مقدمه ای بر ویروسهای كامپیوتری
پیش از یك دههً قبل فردى به نام " فرد كوهن " اولین ویروس كامپیوترى را بعنوان یك پروژه دانشجویى نوشت كه قادر
بود خود را بصورت انگل وار تكثیر كرده ، به برنامه هاى دیگر بچسباند و تغییراتى را در آنها بوجود آورد. علت نام گذارى ویروس بر روى اینگونه برنامه ها ، تشابه بسیار زیاد آنها با ویروسهاى بیولوژیكى است زیرا ویروسهاى كامپیوترى نیز مانند ویروسهاى بیولوژیكى بطور ناگهانى تكثیر مىشوند و در حالى كه ممكن است بر روى یك دیسك وجود داشته باشند تا زمانى كه شرایط مناسب نباشد فعال نخواهند شد .
براى كاربران معمولى ممكن است حداكثر ضرر ناشى از یك ویروس خطرناك ، نابود شدن اطلاعات و برنامه هاى مهم موجود بر روى كامپیوتر شان باشد ، اما ضرر و زیان ناشى از ویروس هاى مخرب بر روى شبكه هاى ارتباطى مراكز تجارى و اقتصادى ممكن است موجب تغییر و یا حذف اطلاعات مالى شركت ها و اشخاص گردد و خسارات مالى ، اقتصادى و تجارى سنگین و جبران ناپذیرى را در پى داشته باشد و یا حتى تاثیر ویروس در سیستم هاى كامپیوترى یك پایگاه نظامى هسته اى ممكن است منجر به خطر افتادن حیات انسانها و كره زمین گردد .
بنابراین با عنایت به خطرات نامحدود و جبران ناپذیر ویروس هاى كامپیوترى كه هر روز بطور سرطان گونه تولید مىگردند متخصیصن علوم كامپیوترى بر آن شدند تا برنامه هایى را براى نابودى ، پاكسازى و یا پیشگیرى از شیوع اینگونه ویروسها تهیه كنند . اگر چه تاكنون برنامه هاى زیادى براى این منظور طراحى و تولید شده است ولى اینگونه از برنامه ها الزاماً باید متناسب با تولید و اشاعه ویروسهاى جدید ، اصلاح و دوباره سازى گردند .
ویروسهاى كامپیوترى برنامه هاى نرم افزارى كوچكى هستند كه به یك برنامه اجرایى یا نواحى سیستمى دیسك متصل شده و همراه آن اجرا مىشوند لذا ویروس كامپیوترى از جنس برنامه هاى معمولى كامپیوتر است كه توسط برنامه نویسان نوشته شده ، به طور ناگهانى توسط یك فایل اجرایى یا جاگرفتن در ناحیه سیستمى دیسك به كامپیوتردیگر مستقل مىشود و پس از اجراى فایل آلوده به ویروس و یا دسترسى به یك دیسك آلوده توسط كاربر ، ویروس بطور مخفى در حافظه قرار مىگیرد و با اجراى یك برنامه غیر آلوده ، با تولید نسخه اى از خود، آن را آلوده مىكند و این روند در موقع انتقال و جابجایى اطلاعات بین كامپیوترها و اجراى برنامه ها تكرار می شود و پس از گذشت زمان كوتاهى كامپیوترهاى موجود در یك اتاق ، اداره ، كشور و یا حتى در سراسر جهان آلوده به ویروس مىگردند و از آنجا ویروس هابطور مخفیانه عمل مىكنند ، تا وقتى كه كشف و پاكسازى نگردند ، برنامه ها و كامپیوتر هاى زیادى را آلوده مىكنند وبنابراین پیدا كردن سازنده اصلی آن تقریباً غیر ممكن است.
ویروسهاى اینترنتى از این گروه از ویروسها هستند كه باعث خرابىهاى زیادى در سیستمهاى كامپیوترى جهان شده اند .
ویروسهاى اینترنتى
به احتمال بسیار،همگى ما درباره ویروس love كه به صورت پست الكترونیك خود را براى كاربرد هاى اینترنت ارسال مى كرد، چیزهایى شنیده ایم. این ویروس پس از مورد حمله قرار دادن یك كامپیوتر، با دستبرد به دفتر آدرس ها (adress book) در برنامه ارسال و دریافت پست الكترونیك out look، با استفاده از
آدرسهاى فهرست شده درآن، خود را منتشر مى كرد. سال گذشته نیز همین روش توسط ویروس وحشتناك ملیسا(Melissa) مورد استفاده قرار مى گیرد و تا كنون ویروس هاى كوچكترى نیز مانند pretty park به این شیوه خود را پراكنده اند.چنین به نظر مى رسد كه پست الكترونیك به عنوان شیوه موثر ارتباط در دنیاى اینترنت، بهترین بستر براى انتشار بعضى از ویروس ها تبدیل شده است.
در خبرها شنیده شده است كه نویسنده ویروس love دستگیر شد. اما پس از دستگیرى این شخص در این مدت كوتاه با كمال تعجب شاهد انتشار ویروس دیگرى هستیم كه طرز رفتارى بسیار مشابه پدر خوانده خود یعنى ویروس love دارد. به گفته متخصصان مركز تحقیقات ویروس شناسى سیمانتیك این ویروس حتى از ویروس love مخرب تر است. این ویروس كه به new love شهرت یافته ، در نخستین دو روز فعالیت خود هزاران كامپیوتر را در سر تاسر جهان آ لوده كرد. شناسایى این ویروس از آنجا كه هر بار از طریق نامه اى با عنوان (subject) متفاوت خود را ارسا ل مى كند بسیار دشوارتر است. اما خوشبختانه مجموع خسارت آن به پاى ویروس love نرسیده. چرا كه با آ مادگى ذهنى كه ویروس love ایجاد كرده بود، بسیارى از شركتهاى بزرگ چند میلیتى در نخستین اقدام توانستند از پذیرش نامه هاى آلوده جلوگیرى كنند ودر اصطلاح كامپیوترى آن را blick كنند.
این ویروس مخرب علاوه بر از بین بردن فایلهاى ذخیره شده در كامپیوتر ، باعث از كار افتادن سیستم عامل كامپیوتر نیز میشود. این ویروس هرچند از نظر فنى پیچیده ترازویروس love است اما فاقدهرگونه محرك خاصى است. ویروس love از یك پیام تحریك كننده (I love you) در خط عنوان خود بر خوردار است ویك پیام عاشقانه به نام (love letter) به آن پیوسته است. این ویروس حدود ده بیلیون دلار خسارت به جا گذاشت. اما ویروس new love فاقد چنین عبارت هایى است وهر بار با یك نام متفات خود را به نامه اى پیوست وارسال مى كند. تنها قسمت مشابه در نامه هاى حاوى این ویروس ، پسوند سه حرفى فایل پیوست شده به آن یعنى " .vbs" است .
ویروس love نه تنها از طریق برنامه Microsoft outlook دریافت مى شود. در بسته Microsoft office به همراه چندین برنامه مفید دیگر مانند word ، excel ، access، .... نیز دریافت شده است
ویروس كامپیوتری چیست؟
ویروس كامپیوتر برنامهای است كه میتواند نسخههای قابل اجرایی از خود را در برنامههای دیگر قرار دهد. هر برنامه آلوده میتواند به نوبه خود نسخههای دیگری از ویروس را در برنامههای دیگر قرار دهد. برنامهای را باید برنامه ویروس نامید كه همگی ویژگیهای زیر را داشته باشد:
1) تغییر دادن نرم افزارهایی كه به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی از برنامه ویروس به این برنامههای دیگر
2) قابلیت انجام تغییر در بعضی از برنامهها.
3) قابلیت تشخیص اینكه یك برنامه قبلاً تغییر داده شده است یا خیر.
4) قابلیت جلوگیری از تغییر بیشتر یك برنامه در صورتی كه معلوم شود قبلاً توسط ویروس تغییر داده شده است.
5) نرم افزارهای تغییر داده شده ویژگیهای 1 الی 4 را به خود میگیرند. اگر برنامهای فاقد یك یا چند خاصیت از خواص فوق باشد، آنرا نمیتوان به طور قاطع ویروس تلقی كرد
آشنایی با انواع مختلف برنامههای مخرب
E-mail virus
ویروسهایی كه از طریق E-mail وارد سیستم میشوند معمولاً به صورت مخفیانه درون یك فایل ضمیمه شده كه میتواند در قالب یك صفحه با فرمت HTML و یا یك فایل قابل اجرای برنامهای (یك فایل كد شده قابل اجرا) و یا یك word document باشد كه با باز كردن آنها فعال میشوند.
شما فقط با خواندن یك متن سادة پیغام یك e-mail و یا استفاده از netpost ویروسی دریافت نخواهید كرد. بلكه چیزی كه باید مراقب آن بود پیغامهای رمز شدة حاوی كدهای اجرائی قرار داده شده درآنها و یا پیغامی كه حاوی فایل اجرائی ضمیمه شده (یك فایل برنامهای كد شده و یا یك word document كه حاوی ماكروهایی باشد) است. از این رو برای به كار افتادن یك ویروس و یا یك برنامه اسب تروا كامپیوتر مجبور است بعضی كدها را اجرا نماید كه این كد میتواند یك برنامه ضمیمه شده به یك e-mail و یا یك word document دانلود شده از اینترنت و یا حتی مواردی از روی یك فلاپی دیسك باشد
Marco virus
این نوع ویروسها معمولاً در داخل فایلهایی كه حاوی صفحات متنی (word document) نظیر فایلهای برنامههای Ms office مانند microsoft word و Excel هستند به شكل ماكرو قرار دارند.
توضیح ماكرو: نرم افزارهایی مانند microsoft word و Excel این توانایی را به كاربر میدهند كه در صفحه متن خود ماكرویی را ایجاد نموده كه این ماكرو میتواند حاوی یكسری دستور العملها، عملیاتها و یا keystrok ها باشد كه تماماً توسط خود كاربر تعیین میشوند.
ماكرو ویروسها معمولاً طوری تنظیم شدهاند كه خود را به راحتی در همه صفحات متنی ساخته شده با همان نرم افزار (Excel , ms word) جای میدهند.
اسب تروآ:
سابقه انگیزة این نوع برنامه حداقل به اندازه خود اسب تروآی اصلی است. عملكرد این نوع برنامهها هم ساده و هم خطرناك است.
در حالیكه كاربر با تصاویر گرافیكی زیبا و شاید همراه با موسیقی مسحور گردانده شده است، برنامه بدون متوجه شدن كاربر عملیات مخرب خود را انجام میدهد.
برای مثال شما به خیال خودتان یك بازی جدید و مهیجی را از اینترنت Download كردهاید ولی وقتی آنرا اجرا میكنید متوجه خواهید شد نه تنها بازیای در كار نیست بلكه ناگهان متوجه خواهید شد تمام فایلهای روی هارد دیسك شما پاك شده و یا به طور كلی فرمت گردیده است.
كرمها (worm)
برنامه كرم برنامهای است كه با كپی كردن خود تولید مثل میكند. تفاوت اساسی میان كرم و ویروس این است كه كرمها برای تولید مثل نیاز به برنامة میزبان ندارند. كرمها بدون استفاده از یك برنامة حامل به تمامی سطوح سیستم كامپیوتری «خزیده» و نفوذ میكنند.
کرم ها برنامه هایی هستند كه بدون آنكه برنامه های دیگر را آلوده كنند، تكثیر می یابند. بعضی از كرم ها از طریق كپی كردن خود از دسیكی به دیسك دیگر گسترش می یابند. آنها به دنبال نوع های خاصی از فایل ها در دیسك ها و سرویس دهنده ها2 می گردند و در صدد آسیب یا نابودی آنها بر می آیند. مثلاً می توان به پاك كردن Registry توسط آنها اشاره كرد. بعضی كرم ها در حافظه تكثیر می شوند و هزاران كپی از خود را به وجود می آورد و همه آنها به طور همزمان، شروع به فعالیت می كنند كه موجب پایین آمدن سرعت سیستم می شوند. نوع های مختلفی از كرم وجود دارد كه اینجا نمی توان به همه آنها پرداخت.
كرم ها نیز مانند اسب های تراوا ویروس نیستند ، بنابراین باید آنها را از كامپیوتر پاك كرد.
ویروسهای بوت سكتور و پارتیشن
Boot sector بخشی از هر دیسك سخت و فلاپی دیسك است كه هنگامی كه سیستم از روی آنها راهاندازی میشود به وسیله كامپیوتر خوانده میشود. Boot Sector یك دیسك سیستم شامل كدی است كه برای بار كردن فایلهای سیستم ضروری است. دیسكهایی كه شامل داده هستند و غیر سیستم میباشند. حاوی كدی هستند كه برای نمایش پیغامی مبنی بر اینكه كامپیوتر نمیتواند به وسیله آن راهاندازی شود، لازم است.
سكتور پارتیشن اولین بخشی از یك دیسك سخت است كه بعد از راهاندازی سیستم خوانده میشود. این سكتور شامل اطلاعاتی دربارة دیسك از قبیل تعداد سكتورها در هر پارتیشن و موقعیت همه پارتیشنها میباشد.
سكتور پارتیشن، همچنین ركورد اصلی راهاندازی یا Master Boot Record -MBR نیز نامیده میشود.
بسیاری ازكامپیوترها طوری پیكربندی شدهاند كه ابتدا از روی درایو: A راهاندازی شوند. (این قسمت در بخش Setup سیستم قابل تغییر و دسترسی است) اگر بوت سكتور یك فلاپی دیسك آلوده باشد، وقتی كه قصد دارید سیستم را از روی آن راهاندازی كنید، ویروس نیز اجرا میشود و دیسك سخت را آلوده میكند.
اگر حتی دیسك شما حاوی فایلهای سیستمی نباشد ولی آلوده به یك ویروس بوت سكتوری باشد اگر اشتباهاً دیسكت را درون فلاپی درایو قرار دهید و كامپیوتر را دوباره راهاندازی كنید پیغام زیر مشاهده میشود ولی ویروس بوت سكتوری پیش از این اجرا شده است و ممكن است كامپیوتر شما را نیز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready
كامپیوترهای بر پایه Intel در برابر ویروسهای Boot Sector و Partition Table آسیب پذیر هستند.
اینگونه ویروسها میتوانند هر كامپیوتری را صرف نظر از نوع سیستم عامل آن تا وقتی كه ویروس قبل از بالا آمدن سیستم اجرا گردد، آلوده كنند.
HOAX (گول زنكها)
این نوع ویروسها امروزه بازار داغی را دارند، پیغامهای فریب آمیزی كه كاربران اینترنت را گول زده و به كام خود میكشد. به ویژه وقتی كه كاربر بیچاره كمی هم احساسی باشد. این نوع ویروسها معمولاً به همراه یك نامه ضمیمه شده از طریق پست الكترونیك وارد سیستم میشوند. متن نامه مسلماً متن مشخصی نمیباشد و تا حدودی بستگی به روحیات شخصی نویسنده ویروس دارد، گاهی ممكن است تهدید آمیز و یا بالعكس محبت آمیز و یا میتواند هشداری مبنی بر شیوع یك ویروس جدید در اینترنت و یا درخواستی در قبال یك مبلغ قابل توجه و یا هر چیزی دیگری كه انسان را وسوسه كرده تا دست به عملی بزند را شامل شود. البته ناگفته نماند كه همه این نامهها اصل نمیباشند یعنی ممكن است پیغام شخص سازنده ویروس نباشد بلكه یك پیغام ویرایش شده و یا به طور كلی تغییر داده شده توسط یك كاربر معمولی و یا شخص دیگری باشد كه قبلا این نامهها را دریافت كرده و بدینوسیله ویروس را با پیغامی كاملاً جدید مجدداً ارسال میكند.
نحوه تغییر پیغام و ارسال مجدد آن بسیار ساده است و همین امر باعث گسترش سریع Hoaxها شده، با یك دستور Forward میتوان ویروس و متن تغییر داده شده را برای شخص دیگری ارسال كرد. اما خود ویروس چه شكلی دارد؟ ویروسی كه در پشت این پیغامهای فریب آمیز مخفی شده میتواند به صورت یك بمب منطقی و یا یك اسب تروا باشد و یا شاید یكی از فایلهای سیستمی ویندوز ما، شیوهای كه ویروس Magistre-A از آن استفاده میكند و خود را منتشر میكند
ویروسهای چند جزئی Multipartite virus
بعضی از ویروسها، تركیبی از تكنیكها را برای انتشار استفاده میكنند و فایلهای اجرائی، بوت سكتور و پارتیشن را آلوده میكنند. اینگونه ویروسها معمولاً تحت windows 9Xیا Win.Nt انتشار نمییابند
ویروسهاى فایل (File Viruses)
این دسته از ویروسها فایلهاى باینرى را آلوده مىسازند (فایلهاى اجرایى و كتابخانه اى پویا). ویروسهاى مذكور معمولا داراى پسوند هاى "sys، com، exe، یا dll " مىباشند.
ویروسهاى ماكرو (Macro Viruses):
ویروسهاى ماكرو فایلهاى اسنادى استفاده شده توسط "Ms Office" و سایر برنامه ها را آلوده ساخته دستورات ماكرو را پشتیبانى مىكنند (معمولا به زبان ویژوال بیسیك نوشته مىشوند).
تاریخچه ویروسهاى كامپیوتری
1949:
HOME
برای اولین بار تئوری برنامه هایی که خودشان را جایگزین می نمایند مطرح گردید.
1981:
ویروسهای Apple 1, Apple 2, Apple 3 از اولین ویروسهایی بودند که پا به عرصه عمومی نهادند. این ویروسها توسط کمپانی Texas A&M برای جلوگیری از کپی های غیر مجاز بازیهای کامپیوتری نوشته و سپس شایع شدند. این ویروسها ویژه سیستم عامل Apple II بودند.
1983:
فرد کوهن (Fred Cohen) زمانیکه بر روی رساله دکترایش کار می کرد رسما یک ویروس کامپیوتری را چنین تعریف نمود:
"یک برنامه کامپیوتری که می تواند روی سایر برنامه های کامپیوتری از طریق تغییر دادن آنها به روشی (شاید) مانند کپی کردن خودش بر روی آنها، تاثیر بگذارد."
1986:
دو برادر برنامه نویس پاکستانی به نامهای "بسیط" و "امجد" کد قابل اجرای موجود در بوت سکتور یک فلاپی دیسک را با کد خودشان (که برای آلوده نمودن فلاپی دیسکهای 360KB نوشته بودند) جایگزین کردند. تمام فلاپی های آلوده دارای برچسب " Brain© " بودند. بنابراین، این ویروس " Brain" یا "مغز پاکستانی" نام گرفت.
همزمان در کشور اتریش برنامه نویسی به نام رالف برگر "Ralf Burger" دریافت که یک برنامه می تواند از طریق چسباندن خودش به انتهای یک برنامه دیگر تکثیر شود، او با استفاده از این ایده برنامه ای به نام "Virdem" نوشت که پدیده فوق را شبیه سازی می نمود. پس از آن برگر "Virdem" را در کنفرانسی به همه معرفی نمود.
برگر همچنین کتابی درباره ویروسهای کامپیوتری نوشت و در آن سورس ویروسی به نام "Vienna" را چاپ کرد که این مساله بعدا باعث سو ء استفاده بسیاری از افراد گردید.
1987:
یک برنامه نویس آلمانی ویروسی به نام "Cascade" نوشت. این ویروس، اولین ویروسی بود که روش رمز کردن (Encryption) را به کار می برد. در این روش بیشتر کد ویروس به غیر از چند بایت از آن به صورت رمز شده در می آید و از آن چند بایت بعدآ برای رمز گشایی بقیه کد ویروس استفاده می شود. در این صورت تشخیص ویروس برای آنتی ویروسها بسیار مشکلتر می باشد و دیگر رشته تشخیص ویروس (که در آنتی ویروسها به کار می رود) به چند بایت محدود نمی شود.
بعدها برنامه نویسی به نام مارک واشبرن "Mark Washburn" با استفاده از این ایده و سورس ویروس "Vienna" اولین ویروس هزار چهره (Polymorphic) به نام "1260" را نوشت.
1988:
ویروس "Jerusalem" منتشر شد و به یکی از شایع ترین ویروسها تبدیل گشت. این ویروس در روزهای جمعه ای که مصادف با سیزدهم هر ماه بودند فعال می شد و ضمن آلوده نمودن فایلهای Com و Exe، هر برنامه ای که در آن روز اجرا می شد را نیز پاک می نمود.
1989:
در ماه مارچ مهمترین موضوع ویروسی، خبری بود که حکایت از فعال شدن ویروسی به نام "Datacrime" در ماه آوریل داشت. اما پس از بررسی سورس کد ویروس معلوم شد که این ویروس در هر تاریخی پس از روز سیزدهم اکتبر فعال شده و اقدام به فورمت کردن سیلندر صفر هارد دیسک که محل استقرار جدول FAT است، می نماید. بدین ترتیب کاربران تمامی محتوای هارد دیسک شان را از دست می دهند. ویروس "Datacrime" به احتمال زیاد در کشور هلند نوشته شده بود ولی آمریکایی ها اسم آنرا ویروس "Columbus Day" گذاشتند و اعتقاد داشتند که توسط تروریستهای نروژی نوشته شده است. اما این ویروس علی رغم سر و صدای زیادش، خسارتهای چندانی به بار نیاورد. در این سال همچنین ویروس نویسان بلغاری و روسی وارد عرصه ویروس نویسی شدند.
1990:
مارک واشبرن "Mark Washburn" ابتدا ویروس هزار چهره "1260" و سپس بر همان اساس ویروسهای "V2P1"، "V2P2" و "V2P6"را نوشت و سورس کد آنها را منتشر نمود، هر چند که بعدا ویروس نویسان این کد ها را به کار نبردند و حتی این ویروسها خطر چندانی هم نداشتند ولی ایده موجود در آنها الهام بخش بسیاری از ویروس نویسان شد.
از طرف دیگر در بلغارستان ویروس نویس ماهری با نام مستعار "Dark Avenger" چند ویروس خطرناک به نام های
"Dark Avenger-1800"، "Number of the Beast" و "Nomenklatura" را نوشت. ویروسهای وی دارای دو ویژگی مهم "آلوده سازی سریع" و "صدمه زدن زیرکانه" بودند. "Dark Avenger" بصورت فعالانه ای از طریق آلوده نمودن برنامه های Shareware و ارسال آنها به BBS ها اقدام به پخش ویروسهایش نیز می نمود. در این سال برای اولین بار در بلغارستانBBS هایی برای داد و ستد ویروسها به وجود آمد، همچنین در این سال کمپانی Symantec نیز آنتی ویروس Norton را به بازار عرضه نمود.
1991:
سر و کله ویروس "Tequila" از کشور سوئیس پیدا شد. این ویروس، ویروس هزار چهره کاملتری بود که پا به عرصه عمومی گذاشت و بسیار شایع شد. پس از آن نوبت انتشار ویروس هزار چهره دیگری به نام "Amoeba" از کشور مالت رسید. تشخیص ویروسهای هزار چهره به دلیل اینکه پس از هر بار آلوده سازی ظاهرشان را تغییر می دهند، برای اسکنرهای ویروس بسیار سخت تر می باشد.
"Dark Avenger" هم در انتهای این سال موتور خود تغییر دهنده "MtE" را ابداع کرد که می توانست چهار میلیارد شکل مختلف به خود بگیرد و با پیوند زدن آن به هر ویروسی، یک ویروس کاملا چند شکلی پدید می آمد. وی سپس با استفاده از MtE ویروسهای "Dedicated" و "Commander Bomber" را به دو سبک کاملا متفاوت نوشت.
1992:
تعداد ویروسها به هزار و سیصد عدد رسید که در مقایسه با ماه دسامبر سال 1990 چهارصد و بیست درصد افزایش یافته بود. همچنین در این سال پیش بینی شد که خطر ناشی از انتشار ویروس "میکل آنژ" پنج میلیون کامپیوتر را تهدید به نابودی خواهد کرد، که البته این رقم در عمل به بیش از ده هزار تا نرسید. علاوه بر اینها ویروس هزار چهره جدیدی با نام "Starship" پا به میدان نهاد، نرم افزارهای تولید ویروس توسط دو ویروس نویس با نامهای مستعار "Nowhere Man" و "Dark Angel" نوشته شدند و در انگلستان نیز گروه ویروس نویسی "ARCV" تأسیس شد.
:1993 - 1994
گروه ویروس نویسی جدیدی به نام "Tridend" در کشور هلند فعالیت خود را آغاز نمود و موتور جدیدی به نام "TPE" را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ویروسهای "Girafe"، "Cruncher" و "Bosnia" را نوشتند. در آمریکا هم "Dark Angel" به کمک موتور ابداعی اش موسوم به "DAME" ویروس "Trigger" رانوشت.
:1995
"Concept" اولین ویروس ماکرو، نوشته شد. این ویروس اسناد نرم افزار Microsoft Word را مورد حمله قرار می داد.
1996:
در استرالیا گروهی از ویروس نویسان به نام "VLAD" اولین ویروس ویژه سیستم عامل ویندوز موسوم به "Boza" و همچنین اولین ویروس سیستم عامل لینوکس موسوم به "Staog" را نوشتند. علاوه بر اینها اولین ویروس ماکروی نرم افزار Microsoft Excel به نام "Laroux" نیز در این سال نوشته شد.
1998:
ویروس "Strange Brew"، اولین ویروسی که فایل های جاوا را آلوده می کرد، نوشته شد. این ویروس با کپی کردن خودش در میان کد فایل های Class و عوض نمودن نقطه شروع اجرای این فایلها با نقطه شروع کد ویروسی اقدام به تغییر دادن فایلهای Class می نمود. همچنین "Back Orifice" اولین اسب تروایی که امکان دسترسی از راه دور به سایر سیستمها را در اینترنت فراهم می نمود، نوشته شد و کم کم مقدمات ظهور ویروسهای ماکروی نرم افزار Microsoft Access نیز فراهم می گردید.
1999:
ویروس "ملیسا" از طریق اجرا نمودن ماکرویی که در اسناد ضمیمه شده به نامه های الکترونیکی موجود بود، صدمه زدن به سیستمها را آغاز نمود. این ویروس همچنین برای گسترش خود از دفترچه آدرس نرم افزار Outlook استفاده می کرد و ضمیمه های آلوده را برای 50 نفر دیگر ارسال می نمود. ویروس "ملیسا" سریعتر از تمامی ویروسهای قبلی منتشر گردید. در این سال همچنین ویروس "Corner" اولین ویروسی که می توانست فایلهای برنامه MS Project را آلوده سازد، نیز نوشته شد. علاوه بر این، نوآوری های دیگری هم در دنیای ویروس نویسان صورت گرفت که از بین آنها می توان به نوشته شدن ویروس "Tristate" که اولین ویروس ماکروی چند برنامه ای بود و می توانست فایلهای سه برنامه از برنامه های مایکروسافت (ورد، اکسل و پاور پوینت) را آلوده کند و همچنین نوشته شدن کرم "Bubbleboy" اشاره نمود. این کرم هم اولین کرمی بود که وقتی کاربر نامه ساده و بدون ضمیمه ای را در نرم افزار Outlook Express باز و یا آنرا پری ویو می نمود، فعال می گردید. حتی بدون اینکه ضمیمه ای به همراه نامه باشد، این کرم برای اثبات یک روش جدید نوشته شده بود و بعدآ ویروس "Kak" از این روش بهره گرفت و به صورت گسترده ای شایع شد.
2000:
ویروس "I Love You" درست مانند ویروس "ملیسا" بوسیله نرم افزار Outlook در سراسر دنیا پخش گردید. اما این ویروس از نوع اسکریپت ویژوال بیسیک بود که به صورت ضمیمه نامه الکترونیکی ارسال می شد.
ویروس "I Love You" فایلهای کاربر را پاک می کرد و حتی به برخی از فایلهای تصویری و موسیقی نیز رحم نمی کرد.
علاوه بر این، ویروس اسم کاربر و رمز عبور وی را می دزدید و برای نویسنده اش می فرستاد.
در این سال همچنین ویروسهای "Resume" (که شبیه ویروس "ملیسا" بود) و "Stages" (که از روش پسوند دروغین بهره می گرفت) نیز ظهور کردند. در ماه ژوئن این سال و در کشور اسپانیا کرم "Timofonica" از نوع اسکریپت ویژوال بیسیک اولین حمله به سیستمهای مخابراتی را آغاز نمود و در ماه نوامبر نیز اولین ویروس نوشته شده به زبان PHP ظاهر شد، این ویروس که "Pirus" نام گرفت خودش را به فایلهای PHP و HTML اضافه می نمود.
2001:
ویروس "Anna Kournikova" در پوشش تصویر ستاره تنیس، "آنا کورنیکووا"و با روش انتشاری مشابه ویروسهای "ملیسا" و "I Love You" ظاهر شد. در ماه می این سال هم ویروس "Home Page" به حدود ده هزار نفر از کاربران نرم افزارOutlook آسیب رساند. در ماه جولای و آگوست نیز کرمهای "Code Red I" و "Code Red II" به شبکه های کامپیوتری حمله نمودند.
تعداد کامپیوتر های آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سیستمها بالغ بر دو میلیارد دلار برآورد گردید.
حادثه مهم دیگری که در این سال به وقوع پیوست نوشته شدن ویروس "Winux" یا "Lindose" در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابلیت آلوده سازی هر دو سیستم عامل ویندوز و لینوکس را با هم داشت.
در این سال همچنین ویروس "LogoLogic-A" (اولین کرم اسکریپتی اپل) و ویروس "PeachyPDF-A" (اولین ویروسی که برای پخش شدن از نرم افزار کمپانی Adobe ویژه فایلهای PDF استفاده می کرد) نیز پا به عرصه حیات گذاشتند ولی بدون شک اهمیت هیچیک از این ویروسها به اندازه کرم "Nimda" نبود، این کرم که در ماه سپتامبر ظاهر شد از تکنیکهای برتر سایر ویروسهای مهم به صورت همزمان استفاده می نمود بنابراین توانست تا بسیار سریع گسترش یابد.
از ویروسهای خطرناک و خبرساز دیگر این سال نیز می توان به ویروسهای "Sircam" و "BadTrans" اشاره کرد.
2002:
ابتدا در ماه ژانویه شاهد ظهور اولین ویروس آلوده کننده فایلهای با پسوند SWF بودیم که "LFM-926" نام داشت.
این ویروس یک اسکریپت دیباگ (که می توانست یک فایل COM ساخته و بوسیله آن سایر فایلهای با پسوند SWF را آلوده نماید) رها می کرد. پس از آن کرم "Donut" به عنوان اولین کرمی که به سرویسهای .NET توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولین کرمی که مختص سرویسهای .NET بود وارد عرصه شد این کرم توسط یک دختر جوان بلژیکی با نام مستعار Gigabite و به زبان #C نوشته شد. در ماه می این سال نیز "Benjamin" ظاهر شد این ویروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده می نمود.
در ماه ژوئن ویروس "Perrun" برای اثبات فرضیه "امکان آلوده سازی فایلهای تصویری با پسوند JPEG توسط ویروسها" ، نوشته شد که این مسئله تا قبل از این غیر ممکن می نمود. در این ماه کرم "Scalper" که وب سرورهای Apache را مورد حمله قرار می داد و از آنها برای طغیان شبکه سو استفاده می کرد نیز شناسایی گردید.
گسترش ویروس Avril
ویروس آوریل در حال شایع شدن می باشد این کرم رایانه ای که با نام های متفاوتی نظیر Avril , Lirva , Naith شناخته می شود در آمریکا و کشور های چون آلمان ، سوئد و فرانسه گسترش زیادی پیدا کرد این ویروس نرم افزار های فایروال وضد ویروس های رایانه مبتلا را از کار انداخته و بصورت خودکار خود را به آدرس های الکترونیک موجود بر روی رایانه آلوده شده ارسال می نماید .
ویروس آوریل در صورت اجرا خود را در چندین پوشه سیستم عامل ویندوز کپی نموده و در رجیستری ثبت می نماید تا به صورت خودکار پس از هر بار راه اندازی سیستم اجرا شود
W32.Blaster.Worm
هدف اصلی این كرم اینترنتی ضربه زدن به مایكروسافت و سایت اینترنتی Windowsupdate.comاین كمپانی می باشد . نویسنده این كرم با این عمل می خواهد برای كاربرانی كه می خواهند سیستم عامل ویندوز خود را از این طریق در برابر هجوم این كرم محافظت كنند مشكل ایجاد نماید . این كرم حاوی رشته پیغام زیر در كدهای خود می باشد :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته این پیغام در نسخه دیگر و جدیدتر این كرم (W32/Blaster-B) تغییر كرده است .
كرم Blaster از طریق ایمیل گسترش پیدا نمی كند ، این كرم از طریق یافتن نسخه های آسیب پذیر ویندوز گسترش می یابد و این كار را از طریق سرویس (Remote Procedure Call) RPC ویندوز انجام می دهد . بنابراین برنامه های محافظ ایمیل قادر به شناسایی این كرم نیستند .
شركتها و مدیران شبكه ها می بایست تكه نرم افزارهای محافظ مخصوص این كرم را از روی سایت مایكروسافت دریافت و نیز از صحیح نصب شدن Firewall ها بروی سیستمها و سرورهای خود اطمینان حاصل كرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نكنند .
تمهیداتی برای مدیران شبكه ها
مدیران شبكه (Adminstrators) برای مقابله با نفوذ این كرم به درون سیستمها و خنثی كردن آن بهتر است به گونه زیر عمل كنند :
- در اولین قدم بهتر است اگر آنتی ویروسی بروی سیستم خود ندارید یك آنتی ویروس مناسب از یكی از سایتهای مشهور و مورد اطمینان مانند Symantec و یا Mcafee را بروی سیستمهای خود نصب نمایید و یا اگر آنتی ویروس بروی سیستمها موجود است آنها را update نمائید .
- در قدم بعدی patch موجود در سایت
مایكروسافت را بروی تك تك سیستمها و سرورها دریافت و نصب كنید ، این patch عملیات Blaster را خنثی می كند .
- در قدم بعدی از آنجا كه Blaster از فایل Tftp.exe كه یكی از فایلهای برنامه ای ویندوز بشمار می رود برای رسیدن به مقاصد خود استفاده می كند ، اگر این فایل بروی سیستمهای شبكه موجود است و زیاد از آن استفاده نمی كنید بهتر است ترجیجاً آنرا تغییر نام بدهید ، مثلاً به Tftp-exe.old . فراموش نكنید كه آنرا نباید پاك كرد ، ممكن است در آینده نرم افزارهای ما به آن احتیاج پیدا كنند .
- در قدم آخر توصیه می شود حتی الامكان ترافیك موجود در پورت های زیر را در نرم افزار Firewall خود مسدود نمائید .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect
شرح و بررسی W32/Blaster-A
نامهای مستعار :
W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A
نوع :
win32 worm
W32/Blaster-A كرمی است كه از طریق اینترنت و با استفاده از خطای آسیب پذیری DCOM موجود در سرویس (Remote Procedure Call) RPC سیستم عاملهای ویندوز كه این خطا برای اولین بار توسط خود كمپانی مایكروسافت در اواسط ماه جولای 2003 فاش شد ، منتشر می شود . لازم به ذكر است این كرم برخلاف اغلب كرمهای دیگر از طریق ایمیل گسترش نمی یابد .
سیستم عاملهایی كه در معرض هجوم این كرم می باشند بشرح زیر هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه های ویندوز xp آلوده شده به این كرم ، باعث می شود بطور متوالی سرویس RPC متوقف شود و پیغامی مبنی بر خاموش شدن سیستم ظاهر شود “ System ShutDown" و بعد از حدود یك دقیقه سیستم حاوی ویندوز xp ، Reboot می شود .
ویندوزهای 95 ، 98 ، ME كه از سرویس RPC استفاده نمی كنند از این بابت در خطر نیستند .
در مسیر یافتن سیستمهای آسیب پذیر ، كرم سیستم راه دور (كامپیوتر آسیب پذیر) را وادار به دریافت فایلی از طریق پروتكل دریافت فایل TFTP با عنوان msblast.exe ویا penis32.exe می نماید .
این فایل در شاخه ویندوز كپی می شود .
همچنین دستور زیر را در مسیر زیر واقع در رجیستری ویندوز اظافه می كند :
Code:
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe"
و نیز رشته كاراكتر زیر در كدهای این ویروس دیده شده كه البته واضح نیست :
Code:
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software
حذف کرم W32.Blaster.Worm
اثرات W32.Blaster.Worm
این کرم بسیار پیشرفته باعث می شود تا سیستم شما تنها پس از گذشت 60 ثانیه از اتصال به اینترنت ، خاموش شود .
برای پاک سازی دستگاه خود مراحل زیر را بترتیب اجرا نمایید :
1- فایل اصلاحیه MS03-026 Patch را از سایت مایکروسافت دریافت نمایید (لینک در یافت این فایل در زیر قرار دارد)
2- پس از نصب این اصلاحیه ، سیستم خود را ریست کنید .
3- بعد از بالا آمدن سیستم فایل FIXBLAST.exe را دریافت و اجرا کرده ، این فایل فعالیت کرم (MSBLAST.exe) را متوقف نموده و باعث می شود کدهای ریجستری که توسط آن در ویندوز وارد شده اند حذف گردند .
4- مجدداً و برای آخرین بار سیستم خود را ریست نمایید .
5- به سایت WindowsUpdate.com مراجعه کنید تا در صورت لزوم آخرین به روز رسانی ها برای حذف این کرم بصورت خودکار برای شما صورت گیرد .
توجه :
اگر شرایط به گونه ای باشد که سیستم شما قبل از دریافت این فایلها خاموش شود ، دکمه start و سپس run را کلیک نموده و در کادر مربوط عبارت shutdown -a را تایپ نمایید . این روش باعث می شود فرایند خاموش شدن دستگاه شما متوقف شود .
Windows 2000 Patchدریافت
Windows XP Patch دریافت:
FixBlast - W32.Blaster.Worm Removal Tool دریافت
كرم براید آهسته درون رایانه تان می خزد
براساس گزارشات منتشره كرم رایانه ای موسوم به Braid.َW32 ازطریق ایمیل وارد رایانه ها شده و بصورت آهسته درون آنها می خزد. هرچند این كرم از خانواده Klez به شمار می رود اما انتشار اولیه آن نشان می دهد كه نمی توانند مانند اجداد خود بسیار سریع رایانه ها را آلوده كند. نام دیگر كرم برید است كه روی ویندوز ازطریق IE نسخه 5و 1/5 و وارد شده و نسخه های بالاتر و نیز سیستم هایی كه سرویس پك 2 را نصب كرده باشند از این كرم در امان هستند. نكته خطرناك این كه با ورود ویروس این كرم سعی می كند روی سایر برنامه ها اثر گذاشته و آنها را نیز مبتلا سازد
شیوع ویروس كاموفلائو
ویروس جدید كاموفلائو كه شیوع آن از اسپانیا آغاز شده است ، رایانه كاربران اینترنتی را تهدید می كند. به گزارش خبرنگار واحد مركزی خبر، به نقل از یك پایگاه اینترنتی ، شركت نرم افزاری پاندا اعلام كرد این ویروس جدید كه نخستین بار درچهاردهم فروردین (سوم آوریل) دیده شده است از نوع تروا است و هدف آن بازكردن راه هكرها به رایانه كاربران است . این ویروس روی سیستم عامل ویندوز xp عمل می كند و اثر آن شامل نمایش كلمه عبور كاربران پیغام رسان msn و پاك كردن فایلهایی از دایركتوری اصلی دیسك سخت است . ویروس كاموفلائو دارای سه قسمت است كه یكی مخصوص نصب روی رایانه هكراست ، دیگری فایل اصلی است كه رایانه میزبان را سرور می كند وقسمت سوم شكل دهنده مشخصه های فایل سرور است . این ویروس در حال اجرا شدن نوعی بازی را روی صفحه، نمایش می
شیوع نسخه جنگی ویروس اینترنتی گاندا
جام جم آنلاین - كرم جدیدی موسوم به گاندا با پیامهایی مربوط به جنگ آمریكا و عراق به سرعت روی اینترنت پخش شد. نویسنده این كرم كه خود را عمو راجر ملقب ساخته و ظاهرا در اعتراض به سیستم آموزشی سوئد دست به چنین كاری زده با سوءاستفاده از اخبار جنگ ضمیمه آلوده ای را به آتلوك مایكروسافت چسباند و آنرا برای كاربران اینترنت ارسال كرد . گراهام كلولی مشاور ارشد در شركت ضد ویروس سوپوس ضمن بیان این مطلب افزود این ضمیمه در ویژوال بیسیك نوشته شده و با موضوعاتی مانند عكسهای جاسوسی از تاسیسات عراق و اخبار مربوط به جنگ كاربران را فریب می دهد و وقتی آنها ضمیمه راكه به صورت اسكرین سیور یا فایل اجرایی است باز كنند ; بلافاصله سیستم آلوده شده و برنامه های ضد ویروس هم از كار می افتد . بدلیل علاقمندی كاربران نسبت به دنبال كردن اخبار جنگ ; گراهام هشدار داد كه از باز كردن هر گونه ضمیمه مشكوك درباره اخبار جنگ خودداری كنند تا از خطرات آن در امان بمانند. گرفتن
Blaster چهره دیگر “GrayBird” اسب تروآ
آزمایشگاه تحقیقاتی sophos چند روز قبل برروی وب سایت اختصاصی خود اعلام كرد كه نرم افزار آنتی ویروس خود را بار دیگر update نمود ، چرا كه متخصصان این مركز به یك نوع نرم افزار مخرب اسب تروآ جدید با نام “Graybird” Trojan برخورد نموده اند .
این اسب تروآ جدید كه به منظور بدنام كردن مایكروسافت و شاید جوابی علیه تمهیدات این كمپانی در مبارزه با كرم جدید Blaster بصورت عمدی بوجود آمده است كه در قالب یك patch نرم افزاری محافظ علیه Blaster ، مربوط به كمپانی مایكروسافت خود را ارسال می كند .
این مركز به كاربران توصیه می كند به هیچ عنوان patch های محافظتی ( Security patch) را كه از طریق ایمیل برای آنها ارسال می شود ، باز نكنید ، حتی از منابع شناخته شده و مشهور باشد .
صحیح ترین و قابل اطمینان ترین محل برای دریافت patch های محافظ ، وب سایت اختصاصی كمپانی ها و فروشنده های مربوطه می باشد . همچنین از عمل كردن و یا Forward كردن پیغامهای مشكوكی كه به هر شكلی رویدادها و پیشامدهایی را شرح و تفصیل می كنند و به خیال خود ممكن است مفید واقع گردد ، به همكاران و دوستان خود پرهیز كنید .
Graybird در قالب یك patch نرم افزاری متعلق به مایكروسافت می باشد و فقط یك حقه گمراه كننده است برای نفوذ كرم Blaster .
به گفته یكی از متخصصان این مركز Blaster فقط و فقط یك باور و توهّم خیالی است كه با نفوذ به صدها و هزاران سیستم در سراسر دنیا تلاش می كند تا كاربران را به ترس و وحشت گرفتار كند .
هیچوقت كدهای اجرائئ ارسال شده توسط ایمیل را باز نكنید
ویروس جدید نفت عراق
یک کرم شبکه موسوم به «نفت عراق» به آرامی از طریق سیستم عامل ویندوز NT، 2000 و xp روی اینترنت منتشر شده است .به گفته شرکت F-Secure نام اصلی کرم Lioten است اما نام دیگر Iraq Oil را نیز دارد که برخلاف سایر ویروس ها که از طریق ایمیل تکثیر می شوند، این ویروس از راه پوشه های مشترک روی شبکه بسرعت منتشر می شود و ماشین کاربر نسخه Home و نسخه تجاری را آلوده می کنند. از نظر سطح خطر نیز این ویروس در حد متوسط گزارش شده و تاکنون رایانه های کمی را آلوده کرده است . برای از میان بردن آن ، شرکت F-Secure پادزهر آن را روی سایت گذاشته و به کاربران توصیه کرده است که آن را نصب کنند؛ اما ماشین هایی که سر راهشان فایروال وجود دارد از کرم مصون هستند. برای در امان ماندن ، می توان پورت 445 را بلوکه کرد تا ویروس در شبکه پخش نشود. این ویروس به شکل تصادفی Host خود را انتخاب کرده ، تلاش می کند از طریق یک Ip خود را روی اینترنت برساند و کنار آن از پروتکل SMB روی ویندوز که فایل ها را به اشتراک می گذارد نیز سوءاستفاده می کند؛ بنابراین منتظر پاسخ از سوی سرور می شود تا سیستم عامل را بشکند و accountها را نیز روی شبکه به سرقت ببرد و با شبیه سازی کلمه های Admin و Root به کلمه های عبور دسترسی یابد
- Klezكرمی كه هرگز نمی میرد
خود را برای یك مبارزه دیگر آماده كنید !نوع دیگری از كرم كامپیوتری klez متولد شده است .یكی از انواع آزار دهنده كرم سمج klez در ششم جولای، دوباره جان گرفت و نامه های الكترونیكی آلوده را منتشر كرد .متخصصان ویروس می گویند كه احتمالا این ویروس همچنان سیستم ها را آلوده خواهد كرد، مگر اینكه برای متوقف كردن آن كاری انجام شود .
كرم klez تقریبا از هفت ماه گذشته تاكنون در وب میلولد و به این ترتیب سمجترین ویروسی است كه تا به حال متولد شده است .این كرم، انرژی عجیبی دارد و با تداومی مخاطره آمیز تولید مثل میكند .كرم klez از سایر پیشینیان` خود مصرتر است .شركت امنیتی MessageLabs در انگلیس، تخمین میزند كه از هر 200 پیام الكترونیكی، حداقل یكی از آنها حاوی نوعی ویروس klez است .شركتهای سیمانتك و مكآفی، دو شركت بزرگ تولید كننده نرم افزارهای ضدویروس، هنوز روزانه 2000 گزارش از موارد آلودگی به این ویروس را دریافت می كنند .شركت MessageLabs پیشبینی می كند كه ویروس klez به زودی به عنوان زاینده ترین ویروس، شناخته شده و از ویروس SirCam كه تابستان سال گذشته منتشر شد، سبقت خواهد گرفت .
ویژگیهای منحصر به فردklez
klezچند ویژگی آزاردهنده دارد كه ممكن است در آینده بین ویروس های اینترنتی، عمومی شوند .در وهله اول، خطر این ویروس مركب است، چون نرم افزار آن خود را مانند ویروس تكثیر كرده و گاه مانند یك كرم كامپیوتری یا اسب تروا عمل می كند .
ویروس klez خود را به آدرس هایی كه از كتاب آدرس به سرقت برده، پست می كند، اما در عین حال می تواند در یك هارددیسك آلوده، به جستجوی آدرس های موجود در Cache مرورگر وب یا در بین فایل های موقتی بپردازد .ویروس klez همچنین آدرس بازگشت خود را از همان منابع تهیه میكند و همین امر موجب دشواری ردیابی آن می شود .ساختار این ویروس نشان می دهد كسانی كه برنامههای ویروس را می نویسند به فرزندان مخلوقات خود آموخته اند تا زیركتر باشند .دسترسی به آدرسها با روانشناسی كاربران ارتباط دارد .كاربران باید روی ضمیمه های فایلی كه ویروس را آزاد می سازد، كلیك كنند تا آن را به سایر سیستم ها انتشار دهند .اما klez فقط یك ویروس مزاحم نیست و كارشناسان ویروس هنوز نمیدانند این ویروس توسط كدام نفوذگر فعال شده است .
به گفته یكی از كارشناسان ویروس، ماهیت ویروسها به شكلی است كه هویت تولید كنندگان خود را مخفی نگاه می دارند .ما فقط در صورتی كه ارسال كننده ویروس، مسوولیت ارسال آن را قبول كند، می توانیم به منشاء ویروس و اینكه آیا ارسال آن عمدی بوده است یا خیر و یا به دلیل اصلی انتشار آن، پی ببریم .
روش كارklez
ویروس هایی كه خطرات مركب دارند، به روشهای گوناگون، سیستم هارا آلوده كرده و برای سوءاستفاده از آسیب پذیریهای شبكه، از تكنیكهای مختلفی استفاده می كنند .در این رابطه ارتقای دائمی نرمافزار ضد ویروس كافی نیست .كاربرانی كه به طور مرتب برنامه های ترمیمی (Patch) امنیتی را نصب می كنند، برای دفاع از كامپیوترهای خود در مقابل كرمهایی كه از نقطه ضعفهای شناخته شده ویندوز استفاده می كنند، مجهزتر هستند .از زمانی كه klez شناسایی شد، تولیدكنندگان نرم افزارهای ضدویروس، هفت نوع متفاوت از این ویروس را كشف كردهاند .این گونه ها، از بسیاری جهات به یكدیگر شبیه هستند و تنهاكمی متفاوت از یكدیگر عمل میكنند .برای مثال، بعضی از نسخه های اخیر این ویروس، حتی قادرند از طریق كپی كردن فایلهای آلوده در سرورها و هارددیسكهای به اشتراك گذاشته شده، به سایر كامپیوترهای شبكه حمله كنند .آخرین نوع شناخته شده از این ویروس،W32.klez.h@mm ، كرم دیگری را در بردارد كه اصطلاحا EIKern به معنی ویروس درون یك ویروس نامیده میشود و میتواند به قدری به سیستم عامل لطمه وارد كند كه هیچ نرمافزار ضد ویروسی قادر به مرمت آن نباشد .در برخی از موارد، كاربران ناگزیرند كل هارددیسك را فرمت كرده و ویندوز را دوباره نصب كنند تا این ویروس را از PC خود پاك كنند.
پژوهشگران، كدهای مضری چون klez را كرم كامپیوتری مینامند، چون این كدها میتوانند خود را به كامپیوتر شخصی قربانی بعدی انتقال دهند .اما ویروسها برای انتشار به كامپیوتر قربانیان دیگر، به برنامه های آسیب پذیر متكی هستند و اغلب از برنامه پست الكترونیك قربانیان استفاده می كنند .در سالهای اخیر Outlook Express پرطرفدارترین هدف نویسندگان ویروس بوده است، چون این برنامه همراه با ویندوزعرضه می شود و تقریبا در تمام كامپیوترهای شخصی نصب شده است .
klezمعمولا در صندوق نامه قربانیان از همه جا بیخبر به صورت ضمیمه فایل از راه می رسد و وقتی قربانی، دوبار روی ضمیمه كلیك می كند، ضیافت klez آغاز می شود .این كرم آدرسهای جدید بازگشت را به سرقت برده و خود را با دهها خط موضوع (Subject line) مختلف منتشر میكند .گاه ظاهر خود را به شكل ابزار نابود كننده klez در می آورد و گاه به طور تصادفی از فایل های موجود در هارددیسك قربانی، خط موضوعی را استخراج كرده و مورد استفاده قرار می دهد .
سارا گوردون كه دنیای اسرارآمیز نویسندگان ویروس را مطالعه می كند، می گوید: این نوع ترفندهای مهندسی اجتماعی بسیار موثرند .مردم نمیخواهند نامه های دوستان یا همكاران خود را بدون پاسخ بگذارند، بنابراین احساس می كنند كه باید ضمیمه ها را باز كنند، حتی اگر در این مورد به آنها هشدار داده شده باشد.
ردیابی klez غیرممكن است
متخصصان نرم افزارهای ضد ویروس اتفاق نظر دارند كه اولین بار، چین و آسیای جنوب شرقی، شیوع وسیع klez را تجربه كردند .اما این بدان معنی نیست كه خالق این ویروس در آسیا یا حتی در نیمكرهای كه این قاره در آن واقع است، زندگی می كند .
خانم گوردون می گوید: معمولا از متن درون یك ویروس یا حتی اولین محلی كه ویروس در آن مشاهده شده است نمیتوان به محل اصلی كه ویروس در آن نوشته و یا فعال شده است، پی برد.سایر متخصصان با وی موافق هستند و اعتراف میكنند سابقه آنها در ردیابی نویسندگان ویروس به هیچ وجه درخشان نبوده است .حتی اگر كارشناسان بتوانند كامپیوتری كه ویروس برای اولین بار در آن دیده شده، شناسایی كنند، فردی كه ویروس مورد نظر را فعال كرده، لزوما همان فردی نیست كه برنامه آن را نوشته است .
در نتیجه، چون این موجودات مزاحم اساسا خارج از كنترل هستند، كاربران PC باید همیشه آماده مواجهه با این موجودات باشند .داستان مایكل جیلسون، یك داستان كاملا عادی است .وقتی او از مجله PC World درخواست كمك كرد، سیل پیامهای الكترونیكی آلوده به ویروس klez به كامپیوتر او سرازیر شده بود.
جیلسون می گوید: من هر روز نرم افزار ضد ویروس خود را به روز می رسانم و درباره آلوده شدن نرم افزارهای خود زیاد نگران نیستم، اما این موقعیت بسیار كلافه كننده است و من میخواهم هر چه زودتر متوقف شود.
احتمالا klez راه كامپیوتر جیلسون را به این دلیل در پیش گرفته كه آدرس پست الكترونیك او در یكی از كتابهای آدرس موجود در یك یا چند كامپیوتر آلوده، وجود داشته است .متاسفانه تا زمانی كه تمام دوستان و آشنایان جیلسون با استفاده از ابزارklez Removal Tool ، هارددیسك آلوده خود را پاكسازی نكردند و ابزار ضدویروس جدید را نصب نكردند، klez همچنان در صندوق نامه جیلسون ظاهر میشد
لاوگیت در حال خزیدن روی اینترنت است
کرم رایانه ای به نام لاوگیت در 3نسخه A و B و C به صورت backdoor روی سرورها و رایانه های شخصی متصل به اینترنت افتاده است . ویروس مذکور از مهندسی SMTP سوءاستفاده کرده و مجموعه ای از فایل های DLL را از طریق پورت 1192 به صورت backdoor وارد سیستم می کند و اطلاعات شخصی را به آدرس ایمیل hacker117@163.com می فرستد. سپس با کپی کردن خود نسخه های اجرایی متعددی با پسوند exe مانند pic.exe ، Joke.exe و... می سازد و بر روی فایل های به اشتراک گذاشته شده ، خود را می اندازد. از اسم کاربر مهمان یا ادمین استفاده کرده و با پسوردهای تصادفی دسترسی به دایرکتوری system32 را مهیا می سازد و اطلاعات خود را درون پوشه ای به نام win32pwd.sys یا win32add.sys جمع آوری و ذخیره می سازد. در زیر شاخه command به آدرس زیر نیز خود را مانند بختک می اندازد:
Code:
HKEY-CLASSES-ROOT\txtfile\shell\open\command@=% "winsysdir%\winprc.exe"%1
مواظب هرگونه فایل ضمیمه با پسوند exe روی ایمیل باشید و بیخودی روی آن کلیک نکنید که بسیار خطرناک است . برای گرفتن اطلاعات بیشتر به آدرس زیر مراجعه کنید: www.F-secure.com
ویروس Worm-Lovgate.C
ویروس Worm-Lovgate.C از نوع كرمهای كامپیوتری است و در حال حاضر در اروپا، تایوان، استرالیا و ژاپن در حال گسترش است. این ویروس كپی خود را برای گسترش در شبكه، درشاخه ها (دایركتوری ها) و زیر شاخه هایی كه به صورت مشترك از آن استفاده می شود، قرار می دهد. علاوه بر آن حاوی برنامه Backdoorاست كه این برنامه شبكه مورد حمله قرار گرفته را برای كاربران متخلف - به اصطلاح هكرها - از راه دور باز می گذارد تا آنها بتوانند به آن كامپیوتر دست یافته و حمله كنند. این عمل از طریق پورت 10168 انجام می پذیرد. این ویروس در عصر حاضر، به خاطر اینكه اقدام به انجام یك تاكتیك مهندسی -اجتماعی می كند، از خطر فوق العاده ای برخوردار است. نحوه عملكرد این ویروس به گونه ای است كه به صورت آزاد و مستقل به ایمیل هایی كه در صندوق پستی (Inbox) كاربر مورد حمله قرار گرفته وجود دارند، پاسخ می دهد. پس از آن، اولین ارسال كننده ایمیل پاسخی را می گیرد كه دقیقاً استناد به ایمیل شخص فرستنده می كند، بدین صورت كه گیرنده نامه در قسمت موضوع (Sub) همان Sub خود را كه قبلاً فرستاده بود به صورت Forward دریافت می كند و در قسمت متن نوشته زیر را می خواند: ”Ill try to reply as soon as possible. Take a look at the attachment and send me your opinion!” ( من سعی می كنم مجدداً آن را برای شما فعال كنم. به پیوست نامه نگاه كنید و نظرتان را برای من بفرستید. ) از آنجا كه شخص گیرنده این روند را عادی تلقی می كند، به احتمال زیاد پیوست ایمیل را باز و با این كار اجازه ورود ویروس Worm-Lovgate.c را عملاً صادر می كند. این ویروس همه جا وجود دارد و به زبان انگلیسی نوشته شده است. Worm-Lovgate.c در Windows – Platlform تكثیر و گسترش پیدا می كند و حجمی معادل 78848 بایت دارد. این كرم می تواند در كامپیوتر مورد حمله قرار گرفته كپی هایی از خود در دایركتوری Windows/System قرار دهد. این فایلها ممكن است یكی از مشخصات زیر را در برداشته باشند:Repcsrv.exeیا WinPpcsrv.e,Syshelp.exe,Winrpc.exe,Wingate.exe سایت Zdnet اطلاعات جدیدی را در مورد ویروسها در اختیار كاربران می گذارد و قادر است فایلهای تا حجم 1 گیگا بایت را به صورت Live (همزمان) چك كند.
LOVAGE.C
تهران ـ یك كرم جدید اینترنتـی بـا قـدرت تخریبی فراوان در اینترنت پخش شده است. به گزارش واحد مركزی خبر , یك پایگاه اینترنتی , اعلام كرد: كرم جدیـدی بـه نـام LOVAGE.C كه در اروپا و آسیـا فعال شده به شبكه اینتـرنـت خسارت وارد كرده است . این كرم كه جانشین كرم دیگری با همین نام شده است , با پاسخ دادن به نـامه هـای الكترونیكی كه حـاوی ضمـیمه ای دارای كـد نامناسب است , تكثیر می شود. این كرم در ادامه یك پورت پنهان نصب می كند كه امكان دستیابی و تغییر فایلهای موجود روی سیستـم آسیـب دیده را فـراهـم می آورد
پلاکسو ، کرمی از نسل جدید ویروس ها
به ظاهر همه چیز عادی به نظر می رسد. کمپانی plaxo.com برای شما یک ایمیل می زند و از شما می خواهد با نصب آخرین برنامه این شرکت دفترچه آدرس الکترونیکی خود را در آتلوک به روز نمایید. شما به قسمت دانلود سایت رفته و پس از ذخیره آن شروع به نصب برنامه مورد نظر می کنید غافل از این که این برنامه مخرب و آلوده است و سیستم ها را مورد تهدید قرار می دهد. آنچه رخ داده شیوه جدید شیوع کرم های رایانه ای است . بدین صورت که ویروس نویس کرم خود را درون برنامه ای قانونی روی سایت مورد نظرش انداخته و یک برنامه معروف را آلوده می سازد و بدین صورت هر کاربر با نصب برنامه سیستم اش آلوده می شود. فرق بزرگی که این نوع ویروس با ویروس های عادی دارد این است که خودش را به صورت ضمیمه یا attach در آتلوک ظاهر نمی کنند بلکه روی یک سرور بظاهر قانونی نشسته و از آن طریق اجرا می شود
كرم پرستیژ، كشتی غرق شده تقلبی روی رایانه ها
شركت پاندا از كاربران خود در برابر كرم رایانه ای جدید به نام پرستیژ (ماخوذ از كشتی غرق شده در ساحل مرگ آبهای اسپانیا) حمایت می كند. كرم جدید با استفاده از یك مهندسی اجتماعی داخل یك ایمیل با موضوع «تصاویر كشتی غرق شده پرستیژ و مصیبت های محیط زیستی آن» بهره گرفته است و باعث می شود كاربر بلافاصله ضمیمه پیام به صورت Prestige.zip را باز كند و با فایل اجرایی prestige.exe روبه رو شود. وقتی روی آن كلیك شود از كاربر می خواهد با نصب برنامه تصاویر را ببیند و وقتی كاربر روی آن كلیك می كند یك پیام خطا ظاهر می شود و به آرامی و بدون اطلاع به كاربر، خود را روی دفترچه نشانی می اندازد و به تمامی نشانی ها ارسال شده ، از طریق محیط IRC نیز پخش می شود. بدتر از همه فایل اجرایی رجیستری را تغییر می دهد و به صورت m-regedit.exe درمی آورد و با اجرای رجیستری ، ویندوز را كاملا به هم می ریزد و سرانجام یك ورودی برای خود باز می كند تا با هر بار بوت شدن سیستم ، بالا بیاید و سیستم را دوباره تخریب كند. پاندا اعلام كرد كه هر چند این ویروس كاملا خطرناك نیست ، اما كاربران برای نابودی آن می توانند به سایت زیر مراجعه كرده ، آخرین ضدویروس را دانلود كنند: www.pandasoftware.com
نسخه اینترنتی ویروس سارس پیدا شد
ویروس نویسان با سوء استفاده از اخبار مربوط به ویروس كشنده سارس ، نسخه اینترنتی آن را روانه سرورها و شبكه های رایانه ای كردند. نام اصلی ویروس Coronex-A است كه در ایمیل ظاهر شده و به كاربران می گوید كه می توان با اطلاعات این فایل با ویروس سارس مبارزه كرد. بلافاصله پس از اجرا شدن فایل Virus.exe/Sars.exe ، Hongkong.exe دفترچه آدرس آتلوك به طور اتوماتیك ، ویروس را برای سایر كاربران می فرستد. در این هنگام ویروس سارس در 2 شاخه زیر نیز در رجیستری می نشیند: در شاخه C:MMy Downloads نیز می نشیند و از آنجا بروی شبكه نیز پخش می شود.
http://www.who.int/csr/don/2003_04_19/en
برای گرفتن اطلاعات بیشتر و نحوه پاك كردن ویروس به آدرس زیر مراجعه كنید
www.Sophos.com
SQL Slammerهجوم كرمهای رایانه ای و كرم جدید
4كرم ویندوز به نامهایLirva.A ،Explore Zip.E ، Lirve.B و جدیدترین آن یعنی Sobig حمله به شبكه ها و كامپیوترها را آغاز كرده اند .موسسه F-Secure در مورد تمامی این ویروسها هشدار سطح 2 اعلام كرده است. بدین معنی كه مدیران سیستم و كاربران نهایی باید از ایمنی سیستم خود اطمینان حاصل كنند Level2 .سطح2، از نظر اهمیت، دومین سطح هشدار موسسه F-Secure محسوب میشود) Lirva.A .با نام مستعار (ArviL به نامه های الكترونیكی حمله میكند و از طریق سیستمهای گفت وگوKazaa ، ICQ و IRC و همچنین درایوهای شبكه ویندوز و پوشه های اشتراكی خود را تكثیر میكند. این ویروس شامل كدی برای غیرفعال كردن ویروسیاب و برنامه های كاربردی امنیتی است علاوه بر آن كلمات عبور را نیز به سرقت می برد .گونه B آن، از كد دیگری برای فریب افراد استفاده میكند و شامل كدهای بیشتری برای از كار انداختن برخی برنامههای ویروسیاب است .عمر Explore Zip.E كوتاه بود اما نسخه اصلاح شده آن كه مجددا منتشر شده، قادر به از كار انداختن بسیاری از برنامه های ویروسیاب است. این كرم از طریق پست الكترونیكی و با افزودن یك پیوسته آلوده به نامه های خوانده نشده و پاسخ به آنها تكثیر می شود. در این میان، Sobig از پیوست نامهالكترونیكی PIF استفاده میكند و به اشخاص امكان میدهد دستگاههای آلوده را كنترل كنند. شركت panda software اعلام كرده است ویروس Sobig به سرعت از طریق نامه الكترونیكی و از آدرس big@boss.com و با عنوان Attached file منتشر میشود .در صورت انگلیسی بودن زبان سیستم عامل sobig از طریق درایوهای اشتراكی شبكه نیز تكثیر میشود .زمانی كه sobig كامپیوتری را آلوده میكند، پیامی به آدرس pagers.icq.com ارسال میكند و برای دریافت یك اسب تروا به اینترنت متصل میشود .میزان خطر این كرم، اندك است .اخیرا نیز كرم رایانهای <SQL Slammer> برنامه پروازها و دستگاههای خودپرداز را در آژانسهای هواپیمایی و بانكهای آمریكا مختل كرد .درحدی كه دسترسی به این كامپیوترها غیر ممكن بود .طبق اظهارات كارشناسان امنیتی اینترنت به نظر میرسد كه این كرم، خسارتهای جدی به بار نیاورده است. این كرم رایانه ای كه <SQL Slammer> نام گرفته است، اواخر ژانویه سال جاری با استفاده از آسیب پذیری نرم افزار SQL Server 2000 مایكروسافت كه شش ماه قبل كشف شده بود، حمله را آغاز كرد .مایكروسافت یك برنامه ترمیمی رایگان برای برطرف كردن این مشكل ارائه كرده است . كارشناسان معتقدند كه این حمله در18 ماه گذشته زیان بارترین حمله بوده است، زیرا طبق گزارش رویتر این حمله به طور گسترده، شبكه هایی را در آسیا، اروپا و آمریكا از كار انداخته است. مقامات بانك Bank of America در آمریكا اظهار داشتند كه در اثر این حمله، بسیاری از مشتریان نتوانستند با استفاده از 13000 دستگاه خود پرداز این بانك، از حسابهای خود پول دریافت كنند .با این وجود این بانك موفق شد پس از چند ساعت تقریبا تمام دستگاههای خود پرداز را به حالت اول بازگرداند، بدون آنكه به وجوه نقد و اطلاعات شخصی مشتریانش آسیبی وارد شود . این كرم به دورن سرور رخنه میكند و پس از انتشار، ترافیك زیادی در شبكه ایجاد كرده و از سرعت اینترنت می كاهد. SANS، سازمانی است كه به كارشناسان سیستمها و شبكه ها، روشهای حفاظت را آموزش میدهد، این موسسه اعلام كرده كه كرم SQL به فایلهای ذخیره شده در كامپیوترها آسیبی نرسانده است اما با تكثیر سریع و ارسال پرسوجو در خطوط كامپیوتری، برای كامپیوترهای آسیب پذیرتر مشكل ایجاد میكند. چند شركت، از جملهContinental Airlines ، خسارت كامپیوتری قابل توجهی را گزارش كرده اند. در اثر حمله این كرم، كارمندان این خط هوایی ناگزیر شدند برای ثبت اطلاعات مربوط به بلیطهای رزرو شده و بلیطهای الكترونیكی، دوباره از روشهای قدیمی تلفن، قلم و كاغذ استفاده كنند و به علت كند شدن كار، چند مورد تاخیر و انحلال پروازهای داخلی رخ داد .دفتر مركزی این شركت در شهر نیوآرك در ایالت نیوجرسی، شدیدترین آسیبها را دید .مشكلاتی هم در شهر هیوستن ایالت تكزاس و شهر كلیولند ایالت اوهایو بروز كرد .اما طولانیترین تاخیرها بیش از 30 دقیقه طول نكشید. این گونه كرمها موجب قطع خدمات توزیعی میشوند .در این حالت، كامپیوترهای آلوده شده توسط این كرم یا برنامه های دیگر، سیلی از اطلاعات را به یك مكان خاص در اینترنت ارسال میكنند كه این كار موجب قطع ارتباط آنها با شبكه می شود . كرم رایانهای SQL به كرم code red شبیه است كه به سرورهای IIS2001 حمله كرد و با درج پیام: Welcom to http://www.worm.com! Hacked By Chinese! در صفحات وب به آنها آسیب رساند .كرم Code Red در مجموع به بیش از700 هزار كامپیوتر آسیب رساند و سرعت انتشار آن به قدری زیاد بود كه ردیابی منشا آن امكان نداشت .تاكنون در مورد آسیب كرمSQL ، به صفحات وب و فایلهای دیگر گزارشی دریافت نشده است .ردیابی منشا كرم SQL نیز با ابزارهای فنی موجود دشوار خواهد بود .اما خوشبختانه مراكز خدمات اینترنت و سایر سازمانهای امنیتی به موقع موفق شدند از سرعت انتشار آن بكاهند، و از خسارات سنگین تر جلوگیری كنند
SULFNBK یك ویروس، یك شوخی و یا هردو؟!
سایت خبری سافس چندی پیش خبری مبنی بر شناخته شدن یك ویروس جدید منتشر كرد، ویروسی با مشخصه SULFNBK (SULFNBK.EXE)
شاید برای بعضی از شما این نام آشنا باشد.
SULFNBK.EXE نام فایلی است در سیستم عامل ویندوز 98 كه وظیفه بازیابی اسامی طولانی فایلها را به عهده دارد و یك فایل سودمند در سیستم عامل ویندوز 98 میباشد.
اینجاست كه میتوان به مفهوم واقعی HOAX ها پی برد، فایل SULFNBK.EXE ای كه معمولاً به همراه یك نامه فریب آمیز و شاید تهدید امیز بزبان پرتغالی از طریق پست الكترونیكی وارد سیستم میشود دقیقاً در جایی ساكن میشود كه فایل SULFNBK.EXE سالم در آنجاست، در واقع بهتراست بگوییم جایگزین آن میشود. فایل SULFNBK.EXE آلوده در شاخه Command ویندوز 98 ساكن شده و چون دارای همان شمایل و سایز میباشد به همین منظور كاربر متوجه حضور یك ویروس جدید در سیستم خود نخواهد شد و اینجاست كه كاربر فریب خورده و ویروس خطرناك Magistre-A كه در هسته این فایل وجود دارد در اول ماه ژوین فعال شده و سازنده خود را به مقصودش میرساند. نسخهای دیگر از این ویروس را میتوان یافت كه در 25 ماه می فعال شده و تفاوتی كه با نسخه قبلی خود دارد آنست كه روی فایل SULFNBK.EXE آلوده در ریشه درایو C ساكن میشود. لازم به ذكر است این ویروس در سیستم عامل ویندوز 9X فعال میشود و حوزه فعالیتش در درایو C میباشد. تشخیص اینكه فایل SULFNBK.EXE ما واقعاً آلوده است یا خیر دشوار است. البته شاید از طریق ویروس یابهای جدید بعد از ماه ژوئن 2002 مانند جدیدترین نسخه Norton، McAfee بتوان آنها را تشخیص داد اما اگر به ویروس یابهای ذكر شده دسترسی نداشته باشیم میتوانیم حداقل فایل SULFNBK.EXE را چه آلوده باشد و چه نباشد پاك كنیم، البته از آنجایی كه فایل SULFNBK.EXE یك فایل سیستمی ویندوز به شمار میرود ممكن است پاك كردن آن به سیستم عامل لطمه وارد كند، از اینرو بد نیست قبل از پاك كردن، نسخهای از آن را بر روی یك فلاپی كپی كرده و نگه داریم. البته اگر مایل به اجرای آن نیستید! حقیقت آنست كه كمتر كسی هم تن به اجرا كردن میدهد و ریسك میكند.
اما پیغامی كه ضمیمه این فایل ارسال میشود نیز در چند نسخه وجود دارد كه نسخه اصل آن همانطور كه گفته شد به زبان پرتغالی است كه این پیغام نیز ممكن است بزبانهای انگلیسی و اسپانیولی ترجمه و یا حتی تغییر داده شده باشد.
به هرحال هر ویروسی چه از نوع HOAX باشد و چه از انواع دیگر، یك دورانی دارد و به قول معروف یك مدت كوتاه یا بلند روی بورس است و معمولاً لطمههای غیر قابل جبران خود را در همان بدو تولد به جای میگذارند و بعد از مدتی مهار میشوند . اما نكتهای كه قابل توجه است اینست كه با داشتن یك پیش زمینه میتوان حداقل با نسخههای جدیدتر آن ویروس و یا ویروسهای مشابه آن به راحتی در همان شروع كار مبارزه كرد
گسترش یک ویروس جدید اینترنتی -Yaha.k))
یک ویروس جدید اینترنتی که ابتدا پیش از کریسمس (25 دسامبر) ظاهر شده بود در حال آلوده کردن هزاران رایانه در سراسر جهان است.شیوع سریع ویروسی که از طریق نامه های الکترونیکی (ایمیل) تکثیر می شود و "یاها. ک" (Yaha.k) نام دارد باعث شده است شرکت هایی که برنامه های ضدویروس تولید می کنند آن را جزو ویروس های بسیار خطرناک دسته بندی کنند.به گزارش شرکت "مسج لبز" (Message Labs) که پیام های الکترونیکی را برای یافتن ویروس جستجو می کند، وجود این ویروس تاکنون در صد کشور گزارش شده است اما بریتانیا و هلند را بیش از سایر کشورها آلوده کرده است.این ویروس وارد هر رایانه ای شود نشانی ایمیل های آن را یافته و خود را به تمامی نشانی ها پست می کند. این ویروس همچنین ممکن است تلاش کند برنامه های ضد ویروس را از کار بیاندازد.به کاربران توصیه می شود هر گونه نامه الکترونیکی مشکوک را پاک کرده و برنامه های ضدویروس خود را روزآمد کنند.
عشق و نفرت
این ویروس نمونه تازه ای از ویروس یاها (Yaha) است که ابتدا در ماه فوریه گذشته پدیدار شده بود.ویروس جدید ابتدا روز 21 دسامبر در یک نامه الکترونیکی که منشا ارسال آن کویت بود کشف شد. "مسج لبز" می گوید از آن زمان تاکنون 33 هزار و 487 نمونه آن را ردیابی و نابود کرده است.یاها.ک که پسوندهای آن exe یا scr است خود را به نامه ها پیوست کرده و تحت عناوین مختلف با مضامین عشق و نفرت منتشر می شود
عناوین نامه های الکترونیکی آلوده به ویروس
Are you in Love
You are so sweet
Shake it baby
Sample Playboy
?? Wanna Hack
Free Screensavers
?Need a friend
Free Win32 API source
Wanna be a HE-MAN
One Hackers Love .
طاعون رایانه ای
این ویروس به محل ضبط آدرس های الکترونیکی موجود در سیستم عامل ویندوز دستبرد زده و خود را به تمامی آدرس های موجود ارسال می کند.این ویروس همچنین ممکن است سعی کند برنامه های ضدویروسی یا محافظتی (Firewall) را از کار بیاندازد.شرکت های تولید برنامه های ضدویروس می گویند که یاها.ک همچنین ممکن است در برخی سایت های دولتی پاکستان خرابکاری کند.ویروس هایی که از طریق نامه های الکترونیکی تکثیر می شوند در سراسر سال گذشته کاربران را به دردسر انداخته اند و مثل طاعونی رایانه های سراسر جهان را مبتلا کرده اند.آمارهای شرکت "مسج لبز" نشان می دهد که در سال 2002 از هر 212 نامه الکترونیکی، یکی به ویروس آلوده بوده است.این رقم نشانگر رشدی چشمگیر نسبت به سال های قبل است. در سال 2001، این شرکت در هر 380 نامه الکترونیکی یک ویروس شناسایی می کرد و در سال 2000 این رقم به یک ویروس در هر 790 نامه می رسید
تولد كرم Roron در بلغارستان
كرم رایانه ای جدید موسوم به Roron كه منشا آن به گفته شركت كاسپرسكی از بلغارستان است ، رایانه های امریكا، روسیه و اروپا را آلوده كرد. ساختار این ویروس به صورت Backdoor طراحی شده است و پس از آلوده كردن سیستم ، دسترسی از راه دور رایانه قربانی را در اختیار حمله كننده قرار می دهد. براساس رده بندی ویروسها، كرم رورون خطرناك توصیف شده است و از طریق ایمیل (به صورت فایل ضمیمه ) یا از طریق شبكه محلی (LAN) و یا از طریق شبكه Kazaa گسترش می یابد. پس از آلوده شدن روی رجیستری ویندوز ثبت شده و خود را روی اجرای اتوماتیك قرار می دهد و هر بار كه سیستم بوت می شود، اجرا شده و روی شبكه منتشر می شود. وقتی كه سیستم بالا می آید، كاربر چنین پیامی را می بیند:
winzip self-Extractor License confirmation
بدین معنی كه وین زیپ شما امتیاز ندارد و اطلاعات آن خراب می شود و لطفا با سایت www.winzip.com تماس بگیرید.
این بك دور اجازه حملات DDOS را نیز می دهد و ضمن جستجو برای یافتن نرم افزارهای ضد ویروسی اطلاعات روی هارد را نیز خراب می كند
کرم slapper - حملات ویروسی به ماشین های لینوکس وآپاچی
کرم رایانه ای خطرناکی با توزیع توانایی ایجاد حملات موسوم به DOSو ایجاد یک Backdoorبرای کنترل از راه دور سیستم هاتوسط حمله کنندگان ، ماشین های لینوکس و آپاچی سرور را به جنگ فراخواند. کرم slapperکه نسخه جدید ویروس قدیمی scalperاست ، به طور مستقیم به وب سرورهای مبتنی بر لینوکس و آپاچی حمله می کند. این کرم با exploitکردن (ایجاد سوئ استخراج ) از حفره بسته نشده ای در لایه شماره 2امنیتی (SSL)شروع به فعالیت کرد و توانست در ابتدا ISP 2بزرگ امریکا را از کار بیندازد. محل انفجار این ویروس در پروتکل های لایه های امنیتی و opesslها است که به صورت یک سرزیر روی SSLV2پردازش ماشین را به شکل کرده ، آن را تخریب می کند. این موضوع روی سرور آپاچی بدتر نمود می یابد و یک Backdoorخطرناک بدون هیچ تاییده ای ایجاد می کند و وارد سیستم می شود. اثر این کرم زمانی که در حملات DOSاستفاده می شود، به مراتب قوی تر و خطرناک تر گزارش شده است . انواع سیستم عامل های لینوکس ، مانند ردهت ، دبیان ، ماندراکه و SUSEو اسلکور و نیز یکی از پلتفورم های یونیکس یعنی آپاچی زیان دیدگان اصلی این حمله هستند. برای در امان ماندن از این ویروس ، توصیه می شود آخرین نسخه opensslیعنی o.9.6gاز روی سایت openssl.orgدانلود شود تا خطر برطرف گردد. از آنجا که ویروس در دسترس عام قرار دارد، احتمال می رود ویروس های بعدی خطرناک تر و مهیب تر عمل کنند
چگونه ویروسها گسترش می یابند
زمانی كه شما یك كد برنامة آلوده به ویروس را اجرا میكنید، كد ویروس هم پس از اجرا به همراه كد برنامه اصلی ، در وهله اول تلاش میكند برنامههای دیگر را آلوده كند. این برنامه ممكن است روی همان كامپیوتر میزان باشد، ممكن است برنامهای بر روی كامپیوتر دیگر واقع در یك شبكه باشد. حال این برنامه كه تازه آلوده شده نیز پس از اجرا دقیقاً عملیات مشابه قبل را به اجرا درمیاورد. وقتی شما یك كپی از فایل آلوده را ، كه برای دیگر كاربران كامپیوترهای دیگر به صورت اشتراكی قابل دسترسی قرار میدهید، با اجرای این فایل كامپیوترهای دیگر نیز آلوده خواهند شد. و همچنین طبیعی است با اجرای هرچه بیشتر این فایلهای آلوده فایلهای بیشتری آلوده خواهند شد.
اگر كامپیوتری آلوده به یك ویروس بوت سكتور باشد، ویروس تلاش میكند كه كپیهایی از خود را در فضاهای سیستمی فلاپی دیسكها و هارد دیسك بنویسد. سپس فلاپی آلوده میتواند كامپیوترهایی را كه از رویآن بوت میشوند آلوده كند و نیز یك نسخه از ویروسی كه قبلاً روی فضای بوت یك هارد دیسك نوشته شده نیز میتواند فلاپیهای جدید دیگری را نیز آلوده نماید.
فایلهایی كه به توزیع ویروسها كمك میكنند ویروسها حاوی یك نوع عامل بالقوه میباشند كه هر نوع كد اجرائی را آلوده میكنند. نه فقط فایلهایی كه عمدتاً فایلهای برنامهای نامیده میشوند. برای مثال بعضی ویروسها كدهای اجرائی را آلوده میكنند كه در بوت سكتور فلاپی دیسكها و فضاهای سیستمی هاردیسكها وجود دارند.
یك نوع دیگر ویروس كه به ویروسهای ماكرو شناخته شدهاند، میتوانند عملیات پردازش كلمهای یا صفحههای حاوی متن را آلوده كنند كه از ماكروها استفاده میكنند.البته این امر برای صفحههایی با فرمت HTMl نیز صادق است.
از آنجائیكه یك كد ویروس باید حتماً قابل اجرا شدن باشد تا اثری از خود به جای بگذارد از اینرو فایلهایی كه كامپیوتر با آنها به عنوان دادههای خالص و تمیز سرو كار دارد امن هستند.
فایلهای گرافیكی و صدا مانند فایلهایی با پسوند gif . ، jpg ، mp3، wav،…
برای مثال زمانی كه یك فایل با فرمت picture را تماشا میكنید كامپیوتر شما آلوده نخواهد شد.
یك كد ویروس مجبور است كه در قالب یك فرم خاص قرار گیرد مانند یك فایل برنامهای .exe یا یك فایل متنی .
doc كه كامپیوتر واقعاً آن را اجرا میكند.
عملیات مخفیانه ویروس در كامپیوتر
همانطور كه میدانید ویروسها برنامههای نرم افزاری هستند آنها میتوانند مشابه برنامههایی كه به صورت عمومی در یك كامپیوتر اجرا می شوند باشند.
اثر واقعی یك ویروس بستگی به نویسندة ان دارد. بعضی از ویروسها عمداً برای ضربه زدن به فایلها طراحی شدهاند و یا در حالت دیگر میتوان گفت در عملیات مختلف كامپیوتر شما دخالت میكنند و خلل ایجاد میكنند.
براحتی بدون آنكه متوجه شوید خود را تكثیر میكنند وگسترش مییابند و در حین گسترش یافتن نیز به فایلها صدمه رسانده و یا ممكن است باعث مشكلات دیگر شوند. نكته: ویروسها قادر نیستند صدمهای به سخت افزار كامپیوتر برسانند مثلاً باعث شوند cpu ذوب شده و یا هارد دیسك بسوزد و یا اینكه مانیتور منفجر شود و
نكاتی جهت جلوگیری از آلوده شدن سیستم
اول از هرچیزی به خاطر داشته باشید اگر كامپیوترتان در بعضی از عملیات سریع عمل نمیكند و یا برنامهای درست كار نمیكند این به آن معنا نیست كه كامپیوتر شما آلوده به ویروس است.
اگر از یك نرم افزار آنتی ویروس شناخته شده و جدید استفاده نمیكنید در قدم اول ابتدا این نرم افزار را به همراه كلیه امكاناتش بر روی سیستم نصب كرده و سعی كنید آنرا به روز نگه دارید.
اگر فكر میكنید سیستمتان آلوده است سعی كنید قبل از انجام هر كاری از برنامه آنتی ویروس خود استفاده كنید.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشید بهتر است). سعی كنید بیشتر نرم افزارهای آنتی ویروس را محك بزنید و مورد اطمینانترین آنها را برگزینید.
البته بعضی وقتها اگر از نرم افزارهای آنتی ویروس قدیمی هم استفاده كنید، بد نیست. زیرا تجربه ثابت كرده بعضی از ویروسها كه یك دورانی را به قول معروف روی بورس هستند و همه جا از آنها صحبت میشود و بعد از مدتی به دست فراموشی سپرده میشوند، ویروس یابهای قدیمی بهتر میتوانند آنها را شناسایی و پاكسازی كنند.
ولی اگر شما جزء افرادی هستید كه به صورت مداوم با اینترنت سروكار دارید حتماً یك آنتی ویروس جدید و upبه روز شده لازم و ضروری است.
برای درك بهتر و داشتن آمادگی در هر لحظه برای مقابله با نفوذ ویروسها نكات لازم را به صورت ساده و قدم به قدم در ذیل آورده شده است:
1- همانطور كه در بالا گفته شد حتماً یك نرم افزار آنتی ویروس از یك كمپانی مشهور و شناخته شدهای را بر روی سیستم نصب كرده و سعی كنید آنرا همیشه به روز نگه دارید.
2- در هر روز و در هر لحظه احتمال ورود ویروسهای جدید به سیستم شما امكان پذیر است. پس یك برنامه آنتی ویروس كه چند ماه است به روز نشده نمیتواند در مقابل جریان ویروسها مقابله كند.
3- برای آنكه سیستم امنیتی كامپیوتر از یك نظم و سازماندهی برخوردار باشد توصیه میشود برنامه a.v (آنتی ویروس) خود را سازماندهی نمائید مثلاً قسمت configuration نرم افزار a.v. خود را طوری تنظیم كنید كه به صورت اتوماتیك هر دفعه كه سیستم بوت میشود سیستم شما را چك نماید، این امر باعث میشود سیستم شما در هر لحظه در مقابل ورود ویروس و یا هنگام اجرای یك فایل اجرائی ایمن شود.
4- برنامههای آنتی ویروس در یافتن برنامههای اسب تروآ خیلی خوب عمل نمیكنند از این رو فوق العاده در باز كردن فایلهای باینری و فایلهای برنامههای excel و Word كه از منابع ناشناخته و احیاناً مشكوك میباشند محتاط عمل كنید.
5- اگر نرم افزار كمكی خاصی برای ایمیل و یا اخبارهای اینترنتی بر روی سیستمتان دارید كه قادر است به صورت اتوماتیك صفحات Java script و word macro ها و یا هر گونه كد اجرائی موجود و یا ضمیمه شده به یك پیغام را اجرا نماید توصیه میشود این گزینه را غیر فعال (disable) نمائید.
6- از قبول كردن فایلهای مختلف از طریق chat پرهیز كنید.
7- اگر احیاناً اطلاعات مهمی بر روی هارد دیسك خود دارید حتماً از همه آنها نسخه پشتیبان تهیه كنید
نكاتی برای جلوگیری از ورود كرمها به سیستم
از آنجائیكه این نوع برنامهها (worms) امروزه گسترش بیشتری یافته و باید بیشتر از سایر برنامههای مخرب از آنها دوری كنیم، از این رو به این نوع برنامه های مخرب بیشتر میپردازیم.
كرمها برنامههای كوچكی هستند كه با رفتاری بسیار موذیانه به درون سیستم رسوخ كرده، بدون واسطه خود را تكثیر كرده و خیلی زود سراسر سیستم را فرا میگیرند. در زیر نكاتی برای جلوگیری از ورود كرمها آورده شده است.
1) بیشتر كرمهایی كه از طریق E-mail گسترش پیدا میكنند از طریق نرم افزارهای microsoft outlook و یا out look express وارد سیستم میشوند. اگر شما از این نرم افزار استفاده میكنید پیشنهاد می شود همیشه آخرین نسخه security patch این نرم افزار را از سایت microsoft دریافت و به روز كنید.
همچنین بهتر است علاوه بر به روز كردن این قسمت از نرم افزار outlook سعی كنید سایر نرم افزارها و حتی سیستم عامل خود را نیز در صورت امكان همیشه به روز نگه دارید، و یا حداقل بعضی از تكههای آنها را كه به صورت بروز درآمده قابل دسترسی است.
اگر از روی اینترنت بروز میكنید و یا از cd ها و بستههای نرم افزاری آماده در بازار ،از اصل بودن آنها اطمینان حاصل كنید.
2) تا جای ممكن در مورد e-mail attachment ها محتاط باشید. چه در دریافت e-mail و چه در ارسال آنها.
3) همیشه ویندوز خود را در حالت show file extensions قرار دهید.
این گزینه در منوی Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پیش فرض این گزینه تیك خورده است، تیك آنرا بردارید.
4) فایلهای attach شده با پسوندهای SHS و VBS و یا PIF را هرگز باز نكنید. این نوع فایلها در اكثر موارد نرمال نیستند و ممكن است حامل یك ویروس و یا كرم باشند.
5) هرگز ضمائم دو پسوندی را باز نكنید.
email attachment هایی با پسوندهایی مانند Neme.BMP.EXE و یا Name.TxT.VBS و …
6) پوشههای موجود بر روی سیستم خود را با دیگر كاربران به اشتراك نگذارید مگر در مواقع ضروری . اگر مجبور به این كار هستید، حتماً اطمینان حاصل كنید كه كل درایو و یا شاخه ویندوز خود را به اشتراك نگذارید.
7) زمانی كه از كامپیوتر استفاده نمیكنید كابل شبكه و یا مودم را جدا كرده و یا آنها را خاموش كنید.
8) اگر ایمیلی از یك دوستی كه به طریقی ناشناس است دریافت كردید قبل از باز كردن ضمائم آن حتماً متن موجود را چند بار خوانده و زمانی كه اطمینان حاصل كردید از طرف یك دوست است و مشكوك نیست، آنگاه سراغ ضمائم آن بروید.
9) فایلهای ضمیمه شده به ایمیلهای تبلیغاتی و یا احیاناً weblink های موجود در آنها را توصیه میشود حتی الامكان باز نكنید.
10) از فایلهای ضمیمه شدهای كه به هر نحوی از طریق تصاویر و یا عناوین خاص، مسائل جنسی و مانند آن را تبلیغ میكنند، دوری كنید. عناوینی مانند porno.exe و یا pamela-Nude.VBS كه باعث گول خوردن كاربران میشود.
11) به آیكونهای فایلهای ضمیمه شده نیز به هیچ عنوان اعتماد نكنید. زیرا ممكن است كرمهایی در قالب فایلی با شمایل یك فایل عكس و یا متنی فرستاده شود ولی در حقیقت این فایل یك فایل اجرائی است و باعث فریب خوردن كاربر میشود.
12) به هیچ عنوان فایلهای ارسالی از طریق كاربران ناشناس on-line درchat system ها را قبول (accept) نكنید. در massenger هایی مانند IRC، ICQ و یا AOL.
13) از Download كردن فایل از گروههای خبری همگانی پرهیز كنید. (usenet news) زیرا اغلب گروههای خبری یكی از ابزار پخش ویروس توسط ویروس نویسان است
حمله به سیستم های Linux
کرم slapper - حملات ویروسی به ماشین های لینوکس وآپاچی
کرم رایانه ای خطرناکی با توزیع توانایی ایجاد حملات موسوم به DOSو ایجاد یک Backdoorبرای کنترل از راه دور سیستم هاتوسط حمله کنندگان ، ماشین های لینوکس و آپاچی سرور را به جنگ فراخواند. کرم slapperکه نسخه جدید ویروس قدیمی scalperاست ، به طور مستقیم به وب سرورهای مبتنی بر لینوکس و آپاچی حمله می کند. این کرم با exploitکردن (ایجاد سوئ استخراج ) از حفره بسته نشده ای در لایه شماره 2امنیتی (SSL)شروع به فعالیت کرد و توانست در ابتدا ISP 2بزرگ امریکا را از کار بیندازد. محل انفجار این ویروس در پروتکل های لایه های امنیتی و opesslها است که به صورت یک سرزیر روی SSLV2پردازش ماشین را به شکل کرده ، آن را تخریب می کند. این موضوع روی سرور آپاچی بدتر نمود می یابد و یک Backdoorخطرناک بدون هیچ تاییده ای ایجاد می کند و وارد سیستم می شود. اثر این کرم زمانی که در حملات DOSاستفاده می شود، به مراتب قوی تر و خطرناک تر گزارش شده است . انواع سیستم عامل های لینوکس ، مانند ردهت ، دبیان ، ماندراکه و SUSEو اسلکور و نیز یکی از پلتفورم های یونیکس یعنی آپاچی زیان دیدگان اصلی این حمله هستند. برای در امان ماندن از این ویروس ، توصیه می شود آخرین نسخه opensslیعنی o.9.6gاز روی سایت openssl.orgدانلود شود تا خطر برطرف گردد. از آنجا که ویروس در دسترس عام قرار دارد، احتمال می رود ویروس های بعدی خطرناک تر و مهیب تر عمل کنند
Flash Movies ویروسهای كامپیوتری كه را آلوده مكنند
شركتهای ضد ویروس های كامپیوتری به كاربران كامپیوترهای شخصی هشدار دادند كه Flash Movies ( فیلم ها و برنامه هایی كه خیلی سریع بر بالای صفحات web ظاهر می شوند) متعلق به شركت Macromedia، می توانند حامل ویروس های خطرناكی باشند.
این هشدارها زمانی داده شد كه برنامه نویس این ویروس جدید آن برنامه این ویروس جدید به نام SWF/LFM-926، فایل های تصاویر متحرك (Flash Files) یك كامپیوتر شخصی را زمانی كه شروع به اجرا شدن و انجام می كند، آلوده می كند.
هر گاه یك ویروس خطرناك موجب آسیب پذیری بسیار بالایی شود، برنامه نویسان ویروس های كامپیوتری دیگر نیز تمایل پیدا می كنند كه گونه های خطرناك بیشتری از این ویروس را ابداع كنند.
ویروس SWF/LFM-926 می تواند به عنوان یك مشكل مهم برای طراحان را به یك شركت ضد ویروس كامپیوتری در بریتانیا ارسال كرد. صفحات web مطرح باشد چرا كه آنها از تصاویر متحرك كه خیلی سریع بر بالای صفحات سایت های آنها ظاهر می شود (Flash Animations)، برای جذاب جلوه دادن و جالب كردن سایت استفاده می كنند.
فناوری Flash ( ظاهر شدن خیلی سریع تصاویر متحرك بر روی صفحه web ) توسط شركت كامپیوتری Macromedia جهت افزایش ارتباط دو سویه كاربران و نیز افزایش ارائه برنامه های چند رسانه ای، ابداع شد. فناوری Flash به ویژه بر روی سایت های اینترنتی استفاده می شود.
شركت Macromedia عنوان می كند كه آسیب رسانی این ویروس خیلی جدی نیست. " 9/99 درصد اوقات، كاربران، Flash Movies را در جستجوگر (browser) خود اجرا می كنند. این عملكرد كاملاً مطمئن است و هیچگونه خطری برای كامپیوتر كاربران ندارد. فقط در صورتیكه برنامه ها و فایل های Flash از طریق یك نمایشگر و اجرا كننده مستقل كه شامل ابزارهای شركت ماكرومدیا (Macromedia) باشد، این نوع ویروس می تواند به یك كامپیوتر شخصی وارد شود.
زمانی كه یك قسمت از Flash Movies آلوده به ویروس نمایش داده شود، ویروس این پیغام را نشان می دهد: “ Loading. Flash. Movie...” و یك فایل 926 بایتی را به داخل كامپیوتر شخصی شما می فرستد. این فایل به نام V.Com توسط این ویروس هدایت می شود و تمام فایل های Flash را آلوده می كند. نام ویروس SWF/LFM-926، نام اختصاری Shock Ware Flash، پیغام نمایش داده شده و حجم فایل می باشد.
بنا به گفته یكی از محققین و مهندسین ویروس های كامپیوتری، این ویروس فقط سیستم های Windows 2000 , Windows NT و Windows XP را آلوده می كند. اما هنوز مشاهده نشده است كه این ویروس در اینترنت به گردش در آمده باشد. علاوه بر این، از آنجایی كه این ویروس راهی برای انتشار و گسترش سریع خود ندارد، بسیار بعید است كه به تعداد زیادی از كامپیوترهای شخصی وارد شود و آنها را آلوده كند.
"اگر فقط از Shock Ware Flash استفاده شود و Macromedia Flash از طریق جستجوگر web نمایش داده شود این ویروس گسترش پیدا نخواهد كرد." وی اضافه كرد، " این امر به مثابه یك شمشیر دو لبه است " شركت ماكرومدیا برای مولفین برنامه های كامپیوتری شركت خود این امكان را فراهم آورده است كه عملكرد و كارایی شركت را افزایش دهند. در حین حال، شركت ماكرومدیا در مورد امنیت، ضریب اطمینان و ایمنی بسیار سختگیر است. حال برای آنها بسیار مشكل است كه شاهد این واقعه باشند.
این ویروس اولین ویروسی نیست كه كاربران كامپیوترهای شخصی را با استفاده از Flash Movies مورد حمله قرار می دهد. در ماه دسامبر 1999 ویروس Prolin از طریق e-mail ( پست الكترونیك ) با نمایش به صورت یك Flash Movie گسترش پیدا كرد. اما در واقع این ویروس یك فایل و برنامه متعلق به سیستم ویندوز (windows) بود.
ویروس SWF/LFM-926 یك ویروس واقعی و كامل است، بدین معنا كه این برنامه فایل ها را آلوده می كند. شركت ماكرومدیا به زودی برنامه ای را به بازار عرضه خواهد كرد كه ارتباط بین فایل های Flash Local را مختل خواهد كرد. در مجموع، شركت ماكرومدیا در نظر دارد در ویرایش جدید خود اشكالات موجود را رفع كند.
معرفی چندantivirus
PC-Cillin 7.51
PC-Cillin گزینه های خوبی برای ویروس یابی دارد، علاوه بر آن میتوانید بصورت online با حرفه ایها هم Chat كنید این برنامه معروف تحت ویندوز، قابلیتهای زیادی دارد كه میتواند با برنامه های بزرگ رقابت كند شاید این برنامه را نشناسید ولی احتمالا برنامه Trend AV روی PC خود نصب كرده باشید. بسیاری از BIOS PCها امروزه برای جلوگیری از ویروسها و اثر آنها روی بوت سكتور از Trend’s chipAway استفاده میكنند. اصلی ترین بسته نرم افزاری این AV، PC cillin 2000 است كه یكی از اولین بسته های نرم افزاری AV مورد تایید ویندوز 2000 بود.
این ضد ویروس هم از قابلیت ActiveUpdate برخوردار است. این برنامه دارای قابلیتهای اسكنینگ E-mail، جلوگیری از اجرای برنامه های مشكوك، كنترل دسترسی به اینترنت برای بچه ها، اسكنینگ Download و Browser كه میتواند جلوی اسكریپیتهای خطرناك جاوا و اكتیو X را بگیرید است. لذا PC cillin یكی از برنامه های مفید برای كاربردهای خانگی است. نصب PC Cillin 2000 خیلی سرراست است. بعد از ورود شماره سریال یك Virus scan برای شما انجام میشود تا اطمینان حاصل كند سیستم شما هم اكنون عاری از ویروس است. اگر ویروسی پیدا نشد، فایلهای ویروس یاب روی سیستم شما كپی میشود و در حین نصب از شما پرسیده میشود كه آیا Protection اینترنت را میخواهید فعال شود یا خیر؟ در پایان ست آپ از شما خواسته میشود كه یك فلاپی برای بازیابی سیستم در شرایط بحرانی ساخته شود، لذا اگر در شرایط خاصی به خاطر آلودگی به ویروس نتوانستید سیستم خود را بوت كنید، با این فلاپی میتوانید سیستم خود را بوت نمائید و آنرا درست كنید. در پایان ست آپ از شما خواسته میشود كه برنامه خود را رجیستر كنید. وقتی ست آپ به پایان رسید و آن را هم رجیستر كردید، برنامه، خود را از طریق اینترنت Update میكند. همچون برنامه نورتون Antivirus، این برنامه هم بروزرسانی 12 ماهه ضدویر را ارایه میدهد. PC-Cillin 2000 تركیبی از قابلیتهای شناسایی ویروس، اینترفیس زیبا، راندمان خوب و كنترل دسترسی به اینترنت را داراست. قابلیتهای اسكنینگ اینترنت شامل فایلهای ورودی از سایتهای FTP HTTP میشود و میتواند فایلهای Zip و Attachment فایلهای E-mail را هم چك كند. در طی شبانه روز كاربران رجیستر شده میتوانند با تكنسینهای فنی بصورت online، Chat كنند. PC-cillin دیسكهای بوتی میسازد كه میتواند PC شما را در زمان بروز مشكل نجات دهد. PC-cillin با ویندوز خوب یكپارچه شده و میتوانید در Properties فایلها در window explorer ببینید كه یك دكمه به نام Virus property با نصب این برنامه اضافه شده است. اگر روی این دكمه كلیك كنید، یك گزارش از فایلهای اسكن شده و نتایج آن را خواهید دید. PC-cillin برنامه ای است كه شما میتوانید از یك ضدویروس پیشرفته انتظار داشته باشید كه از آن جمله میتوان به Downloadهای اتوماتیك و ساخت دیسك نجات اشاره كرد. ما به این برنامه 4 ستاره میدهیم.
Norton Antivirus
دیسكهای ایمن نورتون، بهترین چیزی هستند كه میتوانند برای رفع مشكلات شما بكار بیایند، لذا اطمینان حاصل كنید كه آنها را ساخته اید.
با آخرین نسخه بسته نرم افزاری NAV2000 كه Professional edition نام دارد هنوز هم در مقابل ویروسها و كدهای مشكوك در كامپیوترتان محفوظ هستید. حالا دیگر میتوانید Internet download، Attachmentهای E-mail، فایلهای Shared، مدیای removable را ویروس یابی كنید. آخرین نسخه های الگوی ویروسها بطور اتوماتیك Download میشوند تا این ویروسها در این برنامه شناسایی شوند. علاوه بر آن، این برنامه ابزارهای امنیتی زیادی را در اختیار ما قرار میدهد. اولین آن ابزارها، Norton protected Recycle Bin است كه فایلهای پاك شده از داخل برنامه ها یا Dos prompt را بازیابی كند. بسیاری از ویروسهای جدید سعی در پاك كردن دسته ای فایلها روی سیستمتان دارند كه بدین ترتیب با این ضدویروس شما را از آن گونه ویروسها محافظت میكند. یكی دیگر از این ویژگیها، Wipeinfo است كه برای غلبه بر یوتیلیتیهای unerase طراحی شده و به شما امكان پاك كردن دایمی داده های حساس را میدهد و بالاخره اینكه NAV 2001 PE اولین بسته نرم افزاری است كه برای اجرا روی چندین محیط (روی Palm os) هم عرضه شده است. بطور پیش فرض، NAV بطور خیلی جالبی پیكربندی شده است و تقریبا میتوان تمام گزینه های اسكنینگ آنرا فعال نمود. با تغییر این گزینه ها میتوانید راندمان سیستم خود را بالا ببرید ولی شاید قیمت به كم شدن حفاظت باشد. مسئله جالب در مورد NAV این است كه استفاده از آن خیلی ساده است، اینترفیس آن خیلی ساده تر از MCAfee است. پنجره پیكربندی NAV نیز خیلی ساده و جالب است. اما از همه بهتر اینكه این برنامه یك روتین ساخت دیسكهای Emergency دارد كه همه فایلها را از جمله فایلهای غیر اجرایی را اسكن كند. NAV یك Email proxy برایتان نصب میكند كه E-mail شما را Download میكند و آنرا چك میكند و به برنامه های گیرنده
Antivirus Gold 3.5
فرآیند اسكن كردن برنامه Av Gold3.5 خیلی بهینه است و سرعت سیستم شما را كاهش نمیدهد
این برنامه كوچولو و تازه وارد قدرت رویارویی با بزرگ مردان این حرفه را دارد تقریبا دو سال است كه هیچ كسی درباره آزمایشگاه Kaspersky Mos cow-based چیزی را نشنیده است. ولی امروزه وضع عوض شده است. در مدت زمان كوتاهی، این شركت، یك تولید كننده با كیفیت محصولات AV برای platformها و سیستم عاملهای مختلفی شده است. هرچند كه این برنامه اخیرا به بازار آمده است ولی واقعیت این است كه آن میتواند با محصولات قدرتمندی همچون MCAfee و نورتون رقابت كند. قابلیت كنترل و مانیتور كردن real-time آن میتواند همچون Norton Anti-virus وMACAfee virus-scan عمل كند. اسكنینگ آن برنامه میتواند در Background كار كند و بدون اینكه به راندمان كار شما صدمه بزند، به كار خود بپردازد.KAV خیلی گران نیست و در قبال پولی كه بابت آن می پردرازید، سرویسهای زیادی را میگیرید. در كنار تكنولوژیهای قرار داده شده در آن، برنامه ماندگار در حافظه كنترل كننده سیستم میتواند بصورت real-time ویروس را روی سیستم شما شناسایی كند. یك Code Analyser برای شناسایی ویروسهای ناشناخته، یك برنامه شناسایی كننده پلی مورفیك برای شناسایی گونه های مختلف ویروسهای استاندارد و یك engine ساده آنالیز كننده هوشمند كه ویروسهای مخفی را شناسایی میكند و همه انواع ماكروویروسها در اكسس، اكسل و Word و Amipro را میشناسد. مركز كنترل این برنامه شما را به دیگر مولفه های KAV وصل میكند كه از آن جمله میتوان به AVP Scanner برای اسكنیگ فایلها و هارددیسكها مطابق با نیاز خودتان، AVP Minitor برای اسكنینگ real-time در Background و Avp updater برای تعریف فایلهای جدید Download شده و Update برنامه ها و بالاخره یك AVP Script Checker برای شناسایی ویروسهای اسكریپتی مثل Love letter و Kournikova اشاره كرد. میتوان گفت كه KAV بطور كلی یك ضد ویروس خوب است ولی ضعفهایی هم دارد. مركز كنترل آن خیلی ساده است اما سادگی بیش از حد آن باعث عدم وجود قابلیتهای آن در اینترفیس شده است. هیچ ویزاردی برای راهنمایی شما برای انجام كارهای معمول وجود ندارد و هیچ Online help هم برای آن وجود ندارد. دایره المعارف ویروس آن خیلی كامل است اما خیلی بد به انگلیسی ترجمه شده است. آن به شما امكان اسكن كردن فایلها، سكتورها و فایلهای زیپ شده و همچنین E-mailهای ورودی از بسته های نرم افزاری مختلف را میدهد. با استفاده از file maskها میتوانید انواع خاصی از فایلها را include یا Exclude كنید. اگر اسكنر AVP یك ویروس را شناسایی كند، شما میتوانید آنرا پاك كنید یا گزارش دهید یا اینكه آن فایل را پاك كنید. یا اینكه آن را به فولدر خاصی انتقال دهیم. ما به آن سه ستاره میدهیم.
Inoculate IT 5.2
InoculateIT در حافظه می نشیند تا بصورت real-time فایلهای شما را محافظت كند. این برنامه رایگان و مثل آب خوردن ساده است، اما آیا به خوبی ماشین شما را محافظت میكند؟
این ضدویروس، برنامه ای است كه هر كسی میتواند از آن استفاده كند زیرا رایگان است! میتوانید این برنامه را بصورت online روی اینترنت رجیستر كنید تا به شمایك ID number، e-mail زده شود. با استفاده از آن ID number باید برنامه MB7/3 را download كنید. نه تنها این برنامه بطور كلی رایگان است بلكه بروزرسانی كردن آن هم رایگان میباشد. شاید ظاهرا” برنامه كمی قدیمی باشد ولی واقعا باور كنید كه این برنامه، برنامه خوبی است.
یكی از قابلیتهای این برنامه كه برای ما بسیار جالب بود این است كه ما را در مسیر پیكربندی كل بسته نرم افزاری از طریق ویزارد setup خود قرار میداد. این روش تقریبا روال اكثر ویزاردهای ست آپ است كه افراد غیرحرفه ای به راحتی میتوانند در حین نصب، برنامه را پیكربندی هم بنمایند. بسیاری از برنامه های تجاری، چنین قابلیتهایی را ارائه نمیدهند و شاید دوست داشته اند كه اختیار به دست كاربران باشد نه به دست افراد نصاب
نحوه مقابله و پاکسازی ویروس بلاستر
نحوه مقابله و پاکسازی:
Blaster از طریق شبكه اینترنت شبكه ها را جستجو كرده و سیستمهایی كه دارای خطای آسیب پذیری سرویس محافظتی DCOM RPC هستند را یافته و به درون آنها نفوذ می كند .
راهنمایی برای كاربران خانگی
اگر شما جزء افرادی هستید كه از نسخه های ویندوز NT4 , 2000 , XP , server 2003 استفاده می كنید راهنمایی های زیر برای داشتن آگاهی كافی از چگونگی محافظت سیستم خود و حتی پاكسازی آن از آلودگی می تواند مفید باشد .
قدم اول :
توصیه می شود داشتن یك نرم افزار Firewall برروی سیستم می تواند در محافظت از كامپیوتر شما به شما كمك شایان توجهی نماید . اگر هم كامپیوترتان آلوده است راه اندازی نرم افزار Firewall می تواند عملیات مخفیانه كرمها در سیستم شما را محدود سازد .
درآخرین نسخه های ویندوز بروی خود ، نرم افزار Firewall مخصوص موجود است . نسخه های ویندوز XP و server2003 قبل از راه اندازی Firewall ویندوز ، اگر سیستم شما مدام reboot می شود ، ابتدا دسترسی به اینترنت را قطع كرده و سپس Firewall خود را فعال كنید .
كاربران XP :
برای راه اندازی Firewall ویندوز XP مراحل زیر را به ترتیب طی كنید :
- Network connection را باز كنید .
(startmenu/setting/controlPanel/Network & Internet connection)
- سپس روی گزینه Network connection كلیك كنید .
- برروی یكی از Internet connection هایی كه مایلید محافظت انجام شود ، كلیك كنید .
سپس در سمت چپ و در قسمت Network tasks برروی settings of this connections كلیك كنید و یا برروی یكی از connection ها كلیك راست كرده و Properties را بزنید .
- در قسمت Advanced Tab اگر گزینه “Protect my computer network” تیك زده شود Firewall فعال است و اگر تیك آن برداشته شود ، غیر فعال است .
برای دریافت اطلاعات بیشتر راجع به این قسمت میتوانید به آدرس زیر مراجعه كنید :
www.microsoft.com/security/incident/blast.asp
كاربران ویندوز server 2003
می توانید برای فعال كردن Firewall ویندوز به آدرس زیر مراجعه كنید :
www.microsoft.com/technet/treeview/default.asp
قدم دوم:
گرفتن security patch قابل دسترسی در سایت مایكروسافت ، برای گرفتن این patch به آدرس زیر مراجعه كنید :
http://windowsupdate.microsoft.com/
قدم سوم:
نصب یك آنتی ویروس قدم بعدی نصب یك آنتی ویروس مناسب است كه فراموش نكنید از بروز بودن آن مطمئن باشید ، اگر هم نرم افزار آنتی ویروس بروی سیستم دارید آنرا update كنید .
توصیه می شود از نرم افزارهای مورد اطمینان تر موجود در سایتهای مشهور استفاده كنید .
قدم چهارم:
پاكسازی كرم از روی سیستم
برای انجام این كار می توانید از نرم افزار آنتی ویروس update شده خود بهره مند شوید ، ولی اگر می خواهید بصورت manual برای اطمینان بیشتر ، خودتان دست بكار شوید بهتر است قبل از هر كاری كرم موجود در سیستم را شناسایی و مشخصات آن را در نرم افزار آنتی ویروس خود و یا در یكی از وب سایتهای ضد ویروس مطالعه كرده و سپس اقدام به پاكسازی آن نمائید .
پاكسازی از روی سیستم بصورت دستی
قدم اول : ابتدا مطمئن شوید كه security patch مخصوص را از سایت مایكروسافت دریافت كرده اید و آنرا برروی سیستم نصب نموده اید .
قدم دوم : كلیدهای Ctrl+Alt+Del را بطور همزمان با هم بفشارید .
قدم سوم : پس از ظاهر شدن پنجره Task manager برروی Processes Tab كلیك كنید .
قدم چهارم : پرسه ای با نام msblast.exe را در لیست جستجو كنید .
قدم پنجم : پس از یافتن بروی آن كلیك كرده ، پس از آنكه آنرا highlight نمودید ، بروی End process كلیك كنید و Task manager را ببندید .
قدم ششم : سه فایل Teekids.exe , Penis32.exe , msblast.exe را توسط موتور جستجوگر ویندوز (Start /search) جستجو كنید .
(توضیح: لازم به توضیح است این سه فایل مربوط به سه نسخه این كرم می باشد ، كه msblast.exe مرتبط با نسخه اول این كرم یعنی MSBLAST-A می باشد .)
احتمالاً به همراه فایلهای اجرائی فوق ، فایلهایی با پسوند .Pif نیز با همین اسامی ممكن است یافته شود ، پس از اتمام عملیات جستجو كلیه فایلهای یافته شده با مشخصات بالا را پاك نمائید . این فایلها همگی در شاخه ویندوز یافته خواهند شد .
قدم هفتم : حال می بایست دستور اضافه شده به رجیستری توسط كرم را یافته و از بین ببریم .
البته عملیات فوق را می توان با استفاده از دستور دیگری هم انجام داد :
- در پنجره Run دستور زیر را تایپ كنید .
Services.msc /s
-در پنجره ظاهر شده بروی گزینه “Services and Application" دوبل كلیك كنید .همانطور كه مشاهده می شود لیستی از سرویسها ظاهر می شود .
- در قسمت راست پنجره سرویس RPC -Remote Procedure Call را جستجو كنید .
- برروی آن كلیك راست كرده و Properties را انتخاب كنید .
- بروی Recovery TAB كلیك كنید .
- لیستهای كركره ای موجود (Subsequent failures , Second failure , First failure) را روی گزینه “ Restart the Service " تغییر دهید .
- سپس Apply كرده و بعد OK .
با انجام این عملیات ، Blaster دیگر قادر به Reboot كردن سیستم شما به هنگام اتصال به اینترنت نخواهد بود .
غیر فعال كردن System Restore در ویندوز XP
برای احتیاط لازم است سرویس بازیابی خودكار ویندوز XP یعنی System Restore را موقتاً غیر فعل نمائیم .
چرا كه این قسمت از ویندوز XP بصورت پیش فرض فعال است و ممكن است ویندوز فایلهای آسیب دیده ، ویروس ها ، كرم ها و برنامه های اسب تروآ یی كه احیاناً قبلاً بروی سیستم ما بوده اند را بازآوری نماید . برای غیر فعال كردن این قسمت به آدرس زیر در ویندوز xp مراجعه كنید :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزینه زیر را تیك می زنیم :
“Turn of system Restore on all Drives"
انواع دیگر BLASTER
W32/Blaster-A
با نامهای مستعار Lovsan , MSBLAST , Poza گسترش یافته است .
هنوز چند هفته ای از شیوع این كرم نمی گذرد كه انواع جدیدتر آن نیز دیده شده است .
W32/Blaster-B
عملكرد این نسخه از Blaster نیز مانند نسخه پیشین است با این تفاوت كه فایلی كه در پوشه ویندوز ایجاد می كند دیگر msblast.exe نمی باشد ، فایلی با نام teekids.exe می باشد ، همچنین دستوری را كه در رجیستری ویندوز اضافه می كند نیز دستور قبلی نمی باشد بلكه این بار حاوی رشته كاراكترهایی اهانت آورعلیه Bill Gates و كمپانی مایكروسافت و سازندگان آنتی ویروسها می باشد.
نسخه دیگر این كرم با نام W32/Blaster-C نیز موجود است كه نام فایل ایجاد كرده در شاخه ویندوز آن penis32.exe می باشد .
نكته: در كلیه نسخه های این كرم همراه فایلهای exe ایی كه این كرم در شاخه ویندوز كپی می كند یك فایل با پسوند .pif نیز با همین نام در شاخه ویندوز می توان یافت
یكی از بررسی كنندگان ویروسهای كامپیوتری, گفت: اگر ساعت رایانهی خود را یك ساعت عقب بكشید, كرم بلاستر غیر فعال میشود.
به گزارش بخش خبر سایت اخبار فن آوری اطلاعات ایران IRITN, از خبرگزاری دانشجویان ایران (ایسنا), كرم اینترنتی بلاستر (Blaster), ویندوزهای xp و 2000 را مورد هدف قرار میدهد و تا كنون هزاران رایانه را در سطح دنیا آلوده كرده است.
این ویروس بعد از ورود در سیستم و ثبت خود, در مدت زمان (Timing) خود در سیستم كه حدود 50 ثانیه است, فعالیت خود را با ارسال پیامی آغاز میكند.
محمد محمدی, یكی از بررسی كنندگان ویروسهای كامپیوتری, در گفتوگو با خبرنگار سرویس IT ایسنا, اظهار داشت: در زمان دریافت پیغام این ویروس, اگر ساعت كامپیوتر خود را به مدت یك ساعت عقب بكشیم, فعالیت این ویروس مختل شده و كاربر فرصت پیدا میكند تا با Download كردن patch و آنتیویروسهای مناسب, با آن ویروس به صورت كامل مقابله كند.
وی, با تاكید بر دقت در عقب كشیدن ساعت كامپیوتر در هنگام ارسال پیام, برای جلوگیری از خاموش شدن (Shut down) كامپیوتر, گفت: در روش عقب كشیدن ساعت كامپیوتر برای مقابله با بلاستر, حتی دقایق و ثانیهها مهم است و ساعت كامپیوتر باید دقیقا به اندازه یك ساعت عقب كشیده شود.
وی در پایان با اشاره به رابطهی بین ویروسهای بلاستر, بك شل و w32 گفت: در ابتدا بلاستر وارد سیستم میشود و اگر جلو آن توسط آنتی ویروس گرفته شود, بك شل عمل كرده و با مشغول كردن آنتی ویروس به خود, جلوی شناسایی فایلهای w32 را توسط آنتی ویروس میگیرد و باعث رخنه آن به سیستمها میشود.
هدف اصلی این كرم اینترنتی ضربه زدن به مایكروسافت و سایت اینترنتی Windowsupdate.comاین كمپانی می باشد . نویسنده این كرم با این عمل می خواهد برای كاربرانی كه می خواهند سیستم عامل ویندوز خود را از این طریق در برابر هجوم این كرم محافظت كنند مشكل ایجاد نماید . این كرم حاوی رشته پیغام زیر در كدهای خود می باشد :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته این پیغام در نسخه دیگر و جدیدتر این كرم (W32/Blaster-B) تغییر كرده است .
كرم Blaster از طریق ایمیل گسترش پیدا نمی كند ، این كرم از طریق یافتن نسخه های آسیب پذیر ویندوز گسترش می یابد و این كار را از طریق سرویس (Remote Procedure Call) RPC ویندوز انجام می دهد . بنابراین برنامه های محافظ ایمیل قادر به شناسایی این كرم نیستند .
شركتها و مدیران شبكه ها می بایست تكه نرم افزارهای محافظ مخصوص این كرم را از روی سایت مایكروسافت دریافت و نیز از صحیح نصب شدن Firewall ها بروی سیستمها و سرورهای خود اطمینان حاصل كرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نكنند .
تمهیداتی برای مدیران شبكه ها
مدیران شبكه (Adminstrators) برای مقابله با نفوذ این كرم به درون سیستمها و خنثی كردن آن بهتر است به گونه زیر عمل كنند :
- در اولین قدم بهتر است اگر آنتی ویروسی بروی سیستم خود ندارید یك آنتی ویروس مناسب از یكی از سایتهای مشهور و مورد اطمینان مانند Symantec و یا Mcafee را بروی سیستمهای خود نصب نمایید و یا اگر آنتی ویروس بروی سیستمها موجود است آنها را update نمائید .
- در قدم بعدی patch موجود در سایت
مایكروسافت را بروی تك تك سیستمها و سرورها دریافت و نصب كنید ، این patch عملیات Blaster را خنثی می كند .
- در قدم بعدی از آنجا كه Blaster از فایل Tftp.exe كه یكی از فایلهای برنامه ای ویندوز بشمار می رود برای رسیدن به مقاصد خود استفاده می كند ، اگر این فایل بروی سیستمهای شبكه موجود است و زیاد از آن استفاده نمی كنید بهتر است ترجیجاً آنرا تغییر نام بدهید ، مثلاً به Tftp-exe.old . فراموش نكنید كه آنرا نباید پاك كرد ، ممكن است در آینده نرم افزارهای ما به آن احتیاج پیدا كنند .
- در قدم آخر توصیه می شود حتی الامكان ترافیك موجود در پورت های زیر را در نرم افزار Firewall خود مسدود نمائید .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect
شرح و بررسی W32/Blaster-A
نامهای مستعار :
W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A
نوع :
win32 worm
W32/Blaster-A كرمی است كه از طریق اینترنت و با استفاده از خطای آسیب پذیری DCOM موجود در سرویس (Remote Procedure Call) RPC سیستم عاملهای ویندوز كه این خطا برای اولین بار توسط خود كمپانی مایكروسافت در اواسط ماه جولای 2003 فاش شد ، منتشر می شود . لازم به ذكر است این كرم برخلاف اغلب كرمهای دیگر از طریق ایمیل گسترش نمی یابد .
سیستم عاملهایی كه در معرض هجوم این كرم می باشند بشرح زیر هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه های ویندوز xp آلوده شده به این كرم ، باعث می شود بطور متوالی سرویس RPC متوقف شود و پیغامی مبنی بر خاموش شدن سیستم ظاهر شود “ System ShutDown" و بعد از حدود یك دقیقه سیستم حاوی ویندوز xp ، Reboot می شود .
ویندوزهای 95 ، 98 ، ME كه از سرویس RPC استفاده نمی كنند از این بابت در خطر نیستند .
در مسیر یافتن سیستمهای آسیب پذیر ، كرم سیستم راه دور (كامپیوتر آسیب پذیر) را وادار به دریافت فایلی از طریق پروتكل دریافت فایل TFTP با عنوان msblast.exe ویا penis32.exe می نماید .
این فایل در شاخه ویندوز كپی می شود .
همچنین دستور زیر را در مسیر زیر واقع در رجیستری ویندوز اظافه می كند :
Code:
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe"
و نیز رشته كاراكتر زیر در كدهای این ویروس دیده شده كه البته واضح نیست :
Code:
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .
ده ویروس برتر سال 2003
Quote:
Quote:
Quote:
Quote:
Quote:
Quote:
Quote:
Quote:
Quote:
Quote:
علت ایجاد ویروس های کامپیوتری
انسان ویروس ها را ایجاد می نمایند. برنامه نویس مجبور به نوشتن کد لازم ، تست آن بمنظور اطمینان از انتشار مناسب آن و در نهایت رها سازی و توزیع ویروس است . برنامه نویس همچنین می بایست نحوه حملات مخرب را نیز طراحی و پیاده سازی نماید ( تبین و پیاده سازی سیاست حملات مخرب). چرا انسان ها دست به چنین اقداماتی زده و خالق ویروس های کامپیوتری می گردند؟
در رابطه با سوال فوق ، حداقل سه دلیل وجود دارد :
● دلیل اول : اولین دلیل مربوط به دلایل روانی با گرایش مخرب در وجود این نوع افراد است . دلیل فوق صرفا" به دنیای کامپیوتر برنمی گردد. مثلا" فردی بدون دلیل ، شیشه اتومبیل فرد دیگری را شکسته تا اقدام به سرقت نماید، نوشتن و پاشینن رنگ بر روی ساختمانها ، ایجاد حریق تعمدی در یک جنگل زیبا ، نمونه هائی در سایر زمینه ها بوده که بشریت به آن مبتلا است .برای برخی از افراد انجام عملیات فوق ، نوعی هیجان ایجاد می کند. در صورتیکه این نوع اشخاص دارای توانائی لازم در رابطه با نوشتن برنامه های کامپیوتری باشند ، توان و پتانسیل خود را صرف ایجاد ویروس های مخرب خواهند کرد.
● دلیل دوم : دلیل دوم به هیجانات ناشی از مشاهده اعمال نادرست برمی گردد. تعدادی از افراد دارای یک شیفتگی خاص بمنظور مشاهده حوادثی نظیر انفجار و تصادفات می باشند. قطعا" در مجاورت منزل شما به افرادی برخورد می نماید که عاشق یادگیری نحوه استفاده از باروت ( و یا ترقه ) بوده و این روند ادامه داشته و همزمان با افزایش سن این افراد آنها تمایل به ایجاد بمب های بزرگتر را پیدا می نمایند. فرآیند فوق تا زمانیکه فرد مورد نظر خسته شده و یا به خود آسیبی برساند ، ادامه خواهد یافت . ایجاد یک ویروس کامپیوتری که بسرعت تکثیر گردد مشابه موارد فوق است . افرادیکه ویروس های کامپیوتری را ایجاد می نمایند ، بمبی درون کامپیوتر را ایجاد کرده اند و بموازات افزایش کامپیوترهای آلوده ، صدای انفجار بیشتری بگوش فرا خواهد رسید.
● دلیل سوم : دلیل سوم به حس خود بزرگ جلوه دادن و هیجانات ناشی از آن برمی گردد. ( نظیر صعود به قله اورست ) اورست موجود است و هر فرد می تواند مدعی صعود به آن گردد. در صورتیکه برنامه نویسی یک حفره امنیتی موجود در یک سیستم را مشاهده و امکان سوءاستفاده از آن وجود داشته باشد ، سریعا" بدنبال سوءاستفاده از وضعیت فوق (قبل از اینکه سایرین اقدام به ناکام نمودن وی را در این زمینه داشته باشند) ، بر خواهند آمد.
متاسفانه اکثر ایجاد کنندگان ویروس های کامپیوتری فراموش کرده اند که آنها باعث ایجاد خرابی واقعی برای افراد واقعی هستند ( هیچ چیز در خیال و رویا نمی باشد ) حذف تمام اطلاعات موجود بر روی هارد دیسک اشخاص ، یک خرابکاری واقعی و نه خیالی! است .صرف زمان زیاد در یک شرکت بزرگ برای برطرف نمودن فایل های آلوده به ویروس یک خرابکاری واقعی و نه خیالی ! است. حتی ارسال یک پیام ساده و بی محتوا نیز بدلیل تلف شدن زمان ، یک نوع خرابکاری است . خوشبختانه قانون در این زمینه سکوت نکرده و در این راستا قوانین لازم تصویب و مجازات های سنگین برای افرادیکه ویروس های کامپیوتری را ایجاد می نمایند ، پیش بینی شده است .
ویروس جدید در قالب Service Pack
ویروس مذکور همچنین کلیه نرم افزارهای ضد ویروسی را از کار می اندازد.
24/10/1382
به تازگی ویروس جدیدی در اینترنت پخش گردیده که خود را در ظاهر Service Pack ویندوز Xp معرفی می کند. ویروس جدید که از طریق پست الکترونیک و در قالب ضمیمه هایی برای نامه های الکترونیک منتشر می گردد ادعا می کند که حاوی یک برنامه به روز کننده ویندوز Xp است که برای رفع نقص های این سیستم عامل عرضه شده است.
در صورتی که کاربر فریب خورده و ضمیمه مذکور را بارگذاری نماید ویروس مذکور که به Xombe معروف است با سرقت کلمات عبور و اجرای مجموعه ای از فرامین یک حمله اینترنتی موسوم به Denial Of Service را اجرا می نماید.
این ویروس شباهتهایی با ویروس Swen دارد که سال گذشته در اینترنت پخش شد. اما خود را به طور خودکار کپی نمی کند. این نامه به گونه ای عمل می کند که ظاهراً از سوی مایکروسافت برای کاربران ارسال شده است.
خطرناک ترین ویروس جدید!
*یکشنبه 28 دی 82 - *
یکشنبه 11 ژانویه 2004، از طریق دوستی فرانسوی میلی دریافت کردم که می گوید:
عصر شنبه Roadrunner77 (موسسه و مجله اینفورماتیک) پیدایش یک ویروس تازه را خبر داده است. که آنتی ویرووس آن هنوز ساخته نشده است. مایکروسافت، این ویروس را، خطرناکترین ویروسی شناخته است که تا به حال وجود داشته است، چون کارش به سادگی، نابود کردن عدد صفر در شبکه دیسک سختِ کامپیوتر است. ( میدانیم که اساس کار کامپیوتر با دو عدد 1 و 0 است).
این ویروس به شکل زیر عمل می کند: بطور اتوماتیک به همه آدرس های ای میلی موجود در کامپیوتر شما میلی میفرستد با عنوان « یک کارت برای شما» [" |Une Carte pour vous" یا " A card for you" یا" Eine Karte fuer Sie" ] . به محض این که آن را باز کنید، کامپیوتر شما بلوکه میشود . مجبورید خاموش و روشن اش کنید. و هنگامی که بخواهید خاموش _ روشن کنید، ویروس به دیسک سخت حمله می برد و ابتدا عدد صفر را نابود می کند و به بطور دائم، تمامی دیسک سخت را.
بنا به گزارش CNN دیروز این ویروس در عرض چند ساعت نیویورک را برهم ریخت.
اگر میلی به عنوان « کارتی برای شما» دریافت کردید، آن را باز نکنید! در همان صفحه ای میل پاک اش کنید؛ همینطور از انبار ای میل های حذف شده و از Temporary Internet Files ( زیر Windows).
روشن است که باید همیشه به برنامه آنتی ویروس مجهز باشید و آن هم فقط در صورتی موثر است که مدام روزآمد شود. این اخطار را به هر کسی که با او ارتباط ای میلی دارید بفرستید
ویروس مذکور همچنین کلیه نرم افزارهای ضد ویروسی را از کار می اندازد
ویروس های کامپیوتری سال گذشته 55 میلیارد دلار خسارت ایجاد کردند
کارشناسان این شرکت معتقدند که تاثیر مالی و اقتصادی حملات ویروسی در سال 2004 کماکان ادامه خواهد یافت
نتایج تحقیقات شرکت ضد ویروس Trend Micro نشان می دهد که حملات ویروسی و هکری به کامپیوترهای موجود در سراسر جهان در سال 2003 حدوداً 55 میلیارد دلار خسارت به بار آورده است و انتظار می رود این رقم در سال جاری افزایش یابد.
شرکتهای مختلف در سال 2002 از حملات ویروسی 20 تا 30 میلیارد دلار زیان دیدند. این رقم در سال 2001 حدود 13 میلیارد دلار بود.
کارشناسان این شرکت معتقدند که تاثیر مالی و اقتصادی حملات ویروسی در سال 2004 کماکان ادامه خواهد یافت و حملات هرزنامه ای و ویروس های شبکه ای احتمالاً در سال 2004 بسیار شایع خواهند بود. مخصوصا که هرزنامه ها مخفی گاهی برای انواع و اقسام ویروس ها خواهند بود. در این میان هکرهای کار کشته با ترکیب روشهای مختلف کاربران ناآگاه را به دردسر خواهند انداخت.
همچنین سرویس های پیام رسانی مانند IRC نیز کانالی برای انتقال ویروس خواهند بود. گفتنی است که تحقیقات موسسه IDC نشان می دهد که شرکتهای ضد ویروس نیز به ناظر گسترش این پدیده در دنیای کامپیوتر در سال 2007 در آمدی معادل با 4/6 میلیارد دلار خواهند داشت.
آشنایی با Spywareها و تهدیدات اینترنتی
منبع: www.pandasoftware.com
ترجمه : مرجان دارابی
تا به حال الفاظی چون " تهدیدات IT" یا " كدهای مخرب " منحصرا به ویروس های كامپیوتری اطلاق می شد در حالیكه گونه هایی دیگر از برنامه های مخرب كامپیوتری وجود دارند كه باعث به وجود آمدن خسارات بسیار جدی تری از خسارات ویروسها، كرم ها یا تروجان ها می شوند.
این برنامه ها شامل Spywares ( نرم افزارهای جاسوسی )، Adwares ، Keyloggers ، spams و Dialer ها هستند. اینها مخرب های جدیدی نیستند و می توان گفت كه سالها از حضور آنها در اینترنت می گذرد اما در این مدت تعداد آنها در مقایسه با ویروسها بسیار ناچیز بوده است.
در صورتیكه اخیرا حضور آنها بسیار مهم شده است، آنقدر مهم كه اصطلاح Malware ( بد افزار ) برای همه آنها ابداع شده.
كلمه "Malware " كه از دو كلمه ((MALicious softWARE استخراج شده، به كلیه برنامه ها، اسناد یا نامه هایی كه باعث ایجاد یك خرابكاری در سیستمهای IT هستند، اطلاق می شود. این اصطلاح كلیه ویروسهای كامپیوتری را نیز در بر می گیرد. به همین دلیل فایلهایی مانند كوكی ها كه معمولا كاملا بی خطر هستند، از آنجا كه گاهی اوقات دست به سرقت اطلاعات محرمانه یك كامپیوتر می زنند ، می توانند در این دسته بندی جای بگیرند.
دلیل اصلی ازدیاد انواع Malwares سودهای مالی است كه نصیب نویسندگان آنها می شود. بر ای مثال نویسنده یك spyware با هدف فروش اطلاعات سری كاربران به شركتهای بازاریابی ، به كامپیوتر كاربران مختلف دستبرد می زند و یا نویسنده یك Adware می تواند از طریق ارسال تبلیغات یك شركت به كاربران مختلف كسب درآمد كند، بدون توجه اینكه كاربران تمایلی به دیدن این تبلیغات داشته باشند.
Keylogger ها اغلب برای جمع آوری اطلاعات مالی مانند شماره حساب بانكی، جزئیات كارت های اعتباری ، password ها و PIN ها استفاده می شوند.
Dialer ها ، بدون اینكه كاربر متوجه شود از طریق مودم شروع به شماره گیری یك تماس پر هزینه می كنند.
انواع Malware های مذكور می توانند در سطح بسیار گسترده ای منتشر شوند و بدون اینكه كاربران متوجه شوند روی سیستمشان نصب شوند. به این دلیل عجیب نیست زمانیكه كامپبوترهای بدون محافظ با یك anti-malware اسكن می شوند تعداد زیادی برنامه های مخرب در آنها پیدا شود.
حكایت Spyware ها
spyware یك برنامه آلوده است كه وظیفه جاسوسی حركت های كاربر را در اینترنت به عهده دارد. Spyware می تواند اطلاعاتی از قبیل ماهیت صفحات وب بازدید شده و مدت زمان و تعداد دفعات بازدید از یك صفحه را جمع آوری كند. این اطلاعات برای شركت های تبلیغاتی بسیار با ارزش هستند چرا كه این شركت ها می توانند با استفاده از این اطلاعات هرزنامه هایی مطابق علائق كاربران برایشان ارسال كنند. برای مثال كاربری كه دائما وب سایت های ورزشی را می بیند ممكن است نامه هایی ناخواسته دریافت كند كه تبلیغات لوازم ورزشی می كنند.
Gator و Bargainbuddy دو spyware معروف بودند كه به طور وسیعی منتشر شدند و هنوز هم فعال هستند. شاید به سختی یك كاربر اینترنتی حرفه ای پیدا شود كه تا به حال با spyware ها برخورد نكرده باشد.
.
Gator مثال خوبی است برای اینكه نشان دهیم چگونه spyware ها كار می كنند. این برنامه با ارسال یك فرم و پیشنهاد ارائه خدمات رایگان برای كاربر او را تشویق به نصب برنامه ای می كند و او را ترغیب می كند برای اینكه password خود را فراموش نكند آن را ذخیره كنند. سپس از طریق یك پنجره از كاربر اجازه نصب می خواهد و در میان كارهای اینترنتی كاربر تبلیغاتی ناخواسته را نمایش می دهد. از همه بدتر این است كه كاربر با دادن اجازه برای نصب برنامه Spyware ها را نیز نصب می كند.
.
Spyware ها معمولا به طور محرمانه ای بر روی سیستم نصب می شوند. گاهی اوقات با دیدن یك صفحه وب و قبول كردن نصب یك ActiveX control به طور خودكار نصب می شوند و در بعضی مواقع از طریق بك برنامه دیگر بر روی سیستم نصب می شوند.
آینده Spyware ها
درست مثل بقیه تهدیدات اینترنتی، Spyware ها هم روز به روز پیچیده تر و پیشرفته تر می شوند و شناسائی و از بین بردن آنها نیز مشكل تر. در همین زمان سازندگان این بدافزارها سعی می كنند محصولاتشان تا جائی كه ممكن است بیشتر منتشر شود تا بتوانند سود بیشتری بدست آورند. از آنجا كه spyware ها عمدتا حجم زیادی دارند و نمی توانند از طریق e-mail منتشر شوند در نتیجه تعداد ویروسهای كامپیوتری ( كه آسان تر و سریعتر منتشر می شوند ) كه
می توانند Spyware ها را بر روی سیستم آلوده شده download كنند هر روز بیشتر می شود. در واقع یك ویروس می تواند راه را برای نفوذ تعداد زیادی نرم افزار جاسوسی بر روی یك كامپیوتر باز كند.
مبارزه با Spyware ها
تنها راه حل موجود برای جلوگیری از نفوذ Spyware ها به روز كردن یك Anti- malware و یك فایروال است كه بنوانتد پورت های انتقال اطلاعات ( كه كاربر اطلاعی از آنها ندارد ) را ببندتد. یك راه حل خوب ،استفاده از یك برنامه امنیتی مثل Panda Platinum Internet Security 2005 است كه نه تنها از پیشرفته ترین تكنولوژی آنتی ویروس استفاده كرده بلكه دارای سیستمی است كه قادر به شناسائی و از بین بردن انواع تهدیدات اینترنتی و spyware ها
می باشد. همچنین این محصول شركت آنتی ویروس پاندا دارای یك فایروال شخصی بسیار قوی و تكنولوژی جدید Truprevent می باشد كه قابلیت شناسائی انواع ویروس های ناشناخته را دارد
DomwisG كرمی است كه از طریق شبكه های ویندوزی منتشر می گردد كه دارای خصوصیات یك تروجان درپشتی می باشد و به یك كاربر اجازه می دهد كه به سیستم آلوده ی دسترسی كامل داشته باشد.
در اولین اجرا كرم خودش را به صورت یك فایل مخفی به نام SYSCFG16.EXE در شاخه سیستمی ویندوز كپی می كند.
برای اینكه Domwis-G به صورت خودكار در سیستم اجرا گردد مدخل های زیر را در رجیستری ایجاد می كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows System Configuration
<Windows system folder>\SYSCFG16.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows DLL Loader
<Windows system folder>\SYSCFG16.EXE
این كرم می تواند فایل هایی را از سیستم آلوده حذف كند یا فایل هایی را از شبكه دریافت كند و آنها را در سیستم آلوده اجرا كند.
این كرم می تواند اطلاعات بیهوده ای را به سایتهایی در اینترنت ارسال كند و برای مخفی ماندن خود از آدرس های IP جعلی استفاده می كند.
این درپشتی همچنین می تواند برای پویش سیستم های دیگر و برای به دست آوردن پورت های باز سیستم یا آسیب پذیری ا موجود در آنها مورد استفاده قرار گیرد.
توصیه ها :
1-به روز كردن آنتی ویروس
2- دریافت Removal از سایت Kaspersky
3-روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجیستری زیر مدخلهای
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows System Configuration
<Windows system folder>\SYSCFG16.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows DLL Loader
<Windows system folder>\SYSCFG16.EXE
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
Dloader-IE كرمی است كه فایل هایی را از طریق اینترنت دریافت می كند.
این كرم فایلی را از یك URL مشخص و از قبل تعریف شده دریافت می كند و این فایل را به نام active_url.dll در شاخه سیستمی ویندوز كپی می كند.در اصل این فایل یك فایل كمكی برای تروجان می باشد و نشان می دهد كه تا الان چه فایل هایی دریافت شده اند.
این تروجان همچنین خودش را به نام msapp.exe در شاخه سیستمی ویندوز كپی می كند و مدخل های زیر را نیز در رجیستری ایجاد می كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgs.exe
<Windows system folder>\msapp.exe
توصیه ها :
1-به روز كردن آنتی ویروس
2- دریافت Removal از سایت Kaspersky
3-روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجیستری زیر مدخلهای
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgs.exe
<Windows system folder>\msapp.exe
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
Goldun-I تروجانی است كه سعی می كند اطلاعات E-Gold را برباید.
تروجان پس از اجرا فایل های csrss.dll و photo_show1.jpg را در سیستم ویندوز قرار می دهد و مدخل های زیر را در رجیستری قرار می دهد:
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32
@
%SYSTEM%\csrss.dll
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32
ThreadingModel
Apartment
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)
script_patch
http://manvestmarketing.com/1/gold.php
photo_show1.jpg عكسی برانگیزنده می باشد كه به عنوان طعمه استفاده می شود.
فایل DLL یك Browser Help Object می باشد كه از درخواست های ارسالی به سایت e-gold جلوگیری می كند و اطلاعات را می رباید و آنها را به كاربری در دور دست ارسال می كند.
توصیه ها :
1-به روز كردن آنتی ویروس
2- دریافت Removal از سایت Kaspersky
3-روش پاك سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یك كپی از آنها تهیه كنید.
پسورد Administrator را دوباره تغییر دهید و یك نگاهی به مسایل امنیتی شبكه خود بیندازید.
در taskbar دكمه start را بزنید و منوی run را اجرا كنید و در آن Regedit را بنویسید و دكمه ok را كلیك كنید تا صفحه ویرایشگر رجیستری شما باز شود . فراموش نكنید كه قبل از دستكاری رجیستری یك نسخه پشتیبان از آن تهیه كنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry روی گزینه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزینه All را انتخاب كرده و سپس دكمه Save را كلیك كنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجیستری زیر مدخلهای
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32\@\%SYSTEM%\csrss.dll
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\InProcServer32\ThreadingModel\
Apartment
HKCR\CLSID\(92617934-9abc-def0-0fed-fad48c654321)\script_patch\
http://manvestmarketing.com/1/gold.php
هر مدخلی كه به فایلی اشاره می كرد حذف كنید.
آشنایی با ویروس Sasser.D
ایلنا
سه شنبه 22 اردیبهشت 83
ویروس Sasser.D با ارسال فرمان به رایانه آسیب پذیر , آن را وادار به دریافت اجرای فایل آلوده به این ویروس می كند . گونه های مختلف ویروس Sasser بر خلاف ویروس های رایج طی چندین ماه گذشته كه تنها از طریق پیام های الكترونیكی انتشار و گسترش می یابند و هیچ استفاده از پست الكترونیكی نكرده و هیچ پیام و یا فایل پیوست آلوده ارسال نمی كنند . بنا براین گزارش , ویروس Sasser.D از نقطه ضعفی در سیستم عامل Windowos استفاده می كند كه چندی پیش جزییات و نحوه اصلاح و ترمیم آن از سوی شركت مایكروسافت در قالب بر نامه ماهانه خود اعلام شده بود . گفتنی است نقطه ضعف مورد سوء استفاده ویروس Sasser تحت عنوان اصلاحیه شماره MS-04-011 اعلام و فایلهای اصلاحی لازم برای هر یك از انواع سیستم های عامل در معرض خطر , عرضه شده است . این گزارش حاكی است, تنها راه مقابله و رهایی از این ویروس استفاده از اصلاحیه MS04-011 مایكروسافت است . طبق این گزارش , Sasser.D از طریق فایل آلوده ای به نام Skynetave.EXE منتشر شده و یك كپی از فایل مذكور را در شاخه Windows ایجاد می كند كه دستور اجرای آن در Registery نیز قرار می گیرد , قادر است در هر بار راه اندازی رایانه , ویروس دوباره فعال شود. یكی از اثرات اصلی ویروس Sasser.D تاثیری است كه بر روی فایل LSASS.EXE گذاشته و باعث از كار افتادن آن می شود , سیستم هایی كه فایل LSASS.EXE بر روی آن ها از كار ببیفتد به طور خودكار مجددا راه اندازی می شوند . Sasser.D به محض یافتن رایانه های آسیب پذیر اقدام به سرازیر نمودن حافظه در نظر گرفته شده برای فایل LSASS.EXE می كند, بدین طریق ویروس می تواند یك فایل FTP SCRIPT با نام CMD.FTP را به روی درگاه شماره 995 رایانه قربانی قرار داده تا آنرا اجرا كند. اجرا این Script رایانه قربانی را وادار به دریافت (downloud) فایل آلوده با نام Up.exe ( یك عدد تصادفی ) از رایانه ای كه قبلا آلوده شده ,كرده و سپس دستور اجرای آن را صادر می كند . بر اساس این گزارش , كاربران نرم افزار ضد ویروس Mcafee كه دارای حداقل فایلهای اطلاعاتی DAT4347 باشند قادر به شناسایی و پاك سازی Sasser.B هستند. شایان ذكر است تنها سیستم عامل هایwindows 2000 service Pack2 windows 2000 service Pack3 ، windows 200 service Pack4 ، ویندوز XP و windows XP service Pack1 و windows Xp 64 - bit Edition service Pack 1 در معرض حمله ویروس sasser هستند.
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی كنید.
شناسایی 5 نوع متفاوت از كرم Sasser
موج به نقل از بی بی سی
چهارشنبه 23 اردیبهشت 83
پس از دستگیری نویسنده كرم ساسر هنوز خطر این ویروس تمام نشده است و مایكروسافت به كاربران سیستم عامل های ویندوز هشدار داد مراقب جدیدترین گونه ویروس Sasser به نامه Sasser.E باشند . روز گذشته پلیس آلمان اعلام كرد با همكاری CIA شخص مظنون به خرابكاری اینترنتی را در شهر روتنبرگ دستگیر كرده است ولی فقط چند ساعت پس از دستگیری نویسنده كرم Sasser مایكروسافت اعلام كرد نسخه ای جدید از این ویروس در حال انتشار در شبكه جهانی اینترنت است . نسخه اولیه این ویروس در عرض چند روز توانست 18 میلیون رایانه را در دنیا آلوده كند ولی از آنجایی كه سرعت انتشار نسخه جدید ویروس Sasser موسوم به Sasser.E چندان بالا نیست , كاربران می توانند با دریافت نرم افزار های پشتیبانی مایكروسافت, رایانه خود را در برابر حمله این ویروس مقاوم كنند . گفتنی است , كارشناسان معتقدند ویروس Sasser دارای همان اصول ساختاری ویروس Netsky است .
ویروس رایانهای <دابر> در اینترنت شناسایی شد
ایرنا:
كارشناسان رایانه برای اولینبار یك ویروس رایانهای شناسایی كردند كه از نقایص ویروسی دیگر، برای گسترش خود استفاده میكند.
به گزارش سایت اینترنتی <نیوساینتیست>، ویروس جدید با نام <دابر> (Dabber)، از ایرادهای موجود در متن برنامه ویروس <ساسر>، برای گسترش خود استفاده میكند.
ویروس <ساسر> اولینبار روز 30 ماه آوریل گذشته شناسایی شد.
این ویروس از یك حفره امنیتی موجود در نگارشهای <ویندوز 2000> و <ویندوز ایكس پی> برای آلوده كردن رایانهها استفاده میكرد.
ویروس اولیه <ساسر> و نگارشهای بعدی آن، میلیونها رایانه را در سرتاسر جهان آلوده كردند.
شركت ارائهدهنده خدمات امنیتی رایانهای <لرك> (LURHQ) در میشیگان آمریكا اعلام كرد هرچند در گذشته دیده شده بود برخی ویروسهای رایانهای از تغییرات و حفرههای امنیتی ایجاد شده توسط سایر ویروسهای قدیمیتر در رایانهها برای گسترش خود استفاده كنند، اما این اولینباری است كه مشاهده میشود یك ویروس رایانهای از اشكالات موجود در متن برنامه یك ویروس دیگر، برای گسترش خود بهره میگیرد.
ویروس <دابر>، شبكههای رایانهای را به منظور یافتن رایانههای مبتلا به ویروس <ساسر> جستوجو میكند پس از شناسایی رایانه مبتلا به <ساسر>، ویروس <دابر> از یك اشكال موجود در متن برنامه ویروس <ساسر> استفاده كرده و رایانه را آلوده میكند.
این ویروس پس از پاك كردن تمامی نشانههای ویروس <ساسر> در رایانه مبتلا، یك حفره امنیتی در رایانه ایجاد میكند كه احتمالا نویسنده ویروس از آن برای نصب نرمافزارهای مورد نظر خود روی رایانه های مبتلا شده از راه دور بهره میگیرد.
بدین ترتیب نویسنده ویروس و یا نفوذگران رایانهای (هكرها) میتوانند بهطور كامل كنترل رایانه آلوده شده را از راه دور در دست خود بگیرند.
ویروس <دابر> در انتهای چرخه فعالیت خود، مجددا شروع به جستوجوی شبكههای رایانهای به منظور یافتن رایانههای مبتلا به ویروس <ساسر> میكند تا آنها را نیز به شیوه مشابه مبتلا سازد.
ویروس <دابر> در مدت زمان كوتاهی پس از اعلام دستگیری نویسنده ویروس <ساسر> در اینترنت منتشر شده است.این فرد یك جوان 18 ساله آلمانی است كه پس از دستگیری به طراحی ویروس <ساسر> اعتراف كرده است. شركت <مایكروسافت> پیش از این اعلام كرده بود كه در ازای اطلاعات منجر به دستگیری نویسندگان ویروسهای رایانهای، 250 هزار دلار جایزه اهدا میكند و دستگیری اخیر نیز ظاهرا در پی تماس با شركت مایكروسافت برای معرفی این جوان، صورت گرفته است.
كرم Wallon از Yahoo و رخنه ای در IE استفاده می كند !
سایت امنیت وب -
این كرم توسط پست الكترونیكی خودش را منتشر می كند و در روز جمعه مشاهده شده است.
كمپانی های ضد ویروس اخیرا اخطاری درباره كرمی دادند كه خودش را از طریق پست الكترونیك منتشر می كند. این كرم حاوی لینك دروغینی به سایت Yahoo می باشد كه باعث می شود كاربر پس از كلیك كردن روی این لینك دروغین برنامه آلوده را دانلود كند.
كرم Wallon در روز جمعه منتشر شده بود اگر چه شركت های آنتی ویروس آن را در روز شنبه به اطلاع كاربران رساندند. این كرم حاوی هیچ فایلی نمی باشد و فقط هنگامی كه كاربران روی آدرس دروغین آن كلیك می كنند به این كرم آلوده می شوند.
برخی از شركت های آنتی ویروس آن را در رده كرم های كم خطر قرار داده اند در صورتی كه برخی دیگر گفته اند كه تعداد زیادی گزارش از آلودگی كاربران در روزهای اخیر دریافت كرده اند.
شبیه كرمهای دیگر این كرم نیز یك موتور SMTP دارد كه با پیدا كردن آدرس های پست الكترونیك خودش را منتشر می كند. این كرم پیغامهایی را تولید می كند كه در قسمت موضوع آن RE و لینك دروغین آن نیز http://drs.yahoo.com می باشد
وقتی كاربران روی این لینك كلیك می كنند باعث می شود به علت بعضی از رویداد هایی كه در مرورگر آنها اتفاق می افتد به یك صفحه ای به جز Yahoo وارد شوند و از آنجا كد ویروس دانلود شده و اجرا می شود.
این مشكل به یكی از آسیب پذیریهای مرورگرهای مایكروسافت بر می گردد كه Object data Vulnerability نام دارد. این كرم فقط ویندوزهایی را آلوده می كند كه هنوز به روز نشده اند و پچ های مایكروسافت را نصب نكرده اند.
Wallon با به دست آوردن آدرس های پست الكترونیك خودش را روی اینترنت منتشر می كند.
کرم Bobax کامپیوتر شما را به یک مرکز انتشار Spam تبدیل می کند!
چهارشنبه,30 اردیبهشت 1383
کارشناسان خبر از انتشار گونه جدیدی از کرم های اینترنتی به نام Bobax داده اند. این کرم ها کامپیوتر آلوده را به یک کارخانه تولید هرزنامه تبدیل می کنند و وب سایتها را مورد حمله از نوع DOS قرار می دهد.
نکته جالب اینکه کرم W32/Bobax-A از رخنه امنیتی استفاده می کند که کرم ساسر استفاده می کرد.
پس فرصت خوبی ایجاد شده است برای کسانی که هرزنامه تولید می کنند تا شبکه ای از کامپیوتر های بیگناه را آلوده کنند و از آنها به عنوان وسیله ای برای فرستادن هرزنامه هایشان استفاده کنند.
البته با توجه به اینکه تعداد زیادی از کاربران اینترنت patch امنیتی مایکروسافت را نصب کردهاند احتمال شیوع گسترده این کرم اندک می باشد.
همانطور که می دانید برای آلوده شدن به ویروس ساسر یا این کرم جدید (Bobax) هیچ نیازی به اجرای فایل های ضمیمه شده در ایمیل نیست. بلکه این دو فقط و فقط به خاطر اینکه شما به اینترنت وصل شده اید و با استفاده از سوراخ امنیتی که در کامپیوتر شما وجود دارد شما را آلوده می کنند.
کسانی که وصله امنیتی مربوط به ویروس ساسر را نصب کرده اند جای هیچ نگرانی ندارند. اما کسانی که هنوز این کار را نکرده اند بهتر است که خوش بینی را کنار گذاشته و هر چه سریعتر patch مربوطه را از قسمت نرم افزار سایت دریافت و نصب کنند.
كرم اینترنتی W32.Cycle و آسیب پذیری موجود در سرویس LSASS
جمعه,1 خرداد 1383
آشیانه
کرم اینترنتی جدیدی به نام W32.Cycle که از آسیب پذیری موجود در سرویس LSASS برای تکثیر استفاده می کند, شناسائی شد.
همچنین خبرها حاکی از ظهور نسل جدید کرم ساسر معروف به W32.Sasser.F می باشند.
قبلا از طریق همین سایت در مورد کرم ساسر اطلاعاتی در اختیار شما قرار گرفته است , با توجه به اهمیت موضوع و اینکه همه این کرمها از یک آسیب پذیری ستفاده می کنند به طور خلاصه این آسیب پذیری » Windows LSASS Remote Buffer Overrun « را بررسی می کنیم :
گروه امنتی eEye این آسیب پذیری را در LSA Service کشف کرده است که منجر به Remote Overflow می شود و به نفوذگر این امکان رامی دهد که کدهای خود را از طریق پایپ ارتباطی LSA RPC بر روی پورتهای 135 و 445 بر روی سیستم قربانی با سطح دسترسی Admin اجرا کند. این باگ از نقطه ضعف توابع LSASS DCE/RPC که در داخل Microsoft Active Directory می باشد استفاده می کند , این توابع امکان استفاده از Active Directory را بصورت Local و Remote فراهم می کنند.
اما عاملی که باعث بروز مشکل می شود به صورت خلاصه بشكل زیر است:
تابع مذکور که از سرویس های Active Directory می باشد یک Log File به منظور اشکال زدائی ( Debug ) ایجاد می کند , این Log File که" DCPROMO.LOG " نام دارد در دایرکتوری debug از زیر شاخه های دایرکتوری windows قرار دارد.ابزار Logging به صورت تابعی در داخل LSASRV.DLL فراخوانی می شود, این تابع از روتین ( ) vsprintf برای ایجاد اقلام ورودی در داخل Log File استفاده می کند.نکته مهم اینجاست که هیچ محدودیتی برای طول رشته ای که این تابع استفاده می کند وجود ندارد , حال اگر یک رشته با طول بزرگ به عنوان پارامتر ورودی برای این تابع ارسال شود Boffer Overflow رخ می دهد. به ترتیب نفوذگر با ایجاد یک Overflow بر پایه Stack قادر به گرفتن Shell از سیستم هدف خواهد بود.
به همه عزیزان توصیه می کنم بسته اصلاحیMS04-011 را حتماُ دریافت و بر روی سیستم خود نصب کنید.
ویروس جدید اینترنتی باز هم سیستم عامل ویندوز را مورد حمله قرار داد
ایلنا
شنبه,2 خرداد 1383
یك ویروس جدید اینترنتی موسوم به Wallon كه طریق پیامهای آلوده اینترنتی منتشر میشود, سبب حذف برنامه Windows Media Player از روی سیستم عامل ویندوز مایكروسافت می شود.
ویروس Wallon هنگامی كه كاربر رایانه آلوده سعی میكند یك فایل و یا سیدی MP3 را با سیستم Windows Media Player اجرا كند , فعال شده و سبب حذف این برنامه شده , خود جایگرین آن میشود.
بنابراین گزارش, ویروس Wallon همانند ویروسهای Netsky و Bagle از طریق ارسال پیامهای آلوده اینترنتی منتشر شده و حاوی یك فایل ضمیمه آلوده است, با باز نمودن این فایل ضمیمه توسط كاربر, ویروس Wallon با اجرای یك سری كد ویژه , نشانیهای موجود در حافظه رایانه را به سرقت برده و نیز سبب باز نمودن یك در پشتی پنهان در حافظه رایانه آلوده می شود ,كه این در پشتی امكان تسلط هكرها به رایانه آلوده را فراهم میكند. این گزارش حاكی است, كارشناسان شركت فلاندی ضد ویروس F-Secure معتقدند با توجه به اینكه در ماههای اخیر كاربران اینترنت با موج عظیم ویروسها رو برو بودهاند, در باز نمودن فایلهای ضمیمه ایمیلهای ناشناخته بسیار محتاط هستند, از این رو نویسندگان ویروس Wallon با قرار دادن یك لینك در ایمیلها آلوده سبب انحراف ذهن كاربران شده , آنان را تشویق به كلیك كردن بر روی این لینك میكنند , با كلیك كردن بر روی این لینك كاربران ناخواسته سبب دانلود شدن ویروس Wallon میشوند. طبق این گزارش, برای فعال شدن ویروس Wallon تنها دانلود آن كافی نبوده و این ویروس تا زمانیكه كه كاربر بخواهد یك سیدی MP3 و یا یك فیلم را توسط برنامه Windows Media Player اجرا كند غیر فعال باقی میماند. شایان ذكر است, اگر چه سرعت انتقال ویروس Wallon چندان بالا نیست, این ویروس به دلیل آنكه جایگزین Wmplayer.exe میشود بسیار مخربتر از ویروسهای قبلی است. لازم به ذكر است, كاربرانی كه رایانه آنان به ویروس Wallon آلوده شده است نیاز به نصب مجدد برنامه ویندوز مدیا پلییر دارند. گفتنی است, برای جلوگیری از آلوده شدن رایانه به ویروس Wallon كاربران باید برنامه ترمیمی Microsoft MSO4-13Patch را از روی سایتhttp://www.microsoft.com دانلود كنند. هشدار ویروس : NETSKY D
- گزارش های جدیدی از انتشار جدیدترین نسخه ویروس نت اسکای که چهارمین نسخه از این ویروس نیز هست ، منتشر شده است.
Netsky.D هم اکنون در بالای لیست خطرناک ترین ویروس ها قرار دارد و همچون دیگر نسخه های این ویروس از طریق پست الکترونیک سیستم ها را آلوده می کند.
ویروس نت اسکای اولین بار در 16 فوریه در اینترنت مشاهده شد اما از آن زمان تاکنون هفت شاخه جدید از آن ایجاد و انتشار یافته شده است.
نت اسکای دی که تازه ترین نسخه از این نوع ویروس است اولین بار 1 مارس دیده شد و تا کنون کمپانی های ضد ویروس هشدارهای متعددی درباره آن منتشر ساخته اند. گفته می شود که این ویروس در روز 2 مارس با یک بیب حضور خود را در دستگاه آلوده اعلام می کند
نت اسکای دی دستگاه های ویندوز 95، 98، 2000 ، ME وایکس پی را هدف قرار می دهد.
همچون دیگر ویروس ها این ویروس نیز از طریق ایمیل و یک فایل آلوده به کامپیوتر کاربر وارد می شود و پسوند .pif را دارد.
توصیه متخصصان به روز سازی سریع نرم افزارهای ضد ویروس و حذف کردن نامه های مشکوک به حمل این ویروس هستند.
نامه های آلوده با موضوعات زیر به صندوق پستی افراد ارسال می شود:
Re: Hello
Re: Hi
Re: Thanks!
Re: Document
Re: Message
Re: Here
Re: Details
Re: Your details
Re: Approved
Re: Your document
Re: Your text
Re: Excel file
Re: Word file
Re: My details
Re: Your music
Re: Your bill
Re: Your letter
Re: Document
Re: Your website
Re: Your product
Re: Your document
Re: Your software
Re: Your archive
Re: Your picture
Re: Here is the document
Netsky.q جدید ترین کرم اینترنتی
اکثر شرکتهای ضد ویروس شدت خطر کرم Netsky را افزایش داده و میزان آن را از "متوسط" به "مهم" رسانده اند.
16/01/1383
جدیدترین نسخه از کرم Netsky که نسخه q از این کرم مخرب اینترنتی محسوب می شود برخی کاربران اینترنتی را با مشکل مواجه کرده است و کپی های جدید این ویروس از روز دوشنبه مشاهده گردیده است. همچنین چندی قبل نسخه هایی از کرم هایBagel و Sober نیز فضای سایبر را آلوده کرده بود.
اکثر شرکتهای ضد ویروس شدت خطر کرم Netsky را افزایش داده و میزان آن را از "متوسط" به "مهم" رسانده اند. همچنین شرکت امنیتی سیمانتک خطر این ویروس را در مقیاس 5 واحدی خود از 2 به 3 افزایش داده است.
Netsky که نسخه پیشرفته تر کرم My Doom محسوب می شود از سه حوزه امنیتی موجود در مرورگر اینترنتی مایکروسافت یعنی IE سوء استفاده می کند. این ویروس عموماً در قالب نامه های الکترونیک برای کاربران ارسال می شود که در آن ادعا شده نامه های کاربران به مقصد نرسیده است. موضوع این نامه ها Server Error یا Mail Delivery Failure است.
گفتنی است که در برخی موارد این کرم حتی بدون باز شدن فایل ضمیمه حاوی ویروس نیز کامپیوترهای کاربران را آلوده می کند و متخصصان از کاربران خواسته اند تا در این موارد هوشیار باشد.
معرفی ویژگی های نسخه جدید نرم افزار دیواره آتش MCAFEE
نرمافزار دیواره آتش MCAFEE به همراه برنامه VirusScan و با بهرهگیری از ابراز مدیریت شبكه میتواند یك سیستم محافظتی جامع در برابر و یروسها ایجاد كند.
به گزارش بخش خبر سایت اخبار فنآوری اطلاعات ایران ، به نقل از ایلنا, دیواره آتش, نرمافزاری است كه تمام بستههای اطلاعاتی ورودی و خروجی به شبكه را كنترل كرده و نیز ارتباطات نرمافزارهای مختلف با بیرون را زیر نظر میگیرد.
بنابراین گزارش, این نرمافزار همچنین مدیریت درگاهها را انجام داده مشخص می كند كدام درگاهها باید باز بوده و كدام برنامهها باید بتوانند از آنها استفاده كنند.
این گزارش حاكی است, چندی است كه عرضه نرمافزار دیواره آتش در كنار برنامههای ضد ویروس از سوی شركتهای معتبر امنیتی شروع شده و اینك جزء ثابت بستههای نرمافزاری است.
نرمافزار دیواره آتش MCAFEE Desktop Firewall به نحوی طراحی شده است كه به طور كامل با نرم افزار ضد ویروس VirusScan و مهمتر از آن با ابزار مدیریت شبكه e - Policy در هم آمیخته و یك سیستم محافظتی جامع در برابر ویروسها, افراد نفوذگر( (Hackers , برنامههای مخرب و سارقین اطلاعات شخصی ایجاد كند.
به این ترتیب میتوان Desktop Firewall MCAFEE را از راه دور بر روی تمام دستگاههای موجود در شبكه نصب و به روز رسانی كرد, همچنین تمام تنظیمات مربوط را یك بار از طریق یك نقطه و به شكل متمركز انجام داد.
همچنین , در این نرم افزار باید مشخص شود كه چه برنامهها و سرویس هایی بر روی رایانهها مجاز به دسترسی به خارج از شبكه بوده و یا از خارج از شبكه چه كسا نی میتوانند به آنها وصل شود.
طبق این گزارش, همچنین باید تعریف شود كه از 65 هزار 535 درگاه قابل تعریف روی هر دستگاه, چه درگاههایی میتوانند برای ارتباط با بیرون باز باشند. حتی باید نقش پودمان (Protocol)های قابل استفاده در شبكه نیز مشخص شود.
شایان ذكر است, نسخه جدید نرمافزار دیواره آتش MCAFEE ویژگی جدیدی دارد كه نام حالت یادگیری (Learn Mode) بر آن نهادهاند. وقتی مدیر شبكه, نرمافزار را در این حالت نصب میكند, برنامه تمام ارتباطات دستگاه را زیر نظر گرفته و بر اساس آن, قواعد دیواره آتش را تعریف میكند, سپس مدیر شبكه و یا كاربرد دستگاه میتواند این قواعد را مرور كرده و مورد تایید قرار دهد و یا برخی را تغییر داده و نهایتاً نرمافزار را به مناسبترین شكل تنظیم كند.
ویژگی دیگری كه در این نرمافزار وجود دارد «حالت قرنطینه » (Quarantine Mode) است. به این معنی كه اگر نرمافزار متوجه ضعفی در تنظیمات خود شود و یا از به روز بودن خود اطمینان حاصل نكند, ارتباط دستگاه با بیرون را تا هنگامیكه با سرویس دهنده e - Policy تماس گرفته و عمل به روز رسانی انجام شود, محدود میكند.
گفتنی است, نرمافزار دیواره آتش كه با ابزار e - Policy منعكس كرده و از این طریق مدیر شبكه میتواند تمام آنچه را كه در شبكهاش روی می دهد , همراه با گزارشهای متنوع گرافیكی و متنی مشاهده كند.
این متن فقط قسمتی از مقاله درباره ویروس های کامپوتر می باشد
جهت دریافت کل متن ، لطفا آن را خریداری نمایید