هکرها موفق شدند سایت چند شرکت بزرگ امنیتی را هک کنند و اطلاعات خصوصی مشتریان آنرا به سرقت ببرند. یکی از این شرکتها که -البته از انجین آنتیویروس ضعیفی برخوردار است- BitDefender میباشد که چند روز قبل سایت آن از طریق تزریق کدهای SQL مورد حمله قرار گرفت و اطلاعات محرمانه مشتریان و ایمیل آنها را دزدیده شد. گفتنی است چندی قبل همین اتفاق برای سایت Kaspersy افتاد و اطلاعات شخصی کاربران کسپرسکی روسی نیز به سرقت رفت. بیت دفندر اعلام کرد که بعد از آسیب پذیری سایت، سرور مربوطه را خاموش کرد.
آخر هفته پیش نیز سایت لابراتوار کاسپراسکی در آمریکا هک شد و حدود 25000 اطلاعات شخصی و ایمیل مشتریان و احتمالا اکتیوکد آنان به سرقت رفت. این درحالی است که کاسپرسکی که یک شرکت روسی است طرفداران بیشماری در ایران دارد.
شرکت سوم شرکت F-Secure بود که این شرکت نیز مورد هک قرار گرفت ولی خوشبختانه سرقت اطلاعاتی از آن انجام نشد.
به قول یکی از دوستان چطور میتوان به چنین شرکتهایی که ادعای امنیت میکنند اعتماد کرد، درحالی که این شرکتهای مدعی توانایی حفظ امنیت سایتهای اینترنتی خود را هم ندارند.
منبع PCWorld/AP :
یک آنتیویروس امروزی نباید تنها شامل آنتیویروس باشد بلکه میبایست از طیف عظیمی از تهدیدات و خطرات اینترنتی جلوگیری کند. از بین آنتیویروسهای مطرح، کوییکهیل با داشتن دهها تکنولوژی پیشرفته درونی (built-in) توانسته نیاز بسیاری از کاربران حرفهای را به خود جلب کند. بنده در جهت اطلاعرسانی برخود وظیفه میدانم تا به برخی از تکنولوژیهای بکار رفته در این آنتیویروس اشاره کنم:
- (DNA Scan Technology Proactive Detection)
کوییکهیل این ویژگی انحصاری و تکنولوژی اکتشافی مبتنی بر هوش مصتوعی DNA Scan را به عنوان یک اسکن فشرده و اتوماتیک برای حفاظت سیستم شما در برابرWorm های جدید، Trojanهای بدون آپدیت امضاء (Signature) وMalWare ها مورد استفاده قرار می دهد .
- PC2 Mobile Scanویژگی انحصاری فوق، ویروسها و SpyWare ها را از گوشی های موبایل شما و PDAS & Smart Phone به وسیله اتصال به PC (از طریق بلوتوث یا کابل USB ) پاک می کند. نیازی به خریدن AV Scaner برای موبایل نیست چون این ویژگی یک اسکنر رایگان را با محافظ DeskTop تأمین می کند.
- Anti Malwareانجین جدید پیشرفته اسکن Malware، مخربها را در رجیستری، فایلها و فولدرها را با سرعت فوقالعاده زیاد اسکن میکند و به طور جامع Spyware ،Adware ،Roguewares ،Dialer ،Riskware و بسیاری دیگر را شناسایی و پاکسازی میکند.
- Anti-RootkitRootkitها را بطور پیشگیرانه از طریق انجام اسکن عمیق سیستم شناسایی و پاکسازی میکند. این قابلیت پروسسهای در حال اجرا، رجیستری و فایلهای سیستمی را از هر نوع فعالیت مشکوک و مخفی روتکیت اسکن مینماید.
- Emergency CDشما میتوانید یک Bootable CD با توجه به ویندوز خود بسازید. این ویژگی در ویروسیابی سیستمهایی که به شدت آلوده شدهاند و نمیتوان فایلهای بوت و سیستمی ویندوز، پراسسهای درحال اجرا و... را از روی ویندوز پاکسازی کرد، کاربرد دارد.
- Native Boot Scan
Native Scan
همه درایوها را در زمان بوت، قبل از بوت شدن کامل ویندوز ازآلودگی پاکسازی می کند. این امر به پاکسازی حتی در موارد Root Kit ها ، SpyWare ها ، Trojan ها و Logger های خاص نیز کمک میکند.
- On Demand Scanner/ Property Sheet Feature
- WiFi networks protection
- AMON & DMON & IMON & EMON Configuration
- Http Scan
- Self-Defense
- Microsoft office document protection
- Control Center layout
- Heuristic Scan
- Trusted Mail Client
- Messenger Services
- Active Sensor
- Multiple Scanning- Memory Scanning
- Drag & Drop Scanning
- Schedular
- Password Protection
- Free Upgrade
- Online Protection
- Smart Time Savers
- Push/ Pull Updates- AntiPopUp
- Email Protection
- Reports
- StartUp Scan
- Quick Update
- Hijack Restore
- Track Cleaner
- Windows Spy Finder
- Advanced System Explorer
- Virus List
- Powerful Quarantine Tool
- System Information
- Registry Restore
- Internet Security
- Exclusion File & Folder
- Automatic Update
- Silent Update- AntiVirus
- AntiSpyware
- FireWall
- AntiSpam
- AntiPhishing
- DataTheftProtection
- Privacy Protection
- PC2MobileScan
- AntiRootkit
- AntiMalware
-...
شما میتوانید یک CD اورژانسی قابل راهاندازی (Emergency Bootable CD) با توجه به ویندوز خود بسازید که به شما در ویروسیابی فایلهای بوت ویندوز کمک میکند. همه درایوها حتی پارتیشنهای NTFS را اسکن و پاکسازی میکند . این ویژگی در ویروسکشی کامپیوترهایی که به شدت آلوده شدهاند و ویروسهایی که نمیتوان آنها را از داخل ویندوز از بین برد (مثل فایلهای سیستمی ویندوز که در حال اجرا هستند و آلوده شدهاند) کمک شایانی به کاربران مینماید.
در آخرین آزمون موسسه معتبر ویروسشناسی ویروس بولیتن که در همین ماه (فوریه 2009) بر روی پلتفرم Red Hat Enterprise Linux برگزار شد، تنها 9 شرکت از بین 37 شرکت امنیتی موفق به کسب این جایزه معتبر شدند. این آزمون یکی از سختگیرانهترین آزمونهای ردهبندی مربوط به آنتیویروسها و محصولات امنیتی در سطح جهان است که ویروسیابها میبایست همه ویروسهای احتمالی را تشخیص و از بین ببرند. شرکتهای Alwil، Avira Eset، Eset، F-Secure، Kaspersky، Sophos، Symantec،VirusBuster و آنتیویروس Quick Heal موفق به کسب این جایزه شدند. از نکات قابل توجه رد شدن McAfee در این آزمون میباشد. در ضمن برخی دیگر از آنتیویروسهایی که در کشور ما مطرح میباشند نیز طبق انتظار نتوانستهاند با برنده شدن این جایزه افتخار کسب کنند.
این مقایسه بین بهترین و مطرحترین آنتیویروسهای جهان نسخه تحت شبکه یا سرور توسط موسسات بینالمللی در سال ۲۰۰۹ میلادی انجام شده است. متخصصان و مدیران شبکه میتوانند از این مقایسه برای یافتن بهترین گزینه با توجه به خواسته خود اقدام کنند.
ادامه مطلب ...شما میتوانید اسکن خالص(Native Scanning) را در کامپیوتر خود در راهاندازی بعدی برنامهریزی کنید که همه درایوها را در زمان بوت قبل از اینکه ویندوز به صورت کامل بارگذاری گردد اسکن و پاکسازی خواهد کرد. این ویژگی پیشرفته در شناسایی و نابودسازی حتی روتکیتهای زیرک (cunning rootkits)، جاسوسافزارها(spywares)، تروجانهایی با اهداف خاص و وقایعنگارهای مخفی(loggers) به شما کمک خواهد کرد.
Anti Virus |
ویروسها(viruses)، کرمها(worms) و تروجانها(trojans) به صورت اتوماتیک شناسایی کرده و از بین میبرد. از فایلهای شما محافظت میکند. همچنین آلودگیها را از الصاقهای(attachments) ایمیل و دانلودهای اینترنتی بصورت خودکار اسکن و پاکسازی میکند.
Anti-Spyware |
قبل از اینکه جاسوسافزارها(spywares) بر روی کامپیوتر شما نصب شود از ورود آن جلوگیری میکند. از طریق شناسایی و پاکسازی اسپایویرها و مسدودسازی فعالیتهای سارقان اطلاعات خصوصی از حریم خصوصی شما بصورت خودکار محافظت میکند.
Firewall |
فایروال 3.0 کوییکهیل آگنیتوم اجازه دسترسی هکرها و سارقان اطلاعات به کامپیوتر شما را قفل میکند. محافظت جامعی را در برابر حملات شناختهشده و ناشناخته، تحت شبکه داخلی و خارجی را برای شما فراهم میسازد.
Anti-Spam |
از ورود نامههای الکترونیکی ناخواسته (ایمیلهای Spam)، میلهای حمله کننده سایتها قلابی -شبیه سایتهای رسمی که اطلاعات بانکی و یا پسورد و یا اطلاعات خصوصی را میدزدند-(Phishing)، ایمیلهای تبلیغاتی ناخواسته(junk mails) و میلهای مبتذل ناخواسته (porn mails)، را قبل از اینکه به صندوق ورودی (inbox) شما برسد جلوگیری میکند.
AntiPhishing |
همه سایتهایی را که به آن وارد میشوید را از لحاظ فعالیتهای کلاهبردارانه بهصورت خودکار اسکن میکند و شما را در برابر هر حمله فیشینگ (سایتهای کلاهبردارنهای که شبیه سایتهای رسمی در جهت سرقت اطلاعات وجود دارند) در پیمایش سایتهای اینترنتی محافظت میکند.
Data Theft Protection |
مانع کپی همه نوع دیتا و فایلی از سیستم شما به حافظههای قابل جابجایی (مثل دیسکهای فلش، مموری، رمریدر، کولدیسک، MPlayer، هارد اکسترنال، درایوهای قلمی یا دیگر ابزارهای ذخیرهسازی) و همینطور برعکس توسط افراد ناشناس میشود.
Privacy Protection |
همه تاریخچههای وقایع(history logs) و اثرات باقیمانده فعالیتها را بوسیله از بینبردن پیگیریها(Track) پاکسازی میکند. همچنین تاریخچه و لیست آخرین فایلهای بازشده توسط برنامههای مختلف را از بین میبرد و حریم خصوصی شما را حفظ مینماید.
PC2Mobile Scan |
ویروسها و جاسوسافزارها را از گوشیهای موبایل، PDAها و Smart phoneها تنها با اتصال آنها به PC شما اسکن و ویروسکشی میکند.
Anti-Rootkit |
Rootkitها(روتکیتها) را بطور پیشگیرانه از طریق انجام اسکن عمیق سیستم شناسایی و پاکسازی میکند. پروسسهای در حال اجرا، رجیستری و فایلهای سیستمی را از هر نوع فعالیت مشکوک روتکیت که در سیستم مخفی نگه داشته شده است، اسکن مینمایند.
AntiMalware |
انجین جدید پیشرفته اسکن مخربها(Malware)، رجیستری، فایلها و فولدرها را با سرعت فوقالعاده زیاد اسکن میکند و به طور جامع جاسوسافزارها(Spyware)، تبلغافزارها(Adware)، نرمافزارها کلاهبرداری و سرقت(Roguewares)، شماره گیرندهها(Dialer)، ریسکافزارها(Riskware) و بسیاری دیگر که پتانسیل خطر در سیستم شما دارند را شناسایی و پاکسازی میکند.
در این مقاله میخواهم در مورد نحوه عملکرد جدیدترین ویروس کامپیوتری (Worm) که این روزها میلیونها کامپیوتر در سراسر جهان را آلوده کرده است و حتی شرکتهای بزرگ امنیتی جهان را به دردسر انداخته اطلاعات کاملی را ارائه کنم.
این کرم اینترنتی که به نام I-Worm.Kido توسط کوییکهیل و Worm/Kido.BO توسط آویرا و مکافیآن را با نام W32/Conficker.worm.gen.a میشناسد، سیستم عاملهای Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP را آلوده میسازد.
این کرم اینترنتی که به سرعت از طریق اینترنت گسترش یافته، میتواند از طرق دیگر نظیر شبکه داخلی LAN، داریوهای حافظه مثل فلش و همچنین پسوردهای ضعیف مدیرشبکه نفوذ کند. کیدو برای پخش شدن از آسیبپذیری سرویس سرور ویندوز (SVCHOST.EXE) استفاده میکند.
وقتی I-Worm.Kido شروع به کار کرد، فعالیتهای زیر را در سیستم شما انجام میدهد:
ابتدا اگر سرویس SVCHOST.EXE نفوذپذیر بود آن به کاربر اجازه خواهد داد تا وقتی که فایلهای اشتراکی فعال بود کدها را بصورت ریموت اجرا کند.
این کرم یکی یا چندتا از فایلهای زیر را در مسیرهای ذکرشده ایجاد میکند:
%ProgramFiles%\Internet Explorer\{Random Name}.dll
%ProgramFiles%\Movie Maker\{Random Name}.dll
%System%\{Random Name}.dll
%Temp%\{Random Name}.dll
%Documents and Settings%\All Users\Application Data \
{Random Name}.dll
همچنین دیتاهای زیر را در رجیستری ویندوز تغییر میدهد:
{Random Name} = "rundll32.exe "{Random Name}.dll", ydmmgvos"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Service name = {Random Name}
Display name = {Random Name}
Startup Type = Automatic
ImagePath = "%System%\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\{Random Name}
dl = "0"
ds = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets
dl = "0"
ds = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Applets
CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL
این کرم جدید اینترنتی همچنین اطلاعات زیر را در رجیستری برای توسعه سریع در طول شبکه ایجاد میکند:
TcpNumConnections = "00FFFFFE"
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
ممکن است این مخرب اینترنتی System Restore ویندوز را که به وسیله کاربر برای بازگرداندن فایلهای ویندوز در مواقع ضروری ساخته شده است را پاک کند. همچنین چندین سرویس مهم سیستمی و محصولات امنیتی را غیرفعال میکند.
کارشناسان امنیتی شدیداً توصیه میکنند که وصله جدید مایکروسافت را از سایت آن دانلود کرده و سیستم خود را امن سازید. لینک دانلود
همچنین کوییکهیل یک ابزار رایگان را برای دانلود همگان بر روی سایت خود گذاشته که میتوانید از این ابزار برای اسکن و از بین بردن این ورم استفاده کنید. لینک دانلود
متخصصان همچنین توصیه میکنند که مدیران شبکه حتما پسورد سخت (strong) برای کاربران خود تعیین کنند تا از طریق پسوردهای ساده این ویروس در سطح شبکه داخلی منتشر نگردد.
این کرم همچنین سرویسهای زیر را غیرفعال و یا در اجرای آنان اختلال ایجاد میکند:
* Windows Update Service
* Background Intelligent Transfer Service
* Windows Defender
* Windows Error Reporting Services
کاربران ممکن است نتوانند به سایتهایی که یکی از کلمات زیر در آنها وجود دارد متصل شوند:
QuickHeal
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
آن همچنین به یکی از وبسایتهای زیر وصل شده و IP کامپیوتر قربانی را بدست میآورد:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org
عملکرد:
* ممکن نقاط بازیابی سیستم (System Restore) را پاک کند.
* سرویسهای امنیتی و محافظتی مربوطه را غیرفعال میسازد.
* سرویسهای ویندوز را غیرفعال میسازد.
* دسترسی به سایتهای امنیتی را بلاک میکند.
سولوشن:
System Restore را غیرفعال کنید.
نحوه غیرفعال سیستم ریاستور در ویندوز Me:
دکمه Start و Settings و Control Panel سپس System را دابل کلیک کنید و به سربرگ Performance بروید. File System را کلیک و از تب 'Troubleshooting' گزینه 'Disable System Restore' را کلیک و Apply کرده و سپس سیستم را Restart میکنیم.
نحوه غیرفعال System Restore در ویندوز XP:
دکمه Start و Settings و Control Panel سپس Performance and Maintenance. را انتخاب کنید. “System” را دابل کلیک کرده و سربرگ System Restore را برگزینید. 'Turn off System Restore” را بر روی همه درایوها انتخاب کرده و Aplly، سپس سیستم را ریست کنید.
حالا میتوانید آنتیویروس خود را آپدیت کرده و سپس سیستم را اسکن کنید. ولی یک پیشنهاد جدی دارم که از آنتیویروسی استفاده کنید که حتما همیشه به روز باشه و انجین قویای هم داشته باشه. من خودم آنتیویروس کوئیکهیل را در بستر شبکه و کلاینت بسیار قوی دیدم و تا حالا هیچ ویروسی رو ندیدم که کوییکهیل نتواند آنرا از بین ببرد.
با سپری شدن چندین روز از انتشار کرم جدید اینترنتی با نامهای Downadup یا Conflicker یا KIDO، همه شرکتهای آنتیویروسی بزرگ جهان در حال آماده باش بوده و حتی در روزهای شنبه و یکشنبه نیز متخصصان فنی آن بصورت کامل مشغول فعالیت هستند. از مهمترین ویژگیهای این کرم جدید تولید خودکار خود با نامهای جدید و حتی پسوندهای متفاوت میباشد. دیگر ویژگی آن بستن همه سایتهای آنتیویروسی و حتی مایکروسافت میباشد که کار را برای کاربران دشوارتر ساخته است.
از مزایای سیستم دفاع پیشگیرانه که کوییکهیل با نام انحصاری DNAScan از آن سود میبرد جلوگیری از عملکرد ویروس، کرم و به طور کلی تهدیدات میباشد و علاوه بر نام مخرب، بر اساس ساختار آن از نفوذ آن به سیستم جلوگیری میکند.
چند وقت قبل که درباره انتشار کرم Kido یا Conficker یا Downadup مطلبی پست کرده بودم. حالا برای اونهایی که به امنیت سیستمشون اهمیت میدهند میخواهم آدرس وصلههای امنیتی ویندوز را که مایکروسافت اونها را برای جلوگیری از ورود این ورم داده بهتون بدم تا اونها را با توجه به سیستم عاملتون دانلود کنید و نصب کنید:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista and Windows Vista Service Pack 1
Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems*
Windows Server 2008 for x64-based Systems*
Windows Server 2008 for Itanium-based Systems
بعد از شروع سال 2009 بابانوئل ویروسنویسها هم عیدی های جالبی را برای کاربران کامپیوتر و اینترنت آورده. یکی از این مخربها که در رسته Worm قرار می گیره چند وقتی است بدجوری همه را مشغول خودش کرده. اسم این کرم "W32.Kido.a" هست که البته سری های جدیدتری هم از این کرم به کامپیوترها نفوذ کرده مثل"W32.Kido.b" و "W32.Kido.d" و... .
عملکرد کرم:
این کرم از طریق تغییراتی که در رجیستری و تنظیمات شبکه میده، اجازه لود شدن سایتهای شرکتهای بزرگ آنتیویروس را نمیده و شما را با پیغام خطا مواجه میکنه. بدین صورت که اگر شما بخواهید به سایت www.Microsoft.com یا www.quickheal.com یا Nod32.com حتی http://www.qhi.ir و... بروید امکان ندارد به شما اجازه چنین کاری رو بده و شما فکر میکنید سایت این شرکتها مشکل داره در صورتی که کامپیوتر شما ویروسی شده.
نحوه تشخیص آلودگی:
به راحتی با وارد کردن آدرس های فوق سایت این شرکتهای ویروسکشی باز نمیشه.
عوارض جانبی:
مهمترین مشکلی که شما با آن مواجه خواهید شد، اگر شما یک آنتیویروس اوریجینال خریده باشید حتما برای رجیستر شدن و مراحل تکمیل ثبت نام باید به سایت آن شرکت وصل شوید (اگر شما هم وصل نشوید خود آنتی ویروس برای رجیستر به سایت شرکتش وصل میشه). پس شما نمیتوانید آنتی ویروس خود را ثبت کنید. مشکل دوم این است که باز هم اگر از آنتیویروس اوریجینال استفاده میکنید آنتیویروس شما قادر به دریافت آپدیت و بروزرسانی از اینترنت نمیباشد. پس مشکل آپدیت هم میافتید.
راهکار:
بعضی از آنتیویروسها هنوز متوجه چنین کرمی نشدهاند و در تعطیلات کریسمس بسر میبرند! ولی چندتایی از اونها راهکار ارائه کردند که من راهکار آنتیویروس کوییک هیل را سادهتر و جالبتر دیدم. به این صورت که شما یک پوشه zip شده را از http://www.yousendit.com/download/WnBSOGNlZ2plaFRIRGc9PQ دانلود کرده و بعد آنرا Un-Zip میکنید. بعد کوییکهیل را از سینی غیرفعال "Disable " کرده بعد دکمه Alt+Ctrl+Del را زده و Task Manager را باز میکنید بعد از لیست پروسسهای در حال اجرا، پردازشهای onlinent.exe و onlnsvc.exe و opssvc.exe را "End Process" میکنیم. حالا فایلها را در درون پوشه نصب کوییکهیل ریخته و scankido.exe را اجرا کرده و سپس کامپیوتر را ریاستارت میکنیم. تمام/
برای اطلاعات بیشتر:
http://support.quickheal.com/esupport/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=41