همه چیز درباره ی مخرّب های کامپیوتری (2)


 






 

نكاتي براي جلوگيري از ورود كرم ها به سيستم
 

از آنجائيكه اين نوع برنامه‌ها ( worms ) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامه‌هاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر مي‌پردازيم.
كرمها برنامه‌هاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا مي‌گيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا مي‌كنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم مي‌شوند. اگر شما از اين نرم افزار استفاده مي‌كنيد پيشنهاد مي شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكه‌هاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز مي‌كنيد و یا از cd ها و بسته‌هاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “ Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهايي مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشه‌هاي موجود بر روي سيستم خود را با ديگر كاربران به اشتراك نگذاريد مگر در مواقع ضروري . اگر مجبور به اين كار هستيد، حتماً اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاريد.
7) زماني كه از كامپيوتر استفاده نمي‌كنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر ايميلي از يك دوستي كه به طريقي ناشناس است دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن موجود را چند بار خوانده و زماني كه اطمينان حاصل كرديد از طرف يك دوست است و مشكوك نيست، آنگاه سراغ ضمائم آن برويد.
9) فايلهاي ضميمه شده به ايميل‌هاي تبليغاتي و يا احياناً weblink هاي موجود در آن‌ها را توصيه مي‌شود حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شده‌اي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، مسائل جنسي و مانند آن را تبليغ مي‌كنند، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران مي‌شود.
11) به آيكون‌هاي فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. زيرا ممكن است كرمهايي در قالب فايلي با شمايل يك فايل عكس و يا متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي است و باعث فريب خوردن كاربر مي‌شود.
12) به هيچ عنوان فايلهاي ارسالي از طريق كاربران ناشناس on-line در chat system ها را قبول ( accept ) نكنيد. در massenger هايي مانند IRC ، ICQ و يا AOL .
13) از Download كردن فايل از گروه‌هاي خبري همگاني پرهيز كنيد. ( usenet news ) زيرا اغلب گروه‌هاي خبري يكي از ابزار پخش ويروس توسط ويروس نويسان است.

CODERED يك نوع كرم اينترنتي
 

حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب آلوده خود را بر روي هزاران وب سرور افكنده است و كارشناسان امنيتي را به تلاطم انداخته است، مي‌پردازيم. راجع به واژه خواب آلود متن زير را مطالعه كنيد.

CODERED يك نوع كرم اينترنتي
 

مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي و شفاف سازي اطلاعات سري كامپيوتري است، اذعان مي‌دارد كه ويروس CODERED احتمالاً به دورن بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده مي‌كنند نفوذ كرده است. حال آنكه اين سيستم عاملها عنوان داراي مزيت محافظت سري به وسيلة سري نرم افزارهاي خطاياب IIS5 و IIS4 در سرور اينترنتي را يدك مي‌كشند!
در هنگامي كه هر دو گونه اين ويروس (در اينجا منظور نسخه‌هاي 29. A و codered II مي‌باشدكه درباره نسخه جديد تر اين ويروس يعني codered F . در شماره‌هاي بعدي بحث خواهيم كرد.) تلاش مي‌كنند تا روي سرورهايي كه به وسيله سرويس‌هاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروس هاي جديد اصلاح نشده‌اند ، نفوذ و منتشر شوند،‌ يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين (20 ام) روز ماه منتشر مي‌شود و آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل مي‌كند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري مي‌كند. جالب است بدانيد كه اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
در آخرين ساعت بيست و هفتيمن روز ماه، به نظر مي‌رسد كه اين ويروس، بمباران و انتشارهاي خود را متوقف كرده و وارد مرحله خواب موقتي شده و خود را غير فعال مي‌كند. حال سوال آنكه آيا اين ويروس قدرت اين را دارد كه خود را براي فعاليتي دوباره در اولين روز ماه بعد بيدار كند.
در يك مركز تحقيقات تخصصي كه شركتي مشاوره‌اي و فني در اوهايو ايالات كلمبيا است، بررسي و تست ويروس Codered به بيان اين نتيجه رسيده است كه اين مزاحم خواب آلود مي‌تواند دوباره خود را فعال كند و فرآيند جستجو ميزبانان جديد را از سر بگيرد.
بررسي ها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت دوباره، فايل مخصوصي را جستجو مي‌كند و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ ( Trojan ) در حالت خواب باقي مي‌ماند.
كارشناسان فني بر اين عقيده‌اند كه اين ويروس مجبور نيست كه خود را بيدار و فعال كند تا به عنوان يك تحديد جدي براي سيستم‌ها درآيد. در حال حاضر تعداد زيادي سيستم‌هاي آلوده وجود دارد كه ناخودآگاه براي انتشار و سرايت ويروس به سيستم‌هاي ديگر تلاش مي‌كنند. يكي از كارشناسان SARC يكي ديگر از مراكز تحقيقاتي مي‌گويد : از آنجا كه كامپيوترهاي زيادي ساعتهاي آنها نادرست تنظيم شده است، ما شاهد دوباره رخ دادن انتشار اين ويروس خواهيم بود. تنها يكي از سيستم‌هاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
مركز تطبيق و هماهنگي CERT اعلام كرده است: محاسبات نشان مي‌دهد كه ويروس Codered 250000 سرور ويندوزهايي كه آسيب پذير بوده‌اند را در خلال 9 ساعت اول فعاليت زود هنگام خود، آلوده كرده است. بولتن خبري CERT گزارش مي‌دهد با تحليل‌هاي ما تخمين زده مي‌شود كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستم‌هايي كه عليرغم استفاده از نرم افزارهاي ( IIS البته نسخه‌هاي قديمي آن)، همچنان آسيب پذير مانده‌اند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را پيش مي‌آورد كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شده‌اند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است،‌ با اين حال اين كرم كينه جو هنوز مشكلات زيادي را براي ميزبانان آلوده به وجود مي‌آورد.

حمله به سيستم هاي Linux
 

ويروس معروف و بسيار گستردة Slapper براي اولين بار در تاريخ 14 سپتامبر 2002 كشف شد.

Slapper يك كرم شبكه
 

Slapper طي يك مدت كوتاهي بسيار سريع هزاران وب سرور در سراسر دنيا را آلوده كرد. يكي از جالب‌ترين خصوصيات slapper توانايي‌آن در بوجود آوردن يك شبكه نظير به نظير توزيع شده است كه به نويسنده اين ويروس اين امكان را مي‌دهد كه بر همه شبكه‌هاي آلوده شده كنترل داشته باشد.

کرم W32Blaster-A
 

هدف اصلي اين كرم اينترنتي ضربه زدن به مايكروسافت و سايت اينترنتي Windowsupdate.comاين كمپاني مي باشد . نويسنده اين كرم با اين عمل مي خواهد براي كاربراني كه مي خواهند سيستم عامل ويندوز خود را از اين طريق در برابر هجوم اين كرم محافظت كنند مشكل ايجاد نمايد . اين كرم حاوي رشته پيغام زير در كدهاي خود مي باشد :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته اين پيغام در نسخه ديگر و جديدتر اين كرم ( W32/Blaster-B ) تغيير كرده است .
كرم Blaster از طريق ايميل گسترش پيدا نمي كند ، اين كرم از طريق يافتن نسخه هاي آسيب پذير ويندوز گسترش مي يابد و اين كار را از طريق سرويس ( Remote Procedure Call) RPC ويندوز انجام مي دهد . بنابراين برنامه هاي محافظ ايميل قادر به شناسايي اين كرم نيستند .
شركتها و مديران شبكه ها مي بايست تكه نرم افزارهاي محافظ مخصوص اين كرم را از روي سايت مايكروسافت دريافت و نيز از صحيح نصب شدن Firewall ها بروي سيستمها و سرورهاي خود اطمينان حاصل كرده و نيز مهمتر از همه آنتي ويروس بروز شده را فراموش نكنند .

شرح و بررسي W32/Blaster-A
 

نام هاي مستعار :
 

W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A

نوع :
 

win32 worm
W32/Blaster-A كرمي است كه از طريق اينترنت و با استفاده از خطاي آسيب پذيري DCOM موجود در سرويس ( Remote Procedure Call) RPC سيستم عاملهاي ويندوز كه اين خطا براي اولين بار توسط خود كمپاني مايكروسافت در اواسط ماه جولاي 2003 فاش شد ، منتشر مي شود . لازم به ذكر است اين كرم برخلاف اغلب كرمهاي ديگر از طريق ايميل گسترش نمي يابد .
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه هاي ويندوز xp آلوده شده به اين كرم ، باعث مي شود بطور متوالي سرويس RPC متوقف شود و پيغامي مبني بر خاموش شدن سيستم ظاهر شود “ System ShutDown " و بعد از حدود يك دقيقه سيستم حاوي ويندوز xp ، Reboot مي شود .
ويندوزهاي 95 ، 98 ، ME كه از سرويس RPC استفاده نمي كنند از اين بابت در خطر نيستند .
در مسير يافتن سيستمهاي آسيب پذير ، كرم سيستم راه دور (كامپيوتر آسيب پذير) را وادار به دريافت فايلي از طريق پروتكل دريافت فايل TFTP با عنوان msblast.exe ويا penis32.exe مي نمايد .
اين فايل در شاخه ويندوز كپي مي شود .
همچنين دستور زير را در مسير زير واقع در رجيستري ويندوز اظافه مي كند :
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe "
و نيز رشته كاراكتر زير در كدهاي اين ويروس ديده شده كه البته واضح نيست :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .

نحوه مقابله و پاكسازي:
 

Blaster از طريق شبكه اينترنت شبكه ها را جستجو كرده و سيستمهايي كه داراي خطاي آسيب پذيري سرويس محافظتي DCOM RPC هستند را يافته و به درون آنها نفوذ مي كند .

- تمهيداتي براي مديران شبكه ها
 

مديران شبكه ( Adminstrators ) براي مقابله با نفوذ اين كرم به درون سيستمها و خنثي كردن آن بهتر است به گونه زير عمل كنند :
- در اولين قدم بهتر است اگر آنتي ويروسي بروي سيستم خود نداريد يك آنتي ويروس مناسب از يكي از سايتهاي مشهور و مورد اطمينان مانند Symantec و يا Mcafee را بروي سيستمهاي خود نصب نماييد و يا اگر آنتي ويروس بروي سيستمها موجود است آنها را update نمائيد .
- در قدم بعدي patch موجود در سايت
مايكروسافت را بروي تك تك سيستمها و سرورها دريافت و نصب كنيد ، اين patch عمليات Blaster را خنثي مي كند .
- در قدم بعدي از آنجا كه Blaster از فايل Tftp.exe كه يكي از فايلهاي برنامه اي ويندوز بشمار مي رود براي رسيدن به مقاصد خود استفاده مي كند ، اگر اين فايل بروي سيستمهاي شبكه موجود است و زياد از آن استفاده نمي كنيد بهتر است ترجيجاً آنرا تغيير نام بدهيد ، مثلاً به Tftp-exe.old . فراموش نكنيد كه آنرا نبايد پاك كرد ، ممكن است در آينده نرم افزارهاي ما به آن احتياج پيدا كنند .
- در قدم آخر توصيه مي شود حتي الامكان ترافيك موجود در پورت هاي زير را در نرم افزار Firewall خود مسدود نمائيد .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect

- راهنمايي براي كاربران خانگي
 

اگر شما جزء افرادي هستيد كه از نسخه هاي ويندوز NT4 , 2000 , XP , server 2003 استفاده مي كنيد راهنمايي هاي زير براي داشتن آگاهي كافي از چگونگي محافظت سيستم خود و حتي پاكسازي آن از آلودگي مي تواند مفيد باشد .

قدم اول :
 

توصيه مي شود داشتن يك نرم افزار Firewall برروي سيستم مي تواند در محافظت از كامپيوتر شما به شما كمك شايان توجهي نمايد . اگر هم كامپيوترتان آلوده است راه اندازي نرم افزار Firewall مي تواند عمليات مخفيانه كرمها در سيستم شما را محدود سازد .
درآخرين نسخه هاي ويندوز بروي خود ، نرم افزار Firewall مخصوص موجود است . نسخه هاي ويندوز XP و server2003 قبل از راه اندازي Firewall ويندوز ، اگر سيستم شما مدام reboot مي شود ، ابتدا دسترسي به اينترنت را قطع كرده و سپس Firewall خود را فعال كنيد .

كاربران XP :
 

براي راه اندازي Firewall ويندوز XP مراحل زير را به ترتيب طي كنيد :
- Network connection را باز كنيد .
( startmenu/setting/controlPanel/Network & Internet connection )
- سپس روي گزينه Network connection كليك كنيد .
- برروي يكي از Internet connection هايي كه مايليد محافظت انجام شود ، كليك كنيد .
سپس در سمت چپ و در قسمت Network tasks برروي settings of this connections كليك كنيد و يا برروي يكي از connection ها كليك راست كرده و Properties را بزنيد .
- در قسمت Advanced Tab اگر گزينه “ Protect my computer network” تيك زده شود Firewall فعال است و اگر تيك آن برداشته شود ، غير فعال است .
براي دريافت اطلاعات بيشتر راجع به اين قسمت ميتوانيد به آدرس زير مراجعه كنيد :
www.microsoft.com/security/incident/blast.asp

كاربران ويندوز server 2003
 

مي توانيد براي فعال كردن Firewall ويندوز به آدرس زير مراجعه كنيد :
www.microsoft.com/technet/treeview/default.asp

قدم دوم :
 

گرفتن security patch قابل دسترسي در سايت مايكروسافت ، براي گرفتن اين patch به آدرس زير مراجعه كنيد :
http://windowsupdate.microsoft.com

قدم سوم:
 

نصب يك آنتي ويروس قدم بعدي نصب يك آنتي ويروس مناسب است كه فراموش نكنيد از بروز بودن آن مطمئن باشيد ، اگر هم نرم افزار آنتي ويروس بروي سيستم داريد آنرا update كنيد .
توصيه مي شود از نرم افزارهاي مورد اطمينان تر موجود در سايتهاي مشهور استفاده كنيد .

قدم چهارم‌: پاكسازي كرم از روي سيستم
 

براي انجام اين كار مي توانيد از نرم افزار آنتي ويروس update شده خود بهره مند شويد ، ولي اگر مي خواهيد بصورت manual براي اطمينان بيشتر ، خودتان دست بكار شويد بهتر است قبل از هر كاري كرم موجود در سيستم را شناسايي و مشخصات آن را در نرم افزار آنتي ويروس خود و يا در يكي از وب سايتهاي ضد ويروس مطالعه كرده و سپس اقدام به پاكسازي آن نمائيد .

- پاكسازي Blaster-A از روي سيستم بصورت دستي
 

قدم اول : ابتدا مطمئن شويد كه security patch مخصوص را از سايت مايكروسافت دريافت كرده ايد و آنرا برروي سيستم نصب نموده ايد .
قدم دوم : كليدهاي Ctrl+Alt+Del را بطور همزمان با هم بفشاريد .
قدم سوم : پس از ظاهر شدن پنجره Task manager برروي Processes Tab كليك كنيد .
قدم چهارم : پرسه اي با نام msblast.exe را در ليست جستجو كنيد .
قدم پنجم : پس از يافتن بروي آن كليك كرده ، پس از آنكه آنرا highlight نموديد ، بروي End process كليك كنيد و Task manager را ببنديد .
قدم ششم : سه فايل Teekids.exe , Penis32.exe , msblast.exe را توسط موتور جستجوگر ويندوز ( Start /search ) جستجو كنيد .
(توضيح: لازم به توضيح است اين سه فايل مربوط به سه نسخه اين كرم مي باشد ، كه msblast.exe مرتبط با نسخه اول اين كرم يعني MSBLAST-A مي باشد .)
احتمالاً به همراه فايلهاي اجرائي فوق ، فايلهايي با پسوند . Pif نيز با همين اسامي ممكن است يافته شود ، پس از اتمام عمليات جستجو كليه فايلهاي يافته شده با مشخصات بالا را پاك نمائيد . اين فايلها همگي در شاخه ويندوز يافته خواهند شد .
قدم هفتم : حال مي بايست دستور اضافه شده به رجيستري توسط كرم را يافته و از بين ببريم .
البته عمليات فوق را مي توان با استفاده از دستور ديگري هم انجام داد :
- در پنجره Run دستور زير را تايپ كنيد .
Services.msc /s
- در پنجره ظاهر شده بروي گزينه “ Services and Application " دوبل كليك كنيد .همانطور كه مشاهده مي شود ليستي از سرويسها ظاهر مي شود .
- در قسمت راست پنجره سرويس RPC -Remote Procedure Call را جستجو كنيد .
- برروي آن كليك راست كرده و Properties را انتخاب كنيد .
- بروي Recovery TAB كليك كنيد .
- ليستهاي كركره اي موجود ( Subsequent failures , Second failure , First failure) را روي گزينه “ Restart the Service " تغيير دهيد .
- سپس Apply كرده و بعد OK .
با انجام اين عمليات ، Blaster ديگر قادر به Reboot كردن سيستم شما به هنگام اتصال به اينترنت نخواهد بود .

- غير فعال كردن System Restore در ويندوز XP
 

براي احتياط لازم است سرويس بازيابي خودكار ويندوز XP يعني System Restore را موقتاً غير فعل نمائيم .
چرا كه اين قسمت از ويندوز XP بصورت پيش فرض فعال است و ممكن است ويندوز فايلهاي آسيب ديده ، ويروس ها ، كرم ها و برنامه هاي اسب تروآ يي كه احياناً قبلاً بروي سيستم ما بوده اند را بازآوري نمايد . براي غير فعال كردن اين قسمت به آدرس زير در ويندوز xp مراجعه كنيد :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزينه زير را تيك مي زنيم :
“ Turn of system Restore on all Drives "

انواع ديگر BLASTER
 

W32/Blaster-A با نامهاي مستعار Lovsan , MSBLAST , Poza گسترش يافته است .
هنوز چند هفته اي از شيوع اين كرم نمي گذرد كه انواع جديدتر آن نيز ديده شده است .
W32/Blaster-B عملكرد اين نسخه از Blaster نيز مانند نسخه پيشين است با اين تفاوت كه فايلي كه در پوشه ويندوز ايجاد مي كند ديگر msblast.exe نمي باشد ، فايلي با نام teekids.exe مي باشد ، همچنين دستوري را كه در رجيستري ويندوز اضافه مي كند نيز دستور قبلي نمي باشد بلكه اين بار حاوي رشته كاراكترهايي اهانت آورعليه Bill Gates و كمپاني مايكروسافت و سازندگان آنتي ويروس ها مي باشد.
نسخه ديگر اين كرم با نام W32/Blaster-C نيز موجود است كه نام فايل ايجاد كرده در شاخه ويندوز آن penis32.exe مي باشد .
نكته: در كليه نسخه هاي اين كرم همراه فايلهاي exe ايي كه اين كرم در شاخه ويندوز كپي مي كند يك فايل با پسوند . pif نيز با همين نام در شاخه ويندوز مي توان يافت .

خبر مسدود نمودن سايت windowsupdate.com ، توسط كمپاني مايكروسافت
 

W32/Blaster-A روز دوشنبه ، 11 آگوست 2003 براي اولين بار ديده شد .
براساس خبرهاي گزارش شده ، كمپاني مايكروسافت تصميم گرفته است آدرس URL ، windowsupdate.com اين كمپاني را بطور كلي از بين ببرد . وب سايتي كه توسط اين كرم مورد حمله كليه كامپيوترهاي آلوده شده سراسر دنيا به اين كرم در 16 آگوست بوده است .
طبق اعلام مايكروسافت : كاربران مي توانند با مراجعه به آدرس http://windowsupdate.microsoft.comو يا صفحه اصلي مايكروسافت سيستمهاي خود را update نموده و نيز از اطلاعات و patch هاي محافظ موجود ، استفاده كنند .

اسب تروآ “ GrayBird” ، چهره ديگر Blaster
 

آزمايشگاه تحقيقاتي sophos چند روز قبل برروي وب سايت اختصاصي خود اعلام كرد كه نرم افزار آنتي ويروس خود را بار ديگر update نمود ، چرا كه متخصصان اين مركز به يك نوع نرم افزار مخرب اسب تروآ جديد با نام “ Graybird” Trojan برخورد نموده اند .
اين اسب تروآ جديد كه به منظور بدنام كردن مايكروسافت و شايد جوابي عليه تمهيدات اين كمپاني در مبارزه با كرم جديد Blaster بصورت عمدي بوجود آمده است كه در قالب يك patch نرم افزاري محافظ عليه Blaster ، مربوط به كمپاني مايكروسافت خود را ارسال مي كند .
اين مركز به كاربران توصيه مي كند به هيچ عنوان patch هاي محافظتي ( Security patch ) را كه از طريق ايميل براي آنها ارسال مي شود ، باز نكنيد ، حتي از منابع شناخته شده و مشهور باشد .
صحيح ترين و قابل اطمينان ترين محل براي دريافت patch هاي محافظ ، وب سايت اختصاصي كمپاني ها و فروشنده هاي مربوطه مي باشد . همچنين از عمل كردن و يا Forward كردن پيغامهاي مشكوكي كه به هر شكلي رويدادها و پيشامدهايي را شرح و تفصيل مي كنند و به خيال خود ممكن است مفيد واقع گردد ، به همكاران و دوستان خود پرهيز كنيد .
Graybird در قالب يك patch نرم افزاري متعلق به مايكروسافت مي باشد و فقط يك حقه گمراه كننده است براي نفوذ كرم Blaster .
به گفته يكي از متخصصان اين مركز Blaster فقط و فقط يك باور و توهّم خيالي است كه با نفوذ به صدها و هزاران سيستم در سراسر دنيا تلاش مي كند تا كاربران را به ترس و وحشت گرفتار كند .
هيچوقت كدهاي اجرائئ ارسال شده توسط ايميل را باز نكنيد .
* ارسال مقاله توسط عضو محترم سایت با نام کاربری : mehdi_1371