ویروس چیست؟
ویروس ها هر روز در اینترنت بیشتر و بیشتر می شوند. ولی تعداد شركت های آنتی ویروس ثابت است .پس ما باید برای حفاظت از سیستم خود دست به كار شویم .در این سلسله مقالات سعی داریم كه نحوه مقابله با ویروس ها و همین تور بیوگرافی ویروس ها و نحوه مقابله با هر ویروس را آموزش بدهیم.
از نظر مردم عادی به هر برنامه ای كه در سیستم عامل اختلالات ایجاد كند ویروس است ولی باید بدانید كه خود ویروس ها بنا به كارها و امكاناتی كه دارند تقسیم بندی می شوند. ویروس ها مثل سایر برنامه ها هستند . كسانی كه ویروس را مینویسند هم از همین برنامه های عادی برنامه نویسی استفاده می كنند .این برنامه ها دقیقا مثل چاقو می ماند كه هم می شود استفاده درست كرد هم نادرست.
تاریخچه :
در یك هفته پاییزی در سال 1988 بعد از چندین دهه ترس از بمباران آمریكا توسط روسیه تمام نگرانی ها با از بین رفتن حكومت كمونیستی از بین رفت. در این زمان با كم شدن نگرانی مردم نسبت به روسیه ترسی دیگر جایگزین آن گردید در دوم نوامبر 1988 یك ویروس كامپیوتری در آمریكا سبب از كار افتادن كامپیوترها در مراكز حساس از جمله Lawrence Livermore Labs , MITو ... گردید .
این حمله ناگهانی به مراكز علمی و ارتشی شروعی برای یك ترس عمومی جدید گردید در سالهای 1940 تا 1988 پناهگاه های زیادی به منظور استفاده مردم در هنگام جنگ اتمی ساخته شد ولی در پایان دهه 80 میلادی این پناهگاهها به انبارهایی برای استفاده در مواقع اضطراری Y2K تبدیل شدند بلكه زمانی مورد استفاده قرار بگیرند!!
تا دهد 80 میلادی كامپیوتر ها تنها در اختیار دولت، مراكز حساس علمی و ... بود ولی از سال 1980 تا 1985 میلادی با كوچكتر شدن كامپیوترها و تهیه آسان آن توسط عموم مردم استفاده آن گسترش پیدا كرد.
شبكه ها – كامپیوترهای متصل به یكدیگر - نیز گام بلندی در اول دهه 80 بود در این سالها استفاده از مودمها به منظور بر قراری ارتباط BBS با دیگر كامپیوتر ها رواج فراوانی یافت و ...
ویروسها نیز در شبكه های كامپیوتری به روشهای گوناگون از جملهE-Mail ,Trojan Horse هك كردن و ... از كامپیوتری به كامپیوتر دیگر انتقال می یابند.
ویروس ها به 2 شكل تقسیم بندی می شوند :
گروه اندكی بر این باور هستند كه اولین و ابتدایی ترین خصوصیت ویروسهای كامپیوتری هجوم به یك برنامه مانند ایجاد نوعی پارازیت است (بدین ترتیب نمی توان Melissa را در گروه ویروسها قرار داد).
1-ویروس های مركب (ویروس های چند وجهی)
2-ویروس های ساده
ویروس های ساده آن دسته از ویروس ها هستند كه ساده و به صورت تك فایلی بوده و فقط یك كار انجام می دهند. اما ویروس های از تركیب چند ویروس در هم می باشند و قادر خواهند بود چندین فعالیت را همزمان انجام بدهند كه این امر سبب پیچیدگی كار ویروس خواهد شد
تقسیم بندی ریزتری از ساختمان ویروس ها و حوضه فعالیت آنها :
در ابتداباید یاد بگیرید كه هر ویروسی فقط ویروس نگویید بلكه بتوانید آن را شناخته و در یكی از دسته های زیر جا داده و بنا به خصوصیات آن را بنامید.
1- Trojan Horse
2- Worm
3- Bomb
همان طور كه در بالا مشاهده می كنید كل ویروس ها را می شود در 3 دسته تقسیم كرد كه ما به اختصار درباره هر كدام توضیح می دهیم . به علت حساس بودن دسته كرم ها یا همان Worm ما از این دسته توضیحاتمان را شروع می كنیم .
Worms
اولین و مشهورترین ویروس یكWorm می باشد كه به طور تصادفی در 2 نوامبر 1988 وارد شبكه گردید. طبق ادعای طراح آن هدف از این كار تنها اثبات كردن ضعف سیستم امنیتی كامپیوترها بوده است. اینترنت در سال 1988 دوران كودكی خود را طی می كرد و تنها در اختیار محدودی از دانشگاه موسسات تحقیقاتی دولتــی مانندNASA و آزمایشگاههـای بین المللـی
مانندLos Alamos بود .با وجود اینترنت بسیار محدود آن زمان خبر از كار افتادن این مغزهای كامپیوتری درMIT وBerkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بیش از 3000 كامپیوتر در مهمترین مراكز آمریكا از كار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار بر آورد گردید.
Worm ها زیر مجموعه ای از ویروسهای كامپیوتری می باشند كه بر خلاف دیگر ویروسها از جملهMelissa كه خود را به صورتE-Mail برای كاربران اینترنتی می فرستد سیستم كامپیوتر را سوراخ كرده و به طرف مغز كامپیوتر پیش می روند یكی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده بطوریكه قابل ردگیری نمی باشند این Worm ها مانند ویروسهایی می باشند كه خود را در اعصاب ستون فقرات پنهان كردن و گاه و بی گاه دردهای شدیدی را تولید می كنند. و اماWorm های مفید : در میان انواعWorm ها كرمهای مفیدی نیز طی سالیان متمادی به منظور چك كردن كارایی سیستم و ... مورد استفاده قرار گرفته اند. اینWorm هاAgent نامیده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتی در مورد كاركرد شبكه یا حتی محلی را كه می توان ارزانترین DVD را خریداری نمود به كاربر اعلام می دارند از تفاوتهای بارز میانAgent و Worm می توان به این مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثیر نكرده و درون سیستمهای كاربران نفوذ نمی كند.
تاریخچه اولین Worm :
این Worm كه توسط Robert Tappan Morris طراحی شد به RTM مشهور گردید . Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامه نویسی كامپیوتر روی آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امكانات كامپیوتری و اینترنتی دانشگاه بهره مند شد . وی در اكتبر سال 1988 برنامه ای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی كامپیوتر طراحی كرد . نحوه كار این برنامه بدین ترتیب بود كه پس از رها شدن آن در اینترنت سریعاً و بدون جلب هیچ گونه توجهی پخش می گشت (طبق اظهارات وكیل مدافع موریس).
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق كامپیوترهای دانشگاه MIT وارد شبكه كرد. یكی از خصوصیات این ویروس اضافه كردن یك شمارنده به برنامه بود. بدین ترتیب در صورتیكه این برنامه حداكثر تا 6 بار یك كپی از خود را در كامپیوتر پیدا می كرد تكثیر نشده و در هفتمین بار این برنامه پس از تكثیر و نفوذ به كامپیوتر آن را مورد هجوم قرار می داد. این برنامه ضمیمه یك اشتباه بسیار مهلك بود!! كامپیوترهایی كه در سال 1988 به اینترنت متصل می شدند به طور میانگین هر 10 روز یكبار خاموش شده و دوباره راه اندازی می گشتند از آنجا كه برنامه موریس در كامپیوتر ذخیره نمی شد این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن كامپیوتر برنامه به طور خودكار از میان برود. با این حال از آنجایی كه تمام كامپیوترهای متصل به اینترنت به طور همزمان خاموش نمی شدند این Worm می توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm ها همواره دارای یك تعادل بوده و مشكل خاصی را در كامپیوتر سبب نمی شدند. و اما ایراد برنامه موریس در این بود كه این Worm بسیار سریعتر از انتظار موریس تكثیر می یافت در كمتر از چند ساعت بعد از آزاد سازی آن هزاران كامپیوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازی worm در 6ام نوامبر همه چیز به حالت عادی خود برگشت در روز 12 توامبر سرانجامE-Mail هایی كه موریس در آنها طرز خنثی كردن Wrom را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی سازیWorm آگاهی یافتند.
ویروسها چگونه پخش می شوند :
راه های بسیار زیادی برای انتقال ویروسها موجود می باشد كه یكی از آنها روش زیر می باشد :
1) یك دیسك فلاپی كه دارای بوت سكتور ویروسی می باشد را درون كامپیوتر قرار داده و كامپیوتر را خاموش می كنید
2) هنگامی كه كامپیوتر را دوباره روشن می كنید دیسك هنوز در درایو A: موجود می باشد پس بوت سكتور ویروس آن فعال می گردد
3) ویروس یك كپی از خود را درون بوت سكتور هارد كامپیوتر ذخیره كرده بدین ترتیب دیگر هیچ نیازی به وجود دیسك نخواهد بود!!
4) هر بار كه دیسكتی را درون درایو A: قرار می دهید ویروس در بوت سكتور دیسكت كپی می گردد.
5) سرانجام این دیسكت را به دوست یا همكار خود قرض می دهید.
6) این چرخه از كامپوتری به كامپیوتر دیگر ادامه پیدا كرده و ...
البته نیاز به یادآوری نیست كه مطالب فوق تنها جهت كسب اطلاع و آشنایی شما با پخش ویروس ها است. از این رو از بكار بردن آن بطور عملی جداً خود داری كنید. زیرا ممكن است علاوه بر آسیب رسیدن به سیستم خودتان دیگران را نیز با مشكل مواجه كنید.
نكته : مواظب Autorun سی دی ها باشید چون آنها هم مثل بوت سكتور فلاپی عمل می كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشوید برای حل این مشكل هنگامی كه Cd را در درایو قرار دادید برای اجرا نشدن Autorun باید كلید Shift را تا 30 ثانیه پایین نگه دارید تا Autorun اجرا نشود بعد Cd را قبل از استفاده ، با یك آنتی ویروس اسكن كنید.
نحوه مخفی شدن ویروسها و نحوه اطلاع ما از وجود ویروس :
ویروس كامپیوتری معمولاً برنامه ای كوتاه می باشند كه خود را ضمیمه یك برنامه دیگر مثلاً پردازشگر Word می كند . رفتار این ویروسهای كامپیوتری كاملاً شبیه به ویروس آنفولانزا است، كه پس از وارد شدن به بدن شروع به تكثیر كرده و در صورت نبودن مراقبت لازم سیستم دفاعی بدن را از كار می اندازد .
حجم یك ویروس كامپیوتری می تواند تنها 90 بایت بوده كه حتی از طول این پاراگراف كه با احتساب فضای خالی تنها 191 بایت می باشد كوتاه تر است با این حال میانگین اندازه این ویروسها برابر 2000 كاراكتر می باشد.
هنگامی كه یك ویروس خود را به برنامه دیگری اضافه می كند در حقیقت سبب می شود تا آن برنامه افزایش حجم پیدا كند از آنجا كه این برنامه ها خود به خود حجیم نمی شوند پس می توان یكی از راههای از بین بردن این ویروسها یا پی بردن به وجود آنها را در كامپیوتر از طریق همین برنامه های حجیم شده تشخیص داد.
تمام این ویروسها دارای سه مشخصه اساسی زیر می باشند :
1- روشی برای تكثیر و پخش خود در دیگر كامپیوترها.
2- انجام دادن عملیاتی خاص در كامپیوتر (مثلا در تاریخی مشخص).
3- از كار افتادن برنامه پس از انجام عملیاتی خاص از قبیل نمایش یك پیغام كاملا بی ضرر مانند "Free Frodo" تا از بین بردن تمام محتویات هارد.
ویروسها بر حسب نحوه ورود به كامپیوتر به دو گروه مقدماتی تقسیم می شوند. گروه اول برنامه هایی هستند كه دارای پسوندهای .EXE ,.SYS ,و یا COM بوده و می توانند از طریق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طریق دیگر برنامه های فرعی وارد كامپیوتر شده و یكی از اهداف آنها آسیب رساندن به بوت سكتورها (Boot Sector) است. هر دیسك از چند هارد درایو و یك بوت سكتور كه برنامه های اجرایی كامپیوتر را در بر می گیرد تشكیل شده است و ویروسها به راحتی می توانند در این مكانها ذخیره شوند.
ویروسی كه در یك برنامه پنهان شده است با هر بار اجرای برنامه راه اندازی می شود بطور مثال اگر ویروس همراه برنامه Word شما باشد با هر بار استفاده ،ویروس موجود در آن راه اندازی می شود. در صورتیكه ویروس هایی كه درون بوت سكتورها ذخیره شده باشند با هر بار روشن شدن كامپیوتر فعال می شوند فرض كنید یك دیسك را قبل از روشن كردن كامپیوتر درون درایو A: قرار داده اید با روشن كردن دستگاه بوت سكتور موجود در دیسك فعال شده و از طریق كامپیوتر خوانده می شود (همراه با ویروس موجود در آن).همچنین در صورتیكه هیچ دیسكتی درون درایو A: نباشد بوت سكتور موجود در درایو C: (همراه با ویروس موجود در آن)فعال می گردد.
یك ویروس ممكن است پس از فعال سازی درون حافظه RAM نفوذ كرده و به دیگر برنامه ها سرایت كند به طور مثال تعداد دفعات راه اندازی خود را محاسبه كرده و در صورتیكه این تعداد به رقم 100 رسید تمام اطلاعات كامپیوتر را پاك كند یا ممكن است حافظه RAM را از طریق تكثیر خود پر كرده و سرعت عملیاتی كامپیوتر را تا حد بالایی پایین بیاورد(این گروه از ویروسها كرم نامیده می شوند).
اسبهای تروا
حملات اسبهای تروا یكی از اساسی ترین و به قولی جدی ترین تهدیدات علیه سیستم امنیتی كامپیوتر به حساب می آیند در این مقاله سعی ما بر این است كه نحوه مقاومت در برابر حملات اسبهای تروا و چگونگی غلبه بر صدمات احتمالی ناشی از هجوم آنها را آموزش دهیم. در افسانه ها آمده است كه یونانیان قدیم با پنهان شدن در داخل یك اسب چوبی عظیم الجثه جهت نفوذ به شهر تروا استفاده كردند و با شبیخون به سربازان شهر در جنگ پیروز شدند. امروزه در دنیای كامپیوتر اسب تروا یك برنامه كامپیوتری مخرب و مخل امنیت است كه به شكلی ظاهرا بی خطر نظیر یك محافظ صفحه نمایش بازی كامپیوتری و غیره - به سیستم شما نفوذ می كند معروفترین اسب تروا كه تا كنون شناسایی شده است (Love Bug) نام دارد و در ماه می سال 2000 منتشر شد. زمانی كه این نامه به ظاهر عاشقانه باز می شد مشكلات عدیده ای را برای كاربر ایجاد می كرد. به عنوان مثال خودش را به تمامی آدرس های موجود در كتابچه آدرس های پست الكترونیكی شما یا كانال IRC ارسال می كرد فایل های موجود در سیستم را پاك كرده یا تغییراتی در آنها ایجاد می كرد فایل های موجود در سیستم را پاك كرده و یك اسب تروا دیگری را برای سرقت كلمات عبور شما از اینترنت Download می كرد بسیاری از اسبهای تروا به نفوذگر اجازه می دهد كه به كامپیوتر كاربر نفوذ كنند و از راه دور كنترل سیستم را در دست گیرند به عنوان نمونه آنها می توانند كانالIRC را تحت كنترل خود در آورند و از كامپیوتر شما برای ایجاد اختلال در كار سرویس دهی سایت ها استفاده كنند مانند مشكلی كه برای سایت Yahoo وAmazon به وجود آوردند .
بسیاری از مردم از واژه های اسب تروا ویروس و كرم و نفوذ به جای یكدیگر استفاده می كنند در حالی كه معنای آنها كاملا متفاوت است اگر شما یكبار هم مورد تهاجم اسبهای تروا قرار گرفته باشید متوجه می شوید كه اسبهای تروا به خطرناكی ویروس ها هستند و می توانند به راحتی انتقال یابند و خسارت وارد كنند.
چگونه یك سیستم به اسب تروا آلوده می شود ؟
اسبهای تروا برنامه های اجرایی هستند در نتیجه زمانی كه آنها را باز می كنید اجرا می شوند و عملیاتی را انجام می دهند . در سیستم عامل ویندوز برنامه های اجرایی دارای پسوند های مانند Ink , Scr , Pif ,Bat , Com , Vbs , Exe یاJs هستند نام بعضی از فایل های تروای معروف عبارتند از :dmsetup.exe ,Movie.avi.pif , وLOVE – Letter –For –You .TXT.vbs زمانی كه یك فایل دارای پسوند های مختلفی است فقط پسوند آخر به حساب می آید لذا باید مطمئن شوید كه پسوند های خود را از حالت مخفی خارج كرده اید تا بتوانید آنها را ببینید . اسبهای تروا می توانند به شكل هر چیز كه مورد علاقه مردم است پخش شوند مانند بازیهای كامپیوتری رایگان تصاویر جذاب موسیقیMP3 و غیره احتمال دارد كه شما اسب تروا را از اینترنت و یا آرشیوFTP یا از طریق نرم افزار هایICQ یاIRC به هنگام انتقال و تبادل فایل های دریافت كنید. اسب های تروا معمولا به صورت دستی اجرا می شوند ممكن است این فایل ها در نظر كاربر به عنوان فایل های اجرایی ( به دلیل مخفی بودن پسوند فایل ها و یا صرفا بی احتیاطی) تصور شوند و به اجرا در آیند اسبهای تروا معمولا خیلی آرام و بی سرو صدا خسارت خود را به هارد دیسك یا شبكه وارد می كنند .
چگونه می توان از آلوده شدن سیستم به اسب تروا مصون ماند ؟
مهمترین نكته در این مورد اطمینان از منبع محتوای فایل هایی است كه از اینترنت دریافت می كنید. به عبارتی نه تنها باید به فرد یا سروری كه فایل را از آن دریافت می كنید اطمینان داشته باشید بلكه از سالم بودن محتوای فایل نیز مطمئن باشید برای اجتناب از آلودگی به اسبهای تروا به چند نكته اشاره می كنیم :
1 – هیچ گاه از سایت ها یا افرادی كه 100 درصد به آنها مطمئن نیستید فایلی را كوركورانه دریافت نكنید. به عبارتی یك ضرب المثل قدیمی است كه می گوید (هرگز از غریبه ها شیرینی نپذیرید) چنانچه بازیهای تجاری یا نرم افزار های دیگر را از منابع تبلیغاتی دریافت می كنید نه تنها قانون كپی رایت را زیر پا گذاشته اید بلكه در معرض آلودگی به اسب تروا قرار خواهید گرفت .
2 – حتی زمانی كه فایلی از یكی از دوستان صمیمی خود دریافت می كنید باز هم قبل از باز كردن فایل از سلامت محتوای آن اطمینان حاصل كنید (همان طور كه ویروس های Melissa وLoveBug این امر ثابت كردند) تنها با باز كردن فایل اسب تروا (با دابل كلیك كردن روی آن پیش نمایش فایل و غیره)این فایل صدمات خود را به سیستم وارد می آورد همواره به یاد داشته باشید كه هیچ دلیلی وجود ندارد كه یك دوست یا همكار برای شما فایل اجرایی بفرستد در هر حال اگر احتمال انجام این كار را از طرف كسی می دهید ابتدا از وی در مورد صحت آن سوال كنید.
3 – مراقب پسوند فایل های پنهان باشید!
ویندوز طبق پیش فرض پسوند انتهای فایل را پنهان می كند مثلا فایلی با نام (Susie.jpg) ممكن است در اصل یك فایل اجرایی با نام(Susie.jpg.exe) و یك اسب تروا باشد . برای جلوگیری از اشتباه كاری كنید كه پسوند فایل ها در ویندوز نمایش داده شوند. در حالت عادي، ويندوز تنها نام فايل را نشان ميدهد.
البته شما ميتوانيد به راحتي ويندوز را وادار کنيد که پسوند فايل را نيز نمايش دهد. براي اين کار به اين ترتيب عمل کنيد:
از کنترل پنل يا از منوي Tools در My Computer گزينه Folder Options را انتخاب کنيد. به زبانه View برويد و علامت مربع Hide Extensions را برداريد، و سپس دکمه OK را بفشاريد. نکته : توجه داشته باشيد که در صورتي که بخواهيد در اين وضعيت ( مشاهده فايل با پسوند ) فايلي را Rename ( تغيير نام) نماييد، مي بايست حتما پسوند آن را نيز تايپ کنيد.
4 – هرگز در برنامه از ویژگی های كه به صورت خودكار فایل ها را اجرا می كنند و پیش نمایش آن را نشان می دهند استفاده نكنید اگر چه ویژگیهای مزبور ظاهرا مفید به نظر می رسند ولی در عین حال باعث می شوند كه هر كس بتواند هر چه را كه می خواهد برای شما بفرستد : از اسب های تروای خطرناك گرفته تا عكس های نا جور و فایل های حجمی كه پهنای باند شما اشغال كرده و هارد شما را پر می كنند به عنوان مثال هرگز در برنامه MIRC ویژگیAuto DCC get را فعال نكنید در عوض همیشه هر فایلی را كه به صورت دستی دریافت می كنید ابتدا چك كنید. همچنین حالت پیش نمایش را درOutlook و سایر برنامه های پست الكترونیك غیر فعال كنید.
5 – هرگز كوركورانه فرمانهایی را كه دیگران به شما گفته اند صادر نكنید و به یاد داشته باشید كه اسكریپت و برنامه های بی دقتی در این زمینه به این معنا ست كه شما به یك غریبه اجازه داده اید كه كنترل كامپیوتر تان را به دست گیرد و در نهایت این بی دقتی موجب می شود كه سیستم شما به اسب تروا و بسیاری موارد دیگر آلوده شود.
6 – هرگز به خاطر داشتن برنامه های ضد ویروس احتیاطهای لازم را فراموش نكنید چرا كه اكثر برنامه های ضد ویروس حتی اگر كاملا به روز رسیده باشند در مقابل تمامی ویروسهای كامپیوتری و اسبهای تروا از مصونیت كافی بر خوردار نیستند. در واقع به برنامه های ضد ویروس نباید به عنوان مهمترین حصار امینیتی سیستم تكیه كرد زیرا آنها صرفا ابزارهایی هستند كه ضریب و احتمال آلوده شدن سیستم شما را كاهش می دهند.
7 – در نهایت هرگز از روی حس كنجكاوی یك برنامه اجرایی راDownload نكنید زیرا اگر این برنامه یك اسب تروا باشد به محض اینكه آن را اجرا كنید آلوده می شوید.
هرچند وقت یكبار در اخبار ساعات اولیه صبحگاهی می شنویم كه ویروسی جدید رایانه ها را تهدید می كند.این اخبار تا آخرین دقایق شب بارها و بارها تكرار می شود. شاید آخرین ویروسی كه به این ترتیب نقل محافل خبری شده است ، ویروس بحث برانگیز جی.اس.اسكاب. تروجان (Js.Scob.Trojan) باشد. این تهدید جدید در بولتن امنیتی مایكروسافت MS04-011 كاملا مورد بحث قرار گرفته است.برخلاف كرمهای ساسر و كرگو كه مستقیما رایانه های كاربران نهایی را مورد هدف قرار می دادند ، این ویروس ، وب سرور را مورد حمله قرار می دهد. گزارش ها حاكی از آن است كه آسیب رسان مورد نظر از آسیب پذیری بیش از حد بافر PCTSSL كه روی سرور هدف وجود دارد استفاده می كند تا پیامی را نصب نماید كه این پیام باعث ایجاد كد آسیب رسان در صفحات وب سرور شود. كد سمت كاربر چیزی را داونلود می كند كه منابع خبری معتقدند Padodor/Berbew Trojan نام دارد. اسامی و رمز عبور مرتبط با اطلاعات مالی را گزارش می دهد و رایانه را به یك سیستم كنترل از راه دور باز كرده و مرتبط می كند. در حال حاضر این خطر برای اكثر كاربران جدی نیست. تروجان خود به خود گسترش پیدا نمی كند، بنابراین یك ویروس حقیقی نیست. طبق نظر مایكروسافت ، وب سایت منبع ، شات داون شده است.اخبار منتشره و تجزیه و تحلیل مراكز تولید ضدویروس ، وب سایت های خاصی را كه به این ویروس مبتلا شده باشند ، گزارش نكرده اند اما اینچنین عنوان شده كه احتمالا صدها مركز خرید و فروش ، مراكز مقایسه قیمت در بازار یا مراكز دولتی مبتلا شده باشند. البته مایكروسافت معتقد است تهدید ناشی از این ویروس كاملا محدود و مهار شده است ، اما SANS گزارش كرده است ممكن است مسیرهای مخفی در سرورها نصب شده باشد و كار به جایی برسد كه كل سایتهای مورد نظر دوباره مورد بازسازی قرار بگیرند. حال چه این تهدید ویژه محدود شده باشد یا هنوز وجود داشته باشد و همچنان بر رایانه ها بتازد ، كد مورد نظر روی وب وجود دارد و احتمال دارد رایانه های زیادی را آلوده كند اما با این ویروس جدید چه باید كرد؟ شاید بهترین و اولین اقدام ، شناسایی آن باشد.
متهم را بهتر بشناسیم!
نام :
جی.اس.اسكاب.تروجان (Js.Scob.Trojan) محل اثر: مستقیما روی وب سرور ویندوز IIS.5.o غیرمستقیم بر كاربران اینترنت اكسپلورر (كاوشگر اینترنت).
نحوه عملكرد
: تروجان روی وب سرورهای ویندوز كه برنامه IIS.5.o را اجرا می كنند ، نوشته ای را به نمایش می گذارد كه به آن نوشته تبلیغاتی می گویند و باعث می شود سرور مورد نظر زیرنویسی را به طور اجباری در برنامه خود پیاده كند كه حاوی كد آسیب رسان Java Script است.از طرف دیگر در رایانه كاربر، كد مورد نظر باعث آسیب رسانی دوطرفه می شود و فایلی را دانلود و اجرا می كند كه از وب سایت گرفته شده است.سیستم ایمنی F فایلی را گزارش می كند كه ممكن است همان گزارشگر آسیب رسان كلیدی باشد كه به طور مخفی در Trojan فعالیت می كند و پادودور (Padodor) نام دارد.
راه پیشگیری :
اگر سرور مدنظر باشد ، باید MS04-011 همراه با ضدویروس موجود در آن دوباره تجدید شده و به كار برده و كد زیرنویس در IIS بررسی شود. اگر كاربر مدنظر باشد ، باید ضدویروس همیشه تجدید شده و به روز باشد. Internet Security Zone باید بالا نگهداشته شود تا پیام نوشتاری دادن غیرممكن شود.
برطرف كردن آلودگی
تمام ضدویروس هایی را كه ما بررسی كرده ایم ، توان شناسایی اسكاب تروجان و تروجان های وابسته را دارند. اگر اسكنر ضدویروس ندارید یا مایلید از روشی غیر از خرید ضد ویروس استفاده كنید ، می توانید از اسكنرهای قابل پیاده شدن و رایگان كه به صورت آنلاین وجود دارند استفاده نمایید. مثل House call كه در نشانی http://housecall.trendmicro.com، sStinger ، McAfee كه در نشانیhttp://vil.nai.com/vil/stingerوجود دارد یا اسكن فعال نرم افزار Panda استفاده كنید كه می توانید آن را در نشانی www.pandasoftware.com/products/activescan ببینید.
و اما فایل حقیقی
نام :
Js.scob.trojan،scob،download Ject
نوع تهدید :
اسب تروجان
تاریخ كشف :
24 ژوئن 2004
كشور منبع :
شوروی سابق سیستم هایی كه تحت تاثیر قرار می گیرند: سرور ویندوز 2000 (كاوشگر IIS) ، كاربرانی كه با ویندوز 2000 XP، Me ، 9X كار می كنند.
جستجوگر هدف :
كاوشگر اینترنت.
جستجوگرهایی كه تحت تاثیر قرار نمی گیرند:
اوپرا ، MacIE ، موزیلا ، نت اسكیپ.
سیستم هایی كه در امان هستند :
داس ، ویندوز 30X ، لینوكس ، ماك ، Os/2 و یونیكس.
جزییات اسكاب
جی اس.اسكاب تروجان باعث ایجاد نویز بسیار زیادی در سیستم ارتباطی می شود اما به نظر نمی رسد چندان طول بكشد. این ویروس در رایانه كاربر دانلود می شود. برای آلوده شدن سیستم ها ، هكر از MS04-011 استفاده می كند، نوشته ای را با نام ads.vbsدر پوشه سرور وارد می كند و 3 فایل را به صورت %inetsrv/folder// %system درمی آورد. این سه فایل با نام iisxxx.dll مشهور است.نوشته مورد نظر به سرور IISمی آموزد تا یك زیرنویس حاوی سه فایل مورد نظر را اضافه كند. دستور زیرنویس به صورت یك انتخاب در IISمشخص شده است.در سیستم كاربر ، كد Java Script یك پنجره مجزای مخفی را باز می كند و سعی می كند نوشته را از وب سایت دوردست اجرا كند. سایت مورد نظر براساس نوشته ای كه مدنظر بوده است قابل اجرا نیست.
مشكلات پنهان
اگر تروجان موفق عمل كند ، قادر خواهد بود پادودور تروجان را دانلود كند. پادودور به دنبال اطلاعات رمز عبور مالی مخصوص از Paypal ، eBay ، Juno ، Earthlink و Yahoo می گردد. این وضع پنهانی و مخفی كه به آن Berbew مخفی نیز می گویند ، اطلاعات را جمع آوری می كند و سپس آن را به URL حمله كننده می فرستد. خانواده Padodor/berbew می تواند آموزش های دوردست را دریافت كند تا PC را شات داون كند یا برنامه هایی را دانلود و اجرا كند. مشكلی كه در گزارش های مربوط به اقدامات ضدویروس ها به چشم می خورد ، آن است كه به نظر نمی رسداسكاب هیچیك از انواع Backdoor.padodor/berbew را مورد استفاده قرار دهد. كاسپرسكی گزارش كرده است كد مورد نظر ممكن است پادودور W،X،Y یا Z باشد در حالی كه امنیت F ادعا دارد پادودور W است كه البته ما با سیستم امنیت F موافق هستیم.توجه داشته باشید تروجان مثل ویروس ها گسترش پیدا نمی كند. كاربران تنها از طریق مشاهده سایتهای آلوده به این ویروس مبتلا می شوند. با استفاده از یك ضدویروس جدید یا ابزار قابل دانلود موجود می توان اسكاب را برداشت.
برداشتن Backdoor.padodor.w به صورت دستی :
با حذف فایلهایی در پوشه سیستم ویندوز و خلاص شدن از شر ورودی های ثبت شده می توان آلودگی اصلی را برطرف كرد. اگر با Registry آشنایی ندارید ، می توانید از ابزار حذف آلودگی كه قبلا ذكر شد استفاده كنید. وقتی یك بار سیستم خود را پاكسازی كردید و درست كار كرد ، ممكن است بخواهید پشتیبانی Registry را كه حاوی ورودی های پادودور است ، حذف كنید. اگر از ویندوز Me یا XP استفاده می كنید ، Restore سیستم را خاموش كنید. وقتی سیستم خود را تغییر می دهید این نسخ جدید OS ، نقاط بررسی شده ذخیره شده ای را ایجاد می كنند. اگر سیستم شما آلوده است ، Restore كردن ممكن است باعث ایجاد آلودگی مجدد شود. رایانه را در Safemode دوباره restart كنید زیرا پادودور فرآیندهای اجرایی ایجاد می كند و ویندوز به شما اجازه حذف فایلهای مربوط به آنها را نمی دهد بنابراین مجبور خواهید شد كامپیوترتان را restart كنید. Safemode از لود درایوها و ورودی های خودكار در ویندوز جلوگیری می كند بنابراین بوت سیستم شما نسبتا پاكسازی می شود. با استفاده از اسكنرهای ضدویروس جدید یا یكی از اسكنرهای آنلاین موجود ، كل سیستم را اسكن كنید. اگر اسكنر شما همه موارد را حذف نكرد ، از مراحل زیر استفاده كنید.
قابل توجه :
نرم افزار ضدویروس شما باید در حین شناسایی ، فهرستی از فایلهای مربوط به پادودور یا Berbew را ایجاد كند (نام ذكر شده به اسكنر بستگی دارد). ضدویروس خود را به نحوی تنظیم كنید تا آنها را حذف كند یا به طور دستی این كار را انجام دهید.
آشنایی با عملكرد ویروسهای مقیم در حافظه ویروسهای مقیم در حافظه :
همان طور كه از اسم آنها بر می آید با قرار گرفتن در حافظه سیستم شروع به تكثیر و آلوده سازی می كنند. به این ویروسها ویروسهای با عملكرد غیر مستقیم نیز می گویند .
چرا كه مستقیما دنبال فایلی برای آلوده سازی نمی گردند بلكه پس از مقیم شدن در حافظه فایلهایی را كه متعاقبا در دسترس قرار گیرند آلوده می كنند همچنین بعضی از ویروسهای مقیم در حافظه با عنوان آلوده كننده های سریع نیز شناخته می شوند كه علت این مطلب در همین مقاله ذكر خواهد شد.
مقایسه عملكرد ویروسهای مقیم و غیر مقیم :
ویروسهای مقیم در حافظه در مقایسه با ویروسهای غیر مقیم دارای سرعت تكثیر بیشتری هستند ولی در مدت زمانی طولانی ممكن است تعداد كمتری از فایلها را آلوده كنند. به این ترتیب كه ویروسهای غیر مقیم تنها در صورتی كه اجرا شوند شروع به آلوده سازی سیستم می كنند و تا وقتی كه فایل آلوده به این گونه ویروسها اجرا نشود شروع به تكثیر نمی كنند ، بنا براین دارای سرعت تكثیر پایینی هستند . اما از آنجا كه بعد از اجرا شدن بر اساس جستجوی فایل عمل آلوده سازی را انجام می دهند در مدت زمان طولانی ممكن است كل فایلهای كامپیوتر را آلوده كنند.
در عوض ویروسهای مقیم در حافظه پس از مقیم شدن به محض اینكه فایلی در دسترس قرار گیرد آن را آلوده می كنند ، بنا بر این دارای سرعت تكثیر بالایی هستند اما از آنجا كه تنها بعضی از فایلهای اجرایی آن هم بیشتر به هنگام اجرا شدن در دسترس ویروس قرار می گیرند ، لذا از این نظر در طولانی مدت ممكن است تعداد كمتری فایل را آلوده كنند.
مزایای ویروسهای مقیم در حافظه بر ویروسهای غیر مقیم :
ویروسهای مقیم در حافظه چون عملیات جستجوی فایل ندارند و به محض اجرا در حافظه مقیم می شوند معمولا احتمال اینكه به واسطه اجرا توسط كاربر كشف شوند بسیار كم است . در مورد ویروسهای غیر مقیم به علت عملیات جستجو كه انجام می گیرد گاه فایل اصلی با كمی تاخیر اجرا می شود یا در مورد بعضی از آنها به خاطر اینكه سطح وسیعی از دیسك سخت را جستجو و آلوده می كنند ، كاربر متوجه كار كردن بی دلیل دیسك سخت می شود در حالی كه از قبل این گونه نبوده است و همین مطلب احتمال كشف ویروس توسط کاربر را زیاد می كند . اما در مورد ویروسهای مقیم در حافظه چون عملیات جستجو وجود ندارد این احتمال بسیار كمتر است .
همچنین بعضی از ویروسهای مقیم در حافظه هنگامی كه خودشان در حافظه مقیم باشند با در اختیار گرفتن توابع خاصی از وقفه های DOS مقادیر اولیه اندازه تاریخ و زمان فایل های آلوده به همان ویروس را نشان می دهند و به این ترتیب نمی گذارند كه كاربر به واسطه تغییر اندازه فایل یا احتمالا تغییر تاریخ و زمان فایل متوجه آلوده بودن آن شود لذا باز هم احتمال كشف شدن ویروس توسط كاربر كاهش می یابد.
نكته :
بعضی از ویروسهای مقیم در حافظه قبل از اینكه در حافظه قرار بگیرند مانند ویروسهای فایلی با عملكرد مستقیم به جستجوی فایل می پردازد و تعدادی از فایلها (معمولا فایلهای سیستمی) را آلوده می كنند و سپس در حافظه مقیم می شوند.
ساختار كلی ویروسهای مقیم در حافظه :
ویروسهای مقیم در حافظه دارای دو بخش هستند یك بخش غیر مقیم كه قبل از اینكه ویروس در حافظه مقیم شود اجرا می شود و بخش دیگر پس از مقیم شدن ویروس در حافظه. بخش اول هنگامی اجرا می شود كه فایلی آلوده به ویروس توسط كاربر اجرا شود و وظیفه تخصیص حافظه و قرار دادن ویروس در حافظه و انتقال بردار وقفه مورد نظر را به ویروس بر عهده دارد . اما بخش دوم زمانی اجرا می شود كه برنامه ای با فراخوانی وقفه ای كه در اختیار ویروس است بخواهد كار خاصی را انجام دهد . در این حالت ویروس كه سر راه دسترسی به وقفه مزبور نشسته است فعال می شود و عملیات تكثیر تخریب یا مخفی كاری (برای جلوگیری از كشف ویروس توسط كاربر) را انجام می دهد . در اینجا به توضیح مراحل بخش اول ( غیر مقیم ) می پردازیم :
1- تست مقیم بودن ویروس در حافظه:
در این قسمت ویروس معمولا با استفاده از یكی از توابع استفاده نشده از وقفه ای كه توسط ویروس در اختیار گرفته شده است و فرستادن پارامترهای خاص و فراخوانی وقفه مزبور مقیم بودن خود را در حافظه چك می كند . در صورتی كه ویروس در حافظه مقیم نباشد پارامترهای برگشتی از طرف سیستم عامل خواهد بود و چون ویروس این پارامتر ها را انتظار ندارد متوجه می شود كه در حال حاضر ویروس در حافظه مقیم نیست اما در صورتی كه خود ویروس از قبل در حافظه مقیم شده باشد به واسطه ارسال پارامترهایی خاص به برنامه فراخوان ویروس متوجه می شود كه از قبل در حافظه مقیم شده است لذا بدون اینكه مجددا در حافظه مقیم شود كنترل را به برنامه اصلی می دهد تا اجرا شود.
2- تخصیص حافظه :
ویروسها به دو روش كلی در حافظه مقیم می شوند :
1 – با استفاده از وقفه 27h یا تابع 31h از وقفه 21h
2 – با استفاده از دستكاری زنجیره MCB(Memory Control Black) در حافظه .
در روش اول پس از اینكه قسمت غیر مقیم اجرا شد ویروس با استفاده از فراخوانی وقفه 27h و یا تابع 31h از وقفه 21h اجرای خود را خاتمه می دهد و به صورت مقیم در حافظه قرار می گیرد ویروسهایی كه از این روش استفاده می كنند بخش تخصیص حافظه را خودشان انجام نمی دهند و این بخش را سیستم عامل با توجه به پارامترهای ورودی انجام می دهد . پس بخش تخصیص حافظه فقط مربوط به ویروسهایی است كه از روش دوم برای مقیم شدن استفاده می كنند.
در روش دوم ویروسها ابتدا یك قسمت خالی از حافظه را برای اینكه كدشان را در آن قرار دهند پیدا می كنند (پیدا كردن فضای خالی در حافظه نیز دارای روشهای متنوعی است) سپس به صورت دستی در ابتدای بلاك تخصیص یافته DTA را تشكیل می دهند و بعد با دستكاری زنجیره MCB خود را در وسط یا انتهای این زنجیره قرار می دهند این عملیات باعث می شود كه این قسمت از حافظه به ویروس اختصاص داده شده و توسط برنامه های دیگر اشغال نشود.
3- كپی ویروس در حافظه :
این بخش مخصوص آن دسته از ویروس های مقیم در حافظه است كه از روش دستكاری زنجیره MCB برای تخصیص حافظه استفاده می كنند . در این قسمت ویروس از ابتدا تا انتهای خود را در بلاك اختصاص داده شده در حافظه كپی می كند.
4- تغییر بردار وقفه مورد نظر و اشاره آن به ویروس :
در این قسمت ویروس با دستكاری آدرس وقفه مورد نظر در جدول بردار وقفه ها كه از آدرس 0000:0000 شروع می شود آخرین مرحله مقیم شدن را انجام می دهد . معمولا ویروسها وقفه های 21h و 9h , 13h را در اختیار می گیرند . ویروسها با در اختیار گرفتن وقفه 21h برای عملیات تكثیر و مخفی كاری وقفه 9h برای عملیات تخریبی دیسك ها یا جلوگیری از دسترسی كاربر به اطلاعات دیسك ها استفاده می كنند در این بخش ویروس آدرس وقفه های مورد نظر خود را از جدول بردار وقفه ها برداشته و درون قسمتی از ویروس كپی شده در حافظه ذخیره می كند و به جای آن آدرس بخش مقیم خود را قرار می دهد در نتیجه هر بار كه برنامه ای این وقفه ها را فراخوانی كند ابتدا بخش مقیم ویروس اجرا شده و پس ار آن وقفه اصلی (كه آدرس آن درون بخش مقیم ویروس توسط بخش غیر مقیم ذخیره شده است)اجرا می شود.
5- خاتمه اجرای بخش غیر مقیم ویروس و اجرای برنامه اصلی فایل آلوده :
در این مر حله دیگر ویروس در حافظه مقیم شده است لذا ویروس كنترل را به برنامه اصلی می دهد تا برنامه اصلی اجرا شود و كاربر متوجه اجرای ویروس نشود.
Spam, Worm, Trojan چه فرقی با هم دارند؟
Spam
Spam ایمیلی است كه بطور اتوماتیك برای اشخاص مختلف فرستاده می شود و اغلب اوقات یك محصول ، سرویس و یا وب سایتی را تبلیغ می كند . Spam ها مانند نامه های تبلیغاتی هستند كه توسط پست به شركت ها یا منازل فرستاه می شوند .بعضی از Spam ها شامل مطالب فریبننده می باشند مانند این جمله : " شما برنده خوش شانس ما هستید ، برای اراسل جایزه كافیست اطلاعات زیر را برای مار ارسال كنید " . بعضی دیگر شامل تصاویر و عكسهای غیر اخلاقی می باشند .
Worm
Worm ها نوعی ویروس هستند كه اكثراً قابلیت تخریب به شكلی كه فایلی را از بین ببرند ندارند . نحوه كار Worm اغلب به این شكل است كه در حافظه اصلی كامپیوتر (Ram) مستقر می شوند و شروع به تكثیر خودشان می كنند كه این عمل موجب كند شدن سیستم و كم شدن تدریجی فضای Ram می گردد . كرم ها این قابلیت را نیز دارند كه برای آلوده كردن كامپیوترهای دیگر از ایمیل یا برنامه های چت استفاده می كنند .
Trojan
اسبهای تروا یا همانTrojan ، ویروس نیستند ، چرا ؟ به دلیل آنكه بر اساس تعریف ویروس قابلیت تكثیر ندارند . اما این قدرت را دارند كه فایلهای سیستم را پاك كنند ، در نحوه كار نرم افزار اخلال بوجود آورند و یا سیستم را از كار بیاندازند . یك اسب تروا در حقیقت یك برنامه مخرب است كه خود را به شكل یك برنامه بی خطر و معمولی نمایش میدهد .
خطرناكترین مطالب در جستجوها
آیا تا به حال اندیشیدهاید كه نتایج جستجوی اینترنتی شما در یك موتور جستجو (هر چند معتبر و معروف) میتواند خطرناك بوده و شما را به سمت سایتهای آلوده رهنمون كند؟
طبق تحقیقات به عمل آمده توسط شركت McAfee یكی از معتبرترین شركتهای ضد ویروس جهان، جستجوی اینترنتی در زمینه موزیك و تكنولوژی در صدر خطرناكترین جستجوها قرار دارند و احتمال اینكه نتایج این جستجوها، كاربران را به سایتهای حاوی ویروس، اسپم و كرمهای اینترنتی راهنمایی نماید، بسیار زیاد است.
به عنوان مثال 42 درصد از كسانی كه به دنبال كلماتی نظیر"Screensavers" هستند به سمت سایتهای قرمز یا زرد از لحاظ امنیتی سوق داده میشوند (قرمز – زرد- سبز درجه امنیتی سایتها از دیدگاه آلوده بودن میباشد كه معمولا بین شركتهای ضد ویروس به عنوان یك قرارداد در نظر گرفته شدهاند) از جمله كلمات كلیدی خطرناك دیگری كه توسط این شركت اعلام شدهاند كلماتی هستند كه شامل نام نرمافزارهای اشتراك فایل مانند BearShare ,Kazaa, LimeWire میباشند.
با اینحال McAfee به كاربران توصیه میكند كه از موتورهای جستجوی معروف استفاده كنند زیرا در كل تنها 4 درصد از نتایج جستجو خطرناك میباشند (سال گذشته این رقم 5 درصد بوده كه با كوشش موتورهای جستجو به 4 درصد كاهش داشته است).
جالب اینكه ریسك استفاده از موتورهای جستجو میتواند بیشتر هم شود آن هم زمانی است كه شما بر روی تبلیغات كنار صفحات كلیك میكنید. به گفته McAfee، هفت درصد از این كلیكها شما را به سایتهای آلوده راهنمایی میكند (این رقم نیز سال گذشته 8.5 درصد بوده كه با تدابیر لازم به 7 درصد كاهش داشته است).
لازم به ذكر است در این تحقیق سایتهایی خطرناك تلقی شدهاند كه دارای ویروس، نرمافزارهای جاسوسی، ارسال جانك ایمیل و تبلیغات پوپآپ بیش از اندازه باشند. نتایج این تحقیق از جستجوی 2300 كلمه كلیدی و پر مصرف در پنج موتور جستجوی معروف یعنی گوگل، یاهو، MSN مایكروسافت، AOL و ASK به دست آمده است.
برخی از این موتورهای جستجو نیز با همكاری با شركتهای ضد ویروس نظیر McAfee ، در كنار نتایج جستجو به كاربران درجه خطرناك بودن سایت را در داخل یك پنجره كوچك (مانند پرچم) نمایش میدهند و كاربران میتوانند با مشاهده آن، از ورود به سایتهای خطرناك، خودداری كنند.
به نرمافزار امنیتی خود اطمینان دارید؟
به دلیل حجم عظیم تقاضا از سـوی بـازار، صنعت نرمافزارهای امنیتـی مانند یك قارچ در حال رشد است. این خبر با توجه به تعداد زیاد هكرها و برنامههای نفوذگری بـاعث خـوشحالی است. هیـچ برنامه ضد ویروسی نمیتواند به تنهایی و به طور كامل از سیستم حفاظت كند. یك راه حل چند لایه كه شـامل مجموعه متعددی از برنـامهها باشد، میتـواند بهترین گزینه در بـرابـر تهدیدهـای جدیـد باشد زیـرا در این روش هر بـرنامه نقاط ضعف برنامه های دیگر را می پوشاند.
شما به یك ابزار «تحلیل پایه كامپیوتر» نیاز دارید تا برنامههای جاسوسی و برنامههایی را كه به صـورت خودكـار به همـراه ویندوز شروع به كار میكنند را بررسـی و شناسایـی كنید. یكی از شناخته شدهترین ابزارهـا در این رابطه، برنامه كمكی HIJACKTHIS است كه بیشتر برنامه هـای آغازین را شناسایـی و پـردازش می كنـد اما در مورد اینكه كدام یك تهدیدی واقعـی به شمار میآید، معیاری ایجاد نمیكند.
برنامه رایگان X-RAYPC ارائه شده توسط شركت XBLOCK SYSTEMS را نیز در نظر داشته باشید. با كلیك روی دكمه ONLINE ANALYSIS، این برنامه شـروع به شناسایی نـرمافزارهـای بیضـرر میكند و بدین ترتیب در جست وجوهای خود كمتر با برنامههای مضر مواجه میشویم. نرمافـزار ضـد ویروس یـك نیـاز است اما كاملا بـاعث آسودگی خیـال نمـیشود. اگر كامپیوتـری توسط یك ویروس آلوده شود و شركت سازنده ضد ویروس نصب شده بر روی كامپیوتر هنوز راه حلی بـرای آن ویـروس ارائه نكـرده باشد؛ آنگاه با بررسـی سیستم خود توسط آن ضد ویروس هیچ خطری دریافت نمی كنید و با وجود آلوده بودن سیستم، برنامه ضد ویروس، سیستم شما را پاك تشخیص می دهد. اگر برنامه مشكوكی بر روی سیستم شما قرار دارد ولی برنامه ضد ویروس هیچ خطری را اعلام نمی كند. آنگاه می توانید با استفاده از دو راه حلی كه در دو سایت زیر وجود دارد، مشكل خود را حل كنید:
به سایتVIRUSTOTAL.COM مراجعه كنید و فایل مشكوك را به آن سـایت انتقال دهید تا توسط 23 برنامه ضد ویروس موجود در این سـایت، فایل را به طور كامـل اسكن كنید یـا آنكه بـرای نتیجه گیری سریعتر به سایت JOTTI واقع در آدرس زیر مراجعه كنید. این سایت با 15 برنـامه ضد ویـروس فایل را بررسی میكند:
برنامههای ضد ویروس و ضد جاسوسی هر دو سعی می كنند تا از طریق شناسایی انواع مشخصی از برنامهها و ویژگیهای انتقـال دهنده پیـام، تهدیدهای جدیـد را رفـع كنند. امـا چگونـه میتوان از موثـر بـودن روش محـافظتی مـورد استفاده تـوسط ایـن برنامهها مطمئن شد؟
در این راستا نرم افزار رایگان SPYCAR را به شما معرفی می كنیم كه مجموعه ای از ابزارها است كه عكس العمل برنامه ضد ویروس یا ضد جاسوسـی شما را در برابر اعمـال یك برنـامه جاسوسی بررسی میكند. نفوذهایی كه این برنامه در سیستم شما انجام میدهد، عبارتند از: تغییر فایل WINDOWS HOSTS (كه میتواند مسیر پیش فرض مرورگر را به سایتهای موردنظر برنامه جاسوسی تغییر دهد)، اضافه كردن موارد ناخواسته به لیست FAVORITES در بـرنـامه INTERNET EXPLORER یـا ایجـاد تغییرات در رجیستری ویندوز. یك برنامه امنیتی با ارزش باید بتواند این دستكاریهـا را ردیابی كند و در مورد آنها اخطار دهد و حتـی جلوی این كارها را بگیرد.
اجرای برنامه SPYCAR به سیستم شما صدمه نمیزند اما اگر این برنامه را اجرا كنید و برنامه ضد ویروس یا ضد جاسوسی نصب شده در سیستم شما هیچ اعلان خطری نكند؛ آنگاه زمان آن فرارسیده است كه یك برنامه امنیتی جدید تهیه كنید.
مطالبی را به نقل از سایت http://www.kamyabonline.com ببینید :
قصد داریم 14 ترفند فوق العاده برای افزایش امنیت سیستم شما معرفی کنیم. ترفندهایی که با اطمینان میتوان گفت امنیت سیستم شما را تا 80 درصد تضمین میکند و با عمل کردن به آنها میتوانید به طور تمام و کمال کامپیوتر خود را ضد ضربه کنید
به دلیل این که هر روز ترفندهای جدیدی برای ویروسی کردن و هک کردن کاربران کامپیوترهای شخصی به وجود می آید این ترفند نگارنده شده است که باعث افزایش 80 درصدی امنیت کامپیوتر شما می شود.هر روزه شما هدف حمله ها و خطرهای بیشماری در اینترنت قرار می گیرید که از نظر تعداد می توان 95 تا از هر صد حمله را متوقف کرد ولی همین 5 خطر باعث کاهش امنیت به مقدار 20% می شوند چون این خطرها توسط افراد عادی و تازه کار نیست و عاملان آنها در کار خود بسیار تبهر دارند ، در اکثر موارد می توانند از تمام مرزهای امنیتی بگذرند و به طور کامل به مقصود خود برسند .
1- استفاده از یک نرم اف
|
|
| 
82| 
0
