Go to NetZ Home

מפת האתר
תמיכה
    בסיס מידע
    התקנה יחידה
    התקנה ברשת
    ניהול רשת
    דווח תקלה
רישום
הורדות
מידע

  

הצטרף לרשימת תפוצה
הוסף לרשימת המועדפים
שלח לחבר

English

חפש במאגר המידע

תולעים, סוסים טרויאניים, יישומי ריגול , חטיפת דפדפן

    'וירוס' הוא שם שגוי למרבית היישומים העוינים המכונים כך, הואיל ורובם הם בעצם 'תולעים' (worms). ההבחנה בין השניים חשובה משום שהגישה לחיסולם שונה בתכלית: קבצים נגועים בווירוס ניתן לנקות, ואילו תולעים לא. עמוד זה דן בתולעים בלבד ובטיפול בהם.

    במקור, השם וירוס ניתן לקוד טפילי המשכפל את עצמו לתוך קבצים מארחים, מבלי לפגוע בתפקוד המקורי של התוכנית/הקובץ המארח, פרט להוספת קוד הוירוס עצמו.

    תולעת, מאידך, משתכפלת אף היא, אך לא לתוך קבצים במחשב הנגוע, כי אם למחשבים נוספים. שלא כמו וירוס, תולעת תשתול עותק יחיד של עצמה במחשב הנגוע, וממנו תנסה להדביק מחשבים נוספים. למרות אי-הדיוק בהגדרה כמוסבר לעיל, השימוש ב'וירוס' הורחב עתה לכל הצורות של קוד משתכפל, כולל לתולעת. אנו נשתמש בכינוי 'וירוס' לתיאור קוד עוין במובן המורחב, וב'תולעת' בהתייחסות לקטגוריה זו, במובן הצר.

    קיימים יישומים לא-קרואים הידועים כ-Adware plugins, למרות שאלה אינם וירוסים במובן המקובל. יישומים אלה אינם משתכפלים, ואף אינם סוסים טרויאניים. הסיבה להכללת plugins בדף זה הוא המשותף להם ולתולעים בדרך בה הם מתקינים את עצמם ברשימת האתחול, והטכניקה הזהה להם ולתולעים כדי להיפטר מן השניים.

    תולעים נבדלות זו מזו בפרטים, אך חולקות שיטות פעולה ותכונות אשר יקלו עלינו את הזיהוי של נוכחותן, כמו גם את הכחדתן.

    בדומה לווירוסים, המטרה של תולעת היא להתנחל במחשבים רבים ככל האפשר לפני שתתגלה ותוסר. על מנת להגשים מטרה זו, צריכה התולעת להתקין את עצמה במחשב באופן שיבטיח את הפעלתה עם כל אתחול של מערכת ההפעלה. הדבר בד'כ מושג באמצעות שילוב התולעת ברשימת האתחול של חלונות. אופני אתחול שכיחים הם:

    • ע'י הוספת מפתח לרשימת האתחול ברג'יסטרי באחד או יותר מן התאים הבאים:

      • Local machine (or per user) ‘Run’

      • Local machine (or per user) ‘RunServices’


    • באמצעות פקודת RUN או LOAD, בקובץ Win.ini. שיטה זו שכיחה תחת חלונות 9x ו – Me


    • ע'י שרשור התולעת לתוכנית המעטפת Explorer. תחת חלונות 9x/Me, הדבר נעשה ע'י שינוי בפקודה Shell=Explorer.exe בקובץ system.ini.


    • ווירוסי script מרבים להשתמש בשרשור עצמם לדואר יוצא ע'י החלפת קובץ ברירת המחדל של החתימה, בקובץ המכיל את קוד הווירוס.


      • תחת W2K/XP ו – NT, אותו דבר נעשה ע'י שינוי תוכן מפתח
      [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] ברג'יסטרי.

    • ע'י הוספת קישור בספריית האתחול.


    • ע'י גניבה של שיוך היישום ברג'יסטרי (file association) של סוגי הקבצים הבאים: EXE, COM, BAT, PIF ו – SCR. התחכמות זו היא נבזית במיוחד מאחר והיא משאירה את המחשב במצב לא פונקציונלי לאחר ניקוי לא מוצלח (כמו למשל השמת הוירוס בהסגר של נורטון!).


    הערה חשובה: הופעת אפליקציה חדשה ברשימת האתחול אינה מצביעה בהכרח על וירוס! הוספה כזו היא נורמלית כאשר ההוספה נעשתה בידיעתך, כמו בעקבות התקנת תוכנה חדשה או דרייבר להתקן חומרה חדש.

    דרכי הפצה: תולעים מופצות באפיקים שונים. החדשות שבהן משתמשות כמעט תמיד ביותר מערוץ הפצה יחיד ע'מ להשיג תפוצה מירבית. ערוצי ההפצה העיקריים מפורטים להלן. השמות בסוגריים שייכים לתולעים המשתמשות בשיטת ההפצה הנזכרת:

    • נספח לדואר אלקטרוני (Swen, Klez, Sobig)

    • שיתוף קבצים (Opaserv, Mumu)

    • סיסמה 'חלשה' או ריקה של administrative shares (מתייחס למערכות הפעלה NT/W2K/XP בלבד). (Litmus, Mumu)

    • פרצות אבטחה במערכת ההפעלה. לדוגמה: RPC buffer overrun. (Blaster, Welchia)

    • פרצות אבטחה בגלשן או ביישום הדואל לדוגמה: “incorrect MIME header” (Klez, Swen, Nimda).

    • באמצעות סקריפט חבוי בדואל HTML, בד'כ ע'י החלפת קובץ החתימה של השולח, בקוד התולעת.(Kak, Fortnight)

    • התקנה באמצעות ActiveX תוקפני כתנאי לכניסה לאתר אינטרנט, בד'כ פורנו או תוכנה פירטית. שיטה זו שכיחה במיוחד להתקנת תוכנות פרסום וריגול. (ISTbar, XXXToolbar, Bargain Buddy)


    InVircible מגלה נוכחות של תולעת באחד מן האופנים הבאים, או יותר:

    • הוספת אפליקציה לרשימת האתחול ודיווח בחלון SAM (startup applications monitor)

    • הודעת Interceptor על קובץ הנמצא ב'רשימה השחורה'. ניתן לעיין ברשימה תחת ‘offensive files list’, באופציות של Interceptor. הרשימה מתעדכנת מעת לעת באמצעות ‘smart update’.


    • לתולעים רבות יש תכונה מובנית המפעילה את גלאי PE של Interceptor. במקרים אלה, Interceptor יחסום וימנע התקנה של התולעת למערכת ההפעלה. דוגמאות לתולעים כאלה הן Blaster ודומיה, וכן Sobig-f


    • כותבי תולעים מרבים להשתמש בשם הרחבה כפול ל'יצירותיהם'. הדבר נועד להוליך את הקורבן שולל ולגרום לו לחשוב כי הנספח הממולכד הוא תמים ובטוח לפתיחה, כמו טקסט, או קובץ תמונה. למעשה, מדובר בקובץ הפעלה עם סיומת כמו SCR, PIF, COM וכד'. Interceptor יירט הפעלה של קובץ כזה ויחסום את פתיחתו מלכתחילה.

    כיצד להבחין בין יישום אתחול חוקי ללא חוקי: יישום הנוסף לרשימת האתחול הוא חוקי אם הוספתו צפויה, לדוגמה, אחרי התקנת תוכנה חדשה, או הוספת התקן חומרה הזקוק לדרייבר מיוחד בעת האתחול.

    חלון SAM הנפתח עם הופעת יישום אתחול חדש כולל פרטים המאפשרים הבחנה כנ'ל. יישום חוקי ניתן לזיהוי ע'י תיאורו ושם קובץ הפעלה ברשימת האתחול המשייכים אותו למשהו מוכר למשתמש. מאידך, תולעים ויישומים עוינים משתמשים בתיאור ושמות קבצים סתמיים, או שאולים מיישום חוקי – אך עם 'התחכמות' כלשהי, או שם אקראי בעליל. מומלץ לכל משתמש להתוודע לתכולת רשימת יישומי האתחול שלו באמצעות SAM (תפריט שני מלמטה ע'י קליק על הצלמית הירוקה של IV), ואף להעתיק את הרשימה למשמרת. רשימת יישומי האתחול האישית תחסוך טרחה רבה בעת צרה!

    תוספת לא קרואה לרשימת האתחול עשויה להצביע על התחלה של מתקפה. שים לב כי התקנה של עדכון 'חלונות' מתקין אף הוא יישום אתחול זמני, ואין הדבר מעיד על וירוס! לחיצה על כפתור OK בחלון ההתרעה של SAM יאפשר ליישום חוקי להמשיך במשימתו.

    שיטות כלליות לזיהוי והסרת תולעים

    ראשית, מילה של אזהרה! תולעים מודרניות הן ישויות מורכבות והסרתן ללא השארת נזק משני הוא עניין מסובך בהרבה מאשר סתם מחיקה של קובץ ההפעלה של התולעת. הקפדה על ההוראות שלהלן חשובה להתאוששות מלאה ממתקפת תולעים, וללא נזקים.

    כפי שהוסבר, תולעים מתקינות את עצמן לתהליכי האתחול של מערכת ההפעלה. בנוסף, תולעים רבות גם דואגות לכך שהסרתן תהיה קשה, ע'י ניטרול תהליכים חיוניים של מערכת ההפעלה. הסרה של תולעת כזו, בלי שיחזור השינויים שנעשו בקבצי התצורה, תסתיים במערכת מושבתת או הרוסה.

    לפיכך, יש תמיד לנסות קודם כלי הסרה שנכתב לתולעת הספציפית אשר תקפה את המחשב, לפני שננסה הסרה גנרית! כלי הסרה ספציפיים לתולעים שכיחות ניתן למצוא ע'י חיפוש ב-גוגל מקישור זה. כלים אלה מסופקים ע'י יצרני האנטי וירוס השונים בלית ברירה, מאחר ומוצר האנטי וירוס הראשי של יצרנים אלה אינו בנוי להתמודד עם הנזק המשני הנגרם ע'י יישומים עוינים מודרניים!

    לזיהוי התולעת התוקפת, כדי לבחור את כלי הניקוי ההולם, ניתן להיעזר בשירות זיהוי מקוון הניתן ע'י מספר יצרנים. הטוב מביניהם הוא של Kaspersky AV, לטעמנו. פשוט סמנו את הקובץ העוין, העלו אותו לבדיקה, והתשובה תגיע תוך שניות. כל שנותר הוא לבחור כלי ניקוי ספציפי מתוך הרשימה לעיל, וליישם אותו.

    שיטה כללית להסרת תולעת, כאשר לא קיים כלי ניקוי ספציפי

    התהליך המתואר להלן מיועד למשתמשים מתקדמים בלבד! ניתן להשתמש בו כאשר לא קיים כלי הסרה ספציפי לתולעת התוקפת, או לאחר כשלון של הניקוי באמצעים לא הולמים (ראה בסוף).

    1. ראשית, זהה את ה – process של התולעת (יש לעתים יותר מאחד) ואת קובץ ההפעלה שלו, מתוך רשימת SAM. השורה(ות) המתייחסות לתולעת יופיעו בד'כ באדום, אלא אם כן לחץ המשתמש על כפתור OK. עדיין לא קרה שום אסון גם אם לחצנו OK בטעות מאחר ויישומים עוינים מסגירים את נוכחותם ביותר מאופן אחד. פרט לכך, עלילות התולעת נרשמות גם בדוח זמן-אמת של InVircible, משם ניתן לדלות את ההיסטוריה של ההתקפה. בעת עיון ברשימת האתחול עם SAM, שים לב לפרטים הבאים:

      • הסתכל קודם בעמודת התיאור. השמות צריכים להיות מוכרים כשייכים לרשימת האתחול האישית שלך, או של מערכת ההפעלה. במקרה של ספק, עיין בדוח זמן אמת של Interceptor (תפריט שלישי מלמעלה אחרי קליק על צלמית IV). התוספות האחרונות יופיעו בתחתית הדוח. שם אקראי הבנוי מגיבוב סתמי של אותיות שייך כמעט תמיד לתולעת, אך אין לסמוך על כך ללא תימוכין בדוח ז'א.


      • שם קובץ ההפעלה מספק מידע על שם ה – task אותו נסיים בהמשך. רשום את שם הקובץ, כולל את שם הספרייה בה הוא שמור, להמשך התהליך.


      • ’Location’ מתאר את שיטת האתחול של התולעת. שיטות אופייניות הן דרך הרג'יסטרי, Win.ini, System.ini, וספריית האתחול (Startup).


    2. השלב הבא הוא סיום היישום הפעיל של התולעת, באמצעות 'מנהל המשימות'. שם היישום אותו יש לסיים זהה בד'כ לשם קובץ ההפעלה, כפי שזוהה לעיל.


    3. אחרי שעצרנו את היישום הפעיל של התולעת, ניתן עתה להסיר את היישום מרשימת האתחול (הסרה כזו בלתי אפשרית כל עוד היישום פעיל מאחר והוא יותקן מיד בחזרה, כל עוד היישום לא הושבת). ניתן לעשות זאת באמצעות כל כלי בו הנך שולט, כמו SAM, REGEDIT, או MSCONFIG. האחרון קיים רק תחת חלונות 98 ו – Me, וכן XP. ניתן לייבא את ישום Msconfig.exe של XP לתוך W2K, תחתיו הוא יפעל ללא דופי.


    4. לפני שנאתחל את המחשב מחדש, ונסיר את קובץ ההפעלה של התולעת, נותר לעשות עוד פעולה חשובה אחת והיא ווידוא כי התולעת לא ערכה שינויי רג'יסטרי אשר ישללו מאתנו שליטה בחלונות, לאחר האתחול. כאמצעי זהירות, הרץ את תוכנית FixRegEx ישירות מן השרת (או הרך אותה מדיסקט, לאחר הורדה ושמירה).


    5. טיפ למשתמשים מתקדמים: יישומים עוינים עלולים לשנות יותר ממפתח יחיד ברג'יסטרי. כדי לאתר את כל השינויים הללו, ולתקנם, ניתן להשתמש ב'חיפוש' של תוכנית REGEDIT, כאשר מחרוזת החיפוש היא שם הקובץ העוין, כפי שנרשם לעיל.


    6. ניתן עתה למחוק את קובץ ההפעלה של התולעת ולאתחל את המחשב מחדש.


    7. השיטה המתוארת לעיל לא תמיד פועלת! קורה שלא ניתן לעצור תהליך של וירוס פעיל, או לא ניתן למחוק את קובץ ההפעלה של הוירוס מן הדיסק או רשימת האתחול, או שהוירוס חוזר מאליו משום מקום לאחר שכבר הוסר. במקרים אלה, יש לבצע את ההסרה מ'מצב בטוח עם שורת הפקודה'. השיטה מתוארת בדף על תוכנית שירות Toggle Mode.


    תיקון הרג'יסטרי אחרי כשלון בהסרה: כפי שהוסבר, מערכת ההפעלה תאבד את היכולת להפעיל יישומים (כולל את אלה החיוניים לתיקון התקלה) בתוצאה מהסרה נמהרת של תולעת. מצב כזה נוצר לא פעם כתוצאה של הסגר נמהר (quarantine) של קובץ ההפעלה ע'י נורטון אנטי וירוס, ללא שחזור השינויים שנעשו בקבצי האתחול. אם הדבר קורה, ניתן אז להיחלץ מן המצוקה בתהליך הבא:

    • ממחשב תקין, הורד את תוכנית FixRegEx ושמור אותה בדיסקט.


    • אתחל את המחשב הבעייתי למצב הבא:

      • למצב ‘command prompt only mode’, אם הוא פועל תחת חלונות 95/98.

      • למצב ’safe mode with command prompt’ אם הוא פועל תחת חלונות W2K או XP.

      • עיין בעמוד 72 בבסיס המידע המקוון כדי ללמוד איך להגיע למצב מוצא “safe command mode” עבור חלונות Me או XP.


    • במצב שורת הפקודה, הכנס לכונן את הדיסקט עם תוכנית FixReg שהורדת, והרץ A:FIXREGEX.


    • אתחל את המחשב מחדש כשהוא נקי.

Last modified: 17 May 2006

שלח דף זה לחבר

חזרה למאגר המידע