راهی برای برنامههای مخرب
معمولا برنامه های مخرب از برخی از قابلیت های سیستم عامل یا اشتباهات کاربران استفاده می کنند و باعث اجرای برنامه خود می شوند. از جمله قابلیت های سیستم عامل می توان به Auto play و Startup اشاره کرد.
یکی از قابلیت های ویندوز استفاده از فایل های Auto playاست.
فایل Auto run فایلی متنی است که می توان داخل آن، مسیر اجرای یک برنامه یا فرامین ویندوز را قرار داد. با قرار دادن این فایل در ریشه هر درایو با دوبار کلیک کردن بر روی آیکون آن درایو، به جای باز شدن درایو، فرامین داخل فایل Auto run را اجرا می کند.
برای حافظه هایی که جداشدنی هستند مانند انواع CDها و DVDها و حافظه های فلش قابلیت دیگری به نام Auto play وجود دارد. زمانی که این حافظه ها به سیستم متصل می شوند، پنجره ای به نام Auto play باز می شود که برای راحتی کاربر، مواردی مانند باز کردن یا اجرا کردن را در اختیارش قرار می دهد. اگر در یک حافظه فلش، فایل Auto run وجود داشته باشد با باز کردن فلش توسط پنجره Auto play، فایل Auto run آن نیز اجرا می شود، اگر این فایل مربوط به یک برنامه مخرب باشد، اجرا شده و وارد سیستم می شود.
در صورت امکان می توان قابلیت Auto play را از Control panel غیر فعال کرد.
قابلیت دیگری که موجب ورود سریع تر این برنامه ها به سیستم می شوند، Startup است.
قابلیت Startup این امکان را می دهد که با قرار دادن آدرس یک برنامه آن برنامه در هنگام بوت یا Login آن برنامه اجرا شود. اگر تنها بخواهیم در Startup، login برنامه ای را قرار دهیم به منوی Start و سپس Program رفته و فولدر Startup را باز می کنیم و Shortcut برنامه را در آن قرار می دهیم.
Startup که در هنگام بوت سیستم برنامه ها را اجرا می کند، معمولا توسط خود ویندوز و یا نصب برنامه ها تنظیم می گردد.
برای دسترسی به پوشه Startup می توان به مسیر زیر رفت:
C:\users\Appdata\roaming\microsoft\windows\start menu\program\startup
برخی از Startup ها مربوط به User هستند:
Start -> Accessories -> startup
و برخی دیگر مربوط به سیستم هستند:
Run -> msconfig -> startup
معمولا برنامه های مخرب بعد از ورود به سیستم ابتدا فایل اجرایی خود را در فوادرهایی مانند Temp در شاخه User کپی می کند و آدرس آن را داخل Startup قرار می دهد. نرم افزارهایی که در Startup مربوط به برنامه هستند و مربوط به ویندوز نیستند را می توان از وضعیت Running خارج کرد.
در صورتی که فلش مموری را به سیستم خود وصل می کنید که از سالم بودن آن مطمئن نیستید بهتر مراحل زیر را قبل از باز کردن فلش انجام دهید تا از ورود برنامه های مخرب به سیستم جلوگیری کنید:
1) بعد از اتصال حافظه فلش آن را باز نکرده و با دیدن نام درایو فلش از قسمت My computer و اجرای فرمان CMD، وارد درایو فلش می شویم.
2)
معمولا حافظه های فلشی که دارای برنامه مخرب هستند، شامل یک فایل Auto run که مسیر اجرای آن ها داخل آن قرار گرفته است. پس اولین کاری که انجام می دهیم، حذف فایل Auto runاست.برای حذف این گونه فایل ها دستور زیر را وارد می کنیم:
J:\>del /f /a au
Au ابتدای کلمه Auto run است و در صورتی که ابتدای کلمه را نوشته و بعد از آن کلید Tab را بزنید، در صورت کامل شدن کلمه نشان دهنده این است که فلش شما دارای فایل Auto run است که پس از مشاهده می توان آن ها را حذف کرد.
3) در صورتی که برنامه های مخرب از نوعی باشند که از فولدرها Shortcut ایجاد کرده و آن را Hidden کرده، پس از حذف Auto run توسط فرمان زیر تمام Shortcut را پاک می کنیم.
J:\>del /a /f *.lnk
4) فولدرهای Hidden شده توسط برنامه مخرب، به صورت عادی از حالت Hidden خارج نمی شوند. برای این منظور از فرمان زیر استفاده می کنیم:
C:\>attrib -H +A -S نام فولدر
تمامی برنامه های مخرب معمولا بر روی حافظه فلش چندین فولدر اضافی با اسامی فولدرهای سیستمی مانند Recycler، USB to driver و ... را ایجاد می کنند که ممکن است داخل یکی از این فولدرها فایل اجرایی خود را که معمولا یک فایل با پسوند EXE است را قرار می دهند که تمامی این فولدرها هم از نوع سیستمی و هم از نوع Hidden هستند.
فائزه خاموشی
بخش دانش و زندگی تبیان
منابع:
TYPES OF MALICIOUS SOFTWARE
webroot
Examples of Malicious Computer Programs
