خاطرمان باشد که مهم نیست ویروسهای رایانهای، کی، کجا، چگونه و با چه شدتی به ما حمله میکنند؛ مهم این است که ما خود را برای مقابله با بدترین و خطرناکترین آنها آماده کرده باشیم و این آمادگی را همواره بهروز نگاه داریم. در این صورت، احتمال ایجاد آلودگی و اختلال در سیستمهای رایانهای ما حتما به سمت صفر میل خواهد کرد. هرچند برخی از سازمانهای فعال در زمینه امنیت اطلاعات، راهکارهایی برای کنترل و انسداد حملات وایپر ارایه کردهاند، اما این روشهای پیشنهادی، به هیچوجه موثر نیستند.
نمونهای از روشهای ارایهشده، راهکارهای مبتنی بر محدود کردن دسترسی به فایل Diskpart یا حذف کامل آن است، اما نکته این است که اضافه کردن این فایل ۱۶۰ KB به ویروس بسیار ساده بوده و این در حالی است که گزینههای بسیار بهتری برای جایگزینی آن در اختیار منتشرکنندگان ویروس است. بهترین و موثرترین راهکار حفاظتی، در نظر گرفتن مرحله اصلی تخریب و جلوگیری از فعالیت این ویروس یا ویروسهای مشابه در هنگام آغاز عملی حملهای است. بر اساس اطلاعات امنیت فضای تبادل اطلاعات- افتانا- در این رابطه به نظر نمیرسد که راهکارهای سنتی ویروسیابی یعنی شناسایی ویروسها بر مبنای فایل بروزرسانی (Signature) موثر باشد.
این یک راهکار پساکنترلی محسوب میشود و ویروسهای بسیار جدید معمولا از این سد دفاعی بهراحتی عبور میکنند. به همین منظور برخی از شرکتهای ضد ویروس راهکارهای امنیتی دیگری دارند که میتوانند کدهای مخرب را پیش شناسایی کنند. این روشهای مکمل معمولا بر مبنای رفتارشناسی و حرکت سنجی کدهای اجرایی عمل میکنند. نمونهای از قدرتمندترین روشهای حفاظت پیشگیرانه در مقابله با ویروسهای اینترنتی که در اختیار شرکت امنیتی پانداست، به فناوری TruPrevent مشهور است. این تکنولوژی حفاظتی میتواند به محض اجرای یک فایل، تمام رفتارها، حرکات و نحوه عملکرد آن را به سرعت بررسی کند تا در صورت مشکوک بودن یا مخرب بودن آن فایل، از ادامه اجرایش جلوگیری شود.
بنابراین، ویروسهای ثبت نشده و بسیار جدید نیز با این روش به راحتی به دام میافتند و پس از قرنطینه شدن و تشخیص قابلیتهای تخریبی، در پایگاههای اطلاعات امنیتی شرکت پاندا و به عنوان یک ویروس جدید ثبت میشوند. بله! در مورد ویروسهای بسیار جدید و بسیار خطرناک که به سرعت در اینترنت منتشر شده یا به صورت هدفدار عمل میکنند، متاسفانه روشهای سنتی شناسایی ویروسها، عملا غیرموثر و بیفایده هستند.
تحقیقاتی که توسط تیم فنی شرکت ایمن رایانه روی کد منبع این ویروس W322/VRBAT انجام شده، نشان میدهد فایلهای اصلی که ویروس تنها با تغییر آنها موفق به انجام فرآیندهای تخریبی خود میشود، با عنوان Ntldr و Bootmgr فایلهای سیستمی بسیار حیاتی هستند که باید دسترسی به آنها تحت کنترل کامل مدیر شبکه باشد. با استفاده از روشهای پیشگیرانه حفاظتی مانند Panda TruPrevent، نه تنها میتوانیم دستورالعملهای جدید و دلخواه حفاظتی برای انسداد دسترسی به این دو فایل حساس سیستمی تعریف کنیم، بلکه میتوانیم این ماژولهای جدید حفاظتی را روی تمام سرورها و رایانههای سازمانی اعمال کنیم. در این حالت ویروسهایی که با تغییر فایلهای Ntldr و Bootmgr فعال میشوند، در عمل قادر به تخریب رایانه شما نخواهند بود. همچنین راهکارهای عمومی امنیت اطلاعات مانند امن نگاه داشتن پورتهای یو اس بی با استفاده از برنامه Panda USBVaccine، نصب اصلاحیههای امنیتی سیستم عامل روی تمام ایستگاههای کاری شبکه و نیز تعریف صحیح پیکربندی امنیت شبکه میتوانند در شناسایی و کنترل سریع و پیشگیرانه حملات و ویروسهای رایانهای مفید باشند.
۲۱۲۱
خبرآنلاین