در سال poly morphic engine 1992 آمد.
این بخشی از نرم افزار بود كه باعث مخفی شدن ویروس ها می شد، چرا كه ویروس از این برنامه به صورت مصالحه جویانه بهره می برد; مثلا ویروس TPE در یكم دسامبر 1992 از سوی یك هلندی با حجم 3 هزار بایت نوشته شد.
نام مستعار ویروسGirafe بود كه بعدها ویروس بتهوون ، بوسینا وCivilwarvv1 از روی آن ساخته شد. شعاع عملیاتی این ویروس در حد فلاپی دیسك بود، كه فایلcom. را آلوده می كرد و مجددا روی آن می نوشت.
در همین سال ، ویروس های متنوعی مانندpsmpc،G2،IVP كه از نمونه های قبلی كاملا متمایز بودند و در سطحی وسیعتر عمل می كردند نیز آمد.
اواخر سال 1994 سیستم عاملهای ویندوز و اپلیكیشن های مرتبط با آن ، استاندارد و تحت officemacro وVBSو(Visual Basic script) ظاهر شدند و از داس به روی ویندوز پریدند.
فلاپی هاراه انتشار ویروس بودند، اما از سال 1998 اولین نقل و انتقال ویروسی از طریق اینترنت با كرمMorris عملی شد.
متعاقب آن استفاده از شبكه ها و از جمله اینترنت از سوی كاربران منجر به شیوع انفجارآمیز ویروس های رایانه ای شد.
اولین و خطرناك ترین حمله ویروسی را می توان با ویروس Meeisa از سایر داستانها در سال 1991 متمایز كرد. نمونهVBS (وی بی اسكرپیستی ) آن را می توان در كرمI Love You در سال 2000 دید.
بنابراین نام این متعیرها ناشی از حركت انسانی مانند بازكردن ضمیمه ایمیل به صورت تیر خلاص به سیستم شد و بسرعت شیوع یافت.
در سال 2001، دومین نسل حملات ویروسی و رایانه ای را با code Red، نیمدا و swem دیدیم. این كرمها با اینترنت فعال و پخش شدند. ویژگی این نسل استفاده از باگهای برنامه ای برای شیوع خود روی اینترنت و شبكه های محلی بود.
به عنوان مثال ، آتلوك مایكروسافت با هزاران حفره داخل خود تقریبا حركت انسانی را در درجه دوم اهمیت قرار داد و حفره هایش باعث ورود هزاران ویروس و كرم در سطح ویندوز شد.
هدف گیری برای هویت كاربران به صورت خودكار درآمد و بسیاری از كرمها نظیر swem تلاش كردند، تا ابتدا به ساكن فایروال هاو برنامه های ضدویروس را از كار بیندازند.
همه این اتفاقات درون دیگی داغ به نام اینترنت رخ می داد، كه هر بار هم خوردن آن رشد سرسام آور قربانیان و سیستم های آلوده را به همراه داشت...
برای كارشناسان رایانه سال 2002 به اندازه تمام سالهای پشت سر گذاشته شده پرویروس بود.
تقریبا هر ماه هزار ویروس جدید و بعضا در سطح بالای تخریب ، نظام شبكه ای در جهان را به خطر انداخت.
تلاش شركتهای ضدویروس با این پدیده جدید به نحوی ظهور یافت كه با ویروس های مشتق شده از نسخه های اصلی مبارزه خوبی انجام داد و از پس سایر كرمها و ترواها نیز تقریبا سربلند بیرون آمد.
البته این سربلندی همیشه پس از وقوع حادثه و آلوده شدن سیستم ها رخ داد و میلیاردها دلار خسارت به شركتهای كوچك و بزرگ را نادیده گرفت.
شركتهای مطلع تر با به روز كردن سیستم های خود با انواع ضدویروس ها و فایروال ها با تهدیداتی نظیرKlez و Magistr و به مبارزه برخاستند. پیش تر سال 2001 در میان دانشمندانIT به عنوان بدترین سال ویروسی لقب گرفته بود.
اما وقتی سال 2002 و ویروس هایش آمد، تقریبا شوك بزرگی را به همگان وارد كرد و حوادث سال 2001 را از یاد برد و بعد در ژانویه 2003 كارشناسان فنلاندی هشدار دادند كه سال جدید بدترین سال خواهد شد و ترس بزرگی در دل همگان ایجاد كردند.
پیشگویی فنلاندی ها درست از آب درآمد و مطابق گزارش سیمانتك از ژانویه تا ژوئن 2003 بر قرائت بدیمن فنلاندی ها صحه گذاشت. براساس آمار، شركتهای بزرگ و كوچك به طور متوسط در طول یك هفته با 38 حمله هكری و ویروسی دست و پنجه نرم می كنند.
در همین مدت نیز به طور هفتگی 1400 نرم افزار مقتبس از حفره ها و آسیب پذیری های سیستم در اینترنت پخش می شود.
ویروس نویسان و هكرها به دلیل زودتر پیداكردن این حفره ها ویروس و حملات خود را زودتر سامان داده و در نتیجه یك قدم بالاتر از شركتهای ضدویروس موی دماغ كارشناسان امنیت سیستم و راهبران می شوند.
10 ویروس برتر نیز به اهدافی نظیر سرویس های غیرعمومی نظیر مایكروسافت اسكیوئل و FileSharing چه علیه شركتهای كوچك و چه علیه آی.اس.پی های بزرگ حمله می برند. نتیجه این كه حمله به مراكز اصلی شمار و درصد قربانیان را بسیار بالا برده و مثلا با آلوده شدن یك سرور بزرگ تمام كاربران ناخودآگاه ویروسی می شوند.
بنابراین روند ساخت ویروس و ضدویروس مثل اتفاقی همیشگی در دنیای رایانه هرگز از مد نیفتاده و همگان را آزار می دهد.
اما تهدیدهای آینده تركیبی از ویروس ها، اسبهای تروا و كرمهایی است كه از مسیرهای چندگانه و متنوع برای آلودن سیستم ها استفاده می كنند.
بنابراین یك كرم می تواند به طور طبیعی یك اسب تروا را روی سیستم قربانی اجرا كند و این در حالی صورت می گیرد كه یك اسب تروا در خود یك ویروس را دارد.
حمله های ویروسی استفاده از اپلیكیشن هایی نظیر مرورگرIE مایكروسافت وIIS مایكروسافت را در رئوس كاری خود قرار می دهند كه در كنار آن P2P و برنامه های پیام رسان به عنوان شیوعكننده ویروس در اولویت كاری قرار می گیرد.
برخلاف ویروس هایی نظیر ملیسا در سال 1999، ویروس های كنونی هسته های اصلی را نشانه می گیرند و همه چیز را برهم می زنند.
در سپتامبر 2003 دكتر گرهارد اشلبك ، مدیر شركت امنیت سیستمها در Qualys در كنگره گفت:حمله به شبكه ها چه در تعداد و چه در مهارت روبه توسعه و ترقی است و حملات جدید قدرت آلودگی به مراقبت بیشتری نسبت به پاسخگویی بموقع دارند.
عین این مطلب را زمان ظهور كرم اسلامر (Aka Sapphire) دیدیم. سرعت گسترش آن شبیه داستان های تخیلی بود. در اولین دقیقه ، تعداد سیستم های آلوده شده 2 برابر و در اندازه نیز هر 5/8 ثانیه دوبرابر می شد.
این كم با 55 میلیون اسكن در هر ثانیه تقریبا پس از هر 3 دقیقه فول اسكن می شد و این داستان حیرت آور مثل شوك تمام كارشناسان را میخكوب كرد.
از آنجا كه شبكه ها پهنای باند كافی نداشتند، خود به خود سرعت اسكن پایین آمد. مطابق گزارش ها بیشتر سیستم های آسیب پذیر در همان 10 دقیقه اول شیوع ویروس ، آلوده شدند.
اما متغیرهای تعریف شده در سوبیگ ، یك ماموریت مخفی را در خود جای داده بود. ویلیام هانكوك ، قائم مقامcable and wireless در این باره گفت: سوبیگ ، نسخهE اولین كرمی است كه تكنیك پیچیده هكری را در خود پیچانده و كنار مهندسی اسپم راهی سیستم ها شده است.
سوبیگ با یك ضمیمه داخل ایمیل قابل شیوع و انتقال است و با بازشدن آن یك كپی از ویروس مورد نظر به وسیله رایانه حمله كننده به نشانی بازشده ارسال می شود و همه جا را آلوده می كند.
در ابتدا این چنین به نظر می رسد كه ویروس قصد ملاقات با یك سایت مستهجن را دارد، اما فورا ویروس اسب تروای خود را با عنوانLaLa داخل سیستم قربانی می اندازد و سپس كرم سوبیگ را پاك می كند.
ما فكر می كنیم كه كرم پاك شده است ، البته درست هم می گوییم ; اما از اسب تروای LaLa اجازه هایجك شدن سیستم را فراهم می سازد و ماشین آلوده شده را آماده می كند تا صدها و هزاران اسپم وارد آن شود.
به علاوه ، پنجمین متغیر تعریف شده برای سوبیگ نسخهE ماشینSMTP است كه به طور خودكار نسخه های قبلی ویروس را به روز می كند و اجازه آلودگی بیشتر را فراهم می سازد; اما سوبیگ نسخهF6 متغیر و فاكتور از پیش تعریف شده را با خود یدك می كشد. با مراجعه به فاكتور پیش برنامه نویسی و زمان ترمینال خودكار كندی زمان پیش از نسخه جدید ویروس بین منفی 7 تا مثبت 35 روز است ، به همین خاطر سوبیگ نسخهG درحال نوشتن بوده و سروكله اش پیدا می شود.
كرم Msblast از امتیاز نقص امنیتی كشف شده در ایكس.پی ،ان.تی 2000 و سرور 2003 بهره برد و آن چنان قوی بود كه دستور حمله DOS به سایت به روزرسانی مایكروسافت را با موفقیت راهبری كرد و دمار از روزگار مایكروسافت درآورد.
قدرت در هم كوبندگی نیز به حدی بود كه قدرت چاره جویی را از مایكروسافت گرفت و در انتها، اشتباه تكثیر از جانب ویروس نویس جان مایكروسافت را نجات داد.
یكی از كاربران می گفت برای در امان ماندن فورا به طرف سایت به روز رسانی مایكروسافت رفت ، اما در حال گذراندن 15 دقیقه نصب پس دستور بود كه یك پیام آمد كه نوشته بود سیستم شما تا 60 ثانیه بعد خاموش می شود و...
بعد ضد ویروسی علیه آن آمد كه واقعا ویروس را پاك می كرد، ولی اسب تروایی نیز روی سیستم پیاده می كرد و كنترل كامل سیستم را در اختیار حمله كننده می گذاشت.
كرم جدید با ایمیلsupport@microsoft.com همراه بود و شكها را بظاهر برطرف می كرد.
هنگامی كه شركتهای امنیت رایانه ای در حال جنگ با ویروس های جدید یا هرگونه حمله ای هستند، اكثر كاربران سر خود را مثل كبك ، زیر برف كرده اند.
تنوع و تعداد تجارت های كوچك ، خطر افزایش انواع كرمها و ویروس ها را مادامی كه سیستم های فایروال نصب نشود، (به دلیل كاهش هزینه ها بالا می برد.
شركتهای بزرگتر به دلیل منافع درازمدت این شرایط را درك كرده اند و برایش راه چاره می یابند. امروزه آنچه با عنوانIT Spend معروف شده ، شامل تمام هزینه هایی است كه یك شركت برای ایمن كردن جان سیستم های خود در برابر هرگونه حمله ای خرج می كند. همین موضوع باعث تولید شغل های معتبر شده و قدرت نیروهای فنی را در ساماندهی امنیت كل شركت بالا برده است.
به روز كردن سیستم ها، نصب پس دستورها و ضدویروس ها، تغییرات لازم روی فایروال پس از نصب و راه اندازی ، چك كردن تمام دسكتاپ های داخل اداره و تحول مداوم در ساختار بانك اطلاعات مورد استفاده شركتها از جمله وظایف مدیران امنیت آی.
تی است كه بدان بها می دهند.
مدیران آگاه با توجه به خسارت هایی كه پس از حملات متحمل می شوند، چاره ای جز هزینه كردن به عنوان علاج واقعه قبل از وقوع ندارند.
در منظر كلی به اقتصاد كلان رایانه ای در سال 2001 ویروس ها 3/7 میلیارد پوند خسارت به سیستم های انگلیسی وارد آوردند.
سال گذشته نیز بانك امریكا 12 هزار ماشین خودپرداز را پس از آلوده شدن به ویروس از كار انداخت و خسارتی سنگین متحمل شد. وقتی شبه كرم بلاستر آمد، تمام ماشین های به روز نشده در كمتر از چند دقیقه اسیر آن شده و خاموش شدند.
پاكسازی چنین ویروس برای هر ماشین حداقل 80 پوند هزینه دربرداشت و این نشانگر آن است كه علاج واقعه پیش از وقوع براستی كم هزینه تر است.
آی.دی.سی پیش بینی كرده میزان پرداختIT Spend تا سال 2007 به رقم 64 میلیارد پوند در سال خواهد رسید و سرمایه گذاری در بخش امنیت سیستم ها بسیار بااهمیت تر از امروز خواهد شد.
Welchi یاNachi كرم خوبی بود كه برای كشتن ویروس های بد و ضدعفونی كردن رایانه از شر ویروس ها ساخته شد.
كرم مذكور 18 آگوست 2003 كشف شد و از همان تكنیك آلودن سیستم از سوی Lovesan بهره گرفت و خود را روی تمام سیستم ها انداخت. این كرم مشكل تمام وب سرورهای حاویIIS نسخه 5 را كه توسط حفره كشف شده Webdav در مارس 2003 آلوده شده بود، حل می كرد و بعد در اول ژانویه 2004 برای همیشه مرد.
داستان ویروس های خوب ، در كنار برنامه های ضد ویروس ادبیات جدیدی از امنیت سیستم های رایانه ای خلق كرده و شاید به عنوان یك استراتژی از سوی سازندگانOS در سطح كلان مورد استفاده قرار گیرد.
برخی شركتهای ضدویروس روش پاك كردن سیستم های داخل شركتهای بزرگ و كوچك را با معماری ویروس های خوب انجام می دهند.
با این تفاسیر، فكر این كه ویروس ها از بین بروند، بسیار ساده انگارانه است ، اما این كه ویروس های خوب بتوانند ویروس های بد را از میان ببرند، بحث دیگری است ، ولی یك نكته را نمی توان فراموش كرد و آن این كه ویروس نویسان همیشه یك قدم جلوتر از بقیه هستند; یعنی تا وقتی حفره های پیدا و پنهان وجود دارد، ویروس نیز وجود خواهد داشت.
درباره کرم اینترنتی جدید و ابزار حذف آن
|
|
|
کرم اینترنتی W32.Blaster.Worm بر مبنای آسیب پذیری و ضعف امنیتی موجود در سرویس DCOM RPC ویندوز که جدیدا شناخته شده بود برای نفوذ استفاده می کند. این کرم چندین نوع دارد که W32.Blaster.Worm شایعترین نوع این ویروس می باشد و از سرویس TFTP که از پورت 65 برای انجام کارهای خود استفاده می کند ، بهره می برد.
|
|
|
|
|
|
|
جزئیات تکنیکی :هنگامی که این کرم اجرا می شود ، کارهای زیر را انجام می دهد: 1- این کرم در ابتدا اقدام به ایجاد یک Mutex به نام BILLY می کند . در صورتی که Mutex از قبل وجود داشته باشد ، کرم فعال می شود. 2-سپس عبارت "windows auto update"="msblast.exe" به کلید رجیستری زیر اضافه می شود: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run و از این طریق در هربار اجرای رجیستری این کرم اجرا و فعال می شود. 3- یک آدرس IP تولید کرده وسعی می کند تا کامپیوتری که دارای آن آدرس است را آلوده کند.این آدرس مطابق الگوریتم خاصی تولید می شود. 4- داده ها را به پورت 135 TCP ارسال می کند که می تواند از آسیب پذیری DCOM PRC استفاده کند . کرم مزبور یکی از دو نوع داده های زیر را ارسال می کند: در 80 درصد موارد داده ها به ویندوز XP و در 20 درصد موارد به ویندوز 2000 فرستاده می شود. 5- استفاده از فرمان Cmd.exe برای ایجاد یک فرایند پردازشی راه دور مخفی که در نتیجه آن سیستم به پورت 4444 گوش می دهد و به حمله کننده امکان می دهد تا فرامین خود را از راه دور در سیستم قربانی اجرا کند. 6- به پورت 69 مربوط به UDP گوش می دهد . هنگامی که کرم پاسخی از یک سیستم دریافت می کند که در آن امکان ارتباط از طریق DCMP RPC وجود داشته باشد ، فایل msblast.exe را به کامپیوتر قربانی فرستاده و آن را اجرا می کند. 7- اگر ماه جاری بعد از ماه آگوست باشد، ویا اگر بعد از پانزدهمین روز سال باشد این کرم یک DoS در Windows Update اجرا می کند . حمله DoS در 16 دهمین روز ماه فعال شده و تاپایان سال ادامه می یابد. این کرم حاوی متن زیر است که هرگز نشان داده نمی شود : I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! |
">انتشار ویروس جدید
ویروس جدید یك كرم رایانه ای است به نامmimail كه از طریق پست الكترونیك منتقل می شود و شیوع سریع آن
قدری موجب نگرانی همگان در اینترنت شده است.
این ویروس كه به صورت ایمیل به صندوق پستی شما ارسال می شود متنی به این مضمون دارد:
من می خواهم اطلاعاتی راجع به آدرس پست الكترونی تان به شما بدهم لطفاً فایل ضمیمه این ایمیل را بخوانید .
عموماً عنوان این نامه ایمیلyour account یا صندوق پست الكترونیك شماست و به نظر می رسد كه از
طرف سرپرستان شبكه برای شما ارسال شده است .
كد خطرناك این ویروس درون فایل فشرده (zip) قرار دارد . از این رو شنا سایی آن برای ویروس یاب ها سخت
تر است و به سرعت در رایانه و شبكه پخش می شود.
حمله گسترده ویروسی روز شنبه 5 بهمن ماه
صبح روز شنبه 5 بهمن ماه ، وقتی کاربران ایرانی وارد اینترنت شدند تا به سایت های متعدد دسترسی پیدا کنند متوجه بروز نقصی در این سایت ها شدند. بسیاری از آن ها این نقص را به حساب مشکلات تقریباهمیشگی سرورهای ایرانی گذاشتند. این نقص که دسترسی به آن سایت ها را دشوار و در زمانهایی نیز غیر ممکن کرده بود حتی بعضی ها را به این فکر انداخت که شاید یک حمله گسترده علیه سایت های ایرانی انجام گرفته است ، اما تماسهای متعدد با طرف های خارجی بلافاصله مشخص کرد که این بار امن ترین سرورهای خارجی هم در امان نبوده اند. همچنین عدم دسترسی به بسیاری از سایت های ایرانی از جمله خبرگزاری دانشجویان و آی تی ایران و همچنین بروز مشکلاتی برای ISP های ایرانی و سرورهایی حتی در مراکز دولتی و دانشگاهی گزارش شده بود اما تا بعدازظهر سایت های خبری از بروز نقص در اینترنت سخنی به میان نیاورده بودند.این نقص که در نوع خود بسیار عجیب و بی سابقه به نظر می رسید آنچنان فضای اینترنتی کشور را تحت تاثیر قرار داده بود که حتی در ساعاتی تماس از طریق نرم افزارهای پیغام بر نیز ممکن نبود. پس از چند ساعت بررسی مسئولان برخی از ISP ها و سرورهای داخلی متوجه شدند که پهنای باند اغلب آن ها به شکلی غیر منتظره اشغال شده است. این اشغالی پهنای باند در نگاه اول آنچنان پیچیده و غیر معمول به نظر می آمد که بسیاری از ISP ها ترجیح دادند که دستگاه های خود را خاموش کنند تا از خطرات احتمالی و همچنین هزینه اشغال پهنای باند اضافی در امان باشند. شریفی یکی از مسئولان شرکت تینا اینترنت می گوید: هر قدر جست و جو می کردیم متوجه نمی شدیم. در حالی که به شدت پهنای باند ما اشغال شده بود. با مخابرات تماس گرفتیم آن ها گفتند که یکی از مشتریان شما packet های ناخواسته و غیر مهم را ارسال می کند وقتی گفتیم حداقل IP آن را بگویید تا آن را مسدود کنیم گفتند آنقدر IP دیده می شود که معلوم نیست IP حقیقی کدام است. مجبور شدیم سرورمان را خاموش کنیم و با دقت به دنبال نقص بگردیم. با این حال مسئولان شرکت تینا اینترنت تنها نبودند ، در بسیاری از ISP های تهران شنبه روز سختی بود و این موضوع حتی به نهادهای دولتی و سازمان های بزرگ نیز سرایت کرده بود.
اخبار ضد و نقیض نیز از هر طرف به گوش می رسید هر قدر برخی اطمینان می دادند که یکی از ISP های آمریکایی مشغول تعویض تجهیزات خود است و این موضوع از قبل به اطلاع همه رسیده است اما برخی نیز به اطلاعات داخلی متکی نبودند و به دنبال اخبارموثق تری در این باره می گشتند. با این حال تا بعدازظهر که برخی از متخصصان متوجه وجود نقص در نرم افزار sql شرکت مایکروسافت شدند این سردرگمی ها ادامه داشت و تازه در این زمان بود که همه به سمت نصب آخرین نسخه اصلاحیه مایکروسافت service pack 3 که بیش از 50 مگابایت حجم دارد، روی آوردند و این حلال مشکلات بود.
شریفی در این باره می گوید: تحقیقات ما نشان داد که این یک حمله اینترنتی با استفاده از نقص SQLاست مایکروسافت این نقص را 6 ماه قبل اطلاع داده بود اما نسخه سرویس پک 3 را دو روز قبل روی سایت خود قرار داده بود به همین دلیل بسیاری از سرورها این نرم افزار را نصب نکرده بودند. همین نقص باعث بروز این مشکل شد. او می گوید: تا قبل از این نقص های زیادی روی نرم افزارهای مختلف موجب چنین حملاتی (البته نه در این وسعت درکشور ما) شده بود اما این بار گویا نوبت SQL بود که دستاویز قرارگیرد. با این وجود تا بعدازظهر که سرانجام سایت CNN و یاهو اخباری را به نقل از سیمانتک و رویتر در باره این حمله بزرگ اینترنتی منتشر کردند،صحبت کردن از این موضوع کمی عجیب و غریب می رسید. رویتر در گزارش خود نوشته است: روز شنبه یک ویروس کامپیوتری با آلوده کردن سرورهای متعددی باعث کند شدن ترافیک اینترنتی درتمام جهان شده است. بیشترین مشکل در کشور کره جنوبی گزارش شده و حدس زده می شود که منشا این خرابکاری این کشور باشد.
به نوشته رویتر نام ویروس sapphire یا sql slammer و قابلیت این را دارد که خود به خود زیاد شده در طول وب منتشر شود. مدیر بخش تحقیقات شرکت کامپیوتری Mikko Hypponen می گوید: این ویروس باعث ترافیک زیادی می شود که کل شبکه را تحت تاثیر قرار دهد البته کاربرهای نهایی چیز خاصی را نمی بینند تنها کند شدن اینترنت را درک می کنند. به گفته وی این ویروس از یک نقص قدیمی که 6 ماه قبل در sql server پیدا شده سود می برد.این ویروس خیلی شبیه codred (ویروسی که در ژولای 2001 منتتشر شد و خرابی های بسیاری به بار آورد) است اما خطر آن کمترگزارش شده است. به گفته متخصصان امنیتی تمام سرویس اینترنتی در کشور کره دچار مشکل شده البته دامنه گسترش این ویروس به ژاپن و اروپا و ایالات متحده هم گسترش پیدا کرده است.مثلا در واشینگتن سخنگوی fbi نیز اعلام کرد که از وجود یک کرم ناشناخته در اینترنت اطلاع یافته است. اما نمی تواند فعلا نوع آن را مشخص کند. او هم تایید کرده بود که این کرم می تواند سرورهای کامپیوتری که از نرم افزار Microsoft Windows 2000 - SQL استفاد می کند را دچار اختلال کند. این کرم درخواست متعددی را برای آدرس های IP دیگر می فرستد تا سرورهای آسیب پذیر دیگری را نیز پیدا کند در نتیجه این عمل ترافیکی روی شبکه ها ی خدمات دهنده اینترنت به وجود می آید که حتی می تواند به خاموش شدن سرورها بینجامد. به نوشته رویتر حتی ممکن است بعضی از وب سایت ها در روزهای آینده نیز در اثر این کرم اینترنتی متوقف شود.
با وجودی که این کرم روی کاربران انتهایی تاثیر چندانی ندارد اما بسیاری از کاربران در سراسر جهان کند شدن اینترنت را حس کردند. کاربرانی در آمریکا و انگلستان در روی message board ها پیغام هایی منتشر کردند و از کندی ترافیک اینترنتی شکایت کردند. اما بزرگترین مشکل در کره جنوبی گزارش شد که بعد اظهرشنبه تمامی سرویس های اینترنتی در این کشور به مدت چند ساعت از کار افتاد. منابع خبری خاطرنشان می کنند که پلیس تحقیقات خود را در این زمینه آغاز کرده است . این اولین باری است که کره جنوبی با چنین مشکلی با این وسعت روبه رو می شود و البته در این کشور 70 درصد خانه ها به اینترنت دسترسی دارند و هکر ها بسیار فعال هستند. به نوشته خبرگزاری yanhap هکرها مسئول این حمله گسترده بوده اند. در این کشور همه سرویس های پرسرعت اینترنت که از سرور KT استفاده می کنند نیز از این مشکل در امان نبوده اند. یک شرکت انگلیسی ضد ویروس به نام sophos نیزگزارش داده که اولین گزارش های آلودگی از آسیا بود است البته گروهی اروپایی ها هم با این شرکت تماس گرفتند و این مشکل در سرعت اینترنت را متذکر شده بودند. با این مشکلاتی که از بابت این سرور نصیب برخی کشورها شد در قلب اینترنت و در آمریکا انگار نه انگار که اتفاقی افتاده است. سرویس های صبح شنبه به همان سرعت همیشگی کار می کردند و حتی شرکت AOL بزرگترین ISP دنیا اعلام کرده که کوچکترین آسیبی از این حمله ندیده است. همچنین cnn نیز به نقل از شرکت سیمانتک نوشته است این کرم بیشتر کاربران تجاری را تحت تاثیر قرار می دهد تا کاربران خانگی. bbc هم در این باره گزارش می دهد:در کشورهای تایلند، ژاپن، مالزی، فیلیپین و هند نیز اینترنت با کندی مواجه بود. این شبه ویروس به رایانه سرویس دهنده (سرور) القا می کند که دایما با ترافیک زیاد رو به روست، در حالی که چنین نیست. برعکس ویروس های معمولی، این کرم رایانه ای تنها در حافظه است و به همین دلیل نمی تواند توسط ویروس یاب های معمولی شناسایی شود.
به گفته بی بی سی در حمله روز شنبه، دست کم پنج مرکز (هاب) از 13 هاب عمده اینترنت هدف قرار گرفتند. مشاور جرج بوش، رییس جمهور آمریکا در امور امنیت اینترنتی گفته است که این حمله ویروسی اکنون تحت کنترل است . برگرفته از سایت Itiran
برای کسب اطلاعات بیشتر می توانید به آدرس ذیل رجوع فرمایید:
http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html
آشنایی با ویروس NAKEDWIFE
ویروس NakedWife به صورت ضمیمه به یك نامه الكترونیكی وارد كامپیوتر قربانی می شود و سپس با ظاهر شدن به صورت یك ویدیوی مرموز درباره همسر یك مرد ناشناس كاربران را وسوسه می كند تا آن را اجرا كنند. دامنه تخریب این ویروس بسیار وسیع است و ویروس چندین فایل سیستمی مهم را در كامپیوتر قربانیان خود حذف می كند .
تعدادی از شركت های تولید كننده نرم افزار ضد ویروس به دلیل خسارتی كه ویروس NakedWife می تواند به بار آورد آن را به عنوان یك ویروس خیلی خطرناك درجه بندی كرده اند. این ویروس به محض آلوده كردن تمام فایل های ,BMP ,COM ,DLL ,EXE ,INI و همچنین تمام فایل های موجود در پوشه های WINDOWS و WINDOWS/SYSTEM را حذف می كند، با فرض اینكه ویندوز در پوشه WINDOWS نصب شده باشد . NakedWife یك ویروس جدید از نوع VBS Worm است كه به سرعت از طریق پست الكترونیكی منتشر می شود این ویروس كه نام مستعار آن Jib Jab است فایل های مهم را از پوشه های نامبرده حذف می كند . ویروس NakedWife با مشخصات زیر از طریق یك نامه الكترونیكی به كامپیوتر شما راه می یابد:
موضوع نامه :
FW : Naked Wife
بدنه نامه :
(My wife never look like that :)
best regards,
(نام فرستنده)
نام ضمیمه :
NakedWife.exe
اگر كاربر این ضمیمه را باز كند ویروس خود را به صورت نامه الكترونیكی به تمام آدرسهای موجود در كتابآدرس Outlook ارسال می كند. این ویروس همچنین یك پنجره Flash را بار گذاری می كند كه در آن پیغام JibJab Loading را به نمایش می گذارد سپس فایل هایی كه دارای پسوند های BMP ,COM ,DLL ,EXE ,INI هستند را حذف می كند: در مرحله بعدی ویروس پیغام زیر را به نمایش می گذارد :
you're now f**** D!c2001 by BGK (Bill Gates Killer)
برای متوقف كردن این ویروس به نكات زیر توجه كنید:
• Outlook Security Patch متعلق به شركت مایكروسافت را Download كنید.
• ضمیمه ها را باز نكنید.
• همیشه گوش به زنگ باشید.
• از كامپیوتر خود محافظت كنید.
• سیستم خود را به طور منظم اسكن كنید.
• نرم افزار ضد ویروس خود را به روز برسانید.
با توجه به اینكه این ویروس خود را به صورت یك فیلم Micromedia Flash نشان می دهد، منحصر بفرد می باشد. اگر كاربری فریب خورده و ضمیمه را باز كند یك پنجره باز می شود و به نظر می رسد كه یك فیلم Flash در حال بارگذاری است. پنجره شامل چند لوگو از Jibjab.com است كه یك شركت تولید كننده تصاویر Flash در نیویورك است این شركت اظهار داشته است كه هیچ ارتباطی با این ویروس ندارد.
كاربرانی كه با اشتیاق منتظر بارگذاری فیلم می مانند ناامید خواهند شد چون چنین چیزی اتفاق نمی افتد اگر یك قربانی از گزینه HELP/ABOUT در آن پنجره استفاده كند یك پیغام آزار دهنده با این مضمون ظاهر می شود:
you're now f**** D!c2001 by BGK (Bill Gates Killer)
به اعتقاد پت نولان یكی از پژوهشگران مركز McAfee این ویروس یك ویروس موذی است . چون ضمیمه آن با یك آیكون Shockwave Flash كه به نظر واقعی می آید همراه است.
اما خبر خوب این است كه گرچه فایل های مهم سیستم های آلوده به این ویروس حذف می شوند و ویروس كامپیوتر را در عمل از كار می افزاید ولی هیچ یك از داده های كاربران نابود نمی شود و فایلها قابل بازیابی هستند.
خبر پخش ویروس جدیدی كه تحت عنوان و نام patch امنیتی شركت میكروسافت اقدام به انتشار خود كرده است در منطقه اروپا شروع بهآلوده كردن سیستم ها كرده است . بنا بر اعلام شركت های آنتی ویروس ، این ویروس كه در آزادی كامل به سر می برد می تواند اطلاعات حساب های كاربری و جزئیات سرور های ایمیل را ازسیستم های آلوده جمع آوری كند.
ویروس W32.Swen.A@mm و یا W32.Gibe.B@mm در بد ترین شریط عمر مایكروسافت بروز كرد. در حالیكه بسته های نرم افزاری رفع ایراد مربوط به مایكروسافت به آرامی ماجرای خطر ویروس های SoBig و MSBlaster را كه سبب برپایی سرو صداهای زیادی علیه میكروسافت شده بود ،از یاد ها برده بود ، انتشار این ویروس جدید مشكلات دیگری را به بار آورده است .
ویروس جدید كه سرچشمه انتشار آن را اروپا تعیین كرده اند ، صندوق های پست الكترونیكی را درآمریكا هدف قرار داده است و با یك فایل EXE.همراه است كه موضوع ایمیل در آن بصورتMicrosoft Internet Update Pack یا "Microsoft Critical Patch"ویا "Newest Security Update" می باشد .
بر مبنای گزارشات بخش امنیتی شركت Symantec این كرم از موتور SMTP برای انتشار خود استفاده می كند و سعی در از كار انداختن آنتی ویروس ها و برنامه های فایروال موجود در سیستم های قربانی خود می كند . همچنین این كرم قادر به بهره برداری از شكاف امنیتی شناخته شده Internet Explorer است و قادر است بر مبنای عضو به عضو در كاربرانی كه از برنامه هایی همچون IRC و یا Kazaa استفاده می كند نیز منتقل شود .
این كرم به سرعت در اروپا در حال انتشار بوده و بسیار سریع در مناطق دیگر نیز منتشر خواهد شد .
این ویروس از طریق برنامه++ C نوشته شده و قادر است نام ، رمز عبور و جزئیات میل سرور قربانی خود را به سرقت ببرد.
برای جلوگیری از انتشار این ویروس بهتر است جلوی ورود این فایل EXE در مدخل Gateway گرفته شود . همچنین به كاربران توصیه می شود تا از برنامه هایی همچون( instant messaging (IM و یا نرم افزارهایی همچون P2P استفاده نكنند.
برای دسترسی به اطلاعات كامل تر می توانید از آدرس http://www.microsoft.com/technet/security/bulletin/MS01-020.asp استفاده كنید.
این ویروس طی مراحل زیر در سیستم قربانی خود نصب می شود :
1- ابتدا سیستم را بررسی می كند كه یا نسخه ای از قبل بر روی آن سیستم نصب شده یا خیر و در صورتی كه از قبل بر روی آن سیستم موجود باشد پیام زیر نمایان می شود :
2- اگر نام فایل اجرا شده با یكی از حروفp , u, q و یاiباشد كادر محاوره ی زیر نمایان می شود :
صرفنظر از انتخاب هر گزینه این كرم خود را در سیستم تان نصب می كند ، البته در صورتی كه گزینهno را انتخاب كنید این ویروس در پشت پرده شروع به نصب خود می كند و شما متوجه این امر نمی شوید. و در صورت انتخاب گزینهyesكادر زیر نمایان می شود :
3- سپس سعی می كند تا فرایند ها و اعمال زیر را از كار بیاندازد :
4- با تولید یك نام راندوم خود را در پوشه %Windir% كپی می كند.
5- در فایل های .html, .asp, .eml, .dbx, .wab, .mbx موجود در سیستم بدنبال آدرس های ایمیل می گردد.
6- در محلی كه آدرس های ایمیل یافت شده را نگهداری می كند فایلی با نام Windir%/Germs0.dbv%می سازد .
7- در محلی كه اخبار و میل سرور های راه دور یافت شده را نگه داری می كند فایلی با نام Windir%/Swen1.dat% ایجاد می كند .
8- یك فایل با نام ComputerName%.bat% ایجاد می كند كه در واقع كرم را اجرا كرده و یك نام راندوم برای نگه داری در سیستم محلی برای آن انتخاب می كند. ( ComputerName به نام كامپیوتر قربانی خود اشاره دارد )
در كلید
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/*
رجیستری مقادیر زیر را اضافه می كند :
"Email Address"="<The current users email address that the worm retrieves from the registry>"
"Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"
"Mirc Install Folder"="<location of mirc client on system>"
10- یك مقدار نام راندوم را به كلید
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
رجیستری اضافه می كند تا در هر بار اجرای سیستم این فایل اجرا شود .
11- كلید های رجیستری زیر را تغییر می دهد :
HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
HKEY_LOCAL_MACHINE/Software/CLASSES/scrfile/shell/open/command
HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command
HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command
HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command
12- مقدار "DisableRegistryTools" = "1" را در كلید رجیستری زیر تغییر می دهد :
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System
كه مانع اجرای رجیستری توسط كاربر می شود .
13- بطور دوره ای كاربر را با ایراد MAPI32 Exception مواجه می كند .
كه در واقع كاربران را ترغیب به وارد كردن اطلاعات مربوط به خود از جملهموارد زیر می كند :
14- از طریق رمز عبور و نام كاربری كسب شده وارد ایمیل قربانی شده و در صورتی كه میلی از سوی ویروس برای مهاجم ارسال شده باشد آن را پاك می كند .
15- كاربر را با پیام های ایراد زیر مواجه می كند :
16- یك درخواست HTTP Get را به یك سرورHTTP از پیش تعیین شده ارسال می كند تا اطلاعات مربوط به وضعیت انتشار و شمارنده كرم را از زمان انتشار تعیین كند . همانند:
البته این كرم به شیوه های مختلفی منتشر می شود كه شیوه فوق تنها روش انتشار آن از طریق ایمیل بوده است .
آشنایی با ویروس Neroma
نام : Neroma
نام مستعار : Nearby, I- Worm.Nearby , Win32/Neroma.worm.5632
Nearby یك كرم ساده ایمیل است كه با زبان برنامه نویسی Visual Basic نوشته شده است .
كرم معمولاً ضمیمه های زیر را به ایمیل وارد می كند :
Subject:
It's Near 911!
Body:
Nice butt baby!
Attachment:
nerosys.exe
بعضی از سایت ها می توانند اسم و آیكون فایل را در حالت exe نشان دهند و از این رو كاربران در می یابند كه این فایل آلوده به ویروس است .
این ویروس پس از اجرا خود را نصب كرده و در پوشه ویندوز كپی می كند . سپس روی فایل System.ini تغییراتی ایجاد می كند تا فایل همیشه با شروع ویندوز اجرا شود .
كرم خود را به Outlook می رساند و خود را به تمامی آدرسهای ایمیل واقع در آنجا ارسال می كند .
كرم همه فایلهای موجود در شاخه ویندوز را در تاریخ های 1 . 4. 8 .12 .16 .20 .24 .28 ماه پاك می كند.
این كرم در 5 ماه September سال 2003 شروع به فعالیت كرد .
نوع B
تنها تغییری كه با A دارد این است كه سر تاریخ های 1 و 9 و 11 دست به پاك كردن فایلهای در شاخه ویندوز می زند.
آشنایی با ویروس Nmida . E
یك كارشناس ضد ویروس اعلام كرد كه گونه جدید كرم Nimda به تدریج از منطقه آسیای شرقی در حال انتشار است . این گونه جدید كه Nmida . E نامیده می شود . به همان شیوه كرم Nimda اصلی منتشر می شود اما فایل های آن مشابه فایل های ویندوز موجود تغییر نام داده می شوند .
آنتونی كو مدیر فنی شركت Trend Micro كه یك شركت تهیه نرم افزار های ضد ویروس است ، اعلام كرد :
اولین گزارش دریافتی در مورد این كرم از كره جنوبی و كمی بعد از آن از آمریكا و استرلیا دریافت شد. تا كنون بیش از 2700 مورد از آلودگی گزارش شده است شركت Trend Micro با استفاده از خطوط پشتیبانی خود در آسیا و ویروس یاب On-Line و رایگان خود این كرم را از لحاظ رتبه بندی دومین ویروس آلوده كننده فعال در منطقه اعلام كرد.
به هر حال از آنجایی كه Nmida . E در شمار ده ویروس عمده آلوده كننده در سایر مناطق دنیا قرار ندارد ، می توان مطمئن شد كه هنوز این كرم به صورت گسترده انتشار نیافته است.
وینسنت گولوتو مدیر تحقیقات یك تیم ضد ویروس گفت :
من فكر نمی كنم كه این ویروس خیلی مخرب باشد . اگر مردم همان میزان احتیاطی را كه در مورد گونه های قبلی به خرج می دادند ، در این مورد نیز رعایت كنند با مشكلی روبرو نخواهند شد.
گزارشهای ارسالی حاكی از این امر است كه تنها كامپیوتر هایی در معرض آلودگی به این ویروس قرار دارند كه قبلاً نسبت به كرم قبلی كه حدود 160 هزار میزبان را آلوده كرده ، ایمن نشده اند . این كرم همانند مادرش (NMIDA) می تواند كامپیوتر های شخصی و سرورها را به 4 روش آلوده كند:
• از طریق یك پیوست پست الكترونیكی
• نفوذ در سرور ها ی آسیب پذیر كه نرم افزار IIS مایكروسافت را اجرا می كنند
• از طریق هارد دیسك های به اشتراك گذاشته شده
• با فریب دادن مرورگرها برای انتقال كرمها از سرور های آلوده
به نظر می آید كه تا كنون روش اول (پست الكترونیكی) موثرترین روش در گسترش آلودگی این كرم جدید بوده است . Nmida و Nmida .E آدرس های پست الكترونیكی را از رابطه های MAPI (رابطه نرم افزار های پیام رسان) شامل Outlook مایكروسافت و Outlook Express می گیرند . Nimda . E برای ارسال پیغام ها جهت پر كردن فیلد های فرستنده (SENDER) و گیرنده (RECIPIENT) از این آدرس های پست الكترونیك استفاده می كند .
آدرس صفحات وبی كه در پوشه Cache مرورگر ذخیره می شوند نیز مورد استفاده این كرم قرار می گیرند. نامه هایی كه از كامپیوتر های آلوده ارسال می شوند از طریق افرادی كه آدرسهای آنها توسط Nmida شناسایی شده اند ، فرستاده می شود .
فایل هایی كه Namida . E برای آلوده كردن كامپیوترها استفاده می كند با اسامی دیگری نام گذاری می شوند . مثلاً فایلی كه برای آلوده كردن هارد دیسك های به اشتراك گذاشته شده در شبكه به كار می رود " Crss.exe " نام دارد . در حالی كه كرم اصلی ( nmida ) برای این منظور از فایل “ mmr.exe” استفاده می كرد. این كرم زمانی كه از طریق پست الكترونیكی منتشر می شود از نام “Sample.exe” استفاده می كند در حالی كه نام اصلی آن “redme.exe” است .
نهایتاً اینكه فایلی كه بر روی سرور آلوده قرار می گیرد . “ httpodbc.dll ” نام دارد . در حالی كه كرم اصلی NMIDA نامش را از فایل “admin.dll” گرفته است .( توجه داشته باشید كه nimda معكوس كلمه admin اختصار كلمات System Administrator به معنی مدیر شبكه است .
آشنایی با ویروس
Qaz
نام :Qaz
نام مستعار : Worm.Qaz, Worm_Qaz, W95/Qaz.110549
این ویروس یك كرم شبكه ای است و از طریق یكBackdoor خود را بر روی سیستم ازWin32 توسعه و انتشار می دهد. این كرم در بین ماه هایJuly و August سال 2000 پخش شد . حجم فایل اجرایی آن 120 كیلو بایت بوده و با زبان برنامه نویسی MS Visual C++ نوشته شده است . وقتی فایل آلوده اجرا می شود كرم یكStartup در رجیستری می سازد :
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunstartIE = "filename qazwsx.hsq"
قسمتFilename اسم بدنه كرم می باشد (دیدن مادون كه معمولاNotepad.exe است ) و در نتیجه كرم روی هر ویندوزی در حالت Startup اجرا شود . سپس كرم به صورت برنامه اجرایی درRAM بارگذاری شده و خود را درTaskList مخفی می كند .
این كرم دو عمل را با هم و موازی انجام می دهد . كه اولی پخش كردن خود و دومی اجرای Backdoor است .
كار اول این كرم یعنی پخش شدن بر روی شبكه بدین صورت است كه كرم یك كپی از خود را بر رویLAN و بر روی درایو های به اشتراك گذاشته شده كه قابلیت خواندن و نوشتن دارند قرار می دهد . این كرم در شبكه به دنبال عبارت و رشتهWIN گشته و پس از پیدا كردن آن به دنبال فایلNotepad.exe بر روی شاخه ویندوز می گردد و اسم آن را بهNote.com تغییر می دهد و درون آن می نویسدNotepad.exe . در نتیجه این عمل می توانnotepad واقعی را در فایلNote.com پیدا كرد . كد های این كرم درNotepad.exeقرار دارند. این كرم به محض آنكه كاربر Notepad را باز كند ، فعال خواهد شد و بدین شكل ماشین را آلوده تر می كند .
ساختار Backdoor آن روالی ساده دارد و آن از فرمان های كمی پشتیبانی می كند :Run ، برای اجرا كردن فایلهای از پیش تعیین شده .UPLOAD ، برای آپلود كردن فایلها (فایلهای ساختگی بر روی ماشین قربانی ) وQUIT ، برای خاتمه دادن به روال كرم به كار می رود .این كرم برای نصب و اجرای خود از همین سه فرمان استفاده می كند. همچنین این كرم به نویسنده خود خبر می دهد كه سیستم قربانی آلوده شده است .