چگونه با یک ویروس،کرم یا تروجان ناشناخته مبارزه کنیم
چگونه با یک ویروس،کرم یا تروجان ناشناخته مبارزه کنیم
تصورم بر این است که این مطلب می بایست دو قسمت داشته باشد.
عمده عامل آودگی رایانه ها بدون در نظر گرفتن اینترنت حافظه های الکترونیکی و به طور مشخص فلش دیسک های یو اس بی می باشند. این حافظه ها هم بدلیل کاربرد فراوانشان و هم بدلیل سهولت اتصالشان به کامپیوترها به راه تکثیر ویروس ها مبدل گشته اند.
-چگونه عوامل مخرب خود را از طریق USB Flash Disk منتشر می کنند؟
ساده ترین راه تکثیر یک عامل مخرب از طریق حافظه های قابل حمل کپی مخفیانه یا آشکار و خودکار موتور تولید کننده عامل مخرب بر روی فلش دیسک و اجرای آن توسط بازخوانی آن از طریق یک فایل Autorun.inf ایجاد شده بر روی فلش دیسک و در حقیقت سواستفاده از یک قابلیت ویندوز به هنگام اتصال حافظه به رایانه های دیگر است.
در حقیقت قابلیت Autoplay ویندوز ( به خصوص Windows Xp)که اغلب هم مزاحم به یک عامل مخرب تبدیل می شود.
- چگونه یک فلش دیسک ایمن داشته باشیم؟
یا حداقل چگونه فلش دیسک یا حافظه قابل حمل ما عامل تکثیر کننده عوامل مخرب نباشند؟
شاید بتوان گفت که تمام عوامل مخربی که بدون دخالت کاربر و تنها به هنگام اتصال فلش دیسک به رایانه بصورت خودکار تکثیر می شوند با استفاده از یک فایل کوچک اما مشهور و صد البته در اینگونه مواقع مزاحم و اضافی Autorun.inf تکثیر می شوند. برای اینکه این اتفاق نیافتد می بایست خود را برای همیشه از شر Autorun.inf خلاص کنید. برای اینکار چند راه و جود دارد:
۱- راه نخست ایجاد یک فولدر به نام Autorun.inf
عامل مخرب قادر نخواهد بود autorun.inf مخرب خود را کپی کند چون ویندوز اجازه ایجاد فایل همنام با فولدری که اینجاد کردید را نخواهد داد.
۲- راه دوم ایجاد یک فولدر غیر قابل پاک شدن به نام Autorun. inf
- با استفاده از یک برنامه ساده و کوتاه (makesuperdir.vbs) یک فولدر لاک شده با حجم صفر بر روی فلش دیسک ایجاد کنید. autorun.inf ایجاد شده بر روی فلش دیسک غیرقابل پاک شدن است. بدین ترتیب که پس از اجرای آن و تایپ تنها نام درایو مورد نظر در فضای مربوطه در نرم افزار هر درایوی را که دوست داشتید از وجود فایل Autorun.inf (فراموش نکنید که این فایل می بایست از پیش پاک شده باشد) خلاص نمایید.
نحوه عمل این برنامه بدین ترتیب است که با استفاده از چند خط دستور و پارامترها مشخص یک فولدر به نام Autorun.inf بر روی فلش دیسک ایجاد می گردد سپس داخل این فولدر نیز یک فولدر با نام مشابه “locker608 . “ایجاد می گردد. توجه داشته باشید که فولدر یا فایلی با نام اینچنینی (نامی با انتهای فاصله نقطه فاصله) غیر قابل تعریف است و اساساً ویندوز قار به اعمال هیچ تغییری بر روی آن نیست.
- با استفاده از Unicode از پاک شدن فولدر Autorun.inf که ایجاد کرده اید بپرهیزید. در فولدری که ایجاد کرده اید یک فایل text جدید اینجاد کنید و نام آنرا ” 퀏셛됝鍔聎.txt” بگذارید توجه کنید که این نام با استفاده از کاراکترهای CJK (Chinese-Japanese-Korean) نوشته شده است و اگر قادر به دیدن آنها نیستید از تصوبر زیر استفاده کنید. توجه داشته باشید که نام فایلی که ایجاد می کنید به صورت مربع-مربع دیده خواهد شده که طبیعی است.
بیشتر عوامل مخرب از Unicode پشتیبانی نمی کنند و چون ویندوز از UTF-8 استفاده می کند مجموعه پنج کاراکتر CJK به گونه درکنار هم قرار گرفته است که به چندین کد lC1 control codes آدرس دهی می شود که نمی تواند با فراخوانی های non-unicode نتیجه ای به همراه داشته باشد. در نتیجه چون فولدر autorun.inf که ایجاد کرده ایم حاوی فایلی است که به نان م unicode ی محافشت شده است عوامل مخرب قادر به پاک کردن آن نحواهد بود.
توجه: این روش با وجود پیچیدگی اش کاملاً مطمئن نیست . پس خودتان را اینهمه در دسر ندهید و از همان روش نخست که بسیار مطمئن است بهره ببرید
“آنتی ویروس ها هر چقدر هم که بروز باشند همیشه کارآمد نیستند”
اگر به یک عامل مخرب ناشناخته برخوردید. حتی از جستجوی نام آن هم در اینترنت نتیجه نگرفتید. خود را نبازید و سریع به فکر نصب مجدد ویندوز نیافتید. سعی کنید که عمل مخرب را فلج کنید و سپس آثار آن را بیابید و در نهایت موتور ایجاد کننده آن را نابود کنید.
- چگونه عامل مخرب را فلج کنیم؟
برای درک بیشتر مطلب از اینجا به بعد از یک مثال عملی که چند روز ی مرا درگیر کرده بود استفاده می کنم. برای نابود کردن این عامل ناشناخته که هیچ مطلبی هم در مورد آن نیافتم نزدیک به دو روز زمان مصرف و حدو ۵۰ عدد log نرم افزار Silent Runners.vbs را مطالعه کردم.
x.s0s.a.exe نام عامل ناشناخته ایست که تمام رایانه ها و حافظه های قابل حمل اطراف مرا آلوده کرده بود. اگر جستجو کنید هیچ مطلبی در این این عامل نحواهید یافت. تا دیروز هم هیچ آنتی ویروسی این عامل را نشناخت :!: . این عامل مخرب با تکثیر خود و یک فایل autorun.inf تغییر یافته بر روی تمامی درایوهای کامپیوتر ضمن تگثیر خود و درگیر کردن دائم درایوها رایانه را به خود مشغول کرده و مقداری از عملکرد آن می کاهد.
برای فلج کردن بسیاری از عوامل مخرب ، اعمال تغییرات(پاک سازی رجیستری،اصلاح در msconfig و پاک کردن فایل های آلوده) در محیط safe mode بسیار کارآمد خواهد بود.در این مثال پس از پاک کردن فایل هایی با نام x.s0s.a.exe با اعمال تغییری کوچک در متن makesuperdir.vbs و جایگزینی خط p = p+”:\autorun.inf” با p = p+”:\x.s0s.a.exe” از این نرم افزار برای تولید فولدری با نام x.s0s.a.exe در درایوهای مختلف و البته فلش دیسک استفاده کردم. بدین ترتیب علاوه بر اینکه امکان کپی شدن این عامل مخرب را از بین بردم این فرصت را نیز بدست آوردم که پس اجرای normal ویندوز موتور تولید کننده این عامل را که به صورت متناوب سعی در کپی ناکام x.s0s.a.exe را داشت به شدت مشغول کنم تا در مرجله بعد شانس بیشتری برای یافتنش داشته باشم.
- چگونه موتور تولید کننده عامل مخرب (ویروس/وورم/تروجان) را بیابیم؟
در یک کلام با استفاده از hijackthis (نرم افزار مفیدی که توسط یک برنامه نویس نوشته شده است و به ترندمیکرو فروخته شده است. برای استفاده از این نرم افزار رایگان،مفید و کارآمد آنرا از سایت رسمی اش دانلود کنید. این نرم افزار به شما این امکان را می دهد که از فعالیتهای پنهان و بسیار پنهان رایانه تان آگاه شوید. شما خواهید توانست علاوه بر فعالیتهای مشکوک در رایانه تان از بسیاری از عوامل کاهنده سرعت ویندوز نیز بازدید به عمل آورید lol.gif
در این مورد خاص و پس از دقت فراوان متوجه شدم که فایل x.s0s.a.exe توسط فایل اجرایی که نام بسیار آشنا دارد تولید می شود. “framwork.exe -instal” موتور تولید کننده عامل مخرب بود که در مسیر D:\Documents and Settings\user\Local Settings\Temp نشسته بود. با استفاده از نرم افزار hijackthis پس از انتخاب مسیر و فایل مربوطه با استفاده از گزینه fix cheked رایانه را از لوث وجود این عامل نفوذی پا کردم.
معرفي سايت مرتبط با اين مقاله
تصاوير زيبا و مرتبط با اين مقاله
{{Fullname}} {{Creationdate}}
{{Body}}