هراس افزارها و روش مقابله با آنها
در طول دو سال گذشته، هراس افزارها (نرم افزارهای امنیتی تقلبی) به سرعت تبدیل به یكی از اصلیترین ابزارها و استراتژیهای مجرمان اینترنتی شده اند. با توجه به روشهای مختلف و تاثیر گذار تبلیغاتی كه مجرمان اینترنتی مورد استفاده قرار میدهند، هزاران كاربر در روز قربانی این روشها میشوند و در مقابل، این مجرمان نیز هزاران دلار كسب میكنند. بر اساس آمارهای بدست آمده، سه ماهه سوم سال 2009 از نظر مدل تجاری هراس افزارها در نقطه اوج قرار گرفته است. این راهنما سعی میكند كاربر را در مورد هراس افزارها و چیستی آنها، خطرهای نصب آنها، ظاهر این نرم افزارهای امنیتی تقلبی، روشهای دریافت این نرم افزارها، و مهمتر از همه نحوه تشخیص آنها و دوری از آنها راهنمایی نماید. البته توجه به این نكته ضروری است كه در اغلب موارد، كاربران فریب تاكتیكهای مهندسی اجتماعی مهاجمان را میخورند.

هراس افزار چیست؟

هراس افزار كه به عنوان ابزار فریب نیز نامیده میشود، به عبارت ساده یك نرم افزار امنیتی تقلبی است. این نرم افزار به ظاهر یك برنامه معتبر و قانونی است كه از راههای غیر مجاز مانند وب سایتهای آلوده، تبلیغات خرابكار، و یا بهینه سازی سایت برای موتور جستجوی blackhat منتشر میشود و سعی میكند كاربر را قانع كند كه كامپیوتر وی آلوده شده است. سپس به این بهانه نرم افزار تقلبی خود را به وی عرضه میكند. در صورتیكه چنین برنامه ای روی سیستم قربانی اجرا گردد، علاوه بر جلوگیری از لود شدن نرم افزارهای امنیتی معتبر، از به روز شدن آنها نیز جلوگیری مینماید. همچنین این نرم افزار تقلبی، با مسدود كردن ابزارهای سیستم و سایر نرم افزارهای امنیتی، پروسه حذف خود را به یك كار زمان بر تبدیل میكند. برخی اوقات نیز این نرم افزارها بخشی را با خود به همراه دارند كه فایلهای كاربر را رمز كرده و برای رمزگشایی آن، نرم افزار دیگری را به وی پیشنهاد میدهند. در حال حاضر اغلب هراس افزارها كاربران ویندوز را هدف حملات خود قرار میدهند.

خصوصیات یك هراس افزار و تشخیص الگوی یك فریب اینترنتی

با توجه به این واقعیت كه كمپینهای هراس افزار توسط شبكه های مرتبطی اداره میشوند كه از یك الگوی استاندارد توزیع شده در میان همه آنها استفاده میشود، سایتهای هراس افزار همگی یك مجموعه معمول از راهكارهای تبلیغات فریبكارانه را به اشتراك میگذارند. همین موضوع میتواند به شما كمك كند كه پیش از خرید، آنها را شناسایی نمایید. برای مثال، اغلب سایتهای هراس افزار، سعی میكنند با استفاده از آیكونهای غیر قابل كلیك كردن وب سایتهای مشهور تكنولوژی و سرویسهای ارزیابی كارآیی، اعتبار بیشتری برای پیشنهادات خود قائل شوند. در حقیقت این سایتها سعی میكنند به این ترتیب محصول خود را دارای اعتبار و یا حتی دریافت كننده جایزه از سرویسهای مختلف ارزیابی معرفی كنند. از جمله این سایتها و سرویسها میتوان به PC Magazine Editors' Choice award، Microsoft Certified Partner، ICSA Labs Certified، Webcoast Labs Certified، Certified by Softpedia، و CNET Editors' Choice اشاره كرد. در شكل زیر نمونه ای از این موارد را مشاهده می كنید. 



تاكتیك دیگر مهندسی اجتماعی، استفاده از الگوهای جعلی برای مقایسه است. در این روش معمولا یك نمودار نمایش داده میشود كه در آن، بازدهی این نرم افزار تقلبی با برخی محصولات مشهور شركتهای امنیتی مهم نمایش مقایسه شده و استفاده از این نرم افزار توصیه میشود. اغلب این هراس افزارها از نمودارهای یكسانی در این مورد استفاده میكنند. در شكل زیر مشاهده میكنید كه چگونه سه هراس افزار مختلف (Virus Shield 2009، Windows Security Suite، و Malware Destructor 2009) از یك نمودار برای نشان دادن كیفیت خود استفاده میكنند. 



كار دیگری كه این هراس افزارها انجام میدهند، شبیه سازی پنجره اسكن آنتی ویروس است كه در حقیقت، چیزی به جز یك اسكریپت نیست. نتایج این اسكن همیشه ثابت و یكسان و البته تقلبی هستند. بنابراین پیغامی كه در نهایت مبنی بر وجود بدافزار در سیستم شما میدهد، قطعا پیغامی دروغین است. اگر شما به دنبال نرم افزارهای آنلاینی هستید كه واقعا سیستم شما را اسكن كنند و بدافزارها را درصورت وجود تشخیص دهند، لیست زیر تعدادی از این ابزارهای معتبر و رایگان را به شما معرفی می كند: 
در میان مشخصات اصلی هراس افزارها، قالب و ظاهر حرفه ای سایت نیز قابل توجه است. تغییر مداوم مارك نرم افزار مطرح شده در سایت برای دور كردن توجه كاربر از نامی كه ممكن است تا آن زمان شهرت بدی پیدا كرده باشد نیز از راهكارهای مهم فریبكاران اینترنتی است. به این ترتیب و با استفاده از این تاكتیكهای مهندسی اجتماعی، روزانه هزاران نفر فریب خورده و به قربانی این روشها تبدیل میشوند. كانالهای مختلفی برای آلوده كردن قربانیان به بدافزار توسط مجرمان مورد استفاده قرار میگیرد. برخی از این كانالها به شرح زیرند:
  • بهینه سازی سایت برای موتورهای جستجو 
    در این روش افراد مهاجم سعی میكنند رتبه سایتهای خرابكار خود را از راههای مختلف در نتایج موتورهای جستجو افزایش دهند. این افراد بین كلمات كلیدی كه معمولا مورد جستجو قرار میگیرند و سایتهای خود ارتباطی ایجاد مینمایند، بطوریكه با جستجوی این كلمات توسط كاربر، سایتهای خرابكار مورد نظر جزء نتایج اولیه جستجو مشاهده گردند.
  • سوء استفاده سیستماتیك از شبكه های اجتماعی و سرویسهای وب 2.0 
    شبكه های اجتماعی مانند Facebook و Twitter اخیرا به ابزار خوبی برای خرابكاران اینترنتی تبدیل شده اند و آنها به این وسیله، نرم افزارهای مورد نظر خود را منتشر میكنند.
  • تبلیغات خرابكارانه 
    در این روش تبلیغات نرم افزار خرابكار به نحوی روی سایتهای معتبر و قانونی قرار میگیرند.
  • برخی Botnet های قدرتمند مانند Conficker و Koobface 
    Botnet ها شبكه هایی از كامپیوترهای آلوده هستند كه معمولا بدون اطلاع كاربران آنها، در اختیار مهاجمان قرار میگیرند. این شبكه ها یكی از بهترین راههای انتشار نرم افزارهای خرابكار و همچنین انجام حملات مختلف هستند.
اكنون كه میدانید كه هراس افزار چیست و چگونه به شما میرسد، زمان آن رسیده است كه راهكارهای عملی برای تشخیص، دوری كردن از آن و گزارش دادن آن به گروههای امنیتی را فرا بگیرید.

تشخیص نرم افزارهای خرابكار و از كار انداختن آنها

با توجه به تغییر مداوم نام هراس افزارها، تهیه یك فهرست از نامهای شناخته شده و دوری كردن از آنها تقریبا غیر عملی است. منطقی ترین روش در این حالت، این است كه فهرستی از آنتی ویروسهای شناخته شده و معتبر تهیه نمایید و درباره سایر آنتی ویروسهای پیشنهادی احتیاط كنید. چنین فهرستی را در زیر مشاهده میكنید:



Ikarus Software )Ikarus) 
AhnLab)V3)
INCA Internet )nProtect) Antiy Labs)Antiy-AVL)
K7 Computing )K7AntiVirus) Aladdin )eSafe)
Kaspersky Lab )AVP) ALWIL)Avast! Antivirus)
McAfee)VirusScan) Authentium )Command Antivirus)
Microsoft )Malware Protection) AVG Technologies)AVG)
Norman )Norman Antivirus) Panda Security )Panda Platinum)
Panda Security)Panda Platinum) Cat Computer Services )Quick Heal)
PC Tools)PCTools) ClamAV )ClamAV)
Prevx )Prevx1) Comodo )Comodo)
Rising Antivirus )Rising) CA Inc.)Vet)
Secure Computing )SecureWeb) Doctor Web, Ltd. )DrWeb)
BitDefender GmbH )BitDefender) Emsi Software GmbH )a-squared)
Sophos )SAV) Eset Software)ESET NOD32)
Sunbelt Software )Antivirus) Fortinet)Fortinet)
Symantec)Norton Antivirus) FRISK Software )F-Prot)
VirusBlokAda )VBA32) F-Secure )F-Secure)
Trend Micro )TrendMicro) G DATA Software)GData)
VirusBuster )VirusBuster) Hacksoft )The Hacker)
  Hauri )ViRobot)

اگر امنیت سیستم شما برایتان مهم باشد، هرگز به نامهایی مانند Doctor Antivirus 2008، Spyware Preventer 2009، Power Antivirus، Total Virus Protection، Malware Destructor 2009، Cleaner 2009، Smart Antivirus 2009، Antivirus VIP، و یا Advanced Antivirus 2009 اطمینان نخواهید كرد. یك گام عملی دیگر در تشخیص هراس افزار این است كه دامنه هایی را كه معمولا به این هراس افزارها سرویس دهی میكنند شناسایی نمایید. این كار را میتوانید با استفاده از موتور جستجوی گوگل و یا هر موتور جستجویی كه توسط پروژه ضد بدافزار گوگل پشتیبانی میشود انجام دهید. این موتور جستجو از یك پایگاه داده از سایتهایی كه هراس افزارها را میزبانی میكنند استفاده میكند. به این ترتیب احتمال مشاهده این دامنه های آلوده كم میشود. به خاطر داشته باشید كه شما كنترل كامل پنجره هراس افزار را كه بصورت یك pop-up باز شده است در اختیار دارید. بنابراین میتوانید آن را دانلود كرده و بدون اینكه آن را اجرا نمایید، آن را به سرویسهایی كه از چندین آنتی ویروس تشكیل شده اند بسپارید تا بررسی شود. از جمله این دامنه ها میتوان به VirusTotal.com اشاره كرد. به این ترتیب ممكن است از آلوده شدن میلیونها كاربر توسط این هراس افزار جلوگیری نمایید. چرا كه ممكن است یك آنتی ویروس یك هراس افزار را شناسایی نكند، در حالیكه آنتی ویروس دیگری بتواند این كار را انجام دهد.

دوری از كمپینهای هراس افزار

واقعیت این است كه همیشه پیشگیری بهتر از درمان است. برای مثال استفاده از افزونه هایی مانند NoScript در مرورگر Firefox میتواند تاثیر كمپینهای هراس افزاری را بسیار كاهش دهد. احتیاط، افزایش آگاهی نسبت به تاكتیكهای مهندسی اجتماعی، و زود باور نبودن، مهمترین سلاحهای شما برای مقابله با این كمپینهای هراس افزاری است. 
منبع:
http://blogs.zdnet.com




تاريخ : شنبه 13 مهر 1392برچسب:, | | نویسنده : مقدم |