مال ویئر

پچھلے مضمون میں ہم نے سروس حملے سے انکار کا جائزہ لیا۔ یہ بہت عام حملہ ہے اور ایسا حملہ جو آسانی سے کیا جا سکتا ہے۔ اس مضمون میں آپ حملوں کی کئی دوسری اقسام کے بارے میں جان کر حفاظتی خطرات کا امتحان جاری رکھیں گے۔ سب سے پہلے، آپ وائرس کے پھیلاؤ کے بارے میں جانیں گے۔ ہماری بحث اس اہم معلومات پر مرکوز ہوگی کہ وائرس کے حملے کیسے اور کیوں کام کرتے ہیں، بشمول ٹروجن ہارسز کے ذریعے ان کی تعیناتی۔ یہ مضمون "خود اپنا وائرس کیسے بنائیں" ٹیوٹوریل نہیں ہے، بلکہ ان حملوں کے زیر اثر تصورات کا تعارف اور کچھ مخصوص کیس اسٹڈیز کا امتحان ہے۔

 یہ مضمون بفر اوور فلو حملوں، اسپائی ویئر اور میلویئر کی کئی دوسری شکلوں کو بھی دریافت کرے گا۔ ان میں سے ہر ایک حملے کے لیے ایک منفرد نقطہ نظر لاتا ہے اور ہر ایک کو نظام کا دفاع کرتے وقت غور کرنے کی ضرورت ہوتی ہے۔ اس طرح کے حملوں کے خلاف دفاع کرنے کی آپ کی صلاحیت کو ان کے کام کرنے کے بارے میں آپ کے علم کو خرچ کرنے سے بڑھایا جائے گا۔

وائرسز

 تعریف کے مطابق، کمپیوٹر وائرس ایک خود ساختہ پروگرام ہے۔ عام طور پر، وائرس کے کچھ اور ناخوشگوار کام بھی ہوتے ہیں، لیکن خود نقل اور تیزی سے پھیلنا وائرس کی خصوصیات ہیں۔ اکثر یہ ترقی، خود اور خود، متاثرہ نیٹ ورک کے لیے ایک مسئلہ ہو سکتی ہے۔ پچھلے مضمون میں سلیمر وائرس اور اس کی تیز رفتار، ہائی والیوم اسکیننگ کے اثرات پر تبادلہ خیال کیا گیا تھا۔ تیزی سے پھیلنے والے وائرس سے نیٹ ورک کی فعالیت اور ذمہ داری کم ہو جاتی ہے۔ بس ٹریفک بوجھ سے تجاوز کر کے جس نیٹ ورک کو لے جانے کے لیے ڈیزائن کیا گیا تھا، نیٹ ورک کو عارضی طور پر غیر فعال کر دیا جا سکتا ہے۔

وائرس کیسے پھیلتا ہے

عام طور پر، وائرس بنیادی طور پر دو طریقوں میں سے ایک میں پھیلتا ہے۔ پہلا یہ ہے کہ نیٹ ورک سے کنکشن کے لیے آپ کے کمپیوٹر کو آسانی سے اسکین کریں، اور پھر خود کو نیٹ ورک پر موجود دیگر مشینوں میں کاپی کریں جن تک آپ کے کمپیوٹر تک رسائی ہے۔ یہ طریقہ وائرس پھیلانے کا موثر طریقہ ہے۔ تاہم، اس طریقہ کار میں مزید پروگرامنگ کی مہارت کی ضرورت ہے۔ زیادہ عام طریقہ یہ ہے کہ آپ اپنی ای میل ایڈریس بک پڑھیں اور اپنی ایڈریس بک میں موجود ہر کسی کو خود ای میل کریں۔ پروگرامنگ یہ ایک معمولی کام ہے، جو بتاتا ہے کہ یہ اتنا عام کیوں ہے۔

مؤخر الذکر طریقہ، اب تک، وائرس کے پھیلاؤ کا سب سے عام طریقہ ہے اور مائیکروسافٹ آؤٹ لک ایک ایسا ای میل پروگرام ہو سکتا ہے جو اکثر اس طرح کے وائرس کے حملوں کا شکار ہوتا ہے۔ آؤٹ لک سیکیورٹی کی خرابی کی کوئی وجہ نہیں ہے کیونکہ آؤٹ لک کے ساتھ کام کرنا آسان ہے۔ مائیکروسافٹ کی تمام مصنوعات اسی مقصد کے لیے بنائی گئی ہیں، ایک پروگرامر ایک ایپلی کیشن بناتا ہے جس سے وہ ایپلی کیشن میں گہری رسائی حاصل کر سکتا ہے اور ایسی ایپلی کیشن بنا سکتا ہے جو مائیکروسافٹ آفس سویٹ میں ایپلی کیشن کو ضم کر سکے۔ مثال کے طور پر، ایک پروگرامر ایک ایسی ایپلی کیشن لکھ سکتا ہے جو ورڈ دستاویز تک رسائی حاصل کرے، ایکسل اسپریڈشیٹ درآمد کرے، اور پھر آؤٹ لک کا استعمال کریں تاکہ خود بخود نتیجہ خیز دستاویز کو دلچسپی رکھنے والی جماعتوں کو ای میل کریں۔ مائیکروسافٹ کی طرف سے یہ ایک اچھا کام ہے کہ اس کے لیے عام طور پر عمل کو آسان بنایا جائے، اس کام کو ختم کرنے کے لیے پروگرامنگ کی ضرورت نہیں ہے۔ آؤٹ لک کا استعمال کرتے ہوئے، آؤٹ لک کا حوالہ دینے اور ای میل بھیجنے کے لیے کوڈ کی پانچ لائنوں سے کم وقت لگتا ہے۔ اس کا مطلب ہے کہ ایک پروگرام لفظی طور پر آؤٹ لک خود کو ای میل بھیجنے کا سبب بن سکتا ہے، صارف کو اس کا علم نہیں۔ انٹرنیٹ پر، بات کرنے کے لیے مفت، یہ بتانے کے لیے کئی کوڈ موجود ہیں۔ آپ کی آؤٹ لک ایڈریس بک تک رسائی حاصل کرنے اور خود بخود ای میل بھیجنے کے لیے پروگرامر کی ضرورت نہیں ہے۔ بنیادی طور پر، آؤٹ لک کو پروگرام کرنے میں آسانی یہ ہے کہ آؤٹ لک کو نشانہ بنانے والے وائرس کے بہت سے حملے کیوں ہوتے ہیں۔

جب کہ وائرس کے زیادہ تر حملے شکار کے موجودہ ای میل سافٹ ویئر کے ساتھ منسلک ہونے سے پھیلتے ہیں، کچھ حالیہ وائرس پھیلنے والوں نے پھیلاؤ کے طریقہ کار کے لیے دوسرے طریقے استعمال کیے ہیں وہ یہ ہے کہ خود کو پورے نیٹ ورک پر کاپی کرنا ہے۔ متعدد راستوں سے پھیلنے والے وائرس کا پھیلنا زیادہ عام ہوتا جا رہا ہے۔ پے لوڈ کی ترسیل بہت آسان ہے اور یہ آخری صارف کی لاپرواہی اور نہ ہی وائرس کے پروگرامر کی مہارت پر منحصر ہے۔ صارفین کو ویب سائٹس پر جانے یا فائلیں کھولنے کے لیے آمادہ کرنا وائرس کی فراہمی کا ایک عام طریقہ ہے اور جس کے لیے کسی پروگرامنگ کی مہارت کی ضرورت نہیں ہے۔ اس سے قطع نظر کہ وائرس آپ کی دہلیز پر کیسے آتا ہے، جب وائرس آپ کے سسٹم میں ہوتا ہے کہ وہ آپ کے سسٹم کو نقصان پہنچانے کی کوشش کرتا ہے۔ ایک بار جب آپ کے سسٹم پر وائرس آجاتا ہے، تو یہ کسی بھی چیز کو کر سکتا ہے جو کوئی بھی جائز پروگرام کر سکتا ہے۔ اس کا مطلب ہے کہ یہ ممکنہ طور پر فائلوں کو حذف کر سکتا ہے، سسٹم کی ترتیب کو تبدیل کر سکتا ہے یا دیگر نقصان پہنچا سکتا ہے۔

حالیہ وائرس کی مثالیں

وائرس کے حملوں کے خطرے کو زیادہ نہیں سمجھا جا سکتا۔ اگرچہ بہت سے ایسے ویب صفحات ہیں جو وائرس سے متعلق معلومات فراہم کرتے ہیں، لیکن میری رائے میں، صرف مٹھی بھر ویب صفحات ہیں جو مسلسل تازہ ترین، سب سے زیادہ قابل اعتماد، وائرس کے پھیلاؤ کے بارے میں انتہائی تفصیلی معلومات فراہم کرتے ہیں۔ کوئی بھی سیکیورٹی پیشہ ور ان سائٹس سے مستقل بنیادوں پر مشورہ کرنا چاہے گا۔ آپ کسی بھی وائرس، ماضی یا حال کے بارے میں درج ذیل ویب سائٹس پر پڑھ سکتے ہیں:

 

· www.f-secure.com/virus-info/virus-news/

· www.cert.org/nav/index_red.html

 Securityresponse.symantec.com/

· Vil.nai.com/vil/

ذیل میں وائرس کے کچھ حالیہ پھیلاؤ کو دیکھیں گے اور جائزہ لیں گے کہ انہوں نے کیسے کام کیا اور انہوں نے کیا کیا۔

سوبیگ وائرس:

جس وائرس نے میڈیا کی سب سے زیادہ توجہ حاصل کی اور شاید 2003 میں سب سے زیادہ نقصان پہنچایا وہ واضح طور پر سوبیگ وائرس تھا۔ اس وائرس کے بارے میں پہلی دلچسپ بات یہ تھی کہ یہ کیسے پھیلا۔ یہ پھیلنے کے لیے ملٹی ماڈل اپروچ کا استعمال کرتے ہوئے پھیلا۔ اس کا مطلب ہے کہ اس نے نئی مشینوں کو پھیلانے اور متاثر کرنے کے لیے ایک سے زیادہ طریقہ کار استعمال کیا۔ یہ خود کو آپ کے نیٹ ورک پر کسی بھی مشترکہ ڈرائیوز میں کاپی کرے گا اور یہ خود کو آپ کی ایڈریس بک میں موجود ہر کسی کو ای میل کرے گا۔ ان وجوہات کی بناء پر یہ وائرس خاص طور پر خطرناک تھا۔

FYI: وائرولنٹ وائرس

وائرلنٹ کی اصطلاح کا مطلب بنیادی طور پر کمپیوٹر وائرس کے حوالے سے وہی چیز ہے جیسا کہ یہ ایک حیاتیاتی وائرس کے ساتھ کرتا ہے۔ یہ اس بات کا پیمانہ ہے کہ انفیکشن کتنی تیزی سے پھیلتا ہے اور کتنی آسانی سے نئے اہداف کو متاثر کرتا ہے۔

سوبیگ کے معاملے میں، اگر کسی نیٹ ورک پر ایک شخص وائرس پر مشتمل ای میل کھولنے کے لیے کافی بدقسمت تھا، تو نہ صرف اس کی مشین متاثر ہوگی، بلکہ اس نیٹ ورک پر موجود ہر مشترکہ ڈرائیو جس تک اس شخص کی رسائی تھی۔ تاہم، سوبیگ، جیسے کہ زیادہ تر ای میل سے تقسیم ہونے والے وائرس کے حملوں میں، ای میل کے مضمون یا عنوان میں ٹیل ٹیل سائن تھا جو وائرس سے متاثرہ ای میل کی شناخت کے لیے استعمال کیا جا سکتا تھا۔ ای میل کا کچھ دلکش عنوان ہوگا جیسے "یہ نمونہ ہے" یا "دستاویز" تاکہ آپ کو منسلک فائل کو کھولنے کے لیے کافی تجسس پیدا کرنے کی ترغیب دی جائے۔ اس کے بعد وائرس خود کو ونڈوز سسٹم ڈائرکٹری میں کاپی کر لے گا۔

یہ خاص وائرس اب تک پھیل گیا اور بہت سارے نیٹ ورکس کو متاثر کیا کہ صرف وائرس کی ایک سے زیادہ کاپیاں بنانا کچھ نیٹ ورکس کو بند کرنے کے لیے کافی تھا۔ اس وائرس نے فائلوں کو تباہ نہیں کیا اور نہ ہی سسٹم کو نقصان پہنچایا، لیکن اس نے ٹریفک کو بہت زیادہ نقصان پہنچایا جس نے اس سے متاثرہ نیٹ ورکس کو جھنجھوڑ دیا۔ وائرس خود اعتدال پسند نفاست کا تھا۔ ایک بار جب یہ ختم ہو گیا، تاہم، بہت سی مختلف شکلیں ابھرنے لگیں، جو صورت حال کو مزید پیچیدہ بناتی ہیں۔ سوبیگ کی کچھ اقسام کے ضمنی اثرات میں سے ایک انٹرنیٹ سے فائلوں کو ڈاؤن لوڈ کرنا تھا جو پھر پرنٹنگ کے مسائل کا باعث بنتی تھیں۔ کچھ نیٹ ورک پرنٹرز صرف کچرا پرنٹ کرنا شروع کرتے ہیں۔ ردی کی پرنٹنگ شروع کریں. Sobig.E ویرینٹ یہاں تک کہ ونڈوز رجسٹری کو بھی لکھے گا، جس کی وجہ سے خود کمپیوٹر اسٹارٹ اپ میں ہے (F-Secure، 2003) یہ پیچیدہ خصوصیات بتاتی ہیں کہ تخلیق کار ونڈوز رجسٹری تک رسائی، مشترکہ ڈرائیوز تک رسائی، ونڈوز کو تبدیل کرنے کا طریقہ جانتا تھا۔ آغاز اور آؤٹ لک تک رسائی حاصل کریں۔

یہ وائرس کی مختلف حالتوں کا مسئلہ اور وہ کیسے واقع ہوتا ہے۔ حیاتیاتی وائرس کی صورت میں، جینیاتی کوڈ میں تغیرات نئے وائرس کے تناؤ کا سبب بنتے ہیں اور قدرتی انتخاب کے دباؤ سے ان میں سے کچھ داغ مکمل طور پر وائرس کی نئی نسلوں میں تیار ہوتے ہیں۔ ظاہر ہے، حیاتیاتی طریقہ وہ نہیں ہے جو کمپیوٹر وائرس کے ساتھ ہوتا ہے۔ کمپیوٹر وائرس کے ساتھ، کیا ہوتا ہے کہ بدنیتی کے ارادے کے ساتھ کچھ نڈر پروگرامر کو وائرس کی ایک کاپی مل جائے گی (شاید اس کی اپنی مشین متاثر ہو جائے) اور پھر اسے ریورس انجنیئر کر دے گی۔ چونکہ بہت سے وائرس حملے ایک اسکرپٹ کی شکل میں ہوتے ہیں جو ای میل کے ساتھ منسلک ہوتے ہیں، روایتی طور پر مرتب کیے گئے پروگراموں کے برعکس، ان حملوں کا ماخذ کوڈ آسانی سے پڑھنے کے قابل اور تبدیل کیا جا سکتا ہے۔ سوال میں پروگرامر پھر صرف اصل وائرس کوڈ 4 لیتا ہے اور کچھ تبدیلی متعارف کراتا ہے، پھر مختلف قسم کو دوبارہ جاری کرتا ہے۔ اکثر، جو لوگ وائرس کی تخلیق کے لیے پکڑے جاتے ہیں وہ دراصل اس ویریئنٹ کے ڈویلپر ہوتے ہیں جن کے پاس اصل وائرس لکھنے والے کی مہارت کا فقدان تھا اور اس لیے آسانی سے پکڑے گئے۔

میامی وائرس

میمیل وائرس نے سوبی کی طرح میڈیا کی توجہ حاصل نہیں کی، لیکن اس کی دلچسپ خصوصیات تھیں۔ اس وائرس نے نہ صرف آپ کی ایڈریس بک سے ای میل ایڈریس جمع کیے بلکہ آپ کی مشین پر موجود دیگر دستاویزات سے بھی (گڈمنڈسن، 2004)۔ اس طرح، اگر آپ کے پاس آپ کی ہارڈ ڈرائیو پر ایک لفظ دستاویز ہے اور اس دستاویز میں ایک ای میل ایڈریس ہے، تو mimail اسے تلاش کرے گا۔ اس حکمت عملی کا مطلب یہ تھا کہ Mimail بہت سے دوسرے وائرسوں سے کہیں زیادہ پھیل جائے گا۔ Mimail کا اپنا بلٹ ان ای میل انجن تھا، اس لیے اسے آپ کے ای میل کلائنٹ کو "پگی بیک" کرنے کی ضرورت نہیں تھی۔ یہ پھیل سکتا ہے قطع نظر اس کے کہ آپ نے کون سا ای میل سافٹ ویئر استعمال کیا ہے۔

زیادہ تر وائرس حملوں سے ان دو تغیرات نے Mimail کو ان لوگوں کے لیے دلچسپ بنا دیا جو کمپیوٹر وائرس کا مطالعہ کرتے ہیں۔ مختلف قسم کی تکنیکیں ہیں جو آپ کے کمپیوٹر پر پروگرام کے لحاظ سے کسی ایک فائل کو کھولنے اور پروسیس کرنے کی اجازت دیتی ہیں۔ تاہم، زیادہ تر وائرس کے حملے ان پر کام نہیں کرتے۔ ای میل ایڈریس کے لیے دستاویز کی اسکیننگ وائرس لکھنے والے کی مہارت اور تخلیقی صلاحیتوں کی ایک خاص سطح کی نشاندہی کرتی ہے۔ اس مصنف کی رائے میں، Mimail کسی شوقیہ کا کام نہیں تھا، بلکہ پیشہ ورانہ سطح کی پروگرامنگ کی مہارت رکھنے والا شخص تھا۔

بگل وائرس

2003 کی چوتھی سہ ماہی میں تیزی سے پھیلنے والا ایک اور وائرس Bagle وائرس تھا۔ اس نے جو ای میل بھیجی ہے اس کا دعویٰ ہے کہ وہ آپ کے سسٹم ایڈمنسٹریٹر کا ہے۔ یہ آپ کو بتائے گا کہ آپ کا ای میل اکاؤنٹ وائرس سے متاثر ہوا ہے اور آپ کو ہدایات حاصل کرنے کے لیے منسلک فائل کو کھولنا چاہیے۔ ایک بار جب آپ نے منسلک فائل کو کھولا تو آپ کا سسٹم متاثر ہو گیا۔ یہ وائرس ڈبلیو کئی وجوہات کی بناء پر خاص طور پر دلچسپ۔ شروع کرنے کے لیے، یہ ای میل کے ذریعے پھیلتا ہے اور خود کو مشترکہ فولڈرز میں کاپی کرتا ہے۔ دوم، یہ آپ کے کمپیوٹر پر ای میل ایڈریس کی تلاش میں فائلوں کو بھی اسکین کر سکتا ہے۔ آخر کار اس وائرس نے آپ کے کمپیوٹر کا "مدافعتی نظام" نکال لیا۔ وائرس اسکینرز کو غیر فعال کرنا ایک نیا موڑ ہے جو وائرس کے تخلیق کار کی طرف سے کم از کم اعتدال پسند پروگرامنگ کی مہارتوں کی نشاندہی کرتا ہے۔

ایک غیر وائرس وائرس

وائرس کی ایک اور نئی قسم پچھلے کچھ سالوں میں مقبولیت حاصل کر رہی ہے اور وہ ہے "نان وائرس وائرس" یا سادہ الفاظ میں، ایک دھوکہ۔ اصل میں وائرس لکھنے کے بجائے، ایک ہیکر اپنے پاس موجود ہر پتے پر ای میل بھیجتا ہے۔ ای میل کا دعویٰ ہے کہ وہ کچھ معروف اینٹی وائرس سینٹر سے ہے اور ایک نئے وائرس کے بارے میں خبردار کرتا ہے جو حساب کر رہا ہے۔ ای میل لوگوں کو وائرس سے چھٹکارا پانے کے لیے اپنے کمپیوٹر سے کچھ فائل ڈیلیٹ کرنے کی ہدایت کرتی ہے۔ تاہم فائل دراصل وائرس نہیں بلکہ سسٹم کا حصہ ہے۔ jdbgmgr.exe وائرس کی دھوکہ دہی نے اس اسکیم کا استعمال کیا (Vmyths.com، 2002)۔ اس نے قاری کو ایسی فائل کو حذف کرنے کی ترغیب دی جس کی اصل میں سسٹم کو ضرورت تھی۔ حیرت کی بات یہ ہے کہ بہت سے لوگوں نے اس مشورے پر عمل کیا اور نہ صرف فائل کو ڈیلیٹ کر دیا بلکہ فوری طور پر اپنے دوستوں اور ساتھیوں کو ای میل کر کے متنبہ کیا کہ وہ اپنی مشینوں سے فائل ڈیلیٹ کر دیں۔

FYI: مورس انٹرنیٹ ورم

مورس ورم انٹرنیٹ پر تقسیم ہونے والے پہلے کمپیوٹر وارم میں سے ایک تھا۔ اور یہ یقینی طور پر سب سے پہلے میڈیا کی توجہ حاصل کرنے والا تھا۔ رابرٹ تپن مورس، جونیئر، جو اس وقت کارنل یونیورسٹی کے طالب علم تھے، نے اس کیڑے کو لکھا اور اسے 2 نومبر 1088 کو MIT سسٹم سے لانچ کیا۔ مورس اصل میں اس کیڑے سے کسی قسم کا نقصان نہیں پہنچانا چاہتا تھا۔ اس کے بجائے، وہ چاہتا تھا کہ کیڑا ان پروگراموں میں کیڑے ظاہر کرے جن کا اس نے اسے پھیلانے کے لیے استعمال کیا۔ تاہم، کوڈ میں موجود کیڑے ایک انفرادی کمپیوٹر کو متعدد بار متاثر ہونے دیتے ہیں اور کیڑا ایک خطرہ بن جاتا ہے۔ ہر اضافی 'انفیکشن' نے متاثرہ نظام پر ایک نئے عمل کو جنم دیا۔ ایک خاص مقام پر متاثرہ نظام پر چلنے والے عمل کی زیادہ تعداد نے کمپیوٹر کو ناقابل استعمال ہونے تک سست کر دیا۔ کم از کم 5000 یونکس مشینیں اس کیڑے سے متاثر ہوئیں۔

مورس کو 1986 کے کمپیوٹر فراڈ اینڈ ابیوز ایکٹ کی خلاف ورزی کا مرتکب ٹھہرایا گیا تھا اور اسے $10,000 جرمانہ، تین سال کی پروبیشن اور 400 گھنٹے کی کمیونٹی سروس کی سزا سنائی گئی تھی۔ لیکن شاید اس کیڑے کا سب سے بڑا اثر یہ تھا کہ اس کی وجہ سے کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT) کی تشکیل ہوئی۔

وائرس سے بچنے کے اصول

آپ کو وائرس کے تمام حملوں کے ساتھ ایک عام تھیم (سوائے دھوکہ دہی کے) کو دیکھنا چاہئے، جو کہ وہ چاہتے ہیں کہ آپ کسی قسم کا اٹیچمنٹ کھولیں۔ وائرس کے پھیلنے کا سب سے عام طریقہ ای میل اٹیچمنٹ ہے۔ وائرس سکینر استعمال کریں، McAffee اور Norton دو سب سے زیادہ مقبول اور استعمال شدہ وائرس سکینر ہیں۔ وائرس سکینر کا استعمال کریں، McAffee اور Norton دو سب سے زیادہ مقبول اور استعمال شدہ وائرس سکینر ہیں۔ آپ کے وائرس سکینر کو اپ ڈیٹ رکھنے کے لیے ہر ایک کی قیمت تقریباً 30$ سالانہ ہے۔ کرو. اگر آپ کو اٹیچمنٹ کے بارے میں یقین نہیں ہے تو اسے نہ کھولیں۔ وائرس سکینر استعمال کریں، McAfee اور Norton دو سب سے زیادہ مقبول اور استعمال شدہ وائرس سکینر ہیں۔ آپ کو بھیجے گئے "سیکیورٹی الرٹس" پر یقین نہ کریں۔ مائیکروسافٹ اس طریقے سے انتباہات نہیں بھیجتا ہے۔ مائیکروسافٹ ویب سائٹ کو باقاعدگی سے چیک کریں، ساتھ ہی اس اینٹی وائرس ویب سائٹ میں سے ایک۔یہ اصول آپ کے سسٹم کو 100% وائرس پروف نہیں بنائیں گے، لیکن یہ آپ کے سسٹم کی حفاظت کی طرف بہت آگے جائیں گے۔

ٹروجن گھوڑے

ٹروجن ہارس ایک ایسے پروگرام کے لیے ایک اصطلاح ہے جو بظاہر بے نظیر نظر آتی ہے لیکن درحقیقت اس کا مقصد بدنیتی پر مبنی ہوتا ہے۔ آپ کو کوئی ایسا پروگرام موصول یا ڈاؤن لوڈ کر سکتا ہے جو بظاہر بے ضرر کاروباری افادیت یا گیم لگتا ہے۔ زیادہ امکان ہے، ٹروجن ہارس صرف ایک اسکرپٹ ہے جو ایک سومی نظر آنے والے ای میل سے منسلک ہے۔ جب آپ پروگرام چلاتے ہیں یا اٹیچمنٹ کھولتے ہیں، تو یہ اس کے علاوہ یا اس کے علاوہ کچھ اور کرتا ہے جو آپ نے سوچا تھا کہ ایسا ہوگا۔ ہو سکتا ہے:

 کسی ویب سائٹ سے نقصان دہ سافٹ ویئر ڈاؤن لوڈ کریں۔

 اپنی مشین پر کلیدی لاگر یا دیگر اسپائی ویئر انسٹال کریں۔

 فائلوں کو حذف کریں۔

 ہیکر کے استعمال کے لیے بیک ڈور کھولیں۔

 

امتزاج وائرس کے علاوہ ٹروجن ہارس کے حملوں کو تلاش کرنا عام ہے۔ ان حالات میں، ٹروجن ہارس وائرس کی طرح پھیلتا ہے۔ MyDoom وائرس نے آپ کی مشین پر ایک پورٹ کھول دیا جس کا بعد میں آنے والا وائرس، doomjuice، استحصال کرے گا، اس طرح MyDoom کو ایک مجموعہ وائرس اور ٹروجن ہارس بنا دے گا۔ایک ٹروجن گھوڑا بھی خاص طور پر کسی فرد کے لیے تیار کیا جا سکتا ہے۔ اگر کوئی ہیکر کسی خاص فرد کی جاسوسی کرنا چاہتا ہے، جیسے کہ کمپنی اکاؤنٹنٹ، تو وہ خاص طور پر اس شخص کی توجہ مبذول کرنے کے لیے ایک پروگرام بنا سکتی ہے۔ مثال کے طور پر، اگر وہ جانتی تھی کہ اکاؤنٹنٹ گولفر کورسز کا شوقین ہے۔ وہ اس پروگرام کو مفت ویب سرور پر پوسٹ کرے گی۔ اس کے بعد وہ اکاؤنٹنٹ سمیت کئی لوگوں کو ای میل کرتی اور انہیں مفت سافٹ ویئر کے بارے میں بتاتی۔ سافٹ ویئر، ایک بار انسٹال ہونے کے بعد، اس وقت لاگ ان شخص کا نام چیک کر سکتا ہے۔ اگر لاگ آن کردہ نام اکاؤنٹنٹ کے نام سے مماثل ہے، تو سافٹ ویئر باہر جا سکتا ہے، صارف کے لیے نامعلوم ہے اور کلیدی لاگر یا دیگر مانیٹرنگ ایپلی کیشن ڈاؤن لوڈ کر سکتا ہے۔ اگر سافٹ ویئر نے فائلوں کو نقصان نہیں پہنچایا یا خود کو نقل نہیں کیا، پھر شاید یہ کافی عرصے تک پتہ نہیں چلا۔

FYI: وائرس یا کیڑا

وائرس اور کیڑے کے درمیان فرق کے بارے میں ماہرین میں اختلاف ہے۔ کچھ ماہرین MyDoom کو ایک کیڑا کہیں گے کیونکہ یہ انسانی مداخلت کے بغیر پھیلتا ہے۔ اس متن کے مقصد کے لیے، ان میلویئر کو وائرس کہا جائے گا۔

اس طرح کا پروگرام عملی طور پر کسی بھی معتدل طور پر قابل پروگرامر کی مہارت کے سیٹ کے اندر ہو سکتا ہے۔ یہ ایک وجہ ہے کہ بہت سی تنظیموں کے پاس کمپنی کی مشینوں پر کسی بھی سافٹ ویئر کو ڈاؤن لوڈ کرنے کے خلاف قوانین ہیں۔ میں ٹروجن ہارس کے اس انداز میں اپنی مرضی کے مطابق بنائے جانے کے کسی حقیقی واقعے سے لاعلم ہوں۔ تاہم، یہ یاد رکھنا ضروری ہے کہ وائرس کے حملے پیدا کرنے والے لوگ اختراعی ہوتے ہیں۔

ایک اور منظر نامے پر غور کرنا ہے جو کافی تباہ کن ہوگا۔ پروگرامنگ کی تفصیلات بتائے بغیر، ٹروجن ہارسز کے سنگین خطرات کو واضح کرنے کے لیے بنیادی بنیاد کو یہاں بیان کیا جائے گا۔ ایک چھوٹی ایپلی کیشن کا تصور کریں جو اسامہ بن لادن کی بے تکلف تصاویر کا ایک سلسلہ دکھاتی ہے۔ یہ ایپلیکیشن ممکنہ طور پر ریاستہائے متحدہ امریکہ میں بہت سے لوگوں میں، خاص طور پر فوجی، انٹیلی جنس کمیونٹی یا دفاع سے متعلقہ صنعتوں کے لوگوں میں مقبول ہوگی۔ اب فرض کریں کہ یہ ایپلیکیشن مشین پر کچھ وقت کے لیے غیر فعال رہتی ہے۔ اسے وائرس کی طرح نقل کرنے کی ضرورت نہیں ہے کیونکہ کمپیوٹر صارف اسے اپنے بہت سے ساتھیوں کو بھیجے گا۔ ایک مخصوص تاریخ اور وقت پر، سافٹ ویئر کسی بھی ڈرائیو سے جوڑتا ہے، بشمول نیٹ ورک ڈرائیوز اور تمام فائلوں کو حذف کرنا شروع کر دیتا ہے۔ اگر اس طرح کے ٹروجن گھوڑے کو "جنگل میں" چھوڑ دیا جاتا تو 30 دنوں کے اندر یہ شاید ہزاروں، شاید لاکھوں لوگوں کو بھیج دیا جائے گا۔ اس تباہی کا تصور کریں جب ہزاروں کمپیوٹرز فائلوں اور فولڈرز کو حذف کرنا شروع کر دیتے ہیں۔

اس منظر نامے کا ذکر آپ کو تھوڑا سا خوفزدہ کرنے کے لیے کیا گیا ہے۔ کمپیوٹر استعمال کرنے والے، بشمول پیشہ ور افراد جنہیں بہتر جاننا چاہیے، انٹرنیٹ سے ہر طرح کی چیزیں معمول کے مطابق ڈاؤن لوڈ کرتے ہیں، جیسے کہ دل لگی فلیش ویڈیوز اور پیاری گیمز۔ ہر بار جب کوئی ملازم اس نوعیت کی کوئی چیز ڈاؤن لوڈ کرتا ہے، تو ٹروجن ہارس کو ڈاؤن لوڈ کرنے کا موقع ملتا ہے۔ کسی کو یہ سمجھنے کے لیے شماریات دان بننے کی ضرورت نہیں ہے کہ اگر ملازمین اس مشق کو کافی دیر تک جاری رکھتے ہیں، تو وہ بالآخر کمپنی کی مشین پر ٹروجن ہارس ڈاؤن لوڈ کریں گے۔ اگر ایسا ہے تو، امید ہے کہ وائرس اتنا شیطانی نہیں ہوگا جتنا کہ نظریاتی طور پر یہاں بیان کیا گیا ہے۔

بفر اوور فلو حملہ

آپ کو ٹارگٹ سسٹم پر حملہ کرنے کے کئی طریقوں کے بارے میں علم ہو گیا ہے: سروس سے انکار، وائرس اور ٹروجن ہارس۔ اگرچہ یہ حملے شاید سب سے عام ہیں، لیکن یہ واحد طریقے نہیں ہیں۔ سسٹم پر حملہ کرنے کا ایک اور طریقہ بفر اوور فلو (یا بفر اووررن) حملہ کہلاتا ہے۔ بفر اوور فلو حملہ اس وقت ہوتا ہے جب کوئی بفر میں اس سے زیادہ ڈیٹا ڈالنے کی کوشش کرتا ہے جو اسے رکھنے کے لیے ڈیزائن کیا گیا تھا (searchSecurity.com، 2004a)۔ کوئی بھی پروگرام جو انٹرنیٹ یا نجی نیٹ ورک کے ساتھ بات چیت کرتا ہے اسے کچھ ڈیٹا ضرور لینا چاہیے۔ یہ ڈیٹا، کم از کم عارضی طور پر، میموری میں ایک جگہ میں محفوظ کیا جاتا ہے جسے بفر کہتے ہیں۔ اگر ایپلی کیشن لکھنے والا پروگرامر محتاط تھا، جب آپ بہت زیادہ معلومات کو بفر میں ڈالنے کی کوشش کرتے ہیں، تو اس معلومات کو یا تو صرف چھوٹا کر دیا جاتا ہے یا اسے یکسر مسترد کر دیا جاتا ہے۔ ٹارگٹ سسٹم پر چلنے والی ایپلی کیشنز کی تعداد اور ہر ایپلیکیشن میں بفرز کی تعداد کے پیش نظر، کم از کم ایک بفر ہونے کے امکانات جو کہ صحیح طریقے سے نہیں لکھے گئے ہیں، کسی بھی ہوشیار شخص کو تشویش کا باعث بن سکتے ہیں۔

کوئی شخص جو پروگرامنگ میں اعتدال سے مہارت رکھتا ہے وہ ایسا پروگرام لکھ سکتا ہے جو جان بوجھ کر بفر میں اس سے زیادہ لکھتا ہے جتنا کہ اس کے پاس ہے۔ مثال کے طور پر، اگر بفر 1024 بائٹس کا ڈیٹا رکھ سکتا ہے اور آپ اسے 2048 بائٹس سے بھرنے کی کوشش کرتے ہیں، تو اضافی 24 بائٹس کو میموری میں سادہ لوڈ کیا جاتا ہے۔ اگر وہ اضافی ڈیٹا درحقیقت ایک بدنیتی پر مبنی پروگرام ہے، تو اسے ابھی میموری میں لوڈ کیا گیا ہے اور اس طرح اب ٹارگٹ سسٹم پر چل رہا ہے۔ یا، شاید مجرم صرف ٹارگٹ مشین کی میموری کو فلڈ کرنا چاہتا ہے، اس طرح اس وقت میموری میں موجود دیگر آئٹمز کو اوور رائٹ کرتا ہے اور ان کے کریش ہونے کا سبب بنتا ہے۔ کسی بھی طرح سے، بفر اوور فلو ایک بہت سنگین حملہ ہے۔

خوش قسمتی سے، بفر اوور فلو حملوں کو ایک DoS یا سادہ Microsoft Outlook اسکرپٹ وائرس کے مقابلے میں انجام دینا قدرے مشکل ہے۔ بفر اوور فلو اٹیک بنانے کے لیے، آپ کو کچھ پروگرامنگ لینگویج (C یا C++ اکثر منتخب کی جاتی ہے) کے بارے میں اچھی طرح سے علم ہے اور ٹارگٹ آپریٹنگ سسٹم / ایپلیکیشن کو اچھی طرح سے سمجھیں کہ آیا اس میں بفر اوور فلو کی کمزوری ہے اور یہ کمزوری کیسے ہو سکتی ہے۔

سیسر وائرس / بفر اوور فلو

یہ نوٹ کرنا دلچسپ ہونا چاہئے کہ کئی بڑے نئے وائرس پھیلے ہیں - خاص طور پر، سیسر وائرس۔ سیسر ایک مجموعہ حملہ ہے جس میں وائرس (یا کیڑا) بفر اووررن کا استحصال کرکے پھیلتا ہے۔سیسر وائرس ونڈوز سسٹم پروگرام میں معلوم خامی کا فائدہ اٹھا کر پھیلتا ہے۔ Sasser خود کو avserve.exe کے طور پر ونڈوز ڈائرکٹری میں کاپی کرتا ہے اور اسٹارٹ اپ کے وقت ایک رجسٹری کلید بناتا ہے۔ اس طرح، ایک بار جب آپ کی مشین متاثر ہو جاتی ہے، تو آپ ایس جب بھی آپ مشین شروع کرتے ہیں وائرس کو ٹارٹ کریں۔ یہ وائرس بے ترتیب آئی پی ایڈریس کو اسکین کرتا ہے، جس کی فہرست 1068 سے شروع ہونے والی یکے بعد دیگرے TCP بندرگاہوں پر ہوتی ہے جو کہ استحصالی نظاموں کے لیے --- یعنی ایسے سسٹمز جن کو اس خامی کو دور کرنے کے لیے پیچ نہیں کیا گیا ہے۔ جب کوئی پایا جاتا ہے، تو کیڑا LSASS.EXE میں ایک بفر کو بہا کر کمزور نظام کا استحصال کرتا ہے، جو کہ ایک فائل ہے جو ونڈوز آپریٹنگ سسٹم کا حصہ ہے۔ یہ قابل عمل بلٹ ان سسٹم فائل ہے اور یہ ونڈوز کا حصہ ہے۔ Sasser TCP پورٹ 5554 پر ایک FTP سرور کے طور پر بھی کام کرتا ہے اور یہ TCP پورٹ 9996 پر ایک ریموٹ شیل بناتا ہے۔ اس کے بعد، Sasser ریموٹ ہوسٹ پر cmd.ftp نامی ایک FTP اسکرپٹ بناتا ہے اور اس اسکرپٹ پر عمل درآمد کرتا ہے۔ یہ FTP اسکرپٹ ہدف کے شکار کو متاثرہ میزبان سے کیڑے کو ڈاؤن لوڈ کرنے اور اس پر عمل کرنے کی ہدایت کرتا ہے۔ متاثرہ میزبان TCP پورٹ 5554 پر اس FTP ٹریفک کو قبول کرتا ہے۔ کمپیوٹر C: ڈرائیو پر win.log نام کی فائل بھی بناتا ہے۔ اس فائل میں لوکل ہوسٹ کا IP ایڈریس ہے۔ وائرس کی کاپیاں ونڈوز سسٹم ڈائرکٹری میں #_up.exe کے طور پر بنائی جاتی ہیں۔ مثالیں یہاں دکھائی گئی ہیں:

C:\WINDOWS\system32\12553_up.exe

C:\WINDOWS\system32\17923_up.exe

C:\WINDOWS\system32\29679_up.exe

اس وائرس کا ایک ضمنی اثر یہ ہے کہ یہ آپ کی مشین کو دوبارہ شروع کرنے کا سبب بنتا ہے۔ ایک مشین جو بغیر کسی معلوم وجہ کے بار بار ریبوٹ ہو رہی ہے وہ سیسر وائرس سے متاثر ہو سکتی ہے۔یہ ایک اور معاملہ ہے جس میں کئی طریقوں سے انفیکشن کو آسانی سے روکا جا سکتا ہے۔ سب سے پہلے، اگر آپ اپنے سسٹم کو مستقل بنیادوں پر اپ ڈیٹ کرتے ہیں، تو آپ کے سسٹم کو اس خامی کا شکار نہیں ہونا چاہیے۔ دوم، اگر آپ کے نیٹ ورک کے روٹرز یا فائر وال مذکورہ بندرگاہوں (9996 اور 5554) پر ٹریفک کو روکتے ہیں، تو آپ Sasser کے زیادہ تر نقصان کو روکیں گے۔ آپ کے فائر وال کو صرف مخصوص بندرگاہوں پر ٹریفک کی اجازت دینی چاہیے، باقی تمام بندرگاہوں کو بند کر دینا چاہیے۔ مختصراً، اگر آپ نیٹ ورک ایڈمنسٹریٹر کے طور پر سیکیورٹی کے مسائل سے آگاہ ہیں اور نیٹ ورک کی حفاظت کے لیے دانشمندانہ اقدامات کر رہے ہیں، تو آپ کا نیٹ ورک محفوظ رہے گا۔ حقیقت یہ ہے کہ بہت سارے نیٹ ورک اس وائرس سے متاثر ہوئے ہیں اس بات کی نشاندہی کرنی چاہئے کہ کافی منتظمین کمپیوٹر سیکیورٹی میں مناسب طریقے سے تربیت یافتہ نہیں ہیں۔