آشنايي عمومي باويروسها

روزي نيست كه ويروس ها به كامپيوترها آسيب نرسانند اين آسيب ها در سال 2001 ،حدوددو ميليارد دلار ارزيابي شده، ويروسها پس از حمله ، سخت ديسك هاي پاك شده و داده هاي درهم و برهم و دستكاري شده از خود به جاي مي گذارند .ويروس ها همه جا هستند و براي تحت كنترل در آوردن آنها بايد بسيار دقت كرد .راههاي نفوذ به كامپيوترهاي شخصي و آلوده كردن آنها بسيار گوناگون است .ويروسها مي توانند در فايلها ، قطاع بوت يا نامه هاي الكترونيكي پنهان شده و بايك كليك ماوس براي ديدن نامه يا اجراي يك برنامه يا سرزدن به يك سايت وب فعال شده و همه سيستم را از كار بيندازد.

روند رشد شمار ويروس ها نگران كننده تراست . از سال 1986 كه نخستين ويروس كامپيوترهاي شخصي بانام Brain پا به عرصه گذاشت شمار آنها تا امروز به 57000 رسيده واين در حالي است كه هر ماه حدود 500 ويروس تازه به آنها اضافه مي شود.

بنابر اين باتوجه به رشد و تكثير ويروس ها ، اهميت مطالعه و شناخت آنها مشخص تر مي گردد زيرا با شناخت دقيق است كه راههاي مبارزه با آنها ميسر مي گردد براي همين من اين موضوع را انتخاب

كرده ام تا در درجه اول خود با ويروس ها ي متداول آشنا گردم و نيز به هنگام مواجه شدن با اينچنين مواردي درك اندكي از موضوع داشته باشم چون بيشتر خطاها و آسيب ها پس از حمله ويروس در اثر كارهاي نادرست كاربر به كامپيوتر وارد مي شود.

ماهيت،نحوه ايجادوتكثير ويروسها

به زبان ساده ويروسهاي كامپيوتري برنامه هاي نرم افزاري كوچكي هستندكه به يك برنامه اجرائي ويا نواحي سيستمي ديسك متصل شده وهمراه آن اجرا مي شوند.بنابراين ويروسهاي كامپيوتري از جنس برنامه هاي معمولي هستند كه توسط برنامه نويسان نوشته شده وسپس بطور ناگهاني توسط يك فايل اجرائي ويا جاگرفتن درناحيه سيستمي ديسك به كامپيوتر ديگري منتقل مي شوند.دراين حال پس از اجراي فايل آلوده به ويروس ويا دسترسي به يك ديسك آلوده توسط كاربر كامپيوتر دوم ويروس بصورت مخفي درحافظه جا مي گيرد وبا اجراي يك برنامه غيرآلوده ديگر .نسخه اي از خودتوليد كرده وبه آن برنامه مي چسباند وبه اين ترتيب داستان زندگي ويروس آغاز مي شود و هريك ازاين برنامه ها وياديسكهاي حاوي ويروس پس ازانتقال به كامپيوترهاي ديگر باعث آلوده شدن ديگر فايلها وديسكها مي شوند.لذا پس از اندك زماني دركامپيوترهاي موجوددر يك كشور وياحتي درسرار جهان منتشر مي شوند.از آنجا كه ويروسها بطور مخفيانه عمل مي كنند ،لذا تازماني كه كشف شده وامكان پاكسازي آنها فراهم نشود ،برنامه هاي بسياري را آلوده مي كنند وازاين رو يافتن سازنده اصلي ويروس تقريبا“ غير ممكن مي شود.اخيرا“ باتكنولوژيهايي مثل E-mail وICQ بر سرعت تكثير ويروسها افزوده شد اين نوع ويروسها اغلب تحت عنوان Worm هستند زيرا Worm ها به راحتي ميتوانند از طريق اينترنت و شبكه ها منتقل شوند. ويروسها Worm ميتوانند هر محيطي را آلوده كنند اما بيشتر Worm ها با (Visual Basic Com   Script)VBS(Component Object Model) (كه به اكتيو X معروف هستند ) نوشته مي شوند وبه فايلهاي آفيس و كتابچه آدرس E-mail حمله مي كنند و خود را به آنها كپي ميكنند .ويروسهايي كه به اين ترتيب كار ميكنند خيلي سريع منتشر ميشوند.

هرچند كه تلاش زيادي در مقابله با ويروس نويسي شده است ولي تقريبا“ 5000 ويروس كامپيوتري وجود دارد و تقريبا“ در هر ماه 500 عدد به اين تعداد اضافه مي شود. هرچند كه اين تعداد خيلي زياد به نظر ميرسد ولي فقط 100 تا از اين به معني واقعي “وحشي“ هستند و متاسفانه افراد زيادي هم امروزه آلوده به اين ويروسها ميشوند.

در اواخر سال 1986، تنها يك ويروس كامپيوتري شناخته شده وجود داشت كه Brain نام داشت . تقريبا“ سه سال طول كشيد كه تعداد ويروسهاي شناخته شده به هفت عدد رسيد ،در سال 1990 اين تعداد به 80 عدد رسيد .بين دسامبر 1998 تا اكتبر 1999 ،تعدادويروسها به 20500 تا 42000 رسيد.

اماMelissa نقطه عطفي در تاريخچه ويروسها بود. با افزليش الودگي به ويروسها و غلبه محيط Wintel،كم كم شاهد بدتر شدن وضع هم مي شويم . سيستم عاملها امروزه خيلي قابل برنامه ريزي تر شده اند و لذا كنترل آنها خيلي راحت تر گرديده است . به جاي نوشتن برنامه هايي با C++ حالا مي توان به راحتي يك ماكروي Word يا اسكريپت ويندوز نوشت كه سيستم شما را كنترل كند. پس ويروسهاي كامپيوتري چيز جديدي نيستند و برخلاف تلاش زيادي كه روي ضد ويروس ها شده است ،هيچ كامپيوتري ايمن نيست.

خانه ويروس

ويروس هم مانند هر برنامه كامپيوتري نياز به محلي براي ذخيره خود دارد منتهي اين محل بايد به گونه اي باشد كه ويروسها را به وصول اهداف شوم خود نزديكتر كند. همانگونه كه قبلا“ ذكر شد اكثر ويروسها بطور انگل وار به فايلهاي اجرايي مي چسبند و آنها را آلوده مي كنند.اصولا“ در برخورد با ويروس ،فايلها به دو گونه كلي اجرايي وغير اجرايي تقسيم مي شوند وعموم ويروسهادر فايلهاي اجرايي جاي گرفته و آنها را آلوده مي كنند وواقعا“ كمتر ويروسي است كه در يك فايل غير اجرائي جاي بگيردوبتواند از طريق آن تكثير پيدا كند.درذيل فهرست پسوندهاي رايج فايلهاي اجرائي ارائه شده است واكثر نرم افزارهاي ضد ويروس درحالت عادي (بدون تنظيم خاص)تنها همين فايلها را ويروس يابي مي كنند (البته در برخي برنامه هاي ضد ويروس ممكن است برخي پسوندها حذف يا اضافه شوند

.XEX, .COM, .SYS, .BIN, .OVL, .DLL, .SCR

بنابر اين يكي از اصلي ترين خانه هاي ويروس فايلهاي آلوده به ويروس هستند.از طرف ديگر برخي ويروسها علاقه خاصي به قطاع راه انداز(Boot sector )و جدول بخش بندي ديسك

( Master boot record ياPartition  table) دارند.قطاع راه انداز و واحدراه اندازي DOS است كه درقطاع شماره صفر سخت ديسك يا فلاپي ديسك قرار دارد و جدول بخش بندي شامل اطلاعات تقسيم بندي سخت ديسك است كه آن نيز در قطاع شماره صفر سخت ديسك قرار دارد.اينگونه ويروسها با قرار گرفتن در يكي از اين دو محل به محض روشن كردن كامپيوتر واجراي يك برنامه آلوده به ويروس ويا دسترسي به يك ديسك يا قطاع راه انداز وجدول بخش بندي آلوده ،ويروس همراه آن درحافظه اصلي جا مي گيرد وبرخي از آنها تا زمان خاموش كردن كامپيوتر همان جا مانده و فايلهاي ديگر را آلوده مي كنند ولو آنكه شما حتي برنامه آلوده را حذف كرده و فلاپي ديسك آلوده را نيز ازديسك گردان مربوطه بيرون آوريد

علائم وجود ويروس

برخي از علائم زير ممكن است در اثر عوامل غير ويروسي نيز ظاهر شوند. اما اگر كامپيوتر شما بطور معمول كار مي كرده و ناگهان بدون هيچ دستكاري ،با يكي از موارد زير برخورد كرديد ،احتمال وجود ويروس بيشتر است

• سيستم در هنگام راه اندازي قفل مي كتد و احتمالا“ پيغامهاي غير معمول روي صفحه ظاهر مي گردد.
• هنگام اجراي برنامه ها پبغام كمبود حافظه ظاهر شده و برنامه اجرا نمي گردد.
• در كار چاپگر اختلال ايجاد مي گردد(مثلا“ پس از اندكي چاپ متوقف شده و برنامه اجرا نمي شود)
• امكان دسترسي به يكي از ديسك گردانها از بين مي رود.
• هنگام اجراي فايلها پيغام “File is Damaged" يا “File is curropted" ظاهر مي شود
• هنگام اجراي يك فايل ،كاراكترها ويا پيغامهاي غير معمول روي صفحه نمايش ظاهر مي شود(ممكن است برخي از اين پيغامها نام ويروس فعال در حافظه باشد)
• هنگام كار در محيط هاي گرافيكي ،تصاوير مبهم مي ريزد.
• اصوات غير معمول از بلندگوي كامپيوتر صادر مي شود
• سيستم در حين اجراي يك برنامه قفل مي كند و حتي گاهي فشردن كليدهاي Ctri+Alt+Del نيز نمي تواند سيستم را راه اندازي كند.
• اطلاعات بخشي از سخت ديسك ويا تمام سخت ديسك بطور ناگهاني از بين مي رود و يا سخت ديسك بدون اختيار فرمت مي شود.
• اندازه فايلهاي اجرايي افزايش مي يابد
• خواص فايلهاي اجرايي تغيير مي كند.
• سرعت سيستم شما بطور غيرمعمول كاهش مي يابد
• در حين اجراي يك برنامه بخشي از عمليات برنامه بطور عادي انجام نمي شود
• اطلاعات موجود در SETUP كامپيوتر از بين مي رود
• برنامه ها مراجعاتي به ديسك انجام مي دهند كه قبلا“ انجام نمي دادند.
• برنامه هايي كه قبلا“ مي توانستند باردهي شوند حال بانمايش پيغام “Not Enough Memory” باردهي نمي شوند.
• كاهش فضاي خالي ديسك بدون اينكه فايلي اضافه شده و يا به محتواي فايلها افزوده شده باشد.
• نرم افزار هاي مقيم در حافظه با خطا اجرا شده و يا اصلا“ اجرا نمي شوند.

عملكرد ويروس

ويروسها عملكرد مختلفي دارند و آنچه در مورد همه آنها اشتراك دارد،عملكرد منفي آنها مي باشد. به اين معني كه ويروسها عموما“ در صدد ايجاد مزاحمت هاي كامپيوتري هستند .اين مزاحمتها گستره وسيعي دارند وبه راحتي قابل تعريف نيستند . اما بطور كلي مي توان عملكرد ويروسها را بصورت زير تقسيم بندي كرد:

• ايجاد تاخير يا وقفه در حين عمليات سيستم اعم از اجراي برنامه ها ويا راه اندازي كامپيوتر و…
• تخريب يا حذف برنامه ها واطلاعات بخشهاي مختلف ديسكها ويا حتي فرمت كردن ديسكها
• اشغال حافظه وتكثير در حافظه بنحوي كه درحافظه جايي براي اجراي ديگر برنامه ها نمي ماند مزاحمتهاي فوق ممكن است به محض فعال شدن ويروس (يعني قرارگرفتن ويروس در حافظه از طريق اجراي برنامه كاربردي آلوده ويادر يك تاريخ و زمان خاص ويا حتي با اجراي يك برنامه كاربردي خاص) انجام شود

انواع ويروسها

ارائه يك تقسيم بندي دقيق از ويروسها مشكل است اما دريك تقسيم بندي كلي مي توان اكثر آنها را در يكي از گروههاي زير قرار داد.

• :  Memory Resident Virus

ويروسهائي كه پس از فعال شدن مانند يك برنامه ماندگار در حافظه (TSR)باقي مي مانند.

• : Steath Virus

اينگونه ويروسها به روشهاي مختلف ردپاي خويش را مخفي مي كنند.به اين معني كه فايلهاي آلوده به اينگونه ويروسها به گونه اي نشان داده مي شود كه يك فايل غير آلوده جلوه كند.بعنوان مثال عموم ويروسها پس از آلوده كردن يك فايل براندازه آن فايل مي افزايندويا گاهي تاريخ وزمان ضبط فايل را عوض مي كنند. اما ويروسهاي گروه Steath مي توانند باروشهاي خاص وبدون تغيير وضعيت ظاهري عمليات خويش را انجام دهند.

• :Encrypting Virus

اين ويروسها پس از هربار آلوده سازي ساختار داخلي خود را تغيير مي دهند و يا از شيوه هاي خود رمزي استفاده مي كنند.ار آنجا كه اكثر برنامه هاي ضد ويروس تنها اطلاعات مشخصه ويروس را مي شناسند وآن را جستجو مي كنند نمي توانند در حالت معمول (بدون تنظيم هاي ويژه )تمام فايلهاي آلوده حاوي اين ويروسها را كشف كنند چرا كه برنامه هاي ضد ويروس در حالت معمولي ويروس را با ساختار مشخص آن مي شناسند.

4-Triggered Event Virus :

ويروسهائي هستند كه بخشي از عمليات تخريب خود را درساعت ويا در تاريخ خاص انجام مي دهند البته بايد توجه داشت كه تكثير وآلوده سازي فايلها در تمام اوقات فعال بودن ويروس در حافظه واجراي برنامه هاي ديگر انجام مي شود.

ليست و شرح ويروسها:

• وير وس onehalf يا :Freelove

اين ويروس كه اندازه آن 3544 بايت است بر روي فايلهاي COM,EXE ونيز Partition Table ديسك سخت قرار مي گيرد. ويروس فوق بسيار مخرب و خطرناك است .وقتي اين ويروس Partition Table يك كامپيوتر را آلوده نمايد بعد از آن در هر بار روشن شدن سيستم دو سيلندر از انتهاي هارد ديسك راكد كرده و به اين ترتيب بعد از مدتي حجم زيادي از اطلاعات را تخريب مي كند.بعد از اينكه اطلاعات نيمي از هارد ديسك تخريب شده وبه كد تبديل شد در روزهاي 4و 8 و12 و…(مضارب 4) هر ماه پيغام

DIS IS ONE HALF

PRESS ANY KEY TO CONTINUE

هنگام روشن شدن سيستم بر روي صفحه نمايشگر نمايش داده مي شود.

البته تا زماني كه خود ويروس فعال است و كنترل عمليات ورودي و خروجي را در اختيار دارد نمي توان متوجه اين تخريب شد ولي هنگاميكه اين ويروس را با هر برنامه ويروس كش ديگري غير از ويروس كش ايمن ويا با FDISK/MBR پاك كنيد بسته به مدت زمان عملكرد ويروس وميزان تخريب اطلاعات تمام يا قسمتي از اطلاعات از بين خواهد رفت .

لازم به يادآوري است كه ويروس كش ايمن علاوه بر پاك سازي ويروس از روي فايلهاي آلوده ونيز Partition Table اطلاعات كد شده را نيز بازسازي مي كند.

• ويروس :NATAS

اين ويروس كه اندازه آن 4744 بايت است بر روي فايلهاي O VL,DLL,SYS,COM,EXE و … وهمچنين قطاع راه انداز فلاپي ويا Partition Table ديسك سخت قرار مي گيرد.

اين ويروس بصورت كد شده بر روي فايلها مي نشيند كه اين كار تشخيص ويروس را  مشكل مي كنداين ويروس وقتي در حافظه قرار مي گيرد و فعال مي شود علاوه بر بوجود آوردن مشكلاتي براي برنامه هاي در حال اجرا در موارد نادر و خاصي ممكن است اقدام به فرمت كردن كل هارد ديسك نمايد كه اين كار باعث تخريب كل اطلاعات خواهد شد.

• ويروس :NIGHTFALL

اين ويروس كه اندازه آن 4555 بايت است بر روي فايلهاي قابل اجرا اعم از  O VL,DLL,SYS,COM,EXE و…. مي نشيند .اين ويروس بصورت كاملا“ كد شده وبا اندازه متغير از 4555 تا 4586 بايت بر روي فايلها قرار مي گيرد و شناسائي آن بسيار مشكل است .بعد از اجراي فايل آلوده ويروس در حافظه مقيم شده وكنترل عمليات ورودي/ خروجي را در اختيار مي گيرد كه اين كار مي تواند مشكلاتي را در اجراي برنامه هاي ديگر بوجود آورد.

اين ويروس بعد از مدتي فعاليت در زمانهاي مشخصي موش را غير فعال مي كند .در ضمن در موارد مشخصي نيز اقدام به نوشتن پيغام خود بر روي صفحه نمايشگر به شرح زير مي نمايد.

INVISIBLE AND SILENT-CIRCLING OVERLAND

///N 8 FALL ///

REARRANGED BY NEUROBASHER-GERMANY

MY-WILL-TO DESTORY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS-

4-ويروس :KONKOOR v1.5

اين ويروس كه اندازه آن 1746 بايت است بر روي فايلهاي COM قرار مي گيرد فايلهاي آلوده به اين ويروس تنها بر روي كامپيوترهاي داراي سيستم عامل 6.00-DOS 5.0-DOS 3.3 اجرا مي شوند و در واقع برنامه هاي آلوده به اين ويروس بر روي بقيه سيستم عاملها اجرا نمي شوند.

در صورتي كه هنوز ويروس در حافظه مقيم نشده باشد در اولين بار اجراي فايل آلوده ويروس خود را در حافظه مقيم مي كند و بدون اينكه فايل مورد نظر آلوده شود با دادن پيغام Bad command or file name از برنامه خارج مي گردد. دراين ويروس يك شمارنده قرار دارد كه بعد از رسيدن آن به مقدار معيني ويروس عمليات تخريبي خود را انجام مي دهد به اين صورت كه ابتدا پيغام زير را نمايش داده:

WARNING!!!

KONKOOR MUST BE DESTROYED!

SIG:=THE REAL COMPUTER SCIENTISTS=

KONKOOR v1.5-DATE:26 SEPTEMBER 1993

وبعد از آن 64 بايت از اطلاعات موجود در CMOS RAM كه مربوط به SETUP سيستم وشامل اطلاعات سخت افزاري مورد نياز براي راه اندازي سيستم است را پاك مي كند وبدين ترتيب سيستم از نظر سخت افزاري از كار مي افتد وتنها راه حل براي را اندازي مجدد سيستم بازگرداندن و باز نويسي اطلاعات CMOS RAMاست كه اين كار هميشه و به سادگي امكان پذير نيست.

5-ويروس :KONKOOR v2.0

اين ويروس كه اندازه آن 3072 بايت است بر روي فايلهاي EXE  و Partition Table ديسك سخت قرار مي گيرد.

اين ويروس فايلهاي Scan,Clean,Vshield,Findviru,Fv86,Fv386,Cleanboo,Viverify,Cert,Msav,Guard,Tdump را آلوده نمي كند.برنامه هاي آلوده به اين ويروس بر روي كامپيوترهاي داراي سيستم عامل كمتر از DOS5.00  اجرا نمي شوند ودر اين موارد پيغام Incorrect DOC Version داده مي شود. اين ويروس در روز سيزدهم هرماه Partition Table را در صورتي كه هنوز آلوده نشده باشد ويروسي مي كند .بعد از ويروسي شدن Partition Table هربار كه سيستم راه اندازي مي شود قبل از هر چيز پيغام زير نمايش داده شده وبراي گرفتن پاسخ كاربر منتظر مي ماند.

Konkoor V2.0-Creack Master-Last Days of 1995

What was The First Iranian Virus?

1.Abbas ???(was it iranan?)

2.Roohi

3.TDD-Konkoor V1.0

4.None Of Above

=This is The Last One if You Solve Copyright

Problem=Chosse the correct answer…

اگر كاربر پاسخ 3 را انتخاب كند عمليات راه اندازي سيستم طبق روال عادي ادامه مي يابد ودر غير اينصورت دوباره منتظر پاسخ شده ودر ضمن مد و فركانس صفحه نمايشگر را نيز عوض مي كند كه اين كار باعث بزرگتر شدن تصوير و احتمالا“Hang  كردن سيستم مي شود.

6- ويروس :ROOHI V2.0

اين ويروس كه اندازه آن 2048 بايت است برروي فايلهاي EXE قرار مي گيرد .اين ويروس فايلهاي Scan,Clean و Findviru را آلوده نمي كند .اين ويروس بسيار شبيه به ويروس KONKOOR v2.0 است وچنين بنظر مي رسد كه هر دو نوع ويروس KONKOOR  واين ويروس توسط يك نفر نوشته شده اند .اگرچه در داخل اين ويروس نام Roohollah Marashi  بعنوان نويسنده ذكر شده است .ولي چنين بنظر مي رسد كه اين نام غير واقعي باشد.

برنامه هاي آلوده به اين ويروس نيز همانند ويروس KONKOOR v2.0 بر روي كامپيوتر هاي داراي سيستم عامل كمتر از DOC 5.00 اجرا نمي شوند ودر عوض پيغام Incorrect DOC Version داده مي شود.

اين ويروس در روز سيزدهم هر ماه ابتدا پيغام زير را مي دهد .سپس به محتواي بايت شماره 38H از CMOS RAM باعث تغيير Checksum مربوط به SETUP سيستم شده وبدين ترتيب سيستم از نظر     سخت افزاري دچار مشكل مي شود.

پيغام اين ويروس در هنگام فعال بودن بشرح ذيل است:

Roohi V2.0

This is power of iran –1995

Roohi virus found,By syed Roohollah Marashi

7- ويروس FLIP يا :OMICRON

اين ويروس كه اندازه آن 2153 بايت است بر روي كليه فايلهاي قابل اجرا اعم از DLL,OVL,COM,EXE  و… وهمچنين Partition Table ديسك سخت مي نشيند .اين ويروس بصورت كد شده بر روي فايل قرار دارد و هنگامك آلوده سازي Partition Table اطلاعات Boot sector  را نيز دستكاري مي كند كه اين كار   مي تواند ساختار منطقي Partition  فعال را بهم ريخته و باعث غير قابل استفاده شدن بعضي از فايلها شود.

درصورتي كه سيستم ويروسي شده باشد در روز دوم هر ماه ساعت 10صبح حروف و كاراكتر ها برعكس شده و اطلاعات از سمت راست به چپ و از پايين به بالا بر روي نمايشگر نمايش داده مي شوند،بطوريكه اگر نمايشگر را 180 درجه بچرخانيم حروف در حالت صحيح قرار خواهند گرفت.

در داخل ويروس عبارت “OMICRON by PsychoBlast" وجود دارد كه هيچگاه نمايش داده نمي شود.

8- ويروس :SWORD

اين ويروس كه اندازه آن 794 بايت است تنها بر روي فايلهاي EXE قرار مي گيرد ودر انتهاي اين ويروس پيغام THE POWER OF MY SWARD!!! وجود دارد كه هيچگاه نمايش داده نمي شود.

9- ويروس :Michelangelo

اين ويروس بر روي Boot secyorفلاپي ويا Partition Table ديسك سخت قرار دارد ودر روز 6 مارس مطابق 16 اسفند ماه مقدار زيادي از اطلاعات ديسك سخت و فلاپي ها را از بين مي برد.

10- ويروس :FORM

اين ويروس تنها روي قطاع راه اندازي فلاپي و ديسك سخت قرار مي گيرد و تنها كاري كه انجام مي دهد اين است كه در روز هاي هجدهم هر ماه صفحه كليد را صدادار مي كند .يعني با زدن هر كليد يك صداي تيك از بلندگوي سيستم شنيده مي شود. درضمن در داخل اين ويروس پيغام زير وجود دارد كه هرگز نمايش داده نمي شود.

THE FORM-VIRUS SEND GREETINGS TO EVERYONE WHO’S

READING THIS TEXT FORM

DOESN’T DESTROY DATA!

PANIC!DON’T F….. GOTO C……

11- ويروس :RIPPER

اين ويروس بر روي Boot sector فلاپي و Partition Table ديسك سخت قرارمي گيرد و در فواصل زماني معين و مشخصي اطلاعات سكتورهائي را كه قرار است بر روي ديسك نوشته شوند با عوض كردن محتواي دو محل مجاور در سكتور به صورت اتفاقي دستكاري و تخريب مي كند.

12- ويروس :Antiexe

اين ويروس بر روي Boot sector فلاپي و Partition Table ديسك سخت قرار مي گيرد و در اجراي برنامه ها (در هنگام خواندن و نوشتن) فايلهاي EXE خاصي مشكل ايجاد مي كند.

13- ويروس :JUNKERS v1.0

اين ويروس يك ويروس ايراني است و اندازه آن از 9858 بايت به بالا متغير است .اين ويروس در واقع يك برنامه مخرب است وبه جاي اين كه به فايل ها بچسبد ،تماما“ بر روي فايل كپي شده و فايل اصلي را بطور كل از بين مي برد وبه اين ترتيب برنامه هاي ويروسي هرگز قابل اجرا و بازسازي نيستند وتنها راه از بين بردن ويروس ،پاك كردن فايلهاي ويروسي است.

اين ويروس در حافظه مقيم نمي شود ولي هر بار كه يك فايل ويروسي اجرا مي شود ،ابتدا تمامي فايلهاي EXE موجود در درايو و مسير جاري را به فايلهاي COM تغيير نام مي دهد و سپس تمامي فايل هاي COM را آلوده مي كند.

اگر برنامه هاي آلوده به اين ويروس در روز سوم هر ماه اجرا شوند ، به جاي آلوده كردن فايل ها در صورتي كه درايو جاري A: ياB: باشد، اولين سايد از  اولين شيار (Track) ديسكت را فرمت مي كنند وسپس پيغام زير را در وسط صفحه مي نويسد:

Hello, I’m JUNKERS virus(v1.00)Written in TEHRAN by …

I’m So Sorry about meeting you in this situation ,But there isn’t any Way except this one !!

Bye till next version !?”ha ha”

14- ويروس :BUGER.560

اين ويروس كه اندازه آن 560 بايت است بر روي فايلهاي COM قرار مي گيرد اين ويروس بر روي 560 بايت اول فايل نوشته مي شودومحتواي محلي كه ويروس بر روي آن قرار گرفته است ،كاملا“ ازبين مي رودو بنابر اين ويروسي قابل اجرا و بازسازي نيست.

اين ويروس در حافظه مقيم نمي شود ولي در هر بار اجراي فايل ويروسي ،فايلهاي COM موجود در ريشه اصلي درايو A: را در صورت پيدا شدن و ويروسي نبودن،ويروسي مي كند و در صورت پيدا نكردن فايل COM غير ويروسي ، تمامي فايلهاي EXE موجود در ريشه اصلي درايو A: را به فايلهاي COM تغيير نام  مي دهد وسپس اطلاعات دو سكتور  از درايوA: را به طور اتفاقي (Random) تخريب مي كند.

15- ويروس :EDWIN

اين ويروس بر روي بوت سكتور فلاپي و هارد ديسك قرار مي گيرد .هنگامي كه سيستم با بوت سكتور آلوده راه اندازي ميشود،ويروس در حافظه قرار مي گيرد ودر مواقع مشخصي محتواي قسمتهايي از حافظه را در قسمتي ديگر كپي كرده سيستم Hang مي كند.

16- ويروس:APADANA

اين ويروس ايراني كه اندازه آن 1500 بايت است بر روي فايلهاي COM قرار مي گيرد .در صورتيكه هنوز ويروس در حافظه مقيم نشده باشد،در اولين بار اجراي يك فايل آلوده ،ويروس در حافظه مقيم شده وبدون اينكه فايل مورد نظر اجرا شود،برنامه خاتمه مي يابد.ولي اگر ويروس در حافظه فعال باشد و تاريخ سيستم برابر با روز سي ام ماه باشد و ضمنا“ سيستم عامل نيز از نوع DOC V6.XX (يعني DOC 6.21,DOC6.02,DOC6.00 و…)باشد به هنگام اجراي يك فايل آلوده ،ابتدا صفحه نمايش پاك شده و پيغام زير در وسط صفحه نمايشگر نمايش داده ميشود وسپس برنامه اصلي اجرا مي گردد.

My name is APADANA

Iam a virus

Version 1.2

البته در صورت فعال بودن ويروس در حافظه در زمانهاي مشخص ديگري نيز اين پيغام نمايش داده مي شود كه در اين موارد ،بعد از نمايش پيغام سيستم Hang خواهد كرد.

17- ويروس:BAOBAB

اين ويروس كه اندازه آن بين 2304 تا 2319 بايت است بر روي فايلهاي EXE قرار مي گيرد.

قرار گرفتن اين ويروس در حافظه ممكن است باعث ايجاد اختلال در عمليات تخصيص حافظه به     برنامه هاي ديگر و در نتيجه Hang كردن سيستم شود.

ضمنا“ بعضي از فايلهاي آلوده به اين ويروس ديگر فايل اجرا نيستند.

18- ويروسJERUSALEM يا:FRIDAy 13^th

اين ويروس كه اندازه آن بين 1808 تا 1823 بايت است بر روي كليه فايلهاي اجرايي اعم از DLL,OVL,COM,EXE و… قرار مي گيرد.

اين ويروس در بعضي از موارد بجاي اينكه به فايل اضافه شده وسايز آن را افزايش دهد، بر روي قسمتي از فايل نوشته شده و باعث از بين رفتن آن قسمت از فايل مي شود كه در اين صورت حتي بعد از پاكسازي ويروس نيز نمي توان قسمتهاي از دست رفته را باز سازي كرد واين فايل مورد نظر قابل اجرا نخواهد بود.

اگر اين ويروس در حافظه فعال باشد ،در صورتي كه تاريخ سيستم برار با روز جمعه سيزدهم ماه باشد به هنگام اجراي برنامه ها آنها را پاك مي كند .ولي اگر روز جمعه سيزدهم نباشد ،در هر نيم ساعت يكبار تعدادي از خطوط موجود بر روي صفحه نمايش را به اندازه دوخط به بالا انتقال داده ويك تاخير كوچك نيز در كار سيستم ايجاد مي كند.

19- ويروس :FORM.Y

اين ويروس بر روي Boot Sector فلاپي و هارد ديسك قرار مي گيرد.

20- ويروس :STONED

اين ويروس بر روي Boot Sector فلاپي ويا Partition Table هارد ديسك قرار مي گيرد. اين ويروس هنگام آلوده سازي Boot Sector فلاپي ،اطلاعات Boot Sector را نيز تخريب مي كند كه اين كار باعث مي شود ساختار منطقي ديسكت از بين رفته و دسترسي به فايل ها غير ممكن شود كه البته در صورت بازسازي اين اطلاعات و يا پاكسازي ويروس توسط ويروس كشهاي معتبر، اين مشكل برطرف مي شود.

21- ويروسSTONED.MANITOBA يا:STONEHENGE

اين ويروس بر روي Boot Sector فلاپي ويا Partition Table هارد ديسك قرار مي گيرد. ديسكتهائي كه توسط اين ويروس آلوده شده باشند، قادر به بوت كردن سيستم (Bootable) نخواهند بود ودر صورتي كه بخواهيد سيستم را توسط فلاپي آلوده بوت كنيد سيستم Hang خواهد كرد.

22- ويروس :HELLIS

اين ويروس ايراني بر روي فايل هاي EXE قرار مي گيرد.

در حال حاضر اطلاعات بيشتري از اين ويروس در دست نيست .

عملكرد ويروسهاي كامپيوتري همانند ويروسهاي طبيعي است يعني وارد كامپيوتر ميشوند وتا زماني كه شرايط خاصي براي فعاليت نيابند به حالت خاموش همانجا باقي مي مانند .وقتي شرايط خاص در كامپيوتر فراهم شود آنگاه فعال شده و بسته به خلق و خوي خود كارهايي را انجام ميدهند كه بعضي از آنها ميتوانند بسيار مشكل ساز باشند. در اين قسمت شما را با بعضي خصوصيات اين ويروسها آشنا مي كنيم.

كليك از روي كنجكاوي يك عادت خطرناك

كليك كردن يك فايل از سر كنجكاوي ميليونها كامپيوتر را به ويروسهاي كامپيوتري آلوده مي كند .اين كار باعث فعال شدن ويروس در صورت وجود مي شود و از آنجايي كه هيچ اسكنري نمي تواند همه ويروسها را شناسايي كند بهتر است فايلهاي ناشناس و مشكوك را كليك نكنيد.

استفاده از اسكنر بهترين راه حل براي بسياري از كاربران است.كساني كه درزمينه ويروس ها تخصص دارندبه بازبيني حصت داده ها و نسخه هاي پشتيبان متكي هستند و كمتر از اسكنر استفاده مي كنند چون هيچ اسكنري نمي تواند شناسايي صد در صد ويروسها را تضمين كند. ولي براي بسياري از افراد استفاده از اسكنر ضرورت دارد.

براي شناسايي ويروس ،بعضي نسخه هاي ضد ويروس رايگان هم وجود دارد با اين حال حتي اگر يك اسكنر رايگان ،ويروسي را پيدا كند بعضي از عرضه كنندگان ضد ويروس كاربران را ملزم به خريد نسخه غير رايگان نرم افزار خود براي برطرف كردن همان ويروس مي كنند.

ويروسهاي كامپيوتر شخصي و مكينتاش

تنها راه تكثير ويروس اجراي آن است،و ويروس كامپيوتر شخصي (كه اسكنر مكينتاش را شناسايي نمي كند)در سيستم عامل مكينتاش اجرا نمي شود ويروسهاي كامپيوتر شخصي Activex وVB Scripts در صورت عدم استفاده از محصولات مايكروسافت نمي توانند به كامپيوتر مكينتاش صدمه بزنند كساني كه از محصولات مايكروسافت استفاده مي كنند بايد با آسيب پذيريهاي آنها آشنا شوند با وجود آن كه كامپيوتر مكينتاش براي ديسكهاي فلاپي از فرمت متفاوتي استفاده مي كند به خوبي ديسكهاي با فرمت كامپيوتر شخصي را مي خواند ودر آنها مي نويسد . ويروسهاي كامپيوتر شخصي (ويندوز) سيستمي كه ويندوز را اجرا مي كندآلوده مي كنند. از جمله سيستنهاي مكينتاش و لينوكس كه از ويندوز تقليد مي كنند كرمها يا ورمهاي ABC سيستمي را كه ويژوال بيسيك در آن نصب شده و ويروسهاي جاوا و Activex سيستمهايي را كه مي توانند آن نرم افزارهاي اسكريپت نويسي را اجرا كنند آلوده مي كنند از جمله اين سيستمها مكينتاش است.

ويروس KRIZ

عرضه كنندگان نرم افزارهاي ضد ويروس مي گويند يك ويروس مخرب به نام KRIZ از 1999 در شبكه ها مخفي شده و منتظر زمان مناسب براي حمله ميباشد. KRIZ مانند با با نوئل در طول سال خود را آماده كرده نام خود و شكلهاي انتقال را تغيير داده تا در تاريخ 25 دسامبر ظاهر شود و اين زماني است كه ويروس براي حمله برنامه ريزي شده است.

با وجود داستان پردازيهايي كه در باره گذشته KRIZ  W32. شده به گفته تعدادي از عرضه كنندگان ضد ويروس كه نسبت به خطر KRIZ هشدار دادند تهديد واقعي هميشه در شب كريسمس فرا مي رسد KRIZ مانند بسياري از ويروسها وارد كامپيوتركاربر مي شود و مي كوشد فايلهاي اجرايي با EXE را آلوده كند ولي برخلاف اغلب ويروسها براي فعال شدن تا روز كريسمس منتظر مي ماند .

پاتريك مارتين مدير توليد مر كز تحقيقات ضد ويروس شركت سايمنتك مي گويد:اين ويروس 364 روز سال را مي خوابد و روز كريسمس بيدار مي شود تا سيستم شما را نابود كند. KRIZ مي تواند هر روز سال وارد دستگاه شود. بدون آنكه متوجه شويد تنها روز كريسمس مي فهميد كه آلوده شده ايد.

KRIZ ابتدا در آگوست 1999 ظاهر شد اين برنامه غير فعال باقي  ماند تا در روز 25 دسامبر دو سال قبل كه به تعدادي از كاربران خسارت زد و عرضه كنندگان ضد ويروس را واداشت به روز سازي حفاظت ضد ويروس را به كاربران توصيه كنند.

سايمنتك و مك آفي شعبه اي از شركت نت ورك آسوشيتس مي خواستند براي حفاظت مشتريهاي خود در مقابل KRIZ هشدار صادر كنند از آنجا كه اين ويروس مدتي است كه وجود دارد اين عرضه كنندگان اميدوار بودند كه مشتريها وقت كافي براي آماده سازي خود داشته باشند .باوجود آنكه بنظر مي رسد كاربران شركتها آمادگي بيشتر براي دفع KRIZ دارند كاربران نهايي مصرف كننده كه توجه كمتري نسبت به روز سازي نرم افزارهاي ضد ويروس خود دارند احتمالا“ دوباره قرباني KRIZ مي شوند. اگر كاربري قرباني روشهاي شيطاني KRIZ شود مي تواند انتظار اوقات دشواري را داشته باشد KRIZ يك ويروس ويندوز 98 و ان تي است كه فايلهاي Portable Executable(PE)Windows را آلوده مي كند .اين ويروس همچنين فايل مهم KERNEL 32.DLL  سيستم عاملها را تغيير مي دهد و تهديد به آسيب رساندن به بايوس پي س ها مي كند. به اين ترتيب جلوي بوت خودكار سيستم را مي گيرد . حمله به بايوس بخصوص ممكن است تعطيلات كاربر را خراب كند.وينيست گالتو مدير ارشد آزمايشگاههاي (Anti-Virus Emergency Response Team) Avert مك آفي مي گويد : با آسيب ديدن بايوس دستگاه قفل مي كند و ديگر قابل استفاده نيست.

با وجود آنكه سايمنتك و مك آفي هيچ كدام نتوانستند منشا KRIZ را پيدا كنند ، هردو شركت متوجه شدند كه اين كد راه خود را به سيستم كاربران زيادي باز مي كند. در بعضي موارد KRIZ خود را به ويروس رايج ديگري به نام Happy99.Worm وصل مي كرد. KRIZ مستعد خطر كمتري بود چون نمي توانست خود را تكثير كند با اين حال بعد از وصل شدن به يك ويروس قابل انتشار با نامه الكترونيكي مانند Happy99. KRIZ ممكن است بيش از آنچه انتظار مي رفت به دستگاههاي كاربران راه پيدا كرده باشد.

بنا به اعلام مك آفي در روزهاي گذشته حدود 4 مورد آلودگي با KRIZ گزارش شده است . كاربران آمريكاي شمالي تفريبا“ 9 درصد از موارد گزارش شده را تشكيل مي دهند .

گالوتو با گفتن اين كه KRIZ طبيعتا“ بايد زماني كه كاربران خود را براي مشكل هزاره آماده مي كردند نابود مي شد. اضافه مي كند : گاهي تعجب مي كنيم كه مردم در طول سال ، نرم افزار خود را به روز نكرده اند .

سايمنتك و مك آفي هر دو KRIZ را به عنوان يك تهديد متوسط در تمام تاريخ آن ارزيابي كردند. هر دو عرضه كننده اميدوارند كاربران به هشدارهاي آنها توجه كنند و خود را در مقابل اين ويروس محافظت كنند.

با سايمنتك در كاپرتينو كاليفرنيا به آدرس http:// www.symantec.com تماس بگيريد.

اطلاعات بيشتر در باره اين ويروس در سايت وب http://avertlabs.com در دسترس است.

ويروس tennis

شخصي كه مسئول نوشتن ويروس tennis است مي گويد هدف وي صدمه زدن به كامپيوترها نبوده و فقط قصد داشته به كاربران كامپيوتر در باره عملكردهاي آن لاين امن درس داده باشد.

اين برنامه توسط برنامه نويسي از آرژانتين با Worm-Generator ويژوال بيسيك نوشته شد. وي در نامه اي كه به Homepage (صفحه خانگي) Triped ارسال داشت نوشت : من اين كار را براي سرگرمي انجام ندادم .

وي گفت پس از خواندن مقاله اي كه بر اساس تحقيقات International-data-corp نوشته شده بود تصميم گرفت اين ويروس را بنويسد. در آن مقاله آمده بود كه بازديد كنندگان وب هنوز هم ضمايم ناشناخته الكترونيكي را باز مي كنند .با وجود اينكه خطر ويروس Love به همگان اعلام شده است ويروس Love بيليونها دلار خسارت وارد نمود.

وي گفت: من فكر مي كنم IDC حق دارد، من قصد نداشتم به افرادي كه اينگونه ضمائم را باز مي كنند صدمه بزنم اما اين صدمه بدليل اشتباه خود آنان است.

Onthefly (نام مستعار نويسنده ويروس) نامه اي به Inboxها مي فرستد كه شامل عكس ستاره 19 ساله روسي تنيس آناكارنيكو مي باشد. به محض گشودن ضميمه ،ويروس به همه آدرسهاي موجود در Outlook-address-book  ارسال مي گردد. فروشندگان آنتي ويروس به سرعت نسخه اي براي خنثي سازي آن منتشر نمودند.(كامترونت 8/12/79)

چگونگي كار ويروسها: تكثير،اختفاو حمله

كار اين ويروس ها عملا“ از سه بخش تشكيل مي شود: تكثير،پنهانكاري، وحمله.

ويروس ها از طريق بخش تكثير خود را در ميان داده هاي گوناگون پخش مي كنند .بخش پنهان كننده به ويروس كمك مي كند تا در محيط سيستم ناشناس باقي بماند .در پايان ،بخش آسيب رساننده است كه فعال شده و هدف ويروس كه همان تغيير دادن داده هاست را تامين مي كند. ويروسها ي خطرناك اغلب چيزي از داده ها باقي نمي گذارند. براي نمونه ويروس One Half داده هاي كامپيوتر را چنان تغيير مي دهد كه كاربر ديگر نمي تواند به آنها دسترسي داشته باشد.

البته آسيب ويروس ها هميشه به اين روشني نيست .به ويژه ويروسهائي كه مستندات را آلوده مي كنند بسيار آب زير كاه هستند. اين ويروس ها بي سر و صدا در فايل هاي Word و جدولهاي Excel رخنه كرده و اعداد و ارقام آنها را تغيير مي دهند و چون كاربر از جريان بي خبر است اين فايلها به بايگاني و نسخه هاي پشتيبان نيز راه پيدا مي كنند. روشهاي آلوده سازي هوشمند باعث مي شوند تا نوع آسيب به فايلها متفاوت باشد.

روشهاي پنهان كاري در ويروس هاي پلي مرف بسيار هوشمندانه است . ويروس هر بار هنگام آلوده سازي كد را تغيير داده ويك ويروس تازه توليد مي كند و از اين رهگذر برنامه ويروس ياب را به دردسر مي اندازد.

ويروسهاي كامپيوتري را مي توان به سه گروه تقسيم كرد:ويروسهاي بوت ،ويروسهاي فايل و ماكرو  ويروس ها . ديگر گونه هاي ويروس همگي تركيب يا زيرگروهي از اينها هستند.

ويروسهاي بوتبرنامه بارگذار در قطاع بوت يا ركورد اصلي بوت (MBR) را آلوده مي كنند. ويروس يا بخشي از آين ناحيه را بازنويسي مي كند يا ارتباطي با كد اصلي كه در جاي ديگر ي روي ديسك سخت قرار دارد ،برقرار مي كند.

ويروسهاي فايل به فايلهاي اجرايي با پسوندهاي COM .يا EXE .و فايلهاي سيستمي DLL. و فايلهاي اسكريپتي (.VBS) حمله مي كنند.

ماكرو ويروسها مستنداتي كه ويژگي ماكو در آنها فعال است را آلوده مي كنند.به ويژه فايلهاي Word وpower Point و جدولهاي Excel طعمه هاي خوبي براي اينگونه ويروسها هستند.

ويروس هاي مقيم پس از فعال شدن در حافظه باقي مانده و از آنجا برنامه هاي ديگر را آلوده مي كنند. برخي از ويروس هاي مقيم در حافظه مانند Joshi Virus حتي كامپيوتر را بوت مي كنند .

ويروسهاي پنهان كار با استفاده از روشهاي پنهانكاري خود را از ديدكاربر و برنامه هاي ويروس ياب مخفي مي كنند.

ويروس هاي پلي مرف هر بار هنگام حمله به فايل ،كد خود را تغيير مي دهند.

ويروسهاي Cross-Infector ويروسهايي هستند كه از يك برنامه به برنامه ديگر مثلان از Word به Excel مي روند .برخي از اين ويروسها حتي روي سيستم عامل هاي مختلف هم اجرا مي شوند.

ويروسهاي اسكريپتي در اسكريپت هاي نوشته شده به VBS يا Javascript پيدا مي شوند.

ويروس هاي HTML به فايلهاي HTML حمله مي كنند . از آنجا كه زبان HTML قدرت كافي براي نوشتن ويروس را ندارد ويروسهاي HTML فرمانهاي VBS يا Javascript را به كار مي گيرند برخي از اين ويروس ها مانند JK/KAK.WORM @M حتي با استفاده از كنترلهاي Activex به قدرتهاي بيشتري دست پيدا مي كنند.

اسب هاي تروآيي خود را به شكل برنامه هاي سودمند معرفي كرده و در پشت برنامه هايي مانند    محافظ هاي صفحه تصوير پنهان مي شوند رخنه كنندگان از اين شيوه براي دزديدن اطلاعاتي همچون رمزهاي عبور استفاده مي كنند.

كرم ها خود را به سرعت درشبكه تكثير مي كنند و از  طريق سرويس دهنده هاي Mail به دورترين نقاط شبكه مي رسند.

بمب هاي منطقي تا زمان وقوع يك رخداد از پيش تعيين شده (مانند تاريخ،ساعت، كليدهاي صفحه كليد يا كليك ماوس ) در كمين مي نشينند . اين ويروسها همه يا بخشي از اطلاعات سخت ديسك را نابود مي كنند.

Dropperها در اصل ويروس نيستند بلكه ويروس ها را به كامپيوتر تزريف مي كنند .برخي از Dropperها به كمك فرمانهاي Debug ويروس مي سازند.براي مقابله با اين كار بهتر است نام فايل Debug .Com را به چيز ديگر همچون Debug!.com تغيير بدهيد.

HOAXها با پيغام هاي بي پايه كاربر را نسبت به آلوده شدن سيستم نگران مي كنند.

ويروسهاي خفته :

اين ويروسها به انتظار رخ دادن واقعه معيني مي مانند. مولفاني كه روي اين ويروسها كار كردهاند ظاهرا“ به اين نوع ويروس علاقه مند بوده اند و بنابر اين تقريبا“ تمامي كتب منتشر شده در اين زمينه حاوي مثالي از ويروس مي باسند كه در روز اول آوريل تمامي داده ها و برنامه ها را پاك مي كند.

ويروس كريسمس (The Christmas Virus)

ويروس كريسمس (VM/CMS) را ممكن است بعضي از خوانندگان بشناسند حداقل نام آنرا شنيده باشند گفته مي شود كه اين ويروس از كلاوستال در آلمان غربي شروع شد، به اين صورت كه به سرعت روي EARN/Bitnet(يك شبكه علمي – دانشگاهي) انتشار يافت و بزودي حتي در توكيو هم ديده شد .

ويروس ويني (The vienna virus)

اين يك ويروس كامپيوتر فوق العاده باهوش MS-DOS است، اثرات دستكاريهاي آنرا بسختي مي توان در اينجا محاسبه نمود. در بي ضررترين موارد باعث مختل شدن سيستم مي شود . مشكل مي توان حدس زد كه وسعت انتشار آن در حال حاضر چقدر است زيرا عمل دستكاري ويروس فقط تحت شرايط معيني فعال مي شود(طي ثانيه هايي از ساعت سيستم كه بر هشت قابل قسمت باشند).

ويروس راهزن بايت(Byte Bandit)

اين ويروس تا آن حد كه تيتر روزنامه اي در آغاز سال 1988 با عنوان ؛برنامه كشنده: اولين كامپيوتري كه مي ميرد؛ ادعا مي كرد خطر ناك نبود. ويروسي كه در كامپيوتر مركزي دانشگاه عبري اورشليم ديده شد بسيار كم خطر تر از اين بود .اين مقاله كمك كرد كه به هكرها بيشتر و بيشتر برچسب مجرم و خطر ناك زده شود. تحقيقات مبتني بر اين مقاله آشكار ساخت كه اگرچه ويروسها در اين دانشگاه ظاهر شده اند ،به كامپيوتر بزرگ حمله نكرده و فقط PC هاي داراي سيستم عامل MS-DOS را آلوده كرده اند يك ضد ويروس بسرعت براي آن تهيه شد .از آنجا كه ضعفهاي اين پادزهر كاملا“ آشكار بود (تغيير كوچكي در ويروس برنامه را بلا استفاده مي ساخت) ،هيچگاه در اختيار عموم قرار داده نشد.

ويروس هرج و مرج نرم افزار(Software Vnadalism)

ويروسي در دانشگاههاي مختلف ايالات متحده ظاهر شد كه پردازنده دستورات را به گونه اي تغيير مي داد كه هرگونه اقدام به دستيابي به ديسك با استفاده از DIR ,COPY,TYPE وغيره بصورت مخرب عمل مي كرد. با نوشته شدن ويروس بر روي كد COMMAND.COM در ديسك گردان مربوطه اين فايل معيوب مي شد. در جهارمين آلودگي ، با نوشته شدن بر روي تراكهاي راه اندازي و FAT، ديسك مورد دستيابي كاملا“ پاك مي شد.

راه تشخيص اين ويروس تغيير تاريخ و زمان COMMAND.COM است.

مجموعه ساخت ويروس (Virus Construction set)

در اين حال يك مجموعه ساخت ويروس (VCS) در آلمان براي Atari ST توليد شده است. اين برنامه به كاربر امكان مي دهد كه با استفاده از رابط GEM ويروسهايي را با پارامترهاي قابل انتخاب متعدد به شكل دلخواه خود بنويسد. پسوند Extension فايلهايي كه بايد آلوده شوند ،ديسك كردانهايي كه ويروس بايد روي آنها كار كند و نوع دستكاري ويروس همگي مي توانند از طريق منو انتخاب شوند. علاوه بر دستكاريهاي قابل انتخاب (پاك كردن ديسك ، reset و غيره) خود كاربر نيز مي تواند دستكاريهاي دلخواه خود در برنامه بگنجاند.

از انجا كه سازنده برنامه بخوبي از خطرات آن آگاه بوده است ،يك برنامه نابود كننده ويروس را نيز همراه آن ارائه نموده است كه ويروس هاي پراكنده شده را يافته و برنامه هاي مربوطه را پاك مي كند. سازنده اجازه داده است كه اين برنامه براي رفع آلودگي به كاربران ديگر امانت داده شود.

بايك آزمايش مشخص شد كه با استفاده از شكاف حفاظت در برابر نوشتن ديسك و نيز فقط خواندني كردن فايل مي توان جلوي گسترش ويروسهاي ايجاد شده را گرفت. برنامه نابود كننده ويروس فقط  برنامه هاي آلوده را مي يابد و نه خود  برنامه هاي ويروس را.

ويروسهاي آميگا

طرح سيستم اميگا محيط عالي را براي برنامه هاي ويروس فراهم آورده است. دو ويروس از ويروسهايي كه تا به حال ظاهر شده اند اينها هستند:

ويروس SCA

برنامه ويروس مقيم در حافظه SCA (Sriss Crackers Association) هر بار كه ديسك عوض مي شود خود را روي بلوك راه اندازي ديسك كپي مي كند . پس از هر تكثير موفقيت آميز (پس از شانزدهمين كپي)با پيغام ذيل اعلام موجوديت مي كند:

Something wonderful has happened. Your Amiga is alive…

غير از ظاهر شدن اين پيغام عملكرد سيستم تغييري نمي نمايد.

ويروس راهزن بايت(Byte Bandit)

ويروس Byte Bandit در هر بار تعويض ديسك خودش را روي بلوك راه اندازي كپي كرده و شماره نسل خود را در فرزند خود مي نويسد . ويروس داراي يك شمارنده داخلي ديگر در فاصله مبدا 3D4h مي باشدكه پس از حدود پنج دقيقه باعث مختل شدن سيستم مي شود و پس از هر 20 بار Reset روي بلوك 880 را مي نويسد. اين ويروس را فقط با نوشتن بايتهاي صفر روي بلوكهاي صفر و يك مي توان از بين برد هيچيك از اين دو برنامه ويروس نمي تواند ديگري را تحمل كند و تركيب آنها باعث مختل شدن سيستم مگا مي شود هر دو برنامه در برابر Reset مقاوم هستند (خاموش كردن كامپيوتر به مدت حداقل 5 ثانيه آنها را از حافظه پاك مي كند) و حاوي متوني هستند كه بواسطه آنها براحتي قابل يافتن مي باشند.

طبيعتا“ كاربر مي خواهد بداند كه چگونه مي تواند يك حمله ويروسي را تشخيص دهد.

تشخيص ويروس ها

يافتن پاسخي براي اين سؤال تقريبا غير ممكن است. طبيعتا“ علايم معيني وجود دارند كه نشانه حمله ويروسي مي باشند ولي فقط يك برنامه نويس سيستم كه ساختارداخلي ويروس را به حالت خوانا برگردانده باشد مي توانداثبات نهايي را ارائه دهد. براحتي مي توان درك كرد كه بررسي تمامي برنامه هاي سيستم در يك كامپيوتر شخصي زمان زيادي مي برد و براي يك ميني كامپيوتر يا كامپيوتر بزرگ به سختي قابل تحقق است. بنابر اين در چنين سيستمهاي پيچيده اي از خير چنين بررسي مي گذرند و در عوض كل سيستم را مجددا“ نصب مي كنند.

از انجا كه در اين فصل تاكيد بر روي سيستم عامل MS-DOS است ، مي توانيم نكات چندي را براي تشخيص ويروسها ارائه دهيم.در دسامبر 1986 نشريه پيك هكرهاي باواريا(Bavarian Hackerpost ) ليستي از برنامه هائي را كه بوضوح بايد آنها را مضر تلقي كرد انتشار داد. اين ليست كه در اصل از يك منبع انگليسي گرفته شده است، درنظر نبوده است كه سراسر جدي باشد زيرا در مورد برنامه هاي داراي آثار دراز مدت هم اخطار كرده است . اما ليست جدي ترين برنامه هاي مهاجم نام برده شده را در اينجا مي آوريم . تمامي اين برنامه ها ’اسب تروآ’ هستند يعني برنامه هايي كه علاوه بر كار اصلي شان كارهاي ديگري را نيز انجام مي دهند (براي اغفال كاربر)

ARC513.EXE اين برنامه به محض راه اندازي تراك صفر ديسك نرم يا سخت را نابود مي كند.

BALKTALK نسخه هايي از اين برنامه در دست تهيه است كه سكتورهاي ديسك را نابود مي كند

DISKSCKAN با نامهاي مختلفي وجود دارد . وظيفه اصلي آن يافتن سكتورهاي معيوب بود. نسخه هاي دستكاري شده آن سكتورهاي معيوب ايجاد مي كنند.

DOSKNOWS FAT       را نابود كرده وبدينوسيله ديسك را غير قابل استفاده مي كند. نسخه اصلي آن بايد دقيقا“ 5376 بايت طول داشته باشد .اگر طول آن با اين مقدار متفاوت باشد معلوم مي شود كه برنامه تغيير داده شده است.

EGAPTR   تصور مي رود كه هدف ازآن بهتر كردن تصاوير EGA است. همه چيز را پاك كرده واين جمله را به نمايش در مي آورد Arf!Arf!Got you.”: “

FILER.EXE داده ها را پاك مي كند

SECRET.BES يك راز به معناي واقعي كلمه . با قالب بندي ديسك سخت مانع از هر گونه دستيابي به آن مي شود.

STRIPES.EXE  پرچم آمريكا را به نمايش در آورده ودر همين حال اسم رمزها را خوانده و آنها را در فايلي بنام STRIPES.BQS قرار مي دهد.

VDIR.COM نابود كننده ديسك.

طبيعتا“ اين ليست نه كامل است ونه جديد زيرا بسياري از كاربران با دستور RENAME درDOS آشنا هستند… اگر متوجه يك يا چند مورد از علائم ذيل شديد ،خوب است بررسي دقيقتري از نرم افزارهايتان بعمل آوريد:

• برنامه ها كندتر از حد معمول هستند
• برنامه ها مراجعاتي به ديسك انجام مي دهند كه قبلا“ انجام ني دادند.
• زمان باردهي افزايش يافته است.
• مختل شدنهاي بي دليل سيستم.
• برنامه هايي كه قبلا“ مي توانستند باردهي شوند حال با چاپ پيغام “Not enough memory" باردهي نمي شوند.
• افزايش حجم برنامه ها
• پيغامهاي خطاي ناشناخته يا مبهم
• كاهش فضاي خالي ديسك بدون اينكه فايلي اضافه شده يا به محتواي فايلها افزوده شده باشد
• نرم افزارهاي مقيم در حافظه (مانندSidekick )با خطا اجرا شده يا اصلا“ اجرا نمي شوند.

حال هر خواننده اي خواهد گفت :  قبلا“ بعضي از اين وقايع در سيستم من رخ داده است.اگر در نظر آوريد كه سيستم عامل MS-DOS تا چه حد پيچيده شده است اين امر شگفت انگيز نخواهد بود. اما خواننده احتمالا“ اينرا نيز خواهد پذيرفت كه چنين خطاهايي فقط وقتي رخ مي دهند كه از نرم افزارهاي جديد يا اصلاح شده استفاده مي شود(گفته مي شود كه سخت افزار مقصراست) .اگرتاكنون با چنين خطاهايي برخورد نكردهايد كافي است سعي كنيد چند برنامه مقيم در حافظه را همزمان باردهي نماييد. مطمئنا“ يك پيغام خطا حاصل مي شود.

خطاهاي ويروسها

اين خطاها ازمسائل مربوط به همسازي ناشي مي شود مانند وقتي كه يك آدرس وقفه توسط چند برنامه تغيير داده مي شود. طبيعتا“ برنامه هاي ويروس همين مشكلات مربوط به همسازي را دارند. ويروسها بايد بطور مخفي كار كنند بدون اينكه كاربر متوجه شود كه در حال انجام چه كاي هستند، چيزي كه هميشه انجام آن آسان نيست و از آنجا كه حتي شركتهاي بزرگ نرم افزار مشكلاتي از نظر قابليت اجراي      برنامه هايشان دارند يك برنامه ويروس حداقل همان مشكلات را دارد ،اگر بيشتر نداشته باشد. عموما“ براي يك ويروس زمان كافي براي يك تست جامع وجود ندارد و بنابر اين ويروس ها ناقص بوده و داراي خطا مي باشند. همين خطا ها باعث مي شوند كه كاربر از وجود ويروس ها آگاه شود.

ويروس هاي شبيه سازي خطا

يك نوع ديگر از ويروس ها كابر را به اين سو هدايت مي كنند كه تصور كند سيستم خطا دارد. شركتهاي نرم افزار براي مدتي از چنين ’خطا هاي دروغيني ’اگر چه در رابطه با برنامه هاي ويروس ،براي فاش شدن كپي هاي غيرمجاز نرم افزار هايشان استفاده كرده اند .مثالي از خطايي از اين نوع:

International error number:084 876 at positition PC 586 please notify the manufactorer

طبيعي است كه چنين خطايي وجود ندارد. اين پيغام خطا در صورت سعي در شكستن حفاظت در برابر كپي ايجاد شده و حاوي هيچ چيزجز شماره سري برنامه نيست،كه شركت نرم افزار با استفاده از آن مي تواند دريابد كه اين نسخه از كجا آمده است.

مي توان انتظار داشت كه برنامه نويسان ويروس ها نيز از چنين روش هايي استفاده كنند. مثالي بي ضرر از ويروس هاي شبيه سازي كننده خطا برنامه ويروس Rush Hour نوشته شده توسط بي.فيكس است كه خرابي صفحه كليد را شبيه سازي مي كند و هر بار كه كليدي فشار داده مي شود صدايي را از بلندگوي سيستم توليد مي كند. ويروس اين كار را پس از مدت معيني انجام مي دهد تا كاربر تصور كند كه يك اشكال حرارتي در مورد صفحه كليد وجود دارد.

بايد ميان برنامه هايي كه فقط يك پيغام خطا را مستقيما“ روي صفحه نمايش يا چاپگر چاپ مي كنند و برنامه هايي كه واقعا“ باعث ايجاد خطا مي شوند تميز قائل شويم. در اينجا رسم حد فاصلي ميان ويروس هاي شبيه سازي كننده و ويروسهاي مخرب مشكل است. مثلا“ نمي توان گفت كه ويروسي كه بطور مداوم سكتورهاي بيشتر و بيشتري را روي ديسك سخت بعنوان سكتورهاي معيوب مشخص مي كند و به اين طريق ظرفيت ديسك سخت را كاهش مي دهد دقيقا“ از كدام دسته است. خطايي براي كاربر شبيه سازي مي شود ولي در واقع هيچ صدمه اي به سخت افزار زده نشده است زيرا با قالب بندي مجدد ديسك مي توان از آن استفاده نمود. اما اين رفتار ممكن است باعث شود كه بعضي از كاربران با مشاهده اينكه تعداد سكتور هاي معيوب روز به روز افزايش مي يابد به مارك ديگري از ديسكهاي سخت رو كنند.

اساسا“ در شبيه سازي يك سيستم معيوب حدي بر قدرت تخيل برنامه نويسان ويروس وجود ندارد. تمام آنچه كه براي اينكه كاربر شروع به ترديد در مورد كامپيوتر خود بنمايد لازم است اين است كه پيغام خطاي “PPARITY CHECK 1” در فواصل منظم به نمايش در آورده شود. مثال فوق در مورد ديسك سخت نشان مي دهد كه چنين برنامه هايي مي توانند فروش سخت افزار را بالا ببرند وبايد ديد آيا بازار سخت افزار كه هر روز رقابت آميز مي شود بعضي از شركتها را وا خواهد داشت كه از ويروس ها براي بالا بردن تقاضا استفاده كنند يا خير.

ويروسهاي جايگزين شونده

ويروسهاي جايگزين شونده از ديدگاه برنامه نويسان ساده ترين نوع برنامه هاي ويروسي هستند ويژگي مشخصه اين ويروس ها اثر مخرب آنها است. سيستم هاي كامپيوتري كه برنامه هاي آنها به اين ويروسها آلوده شده باشد كاملا“ بسرعت و به محض حاد شدن آلودگي علائمي از خود نشان مي دهند .

اگر تعريف ويروس جايگزين شونده را به اين صورت بپذيريم كه ويروسي است كه كد برنامه ميزبان را نابود مي كند بطوريكه ديگر قابل بازسازي نخواهد بود، پس پياده سازي يك الودگي “خفته“ در تمامي برنامه هاي سيستم با چنين ويروسي غير ممكن خواهد بود زيرا كاربر به سرعت آگاه خواهد شد كه اشكالي وجود دارد. عموما“ تصور مي شود كه خطا در سخت افزار است زيرا مرتبا“ پيغامهاي خطاي جديدي رخ مي دهد .

ويروسهاي غير جايگزين شونده :

يك گونه خطرناكتر ويروسهاي كامپيوتري ،اگر چه ممكن است در نظر اول كمتر خطر ناك بنظر برسند، ويروسهاي غير جايگزين شونده هستند. از آنجا كه عموما“ نابود كردن برنامه هاي آلوده مطلوب كاربر نيست، اين نوع ويروس مي تواند سالها در سيستم كامپيوتر ي حاضر و فعال باشد بدون انكه كاربر از آن آگاه باشد ( در اينجا بر روي “حاضر و فعال “ تاكيد داريم)

در مقابل ويروسهاي جايگزين شونده به محض اينكه فعال شدند، يعني خود را تكثير كردند باعث وقوع خطا مي شوند.

تصور اينكه  ويروسهاي غير جايگزين شونده نسبتا“ بي ضرر هستند از اين واقعيت ناشي مي شود كه پيغامهاي خطا كه نوعا“ در مورد ويروسهاي جايگزين شونده رخ مي دهند در مورد اين ويروسها ظاهر نمي شوند. در كنفرانسها نيز ديده شده است كه تاثير نمايش ويروسي كه بدون نمايش پيغام خطا خود را تكثير مي كند در شركت كنندگان به اندازه ويروسي كه پس از دومين آلودگي پيغامهاي عجيبي را به نمايش در مي آورد نيست.

اگر هيچگونه علائمي وجود نداشته باشد ،هيچ اشكالي وجود ندارد؟

اما چگونه مي توان بدون صدمه زدن به برنامه ها لآنها را آلوده نمود؟ سؤالي كه هر كسي سعي كرده است عملياتي اضافي را در برنامه هاي موجود (كد اجرائي) بگنجاند خواهد پرسيد.

ويروسهاي غيرجايگزين شونده شبيه  ويروسهاي جايگزين شونده ساخته مي شوند اما داراي تابعي اضافي به شكل يك روتين MOV مي باشند. اگر به سير آلوده سازي اين ويروسها نظر كنيم درك عملكرد اين روتين آسان خواهد بود:

M بايت مشخصه ويروس

VIR هسته ويروس

MAN بخش دستكاري كننده ويروس

MOV روتين انتقالي براي بازسازي برنامه

در اينجا يك برنامه ناقل آلوده بكار مي رود، ولي با اين تفاوت مهم كه تمامي برنامه هاي آلوده شده توسط ويروس مي توانند برنامه هاي ناقل باشند، كه بدون ايجاد خطا كار مي كنند.

همچون ويروس جايگزين شونده ،در اين نوع ويروس نيز يك دستور پرش در ابتداي برنامه وجود دارد كه همان مشخصه ويروس است.

ويروس هاي مقيم در حافظه

برنامه هاي ويروس مقيم در حافظه از خاصيتي از سيستم هاي كامپيوتري استفاده مي كنند بدين ترتيب كه روي برنامه هايي كه در حافظه قراردارند داده ها يا برنامه هاي ديگري نوشته نمي شود زيرا ناحيه حافظه آنها به نحو خاصي اداره شده و در اختيار برنامه هاي ديگر قرار داده نمي شود .پس از باردهي يك برنامه مقيم در حافظه، سيستم به گونه اي رفتار مي كند كه گويي حافظه اشغال شده توسط آن وجود ندارد در نهايت ممكن است يك كاربر حافظه را بطور كامل از برنامه هاي مقيم در حافطه پر كند، كه تحت MS-DOS منجر به پيغام خطاي “ برنامه در حافظه نمي گنجد“ خواهد شد.

ويروس هاي فراخواننده

ويروسهايي كه تاكنون مورد بحث قرارداديم يك نقص قاطع دارند و آن طول آنهاست .اگرچه با برنامه نويسي هوشمندانه به زبان اسمبلي مي توان طول كدبرنامه يك ويروس را زير 400 بايت نگه داشت ،اين 400 بايت بايد در جايي قرار داده شوند اين بدان معناست كه ويروسهاي جايگزين شونده بخش قابل ملاحظه اي از برنامه ميزبان را از بين مي برند يا ويروسهاي غير جايگزين شونده طول برنامه ميزبان را بطور قابل ملاحظه اي افزايش مي دهند. بايد كد نسبتا“ بزرگ ويروس را مورد ملاحظه قرار دهيد.

راههايي براي رفع اين اشكال وجود دارد .با عدم گنجاندن يك كپي جديد از بخش دستكاري كننده (MAN) در هر نسخه از ويروس مي توانيد كد برنامه ويروس را به حد اقل كاهش دهيد .مي توانيد برنامه دستكاري كننده را در حافظه جانبي قرار دهيد و ويروس دستور فراخواني آن را در برنامه ميزبان قراردهد. با قرار دادن كل ويروس در حافظه جانبي ،مثلا“ بصورت يك فايل پنهان ، مي توان ويروس را باز هم كوتاهتر كرد ، به اين صورت كه آلودگي فقط از دستور فراخواني اين برنامه از حافظه انبوه تشكيل شود.

اين كار اين اشكال را دارد كه اگر برنامه ويروس در حافظه جانبي موجود نباشد ،برنامه هاي آلوده نمي توانند آنرا فرابخوانند.اگر بتوان ويروس را بطور مداوم بصورت يك برنامه مقيم ،در حافظه نگاه داشت كوتاهترين ويروسها را مي توان ايجاد كرد. در چنين وضعيتي كد آلوده مي تواند فقط يك بايت باشد.

ساختار پردازنده 8088 چندين نقطه شروع را براي چنين برنامه نويسي در اختيار مي گذارد. اگر Interrupt3 در برنامه اي گنجانده شود (وقفه تك مرحله اي ،CC در مبناي شانزده)وبرداروقفه مربوط به آن تغيير داده شود تابه يك برنامه ويروس مقيم در حافظه اشاره نمايد، آنگاه كوتاهترين برنامه ويروس ممكن نوشته شده است.

ويروس هاي سخت افزاري

اين ويروس ها را فقط با تغيير سخت افزار مي توان در كامپيوتر قرار داد. تغيير ROM راه انداز نيز تغيير سخت افزار محسوب مي شود. نصب اين ويروس ها بسيار مشكل است، اما وقتي نصب شوند يافتن آنها تقريبا“ غير ممكن است زيرا هميشه ظاهر مي شوند، حتي وقتي كه سيستم با يك سيستم عامل جديد راه اندازي مي شود.

ويروسهاي بافر شونده

اين ها ويروسهايي هستند كه فقط براي مدت معيني در يك برنامه مي مانند .پس از خاتمه اين مدت خود را از نرم افزار الوده حذف مي كنند .پس از اينكه ويروس خود را حذف كرد ،نرم افزار مي تواند قابل استفاده باشد.

ويروس هاي علامت گذار

ويروسي كه عمل دستكاري آن عبارت است از كشف تغييرات در نرم افزارهايي كه آلوده كرده است.ويروس براي برنامه هايي كه آلوده كرده است يك يا چند علامت را در نظر گرفته و ذخيره مي كند. در هنگام راه اندازي هر برنامه ،ابتدا ويروس علائم مورد نظر را چك مي كند.اگر تغييري ،مثلا“ توسط يك ويروس ديگر رخ داده باشد اين علائم نيز تغيير خواهد كرد و كاربر از وجود اشكال آگاه گردانده مي شود.

اينگونه ويروس ها بيشتر به عنوان حفاظت كننده سيستم تلقي ميگردند. ولي همانطور كه برنامه هاي ويروسي را نمي توان با كد ويروسي انتشار داد، مكانيسمهاي حفاظتي مفيد را نيز نمي توان با كد ويروسي تحقق بخشيد.دلايل اين امر واضح است:

• هرگونه تغييري كه در نرم افزار بعمل آيد ضمانت نامه سازنده را بي اعتبار مي سازد
• اين خطر وجود دارد كه كنترل ويروس از دست شما خارج شده و باعث ايجاد خسارت شود
• تمامي مكانيسمهاي حفاظتي كه با ويروس مي توان محقق ساخت با تكنيكهاي برنامه نويسي عادي ديگر نيز به همان خوبي قابل پياده سازي مي باشند
• مكانيسم حفاظتي موجود در نرم افزار مورد حمله ويروس،خود مي تواند معلوم شده ،كشف رمز شود و خنثي گردد.بطور خلاصه استفاده از يك ويروس براي جلوگيري از ويروسهاي ديگر نه تنها احمقانه است ،بلكه خطرناك نيز مي باشد.

ويروس هايي كه مي ميرند

ويروسهايي كه خود را در يك بافرRAM نصب مي كنند ويژگيهاي مشابه ويروسهاي سخت افزاري دارند اما با خارج كردن باطري بافر مي توان آنها را پاك كرد .با اين حال ويروس مي تواند از طريق برنامه هاي آلوده دوباره در بافر نصب شود.

ويروس هايي كه“ قايم باشك بازي “مي كنند

اينها ويروسهايي هستند كه فقط به مدت معيني در سيستم باقي مي مانند . نقاط مخفي شدن آنها پس از اين ندت مي تواند نواحي بافر(حافظه موقت) ترمينالهاي هوشمند يا حتي مودمها باشد. ويژگي مهم اين ويروسها اين است كه مي توانند از سيستم خارج و پس از مدتي دوباره به آن وارد شوند

ويروس هاي Call –me

در يك كامپيوتر مجهز به مودم ها وخطوط تلفني ،يك برنامه ويروس از طريق ديسكي كه سازنده ْآنرا فراموش كرده استْ نصب مي شود كه در طول روز كاملا“ ساكت بوده و هيچ كاري جز تكثير خود را انجام نمي دهد. سپس وقتي زمان سيستم به 3.00 AM (3 بامداد) رسيد ويروس فعال شده و به برنامه نويس ويروس تلفن زده و امكان دستيابي به سيستم را به او مي دهد. بدين ترتيب نه تنها برنامه نويس ويروس به داده ها دست مي يابد بلكه مالك كامپيوتر بايد هزينه تلفن را نيز براي اين دستيابي بپردازد . براي مدتي هكرها به طريق مشابهي به كامپيوتر هاي بزرگ دست يافته اند:

كاري كه براي ْاجازه دستيابي‎ْ طراحي شده بود روي يك سيستم نصب شد. اين كار چندين بار تحت نامهاي مختلف نصب شد. حتي وقتيكه مسئولين سيستم يكي از اين كارها را مي يافتند هميشه نسخه هاي كافي از برنامه با نامهاي مختلف موجود بود تا امكان ادامه “بازي“ را فراهم آورد.

ويروس خطرناك Magistr

ويروس خطرناك Magistr.B كه شبكه هاي متعددي را در كشورهاي مختلف آلوده كرده است از قدرت انتشار بسيار بالايي برخوردار است.

از قابليتهاي اين كرم اينترنتي كه نگارش جديد W32/Disemboeler يا Magistr مي باشد غير فعال كردن برنامه Firewall  مرسوم به Zone Alarm مي باشد كه توسط كاربران زيادي مورد استفاده قرار مي گيرد.

اين امر موجب باز گذاشتن راههاي ورود سيستم به روي هكرهاي اينترنتي شده وحفاظت رايانهرا به حداقل كاهش مي دهد .

ويروس مزبور بطور خودكار يك نسخه از خود را به آدرسهاي پست الكترونيك ضبط شده در برنامه هاي E-mail رايانه آلوده ، ارسال مي كند تا بحال گزارشات متعددي از آلودگي به اين ويروس توسط لابراتوار S.O.S24/365 كمپاني نرم افزار ي پاندا دريافت شده است و باتوجه به سرعت انتشار آن پسش بيني مي شود طي روزهاي آينده به يك اپيدمي ويروسي در قاره هاي مختلف تبديل شود.

Magistr.B به صورت فايل الحاقي توسط پست الكترونيك منتشر مي شود و موضوع و متن پيام نام آلوده به صورت شانسي از متون مختلف فايلهاي گوناگون ديسك سخت رايانه انتخاب مي شود. اين خصيصه سبب مي شود تشخيص دادن نامه هاي آلوده و غير آلوده به اين ويروس براي كاربران عادي غير ممكن شود.

فايلهاي آلوده ضميمه نامه الكترونيك ويروس مي توانند داراي پسوندهاي EXE,COM. فايل اجرايي (Batch file).Bat ويا Program information file (P I f) باشد. همگي اين فايل ها قابل اجرا شدن و در نتيجه آلوده ساز سيستم مي باشند.در اين كرم ، Magistr.B مي تواند فايلهاي ضميمه با پسوندهاي txt,ini,Doc ويا gif را به همراه داشته باشد.

آدرس پست الكترونيك قربانيان اين ويروس بر اساس برنامه نويسي پيچيده آن از برنامه هاي مشتري پست الكترونيك مانند Outlook,Eudora,Express و غيره برداشته مي شود. براي نيل به اين منظور ،ويروس ياد شده ديسك سخت رايانه قرباني خود را براي يافتن فايلهاي با پسوند(Windows Address Book)WAB و Mbx.,dbx. (بانكهاي اطلاعات پيام هاي ضبط شده)جستجو مي كند.

از خصوصيات مخرب Magistr.B آلوده سازي فايلهاي (Portable Executable)PE كه فايلهاي اجرايي Windows محسوب مي شوند از اين آلودگيها مصون هستند.

ويروس مزبور كه بانام Magistr@mm W32/نيزشناخته ميشوداز سرعت انتشار فوق ا لعاده اي برخوردار است

اطلاعات فني گسترده در مورد اين ويروس خطرناك پولي مورفيك و روشهاي مقابله و پيشگيري از آن و ياپاكسازي سيستمهاي آلوده توسط دپارتمان اطلاع رساني و بخش فني Panda iran به صورت رايگان در اختيار مديران شبكه ها قرار خواهد گرفت . علاقمندان طي تماس با تلفن 021-8722026 ويا ارسال E-mail به آدرس Iran Oanda Software راهنماييهاي لازم را بدست آورند.

شايان ذكر است نگارش اول ويروس Disemboweler كه چند ماه قبل به ظهور رسيد تعداد بيشماري از كاربران ايراني و شبكه هاي كامپيوتري بخش خصوصي و دولتي را آلوده ساخته است.

بعضي ويروس ها مي توانند آنقدر مخرب باشند كه چيزي بجز ذخيره سازي مجدد كپي پشتيبان براي جبران آسيب آنها كافي نباشد. ويروسهاي ديگر مشكلي براي برطرف كردن ايجاد نمي كنند.در بين اين دو دسته ويروسهايي قرار مي گيرند كه قابل رفع هستند ولي تنها در صورتي كه برنامه ضد ويروس گونه دقيق ان را تشخيص دهد وبراي رفع آن برنامه ريزي شده باشد.

اگر اشكالي پيش آيد ممكن است فايل ها آسيب ببينند و برنامه هايي كه با وجود فعال بودن ويروس كار مي كردند ناگهان از كار بيفتند.

اگر ويروس يا ورم بدرستي و بطور كامل برطرف شود تاثير بلند مدت نخواهد داشت چون هر تغييري كه توسط برنامه مخرب ايجاد شده به حال عادي برمي گردد و چنانكه گويي از ابتدا آلودگي وجود نداشته است با اين حال بعضي ويروس ها به نحوي برنامه ريزي مي شوند كه با زنويسي آگاهانه يا تصادفي به فايلها آسيب برسانند و نرم افزار ضد ويروس نمي تواند چنين آسيبي را به حال اول بازگرداند.

ويروس MTX

ويروسي است كه اين كار را به شكل تصادفي انجام مي دهد چون خود را به ابتداي فايل ها وصل نميكند بلكه در عوض خود را به وسط آنها وارد مي كند.اين طرفند برنامه نويسي براي آن طراحي شد كه شناسايي  MTX از طريق اسكن دشوارتر شود ولي در عين حال آسيبي به فايل مي رساند كه نرم افزار ضد ويروس نمي تواند آنرا برطرف كند .جبران آسيب وارده به فايل معمولا“ نياز به نصب مجدد فايلهاي برنامه از سي دي هاي اصلي دارد چون يك فايل (اجرايي9 برنامه آسيب ديده نمي تواند اجرا شود و برنامه را متوقف مي كند و يا حتي باعث از كار افتادن سيستم مي شود.

روز جمعه ششم ماه مارس ويروس ميكل انژ 6 ساله شد .به پيش بيني كارشناسان در اين روز نزديك به 4000 كامپيوتر مورد حمله اين ويروس قرار خواهند گرفت با وجودي كه هنوز گفتگو پيرامون اين ترسناكترين ويروس كامپيوتري تاريخ ادامه دارد از ناحيه ويروس ميكل آنژ نيست بلكه از جانب ويروس جديدي است كه ويروس كلان Micro virus نام گرفته است اين ويروسهاي جديد بسيار خطرناكند زيرا   مي توانند كامپيوترها را با سيستم عامل هاي متفاوت مورد تهاجم قرار دهند.در واقع تا وقتي كه كاربردها در ماشين هاي مختلف يكسان باشند امكان ريست ويروسها وجود خواهد داشت.

نكته كليدي در مورد ويروسهاي كلان ،برنامه هاي متن پردازي مانند ورد يا اكسس است كه تقريبا“ دركاربردهاي همه يافت مي شوند معمولا“ كاربران برنامه هايي را براي قالب بندي مجدد قسمتها با برداشتن نشانهاي ويرايشي آنها اجرا مي كنند به اين دليل براي توليد كنندگان ويروسهاي كامپيوتري ، منتها ابزار مناسبي جهت ايجاد ويروسهاي مخرب هستند بدين ترتيب با توجه به ارسال متن هاتوسط كاربران براي يكديگر با استفاده از پست الكترونيك، اين ويروسها نيز به سرعت گسترش مي يابند. به گفته مدير آزمايشگاه هاي تحقيقات ضد ويروس آي بي ام با پيدايش ويروسهاي كلان ميزان تخريب ويروسهاي كامپيوتري ده برابر سابق شده است به گفته او هم اكنون تخمين زده مي شد كه درهر فصل بين 2 تا 10درصد مراكز كامپيوتري مورد حمله اين ويروسها قرار مي گيرند گزارش ديگري كه از سوي انجمن ملي حفاظت كامپيوتر در آمريكا منتشر شده است نيز نشان مي دهد كه ظرف يك ماه 3/3 % كل كامپيوترها آلوده به ويروس شده اند . بنابر اين گزارش 80% موارد آلودگي از طريق ويروسهاي كلان بوده است .

با وجودي كه توليد كنندگان برنامه هاي ضد ويروس به نقش عمده اي در پاك كردن سيستم ها و از بين بردن ويروسها ايفا مي كنند ولي هنوز كاربران به هيچوجه نمي توانند خيال آسوده اي از ويروسهاي كامپيوتري داشته باشند ، درواقع مهمترين خطر ،خود كاربران هستند تا وقتي كه اقدامات احتياطي كافي از سوي آنان به عمل نيايد مشكل ويروسها همچنان وجود خواهد داشت ،نتايج يك بررسي كه به تازگي صورت گرفته است نشان مي دهد كه هنوز بسياري از كاربران به طور مرتب از برنامه هاي ضدويروس استفاده نمي كنند و يا اصلا“ اينگونه نرم افزارها را برروي سيستم هاي خود نصب نكرده اند.

يادآوري مي شود كه ويروس ميكل آنژ برنامه اي است كه بر روي سيستم عامل داس اجرا مي شود و هنگامي كه ثباتهاي  زمان سنج كامپيوتر ،تاريخ 6 مارچ را نشان مي دهند فعال مي گردد اسم اين ويروس از اينرو ميكل آنژگذاشته شده است كه روز تولد اين نقاش مشهور نيز 6 مارچ بوده است.

كارشناس رايانه اي در مورد اين ويروس جديد كه از طريقE-mail گزارش مي يابد هشدار دادند به گزارش شبكه C.N.N. از لندن اين ويروس كه به ويروس معروف لاو بگ شبيه است به صورت تصادفي از حافظه رايانه آلوده شده ،اطلاعاتي را انتخاب مي كند و به نشانه هاي E-mail كه قبلا“ توسط همان دستگاه استفاده شده است مي فرستد.

بدين ترتيب ممكن است اطلاعات كاملا“ خصوصي و يا تجاري شما براي همكاران دوستان و يا مشتريان شما فرستاده شود. به گفته مدير شركت اينترنتي – امنيتي اف كليور از انگلستان تاكنون اين ويروس در كشور انگلستان ،فرانسه ،آلمان ،ايتاليا ،اسپانياو حتي تركيه و يونان مشاهده شده است و هيچ كشور اروپايي از ابتلا به اين ويروس در امان نخواهد بود .از ديگر خصوصيات اين ويروس توانايي فرستادن E-mail بدون استفاده از نرم افزارهاي رايج است .بنابراين كاربري كه هدف اين ويروس قرار گرگرفته نمي تواند بفهمد اين ويروس چه اطلاعاتي از حافظه رايانه اش وبه چه نشاني هايي فرستاده است.اطلاعات در باره چگونگي پاكسازي رايانه هاي مبتلا در سايت هاي اينترنتي بيشتر شركتها ي توليد كننده نرم افزارهاي ضد ويروس قرار داده شده است

ويروس VIRDEM.COM

ويروس نمايشي VIRDEM.COM از زمان كنگره كامپيوتر كائوس در دسامبر 1986 موجود بوده است .تاكنون فقط در بعضي از خبر نامه هاي مربوط به امنيت سيستمها مانند خبرنامه مشاور امنيت داده ها (Datenschutz-Berater) در مورد آن بحث شده است.

طبيعتا“ ما وجود VIRDEM.COM را در اين متنذكر مي كنيم. متاسفانه كدسورس آنرا نمي توان منتشر كرد زيرا به كمك كد سورس هر كسي مي تواند كه بخش مربوط به دستكاري داده هاي آنرا تغيير داده و يك ويروس غير جايگزين شونده به زبان ماشين 8088 ايجاد كند .بعلاوه بعيد نخواهد بود كه ناگهان با نسخه هاي خطرناك متعددي از ويروس هاي تهيه شده بر اساس VIRDEM.COM در همه جا مواجه شويم.پرسشهاي بعمل آمده از افرادي كه اين ويروس نمايشي را سفارش داده اند آشكار ساخت كه از بيم انتشار كنترل نشده ويروس استفاده زيادي از ديسك نشده است . براي اينكه اين ترس بي اساس از ميان برود مستندات اصلي برنامه VIRDEM.COM را در اينجا مي آوريم:

برنامه VIRDEM.COM موجود در اين ديسك نمونه اي از ويروسهاي كامپيوتر است .قبل از راه اندازي برنامه به توضيحات مر بوط به ويروسهاي كامپيوتر در مستندات توجه شود. در غير اينصورت ممكن است اجراي آن منجر به انتشار غير عمدي اين ويروس شود.

VIRDEM.COM به اين منظور ساخته شده است كه به تمامي كاربران MS-DOS اين فرصت را بدهد كه بدون خطرات يك حمله ويروسي كنتل نشده با ويروسهاي كامپيوتر كار كنند. اين برنامه نشان مي دهد كه اگر يك كاربر كامپيوتر پيشگيريهاي امنيتي مربوطه را بعمل نياورد چقدر در مقابل ويروسهاي كامپيوتر بي دفاع است.

ويروس VIRDEM.COM خود را فقط روي برنامه هايي كه در ديسك گردان A قرار دارند انتشار مي دهد .بنابر اين بدون خطر انتشار كنتل نشده مي توان خاصيت مخرب برنامه هاي ويروسي را ديد.

VIRDEM.COM يك ويروس نسبتا“ بي ضرر است كه برنامه هاي ميزبان را نابود نمي كند ، بلكه كد برنامه ويروس را به كد برنامه آنها اضافه مي نمايد. اين امر فضاي حافظه لازم براي برنامه هاي مربوطه را افزايش مي دهد .عمل دستكاري كه توسط اين ويروس كامپيوتري انتشار مي يابد يك بازي حدس زدن است.

ميزان سختي بازي حدس زدن به نسل ويروس بستگي دارد(اينكه ويروس نسل چندم است). درك اين موضوع آسان است كه عمل دستكاري ويروس مي توانست بجاي بازي حدس زدن ،ذخيره كردن اسم رمزهاي سيستم (براي سوءاستفاده بعدي) يا دستكاري فايلها باشد.

خواص VIRDEM.COM

• تمامي فايل هاي COM تا دومين سطح راهنماي فرعي آلوده مي شوند.
• اولين فايل COM در راهنماي ريشه (كه اغلب COM است)آلوده نمي شود.
• فايل هاي COM با طول بيش از حدود K 5/1 در حدود K 5/1 بزرگتر مي شوند، فايلهاي كوتاه تر در حدود K 3 بزرگتر مي شوند.
• برنامه هاي آلوده همچنان قابل اجرا باقي مانده و مي توانند مانند قبل كار كنند.
• ويروس قادر به تشخيص برنامه هاي آلوده بوده وبيش از يك بار برنامه اي راآلوده نمي كند.
• COM يك تابع جديد را به برنامه آلوده اضافه مي كند .اين تابع جديد يك بازي حدس زدن است كه سطح مشكل بودن آن به نسل ويروس بستگي دارد.
• COM تا نسل نهم به تكامل خود ادامه مي دهد .پس از آن انتشار آن ادامه مي يابد ولي تغييري در آن حاصل نمي شود.

ويروس SWF/LFM-926

SWF/LFM-926 اولين ويروس شناخته شده در برنامه Webmaster ، سايتهايي را كه از اين فن اوري براي ساخت صفحات وب استفاده مي كنند،آلوده مي كند. سپس هر كاربري كه اين سايت ها را مرور كند ،ويروس خطرناك را ناآگاهانه به رايانه خود انتقال مي دهد. گراهام كلالي مدير سوپوز در اين باره        مي گويد : كاربران به دليل جذابيت هاي گرافيكي و تصويري مايكرو مديا به سوي فلاش كشيده شده اند . البته اين ويروس چندان وحشي نيست،اما مقدمه اي براي ساير ويروس نويسان به منظور ايجاد راههاي تخريبي وسيعتر است.

وقتي يك پوشه SWF ( از جنس فلاش) شروع به اجرا شدن مي كند. كاربر با پيام Loading.flash.movie مواجه مي شود و سپس در زمان كوتاهي تمام پوشه ها با پسوند SWF آلوده مي شوند. ويروس توانايي گسترش روي اسكريپت هاي ويندوز را دارد و پس از اجراي آن ، شروع به پهن شدن در محيط مايكرومديا مي كند . در اين لحظه ،يك پنجره تحت داس باز مي شود و ضمن آلودگي ،يك پوشه بنام V.com ايجاد مي كند اندازه فايل مورد نظر 926 بايت است و سپس به طور خودكار روي تمام پوشه هاي SWF گسترش مي يابد . با آلوده شدن وب سرور، هر كاربري كه به سايت مراجعه كند، پوشه هاي مايكرومدياي او نيز آلوده مي شود.