طريقه كاركرد ويروسهاي كامپيوتري

ويروسهاي كامپيوتري علاوه بر اينكه مرموز هستند و باعث جلب توجه ما مي شوند باعث نمايش اسيب پذير مان مي شوند. ويروسهايي كه توسط افراد حرفه اي ساخته شده اند باعث تاثير روي اينترنت شده اند. از طرف ديگر به ما پيچيدگيشان را نشان مي دهند و وابسته به ابزار انساني هستند كه آنها را پديد آوردند.

بعنوان مثال اخبار بزرگي در مورد ويروس Mydoom worm هست كه  متخصصين تخميني كه از قدرت اين ويروس داشته تا اين حد بوده كه 4/1 ميليون از كامپيوتر ها را در يك روز آلوده كرده در سال 1999 ويروسي به نام Melissa كه داراي قدرت زيادي بود شركت بزرگي مثل مايكروسافت رو مجبور كرد كه بصورت كامل خاموش كنند سيستم ايميل خودشان را تا ويروس را تحت كنترل خود قرار دهند. ويروس I love you در سال 2000 باعث بازتاب مخوفي شد. خيلي جالب و شگفت انگيز است زماني كه ما در مورد ويروسهاي Melissa و I love you  بررسي انجام مي دهيم زيرا بطور باورنكردني ساده هستند.

در اين مقاله در مورد ويروسهاي قديمي و ويروسهاي جديد پست الكترونيكي بحث مي كنيم و شما ياد مي گيريد كه آنها به چه صورت كار مي كنند و مي فهميد به چه صورت از رايانه خود در مقابل اين ويروس ها محافظت كنيد. ويروسها به طور عمومي رو به كاهشند. اما بعضي اوقات اتفاق مي افتد شخصي راهي براي توليد ويروس توليد مي كندو باعث ايجاد اخبار مي شود.

انواع آلودگي

زماني كه شما به اخبار گوش مي دهيد، در مورد روش هاي مختلف آلودگي الكترونيكي شما مي شنويد كه متداول ترين آنها عبارتند از:

ويروس ها:

يك ويروس ذره كوچكي از يك نرم افزار هست كه به برنامه هاي واقعي مي چسبد براي مثال ويروس ممكن است خودش را به يك برنامه صفحه گسترده پيوند بزند و اين باعث مي شود هر زماني برنامه صفحه گسترده اجرا شود ويروس هم همزمان با برنامه اجرا شود. و اين عمل يك شانس براي ويروس بوجود مي آورد تا خودش را تكثير كند ( با پيوند خودش به يدگر برنامه ها) و باعث ايجاد خسارت شود.

ويروس الكترونيكي

ويروس هاي الكترونيكي در حيطه پيام هاي الكترونيكي فعاليت دارند. به اين صورت كه خودشان را تكثير مي كنند با Email زدن به تعدادي از افرادي كه به عنوان قرباني مد نظر هستند.

كرم ها:

كرم كامپيوتري ذره اي از نرم افزار هستند و از شبكه هاي كامپيوتري و سوراخ هاي امنيتي خودشان را تكثير مي كند. نسخه هاي كپي شده از اين كرم در شبكه دنبال ماشين هاي ديگر مي گردند كه سوراخ امنيتي مخصوصي براي نفوذ داشته باشند.

كرم يك كپي از خودش را به ماشين جديد منتقل مي كند با استفاده از سوراخهاي امنتي و به اين ترتيب كار جابجايي را انجام مي دهد.

اسب تراوا

اسب تراوا مانند يك برنامه كامپيوتري است. برنامه ادعا مي كند چيزي است مانند يك بازي اما در عوض باعث ايجاد خسارت مي شود مثلااطلاعات هارد شما را پاك مي كنند. اسب تراوا هيچ راهي براي تكثير ندارد و اين توانايي را ندارد كه خود راتكثير كند.

ويروس چيست؟

ويروس هاي كامپيوتري به اين علت ويروس شناخته مي شوند زيرا كه صفات و ويژگي‌هاي خود را مانند ويروسهاي موجود درطبيعت پخش مي‌كنند. آنها از يك كامپيوتر رفته و آن را آلوده مي‌كنند مانند ويروسهاي زيستي كه از يك شخص به شخص ديگر منتقل مي‌شوند.

در سطح جزئي‌تر ويروس‌هاي در تشابه ويروسها، ويروسهاي زيستي زندگي ندارند ويروس قطعه‌اي از DNA  است داخل پوشش محافظ بر خلاف پوشش سلول، ويروس هيچ راهي ندارد كه كاري انجام دهد يا خودش را تكثير كند زيرا زنده نيست. در عوض ويروس‌هاي زيستي بايد DNA خودشان را به سلول تزريق كنند. سپس DNA  ويروسي شده استفاده مي‌كند از ساختار سلول‌هاي موجود براي تكثير خودش در بعضي موارد سلولها با ذره‌هاي ويروسي پر مي‌شوند تا زماني كه منفجر شوند و باعث آزادسازي ويروس شوند. در موارد ديگر ذره‌هاي ويروس جديدي هر كدام روي هر سلول سوار شده .و باعث زنده ماندن سلول مي‌شود.

ويروس‌هاي كامپيوتري برخي از ويژگي‌هايان را به اشتراك مي‌گذارند. ويروسهاي كامپيوتري براي اجرا شدن بايد روي برنامه‌هاي اجرايي قرار بگيرند. زماني كه برنامه اجرا مي‌شود ويروس قادر خواهد بود ديگر برنامه‌ها يا مستندات را آلوده كند. ظاهراً شباهت بين ويروس‌هاي كامپيوتري و زيستي كمي تفاوت دارد ولي براي ناميدن هر دو به نام ويروس شباهت‌هاي لازم بين اين دو وجود دارد.

كرم چيست؟

كرم‌ها برنامه‌هاي كامپيوتري با قابليت كپي كردن و انتشار خود از يك ماشين به ماشين ديگر هستند. به صورت ساده كرم‌ها حركت مي‌كنند و از طريق شبكه كامپيوتري شروع به آلوده‌سازي مي‌كنند. كرم‌ها از طريق شبكه مي‌توانند خودشان را به طور باورنكردني توسعه بدهند. به عنوان مثال در July 2001  كرم coderedتقريباً در طي 9 ساعت خودش را تا 250,000 مرتبه در شبكه توسعه داد.

عملكرد كرم‌ها از درجه‌بندي آنها نسبت به نفوذ به سوراخ‌هاي امنيتي در قسمت‌هاي نرم‌افزار يا سيستم عامل بستگي داردو به عنوان مثال كرم slammer  سوراخي را در SQL پيدا كرد. در اين مقاله پينهاد مي‌شود به نوع عملكرد كرم‌هاي كوچك  slammer توجه كنيد.

كرم‌هاي قرمز

كرم‌ها از زمان كامپيوتر و پهناي باند شبكه استفاده مي‌كنند زماني كه جا به جا مي‌شوند. آنها معمولاً جزء گروه‌ها با نيت مخرب دسته‌بندي مي‌شوند. كرم Code Red در سال 2001 عنوان بزرگي بدست آورد . متخصصين از مهار اين كرم بازماندند زيرا اين كرم بطور مؤثر توانست مسدود كند همۀ اعمال در اينترنت را و باعث توقف آن شود.

كرم Code Red به آهستگي و در ترافيك اينترنتي توانست خودش را گسترش دهد ولي نه آنقدر كه در مباحث قبل مورد تاكيد قرار گرفت. هر كپي از كرم، اينترنت را براي يافتن Win nt و Win 2000 كه داراي سيستم امنيت نبودند شروع به كار كردند. زماني كه پيدا مي‌كند سرور بدون امنيت كرم خودش را بر روي آن سرور كپي مي‌كند. كپي جديد جستجو مي‌كند سرويسهاي ديگر را براي آلوده كردن كرمها مي‌توانند صدها و هزاران كپي از خود بياورند كه تعداد كپي‌ها بستگي به تعداد سرورهاي بدون امنيت در شبكه دارد.

كرم Code Red به سر صورت طراحي مي‌شود.

• در 20 روز اول هر ماه خودش را گسترش مي‌دهد.
• جايگزين صفحات وب در سرورهاي آلوده مي‌شود با پيغام "هك شده توسط چيني‌ها"
• با سازماندهي خاصي به وب سرورهاي كاخ سفيد حمله كرده و سعي بر غلبه بر آنها رادارد.

عمومي‌ترين تفاوت بين Code Red ها در اختلاف بين آنهاست. نوع جهش يافته آن در July 2001 خودش را پخش كرد. مطابق با زيربناي حمايت‌كننده مركزي :

كرم‌ها Code Red ida  كه اولين بار توسط چشم‌هاي ديجيتالي امنيتي گزارش شده به صورت مفيد از آنها استفاده مي‌كردند. سيستم‌هاي بدون امنيت و مستعد در buffroverflow  و در فايل fdg.dll اجازه مي‌دادند حمله كننده خود را در آن جاسازي كند.

كرم‌هاي موجود در حافظه ماندگار يكبار در سيستم فعال شده و با اولين عملكرد آنها با ساختن و پيدايش آدرس‌هاي IP باعث آلوده شدن سرورهاي بدون محافظ مي‌شوند. هر نخ كرم ساعت كامپيوتر آلودهرا بازرسي مي‌كند زيرا براي فعال‌سازي و شروع به كار از اين ساعت استفاده مي‌كند. مثلاً Code Red ida    در ساعت O.O.O در روز July 2001 فعال شد. بعد از آلوده‌سازي موفقيت‌آميز كرم منتظر يك ساعت مشخص براي اتصال به كاخ سفيد مي‌ماند. اين جمله شامل سيستم‌هاي آلوده‌كننده كه باهم و همزمان 100 اتصال‌دهنده بهfORT 80  كاخ سفيد ميفرستند و اين باعث شد كه دولت آمريكا تغيير دهد آدرس IP سايت خودش را براي غلبه بر تهديد كرم‌ها و هشدار صادر كرد در مورد كرم و به استفاده كنندگان از Winnt و 2000 توصيه كرد كه حتماً سرويس امينيتي بر روي سيستم خود نصب كنند.

نمونه اوليه: ويروس‌هاي اجرايي

ويروس‌هاي اوليه كرم‌هايي هستند كه خود را به بازي‌ها و ويرايش‌گريهاي عمومي پيوند مي‌زنند. يك شخص ممكن است يك بازي آلوده رادانلود كند از اينترنت و آن را اجراكند. ويروس مانند يك قطعه دروني به طور منطقي در برنامه هستند.

هر ويروسي طراحي شده كه ابتدا اجرا شود زماني كه منطق برنامه كار خود را آغاز كرده باشد. ويروس در خودش را در حافظه بازگزاري مي‌كند و و دنبال ديگر برنامه‌ها روي ديسك مي‌گردد. اگر يك برنامه پيدا كرد برنامه را تغيير مي‌دهد تا كدهاي ويروس را به برنامه‌هاي سالم تزريق كند. سپس ويروس كار خود را به عنوان يك برنامه واقعي آعاز مي كند. استفاده كنندگان هيچ راهي ندارند كه ويروس خودش راتكثير كرده و حالا در برنامه آلوده هستند. در زمان بعدي اگر هر كدام از دو برنامه آلوده شده اجرا شوند آنها برنامه‌هاي ديگر را آلوده مي‌كنند و اين سيكل ادامه خواهد داشت. اگر يكي از اين برنامه آلوده از طريق فلاپي يا از طريق آپلود آن بر روي اينترنت به شخص ديگري داده شود بقيه برنامه‌ها آلوده مي‌شوند و اين روش گسترده شدن ويروس‌هاست.

بخش تكثير كردن يك از مراحل آلودهكردن ويروس است. ويروسها را نمي‌توان كوچك شمرد ، اگر آنها خودشان راتكثير كنند. متأسفانه بيشتر ويرويس‌ها از نوع نابودكننده و دسته‌بندي مي‌شوند ، كه در مرحله حمله مي‌توانند خرابي زيادي به بار ‌آورند بعضي ااز آنها كه trigger  هستند هنگام مرحله حمله فعال مي‌شوند و سپس ويروس هر كاري ممكن است انجام دهد چاپ پيام نادان روي صفحه هنگامي كه همه  اطلاعات سيستم پاك مي‌شوند. Trigger ممكن است يك داده مخصوص يا تعداد دفعاتي كه ويروس خودش را انتقال داده يا چيزي بيشتر به اين باشد.

ويروس‌هاي بخش راه‌انداز (Boot sector)

ويروس‌سازان بسيار خبره حيله‌هاي جديدي ياد مي‌گيرند. مهمترين حيله توانايي بارگذاري ويروس در حافظه است كه مي‌تواند مدت زيادي در پس‌زمينه فعاليت‌هاي كامپيوتر به فعاليت ادامه دهد. اين ويروس‌ها راه‌هاي موثر زيادي را ارائه‌ مي‌دهند براي انتقال خودشان. يكي ديگر از اين حقه‌ها توانايي آلوده كردن بخش راه‌انداز بر روي فلاپي ديسك و هارد مي‌باشد.

بخش راه‌انداز برنامه كوچكي مي‌باشدواولين بخش از يك سيستم عامل مي‌باشد كه در كامپيوتر بارگذاري مي‌شود. بخش راه‌انداز شامل برنامه كوچكي است كه به كامپيوتر مي‌گوسند به چه صورت سيستم عامل رابه دست گيرد. با قرار دادن كدها با در بخش راه‌انداز ويروس ضمانت تغيير يافتن را مي‌دهد. آن مي‌تواند فوراً خود را در حافظه مقيم كند و مي‌تواند هر زماني كه كامپيوتر روشن است خود رااجراكند. ويروس‌هاي بخش راه‌انداز به بوت‌سكتور هر فلاپي همچنين در هر ماشين قرار داده مي‌شود را آلوده مي‌كند. و در دانشگاه كه بسياري از افراد به صورت اشتراكي از كامپيوتر استفاده مي‌كنند ويروس به سرعت ومانند يك ماده قابل اشتعال تكثير مي‌شود.

به طور اساسي ويروسهاي بوت‌سكتور و قابل اجرا قابل تهديد نيستند. اولين دليل براي كاهش عملكرد ويروس‌ها بزرگ بدون بيش از حد برنامه‌ ها مي‌باشد. تقريباً‌ هر برنامه‌اي كه شما امروزه مي‌خريد بهصورت يك ديسك فشردهاست و اطلاعات اين ديسك‌ها قابل تكثير نيست و و ايجاد آلودگي‌ در CD ها غير ممكن است. برنامه‌هاي خيلي بزرگ ر.ي CD قرار گرفته و مي‌توان آنهارا خريد و فروش كرد. مردم يقيناً‌ نمي‌توانند جا به جا كنند فلاپي ديسك‌ةا را زماني كه اطلاعات به صورت كامل روي آنها موجود باشد. ويروسهاي بوت‌سكتور هم كاهش يافتند سيستم عاملهاي فعلي حالا محافظت مي‌كنند بوت‌سكتور را.

ويروس‌هاي بوت‌سكتور و اجرايي هنوز هم خطرناك‌اند اما در قياس با قبل خطر كمتري دارند. قياس بيولوژيكي آنها محيط زندگي را تشكيل مي‌دهند. در محيط فلاي ديسك‌ها برنامه‌هاي كوچك و سيستم عامل‌هاي ضعيف باعث فعاليت ويروس در سال 1980 بود اما محيط مناسب با قابليت عدم حذف و انبوه فضاي موجود بر روي CD باعث حفاظت سيستم عامل‌ها شده است.

ويروس‌هاي پست الكترونيك

آخرين چيز در جهان ويروسهاي كامپيوتري پست الكترونيك هستند. ويروس Melissa درر مارچ 1999 خيلي تماشايي بود وسعت Melissa در اسناد نر‌م‌افزار World  با پست الكتر.نيك فرستاده مي‌شود و مانند اين كار مي‌كند. بعضي از آنها ويروس‌هايي از نوع اسناد World هستند كه خودشان را گروه‌هاي خبري اينترنت براگذاري مي‌كنند. اينويروس اسناد را مي‌فرستد (در حقيقت خودش را) از طريق پيام پست الكترونيك به 50 نفري كه در دفتر آدرس شخص قرار دارند. اين پيام شامل يك متن دوستانه كه شامل نام فرد دريافت كننده است و فرد آن را بازسازي مي‌كنند به اين دليل كه فكر مي‌كند آنها بي‌ضررند. ويروس 50 پيام جديد در كامپيوتر دريافت كننده به وجود مي‌آورد. پس به نظر مي‌رسد كه ويروس Melissa خودش را به سرعت پخش مي‌كند و مجبور مي‌كند بسياري از كمپاني‌ها سيستم الكترونيكي خودشان را غير فعال كنند.

ويروسها I love you ويروسها ساده اي بود كه در مي 2000 ظاهر شد. كه شامل قطعات كوچكي به عنوان ضميمه بود. مردم كه دوبار كليك مي كردند به اين فايل ضميمه باعث مي شد اجازه دهند كه اجرا شود. آن كد يك كپي از خودش را كپي مي كرد. در آدرس قرباني و شروع مي كند به خراب كردن فايلها در دستگاه قرباني اين يك نمونه از ويروس بدست آمده است. و بطور واقعي اين ويروسها ها توزيع بيشتري نيست به اسبهاي تروجان به ويسلر پست الكترونيك داشته اند.

نتيجه اي كه ويروس Melissa از زبانهاي برنامه نويسي ساخته شده بر اساس word گرفت VBA ناميده مي شود يا ريشه هاي واقعي براي برنامه ها. آنها زبانهاي برنامه نويسي كاملي هستند و قابل برنامه ريزي هستند به چيزهايي مانند تغييرات در فايلها و فرستادن پيامهاي پست الكترونيك آنها همچنين مفيد هستند اما خصيصه خود اجرا بودن آنها خطر ناك است.

برنامه نويس مي تواند در درون اسناد قرار دهد برنامه هايي موجود را فورا و هر وقت كه اسناد باز شوند. ويروس Melissa به چند صورت برنامه ريزي شده است. هر كسي كه باز مي كند اسناد آلوده شده توسط Melissa اين باعث فعاليت سريع ويروس مي شود. آن ويروس 50 پست الكترونيك مي فرستد و پس فايل مركزي را آلوده مي كند به نام Normal.dot بنابر اين هر فايلي كه در آينده ذخيره شود شامل ويروس نيز مي شود.

و باعث ايجاد محيط آلوده بسيار بزرگ مي شود.

برنامه هاي مايكروسافت داراي خصوصياتي هستند كه Marco virus protection. ناميده مي‌شوند كه مانع ورود ويروسها مي‌شوند. با روشن كردن حفاظت كننده از ويروس (كه به صورت پيش‌فرض روشن است ) خصوصيت اجرا كننده اتوماتيك غير‌فعال مي‌شود.

بنابراين زماني كه اسناد سعي مي‌كنند كد را به صورت اتوماتيك اجرا كنند . پيامي جهت هشدار به user نمايان مي‌شود.

متاسفانه بسياري از مردم راجع به ويروس‌هاي ماكرو زياد نمي‌دانند و زماني كه با اخطار مواجه مي‌شوند به آن توجهي نمي‌كنند . بنابراين ويروس به اجرا در‌ مي‌آيد. خيلي از مردم غير فعال مي‌كنند قسمت حفاظت كننده را. بنابراين ويروس Melissa گسترش پيدا مي‌كند با وجود امكانات براي جلوگيري كردن از آن.

در مورد ويروس ((I Love you)) چيزي است كه به عمل انسان مربوط است. اگر شخص دوبار كليك كند بر روي برنامه‌اي كه به صورت پيوست بوده برنامه اجرا شده و كاري انجام مي‌شود. چه چيزي اين ويروس را تشديد مي‌كند.

-تمايل انسانها براي دوبار كليك كردن بر روي فايلهاي اجرايي.

گزيده‌اي از راههاي پيشگيري:

شما مي توانيد خود را در برابر ويروسها ها مقاوم كنيد با انجام چند مرحله ساده:

براستي اگر شما نگرانيد درباره ويروسهاي سنتي (كه با پست الكترونيك ضديت دارند). شمابايد امنيت بيشتري را بر روي سيستم عامل مانند unix پياده سازي كنيد . با اين كار شما هرگز در مورد ويروسها و عملكردشان بر روي سيستم عامل چيزي نمي‌شنويد زيرا خصيصه امنيت جلوگيري مي‌كند از نفوذ ويروسها (كاربران ناخواسته) و دور مي‌كند آنها را از ديسك سخت شما.

اگر شما از يك سيستم عامل بدون امنيت استفاده مي كنيد. خريد نرم افزار محافظت كننده از ورود ويروس بهترين راه براي محافظت است.

• اگر شما اجتناب كنيد از استفاده برنامه هاي بدون مرجع مانند اينترنت و به جاي آن از نرم افزارهاي تجاري قابل خريداري بر روي CD استفاده كنيد. شما همه ديسكها را در مورد نفوذ ويروسهاي قديمي از بين مي بريد. براي افزايش حفاظت شما بايد بوت فلاپي ديسك را غير فعال كنيد. بيشتر كامپيوترهاي امروزي اجازه مي دهند به شما كه چنين كاري انجام دهيد. و بدين صورت ريسك ويروسها بوت سلكتور كه بصورت اتفاقي از فلاپي ديسك وارد درايو مي شوند از بين مي رود.
• شما بايد مطمئن باشيد كه نرم افزار محافظت كننده از ويروسها فعال است در تمامي برنامه هاي كاربردي و شما هرگز نبايد اجرا كنيد ماكروها را در اسناد مگر اينكه بدانيد داريد چه كاري انجام مي دهيد. به ندرت دليل خوبي براي اضافه كردن ماكروها درون اسناد ايجاد مي شود. بنابر اين اجتناب از همه ماكروها سياست بزرگي براي جلوگيري از نفوذ ويروسها مي باشد.

قسمت option را از بندي tools نرم افزار word باز كنيد. و مطمئن شويد حفاظت كننده از ويروسها ماكرو فعال نشان داده شود.

شما هرگز نبايد دوبار كليك كنيد روي فايلهاي پيوست شده به پست الكترونيكتان كه بصورت اجرايي باشند. فايلهايي كه مانند word(.doc) و همچنين xls تصاوير (Gif, jpg)  و غيره...فايلهاي داده ها هستند آنها مي توانند آسيب نبينند ( ويروسهاي ماكرو نمي توانند مساله اي در اسناد بالا ايجاد كنند).

فايلهايي با پسوند هايي مانند exe, com يا VBS قابل اجرا هستند و فايلهاي اجرايي مي توانند ليستي از اعمال مخرب را انجام دهند. اگر شما بخواهيد يكي از آنها را اجرا كنيد شما به آن اجازه داديد هر كاري كه مي خواهد با سيستم شما انجام دهد. استقامت در برابر عدم اجراي فايلهاي اجرايي كه از طريق پست الكترونيك مي رسند نكته مهمي است.