در نخستين لحظات آغاز سال 2009 ميلادي، شرکتهاي امنيتي از رديابي يک ويروس رايانهاي جديد با عنوانConfiker خبر دادند. اين کرم رايانهاي بعدها به نامهاي ديگري مثلDownup ياKido نيز خوانده شد و تنها کد مخربي بود که در ماههاي اخير بازتاب بسيار وسيعي در رسانههاي معتبر و بزرگ جهان پيدا کرد.
دليل اين موضوع انتشار ناگهاني، سريع و گسترده اين کرم اعلام شد که با سواستفاده از يک حفره امنيتي مهم در سيستمعامل ويندوز،کاربران خانگي و از آن مهمتر، مديران شبکه را غافلگير کرد. جالب اين بود که حتي سيستمعامل پيشرفته Windows server 2008 و نسخه آزمايشي Windows 7 نيز در برابر حملات اين ويروس خطرناک آسيب پذير بودند.
در اين بين بسياري از کارشناسان امنيتي ازConfiker به عنوان شايعترين و مهمترين کرم رايانهاي تاريخ البته پس از SQL Slammer که در سال 2003 ميلادي منتشر شد، ياد ميکنند.
شرکت امنيتي Panda Security تنها پس از گذشت 3 هفته از آغاز شيوع Confiker اعلام کرد که دست کم 6 درصد از رايانههاي جهان به اين کرم آلوده شده است. درخبري ديگر عنوان شد که با وجود اتخاذ سياستهاي کلان حفاظتي براي محدود کردن انتشار اين کد مخرب تا پايان ژانويه 2009 تعداد رايانههاي آلوده به 6 تا 10 ميليون دستگاه در سرتاسر جهان رسيده است.
در همين ماه، مراکز حساسي چون نيروي دريايي فرانسه، ستاد مشترک ارتش آلمان، وزارت دفاع و اتاق بازرگاني بريتانيا به شکل گستردهاي آلوده شدند و بسياري از فرآيندهاي حساس آنها مختل شد. اين در حالي است که برخي از موسسات مالي و اعتباري و شرکتهاي نفتي ايران نيز با مشکلات ناشي از حمله اين کرم مواجه شدند.
تا ابتداي ماه مارس، سه گونه متفاوت از اين ويروس ثبت شده است که مشهورترين آنها با عنوان Confiker.C خسارتهاي به مراتب بيشتري به بار آورد. با اين وجود که اغلب شرکتهاي امنيتي در مبارزه با اين کد مخرب و ايجاد محدويت در انتشار آن موفق بودهاند، اما هنوز هم شرايط براي انتشار و فعاليت آن مساعد است.
مشکل اساسي، حفره امنيتي ترميم نشده ويندوز است که مانند يک کانال امن براي نفوذ Confiker عمل ميکند و در اين صورت ضد ويروسهاي به روز نشده به هيچ وجه قادر به کنترل آلودگي نيستند.
با وجود کاهش نسبي فعاليت اين ويروس در ماه گذشته ميلادي برخي از شرکتهاي امنيتي پيشبيني کرده بودند که رايانههاي خانگي و شبکههاي سازماني با موج تازهاي از حملاتConfiker مواجه خواهند شد. اين پيشبيني هنگامي محقق شد که چهارمين گونه اين ويروس خطرناک نيز در نخستين روزهاي ماه آوريل و در بخش اصلي اخبار بزرگترين رسانههاي جهان منعکس شد.
شيوع Conficker.D به حدي ناگهاني و غافلگير کننده بود که شرکتهاي امنيتي را مجبور کرد براي جلوگيري از انتشار بيشتر
بي وقفه آن، کميته مشترک بحران تشکيل دهند.
Conficker.D به محض آغاز فعاليت خود در سيستم، ابزار امنيتي نصب شده در آن را غير فعال و از آغاز هر گونه پردازش حفاظتي ديگر نيز جلوگيري ميكند تا تخريب و انتشار مجدد آلودگي به سيستمهاي ديگر را بدون هيچ گونه مزاحمتي پيگيري کند.
اما با تمام اين تفاسير و با وجود بزرگنماييهاي رسانهاي در خصوص اين کد مخرب، هيچ دليلي وجود ندارد تا آن را شکستناپذير و غير قابل کنترل بدانيم.
نخستين موضوع اين است که خانواده Conficker به هيچ وجه خطرناکتر از ساير کدهاي مخرب نيست. بلکه تنها نقطه قوت آن انتشار بسيار سريع از طريق حفرههاي امنيتي ويندوز و نيز حافظههاي جانبي قابل اتصال به صدها ميليون رايانه در سرتاسر جهان است.
نکته اميدوار کننده بعدي اينکه اکنون اغلب شرکتهاي مطرح امنيتي برنامههاي خود را مجهز به ابزار شناسايي، کشف و پاکسازيConficker كردهاند. بنابراين کاربران اينترنت يا مديران شبکه با بهکارگيري جديدترين گونههاي يکي از اين برنامههاي قابل به روزرساني، نصب اصلاحيههاي ضروري براي ترميم نقصهاي ويندوز و نيز امن نگاه داشتن فعاليتهاي اينترنتي و توجه به امنيت حافظههاي جانبي قابل اتصال به رايانهها احتمال مواجه شدن با Conficker را به صفر ميرسانند. به نظر ميرسد تنها موفقيت منتشر کنندگان اين کد مخرب احساس کاذب امنيت و يا بي توجهي کاربران به امن نگاه داشتن محيط مجازي آنها است.
براساس اطلاعات جديدي که توسط لابراتوارهاي امنيتي پاندا (PandaLabs)، منتشر شده، روش انتشار Conficker به سرعت در حال تغيير است. اکنون پس از اطلاع رسانيهاي وسيع، به روز شدن نرم افزارهاي ضدويروس و ترميم بسياري از حفرههاي موجود در برنامههاي مختلف ويندوز، نقش اينترنت و شبکه در شيوع اين کرم قدرتمند کم رنگتر شده و در عوض اهميت پورتهاي USB افزايش يافته است.
Conficker، تبحر عجيبي در انتشار از طريق حافظههاي جانبي (حافظههاي ذخيره و انتقال فايل، پخش کنندههاي موسيقي، تلفنهاي همراه و ...) را در اختيار دارد. اين قابليت به علت استفاده از خصوصيت اجراي خودکار (Autorun) به محض اتصال به سيستمهاي جديد است.
برخي از شرکتهاي امنيتي براي غيرفعال کردن ويروسهايي که از قابليت Autorun استفاده ميکنند، راهکارهاي موثري را ارايه دادهاند. يکي از جديدترين و پيشرفتهترين آنها ابزار سادهاي به نام Panda USBVaccine است که قادر است کليه فايلهايي که داراي قابليت اجراي خودکار هستند را غيرفعال کند.
بنابر ادعاي شرکت توليد کننده اين ابزار، Panda Security، کاربران با استفاده از اين برنامه کم حجم و رايگان، رايانههاي خود را در برابر حملات کدهاي مخرب داراي Autorun بيمه ميکنند.
در نهايت راهکار مبارزه موثر با Conficker را دوباره مرور ميکنيم:
- استفاده از يک ضد ويروس قدرتمند و به روز با لايسنس معتبر
- دانلود و نصب اصلاحيههاي امنيتي مايکروسافت براي ترميم آسيبپذيريهاي ويندوز
- توجه به امنيت فعاليتها و تبادلات اينترنتي
- و مهمتر از همه اطمينان از امنيت حافظههاي جانبي و يا دست کم غيرفعال کردن برنامه هايAutorun در آنها