گروه بندی ویروسها

رکورد راه انداز اصلی در سکتور اول هارددیسک روی تراک صفر قرار دارد و حاوی جدولی است که اندازه و حد هر پارتیشن را در خود جای داده است

ویروس‌ها از نظر نوع عملکرد و محل استقرارشان به صورت زیر گروه‌بندی می‌شوند

▪ ویروس‌های رکورد راه‌انداز اصلی:

رکورد راه‌انداز اصلی در سکتور اول هارددیسک روی تراک صفر قرار دارد و حاوی جدولی است که اندازه و حد هر پارتیشن را در خود جای داده است. ویروس‌های رکورد راه‌انداز اصلی نسخه‌ای از خودشان را روی رکورد مزبور کپی می‌کنند و جای رکورد راه‌انداز اصلی هارددیسک را عوض می‌کنند. در این حالت ممکن است،‌ اختلالاتی را برای راه‌اندازی سیستم بوجود آورند و یا اگر مانع از راه‌اندازی سیستم نشوند، حافظه کامپیوتر را در بدو شروع و راه‌اندازی آلوده نمایند و به این ترتیب باعث گسترش آلودگی به درایو‌های دیگر شوند.

▪ وویروس‌های بوت سکتور :

هر دیسک شامل یک بوت سکتتور است. این سکتور همیشه دارای یک شکل بوده و اغلب ویروس‌های بوت سکتور می‌توانند جای این سکتور را با برنامه‌ خودشان عوض کنند و اگر راه‌اندازی کامپیوتر از طریق بوت سکتور آلوده‌ انجام گیرد، ویروس وارد حافظه شده، شروع به فعالیت می‌کند.

یکی از معروفترین نمونه‌های این ویروس در ایران، ویروس‌ ایرانی «ادوین» است. هنگامی که سیستم با بوت‌سکتور آلوده انجام گیرد، ویروس وارد حافظه شده، شروع به فعالیت می‌کند. یکی از معروفترین نمونه‌های این ویروس در ایران،‌ ویروسی ایرانی «ادوین» است. هنگامی که سیستم با بوت‌سکتور آلوده به «ادوین» راه‌‌اندازی شود،‌ ویروس «ادوین» در حافظه قرار می‌گیرد. و در مواقع مشخصی محتوی قسمت‌هایی از حافظه را در قسمتی دیگر، کپی کرده و باعث می‌شود سیستم قفل نماید.

▪ ویروس‌های انگلی یا فایلی:

این ویروس‌ها خود را به فایل‌های اجرائی متصل می‌کنند و معمولاً پیکره اصلی برنامه را دست نخورده باقی می‌گذارند. در موقع اجرا برنامه‌های آلوده، ابتدا که ویروس اجرا شده، پس از آن برنامه اصلی اجرا می‌شود. با اجرای هر فایل آلوده، ویروس مقیم حافظه می‌شود. پس از آن برنامه اصلی اجرا می‌شود. و اگر فایل سالمی اجرا شود ویروس موجود در حافظه خود را به آن متصل می‌کند و مجموع ویروس و برنامه در داخل دیسک، نوشته می‌شود. بعضی ویروس‌ها به انتهای فایل، برخی در ابتدای فایل، بعضی در هر دو جا و برخی در وسط فایل خود را جا می‌دهند.

▪ ویروس‌های چند بخشی:

این ویروس‌ها دارای خصوصیات ویروس‌های گروه‌های ۱و۲و۳ حاضر هستند یعنی هم بوت سکتور و پارتیشن تیبل را آلوده می‌کنند، هم فایل‌های اجرائی را آلوده می‌کنند. در حال حاضر بیشتر ویروس‌ها از این نوع هستند زیرا هم از طریق دیسک، و هم از طریق اینترنت منتشر می‌شوند. ویروس «ناتاس» روی فایل‌های با پسوندهای SYS,DLL,OVL,EXE,COM و… همچنین بوت‌سکتور و پارتیشن تیبل قرار گرفته و آنها را آلوده می‌‌کند. ویروس‌ «فلیپ» نیز بر روی کلیه فایل‌های قابل اجرا وهمچنین پارتیشن تیبل هارددیسک می‌نشیند. این ویروس هنگام آلوده‌سازی پارتیشن تیبل اطلاعات بوت سکتور را نیز دستکاری می‌کند.

▪ ویروس‌های مقیم در حافظه :

این ویروس‌ها در حافظه قرار گرفته و کنترل سیستم عامل را در دست می‌گیرند. آنها روی عملیات ورودی/ خروجی، فایل‌های اجرایی، مفسر‌های فرمان و … اثر گذاشته و باعث اختلال در کار سیستم می‌شوند. این ویروس‌ها با خاموش کردن کامپیوتر از حافظه پاک می‌شوند ولی اگر منشاء ورود آنها به سیستم از بین نرود، با روشن شدن دوباره، ممکن است به حافظه وارد شوند.

با توجه به مطالب بیان شده در مورد نسل جدید ویروس‌ها، عده‌ای تقسیم‌بندی کلی زیر را از آنها انجام داده، و هرکدام از ویروس‌ها را می‌توان، در یک گروه از آنها قرارداد.

▪ ویروس‌های مقیم در حافظه :

برنامه‌ مقیم در حافظه، برنامه‌ای است که پس از تمام شدن اجراء جای خود را در حافظه از دست نمی‌دهد. بیشتر ویروس‌ها پس از فعال شدن مانند برنامه‌های مقیم در حافظه عمل می‌کنند و در حافظه باقی می‌مانند.

▪ ویروس‌های استتاری (نهان ) :

این ویروس‌ها با روش‌های خاص و بدون تغییر وضعیت ظاهری عملیات خود را انجام می‌دهند. و به روش‌های گوناگون ردپای خود را مخفی می‌کنند تا شناخته نشوند. یعنی فایل‌های آلوده به این ویروس‌ها طوری نشان داده می‌شوند که فکر کنیم سالم هستند.

اولین حرکت در مخفی کردن، جلوگیری از اصلاح تاریخ ثبت در فایل‌های آلوده است،‌ که قبلاً با هر تغییری که در فایل‌ها بوجود می‌آمد این تاریخ نیز تغییر می‌کرد ولی ویروس اکنون از این کار جلوگیری می‌کند وکاربران دیگر نمی‌توانند با رجوع به تاریخ ثبت فایل‌ها، پی به آلود‌گی آنها ببرند.

▪ ویروس‌های رمزی :

این ویروس‌ها برای جلوگیری از شناسائی خود را به صورت‌های مختلفی رمز می‌کنند. ویروس «۱۲۶۰» یا «استیلث» به صورت کد بوده وبه طور تصادفی تغییراتی درکدبندی خود ایجاد می‌کند تا روال شناسائی ویروس‌ها را خنثی و بی‌اثر کند.اولین ۳۹ بایت ویروس حاوی کدهائی است که برای رمزکردن باقیمانده ویروس مورد استفاده قرار می‌گیرد. ویروس‌ ایرانی «آریا » به صورت کد شده بر روی فایل‌های آلوده قرار می‌گیرد و در ابتدای ویروس‌، یک روال رمز‌گشا برای رمزگشایی ویروس‌ وجود دارد.

▪ ویروس‌های چند شکلی (هزار چهره) :

کشف این ویروس‌ها از همه مشکلتر است زیرا این ویروس پس از هر بار آلوده‌سازی،‌ ساختار داخلی خود را تغییر می‌دهند و یا از شیوه‌های خود رمزی استفاده می‌کنند. این ویروس‌ها هنگام تولیدمثل شکل خود را تغییر و تکامل می‌دهند. و یا از شیوه‌های خود رمزی استفاده می‌کنند. این ویروس‌ها هنگام تولیدمثل شکل خود را تغییر و تکامل می‌دهند. برخی از این ویروس‌ها علامت مشخصه خود را،‌ به صورت رمز در می‌آورند و وقتی که وارد حافظه می‌شوند خود را از حالت رمز بیر ون می‌آورند.

▪ ویرو‌س‌های انفجاری (تریگر):

‌ این ویروس‌ها بخشی از عملیات تخریب خود را در ساعت ویا در تاریخ خاصی انجام می‌دهند. ولی تکثیر و آلوده سازی فایل‌ها در تمام مدت مدت فعال بودن ویروس در حافظه واجرای برنامه‌های دیگر صورت می‌گیرد. ویروس ایرانی «تاپ‌گان» چنانچه تاریخ سیستم برابر با روز دوم ماه باشد، ۶۴ بایت اول سی‌ماس را پاک می‌کند. در این ۶۴ بایت اطلاعات پیکربندی سخت‌افزار سیستم، تعداد فلاپی درایو‌ها ونوع آنها، تعداد هارددیسک‌ها وظرفیت آنها، تاریخ و زمان سیستم نگهداری می‌شود که با ازبین رفتن این اطلاعات دیگر سیستم راه‌اندازی نمی‌شود.