معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها


فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها
التوقيت الحالي : 03-29-2024, 04:49 AM
مستخدمين يتصفحوا هذا الموضوع: 1 ضيف
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 2147

إضافة رد 

فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها

فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها


السلام عليكم ورحمة الله وبركاته :

فيروسات التشغيل التلقائي AutoRun Viruses والقضاء عليها

1. مقدمة في خاصيةAuto-Run و Auto-Play في أنظمة الويندوز

الAuto-Run والAuto-Play هي أحدى مكونات أنظمة التشغيل Windows من ميكروسوفت والتي تُحدد الحدث الذي يقوم به النظام عند توصيل الأقراص في المشغل الخاص بها، والى صدور نظام Windows XP كان المصطلحان يشيران لنفس الخاصية (عادة المبرمجين يستخدموا اللفظ Auto-Run بينما المستخدمين يستخدموا Auto-Play).
وظيفة الAuto-Run هي تشغيل برنامج معين بداخل القرص بمجرد توصيل القرص في المشغل ، وفي الأساس أنشئت هذه الخاصية لكي تسهل على المستخدمين وتيسر لهم عملية تنصيب البرامج ، فبدلاً من أن يقوم المستخدم بالدخول الى محتوى القرص والبحث عن البرنامج، فخاصية الAuto-Run تيُسر له ذلك وتُشغل البرنامج مباشره بمجرد توصيل القرص. البرنامج الذي يتم تشغيله يتم تحديده في ملف إعدادات يتم وضعه في بداية مسار القرص Root Path ويعرف هذا الملف بإسم autorun.inf . أخيراً هذه الخاصية تستخدم فقط في الأقراص المضغوطة CD/DVD ولا يمكن أن تستخدم لأي نوع أخر (مثل USB/Flah Disk).
أما الAuto-Play فهي خاصية في أنظمة الويندوز (بدءا من Windows XP) تقوم بفحص محتوى القرص (سواء CD / Flash Disk ) وبعد التعرف على محتويات القرص (هل هي صور أم صوتيات أم فيديو ) تقوم بعرض نافذه يقوم المستخدم من خلالها بتحديد البرنامج المناسب لفتح القرص. واذا وجد ملف الautorun.inf في مسار القرص فقد يضيف بعضا من الخيارات في تلك النافذه. الشكل (1) يعرض نافذه الAuto-Play في نظام Windows Vista.

[صورة مرفقة: auto-play-window.jpg]
الشكل (1) نافذة Auto-Play في نظام Windows Vista


هكذا يكون ملف Autorun.inf يستخدم من قبل خاصيتين في ويندوز (Auto-Run و Auto-Play) ، فعندما يكون هذا الملف موجود في الCD وتم فيه تحديد البرنامج الذي يقوم بالعمل ، فسوف يعمل البرنامج مباشره فور تركيب الCD في مشغل الأقراص (ما عدا في حالة كانت خاصية الauto-run معطلة disabled في النظام). أما عندما يستخدم ملف الautorun.inf في الFlash Disk فسوف يعمل البرنامج عند قيام المستخدم بالضغط مرتين على القرص Double Click أو من خلال عدة طرق أخرى يتم تحديدها في ملف الautorun.inf كما سيأتي في الفقرة التالية.




2. كيف استغلت الفيروسات والبرامج الخبيثة Malware هذه الخصائص

بالرغم من وجود خاصية الauto-run في الأقراص المضغوطة CD إلا أنها لم تستغل كثيرا كما هو الحال في الFlash Disks والسبب هو سهوله حملها وتوصيلها من جهاز أخر، لكن العائق الذي واجهه كاتبي الفيروسات هو أن الUSB/Flash Disks لا توجد فيها خاصية الAuto-Run وبالتالي ترَكزَ التفكير حول استغلال خاصية الAuto-Play والتي تدعمها جميع الأقراص حتى يتم نشر الفيروسات .
في هذه الفقرة سنحاول تقمص دور كاتب الفيروس ونرى مدى سهوله الإستفاده من هذه الخاصية في تشغيل البرامج (أو الفيروسات وهو ما يريده كاتب الفيروس) وكمثال على ذلك سوف نقوم بعمل برنامج لسرقة ملف كلمات مرور النظام والذي يعرف بSAM Password File ، وسوف يعمل هذا البرنامج ويقوم بجلب ملف الباسورد بمجرد فتح الFlash Disks بإحدى الطرق غير الآمنة.
لحسن حظ كاتب الفيروس فإن كتابة ملف الautorun.inf لا يأخذ سوى دقائق معدودة بل وهناك برامج مساعدة تمكنك من توليد ملف Autorun.inf بمجرد النقر على عدة من الخيارات (لاحظ أن ملفات Autorun.inf بحد ذاتها ليست خطراً أو أنها هي الفيروس بعينه، ولكنها هي فقط وسيلة لتشغيل الفيروس أو البرنامج وهنا تكون المشكلة ) .الشكل(2) يعرض البرنامج Testing.exe وهو الذي سيقوم بسرقة ملف الباسورد SAM File إلى الFlash Disk بالإضافة إلى ملف Autorun.inf والذي ستكون مهمته في تشغيل البرنامج وإضافة بعض الخيارات الأخرى.

[صورة مرفقة: sam-stealer.jpg]
الشكل (2) برنامج سارق ملف الباسورد SAM Stealer وملف الautorun.inf




يتكون الAutorun.inf من عدة خيارات منها تحديد أيقونة icon القرص عند تركيبه وتحديد البرنامج الذي سيعمل فور تشغيل القرص بالإضافة إلى اسم القرص Label والذي سيظهر بجانب حرف السواقة. لاحظ أن ملف الautorun.inf لكي يعمل بشكل صحيح يجب أن يكون اسمه Autorun.inf أو Autorun.INF .
الشكل (3) يعرض محتوى ملف الautorun.inf والذي سيتم استخدامه لتشغيل سارق كلمات المرور، السطر الثالث يتم تحديد العبارة التي ستظهر عند ظهور نافذة auto-play وعند الضغط عليها سيعمل البرنامج الذي تم تحديده في السطر 7.
أما عند الضغط بالزر الأيمن Right-Click على القرص فسوف تظهر قائمه بها أمر جديد سيظهر بالعبارة "open usb disk" وعند الضغط عليها سيعمل البرنامج Testing.exe كل هذا تم تحديده في السطرين 10 و 11 . أما السطر 14 يتم فيه تحديد البرنامج الذي سيعمل عندما يتم الضغط مرتين على القرص Double-Click ، والسطرين 17 و 18 يتم تغير سلوك الأمر open عن الضغط بالزر الأيمن على القرص فبدلا من فتح القرص سوف يتم تشغيل البرنامج ، ويمكن أيضا تغيير سلوك الأمر explore بنفس الطريقة .وأخيرا السطر 21 يتم فيه تحديد اسم القرص عند تشغيله .

[صورة مرفقة: autorun-inf.jpg]
الشكل (3) محتوى ملف ال autorun.inf



بعد نسخ الملفين السابقين في أحدى الFlash Disk وبعد توصيله بالمنفذ ستظهر مباشره نافذة الAuto-play وسيحتوي السطر الأول منها على ما قمنا بتحديده في ملف الautorun.inf وهي العبارة "open folder to views files" وبمجرد قيام المستخدم بالضغط عليها فستتم الإصابة. أيضا سيتغير اسم القرص إلى الاسم “USB Disk” لأننا قمنا بذلك في ملف الautorun.inf ، أما عند قيام المستخدم بالضغط بالزر الأيمن على القرص فسنجد الأمر “open usb disk” بالخط العريض وبمجرد الضغط عليه فستتم الإصابة ، أيضا عند الضغط على الأمر open (والذي تم تغيير سلوكه) فستتم الإصابة، أخيرا القيام بالضغط مرتين على القرص Double-Clicked تؤدي إلى الإصابة . الشكل (4) يعرض التغييرات التي يحدثها ملف Autorun.inf في القرص.

[صورة مرفقة: auto-play-menu.jpg]
الشكل (4) الصورة في الجهة اليمنى تعرض القائمة التي تخرج عند الضغط بالزر الأيمن ، أما التي في الجهة اليسرى فهي نافذة الAuto-Play


جميع هذه الطرق تؤدي إلى فتح البرنامج (برنامج عادي ، أو لعبة أو برنامج لعمل إعادة تهيئة للقرص Formatting أو برنامج تجسس، أياً كان) وبالتالي تؤدي إلى الإصابة في حال كان البرنامج هو برنامج خبيث Malware.
بعض الأحيان يكون كاتب الفيروس أكثر ذكاءً كما حصل في الدودة الأخيرة Conficker والتي أصابت الملايين من الأجهزة حول العالم في 2008 وبداية 2009 ، فكاتب الفيروس أخرج نافذة Auto-Play ولكن الخيار الأول جعله شبيه بالخيار الافتراضي في ويندوز مما أمكنة من خداع الكثير من المستخدمين، الشكل (5) يبين نافذة الAuto-Play للدودة Conficker.

[صورة مرفقة: auto-play-windoww.jpg]
الشكل (5) يبين نافذة Auto-Play في الدودة Conficker



لإكتشاف هذه الخدعة لاحظ العبارة التي أسفل "open folder to view files." وستجد أنها تعني أنه سيتم الفتح باستخدام البرنامج الموجود بداخل الFlash Disk ، والخيار الافتراضي دائما يكون "using windows explorer" ، في ويندوز فيستا ستكون هذه العبارة " Publisher not Specified" وهذا يعني أنه سيعمل من خلال برنامج غير معروف للنظام.
مرحبا بفيروسات Auto-Run حقيقية! لم تنتهي القصة بعد ، فها هي شركة U3 تطلق نوع جديد من الأقراص يسمى SanDisk يتميز عن الأنواع العادية بأنه يتكون من قسمين two partitions ، القسم الأول هو قسم يحاكي الCD ويعمل بنفس طريقة عمل الCD (بمعنى أنه يدعم الAuto-Run) والقسم الثاني هو قسم عادي لحمل البيانات مثله مثل بقية الFlash Disks العادية الأخرى. الشكل(6) يعرض هذا النوع من الDisks .

[صورة مرفقة: flash-desk.jpg]
flash-desk
الشكل (6) الFlash Disk المسمى SanDisk من شركة U3



هكذا إذا تم وضع البرنامج Testing.exe وملف الautorun.inf في القسم المحاكي للCD ، فسيصبح هذا الflash disk عبارة عن قنبلة موقوتة ستنفجر وقت توصيل الflash بالمنفذ ، ولك أن تتخيل الضرر الممكن حدوثه في حال كان البرنامج Testing.exe عبارة عن برنامج لحذف جميع الملفات في القرص!










3. كيف يمكن منع هذه الفيروسات من العمل والحماية منها

الوقاية خير من العلاج ، وفيروسات الAuto-Play سببت الكثير من الأضرار في السنوات السابقة ، مما دفعت شركة مايكروسوفت بتعطيل هذه الخاصية بدئا من إصدارات ويندوز الجديدة Windows 7 . ولكن في حال كان المستخدم يعمل في نظام windows مختلف فما زال بإمكانه تعطيل هذه الخاصية يدويا أو من خلال برنامجChecker CoEIA Auto-Run والذي يفحص النظام ويري هل خاصية Auto-Run مفعلة أم غير كذلك ويعطي المستخدم قابلية تغيير ذلك بسهوله.
ولتعطيل هذه الخاصية يدويا يمكن القيام بها بطريقتين ، إما باستخدام مسجل النظام Registry أو من خلال برنامج Group Policy وكلاهما يعطيان نفس النتيجة (في الأصل التغيير الذي سنجريه في الGroup Policy سيتم تطبيقه على مسجل النظام حيث هو الأساس في النظام) .
لتعطيل الخاصية من جميع الأقراص قم من قائمة start بفتح run ثم بكتابة الأمر gpedit.msc والذهاب للمفتاح التالي: User Configuration ->Administrative Template -> System -> Turn off AutoPlay ثم نقوم بتحديد Enabled وأختر لجميع الأقراص ، وهكذا تم تعطيل الخاصية بنجاح. الشكل (7) يوضح ذلك.

[صورة مرفقة: turn-off-autoplay-properties.jpg]
الشكل (7) تعطيل خاصية AutoRun/Autoplay من الgroup policy

.
إذا لم يستطيع المستخدم الوصول للGroup Policy (مثلا Windows XP Home لا يحتوي على هذه الأداة) فيمكن التعديل مباشرة من خلال مسجل النظام (من قائمة start ثم run ثم كتابة الأمر regedit.exe)، وذلك بالذهاب للمفتاح: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer الموضح في الشكل (8) وتم تحديد القيمة ff للمفتاح NoDriveTypeAutoRun .


[صورة مرفقة: regestry-editor.jpg]
الشكل (8) تعطيل AutoRun/AutoPlay من خلال مسجل النظام Registry.


عند إجراء هذا التعطيل (سواء من gpedit.mcs أو من خلال regedit.exe) فسوف تتعطل الAutoRun/AutoPlay من العمل وسيكون تأثير ملف الautorun.inf فقط في تغيير الأيقونة للقرص وتغيير الاسم فقط. (في حال لم يكن نظام التشغيل محدث بالتحديث الأمني رقم KB967715 من موقع مايكروسوفت فإن هذه التغييرات لن تعطل الخاصية بالكامل وسيعمل البرنامج عند الضغط مرتين Double-Clicked)
طريقة أخرى جيدة للحماية وهي تجاهل ملفات الautorun.inf نهائيا وكأنه لا وجود لها في النظام وذلك بالذهاب إلى المسار HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\InFileMapping
في مسجل النظام Registry ، ثم إضافة مفتاح " Autorun.inf" بالقيمة "@SYS:DoesNotExist" كما في الشكل (9)، ويمكن إرجاع إمكانية التعامل مع ملفات الautorun.inf من خلال حذف هذا المفتاح فقط.


[صورة مرفقة: regestry-editor_2.jpg]
الشكل (9) يوضح طريقة تجاهل ملفات Autorun.inf بالكامل


الطرق أعلاه عبارة عن الطرق اليدوية التي تستخدم في تعطيل وتفعيل خاصية الAutoRun ، وللتسهيل على المستخدم النهائي يمكن استخدام برنامج CoEIA AutoRun Checker والذي يفحص حالة الAutoRun ويخبر المستخدم عن تلك الحالة ، بالإضافة إلى السماح له بتغيير الحالة (تعطيلها أو تفعيلها) على حسب الرغبة . الشكل (10) يعرض برنامج CoEIA AutoRun Checker (ويجب عمل إعادة تشغيل للنظام بعد تغيير الإعدادات ).

[صورة مرفقة: autorun_cheker.jpg]
الشكل (10) برنامج CoEIA Auto-Run Checker لتفعيل وتعطيل خاصية الAutoRun.



ماذا لو لم تستطيع تغيير أي قيمة ولم تعرف هل الخاصية مفعلة أم غير مفعلة ؟
في هذه الحالة عند توصيلك للFlash Disk العادي لا تقم بفتحه من خلال الضغط مرتين أو من خلال أحدى الأوامر الموجودة في قائمه الزر الأيمن لأنها قد تكون متلاعبة بها ، الحل الأفضل هو فتح الFlash Disk من خلال شريط العناوين Address bar ، أو من خلال أحدى برامج الضغط مثل Winrar . الشكل (11) يعرض كيفية فتح القرص من خلال شريط العناوين .

[صورة مرفقة: how_to_open__file_with_secure_way.jpg]
الشكل (11) كيفية فتح القرص بطريقة أمنة


أما عند توصيلك للSanDisk Flash Disk فقم باستمرار بالضغط على Shift فهي كفيلة بتعطيل التشغيل التلقائي للبرنامج.

منقول من موقع التميز لامن المعلومات

ادارة سكيورتي العرب


المواضيع المحتمل أن تكون متشابهة .
برنامج Alfa Autorun Killer 2.0
التشغيل التلقائي Autorun في الـ Windows وعلاقته باِنتشار الفايروسات
الفيروسات Viruses
05-19-2011 12:24 AM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google