چگونه خود را در برابر ویروس Confiker واکسینه کنیم؟

در نخستين لحظات آغاز سال 2009 ميلادي، شرکت‌هاي امنيتي از رديابي يک ويروس رايانه‌اي جديد با عنوانConfiker خبر دادند. اين کرم رايانه‌اي بعدها به نام‌هاي ديگري مثلDownup ياKido نيز خوانده شد و تنها کد مخربي بود که در ماه‌هاي اخير بازتاب بسيار وسيعي در رسانه‌هاي معتبر و بزرگ جهان پيدا کرد.

دليل اين موضوع انتشار ناگهاني، سريع و گسترده اين کرم اعلام شد که با سو‌استفاده از يک حفره امنيتي مهم در سيستم‌عامل ويندوز،کاربران خانگي و از آن مهم‌تر، مديران شبکه را غافلگير کرد. جالب اين بود که حتي سيستم‌عامل پيشرفته Windows server 2008 و نسخه آزمايشي Windows 7 نيز در برابر حملات اين ويروس خطرناک آسيب پذير بودند.

در اين بين بسياري از کارشناسان امنيتي ازConfiker به عنوان شايع‌ترين و مهم‌ترين کرم رايانه‌اي تاريخ البته پس از SQL Slammer که در سال 2003 ميلادي منتشر شد، ياد مي‌کنند.

شرکت امنيتي Panda Security تنها پس از گذشت 3 هفته از آغاز شيوع Confiker اعلام کرد که دست کم 6 درصد از رايانه‌هاي جهان به اين کرم آلوده شده است. درخبري ديگر عنوان شد که با وجود اتخاذ سياست‌هاي کلان حفاظتي براي محدود کردن انتشار اين کد مخرب تا پايان ژانويه 2009 تعداد رايانه‌هاي آلوده به 6 تا 10 ميليون دستگاه در سرتا‌سر جهان رسيده است.

در همين ماه، مراکز حساسي چون نيروي دريايي فرانسه، ستاد مشترک ارتش آلمان، وزارت دفاع و اتاق بازرگاني بريتانيا به شکل گسترده‌اي آلوده شدند و بسياري از فرآيند‌هاي حساس آنها مختل شد. اين در حالي‌ است که برخي از موسسات مالي و اعتباري و شرکت‌هاي نفتي ايران نيز با مشکلات ناشي از حمله اين کرم مواجه شدند.

تا ابتداي ماه مارس، سه گونه متفاوت از اين ويروس ثبت شده است که مشهورترين آنها با عنوان Confiker.C خسارت‌هاي به مراتب بيش‌تري به بار آورد. با اين وجود که اغلب شرکت‌هاي امنيتي در مبارزه با اين کد مخرب و ايجاد محدويت در انتشار آن موفق بوده‌اند، اما هنوز هم شرايط براي انتشار و فعاليت آن مساعد است.

مشکل اساسي، حفره امنيتي ترميم نشده ويندوز است که مانند يک کانال امن براي نفوذ Confiker عمل مي‌کند و در اين صورت ضد ويروس‌هاي به روز نشده به هيچ وجه قادر به کنترل آلودگي نيستند.

با وجود کاهش نسبي فعاليت اين ويروس در ماه گذشته ميلادي برخي از شرکت‌هاي امنيتي پيش‌بيني کرده بودند که رايانه‌هاي خانگي و شبکه‌هاي سازماني با موج تازه‌اي از حملاتConfiker مواجه خواهند شد. اين پيش‌بيني هنگامي محقق شد که چهارمين گونه اين ويروس خطرناک نيز در نخستين روزهاي ماه آوريل و در بخش اصلي اخبار بزرگ‌ترين رسانه‌هاي جهان منعکس شد.

شيوع Conficker.D به حدي ناگهاني و غافلگير کننده بود که شرکت‌هاي امنيتي را مجبور کرد براي جلوگيري از انتشار بيش‌تر

بي وقفه آن، کميته مشترک بحران تشکيل دهند.

Conficker.D به محض آغاز فعاليت خود در سيستم، ابزار امنيتي نصب شده در آن را غير فعال و از آغاز هر گونه پردازش حفاظتي ديگر نيز جلوگيري مي‌كند تا تخريب و انتشار مجدد آلودگي به سيستم‌هاي ديگر را بدون هيچ گونه مزاحمتي پي‌گيري کند.

اما با تمام اين تفاسير و با وجود بزرگنمايي‌هاي رسانه‌اي در خصوص اين کد مخرب، هيچ دليلي وجود ندارد تا آن را شکست‌ناپذير و غير قابل کنترل بدانيم.

نخستين موضوع اين است که خانواده Conficker به هيچ وجه خطرناک‌تر از ساير کدهاي مخرب نيست. بلکه تنها نقطه قوت آن انتشار بسيار سريع از طريق حفره‌هاي امنيتي ويندوز و نيز حافظه‌هاي جانبي قابل اتصال به صدها ميليون رايانه در سرتاسر جهان است.

نکته اميدوار کننده بعدي اينکه اکنون اغلب شرکت‌هاي مطرح امنيتي برنامه‌هاي خود را مجهز به ابزار شناسايي، کشف و پاکسازيConficker كرده‌اند. بنابراين کاربران اينترنت يا مديران شبکه با به‌کارگيري جديدترين گونه‌هاي يکي از اين برنامه‌هاي قابل به روزرساني، نصب اصلاحيه‌هاي ضروري براي ترميم نقص‌هاي ويندوز و نيز امن نگاه داشتن فعاليت‌هاي اينترنتي و توجه به امنيت حافظه‌هاي جانبي قابل اتصال به رايانه‌ها احتمال مواجه شدن با Conficker را به صفر مي‌رسانند. به نظر مي‌رسد تنها موفقيت منتشر کنندگان اين کد مخرب احساس کاذب امنيت و يا بي توجهي کاربران به امن نگاه داشتن محيط مجازي آنها است.

براساس اطلاعات جديدي که توسط لابراتوارهاي امنيتي پاندا (PandaLabs)، منتشر شده، روش انتشار Conficker به سرعت در حال تغيير است. اکنون پس از اطلاع رساني‌هاي وسيع، به روز شدن نرم افزارهاي ضدويروس و ترميم بسياري از حفره‌هاي موجود در برنامه‌هاي مختلف ويندوز، نقش اينترنت و شبکه در شيوع اين کرم قدرتمند کم رنگ‌تر شده و در عوض اهميت پورت‌هاي USB افزايش يافته است.

Conficker، تبحر عجيبي در انتشار از طريق حافظه‌هاي جانبي (حافظه‌هاي ذخيره و انتقال فايل، پخش کننده‌هاي موسيقي، تلفن‌هاي همراه و ...) را در اختيار دارد. اين قابليت به علت استفاده از خصوصيت اجراي خودکار (Autorun) به محض اتصال به سيستم‌هاي جديد است.

برخي از شرکت‌هاي امنيتي براي غيرفعال کردن ويروس‌هايي که از قابليت Autorun استفاده مي‌کنند، راهکارهاي موثري را ارايه داده‌اند. يکي از جديدترين و پيشرفته‌ترين آنها ابزار ساده‌اي به نام Panda USBVaccine است که قادر است کليه فايل‌هايي که داراي قابليت اجراي خودکار هستند را غيرفعال کند.

بنا‌بر ادعاي شرکت توليد کننده اين ابزار، Panda Security، کاربران با استفاده از اين برنامه کم حجم و رايگان، رايانه‌هاي خود را در برابر حملات کدهاي مخرب داراي Autorun بيمه مي‌کنند.

در نهايت راهکار مبارزه موثر با Conficker را دوباره مرور مي‌کنيم:

- استفاده از يک ضد ويروس قدرتمند و به روز با لايسنس معتبر

- دانلود و نصب اصلاحيه‌هاي امنيتي مايکروسافت براي ترميم آسيب‌پذيري‌هاي ويندوز

- توجه به امنيت فعاليت‌ها و تبادلات اينترنتي

- و مهم‌تر از همه اطمينان از امنيت حافظه‌هاي جانبي و يا دست کم غيرفعال کردن برنامه هايAutorun در آنها