ضرورت واهمیت تحقیق
چون اکثر کامپیوترها با مشکل ویروس مواجه هستند و در این زمینه تحقیقی صورت نگرفته اهمیت و ضرورت دارد که این تحقیق صورت گرفته تا مشکل ویروسها را با راه حلهای پیشنهادی حل کنیم .
انواع مختلف برنامه های مخرب عبارتند از :
1- E-Mailvirus 2- MACRO VIRUS
3- اسب ترواسه 4- کرمها WORM
5- ویروس های بوت سکتورو پارتیشن 6- HOAX – گول زنگ ها
7- CELLSAVER یک اسب تروا
8- ویروس های چند جزیی Multipartite Virus
ویروس ها می توانند گسترش یابند ولی قادر نیسند به سخت افزار کامپیوتر صدمه ای وارد کنند.
برای جلوگیری از آلوده شدن سیستم قدم اول آن است که نرم افزار آنتی ویروس را به همراه کلیه امکاناتش بر روی سیستم نصب کرده و سعی کنید آن را به روز نگه دارید.
قدم دوم سعی شود بیشتر نرم افزارهای آنتی ویروس را محک زده و مطمئن ترین آنها را برگزینید.
برای آمادگی جهت مقابله با نفوذ ویروس ها باید به نکات زیر توجه کرد.
1- از یک کمپانی مشهور و شناخته شده بر روی سیستم تان یک نرم افزار آنتی ویروس نصب کرده و همیشه آن را به روز نگه دارید.
2- یک برنامه آنتی ویروس که چند ماه به روز نشده نمی تواند در مقابل جریان ویروس ها مقابله کند.
3- برای آنکه سیستم امنیتی کامپیوتر از نظم و سازماندهی برخوردار باشد برنامه a.v (آنتی ویروس) خود را سازماندهی نمایئد.
4- برنامه های آنتی ویروس دریافتن برنامه های اسب تروا خیلی خوب عمل نمی کنند از این رو، در باز کردن فایل های باینری و فایل های برنامه های excel و word که از منابع ناشناخته و احیاناً مشکوک می باشند محتاط عمل کنید.
5- از باز کردن فایل هایی که از طریق چت برایتان فرستاده می شوند پرهیز کنید.
6- اگر احتمالاً بر روی هارد دیسک خود اطلاعات مهمی دارید حتماً از همه آنها نسخه پشتیبان تهیه کنید.
کرم ها برنامه های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده بدون واسطه خود را تکثیر کرده و خیلی زود سراسر سیستم را فرا می گیرند.
با رعایت نکاتی می توان از ورود کرم ها به سیتم جلوگیری کرد که در متن اصلی به طور کامل این نکات بیان شده است.
به عنوان مثال Codered یک نوع کرم اینترنتی است.
Slapper یک کرم شبکه است.
کرم Blaster : هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتی Windows up date.com این کمپانی می باشد.
Blaster – a 32w یک نوع کرم اینترنتی است.
سیستم عامل هایی که در معرض هجوم این کرم هستند عبارتند از : 4’windowsnt
Terminal Services edition 4’ .
windows nt
2000 windows
Windows XP
2003 Windows server
مقدمه
ویروس کامپیوتری چیست ؟
ویروس کامپیوتربرنامه ای است که می تواند نسخه های اجرایی خود را دربرنامه های دیگرقراردهد.هربرنامه آلوده می تواند به نوبه خود نسخه های دیگری ازویروس رادربرنامه های دیگرقرار دهد.
برنامه ای را برنامه ویروس می نامیم که همه ویژگیهای زیررادارا باشد:
1) تغییرنرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی ازاین برنامه به برنامه های دیگر.
2) قابلیت تشخیص این نکته که برنامه قبلا دچارتغییر شده است یا خیر.
3) قابلیت انجام تغییردربعضی ازبرنامه ها.
4) قابلیت جلوگیری ازتغییربیشتر یک برنامه درصورت تغییراتی درآن به واسطه ی ویروس.
5) نرم افزارهای تغییر یافته ویژگیهای 1 الی 4 را دارا هستند.
اگربرنامه ای فاقد یک یا
چند ویژگی ازویژگیهای فوق باشد نمی توان به طورقاطع آنرا ویروس نامید.
آشنایی با انواع مختلف برنامه های مخرب
E-mail virus
ویروسهایی که ازطریق E-mail وارد سیستم میشوندطبق معمول به صورت مخفیانه
درون یک فایل ضمیمه شده قراردارند که با گشودن یک صفحه ی htmlیا یک فایل قابل اجرای برنامه ای ( یک فایل کد شده قابل اجرا) ویا یک word document می توانند فعال شوند.
درون یک فایل ضمیمه شده قراردارند که با گشودن یک صفحه ی htmlیا یک فایل قابل اجرای برنامه ای ( یک فایل کد شده قابل اجرا) ویا یک word document می توانند فعال شوند.
MARCO VIRUS این نوع ویروسها معمولا به شکل ما کرو در فایلهایی قرارمی گیرند که حاوی صفحات متنی ( word document ) نظیرفایلهای برنامه های ms office همچون word و Excel هستند.
توضیح ماکرو: نرم افزارهایی مانند word Microsoft و Excel این امکان را برای کاربربوجود می آورند که درصفحه متن خود ماکرویی ایجاد نماید‘ این ماکروحاوی یکسری دستورالمعل ها عملیات ویا keystroke ها است که تمام اینها توسط خوده کاربرتعیین میگردند.
ماکرو ویروسها معمولا طوری تنظیم شده اند که به راحتی خود رادرهمه صفحات متنی ساخته شده با همان نرم افزار ms word ‘ Excel جای می دهند.
اسب تروآ این برنامه حداقل به اندازه خود اسب تروآی اصلی قدمت دارد.
عملکرد این برنامه ها ساده ودرعین حال خطرناک است.
درحالیکه کاربرمتوجه نیست وبا تصاویرگرافیکی زیبا وشاهد همراه با موسیقی محسور شده برنامه عملیات مخرب خود را آغازمی کند.
برای مثال به خیال خودتان بازی جدید ومهیجی راازاینترنت Download کرده اید ولی وقتی آنرا اجرا می کنید متوجه خواهید شد که تمامی فایلهای روی هارد دیسک پاک شده ویا به طور کلی فرمت گردیده است.
کرمها WORM برنامه کرم برنامه ای است که با کپی کردن خود تولید مثل می کند.
تفاوت اساسی میان کرم وویروس این است که کرمها برای تولید مثل نیازبه برنامه ی میزبان ندارند.کرمها بدون استفاده ازیک برنامه ی حامل به تمامی سطوح سیستم کامپیوتری « خزیده » ونفوذ می کنند.
ویروسهای بوت سکتورو پارتیشن Boot sector قسمتی ازدیسک سخت و فلاپی دیسک است که هنگام راه اندازی سیستم ازروی آن به وسیله کامپیوترخوانده می شود.boot sector یا دیسک سیستم شامل کدی است که برای باز کردن فایلهای سیستم ضروری است.
این دیسکها داده هایی درخود دارند وهمچنین حاوی کدی هستند که برای نمایش پیغام راه اندازی شدن کامپیوتر بوسیله ی آن لازم است.
سکتور پارتیشن اولین بخش یک دیسک است که پس ازراه اندازی سیستم خوانده می شود.
این سکتورراجبدیسک اطلاعاتی نظیرتعداد سکتورها درهر پارتیشن ونیزموقعیت همه ی پارتیشن ها را درخود دارد.
سکتورپارتیشن رکورد اصلی راه اندازی یا mbr – master boot record نیزنامیده می شود.
بسیاری ازکامپیوترها به گونه ای پیکربندی شده اند که ابتدا ازروی درایو: A راه اندازی می شوند.
این قسمت دربخش set up سیستم قایل تغییرو دسترسی است اگربوت سکتوریک فلاپی دیسک آلوده باشد وشما سیستم را از روی آن راه اندازی کنید ویروس نیزاجرا شده ودیسک سخت راآلوده می کند.
اگر دیسکی حاوی فایلهای سیستمی هم نبوده باشد ولی به یک ویروس بوت سکتوری آلوده باشد وقتی اشتباها دیسک را درون فلاپی درایو قرار دهید وکامپیوتر را دوباره راه اندازی کنید پیغام زیر مشاهده می شود.
ولی به هر حال ویروس بوت سکتوری پیش ازاین اجرا شده وممکن است کامپیوترشما رانیز آلوده کرده باشد.
System disk or disk error - non Replace and press any key when ready کامپیوترهایی که برپایه یintel هستند در برابر ویروسهای boot sector و Partition آسیب پذیرند.
تا قبل ازاینکه سیستم بالا بیاید وبتواند اجرا شود صرفنظرازنوع سیستم عامل می تواند هرکامپیوتری را آلوده سازد.
-HOAX گول زنگ ها این نوع ویروسها درقالب پیغام های فریب آمیزی کاربران اینترنت را گول زده وبه کام خود می کشد.
این نوع ویروسها طبق معمول به همراه یک نامه ضمیمه شده از طرق پست الکترونیک وارد سیستم می شوند.
متن نامه مسلما متن مشخصی نیست وتا حدودی به روحیات شخصی نویسنده ویروس بستگی دارد‘ پیغامها می توانند مضمونی تحد ید آمیزیا محبت آمیزباشند ویا درقالب هشداری مبنی برشیوع یک ویروس جدید اینترنت یا درخواستی درقبال یک مبلغ قابل توجه ویا هرموضوع وسوسه انگیزدیگر باشد.
لازم به ذکراست که همه ی این نامه ها اصل نمی باشد یعنی ممکن است بسیاری ازآنها پیغام شخص سازنده ویروس نباشند بلکه شاید پیغام ویرایش شده یا تغییریافته از یک کاربرمعمولی ویا شخص دیگری باشد که قبلا این نامه ها را دریافت کرده وبدینوسیله ویروس را با پیغامی کاملاً جدید مجددا ارسال می کند.
نحوه تغییرپیغام وارسال مجدد آن بسیارساده بوده همین امرباعث گسترش سریع hoax ها شده بایک دستور forward می توان ویروس ومتن تغییرداده شده را برای شخص دیگری ارسال کرد.
اما خوده ویروس چه شکلی دارد؟
ویروسی که درپشت این پیغام های فریب آمیزمخفی شده می تواند به صورت یک بمب منطقی یک اسب تروا ویا یکی ازفایلهای سیستمی ویندوز باشد.
شیوه ای که ویروس A – magistre ازآن استفاده کرده وخود را منتشر می کند.
Sulfnbk یک ویروس یک شوخی ویا هردو؟!
سایت خبری سافس چندی پیش خبری مبنی برشناخته شدن یک ویروس جدید منتشرکرد ویروسی با مشخصه exe .
sulfnbk نام فایلی درسیستم عامل ویندوز 98 می باشد که وظیفه بازیابی اسامی طولانی فایلها را برعهده دارد ودرسیستم عامل ویندوز98 فایلی سودمند می باشد.
اینجاست که می توان به مفهوم واقعی hoax ها پی برد فایل exe .
sulfnbk که معمولاً ازطریق پست الکترونیکی به همراه یک نامه فریب آمیزوشاید تهدید آمیزبه زبان پروتکلی وارد سیستم ها می شود دقیقا درجایی ساکن می شود که فایل سالم exe .
sulfnbk درآنجاست به بیان بهتراینکه جایگزین آن فایل سالم می شود.
فایل exe .
sulfnbk آلوده درشاخه command ویندوز98 ساکن شده وچون به همان شکل وسایز می باشد به همین منظور کاربرمتوجه حضوریک ویروس جدید درسیستم خود نخواهد شد اینجاست که فریب خورده ویروس خطرناک A – magistre که درهسته این فایل وجود دارد دراول ماه ژوین فعال شده وسازنده خود را به مقصودش می رساند.
نسخه ای دیگرازاین ویروس را می توان یافت که در 25 ماه می فعال می شود.
تفاوتی که این ویروس نسخه قبلی خود دارد آن است که روی فایل exe .
sulfnbk آلوده در درایو C ساکن می شود.
لازم به ذکراست این ویروس درسیتم عامل ویندوز98 فعال شده وحوزه فعالیتش دردرایو C می باشد.
تشخیص اینکه فایل exe .
sulfnbk واقعا آلوده است یا خیردشوارمی باشد البته شاید بعد ازماه ژوین 2002 ازطریق ویروس یابهای جدید مانند mcafee , Norton بتوان آنها را تشخیص داد اما درصورت درسترس نبودن ویروس یابهای مذ کور حداقل می توان exe .
sulfnbk را چه آلوده وچه غیرآلوده پاک کرد البته ازآنجایی که فایل exe .
sulfnbk یک فایل سیستمی ویندوزبه شمارمی رود ممکن است پاک کردن آن به سیستم لطمه وارد کند ازاین رو بعید نیست قبل ازپاک کردن نسخه ای ازآن را برروی یک فلاپی کپی کرده ونگه داریم.
حقیقت آن است که کمترکسی ریسک می کند واین قبیل فایلها را اجرا می کند.
پیغامی که ضمیمه این فایل ارسال می شود نیز در چندین نسخه وجود دارد.
همانطور که قبلا ذکرشد نسخه اصل پیغام به زبان پرتغالی است اما ترجمه انگلیسی واسپانیولی آن نیزیافته شده است.
به هرحال هرویروس چه ازنوع hoax باشد وچه ازانواع دیگرمدتی چه طولانی وچه کوتاه روی بورس است ومعمولا لطمه های جبران ناپذیر خود را درهمان بدو تولد به جای گذاشته وبعد ازمدتی مهارمی شود.
نکته قابل توجه این است که با داشتن حداقل آشنایی ازاین ویروسها درهمان شروع کاربه راحتی می توان با نسخه های جدیدترآن ویروس ویا ویروسهای مشابه مبارزه کرد.
CELLSAVER یک اسب تروا CELCOM SCREEN SAVER – A.K.A CELLSAVER نیزویروسی ازنوع HOAX می باشد وعلا رقم مدت زیادی که ازاولین انتشارآن می گذرد کاربران زیادی را دچار مشکل ساخته است.
این ویروس برای کاربران اینترنت ارسال شده است.
نسخه نخست آن درسال 1998 ونسخه جدیدترآن کمی بعد در آوریل 1999 به همراه یک پیغام دروغین منتشرشد.
هرگاه نامه ای با عنوان exe .
cellsaver به همراه فایلی با همین نام دریافت کردید سریعا آن راپاک کرده واز forward کردن برای شخصی دیگر بپرهیزید اینکار هیچ گونه لذتی نداشته فقط به انتشاروبقای بیشترآن کمک می کند.
این فایل یک اسب تروا کامل می باشد یک فایل saver Screen زیبا برای ویندوزکه به محض اجرا شدن هر کسی را مجذوب ومسحور می گرداند.
احتیاط کنید!
exe .
cellsaver به محض اجرا شدن یک گوشی تلفن بی سیم nokia را بصورت یک saver screen برروی صفحه نمایش نشان می دهد.
درصفحه نمایش این گوشی می توان زمان وپیغام را دید بعد ازیک باراجرا شدن ویروس فعال شده وشما خیلی زود متوجه خواهید شد که سیستم بسیار کندعمل کرده قادربه بوت شدن نخواهد بود اطلاعات هارد دیسک نیزپاکسازی می شوند.
درنتیجه مجبور به نصب مجدد کلیه برنامه ها خواهید بود.
درآخربازهم یادآورمی شویم که هرگزنامه های دریافتی که کمی ناشنا خته ومشکوک به نظرمی رسند را بازنکنید.
ویروسهای چند جزئی multipartite virus بعضی از ویروسها ترکیبی از تکنیکها را برای انتشاراستفاده کرده فایلهای اجرائی بوت سکتور وپارتیشن را آلوده می سازند.
این گونه ویروس ها معمولا تحت 98 windows یا win.nt انتشارنمی یابند.
چگونه ویروس ها گسترش می یابند ؟
زمانی که یک کد برنامه آلوده به ویروس را اجرا می کنید کد ویروس هم پس از اجرا به همراه کدبرنامه اصلی درمرحله اول تلاش می کند برنامه های دیگر را آلوده کند.این برنامه ممکن است روی همان کامپیوترمیزان یا برنامه ای بر روی کامپیوتردیگر واقع دریک شبکه باشد.
حال برنامه تازه آلوده شده نیز پس از اجرا دقیقا عملیات مشابه قبل را به اجرا درمی آورد.
هنگامیکه به صورت اشتراکی یک کپی ازفایل آلوده را در دسترس کاربران دیگرکامپیوترها قرار می دهید با اجرای فایل کامپیوترهای دیگر نیز آلوده خواهند شد.
همچنین طبیعی است با اجرای هر چه بیشتر فایلهای آلوده فایلهای بیشتری آلوده خواهند شد.
اگرکامپیوتری آلوده به یک ویروس بوت سکتور باشد ویروس تلاش می کند در فضاهای سیستمی فلاپی دیسکها وهارد دیسک ازخود کپی هایی بجا بگذارد سپس فلاپی آلوده می تواند کامپیوترهایی را که ازروی آن بوت می شوند ونیز یک نسخه از ویروسی که قبلا روی فضای بوت یک هارد دیسک نوشته شده نیز می تواند فلاپی های جدید دیگری را نیز آلوده نماید.
به ویروسهایی که هم قادربه آلوده کردن فایلها وهم آلوده نمودن فضاهای بوت می باشند اصطلاحا ویروسهای چند جزئی multipartite می گویند.
فایلهایی که به توزیع ویروسها کمک می کنند حاوی یک نوع عامل با لقوه می باشند که می توانند هرنوع کد اجرائی را آلوده کنند.
برای مثال بعضی ویروسها کدها را آلوده می کنند که در بوت سکتورفلاپی دیسکها وفضای سیستمی هارد دیسکها وجود دارند.
نوع دیگراین ویروس ها که به ویروسهای ماکرو شناخته می شوند‘ می توانند عملیات پردازش کلمه ای word processing یا صفحه های حاوی متن را که ازاین ماکروها استفاده می کنندآلوده می کنند.
این امر برای صفحه هایی با فرمت Html نیز صادق است.
ازآنجایی که یک کد ویروس باید حتما قابل اجرا شدن باشد تا اثری ازخود به جای بگذارد ازاین رو فایلهایی که کامپیوتر به عنوان داده های خالص وتمیزبا آنها سرو کاردارد امن هستند.
فایلهای گرافیکی وصدا مانند فایلهایی با پسوند wav‘ 3mp‘ jpg‘ gif.‘...
هستند.
برای زمانی که یک فایل با فرمت picture را تماشا می کنید کامپیوترشما آلوده نخواهد شد.
یک کد ویروس مجبور است که درقالب یک فرم خاص مانند یک فایل برنامه ای exe یا یک فایل متنی doc که کامپیوتر واقعا آن را اجرا می کند قرار گیرد.
عملیات مخفیانه ویروس درکامپیوتر همانطورکه می دانید ویروسها برنامه های نرم افزاری هستند آنها می توانند مشابه برنامه هایی باشند که به صورت عمومی دریک کامپیوتر اجرا می گردند.
اثر واقعی یک ویروس بستگی به نویسنده آن دارد.
بعضی از ویروسها با هدف خاص ضربه زدن به فایلها طراحی می شوند ویا اینکه در عملیات مختلف کامپیوتر دخالت کرده وایجاد مشکل می کنند.
ویروسها براحتی بدون آنکه متوجه شوید خود را تکثیر کرده گسترش می یابند درحین گسترش یافتن به فایلها صدمه رسانده ویا ممکن است باعث مشکلات دیگری شوند.
نکته : ویروسها قادر نیستند به سخت افزار کامپیوتر صدمه ای وارد کنند.
مثلا نمی توانند باعث ذوب شدنcpu سوختن هارد دیسک ویا انفجار مانیتوروغیره شوند.
ویروسها و E-mail شما صرفا با خواندن یک متن ساده e-mail یا استفاده از net post ویروسی دریافت نخواهید کرد بلکه باید مراقب پیغام های رمزدار حاوی کدهای اجرائی و یا پیغامهایی بود که حاوی فایل اجرائی ضمیمه شده یک فایل برنامه کد شده ویا یک word document که حاوی ماکروهایی باشد می باشند.
ازاین رو برای به کارافتادن یک ویروس یا یک برنامه اسب تروا کامپیوتر مجبور به اجرای کدهایی است می توانند یک برنامه ضمیمه شده به e-mail یک word document دانلود شده از اینترنت ویا حتی مواردی از روی یک فلاپی دیسک باشند .
نکاتی جهت جلوگیری از آلوده شدن سیستم نصب کرده وسعی کنید آنرا به روز نگه دارید.
اگر فکر می کنید سیستم تان آلوده است سعی کنید قبل ازانجام هر کاری از برنامه آنتی ویروس خود استفاده کنید البته اگر قبل ازاستفاده ازآن آنرا بروز کرده باشید بهتر است سعی کنید بیشتر نرم افزارهای آنتی ویروس را محک زده ومطمئن ترین آنها را برگزینید.
البته بعضی وقتها اگراز نرم افزارهای آنتی ویروس قدیمی هم استفاده کنید بد نیست زیرا تجربه ثابت کرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسا یی و پاکسازی کنند.
ولی اگرجزء افرادی هستید که به صورت مداوم با اینترنت سرو کار دارید حتما به یک آنتی ویروس جدید و به روز شده نیازخواهید داشت.
برای درک بهتر و داشتن آمادگی درهر لحظه برای مقابله با نفوذ ویروسها به نکات ساده ی زیر توجه کنید: 1 – همانطورکه دربالا ذکر شد ازیک کمپانی مشهور و شناخته شده بر روی سیستم تان یک نرم افزار آنتی ویروس نصب کرده و سعی کنید همیشه آنرا به روز نگه دارید.
2 – همیشه احتمال ورود ویروسهای جدید به سیستم وجود دارد.
پس یک برنامه آنتی ویروس که چند ماه به روز نشده نمی تواند درمقابل جریان ویروسها مقابله کند.
3 – توصیه می شود برای آنکه سیستم امنیتی کامپیوتر از نظم و سازماندهی برخوردار باشد برنامهa.v( آنتی ویروس) خود را سازماندهی نمائید‘ مثلا قسمت configuration نرم افزارa.v خود را طوری تنظیم کنید که به صورت اتوماتیک هر دفعه که سیستم بوت می شود آن را چک نماید این امرباعث می شود سیستم شما درهر لحظه در مقابل ورود ویروس ویا هنگام اجرای یک فایل اجرائی ایمن شود.
4 – برنامه های آنتی ویروس دریافتن برنامه های اسب تروا خیلی خوب عمل نمی کنند از این رو در باز کردن فایلهای باینری و فایلهای برنامه های excel و word که ازمنابع نا شناخته و احیانا مشکوک می باشند محتاط عمل کنید.
5 – اگر برای ایمیل و یا اخبار اینترنتی بر روی سیستم خود نرم افزار کمکی خاصی دارید که قادراست به صورت اتوماتیک صفحات java script و word macro ها و یا هر گونه کد اجرائی موجود ویا ضمیمه شده به یک پیغام را اجرا نماید توصیه می شود این گزینه را غیرفعال (disa bl ) نمائید.
6 – ازباز کردن فایلهایی که ازطریق چت برایتان فرستاده می شوند پرهیز کنید.
7 – اگر احتمالا بر روی هارد دیسک خود اطلاعات مهمی دارید حتما ازهمه آنها نسخه پشتیبان تهیه کنید تا اگر اطلاعات شما آلوده شده اند یا از بین رفتند بتوانید جایگزین کنید.
نکاتی برای جلوگیری از ورود کرمها به سیستم ازآنجایی که این برنامه ها ( worms ) امروه گسترش بیشتری یافته وباید بیشتر از سایر برنامه های مخرب از آنها دوری کنیم ازاین رو به این نوع برنامه های مخرب بیشتر می پردازیم.
کرمها برنامه های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده بدون واسطه خود را تکثیر کرده وخیلی زود سراسر سیستم را فرا می گیرند.
در زیر نکاتی برای جلوگیری از ورود کرمها آورده شده است.
1 – بیشتر کرمهایی که از طریق E-mail گسترش پیدا می کنند از طریق نرم افزارهای Microsoft Out look و یا out look express وارد سیستم می شوند.
اگر شما از این نرم افزار استفاده میکنید پیشنهاد می شود همیشه آخرین نسخه security patch این نرم افزار را از سایت Microsoft دریافت و به روز کنید.
همچنین بهتر است علاوه بربه روز کردن این قسمت از نرم افزار out look سعی کنید سایر نرم افزارها و حتی سیستم عامل خود را نیز در صورت امکان همیشه به روز نگه دارید ویا حداقل بعضی از تکه های آنها را که به صورت بروز در آمده قابل دسترسی است.
اگر از روی اینترنت بروز می کنید و یا از cd ها وبسته های نرم افزاری آماده دربازاراز اصل بودن آنها اطمینان حاصل کنید.
2 – تا جای ممکن در مورد e-mail attachment ها محتاط باشید.
چه در دریافت e-mail و چه درارسال آنها.
3- همیشه ویندوز خود را در حالت show file extensions قرار دهید.
این گزینه درمنوی toold/ folder option/view با عنوان hide file extensions for Known file types قرار دارد که به صورت پیش فرض این گزینه تیک خورده است تیک آن را بردارید.
4 – فایلهای attach شده با پسوندهای shs و vbs ویا pif را هرگزباز نکنید.
این نوع فایلها در اکثرموارد نرمال نیستند وممکن است حامل یک ویروس ویا کرم باشند.
5 – هرگز ضمائم دو پسوندی را باز نکنید.
پسوندهایی مانند neme.bmp.exe ویا name.txt.vbs و....
6 – پوشه های موجود بر روی سیستم خود را به جز در واقع ضروری با دیگر کاربران به اشتراک نگذارید اگر مجبور به این کارهستید اطمینان حاصل کنید که کل درایو ویا شاخه ویندوز خود را به اشتراک نگذاشته اید.
7 – زمانی که از کامپیوتر استفاده نمی کنید کابل شبکه ویا مودم را جدا کرده ویا آنها را خاموش کنید.
8 – اگر از دوستی که به نظر می رسد ناشناس است ایمیلی دریافت کردید قبل از باز کردن ضمائم آن حتما متن را چند بار خوانده و زمانی که مطمئن شدید از طرف یک دوست است آنگاه سراغ ضمائم آن بروید.
9 – توصیه می شود فایلهای ضمیمه شده به ایمیل های تبلیغاتی و یا احیانا weblink های موجود درآنها را حتی الامکان بازنکنید.
10 – از فایلهای ضمیمه شده ای که به هر نحوی از طریق تصاویر و یا عناوین خاص به تبلیغ مسائل جنسی و مانند آن می پردازند دوری کنید.
عناوینی مانند porno.exe ویا Pamela-nude.vbsکه باعث گول خوردن کاربران می شود.
11 – به یک آیکون فایلهای ضمیمه شده نیز به هیچ عنوان اعتماد نکنید.
چرا که ممکن است کرم هایی در قالب فایل عکس ویا یک فایل متنی فرستاده شود ولی در حقیقت این فایل یک فایل اجرائی بوده و باعث فریب خوردن کاربر می شود.
12 – در messenger هایی مانند icq.irc ویا aol به هیچ عنوان فایلهای ارسالی از جانب کاربران ناشناس on-line در chat system ها را قبول(accept ) نکنید.
13 – از Download کردن فایل از گروه های خبری همگانی نیز پرهیز کنید.
Usenet newsزیرا اغلب گروه های خبری خود یکی از علل پخش ویروس می باشند.
یک نوع کرم اینترنتی حال به شرح حال مختصری از خصوصیات یک کرم معروف که هنوز هم وجود خواب آلوده خود را برروی هزاران وب سرور افکنده و کارشناسان امنیتی رابه تکاپو وا داشته است می پردازیم.
راجع به واژه خواب آلود متن زیر را مطالعه کنید.
Codered یک نوع کرم اینترنتی مرکز تطبیق و هماهنگی cert در پتیسبورگ که مرکزی برای بررسی اطلاعات سری کامپیوتری است اذعان می دارد که ویروس codered احتمالا به درون بیش از 280000 دستگاه متصل به اینترنت که از سیستم عاملهای 4’.
Nt و ویندوز 2000 استفاده می کنند نفوذ کرده است.
حال آنکه این سیستم عاملها دارای مزیت محافظتی به وسیله نرم افزارهای خطا یاب 5iis و 4iis می باشند.
هنگامی که هر دو گونه این ویروس نسخه های a.29 و codered ii تلاش می کنند تا روی سرورهایی که به وسیله ی سرویسهای شاخص نرم افزارها iis از لحاظ ضعف های عبوری یا مقاومت در برابر ویروس های جدید اصلاح نشده اند نفوذ و منتشر شوند یکی از دو نسخه قدیمی این ویروس طوری تنظیم شده است که صفحات اولیه اتصال اینترنتی معروف به homepage و یا startpageمربوط به وب سرور آلوده شده را از حالت طبیعی خارج سازد.
این ویروس طوری تنظیم شده است که تا بیستمین روز ماه منتشر می شود آنگاه با حالتی که certآن را مرحله ویرانگر نامیده است چنان عمل می کند که خود ویروس محافظ شخصی را بر علیه آدرس اینترنتی داده شده وادار به خراب کاری می کند.
جالب است بدانید اولین آدرس اینترنتی داده شده به ویروس وب سرور کاخ سفید بوده است.
به نظر می رسد که این ویروس درآخرین ساعت بیست وهفتمین روز ماه بمباران و انتشارهای خود را متوقف کرده وارد مرحله ی خواب موقتی شده وخودرا غیر فعال می کند.
حال آیا ویروس قدرت این را دارد که دراولین روز ماه بعد خود را برای فعالیتی دوباره بیدار کند.
یک مرکز تحقیقات تخصصی که در اوهایوایالات کلمبیا شرکتی مشاوره ای و فنی است به بررسی و تست ویروس codered پرداخته وبه این نتیجه رسیده است که این مزاحم خواب آلود می تواند دوباره خود را فعال کرده و فرآیند جستجوی میزبانان جدید را از سر بگیرد.
بررسی ها ونتایج به دست آمده نشان می دهند که codered برای شروع فعالیت مجدد فایل مخصوصی را جستجو کرده وتا زمان پیدا کردن آن فایل و ساختن درایو مجازی خاصی به نام تروآ Trojan در حالت خواب باقی می ماند.
کارشناسان فنی براین عقیده اند که این ویروس مجبور نیست خود را بیدار و فعال کند تا برای سیستم ها تهدیدی جدی به حساب آید.
درحال حاضر سیستم های آلوده بسیاری وجود دارند که نا خود آگاه برای انتشار و سرایت ویروس به سیستم های دیگر تلاش می کنند.
یکی از کارشناسان sarc مراکز تحقیقاتی می گوید: ازآنجا که کامپیوترهای زیادی هستند که ساعتها درسایت تنظیم نشده اند شاهد انتشار مجدد این ویروس خواهیم بود.
تنها یکی از سیستم های آلوده برای انتشار موج جدیدی ازاختلالات کافی خواهد بود.
محاسبات مرکز تطبیق و هماهنگی cert نشان می دهدکه ویروس 250000 .codered سرور ویندوزهایی که در خلال 9 ساعت اول فعالیت زود هماهنگ خود سرورویندوزهایی که آسیب پذیر بوده اند آلوده ساخته است.
بولتن خبری cert تخمین می زند که با شروع فعالیت ویروس از یک میزبان آلوده زمان لازم برای آلوده شدن تمام سیستم هایی که علی رغم استفاده ازنرم افزارهای iis البته نسخه های قدیمی آن همچنان آسیب پذیر مانده اند کمتر از 18 ساعت است !
این رخدادها این سوال را طراحی می کنند که چه تعداد از کامپیوترهای آلوده شده قبلی تا کنون اصلاح وپاکسازی شده اند؟
اگر چه سرور کاخ سفید هدف اصلی حملات خراب کارانه ی codered بوده است .
با این حال این کرم کینه جو هنوز مشکلات بسیاری را برای میزبانان به وجود می آورد.
حمله به سیستم های Linux ویروس معروف و بسیار گسترده ی slapper برای اولین بار در تاریخ 14 سپتامبر 2002 کشف شد .
Slapper یک کرم شبکه Slapper طی مدت کوتاهی به سرعت هزاران وب سرور در سراسر دنیا را آلوده کردیکی از جالب ترین خصوصیات slapper توانایی آن درایجاد یک شبکه نظیربه نظیراست که برای نویسنده امکان کنترل تمامی شبکه های آلوده شده را بوجود می آورد.
Blaster کوتاه ومختصر:هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتیWindows update.com این کمپانی می باشد نویسنده این کرم با این عمل می خواهد برای کاربرانی که می خواهند عامل ویندوز خود را از این طریق در برابر هجوم این کرم محافظت کنند مشکل ایجاد نماید.
این کرم در کدهای خود حاوی رشته پیغام زیر می باشد: I just want to say LOVE YOU SAN!!
Billy Gates why do you make this .possibile ?
stopmaking money and fix yoursoftware البته این پیغام در نسخه جدیدتر این کرم /blaster-b32w تغییر کرده است.
کرم blaster از طریق ایمیل گسترش پیدا نمی کند بلکه ازطریق یافتن نسخه های آسیب پذیر ویندوزگسترش می یابد و این کار را از طریق سرویس remot procedur call.
Rpc ویندوز انجام می دهد.
بنابراین برنامه های محافظ ایمیل قادر به شناسایی این کرم نیستند.
شرکت ها و مدیران شبکه ها می بایست نرم افزارهای محافظ مخصوص این کرم را از روی سایت مایکروسافت دریافت و نیز از صحیح نصب شدن firewall ها بر روی سیستم ها و سرورهای خود اطمینان حاصل کرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نکنند.
شرح و بررسی W 32 A – BLASTER نامهای مستعار: .blaster.worm ’ worm- msblast.a ’ 32/lovsan.worm ’ w32w .poza ’ worm/lovsan.a32win نوع : Worm 32win /blaster- a32w کرمی است که از طریق اینترنت و با استفاده از خطای آسیب پذیری dcomموجود در سرویس remote procedure call-rpc سیسنم عامل های ویندوز برای اولین بارتوسط کمپانی مایکروسافت در اواسط ماه جولای 2003 فاش و منتشر می شود.
لازم به ذکراست این کرم برخلاف اغلب کرمهای دیگراز طریق ایمیل گسترش نمی یابد.
سیستم عاملهایی که در معرض هجوم این کرم می باشند به شرح زیرهستند: 4’.windows nt Terminal services edition4’.windows nt 2000 windows Windows xp 2003 windows server در نسخه های ویندوز xp که به این کرم آلوده می شوند بطور متوالی سرویس rpc متوقف می شوند وپیغامی مبنی بر خاموش شدن سیستم ظاهر می شود system shutdowm وبعد از حدود یک دقیقه سیستم حاوی ویندوز xpدوباره راه اندازی می شود.
ویندوزme’ 98’95 که از سرویس rpc استفاده نمی کنند از این بابت در خطر حمله ی این کرم نیستند.
در مسیر یافتن سیستم های آسیب پذیر کرم سیستم راه دور( کامپیوتر آسیب پذیر) را وادار به یافتن فایلی از طریق پروتکل دریافت فایل tftp به عنوان msblast.exe ویا .exe32penisمی نماید این فایل در شاخه ویندوز کپی می شود.
همچنین دستور زیر را دررجیستری ویندوز اضافه می کند: Html/siftware/microsoft/windows/current version/run/windows auto Update=msblast.exe ونیز رشته کاراکترزیردرکدهای این ویروس دیده شده که البته واضح نیست : I just want to say love you san!!
Bhlly gates why do you make this Possible ؟
.top making money and fix your software نحوه مقابله و پاکسازی: Blaster از طریق شبکه اینترنت سایت ها را جستجو کرده و سیستمهایی که دارای خطای آسیب پذیری سرویس محافظتی dcom rpc هستند را یافته و به درون آنها نفوذ می کند.
تمهیداتی برای مدیران شبکه ها مدیران شبکه ( administrators ) برای مقابله با نفوذ این کرم به درون سیستمها و خنثی کردن آن بهتر است که به روش زیر عمل کنند: -در مرحله ی اول اگر آنتی ویروس بر روی سیستم شما نصب بود آنرا به روز کنید در غیر اینصورت ازیکی از سایتهای مشهور و قابل اطمینان نظیر سایتهای Symantec ویا mcafee به نصب آنتی ویروس مناسب بپردازید.
-درمرحله بعدی patch مربوط به عملیات خنثی سازی blaster را از سایت Microsoft دریافت کرده وبر روی تک تک سیستمها و سرورها نصب کنید.
-فایل ftp.exe ( که یکی از فایلهای برنامه ی ویندوز می باشد ) فایلی است که blaster میتواند از طریق آن به مقاصد خود برسد.
پس بهتر است آنرا به فایل ftp.exe.old تغییر نام داد وعملیات blaster را خنثی کنید.
راهنمایی برای کا ربرا ن خا نگی افرادی که از نسخه های ویندوزو 2003,xp,server2000,4nt استفاده می کنند می توانند جهت محافظت سیستم خود و حتی پاکسازی آن از آلودگی به نکات زیر توجه کنند.
نکته اول: نرم افزار firewall در محافظت از کامپیوتر به شما کمک می نماید.
راه اندازی نرم افزار firewall می تواند معلیات مخفیانه کرمها را محدود سازد.
در نسخه ها ی window xpوserver 2003 نرم افزارfirewall موجود می باشد.
قبل از راه اندازی این نرم افزار، اگر سیستم مدامreboot شد ، ابتدا ارتباط اینترنتی را قطع کرده و سپس firewall را فعال کنید.
-1 کاربران XP : برای راه اندازیfirewall ویندوز xp به ترتیب مراحل زیر را انجام دهید.
-network connection را باز کنید.
( setting / control panel/ network & internet connection/ (start menu سپس روی گزینه network connection کلیک کنید.