همه چیز درباره ی مخرّب های کامپیوتری (1)

ويروس كامپيوتري چيست؟
 

ويروس كامپيوتر برنامه‌اي است كه مي‌تواند نسخه‌هاي قابل اجرايي از خود را در برنامه‌هاي ديگر قرار دهد. هر برنامه آلوده مي‌تواند به نوبه خود نسخه‌هاي ديگري از ويروس را در برنامه‌هاي ديگر قرار دهد. برنامه‌اي را بايد برنامه ويروس ناميد كه همگي ويژگيهاي زير را داشته باشد:
1) تغيير دادن نرم افزارهايي كه به برنامه ويروس متعلق نيستند با چسباندن قسمتهايي از برنامه ويروس به اين برنامه‌هاي ديگر
2) قابليت انجام تغيير در بعضي از برنامه‌ها.
3) قابليت تشخيص اينكه يك برنامه قبلاً تغيير داده شده است يا خير.
4) قابليت جلوگيري از تغيير بيشتر يك برنامه در صورتي كه معلوم شود قبلاً توسط ويروس تغيير داده شده است.
5) نرم افزارهاي تغيير داده شده ويژگيهاي 1 الي 4 را به خود مي‌گيرند. اگر برنامه‌اي فاقد يك يا چند خاصيت از خواص فوق باشد، آنرا نمي‌توان به طور قاطع ويروس تلقي كرد.

آشنايي با انواع مختلف برنامه‌هاي مخرب
 

E-mail virus
 

ويروس هايي كه از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده كه مي‌تواند در قالب يك صفحه با فرمت HTML و يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك word document باشد كه با باز كردن آنها فعال مي‌شوند.

Marco virus
 

اين نوع ويروس ها معمولاً در داخل فايلهايي كه حاوي صفحات متني ( word document ) نظير فايلهاي برنامه‌هاي Ms office مانند microsoft word و Excel هستند به شكل ماكرو قرار دارند.
توضيح ماكرو: نرم افزارهايي مانند microsoft word و Excel اين توانايي را به كاربر مي‌دهند كه در صفحه متن خود ماكرويي را ايجاد نموده كه اين ماكرو مي‌تواند حاوي يكسري دستور العملها، عمليات‌ها و يا keystrok ها باشد كه تماماً توسط خود كاربر تعيين مي‌شوند.
ماكرو ويروس ها معمولاً طوري تنظيم شده‌اند كه خود را به راحتي در همه صفحات متني ساخته شده با همان نرم افزار ( Excel , ms word ) جاي مي‌‌دهند.

اسب تروآ:
 

سابقه انگيزة اين نوع برنامه حداقل به اندازه خود اسب تروآي اصلي است. عملكرد اين نوع برنامه‌ها هم ساده و هم خطرناك است.
در حاليكه كاربر با تصاوير گرافيكي زيبا و شايد همراه با موسيقي مسحور گردانده شده است، برنامه بدون متوجه شدن كاربر عمليات مخرب خود را انجام مي‌دهد.
براي مثال شما به خيال خودتان يك بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد نه تنها بازي‌اي در كار نيست بلكه ناگهان متوجه خواهيد شد تمام فايلهاي روي هارد ديسك شما پاك شده و يا به طور كلي فرمت گرديده است.

كرمها ( worm )
 

برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كنند. در مورد برنامه‌هاي كرم در قسمت سوم مفصلاً بحث خواهد شد.

ويروس هاي بوت سكتور و پارتيشن
 

Boot sector بخشي از هر ديسك سخت و فلاپي ديسك است كه هنگامي كه سيستم از روي آنها راه‌اندازي مي‌شود به وسيله كامپيوتر خوانده مي‌شود. Boot Sector يك ديسك سيستم شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. ديسكهايي كه شامل داده هستند و غير سيستم مي‌باشند. حاوي كدي هستند كه براي نمايش پيغامي مبني بر اينكه كامپيوتر نمي‌تواند به وسيله آن راه‌اندازي شود، لازم است.
سكتور پارتيشن اولين بخشي از يك ديسك سخت است كه بعد از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور شامل اطلاعاتي دربارة ديسك از قبيل تعداد سكتورها در هر پارتيشن و موقعيت همه پارتيشن‌ها مي‌باشد.
سكتور پارتيشن، همچنين ركورد اصلي راه‌اندازي يا Master Boot Record -MBR نيز ناميده مي‌شود.
بسياري ازكامپيوترها طوري پيكربندي شده‌‌اند كه ابتدا از روي درايو: A راه‌اندازي شوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، وقتي كه قصد داريد سيستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا مي‌شود و ديسك سخت را آلوده مي‌كند.
اگر حتي ديسك شما حاوي فايلهاي سيستمي نباشد ولي‌ آلوده به يك ويروس بوت سكتوري باشد اگر اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره‌ راه‌اندازي كنيد پيغام زير مشاهده مي‌شود ولي ويروس بوت سكتوري پيش از اين اجرا شده است و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready
كامپيوترهاي بر پايه Intel در برابر ويروس هاي Boot Sector و Partition Table آسيب پذير هستند.
اينگونه ويروس ها مي‌توانند هر كامپيوتري را صرف نظر از نوع سيستم عامل آن تا وقتي كه ويروس قبل از بالا آمدن سيستم اجرا گردد، آلوده كنند.

HOAX (گول زنك‌ها)
 

اين نوع ويروس ها امروزه بازار داغي را دارند، پيغامهاي فريب آميزي كه كاربران اينترنت را گول زده و به كام خود مي‌كشد. به ويژه وقتي كه كاربر بيچاره كمي هم احساسي باشد. اين نوع ويروس ها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نمي‌باشد و تا حدودي بستگي به روحيات شخصي نويسنده ويروس دارد، گاهي ممكن است تهديد آميز و يا بالعكس محبت آميز و يا مي‌تواند هشداري مبني بر شيوع يك ويروس جديد در اينترنت و يا درخواستي در قبال يك مبلغ قابل توجه و يا هر چيزي ديگري كه انسان را وسوسه كرده تا دست به عملي بزند را شامل شود. البته ناگفته نماند كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است پيغام شخص سازنده ويروس نباشد بلكه يك پيغام ويرايش شده و يا به طور كلي تغيير داده شده توسط يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.
نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده است و همين امر باعث گسترش سريع Hoax ‌ها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده مي‌تواند به صورت يك بمب منطقي و يا يك اسب تروا باشد و يا شايد يكي از فايلهاي سيستمي ويندوز ما، شيوه‌اي كه ويروس Magistre-A از آن استفاده مي‌كند و خود را منتشر مي‌كند.

SULFNBK يك ويروس، يك شوخي و يا هردو؟!
 

سايت خبري سافس چندي پيش خبري مبني بر شناخته شدن يك ويروس جديد منتشر كرد، ويروسي با مشخصه SULFNBK (SULFNBK.EXE)
شايد براي بعضي از شما اين نام آشنا باشد.
SULFNBK.EXE نام فايلي است در سيستم عامل ويندوز 98 كه وظيفه بازيابي اسامي طولاني فايلها را به عهده دارد و يك فايل سودمند در سيستم عامل ويندوز 98 مي‌باشد.
اينجاست كه مي‌توان به مفهوم واقعي HOAX ها پي برد، فايل SULFNBK.EXE اي كه معمولاً به همراه يك نامه فريب آميز و شايد تهديد اميز بزبان پرتغالي از طريق پست الكترونيكي وارد سيستم مي‌شود دقيقاً در جايي ساكن مي‌شود كه فايل SULFNBK.EXE سالم در آنجاست، در واقع بهتراست بگوييم جايگزين آن مي‌شود. فايل SULFNBK.EXE آلوده در شاخه Command ويندوز 98 ساكن شده و چون داراي همان شمايل و سايز مي‌باشد به همين منظور كاربر متوجه حضور يك ويروس جديد در سيستم خود نخواهد شد و اينجاست كه كاربر فريب خورده و ويروس خطرناك Magistre-A كه در هسته اين فايل وجود دارد در اول ماه ژوين فعال شده و سازنده خود را به مقصودش مي‌رساند. نسخه‌اي ديگر از اين ويروس را مي‌توان يافت كه در 25 ماه مي فعال شده و تفاوتي كه با نسخه قبلي خود دارد آنست كه روي فايل SULFNBK.EXE آلوده در ريشه درايو C ساكن مي‌شود. لازم به ذكر است اين ويروس در سيستم عامل ويندوز 9 X فعال مي‌شود و حوزه فعاليتش در درايو C مي‌باشد. تشخيص اينكه فايل SULFNBK.EXE ما واقعاً آلوده است يا خير دشوار است. البته شايد از طريق ويروس يابهاي جديد بعد از ماه ژوئن 2002 مانند جديدترين نسخه Norton ، McAfee بتوان آنها را تشخيص داد اما اگر به ويروس يابهاي ذكر شده دسترسي نداشته باشيم مي‌توانيم حداقل فايل SULFNBK.EXE را چه آلوده باشد و چه نباشد پاك كنيم، البته از آنجايي كه فايل SULFNBK.EXE يك فايل سيستمي ويندوز به شمار مي‌رود ممكن است پاك كردن آن به سيستم عامل لطمه وارد كند، از اينرو بد نيست قبل از پاك كردن، نسخه‌اي از آن را بر روي يك فلاپي كپي كرده و نگه داريم. البته اگر مايل به اجراي آن نيستيد! حقيقت آنست كه كمتر كسي هم تن به اجرا كردن مي‌دهد و ريسك مي‌كند.
اما پيغامي كه ضميمه اين فايل ارسال مي‌شود نيز در چند نسخه وجود دارد كه نسخه اصل آن همانطور كه گفته شد به زبان پرتغالي است كه اين پيغام نيز ممكن است بزبانهاي انگليسي و اسپانيولي ترجمه و يا حتي تغيير داده شده باشد.
به هرحال هر ويروسي چه از نوع HOAX باشد و چه از انواع ديگر، يك دوراني دارد و به قول معروف يك مدت كوتاه يا بلند روي بورس است و معمولاً لطمه‌هاي غير قابل جبران خود را در همان بدو تولد به جاي مي‌گذارند و بعد از مدتي مهار مي‌شوند . اما نكته‌اي كه قابل توجه است اينست كه با داشتن يك پيش زمينه مي‌توان حداقل با نسخه‌هاي جديدتر آن ويروس و يا ويروس هاي مشابه آن به راحتي در همان شروع كار مبارزه كرد.

CELLSAVER يك اسب تروا
 

a.k.a CellSaver- Celcom Screen Saver نير ويروسي از نوع HOAX مي‌باشد كه چندي پيش در اينترنت منتشر شده و عليرغم آنكه مدت زيادي از اولين انتشار آن مي‌گذرد اما هنوز كاربران اينترنت گريبان گير آن هستند. اين ويروس در دو نسخه وجود دارد. كه نسخه اول براي نخستين بار در سال 1998 ظاهر شد و نسخه جديدتر آن كمي بعد در آوريل 1999 براي كاربران اينترنت ارسال شد و هردو آنها به همراه يك پيغام دروغين منتشر شده‌اند.
هرگاه نامه‌اي با عنوان CELLSAVER.EXE وبه همراه فايلي با همين نام دريافت كرديد بدون ترديد آنرا پاك كنيد و از Forward كردن آن براي شخص ديگري پرهيز كنيد، اينكار هيچ لذتي ندارد و فقط به انتشار بيشتر آن كمك كرده و به بقاي آن مي‌افزاييد.
اين فايل يك اسب تروا كامل مي‌باشد ، يك فايل Screen Saver زيبا براي ويندوز و به محض اجرا شدن هر كسي را مجذوب و مسحور مي‌گرداند.
احتياط كنيد! CELLSAVER.EXE به محض اجرا شدن يك گوشي تلفن بي‌سيم Nokia بر روي صفحه نمايش به صورت يك Screen Saver نمايش مي دهد كه در صفحه نمايش اين گوشي، زمان و پيغامهائي را مي‌‌توان ديد. بعد از يكبار اجرا شدن، ويروس فعال شده و شما خيلي زود متوجه خواهيد كه سيستم شما بسيار كند شده و قادر به بوت شدن نخواهد بود و اطلاعات رود هارد ديسك نيز پاكسازي مي‌شوند و شما مجبور به نصب مجددكليه برنامه‌هايتان خواهيد بود.
در آخر باز هم يادآور مي‌شويم كه هيچ يك از نامه‌هاي دريافتي كه كمي ناشناخته و مشكوك به نظر مي‌رسند را مطلقاً باز نكنيد.

ويروس هاي چند جزئي Multipartite virus
 

بعضي از ويروس ها، تركيبي از تكنيكها را براي انتشار استفاده مي‌كنند و فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده مي‌كنند. اينگونه ويروس ها معمولاً تحت windows 9X يا Win.Nt انتشار نمي‌يابند.

چگونه ويروس ها گسترش مي‌يابند؟
 

زماني كه شما يك كد برنامة آلوده به ويروس را اجرا مي‌كنيد، كد ويروس هم پس از اجرا به همراه كد برنامه اصلي ، در وهله اول تلاش مي‌كند برنامه‌هاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر ميزان باشد، ممكن است برنامه‌اي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. حال اين برنامه كه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمي‌اورد. وقتي شما يك كپي از فايل آلوده را ، كه براي ديگر كاربران كامپيوترهاي ديگر به صورت اشتراكي قابل دسترسي قرار مي‌دهيد، با اجراي اين فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. و همچنين طبيعي است با اجراي هرچه بيشتر اين فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش مي‌كند كه كپي‌هايي از خود را در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك بنويسد. سپس فلاپي آلوده مي‌تواند كامپيوترهايي را كه از روي‌آن بوت مي‌شوند آلوده كند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز مي‌تواند فلاپي‌هاي جديد ديگري را نيز آلوده نمايد.
ويروس هايي كه هم قادر به آلوده كردن فايلها و هم قادر به آلوده نمودن فضاهاي بوت مي‌باشند را اصطلاحاً ويروس هاي چند جزئي ( multipartite ) مي‌نامند.
فايلهايي كه به توزيع ويروس ها كمك مي‌كنند ويروس ها حاوي يك نوع عامل بالقوه مي‌باشند كه هر نوع كد اجرائي را آلوده مي‌كنند. نه فقط فايلهايي كه عمدتاً فايلهاي برنامه‌اي ( program files ) ناميده مي‌شوند. براي مثال بعضي ويروس ها كدهاي اجرائي را آلوده مي‌كنند كه در بوت سكتور فلاپي ديسكها و فضاهاي سيستمي هارديسكها وجود دارند.
يك نوع ديگر ويروس كه به ويروس هاي ماكرو شناخته شده‌اند، مي‌توانند عمليات پردازش كلمه‌اي ( word processing ) يا صفحه‌هاي حاوي متن را آلوده كنند كه از ماكروها استفاده مي‌كنند.البته اين امر براي صفحه‌هايي با فرمت HTMl نيز صادق است.
از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر با آنها به عنوان داده‌هاي خالص و تميز سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3 ، wav ،…
براي مثال زماني كه يك فايل با فرمت picture را تماشا مي‌كنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص قرار گيرد مانند يك فايل برنامه‌اي . exe يا يك فايل متني .
doc كه كامپيوتر واقعاً آن را اجرا مي‌كند.

عمليات مخفيانه ويروس در كامپيوتر
 

همانطور كه مي‌دانيد ويروس ها برنامه‌هاي نرم افزاري هستند آنها مي‌‌توانند مشابه برنامه‌هايي كه به صورت عمومي در يك كامپيوتر اجرا مي شوند باشند.
اثر واقعي يك ويروس بستگي به نويسندة ان دارد. بعضي از ويروس ها عمداً براي ضربه زدن به فايلها طراحي شده‌اند و يا در حالت ديگر مي‌‌توان گفت در عمليات مختلف كامپيوتر شما دخالت مي‌كنند و خلل ايجاد مي‌كنند.
براحتي بدون آنكه متوجه شويد خود را تكثير مي‌كنند وگسترش مي‌يابند و در حين گسترش يافتن نيز به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگر شوند. نكته: ويروس ها قادر نيستند صدمه‌اي به سخت افزار كامپيوتر برسانند مثلاً باعث شوند cpu ذوب شده و يا هارد ديسك بسوزد و يا اينكه مانيتور منفجر شود و …

ويروس ها و E-mail
 

شما فقط با خواندن يك متن سادة پيغام يك e-mail و يا استفاده از netpost ويروسي دريافت نخواهيد كرد. بلكه چيزي كه بايد مراقب آن بود پيغامهاي رمز شدة حاوي كدهاي اجرائي قرار داده شده درآنها و يا پيغامي كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامه‌اي كد شده و يا يك word document كه حاوي ماكروهايي باشد) است. از اين رو براي به كار افتادن يك ويروس و يا يك برنامه اسب تروا كامپيوتر مجبور است بعضي كدها را اجرا نمايد كه اين كد مي‌تواند يك برنامه ضميمه شده به يك e-mail و يا يك word document دانلود شده از اينترنت و يا حتي مواردي از روي يك فلاپي ديسك باشد.

نكاتي جهت جلوگيري از آلوده شدن سيستم
 

اول از هرچيزي به خاطر داشته باشيد اگر كامپيوترتان در بعضي از عمليات سريع عمل نمي‌كند و يا برنامه‌اي درست كار نمي‌كند اين به آن معنا نيست كه كامپيوتر شما آلوده به ويروس است.
اگر از يك نرم افزار آنتي ويروس شناخته شده و جديد استفاده نمي‌كنيد در قدم اول ابتدا اين نرم افزار را به همراه كليه امكاناتش بر روي سيستم نصب كرده و سعي كنيد آنرا به روز نگه داريد.
اگر فكر مي‌كنيد سيستمتان آلوده است سعي كنيد قبل از انجام هر كاري از برنامه آنتي ويروس خود استفاده كنيد.( البته اگر قبل از استفاده از آن، آنرا بروز كرده باشيد بهتر است). سعي كنيد بيشتر نرم افزارهاي آنتي ويروس را محك بزنيد و مورد اطمينان‌ترين آنها را برگزينيد.
البته بعضي وقتها اگر از نرم افزارهاي آنتي ويروس قديمي هم استفاده كنيد، بد نيست. زيرا تجربه ثابت كرده بعضي از ويروس ها كه يك دوراني را به قول معروف روي بورس هستند و همه جا از آنها صحبت مي‌شود و بعد از مدتي به دست فراموشي سپرده مي‌شوند، ويروس يابهاي قديمي بهتر مي‌توانند آنها را شناسايي و پاكسازي كنند.
ولي اگر شما جزء افرادي هستيد كه به صورت مداوم با اينترنت سروكار داريد حتماً يك آنتي ويروس جديد و up به روز شده لازم و ضروري است.
براي درك بهتر و داشتن آمادگي در هر لحظه براي مقابله با نفوذ ويروس ها نكات لازم را به صورت ساده و قدم به قدم در ذیل آورده شده است:
1- همانطور كه در بالا گفته شد حتماً يك نرم افزار آنتي ويروس از يك كمپاني مشهور و شناخته شده‌اي را بر روي سيستم نصب كرده و سعي كنيد آنرا هميشه به روز نگه داريد.
2- در هر روز و در هر لحظه احتمال ورود ويروس هاي جديد به سيستم شما امكان پذير است. پس يك برنامه آنتي ويروس كه چند ماه است به روز نشده نمي‌تواند در مقابل جريان ويروس ها مقابله كند.
3- براي آنكه سيستم امنيتي كامپيوتر از يك نظم و سازماندهي برخوردار باشد توصيه مي‌شود برنامه a.v (آنتي ويروس) خود را سازماندهي نمائيد مثلاً قسمت configuration نرم افزار a.v . خود را طوري تنظيم كنيد كه به صورت اتوماتيك هر دفعه كه سيستم بوت مي‌شود سيستم شما را چك نمايد، اين امر باعث مي‌شود سيستم شما در هر لحظه در مقابل ورود ويروس و يا هنگام اجراي يك فايل اجرائي ايمن شود.
4- برنامه‌هاي آنتي ويروس در يافتن برنامه‌هاي اسب تروآ خيلي خوب عمل نمي‌كنند از اين رو فوق العاده در باز كردن فايلهاي باينري و فايلهاي برنامه‌هاي excel و Word كه از منابع ناشناخته و احياناً مشكوك مي‌باشند محتاط عمل كنيد.
5- اگر نرم افزار كمكي خاصي براي ايميل و يا اخبارهاي اينترنتي بر روي سيستمتان داريد كه قادر است به صورت اتوماتيك صفحات Java script و word macro ها و يا هر گونه كد اجرائي موجود و يا ضميمه شده به يك پيغام را اجرا نمايد توصيه مي‌شود اين گزينه را غير فعال ( disable) نمائيد.
6- از قبول كردن فايلهاي مختلف از طريق chat پرهيز كنيد.
7- اگر احياناً اطلاعات مهمي بر روي هارد ديسك خود داريد حتماً از همه آنها نسخه پشتيبان تهيه كنيد تا اگر اطلاعات شما آلوده و يا از بين رفتند بتوانيد جايگزين كنيد.
* ارسال مقاله توسط عضو محترم سایت با نام کاربری : mehdi_1371