IRCRE200904006
ويروس Conficker كه با نامهاي kido، Downup و Downadup نيز شناخته مي شود، با سوءاستفاده از يك آسيب پذيري ويندوز كه در ماه اكتبر سال گذشته اصلاحيه اي براي آن منتشر شده است، به رايانه ها نفوذ پيدا كرده و دردسرهايي را براي رايانه قرباني ايجاد مي كند. هر چند سازندگان ويروس مزبور هنوز استفاده خطرناكي از شبكه رايانه هاي آلوده نكرده اند، اما طبق نظر محققان كرم Conficker همچنان يك خطر بالقوه محسوب شده و لازم است به كاربران رايانه آگاهي لازم در مورد ويروس مذكور و راههاي مقابله با آن داده شود. كاربران بسياري گمان مي كنند كه رايانه شان توسط ويروس Conficker آلوده شده است و با توجه به اينكه ويروس مذكور پس از آلوده سازي سيستم، مانع از اتصال به وب سايتهاي آنتي ويروس مي شود، مشكل اصلي چگونگي پاكسازي رايانه آلوده است. در صورتي كه شما هم يكي از قربانيان Conficker هستيد، نگران نباشيد زيرا در اين گزارش قصد داريم كاربران خود را براي پاكسازي رايانه شان ياري رسانيم. در گام اول بايد از آلودگي رايانه خود توسط اين ويروس اطمينان حاصل كنيد. اين ويروس علامتهايي كه براي يك كاربر عادي قابل درك باشد، بر روي رايانه ايجاد نمي كند. لذا ساده ترين راه براي تشخيص آلودگي آزمايش امكان دسترسي به وب سايتهاي آنتي ويروس است، زيرا همان طور كه گفتيم اين ويروس مانع از دسترسي قربانيان به وب سايتهاي آنتي ويروس مي شود. اخيراً يك نمودار تصويري ساده جهت تشخيص آلودگي ابداع شده است كه با مراجعه به آن مي توانيد از نفوذ Conficker به رايانه خود اطلاع حاصل كنيد. يكي ديگر از علامتهاي آلودگي با Conficker، غير فعال شدن سرويسهاي Automatic updates، Background Intelligent Transfer Service، Windows Defender، Error Reporting Service بدون اطلاع كاربر است. در صورتي كه شما مدير شبكه هستيد، از ديگر علامتهاي آلودگي، ترافيك بالاي غيرعادي بر روي شبكه محلي و همچنين پاسخگويي كند كنترل كننده هاي دامنه به درخواست هاي كاربران است. قبلاً توضيح داديم كه اين ويروس با استفاده از يك آسيب پذيري در ويندوز به رايانه ها نفوذ پيدا مي كند و مايكروسافت يك اصلاحيه امنيتي به نام MS08-067(KB 958644) را در سال گذشته براي آن ارائه كرده است. درست است كساني كه اصلاحيه فوق را به موقع دريافت و نصب كرده اند از اين ويروس در امان هستند، اما اين فكر كه ليست به روزرساني هاي ويندوز را چك كنيم و در صورت وجود داشتن اين اصلاحيه خيالمان راحت شود، ايده خوبي محسوب نمي شود چرا كه Conficker يك نسخه جعلي از اين اصلاحيه را بر روي رايانه قرباني قرار مي دهد. در صورتي كه از آلوده بودن رايانه خود اطمينان حاصل كرديد، گام بعدي دريافت يكي از چندين ابزار پاكسازي رايگان ميباشد. ابزارهاي مخصوص پاكسازي Conficker عبارتند از: McAfee’s Stinger، Eset’s Win32/Conficker Worm Removal Tool ، Symantec’s W32.Downadup Removal Tool و Sopho’s Conficker Cleanup Tool. در صورتي كه امكان دسترسي به يك رايانه غير آلوده براي شما فراهم مي باشد، توصيه مي كنيم ابتدا ارتباط رايانه خود با اينترنت را قطع كنيد و سپس از طريق رايانه غير آلوده يكي از ابزارهاي فوق را دريافت كرده و با استفاده از CD و يا حافظه فلش آن را بر روي رايانه خود نصب كنيد. گام بعدي غيرفعال كردن AutoRun ويندوز مي باشد، زيرا يكي از متداول ترين راههاي نفوذ Conficker از اين طريق مي باشد. شركت Eset كه يكي از معتبرترين شركتهاي فعال در زمينه امنيت فناوري اطلاعات است ادعا مي كند، يكي از هر 15 تهديد امنيتي كه در سال 2008 تشخيص داده، مربوط به AutoRun ويندوز بوده است. متأسفانه غير فعال كردن اين خصوصيت ويندوز به راحتي امكان پذير نيست زيرا حتي اگر آن را از طريق ابزارهاي متداول غيرفعال كنيد، به جاي صرف نظر كردن كامل از فايلهاي autorun، باز هم قسمت زيادي از فايل autorun.inf را مرور مي كند. براي غيرفعال كردن كامل اين امكان، لازم است متن زير را در يك فايل Notepad كپي كنيد. دقت كنيد كه از اولين براكت سمت چپ تا آخرين گيومه متن در يك خط قرار بگيرد.
اين فايل را با نام StopAutoRun.REG ذخيره كنيد، سپس بر روي فايل دو بار كليك كنيد. به اين ترتيب شما امكان Autorun را كاملاً غيرفعال مي كنيد، ولي از طرفي امكان اجراي CD ها و DVD ها را به محض قرار دادن آنها در درايو نخواهيد داشت. البته اين مسئله در مقابل بستن يك نقص امنيتي نسبتاً خطرناك بهاي معقولي به نظر مي رسد. بعد از اين رايانه شما پاك شده است، ولي باز هم كارهايي را بايد انجام دهيد و آن هم تغيير عادت در كار با رايانه و اينترنت است. عادت كنيد اصلاحيه هاي امنيتي نرم افزارهاي خود و به خصوص ويندوز را در اولين فرصت دريافت و نصب كنيد. عادت كنيد بر روي هر لينكي در اينترنت كه پيشنهاد اسكن رايگان رايانه شما در مورد ويروسها را مي دهد، كليك نكنيد و در انتها توجه داشته باشيد كه صرف نصب كردن يك آنتي ويروس خوب بر روي رايانه كافي نيست و بايد آن را مرتباً به روز رساني كنيد تا امكان تشخيص ويروسهاي جديد را دارا باشد.
- 11