هكرها موفق شدند سايت چند شركت بزرگ امنيتي را هك كنند و اطلاعات خصوصي مشتريان آنرا به سرقت ببرند. يكي از اين شركتها كه -البته از انجين آنتي‌ويروس ضعيفي برخوردار است- BitDefender مي‌باشد كه چند روز قبل سايت آن از طريق تزريق كدهاي SQL مورد حمله قرار گرفت و اطلاعات محرمانه مشتريان و ايميل آنها را دزديده شد. گفتني است چندي قبل همين اتفاق براي سايت Kaspersy افتاد و اطلاعات شخصي كاربران كسپرسكي روسي نيز به سرقت رفت. بيت دفندر اعلام كرد كه بعد از آسيب پذيري سايت، سرور مربوطه را خاموش كرد.
آخر هفته پيش نيز سايت لابراتوار كاسپراسكي در آمريكا هك شد و حدود 25000 اطلاعات شخصي و ايميل مشتريان و احتمالا اكتيوكد آنان به سرقت رفت. اين درحالي است كه كاسپرسكي كه يك شركت روسي است طرفداران بيشماري در ايران دارد.
شركت سوم شركت F-Secure بود كه اين شركت نيز مورد هك قرار گرفت ولي خوشبختانه سرقت اطلاعاتي از آن انجام نشد.
به قول يكي از دوستان چطور مي‌توان به چنين شركتهايي كه ادعاي امنيت مي‌كنند اعتماد كرد، درحالي كه اين شركتهاي مدعي توانايي حفظ امنيت سايت‌هاي اينترنتي خود را هم ندارند.

منبع PCWorld/AP

يك آنتي‌ويروس امروزي نبايد تنها شامل آنتي‌ويروس باشد بلكه مي‌بايست از طيف عظيمي از تهديدات و خطرات اينترنتي جلوگيري كند. از بين آنتي‌ويروسهاي مطرح، كوييك‌هيل با داشتن دهها تكنولوژي پيشرفته دروني (built-in) توانسته نياز بسياري از كاربران حرفه‌اي را به خود جلب كند. بنده در جهت اطلاع‌رساني برخود وظيفه مي‌دانم تا به برخي از تكنولوژي‌هاي بكار رفته در اين آنتي‌ويروس اشاره كنم:

-   (DNA Scan Technology Proactive Detection)
 كوييك‌هيل اين ويژگي انحصاري و تكنولوژي اكتشافي مبتني بر هوش مصتوعي DNA Scan را به عنوان يك اسكن فشرده و اتوماتيك براي حفاظت سيستم شما در برابرWorm هاي جديد، Trojanهاي بدون آپديت امضاء (Signature)  وMalWare ها مورد استفاده قرار مي دهد .

- PC2 Mobile Scanويژگي انحصاري فوق، ويروسها و SpyWare ها را از گوشي هاي موبايل شما و PDAS & Smart Phone به وسيله اتصال به   PC  (از طريق بلوتوث يا كابل USB ) پاك مي كند. نيازي به خريدن AV Scaner براي موبايل نيست چون اين ويژگي  يك اسكنر رايگان را با محافظ DeskTop تأمين مي كند.

- Anti Malwareانجين جديد پيشرفته اسكن Malware، مخربها را در رجيستري، فايلها و فولدرها را با سرعت فوق‌العاده زياد اسكن مي‌كند و به طور جامع Spyware ،Adware ،Roguewares ،Dialer ،‌Riskware و بسياري ديگر را شناسايي و پاكسازي مي‌كند.

- Anti-RootkitRootkitها را بطور پيشگيرانه از طريق انجام اسكن عميق سيستم شناسايي و پاكسازي مي‌كند. اين قابليت پروسس‌هاي در حال اجرا، رجيستري و فايلهاي سيستمي را از هر نوع فعاليت مشكوك و مخفي روتكيت اسكن مي‌نمايد.

- Emergency CDشما مي‌توانيد يك Bootable CD با توجه به ويندوز خود بسازيد. اين ويژگي در ويروسيابي سيستمهايي كه به شدت آلوده شده‌اند و نمي‌توان فايلهاي بوت و سيستمي ويندوز، پراسس‌هاي درحال اجرا و... را از روي ويندوز پاكسازي كرد، كاربرد دارد.

- Native Boot Scan
Native Scan
همه درايوها را در زمان بوت، قبل از بوت شدن كامل ويندوز ازآلودگي پاكسازي مي كند. اين امر به پاكسازي حتي در موارد Root Kit ها ، SpyWare ها ، Trojan ها و Logger هاي خاص نيز كمك مي‌كند.

Others:
- On Demand Scanner/ Property Sheet Feature 
- WiFi networks protection
- AMON & DMON & IMON & EMON  Configuration 
- Http Scan  
- Self-Defense
- Microsoft office document protection 
- Control Center layout 
- Heuristic Scan
- Trusted Mail Client 
- Messenger Services 
- Active Sensor 
- Multiple Scanning- Memory Scanning 
- Drag & Drop Scanning 
- Schedular 
- Password Protection
- Free Upgrade 
- Online   Protection 
- Smart Time Savers 
- Push/ Pull Updates- AntiPopUp 
- Email Protection 
- Reports  
- StartUp Scan 
- Quick Update
- Hijack Restore 
- Track Cleaner 
- Windows Spy Finder 
- Advanced System Explorer
- Virus List 
- Powerful Quarantine Tool 
- System Information 
- Registry Restore 
- Internet Security 
- Exclusion File & Folder 
- Automatic Update 
- Silent Update- AntiVirus 
- AntiSpyware 
- FireWall 
- AntiSpam 
- AntiPhishing 
- DataTheftProtection
- Privacy Protection 
- PC2MobileScan 
- AntiRootkit 
- AntiMalware  
-...

در آخرين آزمون موسسه معتبر ويروس‌شناسي ويروس بوليتن كه در همين ماه (فوريه 2009) بر روي پلتفرم Red Hat Enterprise Linux برگزار شد، تنها 9 شركت از بين 37 شركت امنيتي موفق به كسب اين جايزه معتبر شدند. اين آزمون يكي از سخت‌گيرانه‌ترين آزمونهاي رده‌بندي مربوط به آنتي‌ويروسها و محصولات امنيتي در سطح جهان است كه ويروسيابها مي‌بايست همه ويروسهاي احتمالي را تشخيص و از بين ببرند. شركتهاي Alwil، Avira Eset، Eset، F-Secure، Kaspersky، Sophos، Symantec،VirusBuster و آنتي‌ويروس Quick Heal موفق به كسب اين جايزه شدند. از نكات قابل توجه رد شدن McAfee در اين آزمون مي‌باشد. در ضمن برخي ديگر از آنتي‌ويروسهايي كه در كشور ما مطرح مي‌باشند نيز طبق انتظار نتوانسته‌اند با برنده شدن اين جايزه افتخار كسب كنند.

شما مي‌توانيد يك CD اورژانسي قابل راه‌اندازي (Emergency Bootable CD) با توجه به ويندوز خود بسازيد كه به شما در ويروسيابي فايلهاي بوت ويندوز كمك مي‌كند. همه درايوها حتي پارتيشن‌هاي NTFS را اسكن و پاكسازي مي‌كند . اين ويژگي در ويروس‌كشي كامپيوترهايي كه به شدت آلوده شده‌‌اند و ويروس‌هايي كه نمي‌توان آنها را از داخل ويندوز از بين برد (مثل فايلهاي سيستمي ويندوز كه در حال اجرا هستند و آلوده شده‌اند) كمك شاياني به كاربران مي‌نمايد.

اين مقايسه بين بهترين و مطرح‌ترين آنتي‌ويروسهاي جهان نسخه تحت شبكه يا سرور توسط موسسات بين‌المللي در سال ۲۰۰۹ ميلادي انجام شده است. متخصصان و مديران شبكه مي‌توانند از اين مقايسه براي يافتن بهترين گزينه با توجه به خواسته خود اقدام كنند.

 شما مي‌توانيد اسكن خالص(Native Scanning) را در كامپيوتر خود در راه‌اندازي بعدي برنامه‌ريزي كنيد كه همه درايوها را در زمان بوت قبل از اينكه ويندوز به صورت كامل بارگذاري گردد اسكن و پاكسازي خواهد كرد. اين ويژگي پيشرفته در شناسايي و نابودسازي حتي روتكيت‌هاي زيرك (cunning rootkits)، جاسوس‌افزارها(spywares)، تروجانهايي با اهداف خاص و وقايع‌نگارهاي مخفي(loggers) به شما كمك خواهد كرد.

ويروس‌ها(viruses)، كرم‌ها(worms) و تروجان‌ها(trojans) به صورت اتوماتيك شناسايي كرده و از بين مي‌برد. از فايلهاي شما محافظت مي‌كند. همچنين آلودگي‌ها را از الصاق‌هاي(attachments) ايميل و دانلودهاي اينترنتي بصورت خودكار اسكن و پاكسازي مي‌كند.

Anti-Spyware

قبل از اينكه جاسوس‌افزارها(spywares) بر روي كامپيوتر شما نصب شود از ورود آن جلوگيري مي‌كند. از طريق شناسايي و پاكسازي اسپاي‌ويرها و مسدودسازي فعاليتهاي سارقان اطلاعات خصوصي از حريم خصوصي شما بصورت خودكار محافظت مي‌كند.

Firewall

فايروال 3.0 كوييك‌هيل آگنيتوم اجازه دسترسي هكرها و سارقان اطلاعات به كامپيوتر شما را قفل مي‌كند. محافظت جامعي را در برابر حملات شناخته‌شده و ناشناخته، تحت شبكه داخلي و خارجي را براي شما فراهم مي‌سازد.

Anti-Spam

از ورود نامه‌هاي الكترونيكي ناخواسته (ايميلهاي Spam)، ميل‌هاي حمله كننده سايتها قلابي -شبيه سايتهاي رسمي كه اطلاعات بانكي و يا پسورد و يا اطلاعات خصوصي را مي‌دزدند-(Phishing)، ايميلهاي تبليغاتي ناخواسته(junk mails) و ميلهاي مبتذل ناخواسته (porn mails)، را قبل از اينكه به صندوق ورودي (inbox) شما برسد جلوگيري مي‌كند.

AntiPhishing

همه سايتهايي را كه به آن وارد مي‌شويد را از لحاظ فعاليت‌هاي كلاهبردارانه به‌صورت خودكار اسكن مي‌كند و شما را در برابر هر حمله فيشينگ (سايتهاي كلاهبردارنه‌اي كه شبيه سايتهاي رسمي در جهت سرقت اطلاعات وجود دارند) در پيمايش سايتهاي اينترنتي محافظت مي‌كند.

Data Theft Protection

مانع كپي همه نوع ديتا و فايلي از سيستم شما به حافظه‌هاي قابل جابجايي (مثل ديسكهاي فلش، مموري، رم‌ريدر، كول‌ديسك، MPlayer، هارد اكسترنال، درايوهاي قلمي يا ديگر ابزارهاي ذخيره‌سازي) و همينطور برعكس توسط افراد ناشناس مي‌شود.

Privacy Protection

همه تاريخچه‌هاي وقايع(history logs) و اثرات باقي‌مانده فعاليتها را بوسيله از بين‌بردن پيگيري‌ها(Track) پاكسازي مي‌كند. همچنين تاريخچه و ليست آخرين فايلهاي بازشده توسط برنامه‌هاي مختلف را از بين مي‌برد و حريم خصوصي شما را حفظ مي‌نمايد.

PC2Mobile Scan

ويروس‌ها و جاسوس‌افزارها را از گوشي‌هاي موبايل، PDAها و Smart phoneها تنها با اتصال آنها به PC شما اسكن و ويروس‌كشي مي‌كند.

 

Anti-Rootkit

Rootkit‌ها(روتكيتها) را بطور پيشگيرانه از طريق انجام اسكن عميق سيستم شناسايي و پاكسازي مي‌كند. پروسس‌هاي در حال اجرا، رجيستري و فايلهاي سيستمي را از هر نوع فعاليت مشكوك روتكيت كه در سيستم مخفي نگه داشته شده است، اسكن مي‌نمايند.

AntiMalware

انجين جديد پيشرفته اسكن مخربها(Malware)، رجيستري، فايلها و فولدرها را با سرعت فوق‌العاده زياد اسكن مي‌كند و به طور جامع جاسوس‌افزارها(Spyware)، تبلغ‌افزارها(Adware)، نرم‌افزارها كلاهبرداري و سرقت(Roguewares)، شماره گيرنده‌ها(Dialer)، ريسك‌افزارها(Riskware) و بسياري ديگر كه پتانسيل خطر در سيستم شما دارند را شناسايي و پاكسازي مي‌كند.

در اين مقاله مي‌خواهم در مورد نحوه عملكرد جديدترين ويروس كامپيوتري (Worm) كه اين روزها ميليونها كامپيوتر در سراسر جهان را آلوده كرده است و حتي شركتهاي بزرگ امنيتي جهان را به دردسر انداخته اطلاعات كاملي را ارائه كنم.
اين كرم اينترنتي كه به نام I-Worm.Kido توسط كوييك‌هيل و Worm/Kido.BO توسط آويرا و مكافيآن را با نام W32/Conficker.worm.gen.a  مي‌شناسد، سيستم عاملهاي Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP را آلوده مي‌سازد.
اين كرم اينترنتي كه به سرعت از طريق اينترنت گسترش يافته، مي‌تواند از طرق ديگر نظير شبكه داخلي LAN، داريوهاي حافظه مثل فلش و همچنين پسوردهاي ضعيف مديرشبكه نفوذ كند. كيدو براي پخش شدن از آسيب‌پذيري سرويس سرور ويندوز (SVCHOST.EXE) استفاده مي‌كند.
وقتي I-Worm.Kido شروع به كار كرد، فعاليتهاي زير را در سيستم شما انجام مي‌دهد:
ابتدا اگر سرويس SVCHOST.EXE نفوذپذير بود آن به كاربر اجازه خواهد داد تا وقتي كه فايلهاي اشتراكي فعال بود كدها را بصورت ريموت اجرا كند.
اين كرم يكي يا چندتا از فايلهاي زير را در مسيرهاي ذكرشده ايجاد مي‌كند:

%ProgramFiles%\Internet Explorer\{Random Name}.dll
%ProgramFiles%\Movie Maker\{Random Name}.dll
%System%\{Random Name}.dll
%Temp%\{Random Name}.dll
%Documents and Settings%\All Users\Application Data \
{Random Name}.dll

همچنين ديتاهاي زير را در رجيستري ويندوز تغيير مي‌دهد:

{Random Name} = "rundll32.exe "{Random Name}.dll", ydmmgvos"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Service name = {Random Name}
Display name = {Random Name}
Startup Type = Automatic
ImagePath = "%System%\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\{Random Name}

dl = "0"
ds = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets

dl = "0"
ds = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Applets

CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL

اين كرم جديد اينترنتي همچنين اطلاعات زير را در رجيستري براي توسعه سريع در طول شبكه ايجاد مي‌كند:

TcpNumConnections = "00FFFFFE"
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters

ممكن است اين مخرب اينترنتي System Restore ويندوز را كه به وسيله كاربر براي بازگرداندن فايلهاي ويندوز در مواقع ضروري ساخته شده است را پاك كند. همچنين چندين سرويس مهم سيستمي و محصولات امنيتي را غيرفعال مي‌كند.

كارشناسان امنيتي شديداً توصيه مي‌كنند كه وصله جديد مايكروسافت را از سايت آن دانلود كرده و سيستم خود را امن سازيد. لينك دانلود
همچنين كوييك‌هيل يك ابزار رايگان را براي دانلود همگان بر روي سايت خود گذاشته كه مي‌توانيد از اين ابزار براي اسكن و از بين بردن اين ورم استفاده كنيد. لينك دانلود

متخصصان همچنين توصيه مي‌كنند كه مديران شبكه حتما پسورد سخت (strong)  براي كاربران خود تعيين كنند تا از طريق پسوردهاي ساده اين ويروس در سطح شبكه داخلي منتشر نگردد.

اين كرم همچنين سرويسهاي زير را غيرفعال و يا در اجراي آنان اختلال ايجاد مي‌كند:
* Windows Update Service
* Background Intelligent Transfer Service
* Windows Defender
* Windows Error Reporting Services

كاربران ممكن است نتوانند به سايتهايي كه يكي از كلمات زير در آنها وجود دارد متصل شوند:
QuickHeal
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

آن همچنين به يكي از وب‌سايتهاي زير وصل شده و IP كامپيوتر قرباني را بدست مي‌آورد:
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org

عملكرد:
* ممكن نقاط بازيابي سيستم (System Restore) را پاك كند.
* سرويسهاي امنيتي و محافظتي مربوطه را غيرفعال مي‌سازد.
* سرويسهاي ويندوز را غيرفعال مي‌سازد.
* دسترسي به سايتهاي امنيتي را بلاك مي‌كند.

سولوشن:
System Restore را غيرفعال كنيد.

نحوه غيرفعال سيستم ري‌استور در ويندوز Me:
دكمه Start  و Settings و Control Panel سپس System را دابل كليك كنيد و به سربرگ Performance برويد. File System را كليك و از تب 'Troubleshooting' گزينه 'Disable System Restore' را كليك و Apply كرده و سپس سيستم را Restart مي‌كنيم.

نحوه غيرفعال System Restore در ويندوز XP:
دكمه Start  و Settings و Control Panel سپس Performance and Maintenance. را انتخاب كنيد. “System”  را دابل كليك كرده و سربرگ System Restore را برگزينيد. 'Turn off System Restore” را بر روي همه درايوها انتخاب كرده و Aplly، سپس سيستم را ريست كنيد.
حالا مي‌توانيد آنتي‌ويروس خود را آپديت كرده و سپس سيستم را اسكن كنيد. ولي يك پيشنهاد جدي دارم كه از آنتي‌ويروسي استفاده كنيد كه حتما هميشه به روز باشه و انجين قوي‌اي هم داشته باشه. من خودم آنتي‌ويروس كوئيك‌هيل را در بستر شبكه و كلاينت بسيار قوي ديدم و تا حالا هيچ ويروسي رو نديدم كه كوييك‌هيل نتواند آنرا از بين ببرد.

با سپري شدن چندين روز از انتشار كرم جديد اينترنتي با نامهاي Downadup يا Conflicker يا KIDO، همه شركتهاي آنتي‌ويروسي بزرگ جهان در حال آماده باش بوده و حتي در روزهاي شنبه و يكشنبه نيز متخصصان فني آن بصورت كامل مشغول فعاليت هستند. از مهمترين ويژگي‌هاي اين كرم جديد توليد خودكار خود با نام‌هاي جديد و حتي پسوندهاي متفاوت مي‌باشد. ديگر ويژگي آن بستن همه سايتهاي آنتي‌ويروسي و حتي مايكروسافت مي‌باشد كه كار را براي كاربران دشوارتر ساخته است.
از مزاياي سيستم دفاع پيشگيرانه كه كوييك‌هيل با نام انحصاري DNAScan از آن سود مي‌برد جلوگيري از عملكرد ويروس، كرم و به طور كلي تهديدات مي‌باشد و علاوه بر نام مخرب، بر اساس ساختار آن از نفوذ آن به سيستم جلوگيري مي‌كند.

چند وقت قبل كه درباره انتشار كرم  Kido يا Conficker يا Downadup مطلبي پست كرده بودم. حالا براي اونهايي كه به امنيت سيستمشون اهميت مي‌دهند مي‌خواهم آدرس وصله‌هاي امنيتي ويندوز ( MS08-067) را كه مايكروسافت اونها را براي جلوگيري از ورود اين ورم داده بهتون بدم تا اونها را با توجه به سیستم عاملتون دانلود کنید و نصب کنید:

بعد از شروع سال 2009 بابانوئل ويروس‌نويس‌ها هم عيدي هاي جالبي را براي كاربران كامپيوتر و اينترنت آورده. يكي از اين مخرب‌ها كه در رسته Worm قرار مي گيره چند وقتي است بدجوري همه را مشغول خودش كرده. اسم اين كرم "W32.Kido.a" هست كه البته سري هاي جديدتري هم از اين كرم به كامپيوترها نفوذ كرده مثل"W32.Kido.b" و "W32.Kido.d" و... .

عملكرد كرم:
اين كرم از طريق تغييراتي كه در رجيستري و تنظيمات شبكه مي‌ده، اجازه لود شدن سايت‌هاي شركتهاي بزرگ آنتي‌ويروس را نمي‌ده و شما را با پيغام خطا مواجه مي‌كنه. بدين صورت كه اگر شما بخواهيد به سايت www.Microsoft.com يا www.quickheal.com يا Nod32.com حتي http://www.quickheal.ir و... برويد امكان ندارد به شما اجازه چنين كاري رو بده و شما فكر مي‌كنيد سايت اين شركتها مشكل داره در صورتي كه كامپيوتر شما ويروسي شده.

نحوه تشخيص آلودگي:
به راحتي با وارد كردن آدرس هاي فوق سايت اين شركتهاي ويروسكشي باز نمي‌شه.

عوارض جانبي:
مهمترين مشكلي كه شما با آن مواجه خواهيد شد، اگر شما يك آنتي‌ويروس اوريجينال خريده باشيد حتما براي رجيستر شدن و مراحل تكميل ثبت نام بايد به سايت آن شركت وصل شويد (اگر شما هم وصل نشويد خود آنتي ويروس براي رجيستر به سايت شركتش وصل مي‌شه). پس شما نمي‌توانيد آنتي ويروس خود را ثبت كنيد. مشكل دوم اين است كه باز هم اگر از آنتي‌ويروس اوريجينال استفاده مي‌كنيد آنتي‌ويروس شما قادر به دريافت آپديت و بروزرساني از اينترنت نمي‌باشد. پس مشكل آپديت هم مي‌افتيد.

راهكار:
بعضي از آنتي‌ويروسها هنوز متوجه چنين كرمي نشده‌اند و در تعطيلات كريسمس بسر مي‌برند! ولي چندتايي از اونها راهكار ارائه كردند كه من راهكار آنتي‌ويروس كوييك هيل را ساده‌تر و جالب‌تر ديدم. به اين صورت كه شما يك پوشه zip شده را از http://www.yousendit.com/download/WnBSOGNlZ2plaFRIRGc9PQ دانلود كرده و بعد آنرا Un-Zip مي‌كنيد. بعد كوييك‌هيل را از سيني غيرفعال "Disable " كرده بعد دكمه Alt+Ctrl+Del را زده و Task Manager را باز مي‌كنيد بعد از ليست پروسس‌هاي در حال اجرا، پردازش‌هاي onlinent.exe و onlnsvc.exe و opssvc.exe را "End Process" مي‌كنيم. حالا فايلها را در درون پوشه نصب كوييك‌هيل ريخته و scankido.exe را اجرا كرده و سپس كامپيوتر را ري‌استارت مي‌كنيم. تمام/
براي اطلاعات بيشتر:
http://support.quickheal.com/esupport/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=41