چگونه بفهمیم فلش ویروسی است

همانطور که میدانید استفاده از USB Flash یکی از رایج ترین روشهای میباشد که کاربران کامپیوتر از آن برای انتقال داده های خود استفاده میکنند. از مزیت های این روش میتوان به انتقال رایگان اطلاعات با حجم بالا و سرعت خوب اشاره نمود. اما متاسفانه مشکل عمده ای که در این روش انتقال اطلاعات وجود دارد و اکثر کاربران کامپیوتر حداقل یکبار به این مشکل بر خورد نموده اند ویروس های است که در بین این انتقال اطلاعات باعث آلوده شدن کامپیوتر مبدا یا مقصد خواهند شد. (تشخیص و حذف ویروسهای فلش)

در این آموزش قصد دارم شما را با علائمی آشنا کنم که با آگهی داشتن از آنها میتوانید به سادگی تشخیص دهید که آیا یک فلش یا هارد دیسک اکسترنال و یا هر ذخیره ساز دیگری مثل Micro SD ویروسی میباشند یا خیر.

تاریخچه ویروسهای USB Flash

تا همین چند سال اخیر ویروس های که توسط USB Flash و یا ذخیره ساز های اکسترنال منتقل میشدند از یک ویژگی خاص ویندوز با نام Autoplay استفاده میکردند. ویژگی AutoPlay در ویندوز به شما اجازه میدهد تا فقط با دوبار کلیک نمودن روی یک USB Flash یا دیسک ذخیره ساز اکسترنال یک برنامه مشخص را اجرا کنید و یا اینکه مشخص کنید فایل های صوتی و یا فیلم ها با برنامه Player ویندوز اجرا شوند.

اما متاسفانه هکر ها و برنامه نویس های از خدا بی خبر از این ویژگی مثبت ویندوز (AutoPlay) سوء استفاده نمودند و آنرا به عنوان یک روزنه برای نفوذ به کامپیوتر کاربر و یا برای انتقال بد افزارها به کامپیوتر کاربر استفاده کردند.

خوشبختانه از ویندوز 8 به بعد این راه نفوذ بی پدر و مادر ها کاملا کنترل شد چراکه مایکروسافت ویژگی AutoPlay را به صورت پیشفرض در ویندوز Disable یا غیر فعال نمود. و اگر کسی نیاز به این ویژگی داشته باشد باید خود آنرا فعال کند.

چگونه بفهمیم که فلش مان به ویروس Autoplay مبتلا شده؟

حال چگونه بدون ورود به فلش یا در واقع ویروسی شدن سیستم عامل مان بفهمیم فلش یا دیسک ذخیره ساز اکسترنال مان به ویروس AutoPlay مبتلا میباشد؟ برای فهمیدن این موضوع کافیست به چند نکته زیر توجه کنید:

در ذخیره ساز های که به ویروس AutoPlay مبتلا شده اند یک فایل با نام Autorun.inf وجود دارد که معمولا این فایل مخفی است و ویژگی System هم روی آن میباشد. در صورتیکه به یک فایل هم ویژگی Hidden داده شده باشد هم ویژگی System آن فایل به سادگی فایلهای مخفی دیگر قابل رویت نیست و برای مشاهده آن یا باید از طریق Command Prompt اقدام کنید و یا اینکه تیک مربوط به مخفی سازی فایلهای مخفی سیستمی را از پنجره Folder Option بردارید.

نکته: توجه کنید شما نباید برای پیدا کردن فایل Autorun.inf روی فلش یا ذخیره ساز اکسترنال خود دوبار کلیک کنید و وارد آن شوید بلکه باید یا از طریق Command Prompt وارد فلش شوید یا با روشی دیگر که بمب ویروسهای Autorun.inf در فلش تان منفجر نشود.

پیدا کردن فایل Autorun.inf در فلش با استفاده از Command Prompt

برای پیدا کردن و حذف فایل Autorun.inf در فلش کافیست ابتدا CMD را به صورت Run As Administrator اجرا کنید سپس با استفاده از دستور : وارد درایو فلش خود شوید. برای مثال:

I:

پس از ورود به فلش با استفاده از دستور dir به همراه پارامتر /a فایلهای مخفی سیستمی فلش را مشاهده کنید. برای مثال:

Dir /a

در صورتی که فایلی با نام autorun.inf پیدا نمودید یعنی USB Flash شما حاوی ویروس Autoplay یا Autorun میباشد. البته ترفند های سریع دیگری نیز برای پیدا نمودن فایل autorun.inf وجود دارد که مثلا شما میتوانید بجای استفاده از دو دستور بالا از دستور زیر استفاده کنید:

Dir /a Autorun* i:

در دستور بالا هر فایلی که در فلش با نام autorun شروع شود را به شما نمایش خواهد داد.

پس از پیدا شدن فایل autorun.inf باید اقدام به بررسی محتوای این فایل بکنید. برای اینکار کافیست از دستور type به همراه نام فایل autorun.inf استفاده کنید. برای مثال:

Type Autorun.inf

معمولا در فایلهای Autorun.inf از چند کد زیر استفاده شده است:

• کد Open هر نام یا آدرسی که در جلوی کد open= نوشته شده باشد در واقع برنامه یا ویروسی است که با دوبار کلیک نمودن روی فلش اجرا خواهد شد.
• کد Icon هر نامی که در جلوی کد Icon= نوشته شده باشد مشخص میکند آیکون فلش شما چه باید باشد. در بعضی از مواقع ویروس های ابله، آیکون فلش را هم تغییر میدهند.
• برای دریافت اطلاعات بیشتر در مورد فایل inf به پست فایل Autorun.inf چیست و چگونه کار میکند مراجعه کنید.

اگر متوجه شده باشید فرایند بالا را انجام دادیم تا نام ویروسی که در فلش مان وجود دارد را بدست بیاوریم. اگر برایتان سوال پیش آمده که: مگر همین فایل Autorun.inf ویروس فلش نبوده است؟ باید در جواب به شما بگویم:

همانطور که قبلا هم گفتم Autorun یا AutoPlay یکی از ویژگیهای ویندوز میباشد که هکر ها و بد افزار نویس ها از آن برای اهداف شوم خود سوء استفاده میکنند. در اینجا ما فایل Autorun.inf را پیدا کردیم سپس اطلاعات درون آنرا استخراج نمودیم تا در واقع ویروسهای درون فلش مان را پیدا کنیم.

حذف ویروس های معرفی شده توسط فایل Autorun.inf

خب همانطور که میدانید پس از تشخیص ویروسها باید اقدام به حذف آنها بکنیم. برای حذف ویروسهای فلش کافیست در CMD از دستور Del به همراه پارامتر های /s و /q استفاده کنید. برای مثال اگر در جلوی کد Open= نام Regsvr.exe نوشته شده بود دستور حذف به شکل زیر میشود:

Del /s /q Regsvr.exe

نکته: همانطور که قبل تر هم گفتم معمولا ویروسهای فلش از دو ویژگی یا Attribute ویندوز برخوردار میباشند تا به سادگی قابل تشخیص و حذف شدن نباشند. برای حذف این ویروس ها باید قبل از دستور del /s /q از دستور attrib به همراه پارامتر های -a -s -r -h استفاده کنید تا ویژگی های Hidden و System و Read Only و Archive از آنها گرفته شود. برای مثال:

Attrib -s -r -h -a Regsvr.exe

Del /s /q Regsvr.exe

توجه کنید شما باید بجای کلمه Regsvr.exe نام فایلی را بنویسید که در درون فایل Autorun.inf آن را پیدا کرده اید.

پس از حذف ویروسهای پیدا شده باید خود فایل Autorun.inf را نیز به روش بالا حذف کنید. برای اینکار دستور به شکل زیر میشود:

Attrib -s -r -h -a Autorun.inf

Del /s /q Autorun.inf

خب تا اینجا یاد گرفتیم چگونه ویروس AutoPlay را در درون فلش یا دیسک های ذخیره ساز تشخیص داده و آنها را حذف کنیم. اما باید بدانید ویروس های فلش فراتر از مسائل مذکور بالا میباشند.

وجود فایلهای ناشناس با نام های عجیب و غریب

معمولا کامپیوتر های که به ویروس فلش مبتلا میشوند تنها به یک ویروس فلش مبتلا نمیشوند بلکه به دهها ویروس و یا شاید هم به صدها بد افزار مختلف مبتلا میشوند که بعضی از آنها چندین ویروس دیگر را نیز پشت کول یا در شلوار خویش حمل میکنند.

در اکثر مواقع اینطور است که فقط نام یکی از ویروسها در فایل Autorun.inf ذکر میشود و شما باید خودتان باقی ویروس ها را طبق شناخت فایلهای درون فلش تان تشخیص داده و آنها را حذف کنید. برای تشخیص باقی ویروسهای فلش به هفت اصل زیر توجه کنید:

• اصل اول: به هر فایلی که نمیشناسید شک کنید چرا که ممکن است یک ویروس باشد.
• اصل دوم: معمولا ویروسها با Extension های اجرای مثل .exe یا .com یا .bat یا .cmd یا .lnk میباشند.
• اصل سوم: معمولا فایلهای ویروس دارای دو ویژگی Hidden و System میباشند.
• اصل چهارم: ویروسهای فلش حجم کمی دارند. از چند صد کیلوبایت تا دو سه مگابایت
• اصل پنجم: معمولا ویروسهای که درون یک فلش هستند با نام های عجیب و غریب زندگی میکنند. برای مثال (exe)
• اصل ششم: بعضی از ویروسهای فلش نام و آیکون های مستهجن دارند.
• اصل هفتم: شما در انتظار چه فرمتی از داده های در فلش خود هستید؟ عکس یا فیلم؟ پس وجود فرمت های اجرایی مثل .exe یا .bat و یا .com نشانی از ویروس است.

توجه کنید زمانی به هفت اصل بالا نیاز پیدا میکنید که یا آنتی ویروس نداشته باشید یا اینکه آنتی ویروس شما آپدیت نباشد و یا به هر دلیلی آنتی ویروس شما توانایی تشخیص ویروسها را نداشته باشد. (در کل هنگامی که میخواهید ویروسهای فلش را خودتان به صورت دستی تشخیص دهید)

در دنیای سایبری گرگ ها با لباس آهو دیده میشوند

یکی از تکنیک های که هکر ها و ویروس نویسان از آن برای هک کردن یا ویروسی نمودن یک سیستم عامل استفاده میکنند ساخت فایلهای است که آیکون آنها همانند آیکون عکس یا فیلم میباشد بدین طریق هکر ها یا بد افزار نویسان کاربران را گمراه نموده تا کاربر بدون اطلاع از ماهیت اصلی فایل روی آن کلیک کرده و سیستم عامل خود را به ویروس یا تروجان آلوده کند.

معمولا هکر ها و یا بد افزار نویس ها از تصاویر و آیکون های مستهجن استفاده میکنند تا کاربر بدون کمترین فکری روی ویروس کلیک کند. برای جلوگیری از این روش آلوده شدن، کافیست تا تیک مربوط به مخفی سازی Extension فایلهای ویندوز را از منوی Folder Option بردارید و قبل از اینکه روی فایلی کلیک کنید حداقل به Extension آن فایل توجه کنید.

پوشه مخفی و بدون نام و آیکون با ویروس Shortcut

تکنیک یا محصول جدیدی که هکر ها و ویروس نویسان از آن برای ویروسی نمودن USB Flash ها استفاده نمودند ساخت ویروسی بود که کار آن انتقال کلیه داده های کاربر در یک پوشه بدون نام و آیکون بود که از قضا این پوشه هم مخفی بود هم سیستمی

در این روش به خاطر اینکه کلیه داده های کاربر به یک پوشه مخفی سیستمی منتقل میشود و تنها یک فایل Shortcut درون فلش با نام خود فلش دیده میشود، کاربران را مجبور میکند تا برای دسترسی به فایلهای شان روی فایل Shortcut دوبار کلیک کنند که نتیجه آن آلوده شدن سیستم عامل و دسترسی به فایلهای فلش است.

روش مقابله با این ویروس برداشتن تیک Hide Protected Operating System File (Recommended) از تنظیمات Folder Option است تا پوشه بدون نام و آیکون دیده شود و شما بتوانید به اطلاعات همان پوشه دسترسی پیدا کنید و فایل Shortcut را هم حذف کنید. برای دریافت اطلاعات بیشتر در مورد ویروس Shortcut به آموزش حذف ویروس Shortcut مراجعه کنید.

در صورت داشتن هر گونه سوال یا انتقاد نووا بلاگ را از محبت خود محروم نکنید.