همه چیز درباره ی مخرّب های کامپیوتری (2)
همه چیز درباره ی مخرّب های کامپیوتری (2)
همه چیز درباره ی مخرّب های کامپیوتری (2)
نكاتي براي جلوگيري از ورود كرم ها به سيستم
كرمها برنامههاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا ميگيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا ميكنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم ميشوند. اگر شما از اين نرم افزار استفاده ميكنيد پيشنهاد مي شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكههاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز ميكنيد و یا از cd ها و بستههاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “ Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهايي مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشههاي موجود بر روي سيستم خود را با ديگر كاربران به اشتراك نگذاريد مگر در مواقع ضروري . اگر مجبور به اين كار هستيد، حتماً اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاريد.
7) زماني كه از كامپيوتر استفاده نميكنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر ايميلي از يك دوستي كه به طريقي ناشناس است دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن موجود را چند بار خوانده و زماني كه اطمينان حاصل كرديد از طرف يك دوست است و مشكوك نيست، آنگاه سراغ ضمائم آن برويد.
9) فايلهاي ضميمه شده به ايميلهاي تبليغاتي و يا احياناً weblink هاي موجود در آنها را توصيه ميشود حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شدهاي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، مسائل جنسي و مانند آن را تبليغ ميكنند، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران ميشود.
11) به آيكونهاي فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. زيرا ممكن است كرمهايي در قالب فايلي با شمايل يك فايل عكس و يا متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي است و باعث فريب خوردن كاربر ميشود.
12) به هيچ عنوان فايلهاي ارسالي از طريق كاربران ناشناس on-line در chat system ها را قبول ( accept ) نكنيد. در massenger هايي مانند IRC ، ICQ و يا AOL .
13) از Download كردن فايل از گروههاي خبري همگاني پرهيز كنيد. ( usenet news ) زيرا اغلب گروههاي خبري يكي از ابزار پخش ويروس توسط ويروس نويسان است.
CODERED يك نوع كرم اينترنتي
CODERED يك نوع كرم اينترنتي
در هنگامي كه هر دو گونه اين ويروس (در اينجا منظور نسخههاي 29. A و codered II ميباشدكه درباره نسخه جديد تر اين ويروس يعني codered F . در شمارههاي بعدي بحث خواهيم كرد.) تلاش ميكنند تا روي سرورهايي كه به وسيله سرويسهاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروس هاي جديد اصلاح نشدهاند ، نفوذ و منتشر شوند، يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين (20 ام) روز ماه منتشر ميشود و آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل ميكند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري ميكند. جالب است بدانيد كه اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
در آخرين ساعت بيست و هفتيمن روز ماه، به نظر ميرسد كه اين ويروس، بمباران و انتشارهاي خود را متوقف كرده و وارد مرحله خواب موقتي شده و خود را غير فعال ميكند. حال سوال آنكه آيا اين ويروس قدرت اين را دارد كه خود را براي فعاليتي دوباره در اولين روز ماه بعد بيدار كند.
در يك مركز تحقيقات تخصصي كه شركتي مشاورهاي و فني در اوهايو ايالات كلمبيا است، بررسي و تست ويروس Codered به بيان اين نتيجه رسيده است كه اين مزاحم خواب آلود ميتواند دوباره خود را فعال كند و فرآيند جستجو ميزبانان جديد را از سر بگيرد.
بررسي ها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت دوباره، فايل مخصوصي را جستجو ميكند و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ ( Trojan ) در حالت خواب باقي ميماند.
كارشناسان فني بر اين عقيدهاند كه اين ويروس مجبور نيست كه خود را بيدار و فعال كند تا به عنوان يك تحديد جدي براي سيستمها درآيد. در حال حاضر تعداد زيادي سيستمهاي آلوده وجود دارد كه ناخودآگاه براي انتشار و سرايت ويروس به سيستمهاي ديگر تلاش ميكنند. يكي از كارشناسان SARC يكي ديگر از مراكز تحقيقاتي ميگويد : از آنجا كه كامپيوترهاي زيادي ساعتهاي آنها نادرست تنظيم شده است، ما شاهد دوباره رخ دادن انتشار اين ويروس خواهيم بود. تنها يكي از سيستمهاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
مركز تطبيق و هماهنگي CERT اعلام كرده است: محاسبات نشان ميدهد كه ويروس Codered 250000 سرور ويندوزهايي كه آسيب پذير بودهاند را در خلال 9 ساعت اول فعاليت زود هنگام خود، آلوده كرده است. بولتن خبري CERT گزارش ميدهد با تحليلهاي ما تخمين زده ميشود كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستمهايي كه عليرغم استفاده از نرم افزارهاي ( IIS البته نسخههاي قديمي آن)، همچنان آسيب پذير ماندهاند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را پيش ميآورد كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شدهاند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است، با اين حال اين كرم كينه جو هنوز مشكلات زيادي را براي ميزبانان آلوده به وجود ميآورد.
حمله به سيستم هاي Linux
Slapper يك كرم شبكه
کرم W32Blaster-A
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته اين پيغام در نسخه ديگر و جديدتر اين كرم ( W32/Blaster-B ) تغيير كرده است .
كرم Blaster از طريق ايميل گسترش پيدا نمي كند ، اين كرم از طريق يافتن نسخه هاي آسيب پذير ويندوز گسترش مي يابد و اين كار را از طريق سرويس ( Remote Procedure Call) RPC ويندوز انجام مي دهد . بنابراين برنامه هاي محافظ ايميل قادر به شناسايي اين كرم نيستند .
شركتها و مديران شبكه ها مي بايست تكه نرم افزارهاي محافظ مخصوص اين كرم را از روي سايت مايكروسافت دريافت و نيز از صحيح نصب شدن Firewall ها بروي سيستمها و سرورهاي خود اطمينان حاصل كرده و نيز مهمتر از همه آنتي ويروس بروز شده را فراموش نكنند .
شرح و بررسي W32/Blaster-A
نام هاي مستعار :
نوع :
W32/Blaster-A كرمي است كه از طريق اينترنت و با استفاده از خطاي آسيب پذيري DCOM موجود در سرويس ( Remote Procedure Call) RPC سيستم عاملهاي ويندوز كه اين خطا براي اولين بار توسط خود كمپاني مايكروسافت در اواسط ماه جولاي 2003 فاش شد ، منتشر مي شود . لازم به ذكر است اين كرم برخلاف اغلب كرمهاي ديگر از طريق ايميل گسترش نمي يابد .
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه هاي ويندوز xp آلوده شده به اين كرم ، باعث مي شود بطور متوالي سرويس RPC متوقف شود و پيغامي مبني بر خاموش شدن سيستم ظاهر شود “ System ShutDown " و بعد از حدود يك دقيقه سيستم حاوي ويندوز xp ، Reboot مي شود .
ويندوزهاي 95 ، 98 ، ME كه از سرويس RPC استفاده نمي كنند از اين بابت در خطر نيستند .
در مسير يافتن سيستمهاي آسيب پذير ، كرم سيستم راه دور (كامپيوتر آسيب پذير) را وادار به دريافت فايلي از طريق پروتكل دريافت فايل TFTP با عنوان msblast.exe ويا penis32.exe مي نمايد .
اين فايل در شاخه ويندوز كپي مي شود .
همچنين دستور زير را در مسير زير واقع در رجيستري ويندوز اظافه مي كند :
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe "
و نيز رشته كاراكتر زير در كدهاي اين ويروس ديده شده كه البته واضح نيست :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .
نحوه مقابله و پاكسازي:
- تمهيداتي براي مديران شبكه ها
- در اولين قدم بهتر است اگر آنتي ويروسي بروي سيستم خود نداريد يك آنتي ويروس مناسب از يكي از سايتهاي مشهور و مورد اطمينان مانند Symantec و يا Mcafee را بروي سيستمهاي خود نصب نماييد و يا اگر آنتي ويروس بروي سيستمها موجود است آنها را update نمائيد .
- در قدم بعدي patch موجود در سايت
مايكروسافت را بروي تك تك سيستمها و سرورها دريافت و نصب كنيد ، اين patch عمليات Blaster را خنثي مي كند .
- در قدم بعدي از آنجا كه Blaster از فايل Tftp.exe كه يكي از فايلهاي برنامه اي ويندوز بشمار مي رود براي رسيدن به مقاصد خود استفاده مي كند ، اگر اين فايل بروي سيستمهاي شبكه موجود است و زياد از آن استفاده نمي كنيد بهتر است ترجيجاً آنرا تغيير نام بدهيد ، مثلاً به Tftp-exe.old . فراموش نكنيد كه آنرا نبايد پاك كرد ، ممكن است در آينده نرم افزارهاي ما به آن احتياج پيدا كنند .
- در قدم آخر توصيه مي شود حتي الامكان ترافيك موجود در پورت هاي زير را در نرم افزار Firewall خود مسدود نمائيد .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect
- راهنمايي براي كاربران خانگي
قدم اول :
درآخرين نسخه هاي ويندوز بروي خود ، نرم افزار Firewall مخصوص موجود است . نسخه هاي ويندوز XP و server2003 قبل از راه اندازي Firewall ويندوز ، اگر سيستم شما مدام reboot مي شود ، ابتدا دسترسي به اينترنت را قطع كرده و سپس Firewall خود را فعال كنيد .
كاربران XP :
- Network connection را باز كنيد .
( startmenu/setting/controlPanel/Network & Internet connection )
- سپس روي گزينه Network connection كليك كنيد .
- برروي يكي از Internet connection هايي كه مايليد محافظت انجام شود ، كليك كنيد .
سپس در سمت چپ و در قسمت Network tasks برروي settings of this connections كليك كنيد و يا برروي يكي از connection ها كليك راست كرده و Properties را بزنيد .
- در قسمت Advanced Tab اگر گزينه “ Protect my computer network” تيك زده شود Firewall فعال است و اگر تيك آن برداشته شود ، غير فعال است .
براي دريافت اطلاعات بيشتر راجع به اين قسمت ميتوانيد به آدرس زير مراجعه كنيد :
www.microsoft.com/security/incident/blast.asp
كاربران ويندوز server 2003
www.microsoft.com/technet/treeview/default.asp
قدم دوم :
http://windowsupdate.microsoft.com
قدم سوم:
توصيه مي شود از نرم افزارهاي مورد اطمينان تر موجود در سايتهاي مشهور استفاده كنيد .
قدم چهارم: پاكسازي كرم از روي سيستم
- پاكسازي Blaster-A از روي سيستم بصورت دستي
قدم دوم : كليدهاي Ctrl+Alt+Del را بطور همزمان با هم بفشاريد .
قدم سوم : پس از ظاهر شدن پنجره Task manager برروي Processes Tab كليك كنيد .
قدم چهارم : پرسه اي با نام msblast.exe را در ليست جستجو كنيد .
قدم پنجم : پس از يافتن بروي آن كليك كرده ، پس از آنكه آنرا highlight نموديد ، بروي End process كليك كنيد و Task manager را ببنديد .
قدم ششم : سه فايل Teekids.exe , Penis32.exe , msblast.exe را توسط موتور جستجوگر ويندوز ( Start /search ) جستجو كنيد .
(توضيح: لازم به توضيح است اين سه فايل مربوط به سه نسخه اين كرم مي باشد ، كه msblast.exe مرتبط با نسخه اول اين كرم يعني MSBLAST-A مي باشد .)
احتمالاً به همراه فايلهاي اجرائي فوق ، فايلهايي با پسوند . Pif نيز با همين اسامي ممكن است يافته شود ، پس از اتمام عمليات جستجو كليه فايلهاي يافته شده با مشخصات بالا را پاك نمائيد . اين فايلها همگي در شاخه ويندوز يافته خواهند شد .
قدم هفتم : حال مي بايست دستور اضافه شده به رجيستري توسط كرم را يافته و از بين ببريم .
البته عمليات فوق را مي توان با استفاده از دستور ديگري هم انجام داد :
- در پنجره Run دستور زير را تايپ كنيد .
Services.msc /s
- در پنجره ظاهر شده بروي گزينه “ Services and Application " دوبل كليك كنيد .همانطور كه مشاهده مي شود ليستي از سرويسها ظاهر مي شود .
- در قسمت راست پنجره سرويس RPC -Remote Procedure Call را جستجو كنيد .
- برروي آن كليك راست كرده و Properties را انتخاب كنيد .
- بروي Recovery TAB كليك كنيد .
- ليستهاي كركره اي موجود ( Subsequent failures , Second failure , First failure) را روي گزينه “ Restart the Service " تغيير دهيد .
- سپس Apply كرده و بعد OK .
با انجام اين عمليات ، Blaster ديگر قادر به Reboot كردن سيستم شما به هنگام اتصال به اينترنت نخواهد بود .
- غير فعال كردن System Restore در ويندوز XP
چرا كه اين قسمت از ويندوز XP بصورت پيش فرض فعال است و ممكن است ويندوز فايلهاي آسيب ديده ، ويروس ها ، كرم ها و برنامه هاي اسب تروآ يي كه احياناً قبلاً بروي سيستم ما بوده اند را بازآوري نمايد . براي غير فعال كردن اين قسمت به آدرس زير در ويندوز xp مراجعه كنيد :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزينه زير را تيك مي زنيم :
“ Turn of system Restore on all Drives "
انواع ديگر BLASTER
هنوز چند هفته اي از شيوع اين كرم نمي گذرد كه انواع جديدتر آن نيز ديده شده است .
W32/Blaster-B عملكرد اين نسخه از Blaster نيز مانند نسخه پيشين است با اين تفاوت كه فايلي كه در پوشه ويندوز ايجاد مي كند ديگر msblast.exe نمي باشد ، فايلي با نام teekids.exe مي باشد ، همچنين دستوري را كه در رجيستري ويندوز اضافه مي كند نيز دستور قبلي نمي باشد بلكه اين بار حاوي رشته كاراكترهايي اهانت آورعليه Bill Gates و كمپاني مايكروسافت و سازندگان آنتي ويروس ها مي باشد.
نسخه ديگر اين كرم با نام W32/Blaster-C نيز موجود است كه نام فايل ايجاد كرده در شاخه ويندوز آن penis32.exe مي باشد .
نكته: در كليه نسخه هاي اين كرم همراه فايلهاي exe ايي كه اين كرم در شاخه ويندوز كپي مي كند يك فايل با پسوند . pif نيز با همين نام در شاخه ويندوز مي توان يافت .
خبر مسدود نمودن سايت windowsupdate.com ، توسط كمپاني مايكروسافت
براساس خبرهاي گزارش شده ، كمپاني مايكروسافت تصميم گرفته است آدرس URL ، windowsupdate.com اين كمپاني را بطور كلي از بين ببرد . وب سايتي كه توسط اين كرم مورد حمله كليه كامپيوترهاي آلوده شده سراسر دنيا به اين كرم در 16 آگوست بوده است .
طبق اعلام مايكروسافت : كاربران مي توانند با مراجعه به آدرس http://windowsupdate.microsoft.comو يا صفحه اصلي مايكروسافت سيستمهاي خود را update نموده و نيز از اطلاعات و patch هاي محافظ موجود ، استفاده كنند .
اسب تروآ “ GrayBird” ، چهره ديگر Blaster
اين اسب تروآ جديد كه به منظور بدنام كردن مايكروسافت و شايد جوابي عليه تمهيدات اين كمپاني در مبارزه با كرم جديد Blaster بصورت عمدي بوجود آمده است كه در قالب يك patch نرم افزاري محافظ عليه Blaster ، مربوط به كمپاني مايكروسافت خود را ارسال مي كند .
اين مركز به كاربران توصيه مي كند به هيچ عنوان patch هاي محافظتي ( Security patch ) را كه از طريق ايميل براي آنها ارسال مي شود ، باز نكنيد ، حتي از منابع شناخته شده و مشهور باشد .
صحيح ترين و قابل اطمينان ترين محل براي دريافت patch هاي محافظ ، وب سايت اختصاصي كمپاني ها و فروشنده هاي مربوطه مي باشد . همچنين از عمل كردن و يا Forward كردن پيغامهاي مشكوكي كه به هر شكلي رويدادها و پيشامدهايي را شرح و تفصيل مي كنند و به خيال خود ممكن است مفيد واقع گردد ، به همكاران و دوستان خود پرهيز كنيد .
Graybird در قالب يك patch نرم افزاري متعلق به مايكروسافت مي باشد و فقط يك حقه گمراه كننده است براي نفوذ كرم Blaster .
به گفته يكي از متخصصان اين مركز Blaster فقط و فقط يك باور و توهّم خيالي است كه با نفوذ به صدها و هزاران سيستم در سراسر دنيا تلاش مي كند تا كاربران را به ترس و وحشت گرفتار كند .
هيچوقت كدهاي اجرائئ ارسال شده توسط ايميل را باز نكنيد .
* ارسال مقاله توسط عضو محترم سایت با نام کاربری : mehdi_1371
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}