آموزش حذف بدافزارهای پنهان در رایانه‌

[Invisible2]

بدافزارها امروزه با برنامه‌نویسی‌های پیشرفته‌ای که دارند به خوبی آموخته‌اند که با چه ترفندی از آنتی‌ویروس عبور کرده در رایانه‌ی‌شخصی شما مخفی شوند. به همین دلیل احتمالا رایانه‌ی شما نیز اکنون به یکی از این بدافزارها آلوده شده است.

با وجود آنتی‌ویروس برروی رایانه‌ی شخصی شما هنوز نیز این احتمال وجود دارد تا بدافزاری به قدری قدرت‌مند باشد که هیچ آنتی ویروسی نتواند آن را تشخیص و در نتیجه مانع نفوذ آن به رایانه شما شود. این قبیل بدافزار ها بی‌سر و صدا تاثیرات مخرب خود را برروی دستگاه شما برجا می‌گذارند.

کسپرسکی در آخرین گزارش امنیتی سالانه شرکت خود ادعا کرد که در حدود ۳۸ درصد از رایانه‌های مشتریان آنتی‌ویروس این شرکت در سال ۲۰۱۴ میلادی دست کم یک‌بار مورد حمله‌ی بدافزار‌ها قرار گرفته‌اند. حال و با توجه با اینکه آمار منتشر شده توسط کسپرسکی می‌تواند محتاطانه باشد. باید گفت که بیش از ۳۸ درصد کاربرانی که آنتی ویروس اصل و بروزشده‌ای را برروی رایانه‌ خود نصب کرده‌اند، دچار این قبیل حملات بدافزاری می‌شوند.

برخی استفاده‌کنندگان از رایانه‌های شخصی، آنتی ویروس‌هایی به مراتب ضعیف‌تری نسبت به آنتی ویروس‌های پولی استفاده می‌کنند. بسیاری نیز به ویژه در ایران اساسا اعتقادی به نصب آنتی‌ویروس برروی رایانه‌ی شخصی خود ندارند. از سوی دیگر باید در نظر گرفت که مطالعات کسپرسکی بعد از شناسایی بدافزار‌های مربوطه بوده و بسیاری از بدافزار ها در حال حاضر ناشناس هستند.

به همین دلیل آلودگی تعداد زیادی از رایانه‌ها به انواع بدافزار دور از انتظار نیست. برای اینکه متوجه شوید آیا رایانه شخصی شما میزبان بدافزار‌های پنهان است یا خیر، میتوانید از راه حلی که تیم امنیت آزمایشگاه تکنولوژی دنیس معرفی کرده، استفاده کنید.

مگر آنتی‌ویروس نباید جلوی بدافزار‌ها را بگیرد؟

طبق گزارش کسپرسکی، قدرتمندترین و بروز‌ترین آنتی ویروس‌ها نیز خطاپذیر هستند. استفاده نکردن از آنتی‌ویروس منطقی نیست، اما نباید انتظار داشت آنتی‌ویروس تمامی بدافزار‌ها، به ویژه مشکلات برنامه‌نویسی امنیتی که هنوز شرکت‌ها آنها را شناسایی نکرده‌اند را شناسایی کند.


ویروس‌ها، تروجان‌ها، کرم‌های رایانه‌ای، باجگیرهای اینترنتی و سایر گونه‌های بدافزار مدام درحال تغییر بوده و ه 0روزه تاثیر تخریب پذیری آنها بیشتر و خطرناک تر می‌شود. حتی توسعه‌دهنده‌های بدافزار به روش‌هایی دست یافته‌اند که موجب تغییر نسل بدافزار شده و مانع شناسایی سیستم‌های امنیتی رایانه‌ای می‌شوند. در ادامه راهکارهایی برای تشخیص بدافزارهای ناشناس حاضر در رایانه معرفی می‌شوند که به‌وسیله آنها بتوان بدافزارها را برای همیشه از روی سیستم پاک کرد.

بررسی عملکردهای مرموز

نشانه‌های آلودگی رایانه به بدافزار برای همه قابل تشخیص است. از کار افتادن (Crash) زیاد سیستم‌عامل، کند شدن اجرای برنامه‌ها، افزایش زمان لازم برای بالا آمدن سیستم و خاموش کردن آن، تغییر صفحه خانگی مرورگر اینترنت یا مشاهده پیغام‌های باجگیری در رایانه، نمونه‌هایی واضح از آلودگی رایانه به بدافزار هستند.

اما بدافزارهای هوشمند ممکن است فاقد چنین نشانه‌های واضحی باشند. چنین بدافزارهایی فایل‌های خود را پنهان می‌کنند، سیستم‌عامل را کند نمی‌کنند و فرایندهای مربوط به فعالیت آنها در بخش مدیریت وظایف (Task manager) قابل مشاهده نخواهد بود. چنین بدافزاری ممکن است برای ماه‌ها و حتی سال‌ها مخفی بماند، از تایپ‌های شما لاگ گرفته و رمز عبورهای شما را سرقت کند، حتی روت‌کیت‌های پیشرفته مانند زئوس موقع ورود آنلاین کاربر به حساب بانکی عملیات مخفی خود را اجرا می‌کنند.


هر نوع اقدامی برای کشف چنین بدافزارهای پیشرفته‌ای از موقع شروع سیستم‌عامل (Startup) آغاز می‌شود. برای تشخیص برنامه‌هایی که بدون سرنخ موقع بالا آمدن سیستم‌عامل شروع به اجرا می‌کنند، استفاده از نرم‌افزار تشخیصی استارتاپ (مخفی) رایگان به نام Autoruns توصیه می‌شود.

اتوران نرم‌افزار قابل حمل بوده و به نصب نیاز ندارد. فایل فشرده autoruns.zip با حجم 576 کیلوبایت را از آدرس بالا دانلود کرده و روی هارددیسک ذخیره کنید. فایل‌های Autoruns.exe و Autorunsc.exe را از حالت فشرده خارج کنید. برای اجرای موثر برنامه تشخیصی آن‌ را با استفاده از حساب کاربری مدیر (Run as Administrator) اجرا کنید.

با اجرای اتوران، همه فرایندهایی که با شروع سیستم‌عامل فعال می‌شوند، فهرست خواهند شد که شامل فعالیت‌های رجیستری ویندوز، برنامه‌های الحاقی مرورگرهای اینترنتی و درایورها هم است. ممکن است فهرست استخراج‌شده کمی ترسناک به‌نظر برسد. برای خلاصه کردن فهرست جهت بررسی، برنامه‌ها و فرایندهای مربوط به مایکروسافت را حذف کرده و به بررسی سایر فرایندها اقدام کنید:

هر ردیف از فهرست استخراج شده به یک فایل یا یک رجیستری ویندوز مربوط است و با نگهداشتن ماوس روی آن می‌توانید توضیحات مربوط به آن را مشاهده کنید. حین بررسی فایل‌ها اگر به مورد مشکوکی برخوردید که برایتان قابل تشخیص نباشد، با استفاده از کلیک‌راست روی آن و فعال کردن گزینه Search Online از اینترنت برای جست‌وجوی آن کمک بگیرید. این‌کار بیش از آنچه به‌نظر می‌رسد سودمند خواهد بود؛ چراکه می‌توان با استفاده از منابع اطلاعاتی اینترنت دقیقا به ماهیت فایل‌ها و برنامه‌ها و فرایندهای فعال روی رایانه پی برد.

سرویس‌های اینترنتی مانند processibrary در تشخیص اینکه فایل مورد بررسی در رایانه شما چه كاري انجام می‌دهد به شما کمک می‌کنند؛ حتی سرویس shouldiblockit به شما می‌گوید آیا باید فرایند یا فایل مدنظر را غیرفعال کنید یا نه؟

یافتن خودکار بدافزارهای پنهان و پاک کردن آنها

آخرین نسخه اتورانز (13.3) از دیتابیس قدرتمند برای کنترل فایل‌ها بهره می‌برد و گزینه بررسی فایل به‌وسیله ویروس توتال به منوی آپشن آن اضافه شده است.

برای استفاده از این امکان، پس از بررسی اولیه فرایندها و فایل‌های خودکار ویندوز، با کلیک روی بررسی آنلاین با Virustotal پس از تايید صفحه مربوط به شرایط استفاده از آن، فرایندهای شناسایی شده در دیتابیس آنلاین مورد بررسی قرار می‌گیرند.

پس از بررسی، آن دسته از اتوران‌هایی که بدافزار تشخیص داده شوند، پاکسازی خواهند شد و در فهرست به‌صورت هایلایت نمایش داده می‌شوند. برای سهولت در بررسی بقیه فهرست اتوران‌ها، می‌توانید گزینه نمایش‌ندادن فرایندهای پاکسازی‌شده را انتخاب کنید.ممکن است برخی از فایل‌های برنامه‌های نصب شده روی رایانه طی اجرای autoruns مشکوک تشخیص داده شوند.

این موضوع به شیوه تشخصی سیستم آنلاین "ویروس‌توتال" بر‌می‌گردد که برای بررسی، ۵۷ گزینه‌ی امنیتی را روی هر بخش از ردیف‌های این فهرست بررسی می کند و اگر هرکدام از ارزیابی‌ها به مشکلوک بودن فایل منجر شوند، ردیف مربوطه علامت‌گذاری می‌شود. جزئیات مربوط به بررسی هر فایل و فرآیند از طریق رابط کاربری این نرم‌افزار ارائه شده و می‌توان آنها را بررسی کرد.

با توجه به عملکرد مثبت اجرای آزمایشی autoruns.exe توصیه می‌کنیم هر چند وقت یک‌بار این مراحل را برروی رایانه‌ خود انجام بدهید و بدافزارهای مخفی را پیدا و حذف کنید.