بخشی از مقاله
طريقه كاركرد ويروسهاي كامپيوتري
ويروسهاي كامپيوتري علاوه بر اينكه مرموز هستند و باعث جلب توجه ما مي شوند باعث نمايش اسيب پذير مان مي شوند. ويروسهايي كه توسط افراد حرفه اي ساخته شده اند باعث تاثير روي اينترنت شده اند. از طرف ديگر به ما پيچيدگيشان را نشان مي دهند و وابسته به ابزار انساني هستند كه آنها را پديد آوردند.
بعنوان مثال اخبار بزرگي در مورد ويروس Mydoom worm هست كه متخصصين تخميني كه از قدرت اين ويروس داشته تا اين حد بوده كه 4/1 ميليون از كامپيوتر ها را در يك روز آلوده كرده در سال 1999 ويروسي به نام Melissa كه داراي قدرت زيادي بود شركت بزرگي مثل مايكروسافت رو مجبور كرد كه بصورت كامل خاموش كنند سيستم ايميل خودشان را تا ويروس را تحت كنترل خود قرار دهند. ويروس I love you در سال 2000 باعث بازتاب مخوفي شد. خيلي جالب و شگفت انگيز است زماني كه ما در مورد ويروسهاي Melissa و I love you بررسي انجام مي دهيم زيرا بطور باورنكردني ساده هستند.
در اين مقاله در مورد ويروسهاي قديمي و ويروسهاي جديد پست الكترونيكي بحث مي كنيم و شما ياد مي گيريد كه آنها به چه صورت كار مي كنند و مي فهميد به چه صورت از رايانه خود در مقابل اين ويروس ها محافظت كنيد. ويروسها به طور عمومي رو به كاهشند. اما بعضي اوقات اتفاق مي افتد شخصي راهي براي توليد ويروس توليد مي كندو باعث ايجاد اخبار مي شود.
انواع آلودگي
زماني كه شما به اخبار گوش مي دهيد، در مورد روش هاي مختلف آلودگي الكترونيكي شما مي شنويد كه متداول ترين آنها عبارتند از:
ويروس ها:
يك ويروس ذره كوچكي از يك نرم افزار هست كه به برنامه هاي واقعي مي چسبد براي مثال ويروس ممكن است خودش را به يك برنامه صفحه گسترده پيوند بزند و اين باعث مي شود هر زماني برنامه صفحه گسترده اجرا شود ويروس هم همزمان با برنامه اجرا شود. و اين عمل يك شانس براي ويروس بوجود مي آورد تا خودش را تكثير كند ( با پيوند خودش به يدگر برنامه ها) و باعث ايجاد خسارت شود.
ويروس الكترونيكي
ويروس هاي الكترونيكي در حيطه پيام هاي الكترونيكي فعاليت دارند. به اين صورت كه خودشان را تكثير مي كنند با Email زدن به تعدادي از افرادي كه به عنوان قرباني مد نظر هستند.
كرم ها:
كرم كامپيوتري ذره اي از نرم افزار هستند و از شبكه هاي كامپيوتري و سوراخ هاي امنيتي خودشان را تكثير مي كند. نسخه هاي كپي شده از اين كرم در شبكه دنبال ماشين هاي ديگر مي گردند كه سوراخ امنيتي مخصوصي براي نفوذ داشته باشند.
كرم يك كپي از خودش را به ماشين جديد منتقل مي كند با استفاده از سوراخهاي امنتي و به اين ترتيب كار جابجايي را انجام مي دهد.
اسب تراوا
اسب تراوا مانند يك برنامه كامپيوتري است. برنامه ادعا مي كند چيزي است مانند يك بازي اما در عوض باعث ايجاد خسارت مي شود مثلااطلاعات هارد شما را پاك مي كنند. اسب تراوا هيچ راهي براي تكثير ندارد و اين توانايي را ندارد كه خود راتكثير كند.
ويروس چيست؟
ويروس هاي كامپيوتري به اين علت ويروس شناخته مي شوند زيرا كه صفات و ويژگيهاي خود را مانند ويروسهاي موجود درطبيعت پخش ميكنند. آنها از يك كامپيوتر رفته و آن را آلوده ميكنند مانند ويروسهاي زيستي كه از يك شخص به شخص ديگر منتقل ميشوند.
در سطح جزئيتر ويروسهاي در تشابه ويروسها، ويروسهاي زيستي زندگي ندارند ويروس قطعهاي از DNA است داخل پوشش محافظ بر خلاف پوشش سلول، ويروس هيچ راهي ندارد كه كاري انجام دهد يا خودش را تكثير كند زيرا زنده نيست.
در عوض ويروسهاي زيستي بايد DNA خودشان را به سلول تزريق كنند. سپس DNA ويروسي شده استفاده ميكند از ساختار سلولهاي موجود براي تكثير خودش در بعضي موارد سلولها با ذرههاي ويروسي پر ميشوند تا زماني كه منفجر شوند و باعث آزادسازي ويروس شوند. در موارد ديگر ذرههاي ويروس جديدي هر كدام روي هر سلول سوار شده .و باعث زنده ماندن سلول ميشود.
ويروسهاي كامپيوتري برخي از ويژگيهايان را به اشتراك ميگذارند. ويروسهاي كامپيوتري براي اجرا شدن بايد روي برنامههاي اجرايي قرار بگيرند. زماني كه برنامه اجرا ميشود ويروس قادر خواهد بود ديگر برنامهها يا مستندات را آلوده كند. ظاهراً شباهت بين ويروسهاي كامپيوتري و زيستي كمي تفاوت دارد ولي براي ناميدن هر دو به نام ويروس شباهتهاي لازم بين اين دو وجود دارد.
كرم چيست؟
كرمها برنامههاي كامپيوتري با قابليت كپي كردن و انتشار خود از يك ماشين به ماشين ديگر هستند. به صورت ساده كرمها حركت ميكنند و از طريق شبكه كامپيوتري شروع به آلودهسازي ميكنند. كرمها از طريق شبكه ميتوانند خودشان را به طور باورنكردني توسعه بدهند. به عنوان مثال در July 2001 كرم coderedتقريباً در طي 9 ساعت خودش را تا 250,000 مرتبه در شبكه توسعه داد.
عملكرد كرمها از درجهبندي آنها نسبت به نفوذ به سوراخهاي امنيتي در قسمتهاي نرمافزار يا سيستم عامل بستگي داردو به عنوان مثال كرم slammer سوراخي را در SQL پيدا كرد. در اين مقاله پينهاد ميشود به نوع عملكرد كرمهاي كوچك slammer توجه كنيد.
كرمهاي قرمز
كرمها از زمان كامپيوتر و پهناي باند شبكه استفاده ميكنند زماني كه جا به جا ميشوند. آنها معمولاً جزء گروهها با نيت مخرب دستهبندي ميشوند. كرم Code Red در سال 2001 عنوان بزرگي بدست آورد . متخصصين از مهار اين كرم بازماندند زيرا اين كرم بطور مؤثر توانست مسدود كند همۀ اعمال در اينترنت را و باعث توقف آن شود.
كرم Code Red به آهستگي و در ترافيك اينترن
تي توانست خودش را گسترش دهد ولي نه آنقدر كه در مباحث قبل مورد تاكيد قرار گرفت. هر كپي از كرم، اينترنت را براي يافتن Win nt و Win 2000 كه داراي سيستم امنيت نبودند شروع به كار كردند. زماني كه پيدا ميكند سرور بدون امنيت كرم خودش را بر روي آن سرور كپي ميكند. كپي جديد جستجو ميكند سرويسهاي ديگر را براي آلوده كردن كرمها ميتوانند صدها و هزاران كپي از خود بياورند كه تعداد كپيها بستگي به تعداد سرورهاي بدون امنيت در شبكه دارد.
كرم Code Red به سر صورت طراحي ميشود.
• در 20 روز اول هر ماه خودش را گسترش ميدهد.
• جايگزين صفحات وب در سرورهاي آلوده ميشود با پيغام "هك شده توسط چينيها"
• با سازماندهي خاصي به وب سرورهاي كاخ سفيد حمله كرده و سعي بر غلبه بر آنها رادارد.
عموميترين تفاوت بين Code Red ها در اختلاف بين آنهاست. نوع جهش يافته آن در July 2001 خودش را پخش كرد. مطابق با زيربناي حمايتكننده مركزي :
كرمها Code Red ida كه اولين بار توسط چشمهاي ديجيتالي امنيتي گزارش شده به صورت مفيد از آنها استفاده ميكردند. سيستمهاي بدون امنيت و مستعد در buffroverflow و در فايل fdg.dll اجازه ميدادند حمله كننده خود را در آن جاسازي كند.
كرمهاي موجود در حافظه ماندگار يكبار در سيستم فعال شده و با اولين عملكرد آنها با ساختن و پيدايش آدرسهاي IP باعث آلوده شدن سرورهاي بدون محافظ ميشوند. هر نخ كرم ساعت كامپيوتر آلودهرا بازرسي ميكند زيرا براي فعالسازي و شروع به كار از اين ساعت استفاده ميكند. مثلاً Code Red ida در ساعت O.O.O در روز July 2001 فعال شد. بعد از آلودهسازي موفقيتآميز كرم منتظر يك ساعت مشخص براي اتصال به كاخ سفيد ميماند. اين جمله شامل سيستمهاي آلودهكننده كه باهم و همزمان 100 اتصالدهنده بهfORT 80 كاخ سفيد ميفرستند و اين باعث شد كه دولت آمريكا تغيير دهد آدرس IP سايت خودش را براي غلبه بر تهديد كرمها و هشدار صادر كرد در مورد كرم و به استفاده كنندگان از Winnt و 2000 توصيه كرد كه حتماً سرويس امينيتي بر روي سيستم خود نصب كنند.
نمونه اوليه: ويروسهاي اجرايي
ويروسهاي اوليه كرمهايي هستند كه خود را به بازيها و ويرايشگريهاي عمومي پيوند ميزنند. يك شخص ممكن است يك بازي آلوده رادانلود كند از اينترنت و آن را اجراكند. ويروس مانند يك قطعه دروني به طور منطقي در برنامه هستند.
هر ويروسي طراحي شده كه ابتدا اجرا شود زماني كه منطق برنامه كار خود را آغاز كرده باشد. ويروس در خودش را در حافظه بازگزاري ميكند و و دنبال ديگر برنامهها روي ديسك ميگردد. اگر يك برنامه پيدا كرد برنامه را تغيير ميدهد تا كدهاي ويروس را به برنامههاي سالم تزريق كند. سپس ويروس كار خود را به عنوان يك برنامه واقعي آعاز مي كند. استفاده كنندگان هيچ راهي ندارند كه ويروس خودش راتكثير كرده و حالا در برنامه آلوده هستند. در زمان بعدي اگر هر كدام از دو برنامه آلوده شده اجرا شوند آنها برنامههاي ديگر را آلوده ميكنند و اين سيكل ادامه خواهد داشت. اگر يكي از اين برنامه آلوده از طريق فلاپي يا از طريق آپلود آن بر روي اينترنت به شخص ديگري داده شود بقيه برنامهها آلوده ميشوند و اين روش گسترده شدن ويروسهاست.
بخش تكثير كردن يك از مراحل آلودهكردن ويروس است. ويروسها را نميتوان كوچك شمرد ، اگر آنها خودشان راتكثير كنند. متأسفانه بيشتر ويرويسها از نوع نابودكننده و دستهبندي ميشوند ، كه در مرحله حمله ميتوانند خرابي زيادي به بار آورند بعضي ااز آنها كه trigger هستند هنگام مرحله حمله فعال ميشوند و سپس ويروس هر كاري ممكن است انجام دهد چاپ پيام نادان روي صفحه هنگامي كه همه اطلاعات سيستم پاك ميشوند. Trigger ممكن است يك داده مخصوص يا تعداد دفعاتي كه ويروس خودش را انتقال داده يا چيزي بيشتر به اين باشد.
ويروسهاي بخش راهانداز (Boot sector)
ويروسسازان بسيار خبره حيلههاي جديدي ياد ميگيرند. مهمترين حيله توانايي بارگذاري ويروس در حافظه است كه ميتواند مدت زيادي در پسزمينه فعاليتهاي كامپيوتر به فعاليت ادامه دهد. اين ويروسها راههاي موثر زيادي را ارائه ميدهند براي انتقال خودشان. يكي ديگر از اين حقهها توانايي آلوده كردن بخش راهانداز بر روي فلاپي ديسك و هارد ميباشد.
بخش راهانداز برنامه كوچكي ميباشدواولين بخش از يك سيستم عامل ميباشد كه در كامپيوتر بارگذاري ميشود. بخش راهانداز شامل برنامه كوچكي است كه به كامپيوتر ميگوسند به چه صورت سيستم عامل رابه دست گيرد. با قرار دادن كدها با در بخش راهانداز ويروس ضمانت تغيير يافتن را ميدهد. آن ميتواند فوراً خود را در حافظه مقيم كند و ميتواند هر زماني كه كامپيوتر روشن است خود رااجراكند. ويروسهاي بخش راهانداز به بوتسكتور هر فلاپي همچنين در هر ماشين قرار داده ميشود را آلوده ميكند. و در دانشگاه كه بسياري از افراد به صورت اشتراكي از كامپيوتر استفاده ميكنند ويروس به سرعت ومانند يك ماده قابل اشتعال تكثير ميشود.
به طور اساسي ويروسهاي بوتسكتور و قابل اجرا قابل تهديد نيستند. اولين دليل براي كاهش عملكرد ويروسها بزرگ بدون بيش از حد برنامه ها ميباشد. تقريباً هر برنامهاي كه شما امروزه ميخريد بهصورت يك ديسك فشردهاست و اطلاعات اين ديسكها قابل تكثير نيست و و ايجاد آلودگي در CD ها غير ممكن است. برنامههاي خيلي بزرگ ر.ي CD قرار گرفته و ميتوان آنهارا خريد و فروش كرد. مردم يقيناً نميتوانند جا به جا كنند فلاپي ديسكةا را زماني كه اطلاعات به صورت كامل روي آنها موجود باشد. ويروسهاي بوتسكتور هم كاهش يافتند سيستم عاملهاي فعلي حالا محافظت ميكنند بوتسكتور را.
ويروسهاي بوتسكتور و اجرايي هنوز هم خطرناكاند اما در قياس با قبل خطر كمتري دارند. قياس بيولوژيكي آنها محيط زندگي را تشكيل ميدهند. در محيط فلاي ديسكها برنامههاي كوچك و سيستم عاملهاي ضعيف باعث فعاليت ويروس در سال 1980 بود اما محيط مناسب با قابليت عدم حذف و انبوه فضاي موجود بر روي CD باعث حفاظت سيستم عاملها شده است.
ويروسهاي پست الكترونيك
آخرين چيز در جهان ويروسهاي كامپيوتري پست الكترونيك هستند. ويروس Melissa درر مارچ 1999 خيلي تماشايي بود وسعت Melissa در اسناد نرمافزار World با پست الكتر.نيك فرستاده ميشود و مانند اين كار ميكند. بعضي از آنها ويروسهايي از نوع اسناد World هستند كه خودشان را گروههاي خبري اينترنت براگذاري ميكنند. اينويروس اسناد را ميفرستد (در حقيقت خودش را) از طريق پيام پست الكترونيك به 50 نفري كه در دفتر آدرس شخص قرار دارند. اين پيام شامل يك متن دوستانه كه شامل نام فرد دريافت كننده است و فرد آن را بازسازي ميكنند به اين دليل كه فكر ميكند آنها بيضررند. ويروس 50 پيام جديد در كامپيوتر دريافت كننده به وجود ميآورد. پس به نظر ميرسد كه ويروس Melissa خودش را به سرعت پخش ميكند و مجبور ميكند بسياري از كمپانيها سيستم الكترونيكي خودشان را غير فعال كنند.
ويروسها I love you ويروسها ساده اي بود كه در مي 2000 ظاهر شد. كه شامل قطعات كوچكي به عنوان ضميمه بود. مردم كه دوبار كليك مي كردند به اين فايل ضميمه باعث مي شد اجازه دهند كه اجرا شود. آن كد يك كپي از خودش را كپي مي كرد. در آدرس قرباني و شروع مي كند به خراب كردن فايلها در دستگاه قرباني اين يك نمونه از ويروس بدست آمده است. و بطور واقعي اين ويروسها ها توزيع بيشتري نيست به اسبهاي تروجان به ويسلر پست الكترونيك داشته اند.
نتيجه اي كه ويروس Melissa از زبانهاي برنامه نويسي ساخته شده بر اساس word گرفت VBA ناميده مي شود يا ريشه هاي واقعي براي برنامه ها. آنها زبانهاي برنامه نويسي كاملي هستند و قابل برنامه ريزي هستند به چيزهايي مانند تغييرات در فايلها و فرستادن پيامهاي پست الكترونيك آنها همچنين مفيد هستند اما خصيصه خود اجرا بودن آنها خطر ناك است.
برنامه نويس مي تواند در درون اسناد قرار دهد برنامه هايي موجود را فورا و هر وقت كه اسناد باز شوند. ويروس Melissa به چند صورت برنامه ريزي شده است. هر كسي كه باز مي كند اسناد آلوده شده توسط Melissa اين باعث فعاليت سريع ويروس مي شود. آن ويروس 50 پست الكترونيك مي فرستد و پس فايل مركزي را آلوده مي كند به نام Normal.dot بنابر اين هر فايلي كه در آينده ذخيره شود شامل ويروس نيز مي شود.
و باعث ايجاد محيط آلوده بسيار بزرگ مي شود.
برنامه هاي مايكروسافت داراي خصوصياتي هستند كه Marco virus protection. ناميده ميشوند كه مانع ورود ويروسها ميشوند. با روشن كردن حفاظت كننده از ويروس (كه به صورت پيشفرض روشن است ) خصوصيت اجرا كننده اتوماتيك غيرفعال ميشود.
بنابراين زماني كه اسناد سعي ميكنند كد را به صورت اتوماتيك اجرا كنند . پيامي جهت هشدار به user نمايان ميشود.
متاسفانه بسياري از مردم راجع به ويروسهاي ماكرو زياد نميدانند و زماني كه با اخطار مواجه ميشوند به آن توجهي نميكنند . بنابراين ويروس به اجرا در ميآيد. خيلي از مردم غير فعال ميكنند قسمت حفاظت كننده را. بنابراين ويروس Melissa گسترش پيدا ميكند با وجود امكانات براي جلوگيري كردن از آن.
در مورد ويروس ((I Love you)) چيزي است كه به عمل انسان مربوط است. اگر شخص دوبار كليك كند بر روي برنامهاي كه به صورت پيوست بوده برنامه اجرا شده و كاري انجام ميشود. چه چيزي اين ويروس را تشديد ميكند.
-تمايل انسانها براي دوبار كليك كردن بر روي فايلهاي اجرايي.
گزيدهاي از راههاي پيشگيري:
شما مي توانيد خود را در برابر ويروسها ها مقاوم كنيد با انجام چند مرحله ساده:
براستي اگر شما نگرانيد درباره ويروسهاي سنتي (كه با پست الكترونيك ضديت دارند). شمابايد امنيت بيشتري را بر روي سيستم عامل مانند unix پياده سازي كنيد . با اين كار شما هرگز در مورد ويروسها و عملكردشان بر روي سيستم عامل چيزي نميشنويد زيرا خصيصه امنيت جلوگيري ميكند از نفوذ ويروسها (كاربران ناخواسته) و دور ميكند آنها را از ديسك سخت شما.
اگر شما از يك سيستم عامل بدون امنيت استفاده مي كنيد. خريد نرم افزار محافظت كننده از ورود ويروس بهترين راه براي محافظت است.
• اگر شما اجتناب كنيد از استفاده برنامه هاي بدون مرجع مانند اينترنت و به جاي آن از نرم افزارهاي تجاري قابل خريداري بر روي CD استفاده كنيد. شما همه ديسكها را در مورد نفوذ ويروسهاي قديمي از بين مي بريد. براي افزايش حفاظت شما بايد بوت فلاپي ديسك را غير فعال كنيد. بيشتر كامپيوترهاي امروزي اجازه مي دهند به شما كه چنين كاري انجام دهيد. و بدين صورت ريسك ويروسها بوت سلكتور كه بصورت اتفاقي از فلاپي ديسك وارد درايو مي شوند از بين مي رود.
• شما بايد مطمئن باشيد كه نرم افزار محافظت كننده از ويروسها فعال است در تمامي برنامه هاي كاربردي و شما هرگز نبايد اجرا كنيد ماكروها را در اسناد مگر اينكه بدانيد داريد چه كاري انجام مي دهيد. به ندرت دليل خوبي براي اضافه كردن ماكروها درون اسناد ايجاد مي شود. بنابر اين اجتناب از همه ماكروها سياست بزرگي براي جلوگيري از نفوذ ويروسها مي باشد.
قسمت option را از بندي tools نرم افزار word باز كنيد. و مطمئن شويد حفاظت كننده از ويروسها ماكرو فعال نشان داده شود.
شما هرگز نبايد دوبار كليك كنيد روي فايلهاي پيوست شده به پست الكترونيكتان كه بصورت اجرايي باشند. فايلهايي كه مانند word(.doc) و همچنين xls تصاوير (Gif, jpg) و غيره...فايلهاي داده ها هستند آنها مي توانند آسيب نبينند ( ويروسهاي ماكرو نمي توانند مساله اي در اسناد بالا ايجاد كنند).
فايلهايي با پسوند هايي مانند exe, com يا VBS قابل اجرا هستند و فايلهاي اجرايي مي توانند ليستي از اعمال مخرب را انجام دهند. اگر شما بخواهيد يكي از آنها را اجرا كنيد شما به آن اجازه داديد هر كاري كه مي خواهد با سيستم شما انجام دهد. استقامت در برابر عدم اجراي فايلهاي اجرايي كه از طريق پست الكترونيك مي رسند نكته مهمي است.
تاريخچه
ويروسهاي كامپيوترهاي قديمي در سال 1980 زياد به نظر مي رسيدند و آنها بواسطه وجود چندين عامل آمده بودند. اولين عامل كه وسعت داد كامپيوترهاي شخصي را به سال 1980 بر مي گردد. كامپيوترهاي خانگي موجوديتي نداشتند و فقط اسباب بازي بوند. كامپيوترهاي واقعي كم ياب بودند. و آنها قفل بودند براي اينكه فقط متخصصان با آنها كار كنند. در طول سال 1980 كامپيوترهاي واقعي شروع به گسترش كردند. در زمينه هاي تجاري وخانگي بدليل معروفيتي كه كامپيوترهاي خانگي IBM ( منتشر شده در سال 1982) و Apple ( منتشر شده در سال 1984) داشتند. بعد از سال 1980 كامپيوترها همه گير شدند در تجارت خانه و در محوطه دانشگاه.
عامل دوم از كامپيوتر هايي كه به صورت تابلو اعلانات استفاده مي شد. مردم مي توانستند با برقراري ارتباط با تابلو اعلانات با استفاده از مودم هر نوع برنامه اي را دانلود كنند. بازيهاي عمومي فوق العاده و همچنين نمونه هايي از پردازش word و غيره تابلو اعلانات مقدمه اي بود براي شناخت ويروسهايي ماند اسب تروجان برنامه اي است كه هنگامي كه راجع به آن بنظر مي رسد واقعا جالب است. بنابر اين آن را دانلود مي كنيد زماني كه برنامه هاجرا مي شود. چيز غير جالبي به نظر مي رسد مطالعه مي كنيد.
زيرا ديسك شما را پاك مي كند، بنابر اين شما فكر مي كنيد كه بازي بدون ايرادي دريافت كرديد ولي آن پاك مي كند اطلاعات سيستم شما را اين تروجان تعداد محدودي از مردم را آزار داد زيرا بسرعت كشف شد. به همين علت هم مالك تابلو اعلانات آن فايل را از روي سيستم پاك كرد و مردم به هم اخطار دادند در مورد اين ويروس.
سومين عامل باعث ايجاد ويروسها از طريق ساخت فلاپي هاشد. در سال 1980 برنامه هاي كوچك بودند و شما مي توانيد آن را در سيستم عامل بگنجانيد. پردازگي word مي توانست اسناد را در 1 يا دو فلاپي ديسك قرار دهد. خيلي از كامپيوتر ديسك سخت نداشتند. بنابر اين شما مجبوري بوديد كامپيوتر خودرا روشن كنيد. بدين ترتيب سيستم عامل بدون استفاده از فلاپي ديست بار گذاري مي شد.