فا

‫ از Conficker چه خبر ؟

شماره: IRCNE200903122

كرم Conficker از ماه نوامبر سال گذشته شروع به انتشار كرده است، اما نسخه جديد اين كرم طوري برنامه ريزي شده تا در روز اول آوريل با ديگر رايانه هاي آلوده ارتباط برقرار كند، لذا انتظار مي رود روز چهارشنبه اول آوريل ضربه اي به پيكر اينترنت وارد شود، اما محققان در مورد چگونگي و شدت اين ضربه اختلاف نظر دارند.

گزيده اي از مهمترين خبرها در مورد كرم مذكور به شرح زير است:

· غربالگري رايانه هاي آلوده با استفاده از نقصي در Conficker

بعد از آلودگي رايانه با كرم Conficker، وي راه نفوذ خويش يعني حفره امنيتي ويندوز را مي بندد تا از ورود ديگر بدافزارها از اين طريق جلوگيري به عمل آورد. اين قضيه كار را براي كارشناسان امنيتي سازمانها مشكل مي سازد زيرا تشخيص رايانه اي كه اصلاحيه ويندوز را نصب كرده از رايانه اي كه اصلاحيه جعلي Conficker بر روي آن نصب شده است، كار راحتي نيست. اما خوشبختانه ويروس نويسان هم از خطا مصون نيستند و كارشناسان با كشف نقصي در اين اصلاحيه، راهي را براي تشخيص رايانه هاي آلوده از رايانه هاي اصلاحيه دار پيدا كرده اند. كارشناسان پروژه غيرانتفاعي Honynet كه بر روي راههاي مقابله با Conficker كار مي كنند، ابزار تشخيصي را با استفاده از نقص مزبور طراحي كرده اند كه با ديگر ابزارهاي تشخيص رايگان مانند ابزارهاي ارائه شده توسط شركتهاي Qualys، nCircle و Tenable مجتمع شده و يك اسكنر قوي را به صورت رايگان به مديران شبكه جهت پيدا كردن Conficker بر روي رايانه هايشان ارائه مي كند. اما اين به معني حل مسئله نيست چرا كه نويسندگان Conficker احتمالا نقص فوق را در نسخه جديد اين كرم اصلاح خواهند كرد.

· آشكار سازي پيچيدگي امنيت فناوري اطلاعات توسط Conficker

كرم Conficker چيزي بيش از يك سوء استفاده از حفره امنيتي در ويندوز است. مشكلات به وجود آمده توسط Conficker به ما مي آموزد كه بايستي تكنولوژي، روالها ها و رفتار كاربران را در شبكه بهبود بخشيم. در واقع Conficker يك نمونه كوچك و كامل را در مورد ارگانيسم پيچيده امنيت فناوري اطلاعات ارائه مي دهد. در زير مثالهايي در اين زمينه آورده شده است:

o اين كرم بار ديگر اهميت ارتباط بين بخش امنيت فناوري اطلاعات و بخشهاي اجرايي را يادآور مي شود. در اين حمله آشكار شد كه سازمانها و شركتهايي كه داراي پيكربندي قوي و روالهايي هايي براي مديريت اصلاحيه ها بوده اند، به موقع و قبل از آشكار شدن Conficker در ماه نوامبر سال گذشته، سيستمهاي آسيب­پذير خود را اصلاح كرده و مصون مانده اند.

o كرم Conficker نياز به تأييد ابزارها و وسايل و همچنين بلوكه سازي پورتها را آشكار مي سازد، زيرا يكي از راههاي گسترش اين كرم توسط حافظه هاي فلش است.

o كرم Conficker يك برنامه شكستن رمز عبور دارد كه رمزهاي ساده اي مانند "1234" يا “password” را مي شكند. اين مسئله نياز به استفاده از رمزعبورهاي قوي و مديريت رمز عبورها و تأييد هويت چند شاخصه را آشكارتر مي سازد.

o در نهايتConficker يك كرم بسيار با پشتكار است كه در شبكه به دنبال فايلهاي به اشتراك گذاشته شده بدون محافظ مي گردد تا راه جديدي براي گسترش خود پيدا كند. اين مسئله اهميت تحليل ترافيك شبكه و تشخيص رفتار طبيعي از رفتارهاي مشابه در شبكه را آشكار مي سازد.

بسيار راحت است كه مايكروسافت را مسئول همه مشكلات ايجاد شده بدانيم ولي در واقع كرم Conficker از آسيب­پذيري هايي در تكنولوژي، روالها، برنامه ها و انسانها استفاده مي كند.

· احتمالاً مبدأ كشور چين Confickerاست

يك گروه امنيت رايانه ويتنامي با نام BKIS يك آنتي ويروس رايگان را به نام BKIV ارائه داده است كه مي تواند رايانه هاي آلوده را پاكسازي كند. طبق تحقيقات اين گروه ويتنامي كرم Conficker ريشه اي شبيه Nimda دارد و از آنجا كه اين گروه قبلاً به اين نتيجه رسيده بود كه Nimda از چين سرچشمه گرفته است، بنابراين احتمال دارد كه مبدأ Conficker هم چين باشد. تا قبل از اين تصور مي شد كه مبدأ اين ويروس روسيه يا اروپا باشد، زيرا بعضي از رفتارهاي ويروس شبيه به ويروسهايي است كه يك گروه خلافكار زير زميني روسي آنها را ايجاد مي كردند.

· تايمر بمب Conficker فعال شده است

آخرين نسخه كرم Conficker طوري برنامه ريزي شده است تا در روز اول آوريل ضربه نامشخصي را به اينترنت وارد آورد ولي متخصصان امنيتي عقيده دارند كه خسارات وارده به اندازه سروصداهاي ايجاد شده جدي نيست. آنها اين موضوع را به تنش ايجاد شده در زمان تغيير تاريخ ميلادي به 1/1/2000 در اول قرن تشبيه كرده اند.

آخرين نسخه اين كرم خدمات امنيتي را متوقف كرده و ارتباط با وب سايتهاي امنيتي را بلوكه مي كند، سپس تروجاني را دريافت و نصب كرده و از طريق تكنولوژي ارتباط نظير به نظير (P2P) با ديگر رايانه هاي آلوده ارتباط برقرار مي كند. اين كرم همچنين داراي ليستي 50000 تاي از دامنه هاي مختلف جهت به روز رساني خود و دريافت دستورات جديد است، اما رايانه هاي آلوده در روز اول آوريل تنها به 500 دامنه از ليست فوق متصل خواهند شد. نسخه هاي قبلي اين كرم توانايي اتصال به 250 دامنه را دارا بودند.

توصيه مي كنيم كه اگر تا به حال اصلاحيه ويندوز را نصب نكرده ايد، همين حالا اين كار را انجام دهيد.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 11 فروردین 1388

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0