Conficker را فراموش نکنید

این روزها بحث حملات سایبری به مراکز دولتی کشور داغ است و توجه بسیاری از مدیران شبکه و کاربران را به خود جلب کرده است. ولی باید وقت داشت و با اولویت بندی و برآورد احتمال آسیب پذیری از هر یک از تهدیدات جاری و روزمره، یکباره از دشمنان قدیمی که همواره در کمین بوده و هستند، غافل نشد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) شرکت مایکروسافت با انتشار گزارش امنیتی خود در هفته گذشته، ویروس Conficker را همچنان بزرگترین تهدید برای شبکه های سازمانی دانست. در سه ماهه زمستان ۹۰، بیش از ۱۷ میلیون کامپیوتر به این ویروس مبتلا شده اند.

بررسی های جدید توسط شرکت امنیتی Neustar نشان می دهد که کامپیوترهای آلوده به ویروس Conficker بیشتر از کامپیوترهای سالم، در معرض خطر آلودگی به انواع بدافزارها هستند و احتمال حمله و نفوذ به این کامپیوترهای آلوده نیز بسیار بیشتر است.

ویروس Conficker بر روی کامپیوتر آلوده، امکانات به روز رسانی ابزارهای امنیتی مایکروسافت، نظیر Windows Defender و Security Essential و دیگر شرکت های تولیدکننده ضدویروس را مختل می کند. همچنین سرویس خودکار به روز رسانی سیستم عامل Windows را نیز غیر فعال می سازد. بدین ترتیب، کامپیوتر آلوده به Conficker دسترسی به جدیدترین بانک های اطلاعاتی برای شناسایی بدافزارهای جدید را نداشته و بیشتر در معرض خطر آلودگی به این بدافزارها می باشد. همچنین به علت عدم دریافت خودکار اصلاحیه های امنیتی مایکروسافت برای سیستم عامل Windows، احتمال سوء استفاده از نقاط ضعف ترمیم نشده بر روی کامپیوتر آلوده بیشتر بوده و شانس نفوذ به این سیستم های آسیب پذیر بیشتر است.

با آنکه مدتی است که به نظر می رسد گردانندگان ویروس Conficker آن را به امان خود رها کرده اند و دیگر علاقه ای به کنترل و مدیریت دستگاه های آلوده به این ویروس را ندارند و شاید هم بسیاری از کامپیوترهای آلوده به Conficker را اکنون با استفاده از بدافزار دیگری تحت کنترل در آورده اند، با این حال، به علت ماهیت سمج ویروس Conficker، میزان آلودگی به این ویروس همچنان بالا است. به چند دلیل زیر، احتمال مرگ همیشگی و پایان عمر Conficker بسیار کم است و در آینده نیز همچنان با این ویروس در جدال خواهیم بود.

تمام ارتباطات و تبادل اطلاعات ویروس با مرکز فرماندهی خود، رمزگذاری شده است و امکان شناسایی کامپیوتر آلوده را دشوار می کند.

ویروس از یکی از ساده ترین و راحت ترین روش های موجود، اقدام به انتشار خود می کند. آن هم استفاده از امکان Autorun بر روی ابزارهای ذخیره سازی قابل حمل مانند USB Flash، CD و… است.

ویروس با استفاده از یک بانک اطلاعاتی حاوی رمزهای عبور ساده و آسان، با سعی و خطا، دسترسی Admin به شبکه پیدا کرده و خود را بر روی تمام Shareهای شبکه کپی می کند.

ویروس می تواند به خواب زمستانی برود تا زمانی که یک کاربر با رمز عبور Admin به یک کامپیوتر در شبکه وارد شود. ویروس این رمز عبور را سرقت کرده و از آن برای انتشار خود استفاده می کند.

گرچه ویروس از یک نقطه ضعف در سیستم عامل Windows سوء استفاده می کند ولی قریب به ۱۰۰% آلودگی های این ویروس، از طریق سرقت رمزهای عبور و امکان Autorun بوده است. لذا انتشار ویروس وابسته به یک نقطه ضعف خاص نیست که بتوان با ترمیم آن، مانع از فعالیت ویروس شد.

تعداد دفعاتی که ویروس به یک کامپیوتر در شبکه آلوده حمله می کند، بسیار زیاد است. آمار نشان می دهد که ویروس بین ۱۵ تا ۳۵ بار به یک کامپیوتر حمله می کند تا آن را آلوده کند. لذا باقی ماندن حتی یک کامپیوتر آلوده درشبکه، برای شیوع مجدد آن کافیست.

یک گروه متشکل از چندین کارشناس و شرکت امنیتی، چندین سال است که بر روی ویروس Conficker و راه های مبارزه با آن تحقیق و بررسی می کنند. اطلاعات بیشتر درباره این گروه در سایت www.Confickerworkinggroup.org قابل دسترسی و مطالعه است. همچنین اعضای این گروه، ابزارهای مختلفی برای مقابله، شناسایی و پاکسازی ویروس Conficker تهیه کرده اند که در نشانی زیر در دسترس عموم می باشند.