آشنايي با Code Red

كرم هاي اينترنتي زمان كامپيوتر را تلف مي كنند يا به عبارت ديگر آن را كند مي كنند و همچنين در شبكه يا در اينترنت پهناي باند را اشغال مي كنند. آنها تكثير مي شوند و اغلب اوقات نقش يك شيطان اينترنتي را بازي مي كنند كرمي كه Code Red نام دارد در سال ۲۰۰۱ صدر اخبار اينترنتي را به خود اختصاص داده بود. متخصصين پيش بيني كرده بودند كه اين كرم مي تواند اينترنت را تا حد از كار افتادن كند سازد.

Code Red زمانيكه خود را تكثير مي كند سرعت اينترنت را كاهش مي دهد. اما اين كرم اينترنتي انگونه كه پيش بيني مي شد نتوانست اينترنت را متوقف سازد. هر كپي از اين كرم در اينترنت بدنبال ويندوز سرور NT يا ۲۰۰۰ اي مي گردد كه در آن وصله هاي امنيتي مايكروسافت نصب نشده باشد. هر بار كه يك سرور اينترنتي حفاظت نشده پيدا كند خود را در آن سرور كپي مي كند. و كپي جديد بدنبال سرور ديگري با اين شرايط مي گردد تا آن را آلوده كند بسته به تعداد سرور هاي غير ايمن Code Red مي تواند در اينترنت صدها يا هزارها كپي از خود تهيه كند.

ويروس Code Red طوري طراحي شده است كه سه كار انجام دهد.
• خود را براي بيست روز اول هر ماه تكثير مي كند.
• صفحات وبي را كه در سرور هاي آلوده هستند را با صفحاتي كه در آن نوشته شده است “Hacked by Chinese”جايگزين مي كند.
• سپس شروع به تدارك يك حمله عليه وب سايت كاخ سفيد مي كند تا آنرا از كار بيندازد

معمول ترين ورژن Cod Red يك نوع توسعه يافته از Ida Code Red است كه خود را در ۱۹ ژولاي سال ۲۰۰۱ ميلادي تكثير كرد.
بعد ازيك آلوده ساختن موفقيت آميز كرم منتظر يك ساعت مشخص مي ماند و به دومين مورد نظر سرور كاخ سفيد متصل مي شود اين حمله به اين صورت است كه سيستم هاي آلوده به طور همزمان ۱۰۰ ارتباط با پورت ۸۰ سايت www.whitehouse.gov ( با IP:198.137.240.91 ) بر قرار مي كند.
دولت امريكا آدرس IP وب سايت www.whitehouse.org را تغيير داده است تا اين حملات را خنثي كند و يك هشدار عمومي در مورد اين كرم منتشر كرده است تا سرورهاي وبي را كه از ويندوز ۲۰۰۰ و NT استفاده مي كنند از وجود و نحوه مبارزه با آن آگاه كند.

ويروسهاي بوت سكتور
با گذشت زمان همانطور كه ويروس نويسان ماهرتر و خبره تر شدند حقه هاي جديدتري ياد گرفتند يك حقه كه دانستن آن مهم است توانايي فراخواني ويروس در حافظه است به طوريكه تا زمانيكه كامپيوتر كار مي كند اين ويروس ها جولان مي دهند. كه اين خود باعث مي شود كه ويروسها خود را به بسيار راحتر تكثير كنند يك حقه ديگر آلوده ساختن Boot Sector در فلاپي ديسك و هارد ديسك است. Boot Sector يك برنامة كوچك است و اولين قسمت از سيستم عامل است كه توسط كامپيوتر فراخواني مي شود. Boot Sector شامل يك برنامه كوچك است كه براي كامپيوتر تعيين مي كند كه چگونه سيستم عامل را فراخواني كند. يك ويروس با قرار دادن كد خود در Boot Sector اجراي خود را گارانتي مي كند. بنابراين ويروس مي تواند به راحتي در كامپيوتر فراخواني شود بنابراين قادر است هر زمان كه كامپيوتر روشن مي شود شروع به كار كند. اين ويروسها به راحتي مي توانند بوت سكتور يك فلاپي ديسك را آلوده كنند و با انتقال آن بين كامپيوترهاي ديگر مانند آتش ناشي از انفجار منتشر شوند.

اما امروزه اين ويروسها مانند گذشته يك كابوس نيستند. چون امروزه گرافيك يك عنصر جدا نشدني از نرم افزارها شده است و در نتيجه حجم آنها به شدت افزايش پيدا كرده است و به ندرت مي توانيد نرم افزاري را پيدا كنيد كه روي يك يا حتي چند فلاپي ديسك جا شود. امروزه نرم افزار ها بيشتر روي CD بين كامپيوتر ها جابجا مي شوند و چون CD ها عموماً قابل رايت مجدد نيستند و اگر هم باشند بايد بوسيله نرم افزار انجام شود اين ويروسها و ديگر ويروسهاي قابل اجرا به راحتي نمي توانند بين كامپيوتر ها تكثير شوند. ولي هنوز اينترنت وجود دارد. پس هميشه خطر آلوده شدن وجود دارد.

SSL چيست؟
Secure socket Layer يا SSL پرتكلي است كه بوسيله Netscape براي انتقال پرونده هاي خصوصي روي اينترنت بوجود آمده است. SSL توسط يك كليد شخصي كار مي كند، تا اطلاعات انتقالي در اينترنت را براي شما پنهان كند. هر دو مرورگر اينترنت اكسپلورر و نت اسكيپ از SSL پشتيباني مي كنند. و بسياري از سايتهاي از اين پروتكل استفاده مي كنند، تا از اطلاعات محرمانه كاربران (مانند اطلاعات كارت اعتباري) نگهداري كنند.

آدرس سايتهايي كه نياز به SSL دارند بايد به صورت https به جاي http باشد. يك پرتكل ديگر براي انتقال مطمئن اطلاعات روي شبكه جهاني وب secure http يا s-http است. به طوريكه SSL يك ارتباط مطمئن بين يك كاربر و سرور ايجاد مي كند. و هر اطلاعاتي را مي توان با آن منتقل كرد. ولي s-http طراحي شده است تا پيام هاي شخصي را به طور ايمن انتقال دهد. بنابراين SSL و s-http را مي توان به عنوان مكمل يكديگر در نظر گرفت، تا رقيب يكديگر. هر دو پرتكل بوسيله IETF (كه مخفف Internet Engineering Task Force است) به عنوان استاندارد تصويب شده است.

يك مشكل امنيتي معمول در ويندوز
متأسفانه بسياري از كاربران ويندوز از يك شكاف امنيتي موجود در تنظيمات شبكه كامپيوتر بي اطلاع هستند.
تنظيمات معمول شبكه در ويندوز به شرح زير است:
Client for Microsoft Networks
file and printer sharing for Microsoft Networks
NET BEUI Protocol
Internet Protocol TCP/IP

اگر در تنظيمات ويندوز شما NetBIOS مجاز باشد يك مشكل امنيتي در TCP/IP داريد.
• ممكن است فايلهاي شما در كل اينترنت به اشتراك گذاشته شوند بدون انكه شما مايل به اين عمل باشيد.
• Work Group-name , Computer name , Logn- name براي ديگران قابل مشاهده است.
• فايلهاي شما مي‌توانند در كل اينترنت به اشتراك گذاشته شود.

كامپيوترهايي كه به هيچ شبكه‌اي متصل نشده‌اند هم مي‌توانند در معرض خطر باشند زمانيكه براي اولين بار به اينترنت متصل مي‌شويد تنظيمات شبكه شما تغيير مي‌كند.
حل مشكل:
براي كاربران ويندز۲۰۰:
با disable كردن NetBIOS در TCP/IP مي توانيد مشكل را حل كنيد:
• ويندوز اكسپيلورر را باز كنيد.
• روي My Network places راست كليك كنيد.
• properties را انتخاب كنيد.
• روي Locol Are a Network راست كليك كنيد.

• روي properties كليك كنيد.
• وارد قسمت Bindings شويد.
• علامت تيك Clinet for Microsoft Network را برداريد. علامت تيك File and printer sharing را برداريد.
• روي OK كليك كنيد.
اگر پيغامي مانند: “…You must select a driver” را دريافت كرديد. روي YES كليك كنيد. و روي OK كليك كنيد تا پنجره هاي ديگر را ببنديد.
اگر هنوز مي خواهيد فايلها و پرينتر شما در شبكه فعال باشد، بايد از پروتكل NetBEUI به جاي TCP/IP استفاده كنيد. مطمئن باشيد كه آن را براي شبكه محلي خود فعال كرده ايد.
مراحل به شرح زير است:
• ويندوز اكسپيلورر را باز كنيد.
• روي My Network places راست كليك كنيد.
• properties را انتخاب كنيد.

• NetBEUI را انتخاب كنيد.
• روي properties كليك كنيد.
• وارد قسمت Bindings شويد.
• براي Clinet for Microsoft NetworkS علامت تيك بگذاريد.
• براي File and printer sharing علامت تيك بگذاريد و روي OK كليك كنيد.
اكنون بايد كامپيوتر خود را ري استارت كنيد (restart) كنيد. تا تغييرات در سيستم شما اعمال شوند.
دسترسي به اينترنت يك ريسك امنيتي است.

زماني كه به اينترنت دسترسي داريد. از يك آدرس IP مانند ۸۳٫۱۵۰٫۶۱٫۱۳۰ براي شناسايي شما استفاده مي شود. اگر كامپيوتر خود را محافظت نكنيد اين آدرس IP مي تواند براي دست يابي به كامپيوتر شما از دنياي اينترنت استفاده شود.

ويروس ها چگونه منتشر مي شوند
اگر كسي چيزي در مورد كامپيوتر ها نداند اين را مي داند كه ويروسها مخرب هستند و بايد كامپيوتر خود را در برابر هجوم آنها حافظت كند. كمپاني هاي ضد ويروس ( آنتي ويروس ) تعداد زيادي ويروس را ساپورت مي كنند. ولي هيچ كدام از آنها كامل نيستند. آنتي ويروسهاي امروزي بيشتر عمل حفاظت را به طور واكنشي انجام مي دهند تا به صورت كنشي. يعني براي براي اينكه آنتي ويروس شما متوجه ويروس جديد در كامپيوتر شود بايد تا آخرين بيت وارد كامپيوتر شما شود و شروع به فعاليت كند. سناريوي پخش يك ويروس جديد در اينترنت و عكس العمل شركت هاي آنتي ويروس در برابر آن به صورت زير است:
• ابتدا يك ويروس به طور متوسط صد هزار كامپيوتر را مورد هجوم قرار مي دهد.
• سپس شركت هاي آنتي ويروس شروع به ساختن پكيج براي آنها مي كنند.
• در مرحله بعد اين پكيج در اختيار عموم قرار مي گيرد.

مشكل اين است كه ممكن است كامپيوتر شما قبل از ساختن اين پكيج مورد حمله قرار گيرد. مشكل ديگر اين است كه اكثر افراد آنتي ويروس كامپيوتر خود را « به روز » يا « up to date » نمي كنند. كمپاني هاي ضد ويروس بيشتر به صورت اكتشافي عمل مي كنند. و اين كار را بوسيله برنامه هاي آشكار سازي انجام مي دهند. اين برنامه ها كليه اعمالي را كه در كامپيوتر بوسيله برنامه هاي ديگر انجام مي شود تحت نظر مي گيرند و هر گاه اين اعمال با كارهايي كه يك ويروس در كامپيوتر انجام مي دهد مطابقت كند آن را به عنوان يك ويروس شناسايي مي كنند.سپس جلوي فعاليت آن را مي گيرند و همچنين وجود ويروس را به كاربر گوشزد مي كنند. با عمل كردن اين برنامه آشكار ساز در نرم افزار آنتي ويروس هر گاه يك برنامه فعاليت مشكوكي انجام دهد به كاربر هشدار مي دهد و احتمالاً جلوي انتشار ويروس گرفته مي شود. اين عمل باعث مي شود كامپيوتر ها كمتر آلوده شوند.
نرم افزار آنتي ويروس بايد به گونه اي تنظيم شود كه كه روزانه به طور اتوماتيك اجرا شود كه شامل به روز كردن و اسكن كردن است.

برنامه هاي اكتشافي (Heuristics ) اين فرصت را مي دهند كه زودتر جلوي انتشار ويروس ها گرفته شود. هر چند استفاده از اين برنامه ها يك راه صددرصد فراگير نيست. ولي بسيار مشكل گشا است. و حساسيت اين برنامه ها به
تنظيم سطح حفاظت ( Level Setting ) در نرم افزار آنتي ويروس بستگي دارد. يعني آنتي ويروسي كه در كامپيوتر شما نصب شده است و تنظيمات آن به شما دركشف ويروسها كمك مي كند

ويروسها و مشكلات آنها در اينترنت
ويروسهاي كامپيوتري شهرت زيادي در تلوزيون و روزنامه پيدا كرده اند بخصوص اكنون كه افراد زيادي از اينترنت استفاده مي كنند حتي تصور اينكه كل كامپيوتر شما در اثر بازديد از يك صفحه وب و يا باز كردن يك email بهم ريخته و كارهايتان از بين ربته غير قابل بخشش است.
يك ويروس تكه code اي است (نوشته مي شود بوسيله يك انسان مريض كه وقت زيادي دارد ) كه خود را مي چسباند به برنامه هاي كامپيوتري و خود را منتشر مي كند. ويروسها معمولاً اعمال ناخوشايندي روي كامپيوتر و برنامه هاي آن انجام مي دهند. مشكلي كه ويروس بوجود مي آورد مي تواند يك مشكل ساده باشد ( مانند باز كردن يك پنجره با يك پيام عاشقانه كه هر روز در سر وقت مقرر انجام مي شود ) يا فوق العاده خطرناك باشد ( همه فايلهاي موجود در كامپيوترتان را پاك كند ) معمولاً زمانيكه كامپيوتر شما به يك ويروس آلوده مي شود شما متوجه نمي شويد ( اگر آلوده شدن به ويروس آشكار بود نمي توانست به سادگي گسترش پيده كند ) احتمالاً كامپيوتر شما شروع به انجام كارهاي عجيب و غريب خواهد كرد برنامه ها اجرا نمي شوند فايلهايتان در حال از دست رفتن هستند يا صدمه به كامپيوتر شما وارد مي شود.

شما با اجرا كردن برنامه هاي غير قابل اعتماد در كامپيوترتان با ويروسها مواجه مي شويد ويروسها نمي توانند فايلهي صرفاً اطلاعاتي را آلوده كنند ( مثلاً عكسها و فايلهاي متن ) آنها بايد يك برنامه را اجرا كنند تا بتوانند گسترش پيدا كنند.
متاسفانه مرز بين يك فايل اطلاعاتي و يك فايل قابل اجرا خيلي كم رنگ شده است. براي مثال فايلهي Word و Excel مي توانند شامل زير برنامه هايي ( Macros ) باشند كه كارهاي مختلفي را انجام مي دهند. بنابراين اين فايلها مي توانند شامل ويروس باشند اگر مي خواهيد در برابر ويروسها ايمن باشيد بايد در كامپيوترتان يك آنتي ويروس نصب كنيد مطمئن شويد كه مرتباً ويروسها را براي آنتي ويروس خود update مي كنيد ( كه شامل مشخصات ويروسهاي جديد است ). بايد مواظب فايلهايي كه افراد مختلف بوسيله فلاپي ديسكها به شما مي دهند باشيد يا فايلهايي

كه بوسيله e-mail براي شما مي فرستند. هميشه نرم افزار شناسايي ويروس را براي هر فايلي كه از آن مطمئن نيستيد اجرا كنيد به ياد داشته باشيد كه ديگران هميشه مي توانند فايلهاي ويروسي را به شما انتقال دهند بدون اينكه درباره آنها اطلاعي داشته باشند بنابراين فقط به دليل اينكه اين فايل از مطمئن ترين دوست شما گرفته شده است به اين معني نيست كه حتماً ويروسي نيست!
آنتي ويروس كامپيوتر شما را از ويروسها در امان نگه مي دارد
فرهنگ جامع ويروس جديدترين اطلاعات را از آخرين ويروسها در خود دارد

بعيد است كه شما با بازديد از يك وب سايت با ويروس مواجه شويد. بعضي از صفجات وب شامل كدهاي برنامه نويسي هستند ( مثلاً جاوا اپلتها يا جاوا اسكريپتها ) اما معمولاً مشكلي پيش نمي آيد اگر چه حفره هاي قابل نفوذ مخربي در مرورگرهاي وب پيدا شده است و اين مرورگرها ممكن است نمونه اي از ويروسهايي كه كه ممكن است بر اساس يك جاوا اسكريپت نوشته شود را در خود نداشته باشند.بنابراين براي در امان بودن مطمئن شويد كه هر تكه ( patch ) در دسترس را براي مرورگر ( browser ) خود download كرده ايد.

شوخي هاي مزاحم در email
يك مشكل بسيار گسترده در اينترنت وجود دارد و آن پيغامهاي الكترونيكي كه در مورد يك ويروس هشدار مي دهند و اين هشدار در مورد يك email با يك عنوان ( subject ) مشخص مي باشد كه اين email ها ويروس هاي خطرناك هستند و به كامپيوتر شما آسيب مي رسانند.
مثال:
Please do not open up any mail that has this title.
It will erase your whole hard drive. This is a new
e-mail virus and not a lot of people know about
it, just let everyone know, so they won’t be a victim.
Please forward this e-mail to you friends!!!
Remember the title: JOIN THE CREW.
مثال ديگر:

Subject: VIRUS WARNING VERY IMPORTANT
Please read the following message we received from a client.
If you receive an email titled “It Takes Guts to Say ‘Jesus'”
DO NOT open it. It will erase everything on your hard drive. So, you must delete it.
Forward this E-MAIL out to as many people as you can. This is a new, very

malicious virus and not many people know about it. This information was
announced yesterday morning from IBM; please share it with everyone
that might access the internet. Once again, pass this along to EVERYONE in
your address book so that this may be stopped. AOL has said that this is
a very dangerous virus and that there is NO remedy for it at this time.
Please practice cautionary measures.

اگر شما email اي مانند اين ديديد آن را براي كسي نفرستيد! ويروسهاي “Jion The Crew” و “It Takes Guts to Say ‘Jesus'” شوخي هستند! ويروسهاي شوخي ديگري وجود دارند مانند:
“Win a Hliday” , “AOL4Free” , “Pen Pal Greetings”, “ghost” , “Deeyenda”
و بد نام ترين آنها “Good times” است.
ويژگيهاي اخطار ويروسهاي شوخي:
• تأكيد بسيار
• يك هشدار كه ويروس فقط با باز كردن پيغام فعال مي شود ( شما نمي توانيد فقط با باز كردن يك پيفام آلوده شويد مگر اينكه يك پيوست ( attachment ) را باز كنيد.
• كلمات « اين يك ويروس جديد است كه بسياري از مردم آن را نمي شناسند » در آن ديده مي شود
• دستور العملها به شما مي گويند كه با دنبال كردن يك لينك آن را برايكسانيكه مي شناسيد بفرستيد.
• با اشاره به اينكه ويروس روز قبل بوسيله يك شركت يا گروه كامپيوتري معتبر مانند “IBM” يا “Microsoft’ و يا … اعلام شده است مي خواهند هشدار خود موجه جلوه دهند.
در اينجا يك مثال از يك هشدار حقيقي در مورد ويروس وجود دارد:

Hi all,
There is a virus (a “worm”, actually) currently doing the rounds that
comes packaged in a file called PrettyPark.exe attached to an email.

Apparently it has been around since May last year, but has proliferated
recently and is currently by far the most “popular” subject of enquiries
at Symantec’s anti-virus research center.
The usual rules apply: don’t open it.
Information (including a fix if you are infected) is available at this
site:
http://www.symantec.com/avcenter/venc/data/prettypark.worm.html
Good luck, Take care.
ويژگيهايي كه نشان مي دهند اين ويروس مربوط به يك ويروس واقعي است عبارتند از :
• پيغام به شكل ساده و زبان منطقي و مستدل بيان شده است ( بدون هيچگونه بزرگنمايي در لغات )
• پيغام در مورد باز كردن يك بايل الصاقي ( attachment ) هشدار ني دهد
• پيغام آدرس سايت معتبري را مي دهد كه در آن مي توانيد در مورد ويروس اطلاعات بيشتري پيدا كنيد.
• در پيغام اطلاعاتي در مورد اينكه اگر كامپيوتر شما آلوده به ويروس شد چه كار بايد انجام دهيد به شما اطلاعاتي ميدهد.
• در پيغام از شما خواسته نمي شود كه آن را براي كسي بفرستيد.
كرمها ( worms )

كرمها اصولاً ويروس نيستند با اين وجود تفاوت بين آنها بسيار اندك است و معمولاً در اخبار روزمره آنها را با يكديگر اشتباه مي گيرند. ويروسها يك كامپيوتر منفرد را آلوده مي كنند وسعي نمي كنند به كامپيوتر ديگري راه پيدا كنند كرمها به كامپيوترهاي ديگر انتقال پيدا مي كنند با اعمال شما. ( مثلاً با اشتراك گذاشتن فايلها بوسيله email يا بوسيله فلاپي ديسك ها كرمها به شدت علاقه مندند كه فقط خود را در ميان يك شبكه گسترش دهند. آنها به طور خود كار خودشان را به كامپيوترهاي ديگر انتقال مي دهند به علت اينكه انتقال آنها بين كامپيوترها به طور خودكار انجام مي پذيرد سرعت گسترش آنها بسيار سريعتر از ويروسها است.

معمولترين راه گسترش يك كرم اين است كه خود را به همه آدرسهاي email اي كه شما در address book خ.د ليست كرده ايد برساند يا outlook شركت مايكروسافت برنامه email اي است كه بيشترين آسيب پذيري را در برابر حمله كرمها دارد فقط به اين دليل كه عمومي ترين برنامه است براي كاهش دادن احتمال آلوده شدن به كرمها شما مي توانيد مراحل زير را اجرا كنيد:

• هيچ فايل الصاقي ( attachment ) غير منتظره اي را در email هاي خود باز نكنيد ( بخصوص آنهايي را كه شامل پيغامهاي معمول مانند در اين جا فايلي كه شما درخواست كرده ايد وجود دارد. ) هر چند آنها از منابع مطمئني براي شما ارسال شده باشند. براي فرستنده email اي بفرستيد (reply ) و از او سئوال كنيد او واقعاً چنين فايلي براي شما فرستاده است يا نه؟
• يك آنتي ويروس نصب كنيد و آن را مرتباً up to date كنيد.
• اگر ممكن است از نرم افزار email اي به قير از Outlook Express استفاده كنيد.