تبلیغات
آینده به شما نزدیک است - مطالب ویروس
ترفندستان ● مرجع اخبار و اطلاعات کامپیوتری ، اینترنت ، موبایل و آنچه شما بخواهید
درباره ما

آرشیو

طبقه بندی

آخرین پستها

پیوندها

پیوندهای روزانه

نویسندگان

آمار سایت

logo-samandehi
نماد اعتماد درگاه pay.ir
درجهت بهبود و رفع نیازهای سایت به این مجموعه کمک کنید ، پرداخت آنلاین
ابزار اینستا گرام
ابزار تلگرام
طراحی سایت ، سایت ساز ، فر.وشگاه ساز


محسن جمشیدی زرمهری



چگونگی دریافت کرک ها و تشخیص ویروسی بودن آنها

ممکن است شما نیز تا به حال در جستجوی کرک برنامه ها و بازی ها بوده اید ، اما متاسفانه سایت های بسیاری وجود دارد که از این حربه برای فریب کاربران استفاده می کنند و برنامه های آلوده به ویروس خود را به جای کرک های برنامه ها به مردم تحویل میدهند. در این ترفند قصد داریم روشهای مفیدی را معرفی کنیم که میتوانید این کرک های آلوده را که حتی بسیاری از آنتی ویروس ها در تشخیص آنها ناکام هستند ، خودتان تشخیص دهید.

برای استفاده از کرک این سایتها باید به موارد زیر توجه کرد:

۱-حتما قبل از باز کردن فایل آنرا با Antivirus خود چک کنید. (ترجیحا Kaspersky ) توجه داشته باشید که آنتی ویروستان داخل فایلهای فشرده مثل zip، rar و … و نیز فایلهای Exe selfextract را باید پک کند.

۲-دستورالعمل داخل فایل *.nfo را بخوانید(به جای * نام فایلتان است!) فایلهای مورد نیاز (که غالب اوقات ویروسی نیستند) در آن ذکر شده است. بنابراین فایلهای دیگر را هر گز اجرا نکنید. (این فایل را باید با notepad یا نرم افزارهای مشابه آن باز کرد)

۳-فایلهایی با نامهای crack.exe، run.exe، NiTROUS.exe و… غالبا ویروسی هستند. سعی کنید آنها را تا مطمئن نشدید (مثلا از طریق آنتی ویروس) اجرا نکنید. توصیه می کنم آنها را بلافاصله پاک کنید!

در ذیل مثالی از سایت crackz.ws را (که در زمینه ی ویروس ید طولایی دارد!) می آورم:
فایل انتخاب شده Kaspersky Anti-Virus v۶.۰.۰.۳۰۰ است.
برای دریافت آن به آدرس http://crackz.ws/down/۱۵۷۵۹۳/Kaspersky.Anti-Virus.v۶.۰.۰.۳۰۰_crack.html می رویم و “Download Crack” را انتخاب می کنیم. (توجه داشته باشید که گاهی قبل از انتخاب Download Crack صفحه ای باز می شود که باید آنرا بست. چون یک ویروس است!)
نام فایل twk۶۳۰ea.exe است. این فایل را با winrar باز کنید (هرگز اجرایش نکنید!)
فایل run.exe ویروس است. آنرا باید پاک کنید.(همانطور که در twk.nfo نامی از آن برده نشده است!) در ضمن این فایل را بسیاری از antivirusهای تشخیص نمی دهند. بقیه ی فایلها سالم هستند و قابل استفاده!


نوشته شده توسط :Mohsen Jamshidi Zarmehri
چهارشنبه 2 بهمن 1392-12:38 ق.ظ

آشنایی با بدافزار Narilam

خبر انتشار بدافزار Narilam  چندی ست نقل محافل خبری مختلف ایران و جهان شده است. بدنبال انتشار این خبر و به سبب بالا بودن شدت انتشار این بدافزار در ایران، بسیاری از رسانه ها آنرا یک حمله سایبری جدید بر ضد ایران دانستند.

به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای  “بر خلاف اخبار منتشر شده این بدافزار در سال ۸۹ (۲۰۱۰) توسط مراکز و شرکتهای فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است… بر خلاف اخبار منتشر شده [این بدافزار] تهدید جدی سایبری نبوده بلکه یک بدافزار محلی است که احتمالا به منظور آسیب زدن به کاربران محصولات نرم افزاری شرکت خاص ایجاد شده است.”

طبق بررسی های انجام شده فایل اصلی این بدافزار lssas.exe نام دارد (که از نام مجاز lsass.exe برگرفته شده است) و خود را در شاخه System32 کپی می کند. همچنین فایلی با نام DATA.exe ایجاد و آنرا در حافظه های USB متصل شده به دستگاه کپی می کند. این بدافزار با ایجاد کلید زیر در محضرخانه (Registry) سبب می شود با هر بار راه اندازی سیستم، بصورت خودکار اجرا شود:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LssaShellEx: “%WINDIR%\system32\lssas.exe -reg “

بر اساس سربرگ (header) فایلهای مرتبط با Narilam، این بدافزار با زبان برنامه نویسی Borland C++ Builder 6 تهیه شده است و اگر تاریخ ذکر شده در این سربرگ صحیح باشد، زمان ساخت آنها بین سالهای ۲۰۰۹ و ۲۰۱۰ می باشد.

بانک داده های نام برده شده در زیر درون  کدهای این بدافزار به چشم می خورد.

·         Maliran : نرم افزار جامع شرکتها و تعاونی های مصرف

·         Amin : نرم افزار بانکداری و حسابداری صندوقهای قرض الحسنه

·         Shahd : نرم افزار مالی برای فروشگاه ها

بدافزار Narilam بر روی کامپیوترهای قربانی به دنبال فایل های مرتبط با این سه نرم افزار جستجو می کند و در صورت نیافتن آنها، فعالیت خود را متوقف می سازد.

در کدهای بدافزار، نام جداولی مالی همچون BankCheck، A_sellers و buyername در کنار نامهای فارسی نظیر Pasandaz و Vamghest به چشم می خورند. وجود فرامین Drop و Delete در کدهای این بدافزار نشان می دهد جداولی چون Holiday_2 و داده های برخی جداول دیگر نظیر A_Sellers، Koll و Moein توسط این بدافزار حذف می شوند. تنها راه برگرداندن داده ها نیز استفاده از نسخه پشتیبان می باشد.

بدافزار Narilam هیچ نوع قابلیت سرقت داده ها را ندارد و به نظر می رسد تنها هدف آن،ت  تخریب اطلاعات و اختلال در عملکرد نرم افزارهای مالی فوق باشد.

ضدویروس McAfee این بدافزار را با نام Generic BackDoor.wc و ضدویروس Bitdefender اجزای مختلف این بدافزار را با نامهای Backdoor.Generic.441258، Rootkit.40184 و Trojan.Agent.ARDX بطور کامل شناسایی می کنند. به روز نگهداشتن ضدویروس، محدود کردن دسترسی به حافظه های USB و تهیه نسخه های پشتیبان توصیه همیشگی ما برای مقابله با این گونه بدافزارهاست.



نوشته شده توسط :Mohsen Jamshidi Zarmehri
پنجشنبه 19 بهمن 1391-07:07 ب.ظ

ویروس چیست؟

ویروس های کامپیوتری از جمله موارد اسرارآمیز و مرموز در دنیای کامپیوتر بوده که توجه اغلب کاربران را بخود جلب می نماید. ویروس های کامپیوتری بخوبی قدرت آسیب پذیری سیستم های اطلاعاتی مبتنی بر کامپیوتر را به ما نشان می دهند. یک ویروس مدرن و پیشرفته قادر به بروز آسیب های کاملا” غیرقابل پیش بینی دراینترنت است . مثلا” ویروس ملیزا (Melissa) ، که در سال ۱۹۹۹ متداول گردید ، از چنان قدرت و توانی برخوردار بود که شرکت های بزرگی نظیر مآیکروسافت و سایر شرکت های بزرگ را مجبور به خاموش نمودن کامل سیستم های پست الکترونیکی نمود. ویروس “ILOVEYOU” ، که در سال ۲۰۰۰ رایج گردید ، باعث آسیب های فراوان در اینترنت و شبکه های کامپیوتر یگردید.

ویروس های کامپیوتری به دو گروه عمده تقسیم می گردند. گروه اول را “ویروس های سنتی ” و گروه دوم را “ویروس های مبتنی بر پست الکترونیکی ” می نامند. خصوصیات ، عملکرد و نحوه پیشگیری از هر یک از گروه های فوق متفاوت بوده و در این راستا لازم است ، اطلاعات لازم در این خصوص را کسب کرد.

انواع آلودگی

آلودگی الکترونیکی دارای اشکال منتفاوتی است . متداولترین موارد آلودگی الکترونیکی عبارتند از :

- ویروس . ویروس یک قطعه نرم افزار کوچک بوده که بر دوش یک برنامه حقیقی حمل می گردد. مثلا” یک ویروس می تواند خود را به برنامه ای نظیر واژه پرداز متصل ( الحاق ) نماید. هر مرتبه که برنامه واژه پرداز اجراء می گردد ، ویروس نیز اجراء و این فرصت ( شانس ) را پیدا خواهد کرد که نسخه ای از خود را مجددا” تولید ( الحاق یک نسخه از خود به سایر برنامه ها ) و یا یک خرابی عظیم را باعث گردد.

- ویروس های مبتنی بر پست الکترونیکی . ویروس هائی از این نوع از طریق پیام های پست الکترونیکی منتقل می گردند. این نوع ویروس ها بصورت خودکار برای افراد متعدد ، پست خواهند شد. گزینش افراد برای ارسال نامه الکترونیکی بر اساس دفترچه آدرس پست الکترونیکی ، انجام می گیرد.

- کرم ها . یک کرم ، برنامه نرم افزاری کوچکی بوده که با استفاده ازشبکه های کامپیوتر یو حفره های امنیتی موجود ، اقدام به تکثیر خود می نمایند. نسخه ای از “کرم ” ، شبکه را پیمایش تا ماشین های دیگر موجود در شبکه را که دارای حفره های امنیتی می باشند ، تشخیص و نسخه ای از خود را تکثیر نمایند. کرم ها با استناد به حفره های امنیتی موجود ، نسخه ای از خود را بر روی ماشین های جدید تکثیر می نمایند.

- اسب های تراوا. یک اسب تراوا، نوع خاصی از برنامه های کامپیوتری می باشند . برنامه های فوق این ادعا را دارند که قادر به انجام یک عملیات خاص می باشند ( مثلا” ادعای آنان می تواند شامل یک بازی کامپیوتری باشد ). برنامه های فوق برخلاف ادعای خود نه تنها عملیات مثبتی را انجام نخواهند داد بلکه باعث بروز آسیب های جدی پس از فراهم نمودن شرایط اجراء، می باشند. ( مثلا” ممکن است اطلاعات موجود بر روی هارد دیسک را حذف نمایند) . اسب های تراوا دارای روشی برای تکثیر خود نمی باشند.

ویروس چیست ؟

ویروس های کامپیوتری بدین دلیل ویروس نامیده شده اند ، چون دارای برخی وجوه مشترک با ویروس های زیست شناسی می باشند. یک ویروس کامپیوتری از کامپیوتری به کامپیوتر دیگر عبور کرده ، دقیقا” مشابه ویروس های زیست شناسی که از شخصی به شخص دیگری منتقل می گردند.

ویروس زیست شناسی یک موجود زنده نیست . ویروس بخشی از DNA بوده و داخل یک روکش حفاظتی قرار می گیرد . ویروس بر خلاف سلول ، قادر به انجام عملیات و یا تکثیر مجدد خود نمی باشد. ( ویروس زنده و در قید حیات نمی باشد ) .یک ویروس زیست شناسی می بایست DNA خود را به یک سلول تزریق نماید. DNA ویروسی در ادامه با استفاده از دستگاه موجود سلول ، قادر به تکثیر خود می گردد. در برخی حالات ، سلول با ذرات ویروسی جدید آلوده تا زمانیکه سلول فعال و باعث رها سازی ویروس گردد.در حالات دیگر ، ذرات ویروس جدید باعث عدم رشد سلول در هر لحظه شده و سلول همچنان زنده باقی خواهد ماند.

ویروس های کامپیوتری دارای وجوه مشترک فوق می باشند. یک ویروس کامپیوتری می بایست بر دوش سایر برنامه ها و یا مستندات قرار گرفته تا در زمان لازم شرایط اجرای آن فراهم گردد.پس از اجرای یک ویروس ، زمینه آلوده نمودن سایر برنامه ها و یا مستندات نیز فراهم می گردد.

کرم چیست ؟

کرم ، یک برنامه کامپیوتری است که قابلیت تکثیر خود از ماشینی به ماشین دیگر را دارا است . شبکه های کامپیوتری بستر مناسب برای حرکت کرمها و آلوده نمودن سایر ماشین های موجود در شبکه را فراهم می آورند. با استفاده از شبکه های کامپیوتری ، کرمها قادر به تکثیر باورنکردنی خود در اسرع زمان می باشند. مثلا” کرم “Code Red” ، که در سال ۲۰۰۱ مطرح گردید ، قادر به تکثیر خود به میزان ۲۵۰٫۰۰۰ مرتبه در مدت زمان نه ساعت بود. کرمها در زمان تکثیر، زمان کامپیوتر و پهنای باند موجود را استفاده می نمایند. کرم Code Red ، در زمان تکثیر به میزان قابل ملاحظه ای سرعت ترافیک اطلاعاتی بر روی اینترنت را کند می نمود. هر نسخه از کرم فوق ، پیمایش اینترنت بمنظور یافتن سرویس دهندگان ویندوز NT و یا ۲۰۰۰ را آغاز می کرد. هر زمان که یک سرویس دهنده ناامن ( سرویس دهنده ای که بر روی آن آخرین نرم افزارهای امنیتی مایکروسافت نصب نشده بودند ) پیدا می گردید ، کرم نسخه ای از خود را بر روی سرویس دهنده تکثیر می کرد. نسخه جدید در ادامه عملیات پیمایش برای یافتن سایر سرویس دهندگان را آغاز می نماید. با توجه به تعداد سرویس دهندگان ناامن ، یک کرم قادر به ایجاد صدها و هزاران نسخه از خود است .

نحوه تکثیر به چه صورت است ؟

ویروس های اولیه ، کدهائی محدود بوده که به یک برنامه متداول نظیر یک بازی کامپیوتری و یا یک واژه پرداز ، الحاق می گردیدند. کاربری ، یک بازی کامپیوتری آلوده را از یک BBS اخذ و آن را اجراء می نماید. .ویروس ، بخش کوچکی از نرم افزار بوده که به یک برنامه بزرگ متصل می گردد. ویروس های فوق بگونه ای طراحی شده بودند که در زمان اجرای برنامه اصلی ، بعلت فراهم شدن شرایط مساعد ، اجراء می گردیدند. ویروس خود را بدرون حافظه منتقل و در ادامه بدنبال یافتن سایر برنامه های اجرائی موجود بر روی دیسک ، بود. در صورتیکه این نوع برنامه ها ، پیدا می گردیدند ، کدهای مربوط به ویروس به برنامه اضافه می گردیدند. در ادامه ویروس ، برنامه واقعی را فعال می کرد. کاربران از فعال شدن و اجرای ویروس آگاه نشده و در این راستا روش های خاصی نیز وجود نداشت. متاسفانه ویروس، نسخه ای از خود را تکثیر و بدین ترتیب دو برنامه آلوده می گردیدند. در آینده با توجه به فراهم شدن شرایط لازم ، هر یک از برنامه های فوق سایر برنامه ها را آلوده کرده و این روند تکراری ادامه می یابد.

در صورتیکه یکی از برنامه های آلوده از طریق دیسکت به شخص دیگری داده شود و یا فایل آلوده برای یک BBS ارسال تا بر روی سرویس دهنده قرار گیرد ، امکان آلوده شدن سایر برنامه ها نیز فراهم خواهد شد. فرآیند فوق نحوه تکثیر یک ویروس کامپیوتری را نشان می دهد.

تکثیر و گسترش از مهمترین ویژگی های یک ویروس کامپیوتری بوده و در صورت عدم امکان فوق ، عملا” موانع جدی در تکثیر ویروس های کامپیوتری بوجود آمده و برخورد با این نوع برنامه با توجه به ماهیت محدود میدان عملیاتی ، کار پیچیده ای نخواهد بود. یکی دیگر از ویژگی های مهم ویروس های کامپیوتری ، قابلیت حملات مخرب آنان بمنظور آسیب رساندن به اطلاعات است . مرحله انجام حملات مخرب عموما” توسط نوع خاصی چاشنی ( نظیر ماشه اسلحه ) صورت می پذیرد. نوع حملات متنوع بوده و از نمایش یک پیام ساده تا پاک نمودن تمام اطلاعات موجود را می تواند شامل گردد. ماشه فعال شدن ویروس می تواند بر اساس یک تاریخ خاص و یا تعداد نسخه های تکثیر شده از یک ویروس باشد . مثلا” یک ویروس می تواند در تاریخ خاصی فعال و یا پس از ایجاد یکصد نسخه از خود ، فعال و حملات مخرب را آغاز نماید.

ایجاد کنندگان ویروس های کامپیوتری افرادی آگاه و با تجربه بوده و همواره از آخرین حقه های موجود استفاده می نمایند. یکی از حقه های مهم در این خصوص ، قابلیت استقرار در حافظه و استمرار وضعیت اجرای خود در حاشیه می باشد ( مادامیکه سیستم روشن است). بدین ترتیب امکان تکثیر این نوع ویروس ها با شرایط مطلوبتری فراهم می گردد. یکی دیگر از حقه های موجود ، قابلیت آلوده کردن ” بوت سکتور ” فلاپی دیسک هاو هارد دیسک ها، می باشد. بوت سکتور شامل یک برنامه کوچک بمنظور استقرار بخش اولیه یک سیستم عامل در حافظه است . با استقرار ویروس های کامپیوتری در بوت سکتور ، اجراء شدن آنها تضمین خواهد شد. ( شرایط مناسب برای اجرای آنها بوجود می آید). بدین ترتیب یک ویروس بلافاصله در حافظه مستقر و تا زمانیکه سیستم روشن باشد به حضور مخرب خود در حافظه ادامه خواهند داد. ویروس های بوت سکتور قادر به آلوده نمودن سایر بوت سکتورهای فلاپی دیسک های سالمی که دردرایو ماشین قرار خواهند گرفت ، نیز می باشد. در مکان هائی که کامپیوتر بصورت مشترک بین افراد استفاده می گردد ( نظیر دانشگاه ها ) ، بهترین شرایط برای تکثیر ویروس های کامپیوتری بوجود خواهد آمد ( نظیر یک آتش سوزی بزرگ بوده که بسرعت همه چیز را نابود خواهد کرد ).

ویروس های قابل اجراء و بوت سکتور در حال حاضر تهدیدی جدی تلقی نمی گردند. مهمترین علت در صحت ادعای فوق ، حجیم شدن ظرفیت برنامه های کامپیوتری است . امروزه اغلب برنامه های کامپیوتری بر رویدیسک های فشرده(CD) ذخیره و در اختیار متقاضیان قرار می گیرند. اطلاعات ذخیره شده بر روی دیسک های فشرده ، غیر قابل تغییر بوده و تقریبا” آلودگی اطلاعاتی بر روی آنان غیرممکن است . استفاده از فلاپی دیسک برای توزیع و استفاده برنامه های کامپیوتری نظیر آنچه که در اواسط ۱۹۸۰ استفاده می گردید ، عمومیت ندارد. و این خود می تواند عاملی موثر در عدم گسترش سریع ویروس های اجرائی و خصوصا” ویروس های بوت سکتوری باشد.

در حال حاضر امکان وجود ویروس های اجرائی و یا بوت سکتور ، همچنان نیز وجود داشته و صرفا” امکان گسترش سریع آنها سلب شده است . محیط های مبتنی بر فلاپی دیسک ها ، برنامه های کوچک و ضعف موجود در برخی از سیستم های عامل ، حضور ملموس این نوع ویروس های کامپیوتری را در دهه ۸۰ میسر و توجیه پذیر کرده بود.

ویروس های پست الکترونیکی

آخرین اطلاعات موجود در رابطه با ویروس های کامپیوتری به ” ویروس پست الکترونیکی ” اشاره دارد. عملکرد ویروس “ملیزا ” در سال ۱۹۹۹ بسیار دیدنی بود. ویروس فوق از طریق مستندات ( سندها ) از نوع Word شرکت مایکروسافت ، گسترش و توسط پست الکترونیکی ارسال و توزیع می گردید. عملکرد ویروس فوق بشکل زیر بود :

فردی اقدام به ایجاد یک ویروس کرده ، آن را بعنوان یک سند Word برای ” گروه های خبری اینترنت ” ، ارسال می کرد. در ادامه هر فرد دیگری که فایل فوق را اخذ و آن را بر روی سیستم خود فعال می کرد ، زمینه اجراء و فعال شدن ویروس را هم فراهم می کرد. ویروس در ادامه ، سند ( بهمراه خود ویروس ) را از طریق یک پیام پست الکترونیکی برای اولین پنجاه نفر موجود در دفترچه آدرس ، ارسال می کرد. پیام الکترونیکی شامل یک متن دوستانه بهمراه نام شخص بود، بنابراین گیرنده بدون هیچگونه نگرانی اقدام به بازنمودن نامه می کرد. در ادمه ویروس ، پنجاه پیام جدید را از کامپیوتر گیرنده پیام ، ارسال می کرد. ویروس ملیزا ، سریعترین ویروس از بعد گسترش تاکنون بوده است . همانگونه که در ابتدا اشاره گردید ، عملکرد و سرعت باورنکردنی گسترش ویروس فوق باعث گردید که تعدادی از شرکت های بزرگ ، سیستم های پست الکترونیکی خود را غیرفعال نمایند.

عملکرد ویروس ILOVEYOU ، که در سال ۲۰۰۰ مطرح گردید ، بمراتب ساده تر از ویروس ملیزا بود. ویروس فوق شامل کد محدودی بود که بعنوان یک Attachment ( ضمیمه ) به یک پیام پست الکترونیکی متصل می شد. افرادیکه پیام را دریافت می کردند با فعال نمودن ضمیمه ، امکان اجرای ویروس را فراهم می کردند. کد ارسال شده در ادامه نسخه هائی از خود را تکثیر و برای افرادیکه نام آنها در دفترچه آدرس بود، ارسال می کرد.

ویروس ملیزا از قابلیت های برنامه نویسی توسط VBA)Visual Basic for Application) که در Ms Word وجود دارد ، استفاده می کرد. VBA یک زبان برنامه نویسی کامل بوده که امکانات متعددی نظیر : تغییر محتویات فایل ها و یا ارسال پیام های پست الکترونیکی را فراهم می آورد. VBA دارای یک امکان مفید و در عین حال خطرناک با نام ” اجرای خودکار ” است . یک برنامه نویس قادر به درج یک برنامه درون یک سند بوده و بلافاصله پس از باز نمودن سند ، شرایط اجرای کدهای فوق فراهم خواهد شد. ویروس ملیزا بدین طریق برنامه نویسی شده بود. هر شخص که سند آلوده به ویروس ملیزا را فعال می نمود ، بلافاصله زمینه فعال شدن ویروس نیز فراهم می گردید. ویروس فوق قادر به ارسال ۵۰ پیام پست الکترونیکی بوده و در ادامه یک فایل مرکزی با نام NORMAL.DOT را آلوده تا هر فایل دیگری که در آینده ذخیره می گردد ، نیز شامل ویروس گردد.

برنامه های مایکروسافت دارای یک ویژگی خاص با نام ” حفاظت ماکروها در مقابل ویروس ” بوده که از فایل ها و مستندات مربوطه را در مقابل ویروس حفاظت می نماید. زمانیکه ویژگی فوق فعال گردد ، امکان ” اجرای خودکار ” ، غیرفعال می گردد. در چنین حالتی در صورتیکه یک سند سعی در اجرای خودکار کدهای ویروسی نماید ، یک پیام هشداردهنده برروی نمایشگر ظاهر می گردد. متاسفانه ، اکثر کاربران دارای شناخت لازم و مناسب از ماکروها و ماکروهای ویروسی نبوده و بمحض مشاهد پیام هشداردهنده ، از آن چشم پوشی و صرفنظر می نمایند. در چنین مواردی ، ویروس با خیال آسوده اجراء خواهد شد. برخی دیگر از کاربران امکان حفاظتی فوق را غیر فعال نموده و ناآگاهانه در توزیع و گسترش ویروس های کامپیوتری نظیر ملیزا ، سهیم می گردند.

پیشگیری از ویروس

با رعایت چندین نکته ساده می توان یک پوشش مناسب ایمنی در مقابل ویروس های کامپیوتری را ایجاد کرد :

● از سیستم های عامل ایمن و مطمئن نظیر : یونیکس و ویندوز NT استفاده تا پوشش حفاظتی مناسبی در مقابل ویروس های سنتی ( نقطه مقابل ویروس های پست الکترونیکی ) ایجاد گردد.

● در صورتیکه از سیستم های عامل غیر مطمئن و ایمن استفاده می گردد ، سیستم خود را مسلح به یک نرم افزار حفاظتی در رابطه با ویروس ها ، نمائید.

● از نرم افزارهائی که توسط منابع غیر مطمئن توزیع و ارائه می گردند ، اجتناب و نرم افزارهای مربوطه را از منابع مطمئن تهیه و نصب نمائید. در ضمن امکان بوت شدن از طریق فلاپی دیسک را با استفاده از برنامه BIOS، غیر فعال کرده تا بدین طریق امکان آلوده شدن ویروس از طریق یک دیسکت که بصورت تصادفی در درایو مربوطه قرار گرفته شده است ، اجتناب شود.

● امکان “حفاظت ماکرو در مقابل ویروس ” را در تمام برنامه های مایکروسافت فعال نموده و هرگز امکان اجرای ماکروهای موجود در یک سند را تا حصول اطمینان از عملکرد واقعی آنها ندهید.

● هرگز بر روی ضمائمی که بهمراه یک پیام پست الکترونیکی ارسال شده و شامل کدهای اجرائی می باشند ، کلیک ننمائید. ضمائمی که دارای انشعاب DOC ( فایل های word) ، انشعاب XLS( صفحه گسترده ) ، تصاویر( فایل های با انشعاب GIF و یا JPG و …) بوده ، صرفا” شامل اطلاعات بوده و خطرناک نخواهند بود ( در رابطه با فایل های word و Execl به مسئله ماکرو و ویروس های مربوطه دقت گردد ) . فایل های با انشعاب EXE,COM و یا VBS اجرائی بوده و در صورت آلوده بودن به ویروس ، با اجرای آنان بر روی سیستم خود زمینه فعال شدن آنها فرام خواهد شد. بنابراین لازم است از اجرای هرگونه فایل اجرائی که بهمراه پست الکترونیکی برای شما ارسال می گردد ( خصوصا” مواردیکه آدرس فرستنده برای شما گمنام و ناشناخنه اس ) ، صرفنظر نمائید

با تحقق اصول فوق ، یک پوشش ایمنی مناسب در رابطه با ویروس های کامپیوتری بوجود می آید.

علت ایجاد ویروس های کامپیوتری

انسان ویروس ها را ایجاد می نمایند. برنامه نویس مجبور به نوشتن کد لازم ، تست آن بمنظور اطمینان از انتشار مناسب آن و در نهایت رها سازی و توزیع ویروس است . برنامه نویس همچنین می بایست نحوه حملات مخرب را نیز طراحی و پیاده سازی نماید ( تبین و پیاده سازی سیاست حملات مخرب). چرا انسان ها دست به چنین اقداماتی زده و خالق ویروس های کامپیوتری می گردند؟

در رابطه با سوال فوق ، حداقل سه دلیل وجود دارد :

● دلیل اول : اولین دلیل مربوط به دلایل روانی با گرایش مخرب در وجود این نوع افراد است . دلیل فوق صرفا” به دنیای کامپیوتر برنمی گردد. مثلا” فردی بدون دلیل ، شیشه اتومبیل فرد دیگری را شکسته تا اقدام به سرقت نماید، نوشتن و پاشینن رنگ بر روی ساختمانها ، ایجاد حریق تعمدی در یک جنگل زیبا ، نمونه هائی در سایر زمینه ها بوده که بشریت به آن مبتلا است .برای برخی از افراد انجام عملیات فوق ، نوعی هیجان ایجاد می کند. در صورتیکه این نوع اشخاص دارای توانائی لازم در رابطه با نوشتن برنامه های کامپیوتری باشند ، توان و پتانسیل خود را صرف ایجاد ویروس های مخرب خواهند کرد.

● دلیل دوم : دلیل دوم به هیجانات ناشی از مشاهده اعمال نادرست برمی گردد. تعدادی از افراد دارای یک شیفتگی خاص بمنظور مشاهده حوادثی نظیر انفجار و تصادفات می باشند. قطعا” در مجاورت منزل شما به افرادی برخورد می نماید که عاشق یادگیری نحوه استفاده از باروت ( و یا ترقه ) بوده و این روند ادامه داشته و همزمان با افزایش سن این افراد آنها تمایل به ایجاد بمب های بزرگتر را پیدا می نمایند. فرآیند فوق تا زمانیکه فرد مورد نظر خسته شده و یا به خود آسیبی برساند ، ادامه خواهد یافت . ایجاد یک ویروس کامپیوتری که بسرعت تکثیر گردد مشابه موارد فوق است . افرادیکه ویروس های کامپیوتری را ایجاد می نمایند ، بمبی درون کامپیوتر را ایجاد کرده اند و بموازات افزایش کامپیوترهای آلوده ، صدای انفجار بیشتری بگوش فرا خواهد رسید.

● دلیل سوم : دلیل سوم به حس خود بزرگ جلوه دادن و هیجانات ناشی از آن برمی گردد. ( نظیر صعود به قله اورست ) اورست موجود است و هر فرد می تواند مدعی صعود به آن گردد. در صورتیکه برنامه نویسی یک حفره امنیتی موجود در یک سیستم را مشاهده و امکان سوءاستفاده از آن وجود داشته باشد ، سریعا” بدنبال سوءاستفاده از وضعیت فوق (قبل از اینکه سایرین اقدام به ناکام نمودن وی را در این زمینه داشته باشند) ، بر خواهند آمد.

متاسفانه اکثر ایجاد کنندگان ویروس های کامپیوتری فراموش کرده اند که آنها باعث ایجاد خرابی واقعی برای افراد واقعی هستند ( هیچ چیز در خیال و رویا نمی باشد ) حذف تمام اطلاعات موجود بر روی هارد دیسک اشخاص ، یک خرابکاری واقعی و نه خیالی! است .صرف زمان زیاد در یک شرکت بزرگ برای برطرف نمودن فایل های آلوده به ویروس یک خرابکاری واقعی و نه خیالی ! است. حتی ارسال یک پیام ساده و بی محتوا نیز بدلیل تلف شدن زمان ، یک نوع خرابکاری است . خوشبختانه قانون در این زمینه سکوت نکرده و در این راستا قوانین لازم تصویب و مجازات های سنگین برای افرادیکه ویروس های کامپیوتری را ایجاد می نمایند ، پیش بینی شده است .

تاریخچه

ویروس های سنتی کامپیوتر در اواخر ۱۹۸۰ بشدت گسترش یافتند. موضوع فوق دارای چندین دلیل است .

● دلیل اول ، به گسترش استفاده از کامپیوترهای شخصی برمی گردد. قبل از ۱۹۸۰ استفاده از کامپیوتر در منازل بسیار کم و در مواردی شامل استفاده محدود بصورت سرگرمی و اسباب بازی بود. کامپیوترهای واقعی کمیاب و صرفا” در اختیار متخصصین و کارشناسان مجرب گذاشته می گردید. در سال ۱۹۸۰ ، استفاده از کامپیوتر بشدت گسترش و در موارد متعددی بخدمت گرفته گردید.

● دومین دلیل ، به استفاده از سیستم های BBS برمی گردد. افراد از طریق مودم به یک BBS متصل و انواع برنامه های مورد نیاز خود را اخذ (Download) می کردند. بازیهای کامپیوتری نمونه ای از برنامه های کامپیوتری بودند که بشدت با استقبال مواجه و همواره از طریق مراکز BBS توزیع و منتشر می شدند. طبیعی است آلوده بودن یکی از بازیهای کامپیوتری که علاقه مندانن زیادی داشت ، می توانست در مدت زمان کوتاهی باعث انتشار و تکثیر یک ویروس کامپیوتری گردد.

●سومین دلیل ، استفاده فراوان از فلاپی دیسک ها بمنظور استفاده از برنامه های کامپیوتری بود. در سال ۱۹۸۰ ، برنامه ها دارای ظرفیت کم بوده و امکان استقرار یک سیستم عامل، یک واژه پرداز و مستندات فراوانی در یک و یا دو فلاپی دیسک وجود داشت . اغلب کامپیوترها در آن زمان دارای هارد دیسک نبوده و می بایست برای راه اندازی کامپیوتر از فلاپی دیسک استفاده می شد ، استفاده از فلاپی دیسک ها ، زمینه ای مساعد برای توزیع و انتشار برنامه های آلوده را فراهم می کرد.


نوشته شده توسط :Mohsen Jamshidi Zarmehri
پنجشنبه 19 بهمن 1391-01:21 ب.ظ

ویروس جدید که روی مادربورد کامپیوتر تاثیر می گذارد

محققان امنیتی   یک ویروس جدید پیدا کرده اندکه  مادربرد کامپیوتررا آلوده،ودر عملکرد آن اخلال ایجاد میکند.
این ویروس توسط شرکت امنیتی سیمنتک شناسایی و معرفی شد. این شرکت اعلام کرده که ویروس مذبور در قالب تروجان وارد سیستم هدف شده و کنترل ورود و خروج بایاس سیستم را مختل مینماید

این ویروس به دلیل اینکه قبل از لود شدن سیستم عامل در اولین مرحله از لود Bios تاثیر میگذارد هیچ آنتی ویروسی قادر به شناسایی و حذف آن نیست بنابراین تنها راه رهایی از دست این عامل مخرب ویروس کشی دستی میباشد یعنی باید Bios سیستم هدف را ریست یا تخلیه و یا دوباره نصب نمایید.

Nasty new virus infects your PC motherboard

Security researchers have found a nasty new virus that borrows in to a computer’s motherboard, infects PCs as soon as they boot up, and is particularly difficult to detect and dispose of.

The security firm Symantec identified the threat as Trojan.Mebromi, a piece of rootkit malware — malicious software that hides its presence on infected systems — that worms its way onto the basic input-output system (BIOS) built into a computer’s motherboard.

Once it’s gotten into the BIOS via an attached corrupt file, Mebromi then loads itself onto the PC’s master boot record (MBR), another component that gets executed prior to the loading of a computer’s operating system.

Think of it in terms of the human body: Mebromi doesn’t infect the bloodstream on the way to the heart; it gets into the heart first and then takes control from there.

And as a doctor might toil to treat such a case, anti-virus companies could face a similar struggle.

Because Mebromi stores itself inside the BIOS, anti-virus software would need to effectively remove the Trojan without damaging the motherboard it’s hiding under.

Added to that problem is Mebromi’s persistence: it could potentially keep executing itself every time a user turns on his computer.

“Even if an anti-virus detects and cleans the MBR infection, it will be restored at the next system startup when the malicious BIOS payload would overwrite the MBR code again,” Marco Giuliani from the security company Webroot wrote.

To lower your risk of falling prey to this or any other computer viruses, make sure your computers and all other Internet-connected devices are equipped with anti-virus software


نوشته شده توسط :Mohsen Jamshidi Zarmehri
پنجشنبه 19 بهمن 1391-01:21 ب.ظ

ویروس Iexplore.exe چیست و چگونه با آن مقابله کنیم؟

ویروس Iexplore.exe چگونه می تواند کامپیوتر های تحت ویندوز را آلوده کند؟
یکی از رایج ترین تهدیداتی که می تواند فایل ویروسی iexplore.exe را به سیستم شما وارد کند، یک تروجان از نوع backdoor (نفوذگر از در پشتی)، مانند Backdoor.GrayBird می باشد ( برنامه GrayBird یک ابزار دسترسی از راه دور چینی است که می تواند برنامه ریزی شده تا در پس زمینه کامپیوتر هک شده اجرا گردد . )
این نوع تروجان، خطرناک ترین و گسترده ترین نوع تروجان ها به شمار می رود. تروجان های Backdoor برای خالق یا “استاد طراحی کننده” تروجان نوعی دسترسی کامل از نوع مدیریتی (administration) به کامپیوتر قربانی فراهم می آورند. بر خلاف برنامه های قانونی مدیریت از راه دور کامپیوتر، این دسته تروجان ها به صورت کاملا مخفی و بدون رضایت یا آگاهی کاربر یا قربانی نصب ، راه اندازی و اجرا می شوند. پس از نصب بر روی کامپیوتر هدف، تروجان backdoor قادر است به گونه ای برنامه ریزی شود که به ارسال، دریافت ، اجرا و حذف فایل ها، جمع آوری اطلاعات محرمانه از کامپیوتر هدف، یا اطلاعات مربوط به ورود به سیستم عامل آن کامپیوتر و …مبادرت کند.
برنامه های Backdoor در پس زمینه سیستم اجرا شده و نمی توان توسط چک کردن عادی فرآیندهای در حال اجرای سیستم آنها را شناسایی کرد.
برخی از اقداماتی که ویروس Iexplore.exe می تواند بر روی کامپیوتر آلوده انجام دهد عبارتند از :
* راه اندازی مجدد (Reboot) ناخواسته سیستم .
* دسترسی ، ویرایش و یا حذف هر گونه فایل و پوشه موجود در کامپیوتر.
* ضبط و ارسال اسکرین شات به هکر.
* روشن کردن وب کم و یا میکروفون
* حفظ و ارسال نام های کاربری و کلمات عبور قربانی به هکر.
* امکان تحت کنترل گرفتن کامل سیستم آلوده.
تروجان Backdoor.Graybird توسط یک هکر به کامپیوتر قربانی فرستاده می شود. در این شیوه، برنامه backdoor به طور پیش فرض به صورت پنهانی و به عنوان جعلی “iexplore.exe” که یک فایل سیستمی و معمولی است اجرا می شود.
سپس برنامه backdoor پس از قرارگیری در کامپیوتر هدف سعی میکند به سرور کنترل کننده خود متصل شود تا سرور راه دور را مطلع سازد که بر روی کامپیوتر کاربر آنلاین شده و هکر در حال حاضر می تواند از آن برای سوء استفاده از کامپیوتر کاربر سود ببرد.
پس از آنکه هکر این پیام را دریافت کرد، حالا می تواند بخش سروری نرم افزار backdoor را اجرا کرده و تمام کامپیوترها در شبکه محلی کاربر قربانی را مشاهده کرده و سپس با کمک backdoor حتی به کنترل آنها نیز بپردازد.
برای محافظت از کامپیوتر خود از آلودگی های تروجان های backdoor و جلوگیری از بروز پیام های خطا، مانند خطای iexplorer.exe ، توصیه می شود اقدامات پیشگیرانه ذکر شده در زیر را انجام دهید:
* هرگز روی لینک ها یا فایل های ضمیمه ایمیل های ناخواسته و آنهایی که فرستنده اش را نمی شناسید کلیک نکنید ، چرا که آلودگی از طریق ایمیل متداول ترین روش نصب backdoor در کامپیوتر است.
* از وب سایت های غیر قابل اطمینان و یا مشکوک هیچ چیزی دانلود نکنید.
* همواره نرم افزار آنتی ویروس و ضد جاسوسی خود را با جدیدترین به روز رسانی ها حفظ کنید تا مطمئن شوید که کامپیوتر شما در برابر جدیدترین ویروس ها ، تروجان های backdoor ،جاسوس افزارها (spywares) و غیره حفاظت شده است.
* فایروال را فعال نگه داشته و ابزارهای حفاظتی را برای جلوگیری از هر گونه دسترسی بدون اطلاع به کامپیوتر و یا شبکه کامپیوتری تان نصب کنید.
* سیستم عامل کامپیوتر خود را با آخرین وصله های امنیتی آن به روز نگه دارید.
* هر چند وقت یکبار رمزعبور خود را تغییر دهید تا خسارت های احتمالی که می تواند توسط ویروس و آلودگی ناشی از backdoor متوجه شما گردد را به حداقل برسانید. باید مراقب رمز عبور ورود به کامپیوتر بر روی شبکه هم باشید.
* خدماتی که بر روی کامپیوتر خود استفاده نمی کنید مانند سرور FTP ، وب سرور و شبکه راه دور را غیر فعال کنید، چون این سرویس ها سیستم را در برابر حملات مخرب آسیب پذیر می کنند.
* فیلترهای ایمیل را فعال کرده و سرویس دهنده ایمیل را طوری تنظیم کنید که فایل ضمیمه با پسوندهای مشخص را مسدود کند ، پسوندهایی مانند.scr, vbs, .pif, و .bat که غالبا برای برنامه نویسی ویروس ها مورد استفاده قرار میگیرد.
* به طور منظم رجیستری کامپیوتر خود را اسکن کنید تا رجیستری سیستم را از ورودی های مخرب که می تواند مربوط به فایل ویروسی iexplore.exe و دیگر ورودی های به ظاهر مشروع اما در باطن مخرب که توسط تروجان های backdoor ایجاد شده مصون نگه دارید.

نوشته شده توسط :Mohsen Jamshidi Zarmehri
چهارشنبه 11 بهمن 1391-08:23 ب.ظ

ویروس ها اکثرا کجا ها مخفی می شوند؟؟؟

 وبرای از کارانداختنشون تو بعضی مواقع باید چیکار کرد؟
ویروسها اکثرا در شاخه windows\system32 مخفی میشن.
برای از کار انداختن بیشتر ویروسها باید:
1-تو شاخه system32 و یا windows یه نگاه به کنار فایل های مهم یا خیلی کاربردی ویندوز مثل (calc.exe or explorer.exe or rundll32.exe or ...) بندازید.بعضی ویروسها خود را با نامهای شبیه اینها در اونجا کپی می کنن مثلا نام یک تروجان مثل(sub7) یا یک ویروس می تونه (clac.exe or explorer32.exe or rundll23.exe) باشد. و شما می توانید با حذف آن فایل حدود 70% ویروس را پاک کنید.

2- تو کنسول ویندوز تایپ کنید : msconfig و سپس زبانه ی startupرو باز کنید.اگر چیز مشکوکی دیدید و به نظرتون غیر عادی اومد 90% ویروس است و می توانید آنرا غیر فعال کنید تا در هنگام بالا آمدن ویندوز دیگر اجرا نشود.

3- تو کنسول ویندوز تایپ کنید regedit تا رجیستری باز شود. سپس به شاخه های زیر بروید:

hkey_current_user\software\microsoft\windows\currentversion\run

hkey_local_machine\software\microsoft\windows\currentversion\run

در سمت راست پنجره برنامه هایی که در هنگام بالا آمدن ویندوز اجرا می شوند قرار دارند.
به هرکدوم که مشکوک شدین و یا اسم اجغ وجغ داشت(تروجان sub7) اونرو می تونید پاک کنید.

4- یک آنتی ویروس قوی نصب کن!!!


نوشته شده توسط :Mohsen Jamshidi Zarmehri
چهارشنبه 11 بهمن 1391-07:55 ب.ظ


ابزار تماس با ما
نام و نام خانوادگی :
ایمیل:
شماره تماس :
آدرس سایت :
نام شهر شما :
نحوه ی آشنایی شما با ما :
عنوان پیغام:
پیغام :






Real Time Analytics