ويروس ها هر روز در اينترنت بيشتر و بيشتر مي شوند. ولي تعداد شركت هاي آنتي ويروس ثابت است .پس ما بايد براي حفاظت از سيستم خود دست به كار شويم .

در اين سلسله مقالات سعي داريم كه نحوه مقابله با ويروس ها و همين تور بيوگرافي ويروس ها و نحوه مقابله با هر ويروس را آموزش بدهيم.

از نظر مردم عادي به هر برنامه اي كه در سيستم عامل اختلالات ايجاد كند ويروس است ولي بايد بدانيد كه خود ويروس ها بنا به كارها و امكاناتي كه دارند تقسيم بندي مي شوند. ويروس ها مثل ساير برنامه ها هستند . كساني كه ويروس را مي نويسند هم از همين برنامه هاي عادي برنامه نويسي استفاده مي كنند . اين برنامه ها دقيقا مثل چاقو مي ماند كه هم مي شود استفاده درست كرد هم نادرست.

:
در يك هفته پاييزي در سال 1988 بعد از چندين دهه ترس از بمباران آمريكا توسط روسيه تمام نگراني ها با از بين رفتن حكومت كمونيستي از بين رفت.

در اين زمان با كم شدن نگراني مردم نسبت به روسيه ترسي ديگر جايگزين آن گرديد در دوم نوامبر 1988 يك ويروس كامپيوتري در آمريكا سبب از كار افتادن كامپيوترها در مراكز حساس از جمله Lawrence Livermore Labs , MIT و ... گرديد .

اين حمله ناگهاني به مراكز علمي و ارتشي شروعي براي يك ترس عمومي جديد گرديد در سالهاي 1940 تا 1988 پناهگاه هاي زيادي به منظور استفاده مردم در هنگام جنگ اتمي ساخته شد ولي در پايان دهه 80 ميلادي اين پناهگاه ها به انبارهايي براي استفاده در مواقع اضطراري Y2K تبديل شدند بلكه زماني مورد استفاده قرار بگيرند!!

تا دهد 80 ميلادي كامپيوتر ها تنها در اختيار دولت، مراكز حساس علمي و ... بود ولي از سال 1980 تا 1985 ميلادي با كوچكتر شدن كامپيوترها و تهيه آسان آن توسط عموم مردم استفاده آن گسترش پيدا كرد.

شبكه ها – كامپيوترهاي متصل به يكديگر - نيز گام بلندي در اول دهه 80 بود در اين سالها استفاده از مودمها به منظور بر قراري ارتباط BBS با ديگر كامپيوتر ها رواج فراواني يافت و ...

ويروسها نيز در شبكه هاي كامپيوتري به روشهاي گوناگون از جمله E-Mail ,Trojan Horse هك كردن و ... از كامپيوتري به كامپيوتر ديگر انتقال مي يابند.

ويروس ها به 2 شكل تقسيم بندي مي شوند :

گروه اندكي بر اين باور هستند كه اولين و ابتدايي ترين خصوصيت ويروسهاي كامپيوتري هجوم به يك برنامه مانند ايجاد نوعي پارازيت است (بدين ترتيب نمي توان Melissa را در گروه ويروسها قرار داد).

1-ويروس هاي مركب (ويروس هاي چند وجهي)

2-ويروس هاي ساده

ويروس هاي ساده آن دسته از ويروس ها هستند كه ساده و به صورت تك فايلي بوده و فقط يك كار انجام مي دهند. اما ويروس هاي از تركيب چند ويروس در هم مي باشند و قادر خواهند بود چندين فعاليت را همزمان انجام بدهند كه اين امر سبب پيچيدگي كار ويروس خواهد شد

تقسيم بندي ريزتري از ساختمان ويروس ها و حوضه فعاليت آنها :
در ابتدا بايد ياد بگيريد كه هر ويروسي فقط ويروس نگوييد بلكه بتوانيد آن را شناخته و در يكي از دسته هاي زير جا داده و بنا به خصوصيات آن را بناميد.

1- Trojan Horse

2- Worm

3- Bomb

همان طور كه در بالا مشاهده مي كنيد كل ويروس ها را مي شود در 3 دسته تقسيم كرد كه ما به اختصار درباره هر كدام توضيح مي دهيم . به علت حساس بودن دسته كرم ها يا همان Worm ما از اين دسته توضيحات مان را شروع مي كنيم .

Worms

اولين و مشهورترين ويروس يك Worm مي باشد كه به طور تصادفي در 2 نوامبر 1988 وارد شبكه گرديد. طبق ادعاي طراح آن هدف از اين كار تنها اثبات كردن ضعف سيستم امنيتي كامپيوترها بوده است. اينترنت در سال 1988 دوران كودكي خود را طي مي كرد و تنها در اختيار محدودي از دانشگاه موسسات تحقيقاتي دولتي مانند NASA و آزمايشگاههاي بين المللي مانند Los Alamos بود . با وجود اينترنت بسيار محدود آن زمان خبر از كار افتادن اين مغزهاي كامپيوتري در MIT و Berkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بيش از 3000 كامپيوتر در مهمترين مراكز آمريكا از كار افتاده و خسارت وارد بر آنها در حدود 100 ميليون دلار بر آورد گرديد.

Worm ها زير مجموعه اي از ويروسهاي كامپيوتري مي باشند كه بر خلاف ديگر ويروسها از جمله Melissa كه خود را به صورت E-Mail براي كاربران اينترنتي مي فرستد سيستم كامپيوتر را سوراخ كرده و به طرف مغز كامپيوتر پيش مي روند يكي از خصوصيات بارز Wormها توانايي پنهان شدن درون سيستم بوده بطوريكه قابل ردگيري نمي باشند اين Worm ها مانند ويروسهايي مي باشند كه خود را در اعصاب ستون فقرات پنهان كردن و گاه و بي گاه دردهاي شديدي را توليد مي كنند. و اما Worm هاي مفيد : در ميان انواع Worm ها كرمهاي مفيدي نيز طي ساليان متمادي به منظور چك كردن كارايي سيستم و ... مورد استفاده قرار گرفته اند.
اين Worm ها Agent ناميده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتي در مورد كاركرد شبكه يا حتي محلي را كه مي توان ارزانترين DVD را خريداري نمود به كاربر اعلام مي دارند از تفاوتهاي بارز ميان Agent و Worm مي توان به اين مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثير نكرده و درون سيستمهاي كاربران نفوذ نمي كند.

تاريخچه اولين Worm :

اين Worm كه توسط Robert Tappan Morris طراحي شد به RTM مشهور گرديد . Morris بعد از اتمام دوره ليسانس خود در پاييز سال 1988 از دانشگاه خارج و به برنامه نويسي كامپيوتر روي آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصيل گرديد و بدين ترتيب از امكانات كامپيوتري و اينترنتي دانشگاه بهره مند شد . وي در اكتبر سال 1988 برنامه اي را به منظور پي بردن به نقاط ضعف سيستمهاي اينترنتي و امنيتي كامپيوتر طراحي كرد . نحوه كار اين برنامه بدين ترتيب بود كه پس از رها شدن آن در اينترنت سريعاً و بدون جلب هيچ گونه توجهي پخش مي گشت (طبق اظهارات وكيل مدافع موريس).

موريس به منظور جلوگيري از مشخص شدن هويت خود پس از اتمام برنامه آن را از طريق كامپيوترهاي دانشگاه MIT وارد شبكه كرد. يكي از خصوصيات اين ويروس اضافه كردن يك شمارنده به برنامه بود. بدين ترتيب در صورتيكه اين برنامه حداكثر تا 6 بار يك كپي از خود را در كامپيوتر پيدا مي كرد تكثير نشده و در هفتمين بار اين برنامه پس از تكثير و نفوذ به كامپيوتر آن را مورد هجوم قرار مي داد. اين برنامه ضميمه يك اشتباه بسيار مهلك بود!! كامپيوترهايي كه در سال 1988 به اينترنت متصل مي شدند به طور ميانگين هر 10 روز يكبار خاموش شده و دوباره راه اندازي مي گشتند از آنجا كه برنامه موريس در كامپيوتر ذخيره نمي شد اين خصوصيت سوپاپ اطميناني گشت تا به هر بار خاموش شدن كامپيوتر برنامه به طور خودكار از ميان برود. با اين حال از آنجايي كه تمام كامپيوترهاي متصل به اينترنت به طور همزمان خاموش نمي شدند اين Worm مي توانست دوباره برگشته و در آنجا مقيم گردد. طبق اين نظريه موريس، تعداد Worm ها همواره داراي يك تعادل بوده و مشكل خاصي را در كامپيوتر سبب نمي شدند. و اما ايراد برنامه موريس در اين بود كه اين Worm بسيار سريعتر از انتظار موريس تكثير مي يافت در كمتر از چند ساعت بعد از آزاد سازي آن هزاران كامپيوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازي worm در 6ام نوامبر همه چيز به حالت عادي خود برگشت در روز 12 توامبر سرانجام E-Mail هايي كه موريس در آنها طرز خنثي كردن Wrom را توضيح داده بود به مقاصد خود رسيده و مردم از نحوه خنثي سازي Worm آگاهي يافتند.

نرم افزار هاى ضد ويروس

با استفاده از نرم افزارهاى ضد ويروس ، امكان شناسايى و بلاك نمودن ويروس ها قبل از آسيب رساندن به سيستم فراهم مى شود . با نصب اين نوع نرم افزارها بر روى سيستم خود يك سطح حفاظتى مناسب در خصوص ايمن سازى كامپيوتر و اطلاعات موجود بر روى آن ايجاد خواهد شد . به منظور استمرار سطح حفاظتى ايجاد شده ، مى بايست نرم افزارهاى ضدويروس به طور دائم بهنگام شده تا امكان شناسايى ويروس هاى جديد ، وجود داشته باشد.
اما سئوال اين جاست كه نرم افزارهاى ضد ويروس ، چگونه كار مى كنند؟
جزييات عملكرد هر يك از برنامه هاى ضد ويروس با توجه به نوع هر يك از نرم افزارهاى موجود ، متفاوت است . اينگونه نرم افزارها فايل هاى موجود بر روى كامپيوتر و يا حافظه كامپيوتر شما را به منظور وجود الگوهايى خاص كه مى توانند باعث ايجاد آلودگى شوند را پويش مى دهند . برنامه هاى ضد ويروس به دنبال الگوهايى مبتنى بر علائم خاص ، تعاريفى خاص و يا ويروس هاى شناخته شده ، مى گردند . نويسندگان ويروس هاى كامپيوترى همواره اقدام به نوشتن ويروس هاى جديد نموده و ويروس هاى نوشته شده قبلى خود را بهنگام مى نمايند . بنابراين لازم است كه همواره بانك اطلاعاتى شامل تعاريف و الگوهاى ويروس هاى كامپيوترى مربوط به نرم افزار ، بهنگام شود. پس از نصب يك نرم افزار آنتى ويروس بر روى كامپيوتر خود ، مى توان عمليات پويش و بررسى سيستم به منظور آگاهى از وجود ويروس را در مقاطع زمانى مشخص و به صورت ادوارى انجام داد . در اين رابطه مى توان از دو گزينه متفاوت استفاده نمود :
• پويش اتوماتيك : برخى از برنامه هاى ضد ويروس داراى پتانسيلى به منظور پويش اتوماتيك فايل ها و يا فولدرهايى خاص و در يك محدوده زمانى مشخص شده ، هستند.
•پويش دستى : پيشنهاد مى شود ، پس از دريافت هرگونه فايلى از منابع خارجى و قبل از فعال نمودن و استفاده از آن ، عمليات بررسى و پويش آن به منظور شناسايى ويروس صورت پذيرد . بدين منظور عمليات زير توصيه مى گردد :
- ذخيره و پويش ضمائم نامه هاى الكترونيكى و يا نرم افزارهايى كه از طريق اينترنت Download مى نماييد (هرگز ضمائم نامه هاى الكترونيكى را مستقيماً و بدون بررسى آن توسط يك برنامه ضد ويروس ، فعال ننماييد ).
- بررسى فلاپى ديسك ها ، CD و يا DVD به منظور يافتن ويروس بر روى آنان قبل از باز نمودن هر گونه فايلى.

• نحوه برخورد نرم افزار ضدويروس با يك ويروس
نرم افزارهاى ضد ويروس به منظور برخورد با يك ويروس از روش هاى متفاوتى استفاده مى كنند . روش استفاده شده مى تواند با توجه به مكانيسم پويش (دستى و يا اتوماتيك) نيز متفاوت باشد. در برخى موارد ممكن است نرم افزار مربوطه با ارائه يك جعبه محاوره اى ، يافتن يك ويروس را به اطلاع شما رسانده و به منظور برخورد با آن از شما كسب تكليف نمايد . در برخى حالات ديگر ، نرم افزار ضدويروس ممكن است بدون اعلام به شما اقدام به حذف ويروس نمايد. در زمان انتخاب يك نرم افزار ضد ويروس ، لازم است به ويژگى هاى ارائه شده و ميزان انطباق آنان با انتظارات موجود ، بررسى كارشناسى صورت پذيرد.

• از كدام نرم افزار بايد استفاده كرد
توليدكنندگان متعددى اقدام به طراحى و پياده سازى نرم افزارهاى آنتى ويروس مى نمايند. عملكرد اين نوع نرم افزارها مشابه يكديگر است . به منظور انتخاب يك نرم افزار ضد ويروس مى توان پارامترهاى متعددى نظير ويژگى هاى ارائه شده توسط نرم افزار، قيمت و ميزان انطباق آنان با خواسته هاى موجود را بررسى نمود . نصب هر نوع نرم افزار ضد ويروس (صرفنظر از نرم افزار انتخاب شده) ،باعث افزايش حفاظت شما در مقابل ويروس ها مى شود. برخى از پيام هاى ارسالى كه ادعا مى كنند شامل نرم افزارهاى ضدويروس بوده و يا اينگونه نرم افزارها را به شما معرفى مى نمايند، خود به منزله يك ويروس بوده و مى بايست دقت لازم در خصوص بازنمودن آنان و ضمائم مربوطه را داشته باشيم .
با تمام اين توضيحات چگونه مى توان از آخرين اخبار و اطلاعات مربوط به ويروس ها ، آگاهى يافت كه در پاسخ بايد گفت، فرآيند بهنگام سازى در هر نرم افزار ضدويروس متفاوت بوده و مى بايست در زمان انتخاب اينگونه نرم افزارها، پتانسيل آنان در خصوص بهنگام سازى بانك اطلاعاتى تعاريف الگوها ، بررسى شود . تعداد زيادى از نرم افزارهاى ضد ويروس داراى گزينه اى به منظور بهنگام سازى اتوماتيك ، هستند. استفاده از پتانسيل فوق با توجه ايجاد ويروس هاى جديد ، امرى لازم و اجتناب ناپذير است.
نصب يك نرم افزار ضد ويروس ، يكى از ساده ترين و در عين حال موثرترين روش هاى حفاظت از كامپيوتر است . آيا صرفاً با يك نصب همه چيز تمام شده و ما همواره داراى ايمنى لازم و حفاظت مطلوب خواهيم بود؟ پاسخ به سئوال فوق قطعاً منفى بوده و اين نوع نرم افزارها داراى محدوديت هاى خاص خود نيز هستند. نرم افزارهاى ضد ويروس به منظور شناسايى و برخورد با ويروس ها از الگوهاى شناخته شده ، استفاده مى نمايند . بنابراين طبيعى است كه اينگونه نرم افزارها صرفاً قادر به شناسايى و برخورد با ويروس هايى هستند كه قبلاً الگوى آنان براى نرم افزار معرفى شده باشد . به منظور حفظ اقتدار نرم افزارهاى ضد ويروس و كمك به آنان در جهت شناسايى و برخورد با ويروس هاى جديد ، مى بايست فرآيند بهنگام سازى آنان به طور مداوم و در محدوده هاى زمانى مشخص ، تكرار گردد

ويروسها چگونه پخش مي شوند :

راه هاي بسيار زيادي براي انتقال ويروسها موجود مي باشد كه يكي از آنها روش زير مي باشد :

1) يك ديسك فلاپي كه داراي بوت سكتور ويروسي مي باشد را درون كامپيوتر قرار داده و كامپيوتر را خاموش مي كنيد

2) هنگامي كه كامپيوتر را دوباره روشن مي كنيد ديسك هنوز در درايو A: موجود مي باشد پس بوت سكتور ويروس آن فعال مي گردد

3) ويروس يك كپي از خود را درون بوت سكتور هارد كامپيوتر ذخيره كرده بدين ترتيب ديگر هيچ نيازي به وجود ديسك نخواهد بود!!

4) هر بار كه ديسكتي را درون درايو A: قرار مي دهيد ويروس در بوت سكتور ديسكت كپي مي گردد.

5) سرانجام اين ديسكت را به دوست يا همكار خود غرض مي دهيد.

6) اين چرخه از كامپوتري به كامپيوتر ديگر ادامه پيدا كرده و ...

البته نياز به يادآوري نيست كه مطالب فوق تنها جهت كسب اطلاع و آشنايي شما با پخش ويروس ها است. از اين رو از بكار بردن آن بطور عملي جداً خود داري كنيد. زيرا ممكن است علاوه بر آسيب رسيدن به سيستم خودتان ديگران را نيز با مشكل مواجه كنيد.



نكته : مواظب Autorun سي دي ها باشيد چون آنها هم مثل بوت سكتور فلاپي عمل مي كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشويد براي حل اين مشكل هنگامي كه Cd را در درايو قرار داديد براي اجرا نشدن Autorun بايد كليد Shift را پايين نگه داريد تا اجرا نشود بعد Cd را با يك آنتي ويروس اسكن كنيد.

نحوه مخفي شدن ويروسها و نحوه اطلاع ما از وجود ويروس :

ويروس كامپيوتري معمولاً برنامه اي كوتاه مي باشند كه خود را ضميمه يك برنامه ديگر مثلاً پردازشگر Word مي كند . رفتار اين ويروسهاي كامپيوتري كاملاً شبيه به ويروس آنفولانزا است، كه پس از وارد شدن به بدن شروع به تكثير كرده و در صورت نبودن مراقبت لازم سيستم دفاعي بدن را از كار مي اندازد .

حجم يك ويروس كامپيوتري مي تواند تنها 90 بايت بوده كه حتي از طول اين پاراگراف كه با احتساب فضاي خالي تنها 191 بايت مي باشد كوتاه تر است با اين حال ميانگين اندازه اين ويروسها برابر 2000 كاراكتر مي باشد.

هنگامي كه يك ويروس خود را به برنامه ديگري اضافه مي كند در حقيقت سبب مي شود تا آن برنامه افزايش حجم پيدا كند از آنجا كه اين برنامه ها خود به خود حجيم نمي شوند پس مي توان يكي از راههاي از بين بردن اين ويروسها يا پي بردن به وجود آنها را در كامپيوتر از طريق همين برنامه هاي حجيم شده تشخيص داد.

تمام اين ويروسها داراي سه مشخصه اساسي زير مي باشند :

1- روشي براي تكثير و پخش خود در ديگر كامپيوترها.

2- انجام دادن عملياتي خاص در كامپيوتر (مثلا در تاريخي مشخص).

3- از كار افتادن برنامه پس از انجام عملياتي خاص از قبيل نمايش يك پيغام كاملا بي ضرر مانند "Free Frodo" تا از بين بردن تمام محتويات هارد.

ويروسها بر حسب نحوه ورود به كامپيوتر به دو گروه مقدماتي تقسيم مي شوند. گروه اول برنامه هايي هستند كه داراي پسوندهاي .EXE ,.SYS ,و يا COM بوده و مي توانند از طريق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طريق ديگر برنامه هاي فرعي وارد كامپيوتر شده و يكي از اهداف آنها آسيب رساندن به بوت سكتورها (Boot Sector) است. هر ديسك از چند هارد درايو و يك بوت سكتور كه برنامه هاي اجرايي كامپيوتر را در بر مي گيرد تشكيل شده است و ويروسها به راحتي مي توانند در اين مكانها ذخيره شوند.

ويروسي كه در يك برنامه پنهان شده است با هر بار اجراي برنامه راه اندازي مي شود بطور مثال اگر ويروس همراه برنامه Word شما باشد با هر بار استفاده ،ويروس موجود در آن راه اندازي مي شود. در صورتيكه ويروس هايي كه درون بوت سكتورها ذخيره شده باشند با هر بار روشن شدن كامپيوتر فعال مي شوند فرض كنيد يك ديسك را قبل از روشن كردن كامپيوتر درون درايو A: قرار داده ايد با روشن كردن دستگاه بوت سكتور موجود در ديسك فعال شده و از طريق كامپيوتر خوانده مي شود (همراه با ويروس موجود در آن).همچنين در صورتيكه هيچ ديسكتي درون درايو A: نباشد بوت سكتور موجود در درايو C: (همراه با ويروس موجود در آن)فعال مي گردد.

يك ويروس ممكن است پس از فعال سازي درون حافظه RAM نفوذ كرده و به ديگر برنامه ها سرايت كند به طور مثال تعداد دفعات راه اندازي خود را محاسبه كرده و در صورتيكه اين تعداد به رقم 100 رسيد تمام اطلاعات كامپيوتر را پاك كند يا ممكن است حافظه RAM را از طريق تكثير خود پر كرده و سرعت عملياتي كامپيوتر را تا حد بالايي پايين بياورد(اين گروه از ويروسها كرم ناميده مي شوند).

تاريخچه Love Bug سريعترين ويروس منتشر شده :

بعد از Melissa در چهارم ماه مي سال 2000 ويروس Love Bug توانست از طريق شركت خدماتي Sky Internet وارد شبكه شده و عنوان سريعترين انتشار را از آن خود بكند( البته اين دو ويروس جز زير مجموعه كرم ها Wormمي باشند)

Love Bug از آن جهت موفق شد كه داراي زيركي خاص Social Engineering بود. اين ويروس همانند Melissa خود را از طريق كامپيوتر يك دوست ارسال كرده با اين تفاوت كه در قسمت Subject آن عبارت اغوا كننده ILOVEYOU تايپ شده و چشم پوشي از آن تا حدي غير ممكن مي نمود البته درون E-Mail نيز تا حدودي گمراه كننده بود و به راحتي سبب فريفتن كاربر مي گشت :

“ Kindly check the attached LOVELETTER coming from me”

LOVE – LETTER – FOR – YOU.TXT.vbs

اين پيام داراي دو نكته بسيار گمراه كننده مي باشد :.اول: استفاده از كلمه فريبنده LOVE و ديگري استفاده از پسوند .TXT با حرف درشت بود زيرا همانطور كه همه مي دانيد پسوند .TXT كاملا بي ضرر بوده و تنها با Notepad باز مي گردد

پسوند حقيقي اين فايل .vbs بوده و تنها افراد ماهر مي دانند كه اين پسوند مربوط به Visual Basic Script مي باشد و نشانگر برنامه بودن فايل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط مي باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخريب بسيار بالايي نيز برخوردار بوده و طبق يك برايند توانست در حدود 300 ميليون كامپيوتر را مورد تجاوز خود قرار داده و خسارتي معادل 3 تا 10 ميليارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هيچ گونه آسيبي به فايلهاي .DOC نرسانده بلكه فعاليت خود را متوجه فايلهاي با پسوند .MP3 ,.JPG,.CSS,.WSH,.VBS,.SCR,.HTA,.MP2 نمود.

نحوه كار Love Bug بدين ترتيب بود كه پس از تغييرات اندكي در Registery آن را جستجو كرده و در صورت يافتن هرگونه رمز عبوري فعال آن را به آدرسي در فيليپين ارسال (ديگر وجود ندارد) كرده و سپس چندين كپي از خود را به تمام آدرسهاي موجود در Outlook Express مي فرستاد پس از آن ابتدا Home Page اينترنت كاربر را Resetكرده و پس از آن تمام فايلهاي با پسوند ذكر شده را پاك و در عوض يك كپي از خود را در جاي آنها قرار مي داد.

لغات آسيب رسان نيستند:

تا چند سال پيش خواندن E-Mail يا يك فايل .DOC برنامه Word كاملاً بي خطر بوده و نيز مطمئن بوديد كه هيچ آسيبي متوجه شما نخواهد بود.در حاليكه اكنون فايلهاي اطلاعاتي نظير Excel , Word و ... نيز توانايي حمل و انتقال برنامه را داشته و عمليات معيني را براي كامپيوتر تعريف مي كنند . ويروسها نيز چيزي غير از برنامه ها ولي با اهداف غير اخلاقي نمي باشند. در حال حاضر براي اجراي برنامه ها نيازي به پسوند .EXE نداريد. تنها فعل خواندن يك فايل .DOC نيز مي تواند ويروسي را وارد كامپيوتر كرده و فعال كند. يكي از انواع برنامه هايي كه درون فايل .Doc قرار مي گيرد Macro ها مي باشند تمام برنامه هاي اصلي مايكروسافت از جمله Word , Excel , Access با زبان VBA كه همان زبان Macro ها مي باشد نوشته مي شوند .

آيا E-Mail هاي معمولي خطرناك هستند؟

همانطور كه مي دانيد يكي از راههاي جلوگيري از ورود ويروسهايي مانند Melissa به كامپيوتر باز نكردن فايلهاي ضميمه E-Mail هايي مي باشد كه انتظار آنها را نداريم اما آيا باز كردن E-MAIL هايي كه هيچ فايل ضميمه ندارند نيز خطرناك مي باشد؟

متاسفانه بله . در حقيقت مشكل همان اسكريپت ها مي باشند. اسكريپتها برنامه هاي كوچكي مانند Macro ها هستند كه توانايي بسيار اندكي دارند . به عنوان مثال بر خلاف Macro و ديگر زبانهاي كامپيوتري زبان اسكريپت قدرت پاك كردن فايلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسيار معروف مي باشند كه در هيچ كدام از آن دو فرمانهايي كه بتواند به كامپيوتر خسارت بزند وجود ندارد با اينكه اين زبانها خود به تنهايي نمي توانند هدف خاصي را درون خود قرار دهند پس نصيحت من به شما اين مي باشد كه هرگز از دست افراد غريبه سيبي را دريافت نكنيد!!!

تكنيك Mata Hari : تله گذاري

يك تكنيك جالب استفاده شده در آنتي ويروس ها فرستادن يك برنامه درون كامپيوتر و جلب كردن توجه ويروسها مي باشد اين برنامه شرايط نفوذ ويروسها را در خود فراهم كرده و با بررسي مداوم برنامه از لحاظ افزايش حجم و ... به نفوذ برنامه ويروس پي مي برد.


همانطور كه مي دانيد بعضي از فايلها داراي پسوند .EXE مي باشند .EXE مربوط به فايلهاي اجرايي مانند Winword.EXE مي باشد كه تنها كاربردشان اجرا كردن برنامه ها مي باشد يكي از راههاي شناسايي ويروسها جستجو كردن فعاليتهاي غير عادي درون كامپيوتر مي باشد يكي از اين فعاليتها باز كردن و خواندن بوت سكتور و كپي كردن چيزهاي جديد بر روي آها و فايلهاي .EXE مي باشد كه همگي جز فعاليتهايي غير عادي تلقي مي شوند

ويروس ، كرم و اسب تروا از الف تا ي







اين روزها سخت به نظر مي رسد كه هفته اي را بدون ويروس هاي رايانه اي در صدر اخبار رايانه به سر كنيم.
شيوع كرم اسلامر روي ايسكوئل و نيز سوبيگ در زمستان سال گذشته و به دنبال آن شبه كرم بلاستر در تابستان -گرافيك وار - حاكي از اين نمود است كه چگونه طبيعت اين نوع حملات مدام در حال افزايش است.
اين داستان همچنين نشانگر آن است كه اگرچه ويروس ها عمري فراتر از 20 سال دارند، اما كاربران رايانه اي هنوز قادر نيستند درباره اين موضوع كه براي مقاومت در برابر هر نوع آلودگي به اندازه كافي ايمن هستند، اظهارنظر كنند.
در واقع ، دنياي رايانه هفته ها و ماهها با هشدارهاي جدي درباره كشف حفره ها مواجه شده و با آن دست و پنجه نرم مي كند، تا اين كه ناگهاني دست و پايش زير چنگال پرمو و ناخن ويروس ها خرد مي شود و شركتها و كاربران سراسر دنيا تحت تاثير آن در اندوه و ترس فرومي روند.
باوجود اين كه ويروس كدهايي در خود دارد. كه با نيات ناهنجار و بعضا پليد نوشته شده ، در سال 2003 بسياري از اين موضوع بي خبر بودند كه نسل جديد ويروس ها كه با ويروس نويسان در خدمت سازمان هاي مافيايي نوشته مي شوند، ظهور مي كنند و دست به سرقت اطلاعات در سطح وسيع مي زنند.
كرم سوبيگ اثبات كرد مثلا ارسال كنندگان اسپم (اسپمرها) پشت سر قضيه هستند، تا با حمله به صندوق پستي الكترونيك كاربران و سرورها اطلاعات كاربر را به سرقت ببرند و بعد ميلياردها هرزنامه و پيام ناخواسته را وارد صندوق ايميل ها كنند.
سوال اصلي كه امروزه مطرح مي شود، تنها اين نيست كه من چگونه مي توانم خود يا سازمانم را در برابر ويروس ها محافظت كنم ، بلكه سوال اين است كه ضربه خوردن و بهبود از آن چه هزينه اي در بر دارد.
در اين راستا ريشه يابي ويروس ها كمك خوبي مي كند، تا چاره جويي مناسبي براي مقابله با آن انديشيده شود

ريشه ويروس ها

شگفت انگيز اين كه اولين بحث درباره ويروس هاي رايانه اي ، به وسيله دانشمنداني انجام شد كه روي برنامه هاي خود پاسخگو تحقيق و سعي مي كردند براي آن مبنايي علمي تهيه كنند.
واژه ويروس رايانه اي همه نوع كدهاي بدانديش و مخرب را در بر گرفت ، كه حالا آنها را در 3 فرم ويروس (Virus)، اسب تروا (Trojan) و كرمها (Worms) مي شناسيم.
يك ويروس (Virus) برنامه اي است كه بدون رضايت روي سيستم اجرا شده و با نيت آلوده كردن ديگر سيستم ها و رايانه ها بخصوص حمله با كدهاي مخرب روي برنامه هايي با پسوند com و exe و c. عمل مي كند.
كرمها (Worms) نيز شبيه ويروس هستند، كه به طور خودگردان و خودكار روي شبكه ها و از جمله اينترنت مي چرخند و اغلب آنها از طريق ايميل منتشر مي شوند و مي توانند با سوءاستفاده از باگ روي برنامه ها شيوع پيدا كنند.
اسب تروا (Trojan) در نهايت پنهان كاري و با چراغ خاموش وارد سيستم مي شود. ترواها به صورت خودگردان منتشر نمي شوند. ابتدا به صورت يك برنامه بي ضرر خود را نشان مي دهند و از صاحب سيستم اجازه كليك كردن مي گيرند. يك ضميمه ايميل ، همراه با يك كرم ، يا دانلود شدن مخفي روي سيستم روشهاي ورود تروا به رايانه است.
در سال 1981 اولين ويروس رايانه اي روي مكينتاش اپل با نام Virus1 و بعد 2 و 3 و روي بازي رايانه اي پخش شد; اما اكثر كارشناسان مي گويند كه اولين ويروس روي پي سي ها در سال 1986 به وجود آمد.
كاربرد داس و فلاپي ديسك براي حمل ونقل اطلاعات ، ويروس Brain را كه از سوي دو برنامه نويس در پاكستان ابداع شد در سطح وسيع پخش كرد. در ظاهر اين ويروس كپي رايت را نمي شكست ، اما وقتي اجرا مي شد از طريق فلاپي ديسك به داس دست مي يافت و فايلهاي اجرايي exe. را آلوده مي كرد. در سال poly morphic engine 1992 آمد.
اين بخشي از نرم افزار بود كه باعث مخفي شدن ويروس ها مي شد، چرا كه ويروس از اين برنامه به صورت مصالحه جويانه بهره مي برد; مثلا ويروس TPE در يكم دسامبر 1992 از سوي يك هلندي با حجم 3 هزار بايت نوشته شد.
نام مستعار ويروس Girafe بود كه بعدها ويروس بتهوون ، بوسينا و Civilwarvv1 از روي آن ساخته شد. شعاع عملياتي اين ويروس در حد فلاپي ديسك بود، كه فايل com. را آلوده مي كرد و مجددا روي آن مي نوشت.
در همين سال ، ويروس هاي متنوعي مانند psmpc،G2،IVP كه از نمونه هاي قبلي كاملا متمايز بودند و در سطحي وسيعتر عمل مي كردند نيز آمد.
اواخر سال 1994 سيستم عاملهاي ويندوز و اپليكيشن هاي مرتبط با آن ، استاندارد و تحت officemacro و VBSو(Visual Basic script) ظاهر شدند و از داس به روي ويندوز پريدند.
فلاپي هاراه انتشار ويروس بودند، اما از سال 1998 اولين نقل و انتقال ويروسي از طريق اينترنت با كرم Morris عملي شد.
متعاقب آن استفاده از شبكه ها و از جمله اينترنت از سوي كاربران منجر به شيوع انفجارآميز ويروس هاي رايانه اي شد.
اولين و خطرناك ترين حمله ويروسي را مي توان با ويروس Meeisa از ساير داستانها در سال 1991 متمايز كرد. نمونه VBS (وي بي اسكرپيستي ) آن را مي توان در كرم I Love You در سال 2000 ديد.
بنابراين نام اين متعيرها ناشي از حركت انساني مانند بازكردن ضميمه ايميل به صورت تير خلاص به سيستم شد و بسرعت شيوع يافت.
در سال 2001، دومين نسل حملات ويروسي و رايانه اي را با code Red، نيمدا و swem ديديم. اين كرمها با اينترنت فعال و پخش شدند. ويژگي اين نسل استفاده از باگهاي برنامه اي براي شيوع خود روي اينترنت و شبكه هاي محلي بود.
به عنوان مثال ، آتلوك مايكروسافت با هزاران حفره داخل خود تقريبا حركت انساني را در درجه دوم اهميت قرار داد و حفره هايش باعث ورود هزاران ويروس و كرم در سطح ويندوز شد.
هدف گيري براي هويت كاربران به صورت خودكار درآمد و بسياري از كرمها نظير swem تلاش كردند، تا ابتدا به ساكن فايروال هاو برنامه هاي ضدويروس را از كار بيندازند.
همه اين اتفاقات درون ديگي داغ به نام اينترنت رخ مي داد، كه هر بار هم خوردن آن رشد سرسام آور قربانيان و سيستم هاي آلوده را به همراه داشت...

براي كارشناسان رايانه سال 2002 به اندازه تمام سالهاي پشت سر گذاشته شده پرويروس بود.
تقريبا هر ماه هزار ويروس جديد و بعضا در سطح بالاي تخريب ، نظام شبكه اي در جهان را به خطر انداخت.
تلاش شركتهاي ضدويروس با اين پديده جديد به نحوي ظهور يافت كه با ويروس هاي مشتق شده از نسخه هاي اصلي مبارزه خوبي انجام داد و از پس ساير كرمها و ترواها نيز تقريبا سربلند بيرون آمد.
البته اين سربلندي هميشه پس از وقوع حادثه و آلوده شدن سيستم ها رخ داد و ميلياردها دلار خسارت به شركتهاي كوچك و بزرگ را ناديده گرفت.
شركتهاي مطلع تر با به روز كردن سيستم هاي خود با انواع ضدويروس ها و فايروال ها با تهديداتي نظير Klez و Magistr و به مبارزه برخاستند. پيش تر سال 2001 در ميان دانشمندان IT به عنوان بدترين سال ويروسي لقب گرفته بود.
اما وقتي سال 2002 و ويروس هايش آمد، تقريبا شوك بزرگي را به همگان وارد كرد و حوادث سال 2001 را از ياد برد و بعد در ژانويه 2003 كارشناسان فنلاندي هشدار دادند كه سال جديد بدترين سال خواهد شد و ترس بزرگي در دل همگان ايجاد كردند.
پيشگويي فنلاندي ها درست از آب درآمد و مطابق گزارش سيمانتك از ژانويه تا ژوئن 2003 بر قرائت بديمن فنلاندي ها صحه گذاشت. براساس آمار، شركتهاي بزرگ و كوچك به طور متوسط در طول يك هفته با 38 حمله هكري و ويروسي دست و پنجه نرم مي كنند.
در همين مدت نيز به طور هفتگي 1400 نرم افزار مقتبس از حفره ها و آسيب پذيري هاي سيستم در اينترنت پخش مي شود.
ويروس نويسان و هكرها به دليل زودتر پيداكردن اين حفره ها ويروس و حملات خود را زودتر سامان داده و در نتيجه يك قدم بالاتر از شركتهاي ضدويروس موي دماغ كارشناسان امنيت سيستم و راهبران مي شوند.
10 ويروس برتر نيز به اهدافي نظير سرويس هاي غيرعمومي نظير مايكروسافت اسكيوئل و FileSharing چه عليه شركتهاي كوچك و چه عليه آي.اس.پي هاي بزرگ حمله مي برند. نتيجه اين كه حمله به مراكز اصلي شمار و درصد قربانيان را بسيار بالا برده و مثلا با آلوده شدن يك سرور بزرگ تمام كاربران ناخودآگاه ويروسي مي شوند.
بنابراين روند ساخت ويروس و ضدويروس مثل اتفاقي هميشگي در دنياي رايانه هرگز از مد نيفتاده و همگان را آزار مي دهد.

تهديدهاي آتي

اما تهديدهاي آينده تركيبي از ويروس ها، اسبهاي تروا و كرمهايي است كه از مسيرهاي چندگانه و متنوع براي آلودن سيستم ها استفاده مي كنند.
بنابراين يك كرم مي تواند به طور طبيعي يك اسب تروا را روي سيستم قرباني اجرا كند و اين در حالي صورت مي گيرد كه يك اسب تروا در خود يك ويروس را دارد.
حمله هاي ويروسي استفاده از اپليكيشن هايي نظير مرورگر IE مايكروسافت و IIS مايكروسافت را در رئوس كاري خود قرار مي دهند كه در كنار آن P2P و برنامه هاي پيام رسان به عنوان شيوعكننده ويروس در اولويت كاري قرار مي گيرد.
برخلاف ويروس هايي نظير مليسا در سال 1999، ويروس هاي كنوني هسته هاي اصلي را نشانه مي گيرند و همه چيز را برهم مي زنند.
در سپتامبر 2003 دكتر گرهارد اشلبك ، مدير شركت امنيت سيستمها در Qualys در كنگره گفت:حمله به شبكه ها چه در تعداد و چه در مهارت روبه توسعه و ترقي است و حملات جديد قدرت آلودگي به مراقبت بيشتري نسبت به پاسخگويي بموقع دارند.
عين اين مطلب را زمان ظهور كرم اسلامر (Aka Sapphire) ديديم. سرعت گسترش آن شبيه داستان هاي تخيلي بود. در اولين دقيقه ، تعداد سيستم هاي آلوده شده 2 برابر و در اندازه نيز هر 5/8 ثانيه دوبرابر مي شد.
اين كم با 55 ميليون اسكن در هر ثانيه تقريبا پس از هر 3 دقيقه فول اسكن مي شد و اين داستان حيرت آور مثل شوك تمام كارشناسان را ميخكوب كرد.
از آنجا كه شبكه ها پهناي باند كافي نداشتند، خود به خود سرعت اسكن پايين آمد. مطابق گزارش ها بيشتر سيستم هاي آسيب پذير در همان 10 دقيقه اول شيوع ويروس ، آلوده شدند.
اما متغيرهاي تعريف شده در سوبيگ ، يك ماموريت مخفي را در خود جاي داده بود. ويليام هانكوك ، قائم مقام cable and wireless در اين باره گفت: سوبيگ ، نسخه E اولين كرمي است كه تكنيك پيچيده هكري را در خود پيچانده و كنار مهندسي اسپم راهي سيستم ها شده است.
سوبيگ با يك ضميمه داخل ايميل قابل شيوع و انتقال است و با بازشدن آن يك كپي از ويروس مورد نظر به وسيله رايانه حمله كننده به نشاني بازشده ارسال مي شود و همه جا را آلوده مي كند.
در ابتدا اين چنين به نظر مي رسد كه ويروس قصد ملاقات با يك سايت مستهجن را دارد، اما فورا ويروس اسب ترواي خود را با عنوان LaLa داخل سيستم قرباني مي اندازد و سپس كرم سوبيگ را پاك مي كند.
ما فكر مي كنيم كه كرم پاك شده است ، البته درست هم مي گوييم ; اما از اسب ترواي LaLa اجازه هايجك شدن سيستم را فراهم مي سازد و ماشين آلوده شده را آماده مي كند تا صدها و هزاران اسپم وارد آن شود.
به علاوه ، پنجمين متغير تعريف شده براي سوبيگ نسخه E ماشين SMTP است كه به طور خودكار نسخه هاي قبلي ويروس را به روز مي كند و اجازه آلودگي بيشتر را فراهم مي سازد; اما سوبيگ نسخه F6 متغير و فاكتور از پيش تعريف شده را با خود يدك مي كشد. با مراجعه به فاكتور پيش برنامه نويسي و زمان ترمينال خودكار كندي زمان پيش از نسخه جديد ويروس بين منفي 7 تا مثبت 35 روز است ، به همين خاطر سوبيگ نسخه G درحال نوشتن بوده و سروكله اش پيدا مي شود.
كرم Msblast از امتياز نقص امنيتي كشف شده در ايكس.پي ،ان.تي 2000 و سرور 2003 بهره برد و آن چنان قوي بود كه دستور حمله DOS به سايت به روزرساني مايكروسافت را با موفقيت راهبري كرد و دمار از روزگار مايكروسافت درآورد.
قدرت در هم كوبندگي نيز به حدي بود كه قدرت چاره جويي را از مايكروسافت گرفت و در انتها، اشتباه تكثير از جانب ويروس نويس جان مايكروسافت را نجات داد.
يكي از كاربران مي گفت براي در امان ماندن فورا به طرف سايت به روز رساني مايكروسافت رفت ، اما در حال گذراندن 15 دقيقه نصب پس دستور بود كه يك پيام آمد كه نوشته بود سيستم شما تا 60 ثانيه بعد خاموش مي شود و...
بعد ضد ويروسي عليه آن آمد كه واقعا ويروس را پاك مي كرد، ولي اسب تروايي نيز روي سيستم پياده مي كرد و كنترل كامل سيستم را در اختيار حمله كننده مي گذاشت.
كرم جديد با ايميل support@microsoft.com همراه بود و شكها را بظاهر برطرف مي كرد.
هنگامي كه شركتهاي امنيت رايانه اي در حال جنگ با ويروس هاي جديد يا هرگونه حمله اي هستند، اكثر كاربران سر خود را مثل كبك ، زير برف كرده اند.
تنوع و تعداد تجارت هاي كوچك ، خطر افزايش انواع كرمها و ويروس ها را مادامي كه سيستم هاي فايروال نصب نشود، (به دليل كاهش هزينه ها بالا مي برد.
شركتهاي بزرگتر به دليل منافع درازمدت اين شرايط را درك كرده اند و برايش راه چاره مي يابند. امروزه آنچه با عنوان IT Spend معروف شده ، شامل تمام هزينه هايي است كه يك شركت براي ايمن كردن جان سيستم هاي خود در برابر هرگونه حمله اي خرج مي كند. همين موضوع باعث توليد شغل هاي معتبر شده و قدرت نيروهاي فني را در ساماندهي امنيت كل شركت بالا برده است.
به روز كردن سيستم ها، نصب پس دستورها و ضدويروس ها، تغييرات لازم روي فايروال پس از نصب و راه اندازي ، چك كردن تمام دسكتاپ هاي داخل اداره و تحول مداوم در ساختار بانك اطلاعات مورد استفاده شركتها از جمله وظايف مديران امنيت آي.

تي است كه بدان بها مي دهند.

مديران آگاه با توجه به خسارت هايي كه پس از حملات متحمل مي شوند، چاره اي جز هزينه كردن به عنوان علاج واقعه قبل از وقوع ندارند.
در منظر كلي به اقتصاد كلان رايانه اي در سال 2001 ويروس ها 3/7 ميليارد پوند خسارت به سيستم هاي انگليسي وارد آوردند.
سال گذشته نيز بانك امريكا 12 هزار ماشين خودپرداز را پس از آلوده شدن به ويروس از كار انداخت و خسارتي سنگين متحمل شد. وقتي شبه كرم بلاستر آمد، تمام ماشين هاي به روز نشده در كمتر از چند دقيقه اسير آن شده و خاموش شدند.
پاكسازي چنين ويروس براي هر ماشين حداقل 80 پوند هزينه دربرداشت و اين نشانگر آن است كه علاج واقعه پيش از وقوع براستي كم هزينه تر است.
آي.دي.سي پيش بيني كرده ميزان پرداخت IT Spend تا سال 2007 به رقم 64 ميليارد پوند در سال خواهد رسيد و سرمايه گذاري در بخش امنيت سيستم ها بسيار بااهميت تر از امروز خواهد شد

ويروس هاي خوب

Welchi يا Nachi كرم خوبي بود كه براي كشتن ويروس هاي بد و ضدعفوني كردن رايانه از شر ويروس ها ساخته شد.
كرم مذكور 18 آگوست 2003 كشف شد و از همان تكنيك آلودن سيستم از سوي Lovesan بهره گرفت و خود را روي تمام سيستم ها انداخت. اين كرم مشكل تمام وب سرورهاي حاوي IIS نسخه 5 را كه توسط حفره كشف شده Webdav در مارس 2003 آلوده شده بود، حل مي كرد و بعد در اول ژانويه 2004 براي هميشه مرد.
داستان ويروس هاي خوب ، در كنار برنامه هاي ضد ويروس ادبيات جديدي از امنيت سيستم هاي رايانه اي خلق كرده و شايد به عنوان يك استراتژي از سوي سازندگان OS در سطح كلان مورد استفاده قرار گيرد.
برخي شركتهاي ضدويروس روش پاك كردن سيستم هاي داخل شركتهاي بزرگ و كوچك را با معماري ويروس هاي خوب انجام مي دهند.
با اين تفاسير، فكر اين كه ويروس ها از بين بروند، بسيار ساده انگارانه است ، اما اين كه ويروس هاي خوب بتوانند ويروس هاي بد را از ميان ببرند، بحث ديگري است ، ولي يك نكته را نمي توان فراموش كرد و آن اين كه ويروس نويسان هميشه يك قدم جلوتر از بقيه هستند; يعني تا وقتي حفره هاي پيدا و پنهان وجود دارد، ويروس نيز وجود خواهد داشت

داداش از ویروس اینجا هرچی میشنوی گوش کن ولی بازم بشنو
آخه اینا اگه میتونستن جلوی ویروس رو بگیرن ، که ما مردم آزارا نمیتونستیم زندگی گنیم