مدتهاست ویروسهایی که ازطریق وسایل ذخیره سازی قابل حمل (نظیر USB Flash) منتشر می شوند، داد بیشتر کاربران و مدیران شبکه را درآورده اند. روش انتشار این ویروس ها به این شکل است که فایلی متنی بنام Autorun.inf را در ریشـه دیسک هـای قـابـل حمل قـرار می دهند که درون آن مسیر و نام یک فایل اجرایی ( مانند EXE یا COM یا Pif یا …) آمده است. فایل اجرایی مزبور هم که حاوی ویروس است، همراه با فایل autorun.inf برروی دیسک قابل حمل کپی می شود. در زمان متصل شدن این دیسک های قابل حمل به کامپیوتر و پس از آنکه به عنوان یک درایو شروع به کار می کنند، سیستم عامل Windows (با تنظیمات پیش فرض) محتویات فایل autorun.inf را خوانده و فایل اجرایی ذکرشده در آن را اجرا می کند. بدین شکل بدون آنکه کاربر فایلی را اجرا کرده باشد، فقط با وصل کردن دیسک، دستگاه آلوده به ویروس می شود.
برای مقابله با اینگونه ویروس ها که به شکل روز افزونی در دنیا منتشر می گردند، راه حل های گوناگونی ارائه شده است. از جمله شرکت Microsoft توصیه کرده که حالت خوداجرا (Autorun) برای درایوهای قابل حمل برداشته شود و برای اینکار ابزار گوناگونی در اختیار کاربران و مدیران شبکه قرارداده است.
برخی از ضدویروس ها هم هرگونه فایل با نام Autorun.inf را در ریشه درایوهای قابل حمل ببینند، حذف می کنند و البته برخی دیگر هم فقط فایل اجرایی مورد استفاده آنرا پیدا و حذف میکنند.
تا اینجا گل بود اما چند روزی است که سروکله سبزه هم پیدا شده است!
اخیرا نقطه ضعفی در سیستم عامل Windows کشف شده است که در هنگام پردازش فایل های میانبر (Shortcut) خود را نشان می دهد. همانگونه که می دانید گاهی برای دسترسی سریعتر به فایل های اجرایی، میانبری از آنها برروی میزکار (Desktop) و یا در جاهای دیگر ایجاد میشود. این میانبرها در هرکجا که ساخته شوند به صورت فایلی با پسوند LNK ذخیره می شوند. براساس ویژگی نقطه ضعف کشف شده اگر ویروس نویسی فایل LNK دستکاری شده ای بسازد و آنرا به همراه یک فایل اجرایی آلوده درون یک دیسک قابل حمل (مانند USB Flash Disk) قرار دهد، تنها کافیست محتویات این دیسک در محیط Windows بازشده و به نمایش درآید. مشاهده میکنید که در این حالت، خوداجرا بودن دیسک هیچ تاثیری در عملکرد اینگونه ویروس ها ندارد. ازسوی دیگر حتی نیازی به کلیک کردن کاربر بر روی فایل LNK دستکاری شده هم نیست بلکه فقط باید سیستم عامل این فایل را بخواند تا به جای نمایش درست آن، فایل آلوده ای را اجرا کند!
اگر بخواهیم جزییات فنی بیشتری را ذکر کنیم باید بگوییم که فایل Shell32.dll کار خواندن محتویات فایل های LNK و نمایش شکلک (icon) مربوط به آنها را انجام می دهد. نقطه ضعف موجود در این فایل مهم سیستم عامل، سبب می شود که در هنگام خـوانـدن میانبر دستکاری شده، با دیدن عبارت های خاصی در آن، به شکل غیرمسئولانه ای، فایل اجرایی آلوده ای را که در کنار آن قرارداده شده، اجرا کند.
متاسفانه این نقطه ضعف توسط افراد یا شرکت های مسئولیت پذیر کشف نشده تا جزییات آن به صورت محرمانه بـه شـرکت Microsoft اعلام گـردد، بلکه در گـروه های خبری نفوذگران منتشر و سوء استفاده از آن شروع شده است.
روش های مورداستفاده ویروس نویسان و نفوذگران برای سوء استفاده از این نقطه ضعف به اشکال زیر می باشد:
- قراردادن فایل دستکاری شده LNK و فایل اجرایی آلوده برروی یک ابزار ذخیره سازی، مانند USB Flash Disk
- قرار دادن هر دو فایل در یک شاخه اشتراکی (Share) در شبکه
- قراردادن این فایل ها برروی یک شاخه اشتراکی اینترنتی (WebDAV)
نقطه ضعف ذکرشده در تمام سیستم عامل های Windows وجود دارد.
اگر از ضدویروس McAfee با فایل های بروزرسانی شمارهDAT 6052 و پس از آن استفاده میکنید، در برابر کدهایی که تاکنون برای سوء استفاده از این نقطه ضعف منتشر شده اند، مصون خواهید بود.
همچنین آخرین نگارش ابزار شناسایی و پاکسازی مستقل McAfee Stinger قادر به شناسایی و پاکسازی ویروس مرتبط بـا ایـن نقطه ضعف کـه تاکنـون کشف شـده انـد می باشد. این ابزار در نشانی زیر قابل دریافت می باشد:
http://support.shabakeh.net/support_tools/AntiVirus-Tools/5-Stinger.zip
برای جلوگیری از سوء استفاده از این نقطه ضعف، نصب اصلاحیه فوق العاده شماره MS10-046 توصیه میگردد. در مواردی که نصب این اصلاحیه به هر دلیلی امکان پذیر نیست، می توان روند پردازش فایل های LNK در سیستم عامل Windows را غیرفعال کرد. برای اینکار می توان از ابزاری که شرکت Microsoft ارائه داده استفاده کرد:
http://go.microsoft.com/?linkid=9738980
البته با اجرای این ابزار تمام میانبرهای موجود بدون شکل به نمایش درآمده و ناگزیر باید صحنه های ناگواری مانند شکل زیر را تحمل کنید!
