Borna66
03-13-2009, 06:53 PM
زماني كه يك كد برنامة آلوده به ويروس را اجرا ميكنيد، كد ويروس هم پس از اجرا به همراه كد برنامه اصلي ، در وهله اول تلاش ميكند برنامههاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر ميزان یا برنامهاي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. حال برنامه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمياورد. هنگامیکه بصورت اشتراکی یک کپی از فایل آلوده را در دسترس کاربران دیگر کامپیوترها قرار می دهید ، با اجراي فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. همچنين طبيعي است با اجراي هرچه بيشتر فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش ميكند در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك از خود کپی هایی بجا بگذارد . سپس فلاپي آلوده ميتواند كامپيوترهايي را كه از رويآن بوت ميشوند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز ميتواند فلاپيهاي جديد ديگري را نيز آلوده نمايد.
به ويروسهايي كه هم قادر به آلوده كردن فايلها و هم آلوده نمودن فضاهاي بوت ميباشند اصطلاحاً ويروسهاي چند جزئي (multipartite) می گویند.
فايلهايي كه به توزيع ويروسها كمك ميكنند حاوي يك نوع عامل بالقوه ميباشند كه می توانند هر نوع كد اجرائي را آلوده كنند. براي مثال بعضي ويروسها كدهاي را آلوده ميكنند كه در بوت سكتور فلاپي ديسكها و فضای سيستمي هارد ديسكها وجود دارند.
نوع ديگر این ويروس ها كه به ويروسهاي ماكرو شناخته می شوند ، ميتوانند عمليات پردازش كلمهاي (word processing) يا صفحههاي حاوي متن را كه از این ماكروها استفاده ميكنند ، آلوده می کنند. اين امر براي صفحههايي با فرمت HTMl نيز صادق است.
از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر به عنوان دادههاي خالص و تميز با آنها سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،…هستند .
براي مثال زماني كه يك فايل با فرمت picture را تماشا ميكنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص مانند يك فايل برنامهاي .exe يا يك فايل متني doc كه كامپيوتر واقعاً آن را اجرا ميكند ، قرار گیرد .
عمليات مخفيانه ويروس در كامپيوتر
همانطور كه ميدانيد ويروسها برنامههاي نرم افزاري هستند .آنها ميتوانند مشابه برنامههايي باشند كه به صورت عمومي در يك كامپيوتر اجرا می گردند .
اثر واقعي يك ويروس بستگي به نويسنده آن دارد. بعضي از ويروسها با هدف خاص ضربه زدن به فايلها طراحي می شوند و يا اینکه در عمليات مختلف كامپيوتر دخالت کرده و ايجاد مشکل ميكنند.
ویروسها براحتي بدون آنكه متوجه شويد خود را تكثير کرده ، گسترش مييابند ، در حين گسترش يافتن به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگری شوند. نكته: ويروسها قادر نيستند به سخت افزار كامپيوتر صدمه ای وارد کنند . مثلاً نمی توانند باعث ذوب شدن CPU ، سوختن هارد دیسک و یا انفجار مانیتور و غیره شوند .
ويروسها و E-mail
شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه بايد مراقب پيغامهاي رمز دار حاوي كدهاي اجرائي و يا پيغامهایی بود كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامهاي كد شده و يا يك word document كه حاوي ماكروهايي باشد) می باشند. از اين رو براي به كار افتادن يك ويروس يا يك برنامه اسب تروا ، كامپيوتر مجبور به اجرای كدهایی است ميتوانند يك برنامه ضميمه شده به e-mail ، يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشند.
نكاتي جهت جلوگيري از آلوده شدن سيستم
اول از هرچيزي به خاطر داشته باشيد اگر برنامه ای درست کار نکند یا کلا کامپیوتر در بعضی از عملیات سریع نباشد بدان معنا نيست كه به ویروس آلوده شده است .
اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نميكنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.
اگر فكر ميكنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك زده و مطمئن ترین آنها را برگزينيد.
البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسایی و پاکسازی کنند .
ولي اگر جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً به يك آنتي ويروس جديد و به روز شده نیاز خواهید داشت .
براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروسها به نكات ساده ی زیر توجه کنید :
1- همانطور كه در بالا ذکر شد از يك كمپاني مشهور و شناخته شده بر روي سيستم تان یک نرم افزار آنتی ویروس نصب كرده و سعي كنيد هميشه آنرا به روز نگه داريد.
2- همیشه احتمال ورود ويروسهاي جديد به سيستم وجود دارد . پس يك برنامه آنتي ويروس كه چند ماه به روز نشده نميتواند در مقابل جريان ويروسها مقابله كند.
3-توصیه می شود براي آنكه سيستم امنيتي كامپيوتر از نظم و سازماندهي برخوردار باشد برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد ، مثلاً قسمت configuration نرم افزار a.v. خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت ميشود آن را چك نمايد، اين امر باعث ميشود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.
4- برنامههاي آنتي ويروس در يافتن برنامههاي اسب تروآ خيلي خوب عمل نميكنند از اين رو در باز كردن فايلهاي باينري و فايلهاي برنامههاي excel و Word كه از منابع ناشناخته و احياناً مشكوك ميباشند محتاط عمل كنيد.
5-اگر براي ايميل و يا اخبار اينترنتي بر روي سيستم خود نرم افزار كمكي خاصي داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه ميشود اين گزينه را غير فعال (disable) نمائيد.
6-از باز کردن فایلهایی که از طریق چت برایتان فرستاده می شوند ، پرهیز کنید.
7- اگر احياناً بر روي هارد ديسك خوداطلاعات مهمي داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده شده اند يا از بين رفتند بتوانيد جايگزين كنيد
نكاتي براي جلوگيري از ورود كرمها به سيستم
از آنجائيكه اين نوع برنامهها (worms) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامههاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر ميپردازيم.
كرمها برنامههاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا ميگيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا ميكنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم ميشوند. اگر شما از اين نرم افزار استفاده ميكنيد پيشنهاد می شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكههاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز ميكنيد و یا از cd ها و بستههاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهایی مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشههاي موجود بر روي سيستم خود رابجز در مواقع ضروري با ديگر كاربران به اشتراك نگذاريد . اگر مجبور به اين كار هستيد، اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاشته اید.
7) زماني كه از كامپيوتر استفاده نميكنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر از دوستي كه به نظر می رسد ناشناس است ایمیلی دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن را چند بار خوانده و زماني كه مطمئن شدید از طرف يك دوست است ، آنگاه سراغ ضمائم آن برويد.
9)توصیه می شود فايلهاي ضميمه شده به ايميلهاي تبليغاتي و يا احياناً weblink هاي موجود در آنها را حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شدهاي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، به تبلیغ مسائل جنسي و مانند آن می پردازند ، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران ميشود.
11) به آيكون فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. چرا که ممكن است كرمهايي در قالب فايل عكس و يا یک فایل متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي بوده و باعث فريب خوردن كاربر ميشود.
12)در massenger هايي مانند IRC، ICQ و يا AOL به هيچ عنوان فايلهاي ارسالي از جانب كاربران ناشناس on-line درchat system ها را قبول (accept) نكنيد.
13) از Download كردن فايل از گروههاي خبري همگاني نیز پرهيز كنيد.(usenet news) زيرا اغلب گروههاي خبري خود يكي از علل پخش ويروس می باشند .
CODERED يك نوع كرم اينترنتي
حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب آلوده خود را بر روي هزاران وب سرور افكنده و كارشناسان امنيتي را به تکاپو واداشته است، ميپردازيم. راجع به واژه خواب آلود متن زير را مطالعه كنيد.
CODERED يك نوع كرم اينترنتي
مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان ميدارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده ميكنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .
هنگامي كه هر دو گونه اين ويروس (نسخههاي 29.A و codered II ) تلاش ميكنند تا روي سرورهايي كه به وسيله سرويسهاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشدهاند ، نفوذ و منتشر شوند، يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر ميشود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل ميكند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري ميكند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال ميكند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.
يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاورهاي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود ميتواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.
بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي ميماند.
كارشناسان فني بر اين عقيدهاند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستمهاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستمهاي ديگر تلاش ميكنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي ميگويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستمهاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
محاسبات مركز تطبيق و هماهنگي CERT نشان ميدهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين ميزند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستمهايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخههاي قديمي آن) همچنان آسيب پذير ماندهاند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شدهاند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است، با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود ميآورد.
ماخذ :applicationmobile.diinoweb.com
:104:
گردآونده:طه-Borna66
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش ميكند در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك از خود کپی هایی بجا بگذارد . سپس فلاپي آلوده ميتواند كامپيوترهايي را كه از رويآن بوت ميشوند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز ميتواند فلاپيهاي جديد ديگري را نيز آلوده نمايد.
به ويروسهايي كه هم قادر به آلوده كردن فايلها و هم آلوده نمودن فضاهاي بوت ميباشند اصطلاحاً ويروسهاي چند جزئي (multipartite) می گویند.
فايلهايي كه به توزيع ويروسها كمك ميكنند حاوي يك نوع عامل بالقوه ميباشند كه می توانند هر نوع كد اجرائي را آلوده كنند. براي مثال بعضي ويروسها كدهاي را آلوده ميكنند كه در بوت سكتور فلاپي ديسكها و فضای سيستمي هارد ديسكها وجود دارند.
نوع ديگر این ويروس ها كه به ويروسهاي ماكرو شناخته می شوند ، ميتوانند عمليات پردازش كلمهاي (word processing) يا صفحههاي حاوي متن را كه از این ماكروها استفاده ميكنند ، آلوده می کنند. اين امر براي صفحههايي با فرمت HTMl نيز صادق است.
از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر به عنوان دادههاي خالص و تميز با آنها سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،…هستند .
براي مثال زماني كه يك فايل با فرمت picture را تماشا ميكنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص مانند يك فايل برنامهاي .exe يا يك فايل متني doc كه كامپيوتر واقعاً آن را اجرا ميكند ، قرار گیرد .
عمليات مخفيانه ويروس در كامپيوتر
همانطور كه ميدانيد ويروسها برنامههاي نرم افزاري هستند .آنها ميتوانند مشابه برنامههايي باشند كه به صورت عمومي در يك كامپيوتر اجرا می گردند .
اثر واقعي يك ويروس بستگي به نويسنده آن دارد. بعضي از ويروسها با هدف خاص ضربه زدن به فايلها طراحي می شوند و يا اینکه در عمليات مختلف كامپيوتر دخالت کرده و ايجاد مشکل ميكنند.
ویروسها براحتي بدون آنكه متوجه شويد خود را تكثير کرده ، گسترش مييابند ، در حين گسترش يافتن به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگری شوند. نكته: ويروسها قادر نيستند به سخت افزار كامپيوتر صدمه ای وارد کنند . مثلاً نمی توانند باعث ذوب شدن CPU ، سوختن هارد دیسک و یا انفجار مانیتور و غیره شوند .
ويروسها و E-mail
شما صرفا با خواندن يك متن سادة e-mail يا استفاده از netpost ، ويروسي دريافت نخواهيد كرد. بلكه بايد مراقب پيغامهاي رمز دار حاوي كدهاي اجرائي و يا پيغامهایی بود كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامهاي كد شده و يا يك word document كه حاوي ماكروهايي باشد) می باشند. از اين رو براي به كار افتادن يك ويروس يا يك برنامه اسب تروا ، كامپيوتر مجبور به اجرای كدهایی است ميتوانند يك برنامه ضميمه شده به e-mail ، يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشند.
نكاتي جهت جلوگيري از آلوده شدن سيستم
اول از هرچيزي به خاطر داشته باشيد اگر برنامه ای درست کار نکند یا کلا کامپیوتر در بعضی از عملیات سریع نباشد بدان معنا نيست كه به ویروس آلوده شده است .
اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نميكنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.
اگر فكر ميكنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك زده و مطمئن ترین آنها را برگزينيد.
البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسایی و پاکسازی کنند .
ولي اگر جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً به يك آنتي ويروس جديد و به روز شده نیاز خواهید داشت .
براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروسها به نكات ساده ی زیر توجه کنید :
1- همانطور كه در بالا ذکر شد از يك كمپاني مشهور و شناخته شده بر روي سيستم تان یک نرم افزار آنتی ویروس نصب كرده و سعي كنيد هميشه آنرا به روز نگه داريد.
2- همیشه احتمال ورود ويروسهاي جديد به سيستم وجود دارد . پس يك برنامه آنتي ويروس كه چند ماه به روز نشده نميتواند در مقابل جريان ويروسها مقابله كند.
3-توصیه می شود براي آنكه سيستم امنيتي كامپيوتر از نظم و سازماندهي برخوردار باشد برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد ، مثلاً قسمت configuration نرم افزار a.v. خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت ميشود آن را چك نمايد، اين امر باعث ميشود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.
4- برنامههاي آنتي ويروس در يافتن برنامههاي اسب تروآ خيلي خوب عمل نميكنند از اين رو در باز كردن فايلهاي باينري و فايلهاي برنامههاي excel و Word كه از منابع ناشناخته و احياناً مشكوك ميباشند محتاط عمل كنيد.
5-اگر براي ايميل و يا اخبار اينترنتي بر روي سيستم خود نرم افزار كمكي خاصي داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه ميشود اين گزينه را غير فعال (disable) نمائيد.
6-از باز کردن فایلهایی که از طریق چت برایتان فرستاده می شوند ، پرهیز کنید.
7- اگر احياناً بر روي هارد ديسك خوداطلاعات مهمي داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده شده اند يا از بين رفتند بتوانيد جايگزين كنيد
نكاتي براي جلوگيري از ورود كرمها به سيستم
از آنجائيكه اين نوع برنامهها (worms) امروزه گسترش بيشتري يافته و بايد بيشتر از ساير برنامههاي مخرب از آنها دوري كنيم، از اين رو به اين نوع برنامه هاي مخرب بيشتر ميپردازيم.
كرمها برنامههاي كوچكي هستند كه با رفتاري بسيار موذيانه به درون سيستم رسوخ كرده، بدون واسطه خود را تكثير كرده و خيلي زود سراسر سيستم را فرا ميگيرند. در زير نكاتي براي جلوگيري از ورود كرمها آورده شده است.
1) بيشتر كرمهايي كه از طريق E-mail گسترش پيدا ميكنند از طريق نرم افزارهاي microsoft outlook و يا out look express وارد سيستم ميشوند. اگر شما از اين نرم افزار استفاده ميكنيد پيشنهاد می شود هميشه آخرين نسخه security patch اين نرم افزار را از سايت microsoft دريافت و به روز كنيد.
همچنين بهتر است علاوه بر به روز كردن اين قسمت از نرم افزار outlook سعي كنيد ساير نرم افزارها و حتي سيستم عامل خود را نيز در صورت امكان هميشه به روز نگه داريد، و يا حداقل بعضي از تكههاي آنها را كه به صورت بروز درآمده قابل دسترسي است.
اگر از روي اينترنت بروز ميكنيد و یا از cd ها و بستههاي نرم افزاري آماده در بازار ،از اصل بودن آنها اطمينان حاصل كنيد.
2) تا جاي ممكن در مورد e-mail attachment ها محتاط باشيد. چه در دريافت e-mail و چه در ارسال آنها.
3) هميشه ويندوز خود را در حالت show file extensions قرار دهيد.
اين گزينه در منوي Tools/folder option/view با عنوان “Hide file extensions for known file Types” قرار داردكه به صورت پيش فرض اين گزينه تيك خورده است، تيك آنرا برداريد.
4) فايلهاي attach شده با پسوندهاي SHS و VBS و يا PIF را هرگز باز نكنيد. اين نوع فايلها در اكثر موارد نرمال نيستند و ممكن است حامل يك ويروس و يا كرم باشند.
5) هرگز ضمائم دو پسوندي را باز نكنيد.
email attachment هايي با پسوندهایی مانند Neme.BMP.EXE و يا Name.TxT.VBS و …
6) پوشههاي موجود بر روي سيستم خود رابجز در مواقع ضروري با ديگر كاربران به اشتراك نگذاريد . اگر مجبور به اين كار هستيد، اطمينان حاصل كنيد كه كل درايو و يا شاخه ويندوز خود را به اشتراك نگذاشته اید.
7) زماني كه از كامپيوتر استفاده نميكنيد كابل شبكه و يا مودم را جدا كرده و يا آنها را خاموش كنيد.
8) اگر از دوستي كه به نظر می رسد ناشناس است ایمیلی دريافت كرديد قبل از باز كردن ضمائم آن حتماً متن را چند بار خوانده و زماني كه مطمئن شدید از طرف يك دوست است ، آنگاه سراغ ضمائم آن برويد.
9)توصیه می شود فايلهاي ضميمه شده به ايميلهاي تبليغاتي و يا احياناً weblink هاي موجود در آنها را حتي الامكان باز نكنيد.
10) از فايلهاي ضميمه شدهاي كه به هر نحوي از طريق تصاوير و يا عناوين خاص، به تبلیغ مسائل جنسي و مانند آن می پردازند ، دوري كنيد. عناويني مانند porno.exe و يا pamela-Nude.VBS كه باعث گول خوردن كاربران ميشود.
11) به آيكون فايلهاي ضميمه شده نيز به هيچ عنوان اعتماد نكنيد. چرا که ممكن است كرمهايي در قالب فايل عكس و يا یک فایل متني فرستاده شود ولي در حقيقت اين فايل يك فايل اجرائي بوده و باعث فريب خوردن كاربر ميشود.
12)در massenger هايي مانند IRC، ICQ و يا AOL به هيچ عنوان فايلهاي ارسالي از جانب كاربران ناشناس on-line درchat system ها را قبول (accept) نكنيد.
13) از Download كردن فايل از گروههاي خبري همگاني نیز پرهيز كنيد.(usenet news) زيرا اغلب گروههاي خبري خود يكي از علل پخش ويروس می باشند .
CODERED يك نوع كرم اينترنتي
حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب آلوده خود را بر روي هزاران وب سرور افكنده و كارشناسان امنيتي را به تکاپو واداشته است، ميپردازيم. راجع به واژه خواب آلود متن زير را مطالعه كنيد.
CODERED يك نوع كرم اينترنتي
مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان ميدارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده ميكنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .
هنگامي كه هر دو گونه اين ويروس (نسخههاي 29.A و codered II ) تلاش ميكنند تا روي سرورهايي كه به وسيله سرويسهاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشدهاند ، نفوذ و منتشر شوند، يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر ميشود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل ميكند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري ميكند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال ميكند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.
يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاورهاي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود ميتواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.
بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي ميماند.
كارشناسان فني بر اين عقيدهاند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستمهاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستمهاي ديگر تلاش ميكنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي ميگويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستمهاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
محاسبات مركز تطبيق و هماهنگي CERT نشان ميدهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين ميزند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستمهايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخههاي قديمي آن) همچنان آسيب پذير ماندهاند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شدهاند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است، با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود ميآورد.
ماخذ :applicationmobile.diinoweb.com
:104:
گردآونده:طه-Borna66