مقدمه اي بر ويروس

[glc_engineer]

ويروس ها هر روز در اينترنت بيشتر و بيشتر مي شوند. ولي تعداد شركت هاي آنتي ويروس ثابت است .پس ما بايد براي حفاظت از سيستم خود دست به كار شويم .

در اين سلسله مقالات سعي داريم كه نحوه مقابله با ويروس ها و همين تور بيوگرافي ويروس ها و نحوه مقابله با هر ويروس را آموزش بدهيم.

از نظر مردم عادي به هر برنامه اي كه در سيستم عامل اختلالات ايجاد كند ويروس است ولي بايد بدانيد كه خود ويروس ها بنا به كارها و امكاناتي كه دارند تقسيم بندي مي شوند. ويروس ها مثل ساير برنامه ها هستند . كساني كه ويروس را مي نويسند هم از همين برنامه هاي عادي برنامه نويسي استفاده مي كنند . اين برنامه ها دقيقا مثل چاقو مي ماند كه هم مي شود استفاده درست كرد هم نادرست.

[glc_engineer]

:
در يك هفته پاييزي در سال 1988 بعد از چندين دهه ترس از بمباران آمريكا توسط روسيه تمام نگراني ها با از بين رفتن حكومت كمونيستي از بين رفت.

در اين زمان با كم شدن نگراني مردم نسبت به روسيه ترسي ديگر جايگزين آن گرديد در دوم نوامبر 1988 يك ويروس كامپيوتري در آمريكا سبب از كار افتادن كامپيوترها در مراكز حساس از جمله Lawrence Livermore Labs , MIT و ... گرديد .

اين حمله ناگهاني به مراكز علمي و ارتشي شروعي براي يك ترس عمومي جديد گرديد در سالهاي 1940 تا 1988 پناهگاه هاي زيادي به منظور استفاده مردم در هنگام جنگ اتمي ساخته شد ولي در پايان دهه 80 ميلادي اين پناهگاه ها به انبارهايي براي استفاده در مواقع اضطراري Y2K تبديل شدند بلكه زماني مورد استفاده قرار بگيرند!!

تا دهد 80 ميلادي كامپيوتر ها تنها در اختيار دولت، مراكز حساس علمي و ... بود ولي از سال 1980 تا 1985 ميلادي با كوچكتر شدن كامپيوترها و تهيه آسان آن توسط عموم مردم استفاده آن گسترش پيدا كرد.

شبكه ها – كامپيوترهاي متصل به يكديگر - نيز گام بلندي در اول دهه 80 بود در اين سالها استفاده از مودمها به منظور بر قراري ارتباط BBS با ديگر كامپيوتر ها رواج فراواني يافت و ...

ويروسها نيز در شبكه هاي كامپيوتري به روشهاي گوناگون از جمله E-Mail ,Trojan Horse هك كردن و ... از كامپيوتري به كامپيوتر ديگر انتقال مي يابند.

[glc_engineer]

ويروس ها به 2 شكل تقسيم بندي مي شوند :

گروه اندكي بر اين باور هستند كه اولين و ابتدايي ترين خصوصيت ويروسهاي كامپيوتري هجوم به يك برنامه مانند ايجاد نوعي پارازيت است (بدين ترتيب نمي توان Melissa را در گروه ويروسها قرار داد).

1-ويروس هاي مركب (ويروس هاي چند وجهي)

2-ويروس هاي ساده

ويروس هاي ساده آن دسته از ويروس ها هستند كه ساده و به صورت تك فايلي بوده و فقط يك كار انجام مي دهند. اما ويروس هاي از تركيب چند ويروس در هم مي باشند و قادر خواهند بود چندين فعاليت را همزمان انجام بدهند كه اين امر سبب پيچيدگي كار ويروس خواهد شد

[glc_engineer]

تقسيم بندي ريزتري از ساختمان ويروس ها و حوضه فعاليت آنها :
در ابتدا بايد ياد بگيريد كه هر ويروسي فقط ويروس نگوييد بلكه بتوانيد آن را شناخته و در يكي از دسته هاي زير جا داده و بنا به خصوصيات آن را بناميد.

1- Trojan Horse

2- Worm

3- Bomb

همان طور كه در بالا مشاهده مي كنيد كل ويروس ها را مي شود در 3 دسته تقسيم كرد كه ما به اختصار درباره هر كدام توضيح مي دهيم . به علت حساس بودن دسته كرم ها يا همان Worm ما از اين دسته توضيحات مان را شروع مي كنيم .

[glc_engineer]

Worms

اولين و مشهورترين ويروس يك Worm مي باشد كه به طور تصادفي در 2 نوامبر 1988 وارد شبكه گرديد. طبق ادعاي طراح آن هدف از اين كار تنها اثبات كردن ضعف سيستم امنيتي كامپيوترها بوده است. اينترنت در سال 1988 دوران كودكي خود را طي مي كرد و تنها در اختيار محدودي از دانشگاه موسسات تحقيقاتي دولتي مانند NASA و آزمايشگاههاي بين المللي مانند Los Alamos بود . با وجود اينترنت بسيار محدود آن زمان خبر از كار افتادن اين مغزهاي كامپيوتري در MIT و Berkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بيش از 3000 كامپيوتر در مهمترين مراكز آمريكا از كار افتاده و خسارت وارد بر آنها در حدود 100 ميليون دلار بر آورد گرديد.

Worm ها زير مجموعه اي از ويروسهاي كامپيوتري مي باشند كه بر خلاف ديگر ويروسها از جمله Melissa كه خود را به صورت E-Mail براي كاربران اينترنتي مي فرستد سيستم كامپيوتر را سوراخ كرده و به طرف مغز كامپيوتر پيش مي روند يكي از خصوصيات بارز Wormها توانايي پنهان شدن درون سيستم بوده بطوريكه قابل ردگيري نمي باشند اين Worm ها مانند ويروسهايي مي باشند كه خود را در اعصاب ستون فقرات پنهان كردن و گاه و بي گاه دردهاي شديدي را توليد مي كنند. و اما Worm هاي مفيد : در ميان انواع Worm ها كرمهاي مفيدي نيز طي ساليان متمادي به منظور چك كردن كارايي سيستم و ... مورد استفاده قرار گرفته اند.
اين Worm ها Agent ناميده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتي در مورد كاركرد شبكه يا حتي محلي را كه مي توان ارزانترين DVD را خريداري نمود به كاربر اعلام مي دارند از تفاوتهاي بارز ميان Agent و Worm مي توان به اين مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثير نكرده و درون سيستمهاي كاربران نفوذ نمي كند.

[glc_engineer]

تاريخچه اولين Worm :

اين Worm كه توسط Robert Tappan Morris طراحي شد به RTM مشهور گرديد . Morris بعد از اتمام دوره ليسانس خود در پاييز سال 1988 از دانشگاه خارج و به برنامه نويسي كامپيوتر روي آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصيل گرديد و بدين ترتيب از امكانات كامپيوتري و اينترنتي دانشگاه بهره مند شد . وي در اكتبر سال 1988 برنامه اي را به منظور پي بردن به نقاط ضعف سيستمهاي اينترنتي و امنيتي كامپيوتر طراحي كرد . نحوه كار اين برنامه بدين ترتيب بود كه پس از رها شدن آن در اينترنت سريعاً و بدون جلب هيچ گونه توجهي پخش مي گشت (طبق اظهارات وكيل مدافع موريس).

موريس به منظور جلوگيري از مشخص شدن هويت خود پس از اتمام برنامه آن را از طريق كامپيوترهاي دانشگاه MIT وارد شبكه كرد. يكي از خصوصيات اين ويروس اضافه كردن يك شمارنده به برنامه بود. بدين ترتيب در صورتيكه اين برنامه حداكثر تا 6 بار يك كپي از خود را در كامپيوتر پيدا مي كرد تكثير نشده و در هفتمين بار اين برنامه پس از تكثير و نفوذ به كامپيوتر آن را مورد هجوم قرار مي داد. اين برنامه ضميمه يك اشتباه بسيار مهلك بود!! كامپيوترهايي كه در سال 1988 به اينترنت متصل مي شدند به طور ميانگين هر 10 روز يكبار خاموش شده و دوباره راه اندازي مي گشتند از آنجا كه برنامه موريس در كامپيوتر ذخيره نمي شد اين خصوصيت سوپاپ اطميناني گشت تا به هر بار خاموش شدن كامپيوتر برنامه به طور خودكار از ميان برود. با اين حال از آنجايي كه تمام كامپيوترهاي متصل به اينترنت به طور همزمان خاموش نمي شدند اين Worm مي توانست دوباره برگشته و در آنجا مقيم گردد. طبق اين نظريه موريس، تعداد Worm ها همواره داراي يك تعادل بوده و مشكل خاصي را در كامپيوتر سبب نمي شدند. و اما ايراد برنامه موريس در اين بود كه اين Worm بسيار سريعتر از انتظار موريس تكثير مي يافت در كمتر از چند ساعت بعد از آزاد سازي آن هزاران كامپيوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازي worm در 6ام نوامبر همه چيز به حالت عادي خود برگشت در روز 12 توامبر سرانجام E-Mail هايي كه موريس در آنها طرز خنثي كردن Wrom را توضيح داده بود به مقاصد خود رسيده و مردم از نحوه خنثي سازي Worm آگاهي يافتند.

[glc_engineer]

نرم افزار هاى ضد ويروس

با استفاده از نرم افزارهاى ضد ويروس ، امكان شناسايى و بلاك نمودن ويروس ها قبل از آسيب رساندن به سيستم فراهم مى شود . با نصب اين نوع نرم افزارها بر روى سيستم خود يك سطح حفاظتى مناسب در خصوص ايمن سازى كامپيوتر و اطلاعات موجود بر روى آن ايجاد خواهد شد . به منظور استمرار سطح حفاظتى ايجاد شده ، مى بايست نرم افزارهاى ضدويروس به طور دائم بهنگام شده تا امكان شناسايى ويروس هاى جديد ، وجود داشته باشد.
اما سئوال اين جاست كه نرم افزارهاى ضد ويروس ، چگونه كار مى كنند؟
جزييات عملكرد هر يك از برنامه هاى ضد ويروس با توجه به نوع هر يك از نرم افزارهاى موجود ، متفاوت است . اينگونه نرم افزارها فايل هاى موجود بر روى كامپيوتر و يا حافظه كامپيوتر شما را به منظور وجود الگوهايى خاص كه مى توانند باعث ايجاد آلودگى شوند را پويش مى دهند . برنامه هاى ضد ويروس به دنبال الگوهايى مبتنى بر علائم خاص ، تعاريفى خاص و يا ويروس هاى شناخته شده ، مى گردند . نويسندگان ويروس هاى كامپيوترى همواره اقدام به نوشتن ويروس هاى جديد نموده و ويروس هاى نوشته شده قبلى خود را بهنگام مى نمايند . بنابراين لازم است كه همواره بانك اطلاعاتى شامل تعاريف و الگوهاى ويروس هاى كامپيوترى مربوط به نرم افزار ، بهنگام شود. پس از نصب يك نرم افزار آنتى ويروس بر روى كامپيوتر خود ، مى توان عمليات پويش و بررسى سيستم به منظور آگاهى از وجود ويروس را در مقاطع زمانى مشخص و به صورت ادوارى انجام داد . در اين رابطه مى توان از دو گزينه متفاوت استفاده نمود :
• پويش اتوماتيك : برخى از برنامه هاى ضد ويروس داراى پتانسيلى به منظور پويش اتوماتيك فايل ها و يا فولدرهايى خاص و در يك محدوده زمانى مشخص شده ، هستند.
•پويش دستى : پيشنهاد مى شود ، پس از دريافت هرگونه فايلى از منابع خارجى و قبل از فعال نمودن و استفاده از آن ، عمليات بررسى و پويش آن به منظور شناسايى ويروس صورت پذيرد . بدين منظور عمليات زير توصيه مى گردد :
- ذخيره و پويش ضمائم نامه هاى الكترونيكى و يا نرم افزارهايى كه از طريق اينترنت Download مى نماييد (هرگز ضمائم نامه هاى الكترونيكى را مستقيماً و بدون بررسى آن توسط يك برنامه ضد ويروس ، فعال ننماييد ).
- بررسى فلاپى ديسك ها ، CD و يا DVD به منظور يافتن ويروس بر روى آنان قبل از باز نمودن هر گونه فايلى.

[glc_engineer]

• نحوه برخورد نرم افزار ضدويروس با يك ويروس
نرم افزارهاى ضد ويروس به منظور برخورد با يك ويروس از روش هاى متفاوتى استفاده مى كنند . روش استفاده شده مى تواند با توجه به مكانيسم پويش (دستى و يا اتوماتيك) نيز متفاوت باشد. در برخى موارد ممكن است نرم افزار مربوطه با ارائه يك جعبه محاوره اى ، يافتن يك ويروس را به اطلاع شما رسانده و به منظور برخورد با آن از شما كسب تكليف نمايد . در برخى حالات ديگر ، نرم افزار ضدويروس ممكن است بدون اعلام به شما اقدام به حذف ويروس نمايد. در زمان انتخاب يك نرم افزار ضد ويروس ، لازم است به ويژگى هاى ارائه شده و ميزان انطباق آنان با انتظارات موجود ، بررسى كارشناسى صورت پذيرد.

[glc_engineer]

• از كدام نرم افزار بايد استفاده كرد
توليدكنندگان متعددى اقدام به طراحى و پياده سازى نرم افزارهاى آنتى ويروس مى نمايند. عملكرد اين نوع نرم افزارها مشابه يكديگر است . به منظور انتخاب يك نرم افزار ضد ويروس مى توان پارامترهاى متعددى نظير ويژگى هاى ارائه شده توسط نرم افزار، قيمت و ميزان انطباق آنان با خواسته هاى موجود را بررسى نمود . نصب هر نوع نرم افزار ضد ويروس (صرفنظر از نرم افزار انتخاب شده) ،باعث افزايش حفاظت شما در مقابل ويروس ها مى شود. برخى از پيام هاى ارسالى كه ادعا مى كنند شامل نرم افزارهاى ضدويروس بوده و يا اينگونه نرم افزارها را به شما معرفى مى نمايند، خود به منزله يك ويروس بوده و مى بايست دقت لازم در خصوص بازنمودن آنان و ضمائم مربوطه را داشته باشيم .
با تمام اين توضيحات چگونه مى توان از آخرين اخبار و اطلاعات مربوط به ويروس ها ، آگاهى يافت كه در پاسخ بايد گفت، فرآيند بهنگام سازى در هر نرم افزار ضدويروس متفاوت بوده و مى بايست در زمان انتخاب اينگونه نرم افزارها، پتانسيل آنان در خصوص بهنگام سازى بانك اطلاعاتى تعاريف الگوها ، بررسى شود . تعداد زيادى از نرم افزارهاى ضد ويروس داراى گزينه اى به منظور بهنگام سازى اتوماتيك ، هستند. استفاده از پتانسيل فوق با توجه ايجاد ويروس هاى جديد ، امرى لازم و اجتناب ناپذير است.
نصب يك نرم افزار ضد ويروس ، يكى از ساده ترين و در عين حال موثرترين روش هاى حفاظت از كامپيوتر است . آيا صرفاً با يك نصب همه چيز تمام شده و ما همواره داراى ايمنى لازم و حفاظت مطلوب خواهيم بود؟ پاسخ به سئوال فوق قطعاً منفى بوده و اين نوع نرم افزارها داراى محدوديت هاى خاص خود نيز هستند. نرم افزارهاى ضد ويروس به منظور شناسايى و برخورد با ويروس ها از الگوهاى شناخته شده ، استفاده مى نمايند . بنابراين طبيعى است كه اينگونه نرم افزارها صرفاً قادر به شناسايى و برخورد با ويروس هايى هستند كه قبلاً الگوى آنان براى نرم افزار معرفى شده باشد . به منظور حفظ اقتدار نرم افزارهاى ضد ويروس و كمك به آنان در جهت شناسايى و برخورد با ويروس هاى جديد ، مى بايست فرآيند بهنگام سازى آنان به طور مداوم و در محدوده هاى زمانى مشخص ، تكرار گردد

[glc_engineer]

ويروسها چگونه پخش مي شوند :

راه هاي بسيار زيادي براي انتقال ويروسها موجود مي باشد كه يكي از آنها روش زير مي باشد :

1) يك ديسك فلاپي كه داراي بوت سكتور ويروسي مي باشد را درون كامپيوتر قرار داده و كامپيوتر را خاموش مي كنيد

2) هنگامي كه كامپيوتر را دوباره روشن مي كنيد ديسك هنوز در درايو A: موجود مي باشد پس بوت سكتور ويروس آن فعال مي گردد

3) ويروس يك كپي از خود را درون بوت سكتور هارد كامپيوتر ذخيره كرده بدين ترتيب ديگر هيچ نيازي به وجود ديسك نخواهد بود!!

4) هر بار كه ديسكتي را درون درايو A: قرار مي دهيد ويروس در بوت سكتور ديسكت كپي مي گردد.

5) سرانجام اين ديسكت را به دوست يا همكار خود غرض مي دهيد.

6) اين چرخه از كامپوتري به كامپيوتر ديگر ادامه پيدا كرده و ...

البته نياز به يادآوري نيست كه مطالب فوق تنها جهت كسب اطلاع و آشنايي شما با پخش ويروس ها است. از اين رو از بكار بردن آن بطور عملي جداً خود داري كنيد. زيرا ممكن است علاوه بر آسيب رسيدن به سيستم خودتان ديگران را نيز با مشكل مواجه كنيد.



نكته : مواظب Autorun سي دي ها باشيد چون آنها هم مثل بوت سكتور فلاپي عمل مي كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشويد براي حل اين مشكل هنگامي كه Cd را در درايو قرار داديد براي اجرا نشدن Autorun بايد كليد Shift را پايين نگه داريد تا اجرا نشود بعد Cd را با يك آنتي ويروس اسكن كنيد.