نکاتی برای جلوگیری از ورود کرم ها به سیستم

از آنجائیکه این نوع برنامه‌ها ( worms ) امروزه گسترش بیشتری یافته و باید بیشتر از سایر برنامه‌های مخرب از آنها دوری کنیم، از این رو به این نوع برنامه های مخرب بیشتر می‌پردازیم.
کرمها برنامه‌های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده، بدون واسطه خود را تکثیر کرده و خیلی زود سراسر سیستم را فرا می‌گیرند. در زیر نکاتی برای جلوگیری از ورود کرمها آورده شده است.
1) بیشتر کرمهایی که از طریق E-mail گسترش پیدا می‌کنند از طریق نرم افزارهای microsoft outlook و یا out look express وارد سیستم می‌شوند. اگر شما از این نرم افزار استفاده می‌کنید پیشنهاد می شود همیشه آخرین نسخه security patch این نرم افزار را از سایت microsoft دریافت و به روز کنید.
همچنین بهتر است علاوه بر به روز کردن این قسمت از نرم افزار outlook سعی کنید سایر نرم افزارها و حتی سیستم عامل خود را نیز در صورت امکان همیشه به روز نگه دارید، و یا حداقل بعضی از تکه‌های آنها را که به صورت بروز درآمده قابل دسترسی است.
اگر از روی اینترنت بروز می‌کنید و یا از cd ها و بسته‌های نرم افزاری آماده در بازار ،از اصل بودن آنها اطمینان حاصل کنید.

2) تا جای ممکن در مورد e-mail attachment ها محتاط باشید. چه در دریافت e-mail و چه در ارسال آنها.
3) همیشه ویندوز خود را در حالت show file extensions قرار دهید.
این گزینه در منوی Tools/folder option/view با عنوان “ Hide file extensions for known file Types” قرار داردکه به صورت پیش فرض این گزینه تیک خورده است، تیک آنرا بردارید.
4) فایلهای attach شده با پسوندهای SHS و VBS و یا PIF را هرگز باز نکنید. این نوع فایلها در اکثر موارد نرمال نیستند و ممکن است حامل یک ویروس و یا کرم باشند.
5) هرگز ضمائم دو پسوندی را باز نکنید.
email attachment هایی با پسوندهایی مانند Neme.BMP.EXE و یا Name.TxT.VBS و …
6) پوشه‌های موجود بر روی سیستم خود را با دیگر کاربران به اشتراک نگذارید مگر در مواقع ضروری . اگر مجبور به این کار هستید، حتماً اطمینان حاصل کنید که کل درایو و یا شاخه ویندوز خود را به اشتراک نگذارید.
7) زمانی که از کامپیوتر استفاده نمی‌کنید کابل شبکه و یا مودم را جدا کرده و یا آنها را خاموش کنید.
8) اگر ایمیلی از یک دوستی که به طریقی ناشناس است دریافت کردید قبل از باز کردن ضمائم آن حتماً متن موجود را چند بار خوانده و زمانی که اطمینان حاصل کردید از طرف یک دوست است و مشکوک نیست، آنگاه سراغ ضمائم آن بروید.
9) فایلهای ضمیمه شده به ایمیل‌های تبلیغاتی و یا احیاناً weblink های موجود در آن‌ها را توصیه می‌شود حتی الامکان باز نکنید.
10) از فایلهای ضمیمه شده‌ای که به هر نحوی از طریق تصاویر و یا عناوین خاص، مسائل جنسی و مانند آن را تبلیغ می‌کنند، دوری کنید. عناوینی مانند porno.exe و یا pamela-Nude.VBS که باعث گول خوردن کاربران می‌شود.
11) به آیکون‌های فایلهای ضمیمه شده نیز به هیچ عنوان اعتماد نکنید. زیرا ممکن است کرمهایی در قالب فایلی با شمایل یک فایل عکس و یا متنی فرستاده شود ولی در حقیقت این فایل یک فایل اجرائی است و باعث فریب خوردن کاربر می‌شود.
12) به هیچ عنوان فایلهای ارسالی از طریق کاربران ناشناس on-line در chat system ها را قبول ( accept ) نکنید. در massenger هایی مانند IRC ، ICQ و یا AOL .
13) از Download کردن فایل از گروه‌های خبری همگانی پرهیز کنید. ( usenet news ) زیرا اغلب گروه‌های خبری یکی از ابزار پخش ویروس توسط ویروس نویسان است.

CODERED یک نوع کرم اینترنتی

حال به شرح حال مختصری از خصوصیات یک کرم معروف که هنوز هم وجود خواب آلوده خود را بر روی هزاران وب سرور افکنده است و کارشناسان امنیتی را به تلاطم انداخته است، می‌پردازیم. راجع به واژه خواب آلود متن زیر را مطالعه کنید.

CODERED یک نوع کرم اینترنتی

مرکز تطبیق و هماهنگی Cert در پتیسبورگ که مرکزی برای بررسی و شفاف سازی اطلاعات سری کامپیوتری است، اذعان می‌دارد که ویروس CODERED احتمالاً به دورن بیش از 280000 دستگاه متصل به اینترنت که از سیستم عاملهای NT4.0 و ویندوز 2000 استفاده می‌کنند نفوذ کرده است. حال آنکه این سیستم عاملها عنوان دارای مزیت محافظت سری به وسیلة سری نرم افزارهای خطایاب IIS5 و IIS4 در سرور اینترنتی را یدک می‌کشند!
در هنگامی که هر دو گونه این ویروس (در اینجا منظور نسخه‌های 29. A و codered II می‌باشدکه درباره نسخه جدید تر این ویروس یعنی codered F . در شماره‌های بعدی بحث خواهیم کرد.) تلاش می‌کنند تا روی سرورهایی که به وسیله سرویس‌های شاخص نرم افزارهاییکه IIS از لحاظ ضعفهای عبوری یا مقاومت در برابر ویروس های جدید اصلاح نشده‌اند ، نفوذ و منتشر شوند،‌ یکی از دو نسخه قدیمی این ویروس طوری تنظیم شده است که صفحات اولیه اتصال اینترنتی معروف به Homepage و یا start page مربوط به وب سرور آلوده شده را از حالت طبیعی خارج سازد.
این ویروس طوری تنظیم شده است که تا بیستمین (20 ام) روز ماه منتشر می‌شود و آنگاه با حالتی که cert آن را مرحله ویرانگر نامیده است، چنان عمل می‌کند که خود سرویس محافظ شخصی را بر علیه آدرس اینترنتی داده شده وادار به خرابکاری می‌کند. جالب است بدانید که اولین آدرس اینترنتی داده شده به ویروس وب سرور کاخ سفید بوده است.
در آخرین ساعت بیست و هفتیمن روز ماه، به نظر می‌رسد که این ویروس، بمباران و انتشارهای خود را متوقف کرده و وارد مرحله خواب موقتی شده و خود را غیر فعال می‌کند. حال سوال آنکه آیا این ویروس قدرت این را دارد که خود را برای فعالیتی دوباره در اولین روز ماه بعد بیدار کند.
در یک مرکز تحقیقات تخصصی که شرکتی مشاوره‌ای و فنی در اوهایو ایالات کلمبیا است، بررسی و تست ویروس Codered به بیان این نتیجه رسیده است که این مزاحم خواب آلود می‌تواند دوباره خود را فعال کند و فرآیند جستجو میزبانان جدید را از سر بگیرد.
بررسی ها و نتایج به دست آمده نشان می دهند که codered برای شروع فعالیت دوباره، فایل مخصوصی را جستجو می‌کند و تا زمان پیدا کردن آن فایل و ساختن درایو مجازی خاصی به نام تروآ ( Trojan ) در حالت خواب باقی می‌ماند.
کارشناسان فنی بر این عقیده‌اند که این ویروس مجبور نیست که خود را بیدار و فعال کند تا به عنوان یک تحدید جدی برای سیستم‌ها درآید. در حال حاضر تعداد زیادی سیستم‌های آلوده وجود دارد که ناخودآگاه برای انتشار و سرایت ویروس به سیستم‌های دیگر تلاش می‌کنند. یکی از کارشناسان SARC یکی دیگر از مراکز تحقیقاتی می‌گوید : از آنجا که کامپیوترهای زیادی ساعتهای آنها نادرست تنظیم شده است، ما شاهد دوباره رخ دادن انتشار این ویروس خواهیم بود. تنها یکی از سیستم‌های آلوده، برای انتشار موج جدیدی از اختلالات کافی خواهد بود.
مرکز تطبیق و هماهنگی CERT اعلام کرده است: محاسبات نشان می‌دهد که ویروس Codered 250000 سرور ویندوزهایی که آسیب پذیر بوده‌اند را در خلال 9 ساعت اول فعالیت زود هنگام خود، آلوده کرده است. بولتن خبری CERT گزارش می‌دهد با تحلیل‌های ما تخمین زده می‌شود که با شروع فعالیت ویروس از یک میزبان آلوده، زمان لازم برای آلوده شدن تمام سیستم‌هایی که علیرغم استفاده از نرم افزارهای ( IIS البته نسخه‌های قدیمی آن)، همچنان آسیب پذیر مانده‌اند، کمتر از 18 ساعت است! این رخدادها، این سوال را پیش می‌آورد که چه تعداد از کامپیوترهای آلوده شده قبلی، تاکنون اصلاح و پاکسازی شده‌اند؟ اگرچه سرور کاخ سفید، هدف اصلی حملات خرابکارانه Codered بوده است،‌ با این حال این کرم کینه جو هنوز مشکلات زیادی را برای میزبانان آلوده به وجود می‌آورد.

حمله به سیستم های Linux

ویروس معروف و بسیار گستردة Slapper برای اولین بار در تاریخ 14 سپتامبر 2002 کشف شد.

Slapper یک کرم شبکه

Slapper طی یک مدت کوتاهی بسیار سریع هزاران وب سرور در سراسر دنیا را آلوده کرد. یکی از جالب‌ترین خصوصیات slapper توانایی‌آن در بوجود آوردن یک شبکه نظیر به نظیر توزیع شده است که به نویسنده این ویروس این امکان را می‌دهد که بر همه شبکه‌های آلوده شده کنترل داشته باشد.

کرم W32Blaster-A

هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتی Windowsupdate.comاین کمپانی می باشد . نویسنده این کرم با این عمل می خواهد برای کاربرانی که می خواهند سیستم عامل ویندوز خود را از این طریق در برابر هجوم این کرم محافظت کنند مشکل ایجاد نماید . این کرم حاوی رشته پیغام زیر در کدهای خود می باشد :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ? Stop making money and fix your software .
البته این پیغام در نسخه دیگر و جدیدتر این کرم ( W32/Blaster-B ) تغییر کرده است .
کرم Blaster از طریق ایمیل گسترش پیدا نمی کند ، این کرم از طریق یافتن نسخه های آسیب پذیر ویندوز گسترش می یابد و این کار را از طریق سرویس ( Remote Procedure Call) RPC ویندوز انجام می دهد . بنابراین برنامه های محافظ ایمیل قادر به شناسایی این کرم نیستند .
شرکتها و مدیران شبکه ها می بایست تکه نرم افزارهای محافظ مخصوص این کرم را از روی سایت مایکروسافت دریافت و نیز از صحیح نصب شدن Firewall ها بروی سیستمها و سرورهای خود اطمینان حاصل کرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نکنند .

شرح و بررسی W32/Blaster-A

نام های مستعار :

W32/Lovsan.worm , W32.Blaster.worm , WORM_MSBLAST.A , win32.Poza , Worm/Lovsan.A

نوع :

win32 worm
W32/Blaster-A کرمی است که از طریق اینترنت و با استفاده از خطای آسیب پذیری DCOM موجود در سرویس ( Remote Procedure Call) RPC سیستم عاملهای ویندوز که این خطا برای اولین بار توسط خود کمپانی مایکروسافت در اواسط ماه جولای 2003 فاش شد ، منتشر می شود . لازم به ذکر است این کرم برخلاف اغلب کرمهای دیگر از طریق ایمیل گسترش نمی یابد .
سیستم عاملهایی که در معرض هجوم این کرم می باشند بشرح زیر هستند :
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows Server 2003
در نسخه های ویندوز xp آلوده شده به این کرم ، باعث می شود بطور متوالی سرویس RPC متوقف شود و پیغامی مبنی بر خاموش شدن سیستم ظاهر شود “ System ShutDown " و بعد از حدود یک دقیقه سیستم حاوی ویندوز xp ، Reboot می شود .
ویندوزهای 95 ، 98 ، ME که از سرویس RPC استفاده نمی کنند از این بابت در خطر نیستند .
در مسیر یافتن سیستمهای آسیب پذیر ، کرم سیستم راه دور (کامپیوتر آسیب پذیر) را وادار به دریافت فایلی از طریق پروتکل دریافت فایل TFTP با عنوان msblast.exe ویا penis32.exe می نماید .
این فایل در شاخه ویندوز کپی می شود .
همچنین دستور زیر را در مسیر زیر واقع در رجیستری ویندوز اظافه می کند :
HKLM/Software/microsoft/windows/currentVersion/Run/windows auto update = "msblast.exe "
و نیز رشته کاراکتر زیر در کدهای این ویروس دیده شده که البته واضح نیست :
I Just want to say LOVE YOU SAN!! Billy Gates why do you make this possible ?
Stop making money and fix your software .

نحوه مقابله و پاکسازی:

Blaster از طریق شبکه اینترنت شبکه ها را جستجو کرده و سیستمهایی که دارای خطای آسیب پذیری سرویس محافظتی DCOM RPC هستند را یافته و به درون آنها نفوذ می کند .

- تمهیداتی برای مدیران شبکه ها

مدیران شبکه ( Adminstrators ) برای مقابله با نفوذ این کرم به درون سیستمها و خنثی کردن آن بهتر است به گونه زیر عمل کنند :
- در اولین قدم بهتر است اگر آنتی ویروسی بروی سیستم خود ندارید یک آنتی ویروس مناسب از یکی از سایتهای مشهور و مورد اطمینان مانند Symantec و یا Mcafee را بروی سیستمهای خود نصب نمایید و یا اگر آنتی ویروس بروی سیستمها موجود است آنها را update نمائید .
- در قدم بعدی patch موجود در سایت
مایکروسافت را بروی تک تک سیستمها و سرورها دریافت و نصب کنید ، این patch عملیات Blaster را خنثی می کند .
- در قدم بعدی از آنجا که Blaster از فایل Tftp.exe که یکی از فایلهای برنامه ای ویندوز بشمار می رود برای رسیدن به مقاصد خود استفاده می کند ، اگر این فایل بروی سیستمهای شبکه موجود است و زیاد از آن استفاده نمی کنید بهتر است ترجیجاً آنرا تغییر نام بدهید ، مثلاً به Tftp-exe.old . فراموش نکنید که آنرا نباید پاک کرد ، ممکن است در آینده نرم افزارهای ما به آن احتیاج پیدا کنند .
- در قدم آخر توصیه می شود حتی الامکان ترافیک موجود در پورت های زیر را در نرم افزار Firewall خود مسدود نمائید .
- TCP/69 -used by Tftp process
- TCP/135-RPC remote access
- TCP/4444-used by this worm to connect

- راهنمایی برای کاربران خانگی

اگر شما جزء افرادی هستید که از نسخه های ویندوز NT4 , 2000 , XP , server 2003 استفاده می کنید راهنمایی های زیر برای داشتن آگاهی کافی از چگونگی محافظت سیستم خود و حتی پاکسازی آن از آلودگی می تواند مفید باشد .

قدم اول :

توصیه می شود داشتن یک نرم افزار Firewall برروی سیستم می تواند در محافظت از کامپیوتر شما به شما کمک شایان توجهی نماید . اگر هم کامپیوترتان آلوده است راه اندازی نرم افزار Firewall می تواند عملیات مخفیانه کرمها در سیستم شما را محدود سازد .
درآخرین نسخه های ویندوز بروی خود ، نرم افزار Firewall مخصوص موجود است . نسخه های ویندوز XP و server2003 قبل از راه اندازی Firewall ویندوز ، اگر سیستم شما مدام reboot می شود ، ابتدا دسترسی به اینترنت را قطع کرده و سپس Firewall خود را فعال کنید .

کاربران XP :

برای راه اندازی Firewall ویندوز XP مراحل زیر را به ترتیب طی کنید :
- Network connection را باز کنید .
( startmenu/setting/controlPanel/Network & Internet connection )
- سپس روی گزینه Network connection کلیک کنید .
- برروی یکی از Internet connection هایی که مایلید محافظت انجام شود ، کلیک کنید .
سپس در سمت چپ و در قسمت Network tasks برروی settings of this connections کلیک کنید و یا برروی یکی از connection ها کلیک راست کرده و Properties را بزنید .
- در قسمت Advanced Tab اگر گزینه “ Protect my computer network” تیک زده شود Firewall فعال است و اگر تیک آن برداشته شود ، غیر فعال است .
برای دریافت اطلاعات بیشتر راجع به این قسمت میتوانید به آدرس زیر مراجعه کنید :
www.microsoft.com/security/incident/blast.asp

کاربران ویندوز server 2003

می توانید برای فعال کردن Firewall ویندوز به آدرس زیر مراجعه کنید :
www.microsoft.com/technet/treeview/default.asp

قدم دوم :

گرفتن security patch قابل دسترسی در سایت مایکروسافت ، برای گرفتن این patch به آدرس زیر مراجعه کنید :
http://windowsupdate.microsoft.com

قدم سوم:

نصب یک آنتی ویروس قدم بعدی نصب یک آنتی ویروس مناسب است که فراموش نکنید از بروز بودن آن مطمئن باشید ، اگر هم نرم افزار آنتی ویروس بروی سیستم دارید آنرا update کنید .
توصیه می شود از نرم افزارهای مورد اطمینان تر موجود در سایتهای مشهور استفاده کنید .

قدم چهارم‌: پاکسازی کرم از روی سیستم

برای انجام این کار می توانید از نرم افزار آنتی ویروس update شده خود بهره مند شوید ، ولی اگر می خواهید بصورت manual برای اطمینان بیشتر ، خودتان دست بکار شوید بهتر است قبل از هر کاری کرم موجود در سیستم را شناسایی و مشخصات آن را در نرم افزار آنتی ویروس خود و یا در یکی از وب سایتهای ضد ویروس مطالعه کرده و سپس اقدام به پاکسازی آن نمائید .

- پاکسازی Blaster-A از روی سیستم بصورت دستی

قدم اول : ابتدا مطمئن شوید که security patch مخصوص را از سایت مایکروسافت دریافت کرده اید و آنرا برروی سیستم نصب نموده اید .
قدم دوم : کلیدهای Ctrl+Alt+Del را بطور همزمان با هم بفشارید .
قدم سوم : پس از ظاهر شدن پنجره Task manager برروی Processes Tab کلیک کنید .
قدم چهارم : پرسه ای با نام msblast.exe را در لیست جستجو کنید .
قدم پنجم : پس از یافتن بروی آن کلیک کرده ، پس از آنکه آنرا highlight نمودید ، بروی End process کلیک کنید و Task manager را ببندید .
قدم ششم : سه فایل Teekids.exe , Penis32.exe , msblast.exe را توسط موتور جستجوگر ویندوز ( Start /search ) جستجو کنید .
(توضیح: لازم به توضیح است این سه فایل مربوط به سه نسخه این کرم می باشد ، که msblast.exe مرتبط با نسخه اول این کرم یعنی MSBLAST-A می باشد .)
احتمالاً به همراه فایلهای اجرائی فوق ، فایلهایی با پسوند . Pif نیز با همین اسامی ممکن است یافته شود ، پس از اتمام عملیات جستجو کلیه فایلهای یافته شده با مشخصات بالا را پاک نمائید . این فایلها همگی در شاخه ویندوز یافته خواهند شد .
قدم هفتم : حال می بایست دستور اضافه شده به رجیستری توسط کرم را یافته و از بین ببریم .
البته عملیات فوق را می توان با استفاده از دستور دیگری هم انجام داد :
- در پنجره Run دستور زیر را تایپ کنید .
Services.msc /s
- در پنجره ظاهر شده بروی گزینه “ Services and Application " دوبل کلیک کنید .همانطور که مشاهده می شود لیستی از سرویسها ظاهر می شود .
- در قسمت راست پنجره سرویس RPC -Remote Procedure Call را جستجو کنید .
- برروی آن کلیک راست کرده و Properties را انتخاب کنید .
- بروی Recovery TAB کلیک کنید .
- لیستهای کرکره ای موجود ( Subsequent failures , Second failure , First failure) را روی گزینه “ Restart the Service " تغییر دهید .
- سپس Apply کرده و بعد OK .
با انجام این عملیات ، Blaster دیگر قادر به Reboot کردن سیستم شما به هنگام اتصال به اینترنت نخواهد بود .

- غیر فعال کردن System Restore در ویندوز XP

برای احتیاط لازم است سرویس بازیابی خودکار ویندوز XP یعنی System Restore را موقتاً غیر فعل نمائیم .
چرا که این قسمت از ویندوز XP بصورت پیش فرض فعال است و ممکن است ویندوز فایلهای آسیب دیده ، ویروس ها ، کرم ها و برنامه های اسب تروآ یی که احیاناً قبلاً بروی سیستم ما بوده اند را بازآوری نماید . برای غیر فعال کردن این قسمت به آدرس زیر در ویندوز xp مراجعه کنید :
Startmenu / setting / controlPanel / Performance and maintennance /system / system restore(tab) و سپس گزینه زیر را تیک می زنیم :
“ Turn of system Restore on all Drives "

انواع دیگر BLASTER

W32/Blaster-A با نامهای مستعار Lovsan , MSBLAST , Poza گسترش یافته است .
هنوز چند هفته ای از شیوع این کرم نمی گذرد که انواع جدیدتر آن نیز دیده شده است .
W32/Blaster-B عملکرد این نسخه از Blaster نیز مانند نسخه پیشین است با این تفاوت که فایلی که در پوشه ویندوز ایجاد می کند دیگر msblast.exe نمی باشد ، فایلی با نام teekids.exe می باشد ، همچنین دستوری را که در رجیستری ویندوز اضافه می کند نیز دستور قبلی نمی باشد بلکه این بار حاوی رشته کاراکترهایی اهانت آورعلیه Bill Gates و کمپانی مایکروسافت و سازندگان آنتی ویروس ها می باشد.
نسخه دیگر این کرم با نام W32/Blaster-C نیز موجود است که نام فایل ایجاد کرده در شاخه ویندوز آن penis32.exe می باشد .
نکته: در کلیه نسخه های این کرم همراه فایلهای exe ایی که این کرم در شاخه ویندوز کپی می کند یک فایل با پسوند . pif نیز با همین نام در شاخه ویندوز می توان یافت .

خبر مسدود نمودن سایت windowsupdate.com ، توسط کمپانی مایکروسافت

W32/Blaster-A روز دوشنبه ، 11 آگوست 2003 برای اولین بار دیده شد .
براساس خبرهای گزارش شده ، کمپانی مایکروسافت تصمیم گرفته است آدرس URL ، windowsupdate.com این کمپانی را بطور کلی از بین ببرد . وب سایتی که توسط این کرم مورد حمله کلیه کامپیوترهای آلوده شده سراسر دنیا به این کرم در 16 آگوست بوده است .
طبق اعلام مایکروسافت : کاربران می توانند با مراجعه به آدرس http://windowsupdate.microsoft.comو یا صفحه اصلی مایکروسافت سیستمهای خود را update نموده و نیز از اطلاعات و patch های محافظ موجود ، استفاده کنند .

اسب تروآ “ GrayBird” ، چهره دیگر Blaster

آزمایشگاه تحقیقاتی sophos چند روز قبل برروی وب سایت اختصاصی خود اعلام کرد که نرم افزار آنتی ویروس خود را بار دیگر update نمود ، چرا که متخصصان این مرکز به یک نوع نرم افزار مخرب اسب تروآ جدید با نام “ Graybird” Trojan برخورد نموده اند .
این اسب تروآ جدید که به منظور بدنام کردن مایکروسافت و شاید جوابی علیه تمهیدات این کمپانی در مبارزه با کرم جدید Blaster بصورت عمدی بوجود آمده است که در قالب یک patch نرم افزاری محافظ علیه Blaster ، مربوط به کمپانی مایکروسافت خود را ارسال می کند .
این مرکز به کاربران توصیه می کند به هیچ عنوان patch های محافظتی ( Security patch ) را که از طریق ایمیل برای آنها ارسال می شود ، باز نکنید ، حتی از منابع شناخته شده و مشهور باشد .
صحیح ترین و قابل اطمینان ترین محل برای دریافت patch های محافظ ، وب سایت اختصاصی کمپانی ها و فروشنده های مربوطه می باشد . همچنین از عمل کردن و یا Forward کردن پیغامهای مشکوکی که به هر شکلی رویدادها و پیشامدهایی را شرح و تفصیل می کنند و به خیال خود ممکن است مفید واقع گردد ، به همکاران و دوستان خود پرهیز کنید .
Graybird در قالب یک patch نرم افزاری متعلق به مایکروسافت می باشد و فقط یک حقه گمراه کننده است برای نفوذ کرم Blaster .
به گفته یکی از متخصصان این مرکز Blaster فقط و فقط یک باور و توهّم خیالی است که با نفوذ به صدها و هزاران سیستم در سراسر دنیا تلاش می کند تا کاربران را به ترس و وحشت گرفتار کند .
هیچوقت کدهای اجرائئ ارسال شده توسط ایمیل را باز نکنید .