Invisible2
05-16-2015, 06:41 PM
بدافزارها امروزه با برنامهنویسیهای پیشرفتهای که دارند به خوبی آموختهاند که با چه ترفندی از آنتیویروس عبور کرده در رایانهیشخصی شما مخفی شوند. به همین دلیل احتمالا رایانهی شما نیز اکنون به یکی از این بدافزارها آلوده شده است.
http://pnu-club.com/imported/2015/05/1.jpeg
با وجود آنتیویروس برروی رایانهی شخصی شما هنوز نیز این احتمال وجود دارد تا بدافزاری به قدری قدرتمند باشد که هیچ آنتی ویروسی نتواند آن را تشخیص و در نتیجه مانع نفوذ آن به رایانه شما شود. این قبیل بدافزار ها بیسر و صدا تاثیرات مخرب خود را برروی دستگاه شما برجا میگذارند.
کسپرسکی در آخرین گزارش امنیتی سالانه شرکت خود ادعا کرد که در حدود ۳۸ درصد از رایانههای مشتریان آنتیویروس این شرکت در سال ۲۰۱۴ میلادی دست کم یکبار مورد حملهی بدافزارها قرار گرفتهاند. حال و با توجه با اینکه آمار منتشر شده توسط کسپرسکی میتواند محتاطانه باشد. باید گفت که بیش از ۳۸ درصد کاربرانی که آنتی ویروس اصل و بروزشدهای را برروی رایانه خود نصب کردهاند، دچار این قبیل حملات بدافزاری میشوند.
برخی استفادهکنندگان از رایانههای شخصی، آنتی ویروسهایی به مراتب ضعیفتری نسبت به آنتی ویروسهای پولی استفاده میکنند. بسیاری نیز به ویژه در ایران اساسا اعتقادی به نصب آنتیویروس برروی رایانهی شخصی خود ندارند. از سوی دیگر باید در نظر گرفت که مطالعات کسپرسکی بعد از شناسایی بدافزارهای مربوطه بوده و بسیاری از بدافزار ها در حال حاضر ناشناس هستند.
به همین دلیل آلودگی تعداد زیادی از رایانهها به انواع بدافزار دور از انتظار نیست. برای اینکه متوجه شوید آیا رایانه شخصی شما میزبان بدافزارهای پنهان است یا خیر، میتوانید از راه حلی که تیم امنیت آزمایشگاه تکنولوژی دنیس معرفی کرده، استفاده کنید.
مگر آنتیویروس نباید جلوی بدافزارها را بگیرد؟
طبق گزارش کسپرسکی، قدرتمندترین و بروزترین آنتی ویروسها نیز خطاپذیر هستند. استفاده نکردن از آنتیویروس منطقی نیست، اما نباید انتظار داشت آنتیویروس تمامی بدافزارها، به ویژه مشکلات برنامهنویسی امنیتی که هنوز شرکتها آنها را شناسایی نکردهاند را شناسایی کند.
ویروسها، تروجانها، کرمهای رایانهای، باجگیرهای اینترنتی و سایر گونههای بدافزار مدام درحال تغییر بوده و ه 0روزه تاثیر تخریب پذیری آنها بیشتر و خطرناک تر میشود. حتی توسعهدهندههای بدافزار به روشهایی دست یافتهاند که موجب تغییر نسل بدافزار شده و مانع شناسایی سیستمهای امنیتی رایانهای میشوند. در ادامه راهکارهایی برای تشخیص بدافزارهای ناشناس حاضر در رایانه معرفی میشوند که بهوسیله آنها بتوان بدافزارها را برای همیشه از روی سیستم پاک کرد.
بررسی عملکردهای مرموز
نشانههای آلودگی رایانه به بدافزار برای همه قابل تشخیص است. از کار افتادن (Crash) زیاد سیستمعامل، کند شدن اجرای برنامهها، افزایش زمان لازم برای بالا آمدن سیستم و خاموش کردن آن، تغییر صفحه خانگی مرورگر اینترنت یا مشاهده پیغامهای باجگیری در رایانه، نمونههایی واضح از آلودگی رایانه به بدافزار هستند.
اما بدافزارهای هوشمند ممکن است فاقد چنین نشانههای واضحی باشند. چنین بدافزارهایی فایلهای خود را پنهان میکنند، سیستمعامل را کند نمیکنند و فرایندهای مربوط به فعالیت آنها در بخش مدیریت وظایف (Task manager) قابل مشاهده نخواهد بود. چنین بدافزاری ممکن است برای ماهها و حتی سالها مخفی بماند، از تایپهای شما لاگ گرفته و رمز عبورهای شما را سرقت کند، حتی روتکیتهای پیشرفته مانند زئوس موقع ورود آنلاین کاربر به حساب بانکی عملیات مخفی خود را اجرا میکنند.
هر نوع اقدامی برای کشف چنین بدافزارهای پیشرفتهای از موقع شروع سیستمعامل (Startup) آغاز میشود. برای تشخیص برنامههایی که بدون سرنخ موقع بالا آمدن سیستمعامل شروع به اجرا میکنند، استفاده از نرمافزار تشخیصی استارتاپ (مخفی) رایگان به نام Autoruns توصیه میشود.
اتوران نرمافزار قابل حمل بوده و به نصب نیاز ندارد. فایل فشرده autoruns.zip با حجم 576 کیلوبایت را از آدرس بالا دانلود کرده و روی هارددیسک ذخیره کنید. فایلهای Autoruns.exe و Autorunsc.exe را از حالت فشرده خارج کنید. برای اجرای موثر برنامه تشخیصی آن را با استفاده از حساب کاربری مدیر (Run as Administrator) اجرا کنید.
با اجرای اتوران، همه فرایندهایی که با شروع سیستمعامل فعال میشوند، فهرست خواهند شد که شامل فعالیتهای رجیستری ویندوز، برنامههای الحاقی مرورگرهای اینترنتی و درایورها هم است. ممکن است فهرست استخراجشده کمی ترسناک بهنظر برسد. برای خلاصه کردن فهرست جهت بررسی، برنامهها و فرایندهای مربوط به مایکروسافت را حذف کرده و به بررسی سایر فرایندها اقدام کنید:
هر ردیف از فهرست استخراج شده به یک فایل یا یک رجیستری ویندوز مربوط است و با نگهداشتن ماوس روی آن میتوانید توضیحات مربوط به آن را مشاهده کنید. حین بررسی فایلها اگر به مورد مشکوکی برخوردید که برایتان قابل تشخیص نباشد، با استفاده از کلیکراست روی آن و فعال کردن گزینه Search Online از اینترنت برای جستوجوی آن کمک بگیرید. اینکار بیش از آنچه بهنظر میرسد سودمند خواهد بود؛ چراکه میتوان با استفاده از منابع اطلاعاتی اینترنت دقیقا به ماهیت فایلها و برنامهها و فرایندهای فعال روی رایانه پی برد.
سرویسهای اینترنتی مانند processibrary در تشخیص اینکه فایل مورد بررسی در رایانه شما چه كاري انجام میدهد به شما کمک میکنند؛ حتی سرویس shouldiblockit به شما میگوید آیا باید فرایند یا فایل مدنظر را غیرفعال کنید یا نه؟
یافتن خودکار بدافزارهای پنهان و پاک کردن آنها
آخرین نسخه اتورانز (13.3) از دیتابیس قدرتمند برای کنترل فایلها بهره میبرد و گزینه بررسی فایل بهوسیله ویروس توتال به منوی آپشن آن اضافه شده است.
برای استفاده از این امکان، پس از بررسی اولیه فرایندها و فایلهای خودکار ویندوز، با کلیک روی بررسی آنلاین با Virustotal پس از تايید صفحه مربوط به شرایط استفاده از آن، فرایندهای شناسایی شده در دیتابیس آنلاین مورد بررسی قرار میگیرند.
پس از بررسی، آن دسته از اتورانهایی که بدافزار تشخیص داده شوند، پاکسازی خواهند شد و در فهرست بهصورت هایلایت نمایش داده میشوند. برای سهولت در بررسی بقیه فهرست اتورانها، میتوانید گزینه نمایشندادن فرایندهای پاکسازیشده را انتخاب کنید.ممکن است برخی از فایلهای برنامههای نصب شده روی رایانه طی اجرای autoruns مشکوک تشخیص داده شوند.
این موضوع به شیوه تشخصی سیستم آنلاین "ویروستوتال" برمیگردد که برای بررسی، ۵۷ گزینهی امنیتی را روی هر بخش از ردیفهای این فهرست بررسی می کند و اگر هرکدام از ارزیابیها به مشکلوک بودن فایل منجر شوند، ردیف مربوطه علامتگذاری میشود. جزئیات مربوط به بررسی هر فایل و فرآیند از طریق رابط کاربری این نرمافزار ارائه شده و میتوان آنها را بررسی کرد.
با توجه به عملکرد مثبت اجرای آزمایشی autoruns.exe توصیه میکنیم هر چند وقت یکبار این مراحل را برروی رایانه خود انجام بدهید و بدافزارهای مخفی را پیدا و حذف کنید.
http://pnu-club.com/imported/2015/05/1.jpeg
با وجود آنتیویروس برروی رایانهی شخصی شما هنوز نیز این احتمال وجود دارد تا بدافزاری به قدری قدرتمند باشد که هیچ آنتی ویروسی نتواند آن را تشخیص و در نتیجه مانع نفوذ آن به رایانه شما شود. این قبیل بدافزار ها بیسر و صدا تاثیرات مخرب خود را برروی دستگاه شما برجا میگذارند.
کسپرسکی در آخرین گزارش امنیتی سالانه شرکت خود ادعا کرد که در حدود ۳۸ درصد از رایانههای مشتریان آنتیویروس این شرکت در سال ۲۰۱۴ میلادی دست کم یکبار مورد حملهی بدافزارها قرار گرفتهاند. حال و با توجه با اینکه آمار منتشر شده توسط کسپرسکی میتواند محتاطانه باشد. باید گفت که بیش از ۳۸ درصد کاربرانی که آنتی ویروس اصل و بروزشدهای را برروی رایانه خود نصب کردهاند، دچار این قبیل حملات بدافزاری میشوند.
برخی استفادهکنندگان از رایانههای شخصی، آنتی ویروسهایی به مراتب ضعیفتری نسبت به آنتی ویروسهای پولی استفاده میکنند. بسیاری نیز به ویژه در ایران اساسا اعتقادی به نصب آنتیویروس برروی رایانهی شخصی خود ندارند. از سوی دیگر باید در نظر گرفت که مطالعات کسپرسکی بعد از شناسایی بدافزارهای مربوطه بوده و بسیاری از بدافزار ها در حال حاضر ناشناس هستند.
به همین دلیل آلودگی تعداد زیادی از رایانهها به انواع بدافزار دور از انتظار نیست. برای اینکه متوجه شوید آیا رایانه شخصی شما میزبان بدافزارهای پنهان است یا خیر، میتوانید از راه حلی که تیم امنیت آزمایشگاه تکنولوژی دنیس معرفی کرده، استفاده کنید.
مگر آنتیویروس نباید جلوی بدافزارها را بگیرد؟
طبق گزارش کسپرسکی، قدرتمندترین و بروزترین آنتی ویروسها نیز خطاپذیر هستند. استفاده نکردن از آنتیویروس منطقی نیست، اما نباید انتظار داشت آنتیویروس تمامی بدافزارها، به ویژه مشکلات برنامهنویسی امنیتی که هنوز شرکتها آنها را شناسایی نکردهاند را شناسایی کند.
ویروسها، تروجانها، کرمهای رایانهای، باجگیرهای اینترنتی و سایر گونههای بدافزار مدام درحال تغییر بوده و ه 0روزه تاثیر تخریب پذیری آنها بیشتر و خطرناک تر میشود. حتی توسعهدهندههای بدافزار به روشهایی دست یافتهاند که موجب تغییر نسل بدافزار شده و مانع شناسایی سیستمهای امنیتی رایانهای میشوند. در ادامه راهکارهایی برای تشخیص بدافزارهای ناشناس حاضر در رایانه معرفی میشوند که بهوسیله آنها بتوان بدافزارها را برای همیشه از روی سیستم پاک کرد.
بررسی عملکردهای مرموز
نشانههای آلودگی رایانه به بدافزار برای همه قابل تشخیص است. از کار افتادن (Crash) زیاد سیستمعامل، کند شدن اجرای برنامهها، افزایش زمان لازم برای بالا آمدن سیستم و خاموش کردن آن، تغییر صفحه خانگی مرورگر اینترنت یا مشاهده پیغامهای باجگیری در رایانه، نمونههایی واضح از آلودگی رایانه به بدافزار هستند.
اما بدافزارهای هوشمند ممکن است فاقد چنین نشانههای واضحی باشند. چنین بدافزارهایی فایلهای خود را پنهان میکنند، سیستمعامل را کند نمیکنند و فرایندهای مربوط به فعالیت آنها در بخش مدیریت وظایف (Task manager) قابل مشاهده نخواهد بود. چنین بدافزاری ممکن است برای ماهها و حتی سالها مخفی بماند، از تایپهای شما لاگ گرفته و رمز عبورهای شما را سرقت کند، حتی روتکیتهای پیشرفته مانند زئوس موقع ورود آنلاین کاربر به حساب بانکی عملیات مخفی خود را اجرا میکنند.
هر نوع اقدامی برای کشف چنین بدافزارهای پیشرفتهای از موقع شروع سیستمعامل (Startup) آغاز میشود. برای تشخیص برنامههایی که بدون سرنخ موقع بالا آمدن سیستمعامل شروع به اجرا میکنند، استفاده از نرمافزار تشخیصی استارتاپ (مخفی) رایگان به نام Autoruns توصیه میشود.
اتوران نرمافزار قابل حمل بوده و به نصب نیاز ندارد. فایل فشرده autoruns.zip با حجم 576 کیلوبایت را از آدرس بالا دانلود کرده و روی هارددیسک ذخیره کنید. فایلهای Autoruns.exe و Autorunsc.exe را از حالت فشرده خارج کنید. برای اجرای موثر برنامه تشخیصی آن را با استفاده از حساب کاربری مدیر (Run as Administrator) اجرا کنید.
با اجرای اتوران، همه فرایندهایی که با شروع سیستمعامل فعال میشوند، فهرست خواهند شد که شامل فعالیتهای رجیستری ویندوز، برنامههای الحاقی مرورگرهای اینترنتی و درایورها هم است. ممکن است فهرست استخراجشده کمی ترسناک بهنظر برسد. برای خلاصه کردن فهرست جهت بررسی، برنامهها و فرایندهای مربوط به مایکروسافت را حذف کرده و به بررسی سایر فرایندها اقدام کنید:
هر ردیف از فهرست استخراج شده به یک فایل یا یک رجیستری ویندوز مربوط است و با نگهداشتن ماوس روی آن میتوانید توضیحات مربوط به آن را مشاهده کنید. حین بررسی فایلها اگر به مورد مشکوکی برخوردید که برایتان قابل تشخیص نباشد، با استفاده از کلیکراست روی آن و فعال کردن گزینه Search Online از اینترنت برای جستوجوی آن کمک بگیرید. اینکار بیش از آنچه بهنظر میرسد سودمند خواهد بود؛ چراکه میتوان با استفاده از منابع اطلاعاتی اینترنت دقیقا به ماهیت فایلها و برنامهها و فرایندهای فعال روی رایانه پی برد.
سرویسهای اینترنتی مانند processibrary در تشخیص اینکه فایل مورد بررسی در رایانه شما چه كاري انجام میدهد به شما کمک میکنند؛ حتی سرویس shouldiblockit به شما میگوید آیا باید فرایند یا فایل مدنظر را غیرفعال کنید یا نه؟
یافتن خودکار بدافزارهای پنهان و پاک کردن آنها
آخرین نسخه اتورانز (13.3) از دیتابیس قدرتمند برای کنترل فایلها بهره میبرد و گزینه بررسی فایل بهوسیله ویروس توتال به منوی آپشن آن اضافه شده است.
برای استفاده از این امکان، پس از بررسی اولیه فرایندها و فایلهای خودکار ویندوز، با کلیک روی بررسی آنلاین با Virustotal پس از تايید صفحه مربوط به شرایط استفاده از آن، فرایندهای شناسایی شده در دیتابیس آنلاین مورد بررسی قرار میگیرند.
پس از بررسی، آن دسته از اتورانهایی که بدافزار تشخیص داده شوند، پاکسازی خواهند شد و در فهرست بهصورت هایلایت نمایش داده میشوند. برای سهولت در بررسی بقیه فهرست اتورانها، میتوانید گزینه نمایشندادن فرایندهای پاکسازیشده را انتخاب کنید.ممکن است برخی از فایلهای برنامههای نصب شده روی رایانه طی اجرای autoruns مشکوک تشخیص داده شوند.
این موضوع به شیوه تشخصی سیستم آنلاین "ویروستوتال" برمیگردد که برای بررسی، ۵۷ گزینهی امنیتی را روی هر بخش از ردیفهای این فهرست بررسی می کند و اگر هرکدام از ارزیابیها به مشکلوک بودن فایل منجر شوند، ردیف مربوطه علامتگذاری میشود. جزئیات مربوط به بررسی هر فایل و فرآیند از طریق رابط کاربری این نرمافزار ارائه شده و میتوان آنها را بررسی کرد.
با توجه به عملکرد مثبت اجرای آزمایشی autoruns.exe توصیه میکنیم هر چند وقت یکبار این مراحل را برروی رایانه خود انجام بدهید و بدافزارهای مخفی را پیدا و حذف کنید.