----------------------------------------------------------------------------------------------------------------------------------
يك هفته با ويروسهاي كامپيوتري
هفته گذشته شاهد فعاليت بيسابقه ويروسهاي كامپيوتري در جهان هستيم. اين هفته «مبارزه بزرگي» در حال انجام است. در يك طرف ميدان، ويروسنويسان حرفه ايي را با يك سياهي لشكر عظيم از «جوجه ويروسنويسان» كه خود را به «ابزارهاي ويروسنويسي خودكار» مسلح كردهاند، ميبينيم و در طرف ديگر ميدان، شركتهاي ضد ويروس كه با ابزارهاي نهچندان نو و خودكار، به شكل نامنظم صفآرايي كرده و سعي در نجات دنياي مجازي دارند.
ابرازهاي ويروسنويسي خودكار كه امروزه شاهد استفاده روزافزون آنها هستيم، درست مانند يك كارخانه «پفكنمكي» دائما در حال توليد «ويروسهاي پفكي» هستند كه شايد در شكل ظاهر، يكي حلقهاي، يكي ستارهشكل و يا يكي توپي باشند. ولي همه آنها مزه «پفكنمكي» ميدهند. از ابتداي هفته جاري (9 اسفند 82) تاكنون، شاهد ظهور هشتگونه جديد از ويروس شناخته شده Bagle بودهايم (گونه C تا گونه J) و همچنين سهگونه جديد از ويروس NetSky ظاهر شده است (گونه C,D و E) كه در بين آنها، گونه NeSky.D همچنان در حال انتشار در اينترنت ميباشد.
در بين گونههاي مختلف ويروس Bagle، گونههاي Bagle.C، Bagle.H و Bagle.J شايعترين آنها بوده است. دو گونه آخر، ظرف چند ساعت پس از ظهور و مشاهده اولين مورد آلودگي، به سرعت انتشار يافتهاند.
پيامدهاي آلوده به گونه C اين ويروسها داراي متن (Massage) خالي هستند و اين نكته ميتواند در شناسايي ظاهري اين پيامهاي آلوده كمك كند. ولي در گونههاي بعدي Bagle، متن پيامهاي آلوده پيچيده و پيچيدهتر ميشود، به نحوي كه در گونه Bagle.H، متن پيام فقط داراي عبارت نامفهوم و كوتاه است اما در آخرين گونه ويروس Bagle (تا اين لحظه)، متن پيام از چندين قسمت مختلف تشكل شده و با قرار دادن نام فرستنده و گيرنده در متن، پيام داراي ظاهري كاملا واقعي است.
اغلب پيامهاي آلوده ارسالي توسط ويروس Bagle داراي فايل پيوست ZIP هستند و درون اين فايل فشرده، فايل EXE آلوده وجود دارد. در موارد محدودي، فايل داراي پسوند PIF و يا EXE است. در گونههاي اخير ويروس Bagle، شاهد حركات موذيانه و زيركانه بودهايم، در اين گونهها، فايل ZIP پيوست، داراي رمز (Password) ميباشد و رمز نيز در داخل پيام قيد شده است. بايد توجه داشت كه بهطور عادي در هيچ مرحلهاي، امكان كنترل (از لحاظ ويروسي بودن) چنين فايلهايي رمزگذاري شده و آلودهاي وجود ندارد و تنها زماني كه كاربر نهايي اقدام به باز كردن فايل ZIP با استفاده از رمز ميكند، امكان شناسايي فايل آلوده EXE درون آن، وجود خواهد داشت. بدين دلايل است كه امروزه داشتن سيستمهاي حفاظتي چند لايه (Multi-Layer Security) ميتواند مانع از موفقيت اينگونه روشهاي زيركانه شود. سيستمهاي حفاظتي بايد از دروازه ورودي اينترنت (Internet Gateway) آغاز گردد. بر روي سرورهاي شبكه و تا نهايت، ايستگاههاي كاري، ادامه يابد.
نكته زيركانه ديگري كه در ويروس Bagle مشاهده ميشود و تا حد زيادي به موفقيت آن در انتشار گسترده و عمومي كمك كرده است، كنترل نشانيهاي الكترونيكي است كه براي آنها پيام آلوده ارسال ميكند. نشانيهايي كه مربوط به Yahoo، MSN و Microsoft و اينگونه دامنه (Domain)هاي مشهور ميشوند، ناديده گرفته شده و براي آنها پيام آلوده ارسال نميشود. بدين ترتيب ويروس سعي ميكند تا از ديد سيستمهايي كه امكانات شناسايي قوي و سريع ويروس را دارند، مخفي و پنهان بماند.
تمام گونههاي ويروس Bagle، با كنترل برنامههاي امنيتي (مانند ضد ويروس) كه در حافظه كامپيوتر فعال هستند، آنها را شناسايي كرده و فعاليت آنها را متوقف ميكنند. همچنين، تمام گونههاي ويروس Bagle داراي تاريخ انقضا بوده و در صورتي كه تاريخ كامپيوتر آلوده، تاريخ انقضا و يا بعد از آن باشد، ويروس بهطور خودكار متوقف ميشود.
و اما ويروس NetSky كه به نظر ميرسد براي مبارزه و پاكسازي ويروس MyDoom نوشته شده است، در آغاز هفته، پا به پاي ويروس Bagle در حال انتشار بود. ولي اكنون «بازي ويروسنويسي هفته» را كاملا به ويروس Bagle باخته است.
گونه NetSky.D كه از روز 11 اسفند شروع به انتشار كرد، توجه شركتهاي ضد ويروس را به خود جلب نموده است. سرعت انتشار اين ويروس در نقاط مختلف جهان متفاوت بوده و لذا در ابتداي فعاليت ويروس، هر يك از اين شركتها، درجه خطر آن را متفاوت اعلام كردهاند. شركتهاي Tred-Micro و Sophos آن را «بسيار» خطرناك، شركت McAfee آن را داراي خطر «متوسط» و شركت Symantec آن را «كم»خطر دانستند. ولي اكنون همه شركتهاي ضد ويروس متفقا درجه خطر آن را (در مقياسهاي اندازهگيريهاي مختلف خود) متوسط به بالا اعلام نمودهاند.
پيامهاي آلوده به اين ويروس داراي مشخصات متغير و مختلفي هستند كه شناسايي ظاهري پيامهاي آلوده به اين ويروس را غيرممكن ميكند. در گونههاي جديد ويروس NetSky تحت شرايط زماني خاص، صدا و ملوديهايي از كامپيوتر آلوده پخش ميشود كه به نظر ميرسد، جهت جلب توجه كاربر باشد.
تمام اين ويروسها از طريق پيامهاي الكترونيكي آلوده انتشار مييابند و تنها راه آلودگي به اين ويروسها، اجراي دستي فايل پيوست (attachment) پيامهاي آلوده است. اين «ويروسهاي پفكي» از هيچ نقطهضعف سيستمعامل Windows استفاده نميكنند و قادر به ايجاد آلودگي، بهطور خودكار، نيستند. شايد بتوان گفت كه نويسندگان اين ويروسها، بيشتر به نقاط ضعف انساني تكيه دارند و لذا فقط با كمي دقت و هوشياري در هنگام استفاده از پست الكترونيكي، ميتوان مانع از آلودگي به اين ويروسها شد.
در تمام پيامهاي آلوده به اين ويروسها، نام فرستنده پيام جعلي است و يك نشاني شانسي توسط ويروس بهعنوان فرستنده در پيام قرار داده ميشود، لذا كاربران بايد توجه داشته باشند:
- اگر كسي به شما اطلاع ميدهد كه پيامهاي آلوده به ويروس از طرف شما دريافت كرده است، دليلي بر آلوده بودن كامپيوتر شما نيست.
- اگر شما از كسي پيام آلوده دريافت كردهايد، دليلي بر ارسال پيام از طرف آن شخص نبوده و دليلي نيز بر آلوده بودن كامپيوتر آن شخص نيست.
همچنين به دليل ظهور روزانه گونههاي جديد از اين ويروسها، به همه كاربران توصيه ميشود تا هر روز از بروز (u pdate) بودن نرمافزارهاي ضد ويروس خود اطمينان حاصل نمايند.
donya-e-eqtesad