پسوندهای بالقوه خطرناک، در سیستم‌عامل ویندوز

اکثر مردم زمانی که نام فایل‌های اجرایی را می‌شنوند، در ذهنشان تنها پسوند .exe شکل می‌گیرد. این در حالی است که در سیستم‌عامل ویندوز پسوند‌های دیگری نیز وجود دارد که باید هنگام اجرای آن‌ها دقت زیادی داشته باشید. چرا که این پسوند‌ها با قابلیت اجرایی‌شان می‌توانند، باعث صدمه زدن به کامپیوتر شما شوند.

در این مقاله پسوندهای بالقوه خطرناکی که شاید اغلبشان را بسیاری از افراد نشناسند، معرفی می‌کنیم.

خوب بد نیست با این سوال شروع کنیم که:

چرا من باید پسوندهای بالقوه خطرناک ویندوز را بشناسم؟

سوال خوبی است. وقتی این پسوندها را بشناسید، زمانی که فایلی به ایمیل شما ارسال شد، می‌دانید که آیا باید آن‌را اجرا کنید یا نه. یا زمانی که در اینترنت مشغول گشت و گذار هستید و می‌خواهید فایلی را دانلود کنید، آگاهانه‌تر تصمیم می‌گیرید. به عنوان مثال آیا می‌دانید محافظ صفحه‌نمایشی(Screen Saver) که از اینترنت دانلود می‌کنید می‌تواند تمامی اطلاعات شما را پاک کند؟

زمانی که با یکی از این پسوندها روبرو می‌شوید باید تمام دقت خود را برای محافظت از سیستم‌تان بکنید. با آنتی‌ویروس قوی و به‌روز آن فایل را اسکن نموده و همچنین از وب‌سایت‌هایی مانند VirusTotal برای اسکن اینکه این فایل‌ها آلوده به بدافزار نباشند استفاده کنید.

بدیهی است که شما همیشه باید آنتی‌ویروس خود را فعال و به‌روز نگه دارید، و این آنتی‌ویروس می‌تواند از شما در مقابل بسیاری از ویروس‌ها محافظت کند، اما به طور قطع دانستن انواع پسوندها در جلوگیری از اتفاقات ناگوار کمک زیادی خواهد نمود.

چرا پسوند یک فایل می‌تواند باعث تهدید شود؟

این پسوندها به دلیل اینکه می‌توانند حاوی یک کد یا دستورات مخرب باشند در دسته خطرناک قرار می‌گیرند. مثلا پسوند exe بالقوه خطرناک است، زیرا با اجرا شدن می‌تواند تقریبا هرکاری روی سیستم شما انجام دهد. ولی فایل‌های صوتی، تصویری مانند عکس‌های JPG و یا موسیقی‌های MP3 به دلیل اینکه نمی‌توانند حاوی کدهای مخرب باشند، خطرناک نیستند.(چندین مورد سواستفاده از این پسوندها نیز گزارش شده، که بیشتر به برنامه‌ی بازکننده این فایل‌ها مربوط بوده. اما این موارد بسیار نادر هستند.)

هدفی که در این مقاله دنبال می‌کنم این است که شما با پسوندهایی که می‌توانند حاوی کدهای مخرب باشند، آشنا شوید. توضیحات و مقدمه کافیست، بریم سراغ اصل ماجرا و پسوندهای بالقوه خطرناک:

برنامه‌ها:

EXE. یک فایل اجرایی، بیشتر برنامه‌های تحت ویندوز با این پسوند ارائه می‌شوند.

PIF. یک فایل حاوی اطلاعات مربوط به برنامه‌های تحت سیستم‌عامل قدیمی MS-DOS. اگرچه فایل‌های PIF نباید حاوی کدهای اجرایی باشند، اما در صورتی که کد اجرایی نیز داشته باشند، ویندوز مشابه فایل EXE با آن‌ها برخورد می‌کند.

Application. یک نصب کننده برنامه که توسط تکنولوژی ClickOnce مایکروسافت تولید شده است.

GADGET. حاوی یک ابزارک صفحه نمایش که توسط مایکروسافت در زمان ویندوز ویستا معرفی شد.

MSI. یک فایل نصب‌کننده‌. این پسوند برای نصب برنامه‌ها استفاده می‌شود.

MSP. یک وصله برای برنامه‌های نصب شده توسط فایل‌های MSI

COM. پسوند اصلی فایل‌های اجرایی تحت MS-DOS

SCR. پسوند مربوط به فایل‌های محافظ صفحه نمایش(Screen Saver) این فایل‌ها می‌توانند حاوی کدهای مخرب باشند.

HTA. یک برنامه HTMLی. HTML زبان اصلی صفحات وب است.ولی این پسوند به جای باز شدن در مرورگر، به صورت مستقل باز می‌شود.

CPL. یک فایل کنترل پنلی. تمامی مواردی که در کنترل پنل ویندوز می‌بینید، فایل‌های CPL هستند.

MSC. یک کنسول برای ابزارهای مایکروسافتی، گروپ پالیسی و برنامه مدیریت دیسک از نمونه‌های این پسوند هستند.

JAR. این فایل‌ها حاوی کدهای اجرایی نوشته شده با زبان برنامه‌نویسی جاوا هستند. اگر JAVA Runtime روی سیستم شما نصب باشد، فایل‌هایی با این پسوند اجرا خواهد شد.

اسکریپت‌ها

BAT. یک فایل حاوی تعدادی دستور، که در صورتی که بر روی آن کلیک کنید اجرا خواهند شد. این پسوند زمان سیستم‌عامل MS-DOS خیلی شایع بود.

CMD. یک فایل مشابه فایل‌های BAT. این پسوند همزمان با ورود ویندوز NT معرفی شد.

VB. و VBS. حاوی VBScript. که در صورت کلیک شدن به اجرا کدهای نوشته شده با زبان ویژوال بیسیک خواهد نمود.

VBE. یک فایل VBScript کد شده. رفتاری شبیه به فایل‌های بالا، اما به دلیل کد شدن، نمی‌توان با خواندن سورس کد متوجه شد که چه کاری انجام می‌دهند.

JS. یک فایل جاوااسکریپت، معمولا این پسوند در صفحات وب استفاده می‌شوند و اگر درون مرورگر اجرا شوند خطر بسیار کمتری دارند. اما ویندوز نیز این فایل‌ها را به طور مستقل می‌تواند اجرا کند.

JSE. یک جاوااسکریپت کد شده.

WS. و WSF. یک اسکریپت ویندوزی.

PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2. اسکریپت‌های پاورشل ویندوز(PoweShell). که تمامی فرامین درون فایل را به ترتیب اجرا می‌کند.

MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML. اسکریپت‌های اجرایی Monad. Monad بعدا به PowerShell تغییر نام یافت.

میانبرها

SCF. یک فایل حاوی دستوراتی برای ویندوز اکسپلورر(Windows Explorer). که می‌تواند فرامین خطرناک را از طریق ویندوز اکسپلورر اجرا کند.

LNK. لینک به یک برنامه بر روی کامپیوتر شما. یک LNK می‌تواند حاوی دستورات خط فرمانی باشد که اقدام به کارهای خرابکارانه‌ای، مثلا پاک نمودن فایل‌های شما کند.

INF. یک فایل متنی که توسط AutoRun استفاده می‌شود. در صورت اجرا شدن می‌تواند یک فایل مخرب را فراخوانی نماید.

سایر

REG. یک فایل مربوط به ریجستری ویندوز. یک فایل REG می‌تواند مقادیری را به ریجستری(قلب ویندوز شما) اضافه و یا کم کند، مقادیری را عوض کند و یا حتی باعث اجرای کدهای مخرب شود.

ماکروها

DOC, .XLS, .PPT. فایل‌های مربوط به مایکروسافت آفیس که می‌توانند آلوده به ماکروهای خطرناک باشند.

DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM. پسوندهای جدیدی که با ورود آفیس ۲۰۰۷ معرفی شدند. M انتهای این پسوندها نشانگر حاوی ماکرو بودن این فایل‌هاست. به عنوان مثال DOCX حاوی ماکرو نیست ولی DOCM حاوی ماکرو می‌باشد.(ماکرو قطعه کد کوچکی که می‌تواند حاوی دستوراتی باشد که برای خرابکاری نوشته شده باشند.)

سعی کردم که لیستی کامل ارائه کنم، ولی توجه داشته باشید که فقط پسوندهای موجود در این مقاله بالقوه خطرناک نیستند. پسوندهای دیگری نیز وجود دارد که اگرچه جزو پسوندهای اجرایی نیستند ولی می‌توانند حاوی کدهایی باشند که به سیستم شما آسیب بزنند. به عنوان مثال فایل‌های PDF.

اما لیست بالا حاوی پسوندهایی است که عملا نمی‌توانید آن‌ها را ایمن کنید. این پسوندها ساخته شده‌اند برای اینکه تعدادی دستور و فرمان را اجرا کنند.

ضمنا این نکته را هم بدانید که اگرچه دانستن این پسوندها کمک زیادی به امنیت شما می‌کند ولی صرفا دانستن آن‌ها کافی نیست. یک آسیب‌پذیری در سیستم‌عامل ویندوز به مهاجمین سایبری اجازه‌ی اجرای فایل‌های اجرایی را با پسوندهای دیگری می‌دهد.