در طول دو سال گذشته، هراس افزارها (نرم افزارهاي امنيتي تقلبي) به سرعت تبديل به يكي از اصليترين ابزارها و استراتژيهاي مجرمان اينترنتي شده اند. با توجه به روشهاي مختلف و تاثير گذار تبليغاتي كه مجرمان اينترنتي مورد استفاده قرار ميدهند، هزاران كاربر در روز قرباني اين روشها ميشوند و در مقابل، اين مجرمان نيز هزاران دلار كسب ميكنند. بر اساس آمارهاي بدست آمده، سه ماهه سوم سال 2009 از نظر مدل تجاري هراس افزارها در نقطه اوج قرار گرفته است. اين راهنما سعي ميكند كاربر را در مورد هراس افزارها و چيستي آنها، خطرهاي نصب آنها، ظاهر اين نرم افزارهاي امنيتي تقلبي، روشهاي دريافت اين نرم افزارها، و مهمتر از همه نحوه تشخيص آنها و دوري از آنها راهنمايي نمايد. البته توجه به اين نكته ضروري است كه در اغلب موارد، كاربران فريب تاكتيكهاي مهندسي اجتماعي مهاجمان را ميخورند.
هراس افزار چيست؟
هراس افزار كه به عنوان ابزار فريب نيز ناميده ميشود، به عبارت ساده يك نرم افزار امنيتي تقلبي است. اين نرم افزار به ظاهر يك برنامه معتبر و قانوني است كه از راههاي غير مجاز مانند وب سايتهاي آلوده، تبليغات خرابكار، و يا بهينه سازي سايت براي موتور جستجوي blackhat منتشر ميشود و سعي ميكند كاربر را قانع كند كه كامپيوتر وي آلوده شده است. سپس به اين بهانه نرم افزار تقلبي خود را به وي عرضه ميكند. در صورتيكه چنين برنامه اي روي سيستم قرباني اجرا گردد، علاوه بر جلوگيري از لود شدن نرم افزارهاي امنيتي معتبر، از به روز شدن آنها نيز جلوگيري مينمايد. همچنين اين نرم افزار تقلبي، با مسدود كردن ابزارهاي سيستم و ساير نرم افزارهاي امنيتي، پروسه حذف خود را به يك كار زمان بر تبديل ميكند. برخي اوقات نيز اين نرم افزارها بخشي را با خود به همراه دارند كه فايلهاي كاربر را رمز كرده و براي رمزگشايي آن، نرم افزار ديگري را به وي پيشنهاد ميدهند. در حال حاضر اغلب هراس افزارها كاربران ويندوز را هدف حملات خود قرار ميدهند.
خصوصيات يك هراس افزار و تشخيص الگوي يك فريب اينترنتي
با توجه به اين واقعيت كه كمپينهاي هراس افزار توسط شبكه هاي مرتبطي اداره ميشوند كه از يك الگوي استاندارد توزيع شده در ميان همه آنها استفاده ميشود، سايتهاي هراس افزار همگي يك مجموعه معمول از راهكارهاي تبليغات فريبكارانه را به اشتراك ميگذارند. همين موضوع ميتواند به شما كمك كند كه پيش از خريد، آنها را شناسايي نماييد. براي مثال، اغلب سايتهاي هراس افزار، سعي ميكنند با استفاده از آيكونهاي غير قابل كليك كردن وب سايتهاي مشهور تكنولوژي و سرويسهاي ارزيابي كارآيي، اعتبار بيشتري براي پيشنهادات خود قائل شوند. در حقيقت اين سايتها سعي ميكنند به اين ترتيب محصول خود را داراي اعتبار و يا حتي دريافت كننده جايزه از سرويسهاي مختلف ارزيابي معرفي كنند. از جمله اين سايتها و سرويسها ميتوان به PC Magazine Editors' Choice award، Microsoft Certified Partner، ICSA Labs Certified، Webcoast Labs Certified، Certified by Softpedia، و CNET Editors' Choice اشاره كرد. در شكل زير نمونه اي از اين موارد را مشاهده مي كنيد.
تاكتيك ديگر مهندسي اجتماعي، استفاده از الگوهاي جعلي براي مقايسه است. در اين روش معمولا يك نمودار نمايش داده ميشود كه در آن، بازدهي اين نرم افزار تقلبي با برخي محصولات مشهور شركتهاي امنيتي مهم نمايش مقايسه شده و استفاده از اين نرم افزار توصيه ميشود. اغلب اين هراس افزارها از نمودارهاي يكساني در اين مورد استفاده ميكنند. در شكل زير مشاهده ميكنيد كه چگونه سه هراس افزار مختلف (Virus Shield 2009، Windows Security Suite، و Malware Destructor 2009) از يك نمودار براي نشان دادن كيفيت خود استفاده ميكنند.
كار ديگري كه اين هراس افزارها انجام ميدهند، شبيه سازي پنجره اسكن آنتي ويروس است كه در حقيقت، چيزي به جز يك اسكريپت نيست. نتايج اين اسكن هميشه ثابت و يكسان و البته تقلبي هستند. بنابراين پيغامي كه در نهايت مبني بر وجود بدافزار در سيستم شما ميدهد، قطعا پيغامي دروغين است. اگر شما به دنبال نرم افزارهاي آنلايني هستيد كه واقعا سيستم شما را اسكن كنند و بدافزارها را درصورت وجود تشخيص دهند، ليست زير تعدادي از اين ابزارهاي معتبر و رايگان را به شما معرفي مي كند:
TrendMicro’s Housecall
Kaspersky’s Online Malware Scanner
F-Secure’s Online Malware Scanner
ESET’s Online Malware Scanner
BitDefender’s Online Malware Scanner
PandaSecurity’s Cloud Antivirus
McAfee’s Online Malware Scanner
Rising’s Online Malware Scanner
Dr. Web’s Online Malware Scanner
Symantec’s Online Malware Scanner
CA’s Online Malware Scanner
در ميان مشخصات اصلي هراس افزارها، قالب و ظاهر حرفه اي سايت نيز قابل توجه است. تغيير مداوم مارك نرم افزار مطرح شده در سايت براي دور كردن توجه كاربر از نامي كه ممكن است تا آن زمان شهرت بدي پيدا كرده باشد نيز از راهكارهاي مهم فريبكاران اينترنتي است. به اين ترتيب و با استفاده از اين تاكتيكهاي مهندسي اجتماعي، روزانه هزاران نفر فريب خورده و به قرباني اين روشها تبديل ميشوند. كانالهاي مختلفي براي آلوده كردن قربانيان به بدافزار توسط مجرمان مورد استفاده قرار ميگيرد. برخي از اين كانالها به شرح زيرند:
بهينه سازي سايت براي موتورهاي جستجو
در اين روش افراد مهاجم سعي ميكنند رتبه سايتهاي خرابكار خود را از راههاي مختلف در نتايج موتورهاي جستجو افزايش دهند. اين افراد بين كلمات كليدي كه معمولا مورد جستجو قرار ميگيرند و سايتهاي خود ارتباطي ايجاد مينمايند، بطوريكه با جستجوي اين كلمات توسط كاربر، سايتهاي خرابكار مورد نظر جزء نتايج اوليه جستجو مشاهده گردند.
سوء استفاده سيستماتيك از شبكه هاي اجتماعي و سرويسهاي وب 2.0
شبكه هاي اجتماعي مانند Facebook و Twitter اخيرا به ابزار خوبي براي خرابكاران اينترنتي تبديل شده اند و آنها به اين وسيله، نرم افزارهاي مورد نظر خود را منتشر ميكنند.
تبليغات خرابكارانه
در اين روش تبليغات نرم افزار خرابكار به نحوي روي سايتهاي معتبر و قانوني قرار ميگيرند.
برخي Botnet هاي قدرتمند مانند Conficker و Koobface
Botnet ها شبكه هايي از كامپيوترهاي آلوده هستند كه معمولا بدون اطلاع كاربران آنها، در اختيار مهاجمان قرار ميگيرند. اين شبكه ها يكي از بهترين راههاي انتشار نرم افزارهاي خرابكار و همچنين انجام حملات مختلف هستند.
اكنون كه ميدانيد كه هراس افزار چيست و چگونه به شما ميرسد، زمان آن رسيده است كه راهكارهاي عملي براي تشخيص، دوري كردن از آن و گزارش دادن آن به گروههاي امنيتي را فرا بگيريد.
تشخيص نرم افزارهاي خرابكار و از كار انداختن آنها
با توجه به تغيير مداوم نام هراس افزارها، تهيه يك فهرست از نامهاي شناخته شده و دوري كردن از آنها تقريبا غير عملي است. منطقي ترين روش در اين حالت، اين است كه فهرستي از آنتي ويروسهاي شناخته شده و معتبر تهيه نماييد و درباره ساير آنتي ويروسهاي پيشنهادي احتياط كنيد. چنين فهرستي را در زير مشاهده ميكنيد:
Ikarus Software )Ikarus) AhnLab)V3)
INCA Internet )nProtect) Antiy Labs)Antiy-AVL)
K7 Computing )K7AntiVirus) Aladdin )eSafe)
Kaspersky Lab )AVP) ALWIL)Avast! Antivirus)
McAfee)VirusScan) Authentium )Command Antivirus)
Microsoft )Malware Protection) AVG Technologies)AVG)
Norman )Norman Antivirus) Panda Security )Panda Platinum)
Panda Security)Panda Platinum) Cat Computer Services )Quick Heal)
PC Tools)PCTools) ClamAV )ClamAV)
Prevx )Prevx1) Comodo )Comodo)
Rising Antivirus )Rising) CA Inc.)Vet)
Secure Computing )SecureWeb) Doctor Web, Ltd. )DrWeb)
BitDefender GmbH )BitDefender) Emsi Software GmbH )a-squared)
Sophos )SAV) Eset Software)ESET NOD32)
Sunbelt Software )Antivirus) Fortinet)Fortinet)
Symantec)Norton Antivirus) FRISK Software )F-Prot)
VirusBlokAda )VBA32) F-Secure )F-Secure)
Trend Micro )TrendMicro) G DATA Software)GData)
VirusBuster )VirusBuster) Hacksoft )The Hacker)
Hauri )ViRobot)
اگر امنيت سيستم شما برايتان مهم باشد، هرگز به نامهايي مانند Doctor Antivirus 2008، Spyware Preventer 2009، Power Antivirus، Total Virus Protection، Malware Destructor 2009، Cleaner 2009، Smart Antivirus 2009، Antivirus VIP، و يا Advanced Antivirus 2009 اطمينان نخواهيد كرد. يك گام عملي ديگر در تشخيص هراس افزار اين است كه دامنه هايي را كه معمولا به اين هراس افزارها سرويس دهي ميكنند شناسايي نماييد. اين كار را ميتوانيد با استفاده از موتور جستجوي گوگل و يا هر موتور جستجويي كه توسط پروژه ضد بدافزار گوگل پشتيباني ميشود انجام دهيد. اين موتور جستجو از يك پايگاه داده از سايتهايي كه هراس افزارها را ميزباني ميكنند استفاده ميكند. به اين ترتيب احتمال مشاهده اين دامنه هاي آلوده كم ميشود. به خاطر داشته باشيد كه شما كنترل كامل پنجره هراس افزار را كه بصورت يك pop-up باز شده است در اختيار داريد. بنابراين ميتوانيد آن را دانلود كرده و بدون اينكه آن را اجرا نماييد، آن را به سرويسهايي كه از چندين آنتي ويروس تشكيل شده اند بسپاريد تا بررسي شود. از جمله اين دامنه ها ميتوان به VirusTotal.com اشاره كرد. به اين ترتيب ممكن است از آلوده شدن ميليونها كاربر توسط اين هراس افزار جلوگيري نماييد. چرا كه ممكن است يك آنتي ويروس يك هراس افزار را شناسايي نكند، در حاليكه آنتي ويروس ديگري بتواند اين كار را انجام دهد.
منبع :سايت ماهر
ارسال توسط کاربر محترم سايت :kosar110