اسب تروا چيست؟
اسب تروا چيست؟
اسب تروا چيست؟
نويسنده: آرش درويشي
يکي از مهمترين بدافزارها و ابزارهاي مهندسي اجتماعي ( Social Engineering) است که از سال ها پيش بر امنيت فن آوري اطلاعات و ارتباطات ( IT ) سايه افکنده است.
درمعماري امنيتي کامپيوتر، اسب تروا لايه بيروني فريبنده و به ظاهر بي خطر و حتي مفيدي است که با تزوير و نيرنگ مي کوشد امکان دسترسي هسته مرکزي خود(موسوم به Payload) را به نقاطي از سيستم و بخش هايي از اطلاعات کاربر فراهم آورد که به طور استاندارد و مجاز برايش تعريف نشده است. Trojan وPayload، مجموعاً بدافزاري را تشکيل مي دهند که همانند هر برنامه کامپيوتري نرمال ديگر، بر روي سيستم نصب مي شود و ظاهراً وظايف متعارف خود را انجام مي دهد. اما در باطن اهداف ديگري را دنبال مي کند و مخفيانه و بدون اطلاع کاربر، ساختار امنيتي سيستم را مورد تهديد قرار مي دهد.
لازم به ذکر است ، نام اسب تروا توسط يک کارشناس آژانس امنيت ملي ايالات متحده آمريکا ( NSA ) به نام دانيل ادواردز ( Daniel Edwards ) با توجه به حماسي باستاني جنگ تروا در اديسه ( شاهکار هومر شاعر بزرگ يوناني ) و شباهت تاکتيک عملياتي اين بدافزار با اسب ترواي داستان مذکور انتخاب شده است.
همان گونه که گفته شد، اسب تروا در حقيقت پوسته بيروني رمزگذاري شده اي براي بدافزار اصلي ( Pay load ) است و برخلاف باور عمومي، به تنهايي نمي تواند آسيب و اختلالي ايجاد کند. اسب هاي تروا بر اساس تکنيک نفوذ به سيستم ، به 2 شاخه اصلي تقسيم مي شوند:
دسته نخست آنهايي هستند که ذاتا خطرناک نيستند و همانند کوکي ها مي توان از آنها هم براي اهداف مثبت و هم مقاصد مخاطره آميز بهره برد. اين اسب هاي تروا، در حقيقت نرم افزارهاي ذاتا مفيدي هستند که با درج کدهاي برنامه نويسي ويرانگر توسط نفوذگر، تحريف و به برنامه هاي خطرناکي مبدل شده اند. برخي از انواع نامعتبر برنامه هاي اشتراک P2P،هواشناسي،تنظيم ساعت سيستم و بازي هاي PC، در اين رده بندي مي گنجند، اما مشهورترين اسب هاي ترواي اين گروه، محافظ هاي صفحه نمايش ( Screen Saver ) هستند که به عنوان نمونه هاي کلاسيک پياده سازي انواع گوناگون Payloadهاي ويرانگر شناخته مي شوند. گونه نخست Trojanها، مشهورترين اسب هاي تروا هستند و اساساً بسياري از کاربران و حتي کارشناسان Trojanها را عمدتاً با تکنيک هاي به کار رفته توسط اين گروه از اسب هاي تروا مي شناسند.
دومين گروه، شامل بدافزارهايي است که برخلاف گونه نخست، اساساً با هدف نفوذ و تخريب سيستم طراحي شده اند و هيچ کاربرد ديگري ندارند. اين گروه از اسب هاي تروا را به دليل ماهيتشان تنها مي توان در پوشش تصاوير پورنو گرافيک و پاپاراتزي منتشر ساخت ؛ به اين ترتيب که قرباني گمان مي کند با يک تصوير مواجه است، اما با اجراي فايل، در حقيقت Payload نهفته در اسب تروا اجرا مي شود و سيستم را آلوده مي کند.
افزون بر 2 گروه کلي فوق الذکر، مي توان از 2 گونه خاص زير نيز نام برد که نمونه هايي از آنها تاکنون مشاهده و گزارش شده است:
1)) بمب هاي ساعتي ( Time Bombs ): اسب هاي تروايي هستند که در تاريخ مشخصي اجرا مي شوند. در برخي از موارد گزارش شده، حتي ساعت اجراي آنها نيز توسط برنامه نويس تعيين شده است.
2)) بمب هاي منطقي ( Logic Bombs ): اسب هاي تروايي هستند که تنها در صورت برقراري شروط ( Conditions ) تعيين شده توسط برنامه نويس، اجرا مي شوند و در غير اينصورت به طور غيرفعال و بي خطر به حيات خود بر روي کامپيوتر ميزبان ادامه مي دهند.
با اين حال، اسب هاي تروا امروزه به دلايل ديگري همچون همکاري در پروسه نصب Backdoor ها نيز مشهور شده اند. بايد به خاطر داشت که اسب هاي تروا با ويروس هاي کامپيوتري تفاوت ماهوي چشمگيري دارند و اساساً نمي توان آن ها و ويروس ها را در يک طبقه بندي بدافزاري قرار داد.
آشکارترين وجه اين تفاوت ساختاري را مي توان در عدم استفاده از اسب هاي تروا از تاکتيک کلاسيک تکثير خودکار ( Self Replication، در شيمي به اين فرآيند، " خود همتاسازي" گفته مي شود) دانست. درحقيقت برخلاف ويروس ها و کرم ها، اسب هاي تروا از توانايي اجراي خودکار بي بهره اند. در داستان اصلي نيز، تا زماني که اهالي تروا، اسب چوبي يوناني ها را به درون دژ خود نبردند، سپاهيان يونان نمي توانستند در ساختار دفاعي تروا نفوذ يا اختلال ايجاد کنند؛ اين همان اتفاقي است که براي هر اسب ترواي کامپيوتري نيز رخ مي دهد: اسب تروا هرگز نمي تواند به طور خودکار اجرا شده و خود را تکثير کند. بنابراين خطرآفريني آن منوط به زماني است که فايل بدافزار، توسط کاربر اجرا شود و تا آن زمان، اسب ترواي پياده شده بر روي سيستم به هيچ وجه قادر به انجام عمليات تعريف شده نيست. از اين رو، درجه خطر آفريني هر اسب تروا پيش از هر چيز، به درجه موفقيت تکنيک هاي مهندسي اجتماعي مورد استفاده براي انتشار آن، بستگي دارد. ضمن اينکه اسب هاي تروا، بر استراتژي انتفاع از کاربر نهايي ( End User ) تکيه و تاکيد مي کنند.
در همين رابطه،يکي از قديمي ترين مثال هاي درسي اسب تروا، در سال 1983 توسط پروفسور کن تامپسون ( Ken Thompson )، استاد بزرگ برنامه نويسي و خالق زبان برنامه نويسي B تشريح شده است. تامپسون نشان داد که با افزودن يک تکه کد به فرمان Login در سيستم عامل UNIX، مي توان به بدافزار اجازه داد تا به راحتي وارد سيستم شود. در عين حال تامپسون ثابت کرد که اسب تروا را حتي با استفاده از يک کامپايلر C نيز مي توان بر روي سيستم قرباني سوار کرد؛ که البته تشخيص آلودگي را به مراتب دشوارتر و پيچيده تر خواهد کرد.
دسترسي از راه دور ( Remote Access)
ارسال نامه الکترونيکي ( Email Sending )
تخريب داده ( Data Destruction )
مدير دريافت ( Downloader )
اجرا بر اساس پراکسي ( Proxy Trojan )
اجرا بر اساس پروتکل اف. تي. پي ( FTP Trojan )
از کار اندازي نرم افزارهاي امنيتي محافظ سيستم
حملات ( DoS ) Denial-of-Service
اجرا بر اساس URL
گفتني است که Pay load نهم، ابعاد نويني از توانايي هاي ضد امنيتي يک Trojan horse را به نمايش مي گذارد و مي تواند اسب تروا را به يک بدافزار شماره گير ( Dialer Malware) مبدل نمايد؛ به طوري که کامپيوتر قرباني را به کلاينت آلوده اي تبديل مي کند که وظيفه اش تماس با شماره هاي تلفن Premium-rate از طريق Dial-up Connection ساخته شده بر روي سيستم است.
* حذف يا بازنويسي داده ها بر روي کامپيوتر قرباني
* تخريب ماهرانه اطلاعات سيستم
* رمزگذاري فايل ها در حملات Cryptoviral Extortion
* Upload و Download فايل ها
* برقراري ارتباط راه دور ( Remote Access ) با سيستم قرباني. چنين اسب تروايي اصطلاحاً RAT ( Remote Access Trojan يا Remote Administration Tool ) ناميده مي شود. نکته جالب اين که واژه Rat در زبان انگليسي به معناي موش صحرايي است!
* توزيع و تکثير ديگر انواع بدافزارها، همچون ويروس ها و کرم هاي کامپيوتري. چنين اسب تروايي اصطلاحاً Vector ( بردار ) يا Dropper ( قطره چکان ) ناميده مي شود. گفتني است که اين گونه Payload ها توسط گروه اول اسب هاي تروا ( برنامه هاي تحريف شده )، منتشر مي شوند.
* برپايي شبکه هايي از کامپيوترهاي زامبي ( Zombie Computers ) به منظور انجام حملات DDos يا ارسال هرزنامه ( Spam ).
* جاسوسي عمليات کاربر ( به طور مثال عادات و علائق وي در وب ) و مخابره آن به ديگران. در اين حالت، اسب تروا عملا به يک جاسوس افزار( Spyware ) مبدل مي شود.
* ثبت کليدهاي فشرده شده توسط کاربر ( Keystroke Logging ) به منظور سرقت اطلاعات حياتي وي مانند کليد-واژه ( Password )ها و شماره کارت هاي اعتباري.
* تهيه Screenshot از صفحه نمايش سيستم به منظور ثبت عمليات در حال اجراي کاربر و مخابره به ديگران ( از اين روش به عنوان يک جايگزين ساده تر به جاي Keystroke Logging استفاده مي شود).
* Phishing وب سايت هاي بانکي با هدف کلاه برداري ،سوء استفاده از حساب هاي اعتباري کاربران ، يا ديگر فعاليت هاي تبه کارانه
* پياده سازي Backdoor بر روي سيستم
* گشودن و بستن مکرر و چندين باره درب CD-ROM.
* سرقت حساب هاي پست الکترونيک ( Email ) و سوء استفاده از آنها به منظور ارسال هرزنامه ( Spam )
* غيرفعال نمودن يا ايجاد مزاحمت براي نرم افزارهاي امنيتي مانند ضد ويروس ها و ديوارهاي آتش
* غير فعال نمودن يا ايجاد مزاحمت براي برنامه هاي ديگر، حتي براي ديگر بدافزارهاي پياده شده بر روي سيستم
* راه اندازي مجدد ( Restart ) کامپيوتر درهر بار اجراي برنامه هاي آلوده
* خاموش کردن کامپيوتر قرباني به طور تصادفي و ناگهاني
پست الکترونيک: اين روش ، شايع ترين شيوه انتشار اسب هاي تروا در محيط شبکه است. توصيه موکدانه کارشناسان امنيتي به کاربران، مبني بر عدم اجراي پيوست هاي مشکوک Email، از همين جا سرچشمه مي گيرد.
Download از وب يا FTP: اين روش يکي از شايع ترين شيوه هاي انتشار اسب هاي ترواست. بخش عمده اي از موارد آلودگي به اين شيوه، توسط وب سايت هاي توزيع غيرقانوني نرم افزارهاي قفل شکسته، و بخش بسيار بزرگ تري از آن، توسط وب سايت هاي هرزنگاري ( Pornography ) به وجود آمده است.
درگاه هاي باز ( Open Ports): يکي از کانال هاي شايع انتشار اسب هاي تروا، درگاه هاي باز کامپيوترهاي قرباني است. اسب هاي تروا مي توانند با استفاده از اين درگاه ها و پروتکل هاي مربوطه ( HTTP,FTP,SMTP,... ) به سادگي در ميان گره هاي شبکه جابه جا شوند. در اين رهگذر، استفاده از ديوارهاي آتش به روز رساني شده و نيرومند مي تواند احتمال آلودگي به اين شيوه را به شدت کاهش دهد.
پيام فوري ( IM/Instant Message): شانس آلودگي به اين روش اندک است، با اين حال همچنان محتمل و مقدور مي باشد و با توجه به رويکرد روز افزون برنامه نويسان ضد امنيتي به IM هر آن افزايش مي يابد؛ چنان که برخي از مهم ترين نمونه هاي نسل جديد اسب هاي تروا، به اين شيوه انتشار مي يابند.
توزيع فيزيکي: اسب هاي تروا از طريق ديسک هاي فشرده ( CD ) نيز تکثير مي شوند. اگرچه امروزه تکثير فيزيکي بد افزارها بر خلاف دهه 90، چندان متداول نيست، اما به عنوان راه کلاسيک تکثير بدافزارهاي کامپيوتري، همچنان ممکن و مقدور مي باشد.
در حقيقت در روش نخست، اسب تروا پس از پياده شدن بر روي کامپيوتر قرباني، با دستکاري رجيستري، موجب اجراي خودکار خود در هر بار راه اندازي سيستم مي شود.
دومين روش عمده استتار اسب هاي تروا، تغذيه انگل وار از فايل هاي ديگر است. در اين شيوه که به صورت بسيار هوشمندانه اي طراحي و اجرا مي شود، اسب تروا به يک فايل به ظاهر پاک و بي خطر وصل مي شود و به واسطه اجراي آن فايل، روي کامپيوتر قرباني اجرا مي شود.
* حذف محتويات پوشه Temporary Internet Files
* و در موارد پيشرفته تر، يافتن و حذف دستي فايل اسب تروا توسط کاربر.
با اين حال، امروزه بسياري از نرم افزارهاي نيرومند امنيتي، همچون نرم افزارهاي Norton360 و Kaspersky مي توانند تعداد بسيار زيادي از اسب هاي تروا ( با ساختارهاي متفاوت از ساده تا پيچيده ) را يافته و نابود کنند. توجه داشته باشيد که اگر نرم افزار امنيتي شما نمي تواند يک اسب تروا ( عمدتاً از نوع RAT ) را شناسايي کند، اين امکان وجود دارد که سيستم را در حالت امن ( Safe Mode ) راه اندازي کنيد و عمليات اسکن را در آن حالت اجرا نماييد، چرا که در Safe Mode شانس کشف و نابود سازي بسياري از اسب هاي تروا بيشتر است.
با گذشت اين تعداد از 90 بار، برنامه تمامي پوشه هاي درايو C را پنهان مي کرد و نام تمامي فايل هاي موجود در آن درايو را رمزگذاري مي نمود. سپس از کاربر خواسته مي شد براي برون رفت از اين وضعيت " جواز کاربري خود را تجديد نمايد"؛ يعني مبلغ 378 دلار آمريکا را به يک صندوق پستي P.O.BOX در پاناما بفرستد و مراتب را به شرکت PC Cyborg اطلاع دهد. AIDS نخستين بار از طريق ارسال فلاپي ديسک هايي با برچسب AIDS Information Introductory Diskette به اعضاي يک فهرست پستي که دکتر پاپ نيز در آن عضويت داشت، انتشار يافت. هويت دکتر پاپ سرانجام توسط صنعت ضد ويروس بريتانيا محرز شد و نام وي در فهرست جنايتکاران اسکاتلنديارد به ثبت رسيد. سرانجام وي مدتي بعد دستگير شد و به زندان Brixton فرستاده شد. نام AIDS از آنجا به اين اسب تروا اطلاق شد که ژوزف پاپ در دفاعيات خود مدعي شد از درآمد غيرقانوني حاصله، جهت کمک به پژوهش هاي پزشکي در راه درمان بيماري مهلک ايدز بهره برده است.
Back Orifice ( BO ): در اول اوت 1998، ظاهرا با هدف اثبات عدم امنيت ويندوز 98 توسط يکي از اعضاي سازمان هکري CULT OF THE DEAD COW به نام مستعار Sir Dystic منتشر شد. اين برنامه بر اساس پروتکل هاي TCP و UDP و معماري Client-Server طراحي شده است و از نگارش هاي نوين آن بر روي سيستم عامل Unix نيز مي توان بهره برد. آخرين نگارش اساسي آن با نام Back Orifice2000 ( BO2k ) در اواخر 1999 منتشر شد. تازه ترين به روز رساني هاي آن به شماره 1.1.6 ( ويندوز) و 0.1.5 ( لينوکس ) در مارس 2007 انتشار يافته است و تلاش ها براي انتشار نگارش نوين آن به نام Back Orifice XP همچنان ادامه دارد.
Beast Trojan: يکي از هوشمندانه ترين و تکنيکي ترين اسب هاي ترواي RAT است که در سال 2002 توسط برنامه نويس بسيار خوش فکر و با استعدادي با نام مستعار Tataye به زبان Delphi نوشته و منتشر شد. Beast که مي تواند تمامي نگارش هاي ويندوز از 95 تا XP را به سادگي آلوده کند، پيش از هرچيز به دليل ايده هاي درخشان و منحصر به فرد به کار رفته در ساختار برنامه نويسي اش شهرت يافت. Beast يکي از نخستين اسب هاي تروايي بود که از قابليت ارتباط معکوس ( Reverse Connection ) بهره مي برد؛ که به کاربر اجازه مي داد بدون نياز به دانستن IP قرباني، کنترل کامل سيستم را در دست بگيرد. مکانيزم خيره کننده Beast بر اساس روش تزريق ( Injection Method ) استوار است ؛ به اين معنا کهDLL هاي برنامه در ساختار فايل هاي حياتي ,iexplorer.exe( internet Explorer ) explorer .exe ( Windows Explorer ) و msnmsgr.exe
( MSN Messenger ) تزريق مي شد که به ترتيب با هر بار راه اندازي ويندوز به طور خودکار، در حافظه مقيم ( Resident ) مي شد. نگارش نهايي Beast سرانجام در 3 اوت 2004 به شماره 2.07 منتشر شد.
NetBus : يک Backdoor بالقوه نيرومند که نخستين بار در مارس 1998 توسط يک برنامه نويس سوئدي به نام Carl-Fredrik Neikter به زبان دلفي نوشته شد. به ادعاي نويسنده برنامه؛ NetBus تنها با هدف شوخي با کاربران نوشته شده بود. واژه BUS که در زبان سوئدي به معناي شوخي است، پشتوانه ادعاي Neikter بود. به هر حال، عواقب اين شوخي بسيار گسترده بود. در سال 1999 در ماجراي جالبي که به شهرت NetBus بسيار کمک کرد، بيش از 3500 تصوير هرزنگاري کودکان، به وسيله اين برنامه از کامپيوتر يک استاد دانشگاه به نام Magnus Eriksson بيرون کشيده شد و ماجراي تمايلات جنسي انحراف آميز Eriksson در ابعاد گسترده منتشر گرديد، به گونه اي که وي ابتدا شغل خود را از دست داد و سپس در محاکمه اي گرفتار شد که تا 5 سال بعد ( 2004 ) به طول انجاميد.
Prorat: يک Backdoor مهلک از نوع RAT که در دو نسخه رايگان و خريدني عرضه مي شود. در نسخه رايگان، امکان دسترسي از راه دور به کامپيوترهاي عضو شبکه هاي بي سيم ( Wireless ) از کاربران دريغ شده است، و آنها تنها مي توانند به کامپيوترهاي عضو شبکه هاي LAN دست يابند. يکي از دلايل شهرت اين برنامه در ماه هاي آغازين انتشارش، آن بود که از کار انداختن سرور آن بدون بهره گيري از ضد ويروس هاي به روز رساني شده و نيرومند، تقريباً غير ممکن بود.
Spysheriff: بدافزار مهلکي است که در پوشش يک نرم افزار ضد جاسوس افزار، بر روي سيستم نصب مي شود و با نمايش پيام هاي هشدار دروغين به طور مکرر و چندين باره مي کوشد کاربر را به خريد نسخه کامل خود ترغيب نمايد.Spysheriff به سختي از روي کامپيوترهاي قرباني پاک مي شود و مبارزه با آن نيازمند صبر، حوصله، و مهارت فراوان است. Spysheriff داراي ويژگي هاي برجسته اي است که در ادامه با شماري از آنها آشنا مي شويد:
1. براي حذف آن اساساً نمي توان از روش هاي متداول همچون Add/Remove Programs يا عزل دستي استفاده نمود؛ چرا که اولاً با نمايش صفحه آبي مرگ ( B.O.D )، اشغال کامل حافظه و Crash کردن سيستم، به تلاش کاربر براي عزل خود پاسخ مي دهد و در ثاني، به فرض پاک شدن از روي سيستم ، بلافاصله خود را از نو رونويسي مي کند.
2. صفحه تنظيمات مرورگر IE و نيز وب سايت هاي توزيع قانوني نرم افزارهاي امنيتي را قفل ( Block ) مي کند تا از دسترسي کاربران به نرم افزارهاي امنيتي واقعي ممانعت نمايد.
3. از هر گونه اتصال کامپيوترقرباني به اينترنت يا هر گونه شبکه کامپيوتري ديگر جلوگيري مي کند و دليل ممانعت را اين گونه بيان مي کند:
The System has been stopped to protect you from spyware
(اتصال سيستم با هدف محافظت از شما در برابر جاسوس افزارها متوقف شد. )
4. Desktop کامپيوتر قرباني، صفحه آبي مرگ يا پيام هاي هشداري با مضمون آلودگي سيستم به انواعي از جاسوس افزار و پيشنهاد خريد نرم افزار ضد جاسوس افزار کذايي را به جاي تصوير پيش زمينه، نمايش مي دهد.
5. يک حساب کاربري Administrator را با هدف ممانعت از دسترسي کاربران تعريف شده به برنامه ها و ابزارهاي سيستم، مي سازد.
6. با دستکاري در تقويم سيستم و نقاط بازيافت ( Restore Points ) برنامه System Restore را از کار مي اندازد. لازم به ذکر است که در صورت راه اندازي سيستم در حالت امن ( Safe Mode ) مي توان از System Restore براي مبارزه با Spysheriff استفاده کرد.
Sub7 : يکي از مشهورترين Backdoor هاي جهان است که به ويژه در ميان کاربران ايراني شهرت يافته است. عمده کاربرد اين برنامه نزد نفوذگران مبتدي و به ويژه کاربران ايراني، شامل باز و بسته کردن سيني CD-ROM مخفي کردن نشانه گر ماوس و در نهايت گشودن وب سايت هاي پورنو گرافيک بر روي سيستم قرباني است. با اين حال، از اين برنامه مي توان براي اهداف جدي تري همچون سرقت شماره کارت هاي اعتباري قرباني به وسيله عمليات Keystroke Logging سواستفاده کرد. نام اين برنامه از وارونه نوشتن واژه NetBus ( يعني Sub Ten ) وتبديل Ten ( 10 ) به (7 )Seven به دست آمده است. از اين رو، بسياري Sub7 را اقتباس موفقي از NetBus مي دانند( البته ثبات و امکانات Sub7 نسبت به NetBus بهتر است).
نويسنده اين برنامه که با نام مستعار Mobman در دنياي نفوذگران شناخته مي شود، يکي از تنبل ترين و افسرده ترين هکرهاي حال حاضرجهان است، چنان که سال هاست Sub7 را به هنگام نکرده است و آخرين به روز رساني وب سايت رسمي برنامه نيز به آوريل 2004 باز مي گردد. از اين رو، شايعات بسياري درباره ماهيت، شخصيت و وضعيت زندگي Mobman رواج يافته است، به گونه اي که برخي معتقدند وي مرده است و به باور گروهي ديگر، وي در يک کلينيک روان درماني تحت معالجه قرار دارد. به هر حال واضح است که در حال حاضر، Mobman به ادامه اين پروژه علاقه اي ندارد. لازم به ذکر است که آخرين به روز رساني هاي صورت گرفته در وب سايت Sub7 توسط 2 کاربر ديگر به نام هاي Lat وElecboy در سال 2006 صورت گرفته است، و سکوت ابهام آميز همه جانبه Mobman از 2004 به اين سو ،همچنان ادامه دارد.
Vundo: اين برنامه که با نام هاي Virtumonde و Virtumondo نيز شناخته مي شود، اسب تروايي است که با سوء استفاده از يک حفره قديمي در java1.5 و نگارش هاي پيش از آن، موجب نمايش بي وقفه Popup ها و تبليغات وبي، براي شماري از برنامه هاي کاربردي ضعيف و گمنام از جمله Sysprotect, Protector, Storage و Winfixer مي شود ( درست خوانديد، حتي نرم افزارهاي امنيتي و Utility نيز ممکن است از بدافزارها براي تبليغ خود بهره ببرند.)
روش آلوده سازي Vundo نمونه گويايي از تکنيک هاي آلوده سازي و استتار اسب هاي ترواست: برنامه يک فايل DLL را در پوشه System32 ويندوز ساخته و رجيستري را دستکاري مي کند، و با تزريق خود به ساختمان فايل Winlogon.exe در حافظه مقيم مي شود. يکي از نشانه هاي آلودگي به Vundo قفل شدن دسترسي کاربران به کنترل پانل است.
Zlob : يکي از جالب ترين و هوشمندانه ترين اسب هاي تروايي است که تاکنون نوشته است. Zlob که با نام Trojan.Zlob نيز شناخته مي شود، در پوشش يک Codec ويديويي براي تماشاي فيلم هاي پورنوگرافيک و مستهجن، بر روي کامپيوتر قرباني پياده مي شود. سپس به محض اجراي فايل اسب تروا، تبليغاتي شبيه پيام هاي هشدار ويندوز نمايش داده مي شود و ضمن اعلام آلودگي سيستم به جاسوس افزار، از کاربر خواسته مي شود تا يک نرم افزار ضد جاسوس افزار ناشناخته و گمنام را روي سيستم خود پياده کند. اين اسب ترواي خوش ساخت، به دليل ساختار مهندسي اجتماعي هوشمندانه و زيرکانه اي که در آن به کار رفته است، به کرات از سوي برنامه نويسان ضد امنيتي ديگر اقتباس شد. به گونه اي که تنها شرکت امنيتي F-Secure به تعداد 32 گونه متفاوت از آن را شناسايي و در آرشيو خود به ثبت رسانده است.
*هرگز Email هاي رسيده از سوي کاربران ناشناس را باز نکنيد. به خاطر داشته باشيد که شانس آلودگي نامه هاي الکترونيک ناشناس نسبت به پاکي آنها99 به 1 است. همچنين هرگز فايل هاي پيوست Emailهاي دوستان، آشنايان و همکارانتان را چشم بسته باز نکنيد. اين نکته را از ياد نبريد که بسياري از بدافزارها مي توانند نشاني هاي Email ثبت شده در دفترچه آدرس نرم افزارهاي Outlook,IncrediMail, Eudoraو... را دزديده و نسخه هايي از خود را با نام و نشاني قربانيان به آن صندوق هاي Email ارسال کنند.
*در هنگام پيکربندي نرم افزارهاي مديريت پست الکترونيک ( که در بند پيشين به شماري از آن ها اشاره شد) ابتدا مطمئن شويد که امکان گشودن و اجراي خودکار پيوست ها توسط نرم افزار را از کار انداخته ايد. زيرا برخي از Email Client ها مي توانند چنين کاري انجام دهند و در اين صورت، احتمال آلودگي به بد افزارهايي همچون اسب هاي تروا به شدت افزايش مي يابد.
*ترجيحاً از Email Client هايي استفاده کنيد که از يک ضد ويروس تو کار براي اسکن دقيق پيوست Email ها بهره مي برند. در صورتي که از چنين نرم افزاري بي بهره ايد، يا Email Client خود را تغيير دهيد و يا يک نرم افزار ضد ويروس نيرومند و به هنگام را روي کامپيوتر خود نصب کنيد.
*شايد شنيده باشيد که سيستم هاي عاملي چون ويندوز، داراي حفره هاي متعددي هستند که به منظور حمله و نفوذ به سيستم از سوي نفوذگران مورد سوء استفاده قرار مي گيرند. ضمن اينکه هراز چند گاه، مايکروسافت و ديگر توليد کنندگان سيستم هاي عامل، وصله ( Patch)هايي را براي بستن اين حفره ها بر روي وب سايت خود منتشر مي کنند. بنابراين اگر سيستم عامل خود را با استفاده از برنامه هاي ويژه تعبيه شده در آنها به هنگام نگه داريد، احتمالاً توانسته ايد شانس آلودگي سيستم خود به بسياري از بدافزارها و اسب هاي ترواي جديد، کاهش دهيد. با اين حال به ياد داشته باشيد که عدم نصب برخي از اين وصله هاي امنيتي، بهتر از نصب کردن آنهاست، چرا که تجربه ثابت کرده است برخي از آنها موجب گشوده شدن حفره هاي تازه اي روي سيستم و افزايش شانس آلودگي مي شوند.
*تا آنجايي که ممکن است از نصب و اجراي نرم افزارهاي اشتراک نظير به نظير ( P2P ) و برنامه هاي اشتراک سيال ( Torrent ) بپرهيزيد. اين نرم افزارها کانال هاي بسيار مناسبي براي انتشار سهل و سريع انواع بد افزارهاي کامپيوتري هستند. اگر چه برخي از آنها همچون Kazzaو Gnutella از يک ضدويروس توکار براي افزايش امنيت کاربرانشان بهره مي برند، اما اين ضد ويروس هاي توکار، معمولاً توانايي چنداني ندارند و از اين رو نقش مؤثري در کاهش شانس آلودگي به بدافزارها ايفا نمي کنند. در نهايت، اگر بنا به هر دليلي بر ادامه استفاده از اين نرم افزارها اصرار مي ورزيد، توصيه مي شود از دريافت و پياده سازي آهنگ ها، فيلم ها، کتاب هاي الکترونيکي، تصاوير و برنامه هاي نشانه گذاري شده با علامت Rare ( نادر و کمياب ) خودداري کنيد و بيشتر ازمنابع Popular ( عوام پسند)، که احتمال پاکيزگيشان بيشتر است، استفاده نماييد.
*و اما آخرين و مهم ترين راهکار: همواره آخرين و تازه ترين اخبار مربوط به امنيت IT را دنبال کنيد و اطلاعات خود درباره بدافزارهاي کامپيوتري را به هنگام نگه داريد. اين، مهم ترين راه مبارزه با بدافزارها و پيشگيري از آلودگي به آنهاست.
منبع:دانش و کامپيوتر،شماره 87
/خ
درمعماري امنيتي کامپيوتر، اسب تروا لايه بيروني فريبنده و به ظاهر بي خطر و حتي مفيدي است که با تزوير و نيرنگ مي کوشد امکان دسترسي هسته مرکزي خود(موسوم به Payload) را به نقاطي از سيستم و بخش هايي از اطلاعات کاربر فراهم آورد که به طور استاندارد و مجاز برايش تعريف نشده است. Trojan وPayload، مجموعاً بدافزاري را تشکيل مي دهند که همانند هر برنامه کامپيوتري نرمال ديگر، بر روي سيستم نصب مي شود و ظاهراً وظايف متعارف خود را انجام مي دهد. اما در باطن اهداف ديگري را دنبال مي کند و مخفيانه و بدون اطلاع کاربر، ساختار امنيتي سيستم را مورد تهديد قرار مي دهد.
لازم به ذکر است ، نام اسب تروا توسط يک کارشناس آژانس امنيت ملي ايالات متحده آمريکا ( NSA ) به نام دانيل ادواردز ( Daniel Edwards ) با توجه به حماسي باستاني جنگ تروا در اديسه ( شاهکار هومر شاعر بزرگ يوناني ) و شباهت تاکتيک عملياتي اين بدافزار با اسب ترواي داستان مذکور انتخاب شده است.
همان گونه که گفته شد، اسب تروا در حقيقت پوسته بيروني رمزگذاري شده اي براي بدافزار اصلي ( Pay load ) است و برخلاف باور عمومي، به تنهايي نمي تواند آسيب و اختلالي ايجاد کند. اسب هاي تروا بر اساس تکنيک نفوذ به سيستم ، به 2 شاخه اصلي تقسيم مي شوند:
دسته نخست آنهايي هستند که ذاتا خطرناک نيستند و همانند کوکي ها مي توان از آنها هم براي اهداف مثبت و هم مقاصد مخاطره آميز بهره برد. اين اسب هاي تروا، در حقيقت نرم افزارهاي ذاتا مفيدي هستند که با درج کدهاي برنامه نويسي ويرانگر توسط نفوذگر، تحريف و به برنامه هاي خطرناکي مبدل شده اند. برخي از انواع نامعتبر برنامه هاي اشتراک P2P،هواشناسي،تنظيم ساعت سيستم و بازي هاي PC، در اين رده بندي مي گنجند، اما مشهورترين اسب هاي ترواي اين گروه، محافظ هاي صفحه نمايش ( Screen Saver ) هستند که به عنوان نمونه هاي کلاسيک پياده سازي انواع گوناگون Payloadهاي ويرانگر شناخته مي شوند. گونه نخست Trojanها، مشهورترين اسب هاي تروا هستند و اساساً بسياري از کاربران و حتي کارشناسان Trojanها را عمدتاً با تکنيک هاي به کار رفته توسط اين گروه از اسب هاي تروا مي شناسند.
دومين گروه، شامل بدافزارهايي است که برخلاف گونه نخست، اساساً با هدف نفوذ و تخريب سيستم طراحي شده اند و هيچ کاربرد ديگري ندارند. اين گروه از اسب هاي تروا را به دليل ماهيتشان تنها مي توان در پوشش تصاوير پورنو گرافيک و پاپاراتزي منتشر ساخت ؛ به اين ترتيب که قرباني گمان مي کند با يک تصوير مواجه است، اما با اجراي فايل، در حقيقت Payload نهفته در اسب تروا اجرا مي شود و سيستم را آلوده مي کند.
افزون بر 2 گروه کلي فوق الذکر، مي توان از 2 گونه خاص زير نيز نام برد که نمونه هايي از آنها تاکنون مشاهده و گزارش شده است:
1)) بمب هاي ساعتي ( Time Bombs ): اسب هاي تروايي هستند که در تاريخ مشخصي اجرا مي شوند. در برخي از موارد گزارش شده، حتي ساعت اجراي آنها نيز توسط برنامه نويس تعيين شده است.
2)) بمب هاي منطقي ( Logic Bombs ): اسب هاي تروايي هستند که تنها در صورت برقراري شروط ( Conditions ) تعيين شده توسط برنامه نويس، اجرا مي شوند و در غير اينصورت به طور غيرفعال و بي خطر به حيات خود بر روي کامپيوتر ميزبان ادامه مي دهند.
با اين حال، اسب هاي تروا امروزه به دلايل ديگري همچون همکاري در پروسه نصب Backdoor ها نيز مشهور شده اند. بايد به خاطر داشت که اسب هاي تروا با ويروس هاي کامپيوتري تفاوت ماهوي چشمگيري دارند و اساساً نمي توان آن ها و ويروس ها را در يک طبقه بندي بدافزاري قرار داد.
آشکارترين وجه اين تفاوت ساختاري را مي توان در عدم استفاده از اسب هاي تروا از تاکتيک کلاسيک تکثير خودکار ( Self Replication، در شيمي به اين فرآيند، " خود همتاسازي" گفته مي شود) دانست. درحقيقت برخلاف ويروس ها و کرم ها، اسب هاي تروا از توانايي اجراي خودکار بي بهره اند. در داستان اصلي نيز، تا زماني که اهالي تروا، اسب چوبي يوناني ها را به درون دژ خود نبردند، سپاهيان يونان نمي توانستند در ساختار دفاعي تروا نفوذ يا اختلال ايجاد کنند؛ اين همان اتفاقي است که براي هر اسب ترواي کامپيوتري نيز رخ مي دهد: اسب تروا هرگز نمي تواند به طور خودکار اجرا شده و خود را تکثير کند. بنابراين خطرآفريني آن منوط به زماني است که فايل بدافزار، توسط کاربر اجرا شود و تا آن زمان، اسب ترواي پياده شده بر روي سيستم به هيچ وجه قادر به انجام عمليات تعريف شده نيست. از اين رو، درجه خطر آفريني هر اسب تروا پيش از هر چيز، به درجه موفقيت تکنيک هاي مهندسي اجتماعي مورد استفاده براي انتشار آن، بستگي دارد. ضمن اينکه اسب هاي تروا، بر استراتژي انتفاع از کاربر نهايي ( End User ) تکيه و تاکيد مي کنند.
در همين رابطه،يکي از قديمي ترين مثال هاي درسي اسب تروا، در سال 1983 توسط پروفسور کن تامپسون ( Ken Thompson )، استاد بزرگ برنامه نويسي و خالق زبان برنامه نويسي B تشريح شده است. تامپسون نشان داد که با افزودن يک تکه کد به فرمان Login در سيستم عامل UNIX، مي توان به بدافزار اجازه داد تا به راحتي وارد سيستم شود. در عين حال تامپسون ثابت کرد که اسب تروا را حتي با استفاده از يک کامپايلر C نيز مي توان بر روي سيستم قرباني سوار کرد؛ که البته تشخيص آلودگي را به مراتب دشوارتر و پيچيده تر خواهد کرد.
انواع Payload هاي مکمل اسب تروا
دسترسي از راه دور ( Remote Access)
ارسال نامه الکترونيکي ( Email Sending )
تخريب داده ( Data Destruction )
مدير دريافت ( Downloader )
اجرا بر اساس پراکسي ( Proxy Trojan )
اجرا بر اساس پروتکل اف. تي. پي ( FTP Trojan )
از کار اندازي نرم افزارهاي امنيتي محافظ سيستم
حملات ( DoS ) Denial-of-Service
اجرا بر اساس URL
گفتني است که Pay load نهم، ابعاد نويني از توانايي هاي ضد امنيتي يک Trojan horse را به نمايش مي گذارد و مي تواند اسب تروا را به يک بدافزار شماره گير ( Dialer Malware) مبدل نمايد؛ به طوري که کامپيوتر قرباني را به کلاينت آلوده اي تبديل مي کند که وظيفه اش تماس با شماره هاي تلفن Premium-rate از طريق Dial-up Connection ساخته شده بر روي سيستم است.
از طريق اين Pay loadها چه مي توان کرد؟
* حذف يا بازنويسي داده ها بر روي کامپيوتر قرباني
* تخريب ماهرانه اطلاعات سيستم
* رمزگذاري فايل ها در حملات Cryptoviral Extortion
* Upload و Download فايل ها
* برقراري ارتباط راه دور ( Remote Access ) با سيستم قرباني. چنين اسب تروايي اصطلاحاً RAT ( Remote Access Trojan يا Remote Administration Tool ) ناميده مي شود. نکته جالب اين که واژه Rat در زبان انگليسي به معناي موش صحرايي است!
* توزيع و تکثير ديگر انواع بدافزارها، همچون ويروس ها و کرم هاي کامپيوتري. چنين اسب تروايي اصطلاحاً Vector ( بردار ) يا Dropper ( قطره چکان ) ناميده مي شود. گفتني است که اين گونه Payload ها توسط گروه اول اسب هاي تروا ( برنامه هاي تحريف شده )، منتشر مي شوند.
* برپايي شبکه هايي از کامپيوترهاي زامبي ( Zombie Computers ) به منظور انجام حملات DDos يا ارسال هرزنامه ( Spam ).
* جاسوسي عمليات کاربر ( به طور مثال عادات و علائق وي در وب ) و مخابره آن به ديگران. در اين حالت، اسب تروا عملا به يک جاسوس افزار( Spyware ) مبدل مي شود.
* ثبت کليدهاي فشرده شده توسط کاربر ( Keystroke Logging ) به منظور سرقت اطلاعات حياتي وي مانند کليد-واژه ( Password )ها و شماره کارت هاي اعتباري.
* تهيه Screenshot از صفحه نمايش سيستم به منظور ثبت عمليات در حال اجراي کاربر و مخابره به ديگران ( از اين روش به عنوان يک جايگزين ساده تر به جاي Keystroke Logging استفاده مي شود).
* Phishing وب سايت هاي بانکي با هدف کلاه برداري ،سوء استفاده از حساب هاي اعتباري کاربران ، يا ديگر فعاليت هاي تبه کارانه
* پياده سازي Backdoor بر روي سيستم
* گشودن و بستن مکرر و چندين باره درب CD-ROM.
* سرقت حساب هاي پست الکترونيک ( Email ) و سوء استفاده از آنها به منظور ارسال هرزنامه ( Spam )
* غيرفعال نمودن يا ايجاد مزاحمت براي نرم افزارهاي امنيتي مانند ضد ويروس ها و ديوارهاي آتش
* غير فعال نمودن يا ايجاد مزاحمت براي برنامه هاي ديگر، حتي براي ديگر بدافزارهاي پياده شده بر روي سيستم
* راه اندازي مجدد ( Restart ) کامپيوتر درهر بار اجراي برنامه هاي آلوده
* خاموش کردن کامپيوتر قرباني به طور تصادفي و ناگهاني
روش هاي آلوده سازي
پست الکترونيک: اين روش ، شايع ترين شيوه انتشار اسب هاي تروا در محيط شبکه است. توصيه موکدانه کارشناسان امنيتي به کاربران، مبني بر عدم اجراي پيوست هاي مشکوک Email، از همين جا سرچشمه مي گيرد.
Download از وب يا FTP: اين روش يکي از شايع ترين شيوه هاي انتشار اسب هاي ترواست. بخش عمده اي از موارد آلودگي به اين شيوه، توسط وب سايت هاي توزيع غيرقانوني نرم افزارهاي قفل شکسته، و بخش بسيار بزرگ تري از آن، توسط وب سايت هاي هرزنگاري ( Pornography ) به وجود آمده است.
درگاه هاي باز ( Open Ports): يکي از کانال هاي شايع انتشار اسب هاي تروا، درگاه هاي باز کامپيوترهاي قرباني است. اسب هاي تروا مي توانند با استفاده از اين درگاه ها و پروتکل هاي مربوطه ( HTTP,FTP,SMTP,... ) به سادگي در ميان گره هاي شبکه جابه جا شوند. در اين رهگذر، استفاده از ديوارهاي آتش به روز رساني شده و نيرومند مي تواند احتمال آلودگي به اين شيوه را به شدت کاهش دهد.
پيام فوري ( IM/Instant Message): شانس آلودگي به اين روش اندک است، با اين حال همچنان محتمل و مقدور مي باشد و با توجه به رويکرد روز افزون برنامه نويسان ضد امنيتي به IM هر آن افزايش مي يابد؛ چنان که برخي از مهم ترين نمونه هاي نسل جديد اسب هاي تروا، به اين شيوه انتشار مي يابند.
توزيع فيزيکي: اسب هاي تروا از طريق ديسک هاي فشرده ( CD ) نيز تکثير مي شوند. اگرچه امروزه تکثير فيزيکي بد افزارها بر خلاف دهه 90، چندان متداول نيست، اما به عنوان راه کلاسيک تکثير بدافزارهاي کامپيوتري، همچنان ممکن و مقدور مي باشد.
روش هاي استتار
در حقيقت در روش نخست، اسب تروا پس از پياده شدن بر روي کامپيوتر قرباني، با دستکاري رجيستري، موجب اجراي خودکار خود در هر بار راه اندازي سيستم مي شود.
دومين روش عمده استتار اسب هاي تروا، تغذيه انگل وار از فايل هاي ديگر است. در اين شيوه که به صورت بسيار هوشمندانه اي طراحي و اجرا مي شود، اسب تروا به يک فايل به ظاهر پاک و بي خطر وصل مي شود و به واسطه اجراي آن فايل، روي کامپيوتر قرباني اجرا مي شود.
روش هاي نابود سازي
* حذف محتويات پوشه Temporary Internet Files
* و در موارد پيشرفته تر، يافتن و حذف دستي فايل اسب تروا توسط کاربر.
با اين حال، امروزه بسياري از نرم افزارهاي نيرومند امنيتي، همچون نرم افزارهاي Norton360 و Kaspersky مي توانند تعداد بسيار زيادي از اسب هاي تروا ( با ساختارهاي متفاوت از ساده تا پيچيده ) را يافته و نابود کنند. توجه داشته باشيد که اگر نرم افزار امنيتي شما نمي تواند يک اسب تروا ( عمدتاً از نوع RAT ) را شناسايي کند، اين امکان وجود دارد که سيستم را در حالت امن ( Safe Mode ) راه اندازي کنيد و عمليات اسکن را در آن حالت اجرا نماييد، چرا که در Safe Mode شانس کشف و نابود سازي بسياري از اسب هاي تروا بيشتر است.
مهمترين برنامه هاي مبتني بر اسب هاي تروا
با گذشت اين تعداد از 90 بار، برنامه تمامي پوشه هاي درايو C را پنهان مي کرد و نام تمامي فايل هاي موجود در آن درايو را رمزگذاري مي نمود. سپس از کاربر خواسته مي شد براي برون رفت از اين وضعيت " جواز کاربري خود را تجديد نمايد"؛ يعني مبلغ 378 دلار آمريکا را به يک صندوق پستي P.O.BOX در پاناما بفرستد و مراتب را به شرکت PC Cyborg اطلاع دهد. AIDS نخستين بار از طريق ارسال فلاپي ديسک هايي با برچسب AIDS Information Introductory Diskette به اعضاي يک فهرست پستي که دکتر پاپ نيز در آن عضويت داشت، انتشار يافت. هويت دکتر پاپ سرانجام توسط صنعت ضد ويروس بريتانيا محرز شد و نام وي در فهرست جنايتکاران اسکاتلنديارد به ثبت رسيد. سرانجام وي مدتي بعد دستگير شد و به زندان Brixton فرستاده شد. نام AIDS از آنجا به اين اسب تروا اطلاق شد که ژوزف پاپ در دفاعيات خود مدعي شد از درآمد غيرقانوني حاصله، جهت کمک به پژوهش هاي پزشکي در راه درمان بيماري مهلک ايدز بهره برده است.
Back Orifice ( BO ): در اول اوت 1998، ظاهرا با هدف اثبات عدم امنيت ويندوز 98 توسط يکي از اعضاي سازمان هکري CULT OF THE DEAD COW به نام مستعار Sir Dystic منتشر شد. اين برنامه بر اساس پروتکل هاي TCP و UDP و معماري Client-Server طراحي شده است و از نگارش هاي نوين آن بر روي سيستم عامل Unix نيز مي توان بهره برد. آخرين نگارش اساسي آن با نام Back Orifice2000 ( BO2k ) در اواخر 1999 منتشر شد. تازه ترين به روز رساني هاي آن به شماره 1.1.6 ( ويندوز) و 0.1.5 ( لينوکس ) در مارس 2007 انتشار يافته است و تلاش ها براي انتشار نگارش نوين آن به نام Back Orifice XP همچنان ادامه دارد.
Beast Trojan: يکي از هوشمندانه ترين و تکنيکي ترين اسب هاي ترواي RAT است که در سال 2002 توسط برنامه نويس بسيار خوش فکر و با استعدادي با نام مستعار Tataye به زبان Delphi نوشته و منتشر شد. Beast که مي تواند تمامي نگارش هاي ويندوز از 95 تا XP را به سادگي آلوده کند، پيش از هرچيز به دليل ايده هاي درخشان و منحصر به فرد به کار رفته در ساختار برنامه نويسي اش شهرت يافت. Beast يکي از نخستين اسب هاي تروايي بود که از قابليت ارتباط معکوس ( Reverse Connection ) بهره مي برد؛ که به کاربر اجازه مي داد بدون نياز به دانستن IP قرباني، کنترل کامل سيستم را در دست بگيرد. مکانيزم خيره کننده Beast بر اساس روش تزريق ( Injection Method ) استوار است ؛ به اين معنا کهDLL هاي برنامه در ساختار فايل هاي حياتي ,iexplorer.exe( internet Explorer ) explorer .exe ( Windows Explorer ) و msnmsgr.exe
( MSN Messenger ) تزريق مي شد که به ترتيب با هر بار راه اندازي ويندوز به طور خودکار، در حافظه مقيم ( Resident ) مي شد. نگارش نهايي Beast سرانجام در 3 اوت 2004 به شماره 2.07 منتشر شد.
NetBus : يک Backdoor بالقوه نيرومند که نخستين بار در مارس 1998 توسط يک برنامه نويس سوئدي به نام Carl-Fredrik Neikter به زبان دلفي نوشته شد. به ادعاي نويسنده برنامه؛ NetBus تنها با هدف شوخي با کاربران نوشته شده بود. واژه BUS که در زبان سوئدي به معناي شوخي است، پشتوانه ادعاي Neikter بود. به هر حال، عواقب اين شوخي بسيار گسترده بود. در سال 1999 در ماجراي جالبي که به شهرت NetBus بسيار کمک کرد، بيش از 3500 تصوير هرزنگاري کودکان، به وسيله اين برنامه از کامپيوتر يک استاد دانشگاه به نام Magnus Eriksson بيرون کشيده شد و ماجراي تمايلات جنسي انحراف آميز Eriksson در ابعاد گسترده منتشر گرديد، به گونه اي که وي ابتدا شغل خود را از دست داد و سپس در محاکمه اي گرفتار شد که تا 5 سال بعد ( 2004 ) به طول انجاميد.
Prorat: يک Backdoor مهلک از نوع RAT که در دو نسخه رايگان و خريدني عرضه مي شود. در نسخه رايگان، امکان دسترسي از راه دور به کامپيوترهاي عضو شبکه هاي بي سيم ( Wireless ) از کاربران دريغ شده است، و آنها تنها مي توانند به کامپيوترهاي عضو شبکه هاي LAN دست يابند. يکي از دلايل شهرت اين برنامه در ماه هاي آغازين انتشارش، آن بود که از کار انداختن سرور آن بدون بهره گيري از ضد ويروس هاي به روز رساني شده و نيرومند، تقريباً غير ممکن بود.
Spysheriff: بدافزار مهلکي است که در پوشش يک نرم افزار ضد جاسوس افزار، بر روي سيستم نصب مي شود و با نمايش پيام هاي هشدار دروغين به طور مکرر و چندين باره مي کوشد کاربر را به خريد نسخه کامل خود ترغيب نمايد.Spysheriff به سختي از روي کامپيوترهاي قرباني پاک مي شود و مبارزه با آن نيازمند صبر، حوصله، و مهارت فراوان است. Spysheriff داراي ويژگي هاي برجسته اي است که در ادامه با شماري از آنها آشنا مي شويد:
1. براي حذف آن اساساً نمي توان از روش هاي متداول همچون Add/Remove Programs يا عزل دستي استفاده نمود؛ چرا که اولاً با نمايش صفحه آبي مرگ ( B.O.D )، اشغال کامل حافظه و Crash کردن سيستم، به تلاش کاربر براي عزل خود پاسخ مي دهد و در ثاني، به فرض پاک شدن از روي سيستم ، بلافاصله خود را از نو رونويسي مي کند.
2. صفحه تنظيمات مرورگر IE و نيز وب سايت هاي توزيع قانوني نرم افزارهاي امنيتي را قفل ( Block ) مي کند تا از دسترسي کاربران به نرم افزارهاي امنيتي واقعي ممانعت نمايد.
3. از هر گونه اتصال کامپيوترقرباني به اينترنت يا هر گونه شبکه کامپيوتري ديگر جلوگيري مي کند و دليل ممانعت را اين گونه بيان مي کند:
The System has been stopped to protect you from spyware
(اتصال سيستم با هدف محافظت از شما در برابر جاسوس افزارها متوقف شد. )
4. Desktop کامپيوتر قرباني، صفحه آبي مرگ يا پيام هاي هشداري با مضمون آلودگي سيستم به انواعي از جاسوس افزار و پيشنهاد خريد نرم افزار ضد جاسوس افزار کذايي را به جاي تصوير پيش زمينه، نمايش مي دهد.
5. يک حساب کاربري Administrator را با هدف ممانعت از دسترسي کاربران تعريف شده به برنامه ها و ابزارهاي سيستم، مي سازد.
6. با دستکاري در تقويم سيستم و نقاط بازيافت ( Restore Points ) برنامه System Restore را از کار مي اندازد. لازم به ذکر است که در صورت راه اندازي سيستم در حالت امن ( Safe Mode ) مي توان از System Restore براي مبارزه با Spysheriff استفاده کرد.
Sub7 : يکي از مشهورترين Backdoor هاي جهان است که به ويژه در ميان کاربران ايراني شهرت يافته است. عمده کاربرد اين برنامه نزد نفوذگران مبتدي و به ويژه کاربران ايراني، شامل باز و بسته کردن سيني CD-ROM مخفي کردن نشانه گر ماوس و در نهايت گشودن وب سايت هاي پورنو گرافيک بر روي سيستم قرباني است. با اين حال، از اين برنامه مي توان براي اهداف جدي تري همچون سرقت شماره کارت هاي اعتباري قرباني به وسيله عمليات Keystroke Logging سواستفاده کرد. نام اين برنامه از وارونه نوشتن واژه NetBus ( يعني Sub Ten ) وتبديل Ten ( 10 ) به (7 )Seven به دست آمده است. از اين رو، بسياري Sub7 را اقتباس موفقي از NetBus مي دانند( البته ثبات و امکانات Sub7 نسبت به NetBus بهتر است).
نويسنده اين برنامه که با نام مستعار Mobman در دنياي نفوذگران شناخته مي شود، يکي از تنبل ترين و افسرده ترين هکرهاي حال حاضرجهان است، چنان که سال هاست Sub7 را به هنگام نکرده است و آخرين به روز رساني وب سايت رسمي برنامه نيز به آوريل 2004 باز مي گردد. از اين رو، شايعات بسياري درباره ماهيت، شخصيت و وضعيت زندگي Mobman رواج يافته است، به گونه اي که برخي معتقدند وي مرده است و به باور گروهي ديگر، وي در يک کلينيک روان درماني تحت معالجه قرار دارد. به هر حال واضح است که در حال حاضر، Mobman به ادامه اين پروژه علاقه اي ندارد. لازم به ذکر است که آخرين به روز رساني هاي صورت گرفته در وب سايت Sub7 توسط 2 کاربر ديگر به نام هاي Lat وElecboy در سال 2006 صورت گرفته است، و سکوت ابهام آميز همه جانبه Mobman از 2004 به اين سو ،همچنان ادامه دارد.
Vundo: اين برنامه که با نام هاي Virtumonde و Virtumondo نيز شناخته مي شود، اسب تروايي است که با سوء استفاده از يک حفره قديمي در java1.5 و نگارش هاي پيش از آن، موجب نمايش بي وقفه Popup ها و تبليغات وبي، براي شماري از برنامه هاي کاربردي ضعيف و گمنام از جمله Sysprotect, Protector, Storage و Winfixer مي شود ( درست خوانديد، حتي نرم افزارهاي امنيتي و Utility نيز ممکن است از بدافزارها براي تبليغ خود بهره ببرند.)
روش آلوده سازي Vundo نمونه گويايي از تکنيک هاي آلوده سازي و استتار اسب هاي ترواست: برنامه يک فايل DLL را در پوشه System32 ويندوز ساخته و رجيستري را دستکاري مي کند، و با تزريق خود به ساختمان فايل Winlogon.exe در حافظه مقيم مي شود. يکي از نشانه هاي آلودگي به Vundo قفل شدن دسترسي کاربران به کنترل پانل است.
Zlob : يکي از جالب ترين و هوشمندانه ترين اسب هاي تروايي است که تاکنون نوشته است. Zlob که با نام Trojan.Zlob نيز شناخته مي شود، در پوشش يک Codec ويديويي براي تماشاي فيلم هاي پورنوگرافيک و مستهجن، بر روي کامپيوتر قرباني پياده مي شود. سپس به محض اجراي فايل اسب تروا، تبليغاتي شبيه پيام هاي هشدار ويندوز نمايش داده مي شود و ضمن اعلام آلودگي سيستم به جاسوس افزار، از کاربر خواسته مي شود تا يک نرم افزار ضد جاسوس افزار ناشناخته و گمنام را روي سيستم خود پياده کند. اين اسب ترواي خوش ساخت، به دليل ساختار مهندسي اجتماعي هوشمندانه و زيرکانه اي که در آن به کار رفته است، به کرات از سوي برنامه نويسان ضد امنيتي ديگر اقتباس شد. به گونه اي که تنها شرکت امنيتي F-Secure به تعداد 32 گونه متفاوت از آن را شناسايي و در آرشيو خود به ثبت رسانده است.
راهکارهاي مؤثر براي پيشگيري از آلودگي به اسب هاي تروا
*هرگز Email هاي رسيده از سوي کاربران ناشناس را باز نکنيد. به خاطر داشته باشيد که شانس آلودگي نامه هاي الکترونيک ناشناس نسبت به پاکي آنها99 به 1 است. همچنين هرگز فايل هاي پيوست Emailهاي دوستان، آشنايان و همکارانتان را چشم بسته باز نکنيد. اين نکته را از ياد نبريد که بسياري از بدافزارها مي توانند نشاني هاي Email ثبت شده در دفترچه آدرس نرم افزارهاي Outlook,IncrediMail, Eudoraو... را دزديده و نسخه هايي از خود را با نام و نشاني قربانيان به آن صندوق هاي Email ارسال کنند.
*در هنگام پيکربندي نرم افزارهاي مديريت پست الکترونيک ( که در بند پيشين به شماري از آن ها اشاره شد) ابتدا مطمئن شويد که امکان گشودن و اجراي خودکار پيوست ها توسط نرم افزار را از کار انداخته ايد. زيرا برخي از Email Client ها مي توانند چنين کاري انجام دهند و در اين صورت، احتمال آلودگي به بد افزارهايي همچون اسب هاي تروا به شدت افزايش مي يابد.
*ترجيحاً از Email Client هايي استفاده کنيد که از يک ضد ويروس تو کار براي اسکن دقيق پيوست Email ها بهره مي برند. در صورتي که از چنين نرم افزاري بي بهره ايد، يا Email Client خود را تغيير دهيد و يا يک نرم افزار ضد ويروس نيرومند و به هنگام را روي کامپيوتر خود نصب کنيد.
*شايد شنيده باشيد که سيستم هاي عاملي چون ويندوز، داراي حفره هاي متعددي هستند که به منظور حمله و نفوذ به سيستم از سوي نفوذگران مورد سوء استفاده قرار مي گيرند. ضمن اينکه هراز چند گاه، مايکروسافت و ديگر توليد کنندگان سيستم هاي عامل، وصله ( Patch)هايي را براي بستن اين حفره ها بر روي وب سايت خود منتشر مي کنند. بنابراين اگر سيستم عامل خود را با استفاده از برنامه هاي ويژه تعبيه شده در آنها به هنگام نگه داريد، احتمالاً توانسته ايد شانس آلودگي سيستم خود به بسياري از بدافزارها و اسب هاي ترواي جديد، کاهش دهيد. با اين حال به ياد داشته باشيد که عدم نصب برخي از اين وصله هاي امنيتي، بهتر از نصب کردن آنهاست، چرا که تجربه ثابت کرده است برخي از آنها موجب گشوده شدن حفره هاي تازه اي روي سيستم و افزايش شانس آلودگي مي شوند.
*تا آنجايي که ممکن است از نصب و اجراي نرم افزارهاي اشتراک نظير به نظير ( P2P ) و برنامه هاي اشتراک سيال ( Torrent ) بپرهيزيد. اين نرم افزارها کانال هاي بسيار مناسبي براي انتشار سهل و سريع انواع بد افزارهاي کامپيوتري هستند. اگر چه برخي از آنها همچون Kazzaو Gnutella از يک ضدويروس توکار براي افزايش امنيت کاربرانشان بهره مي برند، اما اين ضد ويروس هاي توکار، معمولاً توانايي چنداني ندارند و از اين رو نقش مؤثري در کاهش شانس آلودگي به بدافزارها ايفا نمي کنند. در نهايت، اگر بنا به هر دليلي بر ادامه استفاده از اين نرم افزارها اصرار مي ورزيد، توصيه مي شود از دريافت و پياده سازي آهنگ ها، فيلم ها، کتاب هاي الکترونيکي، تصاوير و برنامه هاي نشانه گذاري شده با علامت Rare ( نادر و کمياب ) خودداري کنيد و بيشتر ازمنابع Popular ( عوام پسند)، که احتمال پاکيزگيشان بيشتر است، استفاده نماييد.
*و اما آخرين و مهم ترين راهکار: همواره آخرين و تازه ترين اخبار مربوط به امنيت IT را دنبال کنيد و اطلاعات خود درباره بدافزارهاي کامپيوتري را به هنگام نگه داريد. اين، مهم ترين راه مبارزه با بدافزارها و پيشگيري از آلودگي به آنهاست.
منبع:دانش و کامپيوتر،شماره 87
/خ
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}