آشنایی عمومی باویروسهای رایانه ای
word
14 صفحه
محتویات
آشنایی عمومی باویروسها
ماهیت،نحوه ایجادوتکثیر ویروسها
خانه ویروس
عملکرد ویروس
لیست و شرح ویروسها:
ویر وس onehalf یا :Freeloveویروسهای خفته :
ویروس کریسمس (The Christmas Virus
ویروس اسرائیلی (The PC virus
ویروس هرج و مرج نرم افزار(Software Vnadalism)
ویروسهای آمیگا
ویروس SCA
ویروس راهزن بایت(Byte Bandit
خطاهای ویروسها
ویروس های Call –me
ویروس خطرناک Magistr
ویروس VIRDEM.COM
ویروس SWF/LFM-926
روزی نیست که ویروس ها به کامپیوترها آسیب نرسانند این آسیب ها در سال 2001 ،حدوددو میلیارد دلار ارزیابی شده، ویروسها پس از حمله ، سخت دیسک های پاک شده و داده های درهم و برهم و دستکاری شده از خود به جای می گذارند .ویروس ها همه جا هستند و برای تحت کنترل در آوردن آنها باید بسیار دقت کرد .راههای نفوذ به کامپیوترهای شخصی و آلوده کردن آنها بسیار گوناگون است .ویروسها می توانند در فایلها ، قطاع بوت یا نامه های الکترونیکی پنهان شده و بایک کلیک ماوس برای دیدن نامه یا اجرای یک برنامه یا سرزدن به یک سایت وب فعال شده و همه سیستم را از کار بیندازد.
روند رشد شمار ویروس ها نگران کننده تراست . از سال 1986 که نخستین ویروس کامپیوترهای شخصی بانام Brain پا به عرصه گذاشت شمار آنها تا امروز به 57000 رسیده واین در حالی است که هر ماه حدود 500 ویروس تازه به آنها اضافه می شود.
بنابر این باتوجه به رشد و تکثیر ویروس ها ، اهمیت مطالعه و شناخت آنها مشخص تر می گردد زیرا با شناخت دقیق است که راههای مبارزه با آنها میسر می گردد برای همین من این موضوع را انتخاب
کرده ام تا در درجه اول خود با ویروس ها ی متداول آشنا گردم و نیز به هنگام مواجه شدن با اینچنین مواردی درک اندکی از موضوع داشته باشم چون بیشتر خطاها و آسیب ها پس از حمله ویروس در اثر کارهای نادرست کاربر به کامپیوتر وارد می شود.
ماهیت،نحوه ایجادوتکثیر ویروسهابه زبان ساده ویروسهای کامپیوتری برنامه های نرم افزاری کوچکی هستندکه به یک برنامه اجرائی ویا نواحی سیستمی دیسک متصل شده وهمراه آن اجرا می شوند.بنابراین ویروسهای کامپیوتری از جنس برنامه های معمولی هستند که توسط برنامه نویسان نوشته شده وسپس بطور ناگهانی توسط یک فایل اجرائی ویا جاگرفتن درناحیه سیستمی دیسک به کامپیوتر دیگری منتقل می شوند.دراین حال پس از اجرای فایل آلوده به ویروس ویا دسترسی به یک دیسک آلوده توسط کاربر کامپیوتر دوم ویروس بصورت مخفی درحافظه جا می گیرد وبا اجرای یک برنامه غیرآلوده دیگر .نسخه ای از خودتولید کرده وبه آن برنامه می چسباند وبه این ترتیب داستان زندگی ویروس آغاز می شود و هریک ازاین برنامه ها ویادیسکهای حاوی ویروس پس ازانتقال به کامپیوترهای دیگر باعث آلوده شدن دیگر فایلها ودیسکها می شوند.لذا پس از اندک زمانی درکامپیوترهای موجوددر یک کشور ویاحتی درسرار جهان منتشر می شوند.از آنجا که ویروسها بطور مخفیانه عمل می کنند ،لذا تازمانی که کشف شده وامکان پاکسازی آنها فراهم نشود ،برنامه های بسیاری را آلوده می کنند وازاین رو یافتن سازنده اصلی ویروس تقریبا“ غیر ممکن می شود.اخیرا“ باتکنولوژیهایی مثل E-mail وICQ بر سرعت تکثیر ویروسها افزوده شد این نوع ویروسها اغلب تحت عنوان Worm هستند زیرا Worm ها به راحتی میتوانند از طریق اینترنت و شبکه ها منتقل شوند. ویروسها Worm میتوانند هر محیطی را آلوده کنند اما بیشتر Worm ها با (Visual Basic Com Script)VBS(Component Object Model) (که به اکتیو X معروف هستند ) نوشته می شوند وبه فایلهای آفیس و کتابچه آدرس E-mail حمله می کنند و خود را به آنها کپی میکنند .ویروسهایی که به این ترتیب کار میکنند خیلی سریع منتشر میشوند.
هرچند که تلاش زیادی در مقابله با ویروس نویسی شده است ولی تقریبا“ 5000 ویروس کامپیوتری وجود دارد و تقریبا“ در هر ماه 500 عدد به این تعداد اضافه می شود. هرچند که این تعداد خیلی زیاد به نظر میرسد ولی فقط 100 تا از این به معنی واقعی “وحشی“ هستند و متاسفانه افراد زیادی هم امروزه آلوده به این ویروسها میشوند.
در اواخر سال 1986، تنها یک ویروس کامپیوتری شناخته شده وجود داشت که Brain نام داشت . تقریبا“ سه سال طول کشید که تعداد ویروسهای شناخته شده به هفت عدد رسید ،در سال 1990 این تعداد به 80 عدد رسید .بین دسامبر 1998 تا اکتبر 1999 ،تعدادویروسها به 20500 تا 42000 رسید.
اماMelissa نقطه عطفی در تاریخچه ویروسها بود. با افزلیش الودگی به ویروسها و غلبه محیط Wintel،کم کم شاهد بدتر شدن وضع هم می شویم . سیستم عاملها امروزه خیلی قابل برنامه ریزی تر شده اند و لذا کنترل آنها خیلی راحت تر گردیده است . به جای نوشتن برنامه هایی با C++ حالا می توان به راحتی یک ماکروی Word یا اسکریپت ویندوز نوشت که سیستم شما را کنترل کند. پس ویروسهای کامپیوتری چیز جدیدی نیستند و برخلاف تلاش زیادی که روی ضد ویروس ها شده است ،هیچ کامپیوتری ایمن نیست.
خانه ویروسویروس هم مانند هر برنامه کامپیوتری نیاز به محلی برای ذخیره خود دارد منتهی این محل باید به گونه ای باشد که ویروسها را به وصول اهداف شوم خود نزدیکتر کند. همانگونه که قبلا“ ذکر شد اکثر ویروسها بطور انگل وار به فایلهای اجرایی می چسبند و آنها را آلوده می کنند.اصولا“ در برخورد با ویروس ،فایلها به دو گونه کلی اجرایی وغیر اجرایی تقسیم می شوند وعموم ویروسهادر فایلهای اجرایی جای گرفته و آنها را آلوده می کنند وواقعا“ کمتر ویروسی است که در یک فایل غیر اجرائی جای بگیردوبتواند از طریق آن تکثیر پیدا کند.درذیل فهرست پسوندهای رایج فایلهای اجرائی ارائه شده است واکثر نرم افزارهای ضد ویروس درحالت عادی (بدون تنظیم خاص)تنها همین فایلها را ویروس یابی می کنند (البته در برخی برنامه های ضد ویروس ممکن است برخی پسوندها حذف یا اضافه شوند
.XEX, .COM, .SYS, .BIN, .OVL, .DLL, .SCR
بنابر این یکی از اصلی ترین خانه های ویروس فایلهای آلوده به ویروس هستند.از طرف دیگر برخی ویروسها علاقه خاصی به قطاع راه انداز(Boot sector )و جدول بخش بندی دیسک
( Master boot record یاPartition table) دارند.قطاع راه انداز و واحدراه اندازی DOS است که درقطاع شماره صفر سخت دیسک یا فلاپی دیسک قرار دارد و جدول بخش بندی شامل اطلاعات تقسیم بندی سخت دیسک است که آن نیز در قطاع شماره صفر سخت دیسک قرار دارد.اینگونه ویروسها با قرار گرفتن در یکی از این دو محل به محض روشن کردن کامپیوتر واجرای یک برنامه آلوده به ویروس ویا دسترسی به یک دیسک یا قطاع راه انداز وجدول بخش بندی آلوده ،ویروس همراه آن درحافظه اصلی جا می گیرد وبرخی از آنها تا زمان خاموش کردن کامپیوتر همان جا مانده و فایلهای دیگر را آلوده می کنند ولو آنکه شما حتی برنامه آلوده را حذف کرده و فلاپی دیسک آلوده را نیز ازدیسک گردان مربوطه بیرون آورید
علائم وجود ویروس
برخی از علائم زیر ممکن است در اثر عوامل غیر ویروسی نیز ظاهر شوند. اما اگر کامپیوتر شما بطور معمول کار می کرده و ناگهان بدون هیچ دستکاری ،با یکی از موارد زیر برخورد کردید ،احتمال وجود ویروس بیشتر است
ویروسها عملکرد مختلفی دارند و آنچه در مورد همه آنها اشتراک دارد،عملکرد منفی آنها می باشد. به این معنی که ویروسها عموما“ در صدد ایجاد مزاحمت های کامپیوتری هستند .این مزاحمتها گستره وسیعی دارند وبه راحتی قابل تعریف نیستند . اما بطور کلی می توان عملکرد ویروسها را بصورت زیر تقسیم بندی کرد:
انواع ویروسها
ارائه یک تقسیم بندی دقیق از ویروسها مشکل است اما دریک تقسیم بندی کلی می توان اکثر آنها را در یکی از گروههای زیر قرار داد.
ویروسهائی که پس از فعال شدن مانند یک برنامه ماندگار در حافظه (TSR)باقی می مانند.
اینگونه ویروسها به روشهای مختلف ردپای خویش را مخفی می کنند.به این معنی که فایلهای آلوده به اینگونه ویروسها به گونه ای نشان داده می شود که یک فایل غیر آلوده جلوه کند.بعنوان مثال عموم ویروسها پس از آلوده کردن یک فایل براندازه آن فایل می افزایندویا گاهی تاریخ وزمان ضبط فایل را عوض می کنند. اما ویروسهای گروه Steath می توانند باروشهای خاص وبدون تغییر وضعیت ظاهری عملیات خویش را انجام دهند.
این ویروسها پس از هربار آلوده سازی ساختار داخلی خود را تغییر می دهند و یا از شیوه های خود رمزی استفاده می کنند.ار آنجا که اکثر برنامه های ضد ویروس تنها اطلاعات مشخصه ویروس را می شناسند وآن را جستجو می کنند نمی توانند در حالت معمول (بدون تنظیم های ویژه )تمام فایلهای آلوده حاوی این ویروسها را کشف کنند چرا که برنامه های ضد ویروس در حالت معمولی ویروس را با ساختار مشخص آن می شناسند.
4-Triggered Event Virus :
ویروسهائی هستند که بخشی از عملیات تخریب خود را درساعت ویا در تاریخ خاص انجام می دهند البته باید توجه داشت که تکثیر وآلوده سازی فایلها در تمام اوقات فعال بودن ویروس در حافظه واجرای برنامه های دیگر انجام می شود.
لیست و شرح ویروسها:
این ویروس که اندازه آن 3544 بایت است بر روی فایلهای COM,EXE ونیز Partition Table دیسک سخت قرار می گیرد. ویروس فوق بسیار مخرب و خطرناک است .وقتی این ویروس Partition Table یک کامپیوتر را آلوده نماید بعد از آن در هر بار روشن شدن سیستم دو سیلندر از انتهای هارد دیسک راکد کرده و به این ترتیب بعد از مدتی حجم زیادی از اطلاعات را تخریب می کند.بعد از اینکه اطلاعات نیمی از هارد دیسک تخریب شده وبه کد تبدیل شد در روزهای 4و 8 و12 و…(مضارب 4) هر ماه پیغام
DIS IS ONE HALF
PRESS ANY KEY TO CONTINUE
هنگام روشن شدن سیستم بر روی صفحه نمایشگر نمایش داده می شود.
البته تا زمانی که خود ویروس فعال است و کنترل عملیات ورودی و خروجی را در اختیار دارد نمی توان متوجه این تخریب شد ولی هنگامیکه این ویروس را با هر برنامه ویروس کش دیگری غیر از ویروس کش ایمن ویا با FDISK/MBR پاک کنید بسته به مدت زمان عملکرد ویروس ومیزان تخریب اطلاعات تمام یا قسمتی از اطلاعات از بین خواهد رفت .
لازم به یادآوری است که ویروس کش ایمن علاوه بر پاک سازی ویروس از روی فایلهای آلوده ونیز Partition Table اطلاعات کد شده را نیز بازسازی می کند.
این ویروس که اندازه آن 4744 بایت است بر روی فایلهای O VL,DLL,SYS,COM,EXE و … وهمچنین قطاع راه انداز فلاپی ویا Partition Table دیسک سخت قرار می گیرد.
این ویروس بصورت کد شده بر روی فایلها می نشیند که این کار تشخیص ویروس را مشکل می کنداین ویروس وقتی در حافظه قرار می گیرد و فعال می شود علاوه بر بوجود آوردن مشکلاتی برای برنامه های در حال اجرا در موارد نادر و خاصی ممکن است اقدام به فرمت کردن کل هارد دیسک نماید که این کار باعث تخریب کل اطلاعات خواهد شد.
این ویروس که اندازه آن 4555 بایت است بر روی فایلهای قابل اجرا اعم از O VL,DLL,SYS,COM,EXE و…. می نشیند .این ویروس بصورت کاملا“ کد شده وبا اندازه متغیر از 4555 تا 4586 بایت بر روی فایلها قرار می گیرد و شناسائی آن بسیار مشکل است .بعد از اجرای فایل آلوده ویروس در حافظه مقیم شده وکنترل عملیات ورودی/ خروجی را در اختیار می گیرد که این کار می تواند مشکلاتی را در اجرای برنامه های دیگر بوجود آورد.
این ویروس بعد از مدتی فعالیت در زمانهای مشخصی موش را غیر فعال می کند .در ضمن در موارد مشخصی نیز اقدام به نوشتن پیغام خود بر روی صفحه نمایشگر به شرح زیر می نماید.
INVISIBLE AND SILENT-CIRCLING OVERLAND
///N 8 FALL ///
REARRANGED BY NEUROBASHER-GERMANY
MY-WILL-TO DESTORY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-
4-ویروس :KONKOOR v1.5
این ویروس که اندازه آن 1746 بایت است بر روی فایلهای COM قرار می گیرد فایلهای آلوده به این ویروس تنها بر روی کامپیوترهای دارای سیستم عامل 6.00-DOS 5.0-DOS 3.3 اجرا می شوند و در واقع برنامه های آلوده به این ویروس بر روی بقیه سیستم عاملها اجرا نمی شوند.
در صورتی که هنوز ویروس در حافظه مقیم نشده باشد در اولین بار اجرای فایل آلوده ویروس خود را در حافظه مقیم می کند و بدون اینکه فایل مورد نظر آلوده شود با دادن پیغام Bad command or file name از برنامه خارج می گردد. دراین ویروس یک شمارنده قرار دارد که بعد از رسیدن آن به مقدار معینی ویروس عملیات تخریبی خود را انجام می دهد به این صورت که ابتدا پیغام زیر را نمایش داده:
WARNING!!!
KONKOOR MUST BE DESTROYED!
SIG:=THE REAL COMPUTER SCIENTISTS=
KONKOOR v1.5-DATE:26 SEPTEMBER 1993
وبعد از آن 64 بایت از اطلاعات موجود در CMOS RAM که مربوط به SETUP سیستم وشامل اطلاعات سخت افزاری مورد نیاز برای راه اندازی سیستم است را پاک می کند وبدین ترتیب سیستم از نظر سخت افزاری از کار می افتد وتنها راه حل برای را اندازی مجدد سیستم بازگرداندن و باز نویسی اطلاعات CMOS RAMاست که این کار همیشه و به سادگی امکان پذیر نیست.