با مبانی و مفهوم ویروس کامپیوتری Viruses کرم رایانه ای Worms و تروجان Trojan آشنا شویم

● ویروس ها (Viruses):
ویروس ها یک برنامه یا کد(اسکریپت) بسیار کوچکی است که بر روی برنامه های بزرگتر سوار می شوند. یعنی در بین کد های اصلی یا فایل های اصلی بک برنامه دیگر که معمولا پر کاربرد می باشد قرار میگیرند و به محض نصب برنامه اصلی خود را وارد سیستم رایانه ای شخص قربانی می کنند و هنگام اجرای برنامه به طور خود کار اجرا میشوند و شروع به تخریب ( کارهایی که نویسنه ویروس از آن خواسته) می کنند.
ویروس ها هر روز در اینترنت بیشتر و بیشتر می شوند. ولی تعداد شرکت های آنتی ویروس ثابت است .پس ما باید برای حفاظت از سیستم خود دست به کار شویم .
از نظر مردم عادی به هر برنامه ای که در سیستم عامل اختلالات ایجاد کند ویروس است ولی باید بدانید که خود ویروس ها بنا به کارها و امکاناتی که دارند تقسیم بندی می شوند. ویروس ها مثل سایر برنامه ها هستند . کسانی که ویروس را مینویسند هم از همین برنامه های عادی برنامه نویسی استفاده می کنند .این برنامه ها دقیقا مثل چاقو می ماند که هم می شود استفاده درست کرد هم نادرست.
● تاریخچه ویروس ها (Viruses):
در یک هفته پاییزی در سال ۱۹۸۸ بعد از چندین دهه ترس از بمباران آمریکا توسط روسیه تمام نگرانی ها با از بین رفتن حکومت کمونیستی از بین رفت.
در این زمان با کم شدن نگرانی مردم نسبت به روسیه ترسی دیگر جایگزین آن گردید در دوم نوامبر ۱۹۸۸ یک ویروس کامپیوتری در آمریکا سبب از کار افتادن کامپیوترها در مراکز حساس از جمله Lawrence Livermore Labs , MITو ... گردید.
این حمله ناگهانی به مراکز علمی و ارتشی شروعی برای یک ترس عمومی جدید گردید در سالهای ۱۹۴۰ تا ۱۹۸۸ پناهگاه های زیادی به منظور استفاده مردم در هنگام جنگ اتمی ساخته شد ولی در پایان دهه ۸۰ میلادی این پناهگاهها به انبارهایی برای استفاده در مواقع اضطراری Y۲K تبدیل شدند بلکه زمانی مورد استفاده قرار بگیرند!!
تا دهه ۸۰ میلادی کامپیوتر ها تنها در اختیار دولت، مراکز حساس علمی و ... بود ولی از سال ۱۹۸۰ تا ۱۹۸۵ میلادی با کوچکتر شدن کامپیوترها و تهیه آسان آن توسط عموم مردم استفاده آن گسترش پیدا کرد.
شبکه ها – کامپیوترهای متصل به یکدیگر - نیز گام بلندی در اول دهه ۸۰ بود در این سالها استفاده از مودمها به منظور بر قراری ارتباط BBS با دیگر کامپیوتر ها رواج فراوانی یافت و ...
ویروسها نیز در شبکه های کامپیوتری به روشهای گوناگون از جملهE-Mail ,Trojan Horse هک کردن و ... از کامپیوتری به کامپیوتر دیگر انتقال می یابند.
● تقسیم بندی اولیه ویروسها
ویروس ها به ۲ شکل تقسیم بندی می شوند :
گروه اندکی بر این باور هستند که اولین و ابتدایی ترین خصوصیت ویروسهای کامپیوتری هجوم به یک برنامه مانند ایجاد نوعی پارازیت است (بدین ترتیب نمی توان Melissa را در گروه ویروسها قرار داد).
۱) ویروس های مرکب (ویروس های چند وجهی)
۲) ویروس های ساده
ویروس های ساده آن دسته از ویروس ها هستند که ساده و به صورت تک فایلی بوده و فقط یک کار انجام می دهند. اما ویروس های از ترکیب چند ویروس در هم می باشند و قادر خواهند بود چندین فعالیت را همزمان انجام بدهند که این امر سبب پیچیدگی کار ویروس خواهد شد
● تقسیم بندی ریزتری از ساختمان ویروس ها و حوزه فعالیت آنها :
در ابتداباید یاد بگیرید که هر ویروسی فقط ویروس نگویید بلکه بتوانید آن را شناخته و در یکی از دسته های زیر جا داده و بنا به خصوصیات آن را بنامید.
۱) Trojan Horse
۲) Worm
۳) Bomb
همان طور که در بالا مشاهده می کنید کل ویروس ها را می شود در ۳ دسته تقسیم کرد که ما به اختصار درباره هر کدام توضیح می دهیم . به علت حساس بودن دسته کرم ها یا همان Worm ما از این دسته توضیحاتمان را شروع می کنیم .
● کرم های رایانه ای – ورم کامپیوتری Worms
اولین و مشهورترین ویروس یکWorm می باشد که به طور تصادفی در ۲ نوامبر ۱۹۸۸ وارد شبکه گردید. طبق ادعای طراح آن هدف از این کار تنها اثبات کردن ضعف سیستم امنیتی کامپیوترها بوده است. اینترنت در سال ۱۹۸۸ دوران کودکی خود را طی می کرد و تنها در اختیار محدودی از دانشگاه موسسات تحقیقاتی دولتی مانندNASA و آزمایشگاههای بین المللی مانندLos Alamos بود .با وجود اینترنت بسیار محدود آن زمان خبر از کار افتادن این مغزهای کامپیوتری درMIT وBerkeley و... تمام مردم را شوکه کرد. تنها در مدت چند ساعت بیش از ۳۰۰۰ کامپیوتر در مهمترین مراکز آمریکا از کار افتاده و خسارت وارد بر آنها در حدود ۱۰۰ میلیون دلار بر آورد گردید.
Worm ها زیر مجموعه ای از ویروسهای کامپیوتری می باشند که بر خلاف دیگر ویروسها از جملهMelissa که خود را به صورتE-Mail برای کاربران اینترنتی می فرستد سیستم کامپیوتر را سوراخ کرده و به طرف مغز کامپیوتر پیش می روند یکی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده بطوریکه قابل ردگیری نمی باشند این Worm ها مانند ویروسهایی می باشند که خود را در اعصاب ستون فقرات پنهان کردن و گاه و بی گاه دردهای شدیدی را تولید می کنند. و اماWorm های مفید : در میان انواعWorm ها کرمهای مفیدی نیز طی سالیان متمادی به منظور چک کردن کارایی سیستم و ... مورد استفاده قرار گرفته اند.
اینWorm هاAgent نامیده شده و درون شبکه حرکت کرده اطلاعات منابع مورد استفاده و ... را چک و اطلاعاتی در مورد کارکرد شبکه یا حتی محلی را که می توان ارزانترین DVD را خریداری نمود به کاربر اعلام می دارند از تفاوتهای بارز میانAgent و Worm می توان به این مورد اشاره کرد که Agent بر خلاف Worm خود را تکثیر نکرده و درون سیستمهای کاربران نفوذ نمی کند.
● تاریخچه اولین کرم رایانه ای Worm
این Worm که توسط Robert Tappan Morris طراحی شد به RTM مشهور گردید . Morris بعد از اتمام دوره لیسانس خود در پاییز سال ۱۹۸۸ از دانشگاه خارج و به برنامه نویسی کامپیوتر روی آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امکانات کامپیوتری و اینترنتی دانشگاه بهره مند شد . وی در اکتبر سال ۱۹۸۸ برنامه ای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی کامپیوتر طراحی کرد . نحوه کار این برنامه بدین ترتیب بود که پس از رها شدن آن در اینترنت سریعاً و بدون جلب هیچ گونه توجهی پخش می گشت (طبق اظهارات وکیل مدافع موریس)
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق کامپیوترهای دانشگاه MIT وارد شبکه کرد. یکی از خصوصیات این ویروس اضافه کردن یک شمارنده به برنامه بود. بدین ترتیب در صورتیکه این برنامه حداکثر تا ۶ بار یک کپی از خود را در کامپیوتر پیدا می کرد تکثیر نشده و در هفتمین بار این برنامه پس از تکثیر و نفوذ به کامپیوتر آن را مورد هجوم قرار می داد. این برنامه ضمیمه یک اشتباه بسیار مهلک بود!! کامپیوترهایی که در سال ۱۹۸۸ به اینترنت متصل می شدند به طور میانگین هر ۱۰ روز یکبار خاموش شده و دوباره راه اندازی می گشتند از آنجا که برنامه موریس در کامپیوتر ذخیره نمی شد این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن کامپیوتر برنامه به طور خودکار از میان برود. با این حال از آنجایی که تمام کامپیوترهای متصل به اینترنت به طور همزمان خاموش نمی شدند این Worm می توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm ها همواره دارای یک تعادل بوده و مشکل خاصی را در کامپیوتر سبب نمی شدند. و اما ایراد برنامه موریس در این بود که این Worm بسیار سریعتر از انتظار موریس تکثیر می یافت در کمتر از چند ساعت بعد از آزاد سازی آن هزاران کامپیوتر در مراکز حساس از کار افتاده و دچار سکته شدند. پنج روز بعد از آزاد سازی worm در ۶ام نوامبر همه چیز به حالت عادی خود برگشت در روز ۱۲ توامبر سرانجامE-Mail هایی که موریس در آنها طرز خنثی کردن Wrom را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی سازیWorm آگاهی یافتند.
● Worm نوعی از ویروس
Worm ها نوعی ویروس هستند که اکثراً قابلیت تخریب به شکلی که فایلی را از بین ببرند ندارند . نحوه کار Worm اغلب به این شکل است که در حافظه اصلی کامپیوتر (Ram) مستقر می شوند و شروع به تکثیر خودشان می کنند که این عمل موجب کند شدن سیستم و کم شدن تدریجی فضای Ram می گردد. کرم ها این قابلیت را نیز دارند که برای آلوده کردن کامپیوترهای دیگر از ایمیل یا برنامه های چت استفاده می کنند .
● اسب تراوا – تروجان Trojan
اسبهای تروا یا همانTrojan، ویروس نیستند، چرا؟ به دلیل آنکه بر اساس تعریف ویروس قابلیت تکثیر ندارند. اما این قدرت را دارند که فایلهای سیستم را پاک کنند، در نحوه کار نرم افزار اخلال بوجود آورند و یا سیستم را از کار بیاندازند. یک اسب تروا در حقیقت یک برنامه مخرب است که خود را به شکل یک برنامه بی خطر و معمولی نمایش میدهد.
● ویروسها چگونه پخش می شوند:
راه های بسیار زیادی برای انتقال ویروسها موجود می باشد که یکی از آنها روش زیر می باشد :
۱) یک دیسک فلاپی که دارای بوت سکتور ویروسی می باشد را درون کامپیوتر قرار داده و کامپیوتر را خاموش می کنید
۲) هنگامی که کامپیوتر را دوباره روشن می کنید دیسک هنوز در درایو A: موجود می باشد پس بوت سکتور ویروس آن فعال می گردد
۳) ویروس یک کپی از خود را درون بوت سکتور هارد کامپیوتر ذخیره کرده بدین ترتیب دیگر هیچ نیازی به وجود دیسک نخواهد بود!!
۴) هر بار که دیسکتی را درون درایو A: قرار می دهید ویروس در بوت سکتور دیسکت کپی می گردد.
۵) سرانجام این دیسکت را به دوست یا همکار خود قرض می دهید.
۶) این چرخه از کامپوتری به کامپیوتر دیگر ادامه پیدا کرده و ...
البته نیاز به یادآوری نیست که مطالب فوق تنها جهت کسب اطلاع و آشنایی شما با پخش ویروس ها است. امروزه ممکن است این روش خیلی ساده تر و تنها با یک ایمیل در سطح جهانی صورت بگیرد
● مواظب Autorun سی دی ها باشیم
نکته: مواظب Autorun سی دی ها باشید چون آنها هم مثل بوت سکتور فلاپی عمل می کنند و تنها با گذاشتن Cd در CD ROM ممکن است آلوده بشوید برای حل این مشکل هنگامی که Cd را در درایو قرار دادید برای اجرا نشدن Autorun باید کلید Shift را پایین نگه دارید تا اجرا نشود بعد Cd را با یک آنتی ویروس اسکن کنید.
● نحوه مخفی شدن ویروسها و نحوه اطلاع ما از وجود ویروس:
ویروس کامپیوتری معمولاً برنامه ای کوتاه می باشند که خود را ضمیمه یک برنامه دیگر مثلاً پردازشگر Word می کند. رفتار این ویروسهای کامپیوتری کاملاً شبیه به ویروس آنفولانزا است، که پس از وارد شدن به بدن شروع به تکثیر کرده و در صورت نبودن مراقبت لازم سیستم دفاعی بدن را از کار می اندازد .
حجم یک ویروس کامپیوتری می تواند تنها ۹۰ بایت بوده که حتی از طول این پاراگراف که با احتساب فضای خالی تنها ۱۹۱ بایت می باشد کوتاه تر است با این حال میانگین اندازه این ویروسها برابر ۲۰۰۰ کاراکتر می باشد.
هنگامی که یک ویروس خود را به برنامه دیگری اضافه می کند در حقیقت سبب می شود تا آن برنامه افزایش حجم پیدا کند از آنجا که این برنامه ها خود به خود حجیم نمی شوند پس می توان یکی از راههای از بین بردن این ویروسها یا پی بردن به وجود آنها را در کامپیوتر از طریق همین برنامه های حجیم شده تشخیص داد.
● مشخصه اساسی ویروسهای کامپیوتری
تمام این ویروسها دارای سه مشخصه اساسی زیر می باشند:
۱) روشی برای تکثیر و پخش خود در دیگر کامپیوترها.
۲) انجام دادن عملیاتی خاص در کامپیوتر (مثلا در تاریخی مشخص).
۳) از کار افتادن برنامه پس از انجام عملیاتی خاص از قبیل نمایش یک پیغام کاملا بی ضرر مانند "Free Frodo" تا از بین بردن تمام محتویات هارد.
ویروسها بر حسب نحوه ورود به کامپیوتر به دو گروه مقدماتی تقسیم می شوند. گروه اول برنامه هایی هستند که دارای پسوندهای .EXE ,.SYS ,و یا COM بوده و می توانند از طریق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طریق دیگر برنامه های فرعی وارد کامپیوتر شده و یکی از اهداف آنها آسیب رساندن به بوت سکتورها (Boot Sector) است. هر دیسک از چند هارد درایو و یک بوت سکتور که برنامه های اجرایی کامپیوتر را در بر می گیرد تشکیل شده است و ویروسها به راحتی می توانند در این مکانها ذخیره شوند.
ویروسی که در یک برنامه پنهان شده است با هر بار اجرای برنامه راه اندازی می شود بطور مثال اگر ویروس همراه برنامه Word شما باشد با هر بار استفاده ،ویروس موجود در آن راه اندازی می شود. در صورتیکه ویروس هایی که درون بوت سکتورها ذخیره شده باشند با هر بار روشن شدن کامپیوتر فعال می شوند فرض کنید یک دیسک را قبل از روشن کردن کامپیوتر درون درایو A: قرار داده اید با روشن کردن دستگاه بوت سکتور موجود در دیسک فعال شده و از طریق کامپیوتر خوانده می شود (همراه با ویروس موجود در آن).همچنین در صورتیکه هیچ دیسکتی درون درایو A: نباشد بوت سکتور موجود در درایو C: (همراه با ویروس موجود در آن)فعال می گردد.
یک ویروس ممکن است پس از فعال سازی درون حافظه RAM نفوذ کرده و به دیگر برنامه ها سرایت کند به طور مثال تعداد دفعات راه اندازی خود را محاسبه کرده و در صورتیکه این تعداد به رقم ۱۰۰ رسید تمام اطلاعات کامپیوتر را پاک کند یا ممکن است حافظه RAM را از طریق تکثیر خود پر کرده و سرعت عملیاتی کامپیوتر را تا حد بالایی پایین بیاورد(این گروه از ویروسها کرم نامیده می شوند).
● نرم افزار های ضد ویروس- آنتی ویروسها Anti
با استفاده از نرم افزارهای ضد ویروس، امکان شناسایی و بلاک نمودن ویروس ها قبل از آسیب رساندن به سیستم فراهم می شود. با نصب این نوع نرم افزارها بر روی سیستم خود یک سطح حفاظتی مناسب در خصوص ایمن سازی کامپیوتر و اطلاعات موجود بر روی آن ایجاد خواهد شد. به منظور استمرار سطح حفاظتی ایجاد شده، می بایست نرم افزارهای ضدویروس به طور دائم بهنگام شده تا امکان شناسایی ویروس های جدید، وجود داشته باشد.
● اما سئوال این جاست که نرم افزارهای ضد ویروس، چگونه کار می کنند؟
جزییات عملکرد هر یک از برنامه های ضد ویروس با توجه به نوع هر یک از نرم افزارهای موجود، متفاوت است. اینگونه نرم افزارها فایل های موجود بر روی کامپیوتر و یا حافظه کامپیوتر شما را به منظور وجود الگوهایی خاص که می توانند باعث ایجاد آلودگی شوند را پویش می دهند . برنامه های ضد ویروس به دنبال الگوهایی مبتنی بر علائم خاص، تعاریفی خاص و یا ویروس های شناخته شده، می گردند. نویسندگان ویروس های کامپیوتری همواره اقدام به نوشتن ویروس های جدید نموده و ویروس های نوشته شده قبلی خود را بهنگام می نمایند. بنابراین لازم است که همواره بانک اطلاعاتی شامل تعاریف و الگوهای ویروس های کامپیوتری مربوط به نرم افزار، بهنگام شود. پس از نصب یک نرم افزار آنتی ویروس بر روی کامپیوتر خود، می توان عملیات پویش و بررسی سیستم به منظور آگاهی از وجود ویروس را در مقاطع زمانی مشخص و به صورت ادواری انجام داد. در این رابطه می توان از دو گزینه متفاوت استفاده نمود:
● انواع پویش
▪ پویش اتوماتیک :
برخی از برنامه های ضد ویروس دارای پتانسیلی به منظور پویش اتوماتیک فایل ها و یا فولدرهایی خاص و در یک محدوده زمانی مشخص شده ، هستند.
▪ پویش دستی :
پیشنهاد می شود، پس از دریافت هرگونه فایلی از منابع خارجی و قبل از فعال نمودن و استفاده از آن، عملیات بررسی و پویش آن به منظور شناسایی ویروس صورت پذیرد . بدین منظور عملیات زیر توصیه می گردد :
- ذخیره و پویش ضمائم نامه های الکترونیکی و یا نرم افزارهایی که از طریق اینترنت Download می نمایید (هرگز ضمائم نامه های الکترونیکی را مستقیماً و بدون بررسی آن توسط یک برنامه ضد ویروس ، فعال ننمایید ).
- بررسی فلاپی دیسک ها، CD و یا DVD به منظور یافتن ویروس بر روی آنان قبل از باز نمودن هر گونه فایلی.
▪ نحوه برخورد نرم افزار ضدویروس با یک ویروس
نرم افزارهای ضد ویروس به منظور برخورد با یک ویروس از روش های متفاوتی استفاده می کنند . روش استفاده شده می تواند با توجه به مکانیسم پویش (دستی و یا اتوماتیک) نیز متفاوت باشد. در برخی موارد ممکن است نرم افزار مربوطه با ارائه یک جعبه محاوره ای، یافتن یک ویروس را به اطلاع شما رسانده و به منظور برخورد با آن از شما کسب تکلیف نماید . در برخی حالات دیگر، نرم افزار ضدویروس ممکن است بدون اعلام به شما اقدام به حذف ویروس نماید. در زمان انتخاب یک نرم افزار ضد ویروس ، لازم است به ویژگی های ارائه شده و میزان انطباق آنان با انتظارات موجود ، بررسی کارشناسی صورت پذیرد.