آیا باید با وایپر خداحافظی کرد؟

خاطرمان باشد كه مهم نيست ويروس‌هاي رايانه‌اي، كي، كجا، چگونه و با چه شدتي به ما حمله مي‌كنند؛ مهم اين است كه ما خود را براي مقابله با بدترين و خطرناك‌ترين آنها آماده كرده باشيم و اين آمادگي را همواره به‌روز نگاه داريم. در اين صورت، احتمال ايجاد آلودگي و اختلال در سيستم‌هاي رايانه‌اي ما حتما به سمت صفر ميل خواهد كرد. هرچند برخي از سازمان‌هاي فعال در زمينه امنيت اطلاعات، راهكارهايي براي كنترل و انسداد حملات وايپر ارايه كرده‌اند، اما اين روش‌هاي پيشنهادي، به هيچ‌وجه موثر نيستند.
نمونه‌ای از روش‌هاي ارايه‌شده، راهكارهاي مبتني بر محدود كردن دسترسي به فايل Diskpart يا حذف كامل آن است، اما نكته اين است كه اضافه كردن اين فايل 160 KB به ويروس بسيار ساده بوده و اين در حالي است كه گزينه‌هاي بسيار بهتري براي جايگزيني آن در اختيار منتشر‌كنندگان ويروس است. بهترين و موثرترين راهكار حفاظتي، در نظر گرفتن مرحله اصلي تخريب و جلوگيري از فعاليت اين ويروس يا ويروس‌هاي مشابه در هنگام آغاز عملي حمله‌اي است. بر اساس اطلاعات امنيت فضاي تبادل اطلاعات- افتانا- در اين رابطه به نظر نمي‌رسد كه راهكارهاي سنتي ويروس‌يابي يعني شناسايي ويروس‌ها بر مبناي فايل بروزرساني (Signature) موثر باشد.
اين يك راهكار پساكنترلي محسوب مي‌شود و ويروس‌هاي بسيار جديد معمولا از اين سد دفاعي به‌راحتي عبور مي‌كنند. به همين منظور برخي از شركت‌هاي ضد ويروس راهكارهاي امنيتي ديگري دارند كه مي‌توانند كدهاي مخرب را پيش شناسايي كنند. اين روش‌هاي مكمل معمولا بر مبناي رفتار‌شناسي و حركت سنجي كدهاي اجرايي عمل مي‌كنند. نمونه‌اي از قدرتمندترين روش‌هاي حفاظت پيشگيرانه در مقابله با ويروس‌هاي اينترنتي كه در اختيار شركت امنيتي پانداست، به فناوري TruPrevent مشهور است. اين تكنولوژي حفاظتي مي‌تواند به محض اجراي يك فايل، تمام رفتارها، حركات و نحوه عملكرد آن را به سرعت بررسي كند تا در صورت مشكوك بودن يا مخرب بودن آن فايل، از ادامه اجرايش جلوگيري شود.
بنابراين، ويروس‌هاي ثبت نشده و بسيار جديد نيز با اين روش به راحتي به دام مي‌افتند و پس از قرنطينه شدن و تشخيص قابليت‌هاي تخريبي، در پايگاه‌هاي اطلاعات امنيتي شركت پاندا و به عنوان يك ويروس جديد ثبت مي‌شوند. بله! در مورد ويروس‌هاي بسيار جديد و بسيار خطرناك كه به سرعت در اينترنت منتشر شده يا به صورت هدفدار عمل مي‌كنند، متاسفانه روش‌هاي سنتي شناسايي ويروس‌ها، عملا غيرموثر و بي‌فايده هستند.
تحقيقاتي كه توسط تيم فني شركت ايمن رايانه روي كد منبع اين ويروس W322/VRBAT انجام شده، نشان مي‌دهد فايل‌هاي اصلي كه ويروس تنها با تغيير آنها موفق به انجام فرآيندهاي تخريبي خود مي‌شود، با عنوان Ntldr و Bootmgr فايل‌هاي سيستمي بسيار حياتي هستند كه بايد دسترسي به آنها تحت كنترل كامل مدير شبكه باشد. با استفاده از روش‌هاي پيشگيرانه حفاظتي مانند Panda TruPrevent، نه تنها مي‌توانيم دستورالعمل‌هاي جديد و دلخواه حفاظتي براي انسداد دسترسي به اين دو فايل حساس سيستمي تعريف كنيم، بلكه مي‌توانيم اين ماژول‌هاي جديد حفاظتي را روي تمام سرورها و رايانه‌هاي سازماني اعمال كنيم. در اين حالت ويروس‌هايي كه با تغيير فايل‌هاي Ntldr و Bootmgr فعال مي‌شوند، در عمل قادر به تخريب رايانه شما نخواهند بود. همچنين راهكارهاي عمومي امنيت اطلاعات مانند امن نگاه داشتن پورت‌هاي يو اس بي ‌با استفاده از برنامه Panda USBVaccine، نصب اصلاحيه‌هاي امنيتي سيستم عامل روي تمام ايستگاه‌هاي كاري شبكه و نيز تعريف صحيح پيكربندي امنيت شبكه مي‌توانند در شناسايي و كنترل سريع و پيشگيرانه حملات و ويروس‌هاي رايانه‌اي مفيد باشند.
2121