خبرگزاری ایسنا: هم اکنون در رویداد هکرهای کلاه سیاه که در شهر لاس وگاس ایالات متحده آمریکا در حال برگزاری است، درباره آسیب پذیری، امنیت سایبری و تقویت فضای مجازی سخنرانی میشود و متخصصان و دانشمندان فعال در حوزههای مرتبط، درباره یافته و نتایج جدید تحقیقات خود به بحث و گفتوگو مینشینند.
در این رویداد از آسیبپذیری جدیدی پردهبرداری شد که به هکرها اجازه ورود و نفوذ غیرمجاز به رایانه کاربران که به سیستم عامل ویندوز ۱۰ مجهز است، را میدهد و اطلاعات شخصی و محرمانه آنها را به سرقت میبرد.
سپس هکر و مهاجم موردنظر با نفوذ به رایانه شخص قربانی، قادر خواهد بود دادههای ورودی کاربران را تحت کنترل و مدیریت خود قرار دهد و یا به صورت خودسرانه به بارگزاری فایل اطلاعات شخصی قربانیان در اینترنت بپردازد.
این پژوهشگران تاکید کردهاند کاربران ویندوز ۱۰ حتی درصورت استفاده از بهترین و قدرتمندترین نرمافزارهای آنتی ویروس نیز قادر نخواهند بود از نفوذ هکرها جلوگیری بهعمل بیاورند.
آنها بر این باورند که سیستم عامل ویندوز ۱۰ میزبان حفرههای امنیتی کوچک و بزرگ بسیاری است که تاکنون مایکروسافت برای برطرف کردن و حذف آنها از پلتفرم ویندوز چارهای نیندیشیده است.
پیشتر هم اخبار بسیاری مبنی بر ضعف امنیتی دستیارهای صوتی و اسپیکرهای هوشمند در فضای مجازی منتشر شده بود که نشان میداد اتصال این دستگاههای الکترونیکی و هوشمند به رایانه و گوشیهای موبایل، خطر دسترسی افراد غریب ، ناشناس و هکرها به اطلاعات ذخیره شده شخصی کاربران را با خود به همراه دارد.
جاسوسافزاری که اخیراً در ایران مشاهده شده از آیی مشابه آی مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده و با انتخاب نام e_dadsara کاربر را به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا ترغیب میکند.
این نمونه بدافزاری، جاسوسافزاری است که اخیراً در ایران مشاهده شده است و بر اساس اطلاعات سایت مرکز ماهر از آیی مشابه آی مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا میکند، در صورتی که جاسوسافزاری مخفی شده در شکل پوشه است.
نحوه شناسایی سیستم آلوده از طریق لاگهای شبکه
تمامی سیستمهایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1/ در ارتباط باشند (با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستمهای میزبان نیز در نظر گرفته شود).
بررسی وجود آلودگی
2. وجود فایلی با مشخصات زیر در سیستم:
%AppData%RoamingAdobeHostService.exe
3. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است) در مسیر رجیستری HKCUSoftwareMicrosoftWindowsCurrentVersionRun
4. وجود کلید رجیستری در مسیرهای زیر:
HKCUSoftwareMicrosoftWindowsCurrentVersionApp PathsHostServices.exe
HKCUSoftwareMicrosoftWindowsNTCurrentVersionImage File Execution OptionsHostService.exe
HKCUSoftwareMicrosoftWindowsNTCurrentVersionAppCompatFlagsCustomHostService.exe
نحوه پاکسازی سیستم
1. پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است.
2. حذف فایلها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی بدان اشاره شده است.
بررسی پاک بودن سیستم
1. نبود مقدار زیر در کلید رجیستری ویندوز:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunHostService
2. نبود فایلهایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
3. نبود ارتباطات FTP که در فرایند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.
توصیههای امنیتی برای پیشگیری
1. خودداری از باز کردن مستندات الحاق شده به ایمیلهای ناشناس و …
2. بهروز بودن نرمافزار ضدبدافزار نصب شده بر روی سیستم
3. فعال کردن ویژگی نمایش پسوند فایلها در ویندوز و احتیاط در اجرای فایلهای دارای پسوند exe
مطلب
درباره این سایت