Security News : اخبار و هشدارهاي امنيتي

ماجراي ويروس‌هائي كه رنگ عوض مي‌كنند


خبرگزاري فارس: ويروس هاي نسل جديد از دهها تكنيك پيچيده براي مخفي كردن خود استفاده مي كنند كه كدنويسي با دگرديسي هاي متعدد از جمله جديدترين اين شيوه ها براي گمراه كردن نرم افزارهاي ضدويروس است.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به گزارش خبرنگار فناوري اطلاعات فارس، يكي از اين روش ها، كدنويسي داراي دگرديسي هاي متعدد يا Polymorphic است. اين روش تهديد جدي را متوجه اسكنرهاي ويروس كرده و باعث مي‌شود شناسايي اين بدافزارهاي مخرب به شدت دشوار شود.
يك ويروس Polymorphic دقيقا مانند ويروس هاي عادي رمزگذاري شده فايل ها را با يك كپي رمزگذاري شده از خود آلوده مي كند. رمزگشايي اين فايل توسط يك بخش رمزگشا كه ديروز تشريح شد انجام مي شود. اما در مورد ويروس هاي Polymorphic فرايند گمراه كردن ضدويروس ها كمي پيچيده تر است و بخش رمزگشا در هر بار آلوده كردن دچار تحول يا دگرديسي مي شود.
بنابراين يك ويروس Polymorphic كه به دقت نگارش شده باشد، در حين آلوده سازي فايل هاي مختلف حاوي هيچ بخشي كه در نسخه هاي مختلف آن يكسان و ثابت باقي بماند، نخواهد بود. بنابراين شناسايي اين ويروس ها با استفاده از امضاهاي شناسايي شده توسط ضدويروس ها ممكن نخواهد بود. آنها براي اين كار بايد با استفاده از يك نمونه ساز يا emulator ويروس را رمزگشايي كرده يا با تحليل الگوهاي آماري يك ويروس رمزگذاري شده آن را شناسايي كنند.
ويروس براي اجراي كدهاي polymorphic بايد مجهز به يك موتور polymorphic هم باشد. به اين موتور، موتور تغيير دهنده يا mutating هم اطلاق مي شود. اين موتور در بخش رمزگذاري شده ويروس نصب مي شود.
برخي ويروس ها از كد polymorphic به گونه اي استفاده مي كنند كه باعث افزايش شديد نرخ تغيير و دگرديسي ويروس مي شود. به عنوان مثال مي توان يك ويروس را به گونه اي برنامه ريزي كرد تا در گذر زمان در ساعات مشخصي دچار تغيير و دگرديسي شود يا مي توان كاري كرد كه تنها بعد از هر بار آلوده كردن يك فايل دچار تغيير كامل ماهيتي شود. در اين صورت كپي جديد يك ويروس با كپي قبلي آن تفاوت ماهيتي خواهد داشت.
استفاده از اين روش گرفتاري هاي جدي براي متخصصان امنيتي و كارشناسان رايانه به وجود آورده است و آنها را وادار به بررسي دقيق و موشكافانه نمونه هاي مختلف ويروس هاي گوناگون كرده است. استفاده از روش ياد شده همچنين باعث نگراني عمومي در مورد كارآيي اسكنرهاي ضدويروس شده و سازندگان آنها را به متحول سازي و اعمال اصلاحات ساختاري در توليداتشان وادار نموده است.
برخي ويروس هاي مختلف براي جلوگيري از شناسايي توسط نمونه ساز يا emulator پس از هر بار كپي كردن خود و آلوده كردن يك فايل، به طور كامل دچار تغيير ماهيت مي شوند و بخش هاي مختلف آنها متحول مي شود.
به ويروس هايي كه در هر بار فعاليت دچار تغيير ماهيت كامل مي شوند ويروس هاي دگرگون شده يا metamorphic مي گويند. ويروس نويسان براي طراحي اين ويروس ها به موتور metamorphic نياز دارند. اين ويروس ها معمولا بسيار بزرگ و پيچيده هستند. يكي از نمونه هاي مشهور و جديد اين ويروس ها W32/Simile نام دارد كه حاوي بيش از 14 هزار خط كد زبان برنامه نويسي اسمبلي است و 90 درصد اين كدها مربوط به كد metamorphic آن است.

اسامي بدترين ويروس‌ها و ورم‌هاي تاريخ اينترنت منتشر شد.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، شركت امنيتي سيمانتك به مناسبت چهلمين سال‌روز تولد اينترنت فهرستي از بدترين تهديدات وب در طول تاريخ اينترنت را منتشر كرد.

- ويروس I Love YOU:
چه‌كسي ايميلي را كه عنوان آن I Love YOU است؛ باز نخواهد كرد؟ تا ماه مي سال 2000 آلودگي 50 ميليون رايانه به اين ورم گزارش شد. پنتاگون، سازمان جاسوسي سيا و پارلمان انگليس به منظور جلوگيري از آلوده شدن به اين تهديد، سيستم‌هاي ايميل خود را بستند.
اين ورم كه به نام‌هاي ديگري همچون Loveletter و TheLoveBug معروف بود و براي اولين بار در سوم ماه مي ‌سال ‌2000 در هنگ‌كنگ كشف شد، از فهرست تماس‌هاي برنامه اوت لوك مايكروسافت براي انتشار استفاده مي‌كرد و با جست‌وجوي اطلاعات شخصي و كلمات عبور موجود در رايانه‌ آلوده، آن‌ها را در اختيار هكرها قرار مي‌داد.
پس از تحقيقات بسيار در نهايت مشخص شد كه طراح اصلي اين ويروس در فيليپين ساكن است اما به اين علت كه در اين كشور هيچ قانوني براي مبارزه با ويروس‌نويسي وجود نداشت، كوچك‌ترين مجازاتي براي طراح I LOVE YOU در نظر گرفته نشد.

- كانفيكر:
ورم كانفيكر زيرساخت جهاني و مطمئني براي جرايم سايبر ايجاد كرد و به سازندگانش امكان داد از راه دور برروي رايانه‌هاي آلوده نرم‌افزار نصب كنند. اين ورم احتمالا براي ايجاد بوت نت - شبكه رايانه‌هاي آلوده - به‌كار گرفته شد كه براي ارسال هرزنامه، سرقت اطلاعات شخصي و هدايت كاربران به سايت‌هاي كلاهبرداري به خلافكاران اينترنتي كرايه داده مي‌شد.
كانفيكر كه به گفته محققان سيمانتك، در روز 50 هزار رايانه را آلوده مي‌كرد، برنامه خودتكثير شونده‌اي بود كه از شبكه‌ها و رايانه‌هاي داراي آسيب‌پذيري‌هاي ترميم نشده و همچنين با پنهان شدن در حافظه‌هاي USB براي انتشار سوءاستفاده مي‌كرد.
شركت نرم‌افزاري مايكروسافت يك جايزه 250 هزار دلاري براي اطلاعاتي كه به دستگيري سازندگان آن كمك كند، تعيين كرد.

-مليسا:
ويروس مليسا توسط ديويد ال اسميت نوشته شده و با آغاز فعاليت در 26 ماه مارس 1999 توجه تمامي رسانه‌هاي خبري جهان را به خود معطوف ساخت. آمارهاي موجود نشان مي‌دهد كه اين ويروس حدود ‌15 تا ‌20 درصد از تمام رايانه‌هاي تجاري جهان را آلوده ساخت.
انتشار مليسا به قدري سريع بود كه شركت‌هاي مايكروسافت، اينتل و شماري از ديگر شركت‌ها را مجبور ساخت به منظور اجتناب از خسارات ناشي از انتشار ويروس جديد، تمامي ‌سيستم‌هاي پست الكترونيك خود را غيرفعال كنند. اين ويروس بين سال 1999 تا 2005 تهديد مورد توجهي بود كه اينترنت را فراگرفت.

-اسلمر:
اين ورم كه انتشارش بسيار سريع بود، موفق شد به طور موقت اينترنت را به زانو درآورد. اين تهديد به قدري گسترده بود كه برخي از كشورها به اشتباه آن را حمله سازمان يافته‌اي عليه خود تصور كردند. اسلمر كه ‌در ‌25 ماه ژانويه‌ ‌2003 شروع به فعاليت كرد، تنها در طول ‌10 دقيقه ‌75 هزار رايانه را آلوده كرد تا در آن زمان ركورد بي‌نظيري را از خود به جاي بگذارد.

- Nimda:
ورمي كه براي نخستين بار در سال 2001 به طور انبوه ايميل شده و از روش‌هاي متعدد براي ارسال استفاده مي‌كرد، در ظرف 22 دقيقه شايع‌ترين ورم در اينترنت شد؛ نام اين ورم تلفظ برعكس كلمه admin بود.

- Code Red:
يك ورم رايانه‌يي بود كه در ‌31 ماه ژوييه ‌2001 با استفاده از آسيب‌پذيري در IIS مايكروسافت، سرورهاي شبكه را مورد حمله قرار داد و اين شركت را ناچار ساخت براي رفع اين مشكل بسته‌ امنيتي عرضه كند. Code Red كه به Baby نيز معروف بود، براي وارد كردن حداكثر خسارت طراحي شده بود و به محض آلوده كردن يك وب‌سايت كه توسط سرور آلوده شده كنترل مي‌شد، پيامي با مضمون «سلام، به آدرس اينترنتي

کد:

---

http://www . worm . com

---

خوش آمديد؛ هك شده توسط چيني‌ها» را نمايش مي‌داد. در اوج فعاليت، شمار وب‌سايت‌هاي ميزبان اين ورم به 359 هزار رسيد.

- بلستر:
اين ورم كه در تابستان 2003 شروع به فعاليت كرد حاوي دستوراتي بود كه حمله انكار سرويس عليه windowsupdate.com به‌راه مي‌انداخت و شامل پيامي با مضمون «بيل گيتس چرا اين كار را امكان‌پذير كردي؟ از پول درآوردن دست بردار و نرم‌افزارت را ترميم كن» بود.

-ساسر:
اين ورم در سال 2004 با بهره‌برداري از آسيب‌پذيري در پورت شبكه منتشر ‌شد يعني نيازي به دخالت كاربر نداشت. ساسر لطمات زيادي به بار آورد كه مي‌توان به لغو پروازهاي شركت هواپيمايي دلتاايرلاينز در پي آلوده شدن رايانه‌هاي آن به اين ورم و اختلال در سيستم‌هاي بسياري از شركت‌ها اشاره كرد.
ساسر توسط يك جوان ‌17 ساله‌ آلماني كه دانش‌آموز دوره‌ متوسطه بود نوشته و در هجدهمين سالروز تولدش منتشر شد. نويسنده اين ورم در دادگاه گناهكار شناخته شد ولي به به دليل نرسيدن به سن قانوني محكوميتش به تعويق افتاد.

- استورم:
اين ورم كه در سال 2007 شروع به فعاليت كرد مانند بلستر و ورم‌هاي ديگر حمله انكار سرويسي را عليه سايت مايكروسافت به‌راه انداخت. در طول آزمايش سيمانتك، يك رايانه آلوده به اين ورم تقريبا 1800 ايميل در طول پنج دقيقه ارسال كرد. برآورد شمار رايانه‌هايي كه توسط ورم استورم آلوده شدند طبق گزارش منابع امنيتي مختلف از يك تا 10 ميليون متغير است.

-موريس:
ورم موريس يا ورم اينترنت كه بدون آن تهديدات فعلي وجود نداشتند، نخستين ورم اينترنتي به شمار مي‌رود كه بدون نيت بد ايجاد و در سال 1988 منتشر شد. موريس با بهره‌برداري از آسيب‌پذيري‌هاي متعدد براي انتشار در سيستم‌هاي يونيکس طراحي شده بود اما حاوي خطايي بود كه موجب شد بيش از اندازه منتشر شده و نزديک به 10 درصد از سيستم‌هاي متصل به اينترنت را که بيش از 60 هزار رايانه برآورد شده بودند، از کار انداخت.

در زماني که اين ورم منتشر شد اينترنت هيچ ترافيک يا وب‌سايت تجاري نداشت و خسارت به محققان در سازمان‌هاي دولتي، دانشگاه‌ها و شرکت‌هايي محدود بود که براي تبادل ايميل و فايل از شبکه استفاده مي‌کردند. با اين همه حمله‌ مذکور توسط نشريه‌هاي کثيرالانتشاري مانند نيويورک تايمز پوشش داده شد و زنگ خطر درباره ايرادهاي نرم‌افزاري را براي جامعه مهندسي اينترنتي به صدا درآورده و امنيت شبکه را به‌عنوان يک حوزه‌ معتبر تحقيق و توسعه مطرح کرد.

تكنولوژي انحصاري DNA Scan در آنتي‌ويروس كوييك هيل

ايتنا - بنيانگذاران هوش مصنوعي تعاريف مختلفي از اين علم ارائه داده‌اند. طبق يكي از اين تعاريف هوش مصنوعی ، مطالعه روش‌هايی است برای تبديل كامپيوتر به ماشينی كه بتواند اعمال انجام شده توسط انسان را انجام دهد و در واقع ماشيني كه در مواجه با هر مشكلي بتواند راه حل از پيش طراحي نشده‌اي را ارائه دهد.


امروزه اين شاخه از علم به سرعت در حال توسعه است تا حدي كه دامنه وسعت آن به شركت‌هاي طراح آنتي‌ويروس نيز رسيده است.
اين شركت‌ها با كمك علم هوش مصنوعي روش‌هاي نويني را براي مبارزه يا به عبارتي پيشگيري از ورود ويروس‌ها و بدافزارها ارائه داده‌اند. اين موضوع باعث پيشرفت چشمگيري در شاخه توليد آنتي‌ويروس‌ها شده است.

يكي از شركت‌هاي معتبر جهاني كه اولين قدم را در زمينه بسته‌هاي امنيتي تقويت شده با هوش مصنوعي برداشته است، شركت تكنولوژي‌هاي كوييك هيل (Quick Heal Technologies (P) Ltd) است كه بسته‌هاي امنيتي خود را به فناوري DNA Scan مجهز نموده است.


اما Quick Heal DNA Scan چطور اين كار را انجام مي‌دهد؟
درست مثل تست DNA انساني که با دقت کامل هویت یک شخص را مشخص می کند و تاریخی از ریشه‌های ژن‌های اسکن شده (DNA) ارائه می دهد، بطور مشابه ، شرکت كوييك هيل تکنولوژی DNA Scan را به صورت انحصاری در دنیای آنتی‌ویروس‌ها ارائه کرده است " One n Only "
این تکنولوژی در آینده آنتی ویروسها یک گام جلوتر از ذهنهای بدخواه و افراد خرابکار می‌باشد. DNA Scan بر اساس تکنیک بازرسی کدهای عمیق ، با تجزیه کدها و رمزها و طبقه‌بندی اطلاعات ، ژن‌هایی از Malware ها، مخرب‌ها و مقصودهای مخرب را ردیابی می کند. بر اساس تعیین هویت مثبت ، این فایل‌های مشکوک و مخرب را که به آن ها گمان بد می‌رود قرنطینه می کند و همچنین تغییراتی را که برروی رجیستری سیستم انجام شده پاک می کند. اين قابليت ، قطعات نرم افزاری را حتی قبل از اینکه به عنوان ویروس شناخته شوند شناسایی و ردیابی می‌کند. این ویژگی به مراقبت از Bot ها و Backdoor ها و مخربها که روزانه قبل از بروزرسانی سیستم (و یا قبل از کشف اعضای ویروس) ظاهر می‌شوند کمک می‌کند.

اين روش می تواند عیناً Malware های بسته‌بندی شده ناشناس را بدون گرفتن قسمت زیادی از منابع سیستم کشف کند.
این روش كوييك هيل به ژنهای برنامه برای کشف این مطلب که آیا آن یک قصد بد دارد یا نه نگاه می کند. طراحان كوييك هيل تقويت شده با DNA Scan به اين قابليت مي‌گويند : "هميشه يك قدم جلو باش " «جلوگیری پیش از Update»

اشاره به يك نمونه عملي از اين ادعاي طراحان Quick Heal خالي از لطف نيست:
يك مشترى Quick Heal در فرانسه بيان كرد كه او يك برنامه اصيل (Genuine ) داشت‌ اما DNA Scan به عنوان ويروس آن را تشخيص داد. توسعه دهندگان Quick Heal برنامه كاربردى را تحليل كردند و آن را حقيقى ديدند اما اين برنامه با استفاده از مراحل استاندارد EICAR كد گذارى نشده ‌بود . بعداً مشخص شد كه اين نرم‌افزار به وسيله‌ى توسعه ‌دهنده‌‌اى نوشته شده است كه سابقه‌‌اى در بخش ويروس داشت. DNA Scan كه به طور انحصاري در اختيار Quick Heal قرار دارد از هوش مصنوعي استفاده مي‌نمايد و مانند يك كارآگاه خصوصي از كامپيوتر شما در برابرWorm هاي جديد، Trojan هاي بدون آپديت امضاء (Signature) ، MalWare ها و ديگر بد افزارها محافظت مي‌كند.

اين‌بار «ويروس‌ها» در فارس (17)
تلفن‌هاي همراه؛ قربانيان كوچك و بي‌دفاع در برابر ويروس‌ها
خبرگزاري فارس: گر چه بخش عمده تاريخچه فعاليت ويروس هاي تلفن همراه مربوط به اقدامات تخريبي آنها بر روي رايانه هاي شخصي و شبكه هاي رايانه اي است، اما اين مساله به معناي محدود شدن ويروس ها به رايانه ها نيست.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به گزارش خبرنگار فناوري اطلاعات فارس، امروزه ويروس ها، حوزه هاي تازه‌تري را براي فعاليت تجربه مي كنند و دامنه فعاليت هاي تخريبي آنها به تلفن هاي همراه، گوشي هاي هوشمند، PDA ها نيز كشيده شده است.
با توجه به آنكه گوشي هاي بي سيم و PDA ها از تنوع و پيچيدگي بسياري برخوردارند، آلوده كردن آنها به ويروس هم دشواري هاي خاص خود را دارد، اما تامين امنيت آنها در برابر حملات الكترونيك نيز به همين ميزان دشوار بوده و نيازمند تمهيدات خاص است.
از سال 2004 بدين سو كه شاهد آغاز حملات ويروس ها به تلفن همراه هستيم، تنوع و شدت اين حملات روز به روز در حال افزايش است و هنوز اطلاعات و آمار دقيقي در مورد وسعت و مقياس اين حملات در دست نيست.
شكي نيست كه ويروس هاي تلفن همراه با سرعت بيشتري گسترش مي يابند، علت آن است كه كاربران گوشي ها دقت كمتري به مسائل امنيتي دارند و خطر ويروسي شدن گوشي هاي خود را جدي نمي گيرند. اين در حالي است كه با توجه به هشدارهاي مكرر در مورد ويروس هاي رايانه اي، آگاهي عمومي در مورد اين نوع از خطرات افزايش چشمگيري يافته است.
جالب آنكه حتي افرادي كه از خطرات ويروس هاي تلفن همراه آگاهي دارند در عمل به گونه اي رفتار مي كنند كه انگار قرار نيست مشكلي براي آنها پيش بيايد.
با اين حال ويروس هاي تلفن همراه هم يك خطر جدي هستند و با توجه به گسترش تعداد كاربران سرويس هاي اينترنت همراه و افزايش تعداد شهرونداني كه از گوشي هاي خود براي انجام امور مهم روزانه و شغلي استفاده مي كنند، ويروس نويسان نيز علاقه بيشتري به آلوده كردن گوشي هاي كاربران از خود نشان مي دهند.
نخستين ويروسي كه براي كاربران تلفن همراه مشكل ايجاد كرد Cabir نام داشت. در تاريخ 14 ژوئن 2004 يك اسپانيايي مشهور به جمع آوري و نگهداري ويروس هاي مختلف جهان كه با نام مستعار VirusBuster شناخته شده بود و ارتباطات نزديكي با برخي از طراحان ويروس هاي خطرناك و مخرب داشت، از طراحي ويروسي به نام caribe.sis خبر داد.
وي فايل حاوي اين ويروس را براي تعدادي از شركت هاي مشهور امنيتي و طراحان نرم افزارهي ضدويروس ارسال كرد و باعث حيرت آنان شد. با توجه به آنكه تا آن زمان هيچ سابقه اي از طراحي ويروس هاي تلفن همراه وجود نداشت، شركت هاي امنيتي بررسي ماهيت اين ويروس جديد را به سرعت آغاز كردند.
بررسي هاي اوليه نشان مي داد كه اين ويروس يك برنامه كاربردي است كه براي سيستم عامل سيمبين نوشته شده است. اين سيستم عامل در آن زمان پرطرفدارترين سيستم عامل براي تلفن هاي همراه بود و بايد توجه داشت كه در سال 2004 هنوز خبري از گوشي آيفون و سيستم عامل هايي مانند آندرويد نبود.
فايل هاي گنجانده شده در caribe.sis ، برنامه هايي براي ARM بودند. ARM پردازنده هايي بودند كه بر روي وسايل مختلفي همچون تلفن هاي همراه به كار گرفته مي شدند. با توجه به آشنايي اندك اكثر شركت هاي ضدويروس با اين نوع از پردازنده ها مقابله با تهديد جديد در گام اول كار دشواري به نظر مي رسيد. اما كارشناسان امنيتي تلاش كردند اين مشكل را به سرعت حل كنند و خودشان را با شرايط جديد تطبيق دهند.
در اينجا بود كه ماهيت واقعي اين فايل آشكار شد. يك ويروس تلفن همراه كه از طريق بلوتوث منتشر مي شد. اين ويروس به خوبي طراحي شده بود و قادر بود تمامي گوشي هاي مجهز به سيستم عامل سيمبين و حتي دستگاه هايي مانند N-Gage نوكيا كه در اصل براي بازي طراحي شده بودند را آلوده كند.
اما گام بعدي تلاش براي مقابله با اقدامات مخرب اين ويروس بود كه توسط فردي با نام مستعار Vallez نوشته شده بود.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] لينك جالب

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

جنايتکاران اينترنتي با واهمه‌اي که کاربران از پرداخت ماليات دارند، آن‌ها را مجبور مي‌کنند تا به صورت ناخواسته نرم‌افزارهاي مربوط به برنامه‌هاي مخرب و ويروسي را روي رايانه خود نصب کنند.

حملات مستمر هرزنامه‌ها با اين موضوع هم‌اکنون وارد سومين هفته متوالي شده و به گفته "گري وارنر"(Gary Warner) مدير مرکز تحقيقات رايانه‌اي دانشگاه آلاباما در بيرمنگام، هنوز از حجم اين حملات کاسته نشده است.

اين سري از حملات حدود 10 درصد از کل هرزنامه‌هاي شناخته شده توسط کارشناسان امنيتي دانشگاه آلاباما را شامل مي‌شوند. وارنر در اين خصوص توضيح داد: «اين جريان گسترده‌ترين شبکه کنوني هرزنامه‌هاي ارسال شده در جهان محسوب مي‌شود».

شرکت امنيتي Cloudmark حدود دو ميليون رايانه را تحت پوشش خود قرار داده است و به گفته "جمي توماسلو"(Jamie Tomasello) مدير عمليات‌هاي امنيتي اين شرکت، از 9 سپتامبر که نخستين نمونه از اين هرزنامه‌ها ارسال شد، رايانه‌هاي تحت پوشش Cloudmark تاکنون بيش از 11 ميليون عدد از اين هرزنامه‌ها را دريافت کرده‌اند.

اين هرزنامه‌ها معمولا با عنوان "توجه به گزارش مربوط به درآمد" به دست کاربران مي‌رسند و افراد قرباني را به بارگذاري و نصب تروجاني که در يک لينک اينترنتي ضميمه شده است، تشويق مي‌کنند. در اين پست‌الکترونيکي از کاربران خواسته شده است تا با کليک روي لينک مذکور، وضعيت مالياتي خود را مشاهده کنند و در حقيقت، زماني که کاربر روي اين لينک کليک مي‌کند، برنامه اينترنتي مخرب به صورت خودکار روي رايانه وي نصب مي‌شود.

کارشناسان امنيتي از کاربران خواسته‌اند تا پست‌هاي الکترونيکي مشکوک که با موضوع ياد شده به دستشان مي‌رسد را باز نکنند و روي لينک‌هاي داخلي آن کليک نکنند.

systemgroup.net

ويروس‌هائي كه در آفيس مايكروسافت جاخوش مي‌كنند


خبرگزاري فارس: ويروس هاي ماكرو كه معمولا براي آلوده كردن نرم افزارهاي مجموعه آفيس مورد استفاده قرار مي گيرند، در نقاط مختلفي از اين برنامه ها مخفي مي شوند.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به گزارش خبرنگار فناوري اطلاعات فارس، محل عملي مخفي شدن اين ويروس ها بستگي به فرمت فايلي دارد كه براي آلوده شدن مد نظر قرار گرفته است. اين مساله در مورد محصولات مايكروسافت بسيار پيچيده است.
هر سند ورد، جدول برنامه اكسل شامل رشته اي از بلوك هاي حاوي ديتاست كه هر يك از آنها فرمت خاص خود را دارد. اين بلوك ها با استفاده از خدمات ديتاي طراحي شده در اين نرم افزارها به هر مرتبط شده يا به يكديگر لينك داده شده اند. با توجه به فرمت پيچيده فايل هاي ورد و اكسل، بخش Header يك فايل، Service data ،directories ، FAT ، متن و فونت ها محل قرار گيري ويروس هاي ماكرو محسوب مي شوند.
نرم افزار آفيس مايكروسافت در زمان كار كردن با اسناد و جداول، اقدامات مختلفي را انجام مي دهد. برنامه مرتبط ابتدا سند را باز مي كند و پس از ويرايش توسط كاربر آن سند ذخيره شده و ممكن است چاپ شود. در انتها نيز سند بسته مي شود.
نرم افزار ورد براي اجراي فرامين ماكرو ابتدا آنها را جستجو كرده و سپس اجرايشان مي كند. به عنوان مثال براي اجراي فرمان File/Save ، ماكروي FileSave و براي اجراي فرمان File/SaveAs، ماكروي FileSaveAs اجرا مي شود.
برخي ماكروها هم ماكروهاي خودكار هستند كه به طور خودكار و در موقعيت هاي مورد نياز اجرا مي گردند. به عنوان مثال زماني كه يك سند باز مي شود، نرم افزار ورد مايكروسافت آن را جستجو مي كند تا ماكروي باز كردن خودكار يا AutoOpen را بيابد. اگر چنين ماكرويي پيدا شود، نرم افزار ورد آن را اجرا مي كند. زماني هم كه يك سند بسته مي شود، ورد ماكروي بستن خودكار يا AutoClose را اجرا مي كند.
اين ماكروها هم به طور خودكار اجرا شده و نيازي به فرمان كاربر ندارند. برخي ماكروهاي كاربردي هم بر طبق تعريف انجام شده در صورت فشردن كليد مرتبط فعال مي شوند. برخي از آنها هم در زمان يا تاريخ تعريف شده فعال شده و اجرا مي شوند. در تمامي اين موارد ويروسي كه در يك ماكرو مخفي شده باشد فعال شده و امنيت كاربر را به مخاطره مي اندازد.
قاعده اين است كه ويروس هاي ماكرو كه براي آلوده كردن فايل هاي آفيس مايكروسافت طراحي شده اند، از يكي از اين تكنيك ها كه در بالا شرح داده شده براي آلوده كردن رايانه ها استفاده مي كنند. ويروس ها معمولا يا حاوي يك ماكروي خودكار هستند يا از يكي از سيستم هاي استاندارد ماكرو بهره مي گيرند كه در آيتم منو گنجانده شده است. آنها با دستكاري اين ماكروها كاري مي كنند كه در صورت فشرده شدن يك كليد خاص يا تركيبي از چند كليد ماكروي مربوط و در نتيجه ويروس مخرب فعال شود.
زماني كه ويروس ماكرو فعال مي شود، كدهاي خود را به فايل هاي ديگر هم منتقل مي كند. معمولا اين انتقال به فايل هاي در حال ويرايش صورت مي گيرد، زيرا اين فايل ها باز و در حال اجرا بوده و آلوده كردن آنها ساده تر است. برخي از ويروس هاي ماكرو پا را از اين هم فراتر نهاده و هارد ديسك دستگاه را براي يافتن ديگر فايل هاي آفيس و آلوده كردن آنها جستجو مي كنند.

** ويروس هاي اسكريپت

ويروس هاي اسكريپت زيرشاخه ويروس هاي فايلي هستند كه به زبان هاي مختلف برنامه نويسي اعم از VBS، JavaScript، BAT، PHP نوشته مي شوند. اين ويروس ها يا اسكريپت هاي ديگر اعم از فايل هاي سرويس و فرمان در ويندوز و لينوكس را آلوده مي كنند يا در كنار يكديگر ويروس هاي چند مولفه اي را شكل مي دهند. اين ويروس ها قادر به آلوده كردن ديگر فرمت هاي فايل مانند HTML نيز هستند، البته به شرطي كه فرمت فايل مورد نظر امكان اجراي اسكريپت هاي آلوده را بدهد.

خطرناك‌ترين ‌ويروس‌هاي ‌‌تاريخ اينترنت

علي شميراني

هفته گذشته پديده قرن يعني اينترنت، چهلمين سالروز تولد خود را پشت‌سر گذاشت. اينترنت ابزار ارتباطي نويني است كه به مراتب سريع‌تر از روزنامه،‌ راديو و تلويزيون جاي خود را در زندگي ما باز كرد به نحوي كه امروزه حتي تصور نبود اينترنت براي بسياري نگران‌كننده است.

اما اينترنت گذشته از فوايد بيشمارش در تسهيل زندگي،‌ كاهش هزينه‌ها، افزايش بهره‌وري و هزاران قابليت ديگر، با چالش‌ها و مشكلات زيادي نيز طي 40 سال گذشته مواجه بود؛ مشكلاتي كه همزمان با بزرگ شدن اينترنت بزرگ‌تر و مخرب‌تر مي‌شوند.
يكي از اصلي‌ترين مشكلات پس از فراگير شدن اينترنت، به خلق بدافزارها يا كدهاي مخربي كه از آنها با عنوان ويروس يا كرم‌هاي اينترنتي ياد مي‌شود، مربوط است.
به همين منظور هفته گذشته يك شركت امنيتي بنام در دنياي مجازي اقدام به معرفي مخرب‌ترين تهديدهاي اينترنتي در 40 سال گذشته كرد.
موريس، نخستين بدافزار يا ويروس اينترنتي محسوب مي‌شود كه سال 1988 و بدون هدف تخريبي منتشر شد، اما اين ويروس حاوي خطايي بود كه 10 درصد از 60 هزار رايانه اوليه متصل به اينترنت را از كار انداخت و نخستين هشدار به كارشناسان براي امكان طراحي و توزيع بدافزارها به شمار مي‌رود.
اما پس از اين ويروس نه چندان خطرناك، ويروس‌هايي آمدند كه اصلا شوخي نداشتند.
دوستت دارم نام يكي از اين ويروس‌هاي خطرناك بود كه تا سال 2000 بالغ بر 50 ميليون رايانه را در سراسر دنيا آلوده كرد به نحوي كه سازمان سيا، پنتاگون و نهادهاي امنيتي مهم در انگلستان براي مصون ماندن از خطر اين ويروس، خدمات ايميل خود را از كار انداختند.
جالب آن كه در نهايت مشخص شد نويسنده اين ويروس يك فيليپيني است كه در نهايت و به علت پيش‌بيني نشدن قانون و مجازاتي در اين كشور هيچ برخوردي نيز با وي صورت نگرفت.
كانفيكر ناميك كرم اينترنتي ديگر بود كه روزانه 50 هزار قرباني مي‌گرفت. روش كار اين كرم اينترنتي نيز به اين ترتيب بود كه اطلاعات محرمانه و شخصي كاربران آلوده را براي طراحان اين بدافزار ارسال مي‌كرد. كانفيكر آنقدر پيش رفت كه غول رايانه‌اي جهان يعني مايكروسافت تنها براي كمك به شناسايي طراحان آن جايزه‌اي 250 هزار دلاري در نظر گرفت.
مليسا، نام يكي ديگر از ويروس‌هاي خطرناكي بود كه توجه تمام رسانه‌هاي جهان را به خود جلب كرد. علت توجه به ويروس مذكور نيز سرعت بسيار بالا و نگران‌كننده فراگيري آن بود به نحوي كه اين ويروس ظرف 6 سال همچنان قدرت تخريبي و مهار ناشدني خود را حفظ كرده و در نهايت تا سال 2005 حدود 15 تا 20 درصد رايانه‌هاي جهان را آلوده كرد.
اسلمر را خيلي‌ها به خاطر دارند. اين ويروس كارش از آلوده كردن رايانه‌ها فراتر رفت و حتي به صورت موقت اينترنت را از كار انداخت.
ويروس اسلمر ظرف 10 دقيقه، نزديك به 75 هزار قرباني گرفت، موضوعي كه بسياري از كشورها را به اين فكر انداخت كه با يك حمله سازمان يافته و عظيم به زيرساخت‌هاي ارتباطي خود مواجه شده‌اند اما در همان زمان يك كرم اينترنتي به نام نيمدا نيز توانست طي 24 دقيقه و از طريق سوار شدن روي حجم بالاي ارسال ميليون‌ها ايميل در طول روز به صدر فهرست ويروس‌هاي زمان خود برسد.
اما ويروس‌هايي هم در دنياي اينترنت به گردش افتادندكه هدف اصلي‌شان سرقت اطلاعات كاربران نبود، بلكه آنها به دنبال از كار انداختن سايت‌هاي اينترنتي بودند.
«كدرد» ازجمله اين كرم‌هاي اينترنتي بود كه ظرف مدت كوتاهي 359 هزار سايت را در دنيا آلوده كرد.
بلستر نام ويروس ديگري بود كه ثروتمندترين مرد جهان يعني بيل گيتس را هدف قرار داده بود و پس از آلوده كردن رايانه‌ها پيغام مي‌داد كه آقاي بيل گيتس تقصير شماست؛ به جاي پول درآوردن، نرم‌افزارهايت را درست كن!
ويروس ساسر نيز ويروسي بود كه بسياري از شركت‌هاي بزرگ هواپيمايي را با بحران مواجه كرد و موجب لغو پروازهاي زيادي در دنيا شد. اين ويروس را يك نوجوان 17 ساله آلماني نوشته بود كه پس از دستگيري و به علت نرسيدن به سن قانوني محكوميتش به آينده موكول شد.

بر اساس آمار يك شركت امنيتي وب سايت‌هايي كه آگاهانه يا ناآگاهانه نرم‌افزارهاي مخرب را ميزباني مي‌كنند، به سرعت در حال افزايش‌اند.

به گزارش ایسنا طبق گزارش Dasient، بيش از 640 هزار وب سايت و حدود 5.8 ميليون صفحه به نرم‌افزار مخرب آلوده شده‌اند.

اين آمار براي صفحات آلوده تقريبا دو برابر ارزيابي به عمل آمده از سوي مايكروسافت در گزارشي در ماه آوريل است؛ وب سايت‌هاي موجود در ليست سياه سايت‌هاي آلوده به نرم‌افزارمخرب گوگل در سال گذشته بيش از دو برابر شده و تا 40 هزار سايت جديد در ظرف يك هفته به ثبت رسيده است.

Dasient بيش از 52 هزار آلودگي ويروس‌هاي اينترنتي را شناسايي كرده كه مجموع آلودگي‌هاي ثبت شده توسط اين شركت را از اوايل سال گذشته تاكنون به بيش از 72 هزار آلودگي مي‌رساند.

آلودگي در سايت‌هايي كه به تازگي آلوده شده‌اند و 10 صفحه يا بيش‌تر دارند، به طور متوسط به حدود يك چهارم از صفحات سايت گسترش يافته است و حدود 40 درصد از سايت‌هاي آلوده مجددا آلوده شده‌اند.

بيش‌تر موارد آلودگي سايت‌ها به نرم‌افزارهاي مخرب با تزريق جاوااسكريپت و آي فريم به سايت‌هاي معتبر انجام گرفته و به ترتيب حدود 55 و 37 درصد محسوب مي‌شوند.

اين آمار گرايش رو به رشد هكرها براي آلوده كردن كاربران رايانه از طريق نرم‌افزارهاي مخرب مبتني بر وب را نشان مي‌دهد.

مايكروسافت: ويندوز 64 بيتي ويروسي نمي‌شود
شركت مايكروسافت مدعي شد كاربراني كه از نسخه هاي 64 بيتي سيستم عامل ويندوز استفاده مي كنند، امنيت بيشتري دارند و بسيار بعيد است كه در اثر انتشار كدهاي آلوده دچار ويروس شوند.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به نقل از كامپيوتر ورلد، كارشناسان امنيتي شركت مايكروسافت معتقدند كه ويندوز 64 بيتي بسيار ايمن طراحي شده و گزارش هاي منتشر شده از نيمه اول سال 2009 بدين سو نشان مي دهد كه تعداد بدافزارهايي كه موفق به آلوده كردن اين نوع ويندوز شده اند بسيار اندك است.
بررسي ها نشان مي دهد كه احتمال آلوده شده نسخه 64 بيتي ويندوز XP به ويروس 48 درصد كمتر از نسخه 32 بيتي و احتمال آلوده شدن نسخه 64 بيتي ويندوز ويستا به ويروس 35 درصد كمتر از نسخه 32 بيتي مي باشد.
اطلاعات مربوط به ويندوز 7 هنوز در اين بررسي منظور نشده ولي پيش بيني مي شود كه ايمني نسخه 64 بيتي ويندوز 7 هم بسيار بيشتر از نسخه 32 بيتي باشد.

ضدويروس جديد ويژه رايانه‌هاي مك
شركت كاسپراسكاي براي تامين امنيت رايانه هاي مك شركت اپل، ضدويروس ويژه‌اي عرضه كرد.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به نقل از كامپيوتر ورلد، مقامات اين شركت مي گويند اشتباه است اگر تصور كنيم امكان آلوده شدن رايانه هاي مك به ويروس اندك است، زيرا از سال 2005 شاهد افزايش حملات ويروسي به اين رايانه ها بوده ايم و آسيب پذيري هاي اين سيستم ها نيز براي هكرها مشخص شده است.
ضدويروس تازه كاسپراسكاي براي رايانه هاي مك از آنها در برابر ويروس ها، كرم هاي اينترنتي و تروجان ها حفاظت كرده و مانع از وقوع مشكلات امنيتي براي آنها مي شود.
كاسپراسكاي مي گويد در پايگاه داده هاي خود مشخصات بيش از 20 ميليون ويروس را ثبت كرده و از اين طريق مي تواند با موج حملات ويروسي مقابله كند.