بخشی از مقاله

ویروس کامپیوتری

تعريف ويروس
به زبان ساده مي توان گفت ويروس، برنامه مخفي و كوچكي است كه باعث آلوده شدن برنامه هاي ديگر مي شود و مي تواند داده ها را دستكاري و يا تخريب نموده، سرعت سيستم را كاهش داده، باعث اغتشاش و عدم كارائي كامپيوتر شود.


مهمترين خصوصيت ويروس قدرت تكثير آن است. ويروس ها براي تكثير نياز به يك برنامه اجرائي دارند .يعني بيشتر ويروس ها در فايل هاي اجرائي جاي مي گيرند و آنها را آلوده مي‌كنند و كمتر ويروسي پيدا مي شود كه در يك فايل غير اجرائي جاي بگيرد و بتواند از طريق آن تكثير شود .بنابراين ويروس برنامه اي است كه مي تواند نسخه هاي اجرائي از خود را در برنامه هاي ديگر قرار دهد. برنامه آلوده به ويروس مي تواند هر برنامه سيستمي يا كاربردي باشد كه شرايط مورد نياز براي پذيرش ويروس را داشته باشد. برنامه آلوده نيز، قادر است برنامه هاي ديگر را آلوده كند.


از آنجائيكه ويروس ها مي توانند به تمام فايل هايي كه توسط سيستم اجرا مي شوند، اضافه شوند به آنها خود تكثير مي گويند.
با وجوديكه ويروس ها توسط برنامه نويسان مجرب و حرفه اي نوشته مي شوند، ولي برخي ها تصور مي كنند كه خود به خود و به طور تصادفي وارد سيستم مي شوند. ولي فرد كوهن و ساير كارشناسان احتمال به وجود آمدن ويروس به طور تصادفي را بسيار كم دانسته اند. زيرا:
a-گر طول برنامه ويروس هزار بيت فرض شود.


b-اگر پنجاه درصد از بيت ها صحيح فرض شوند.
c-اگر فرض كنيم با پانصد تغيير در برنامه، ويروس كامل مي شود.
آنگاه احتمال به وجود آمدن ويروس برابر است با :

با فرض هاي فوق كه شرايط مطلوبي براي ايجاد خود به خودي ويروس است عددp برابر مقدار كوچك مي شود كه شانس بسيار كمي براي بوجود آمدن و تكامل ويروس به طور تصادفي است.اما نرم افزارهاي موجود معمولا داراي روال هاي خواندن و نوشتن داده ها و... هستند كه اين نشان دهنده وجود توابع اساسي ويروسها، در برنامه ها است. بنابراين برخي احتمال به وجود آمدن ويروس به طور تصادفي را ، با احتمال بسيار كم مي پذيرند.

مقايسه ويروس هاي بيولوژيكي و كامپيوتري
به كار بردن كلمه ويروس براي اين برنامه ها، به دليل شباهت فراوان آنها با ويروس هاي بيولوژيكي است كه در بدن موجود زنده فعاليت مي كنند. بنابراين ويروس هاي كامپيوتري را مي توان با ويروس هاي بيولوژيكي مقايسه كرد. ويروس هاي بيولوژيكي رشته هايي از اسيد نوكلئيك همراه با پوشش پروتئيني هستند كه به تنهايي هيچ اثري از حيات ندارند مگر اينكه به يك سلول زنده به عنوان ميزبان وارد شوند. پس از ورود ويروس هاي بيولوژيكي به بدن، آنها شروع به فعاليت كرده و فعاليت‌هاي سلول ميزبان را متوقف مي كنند. ويروس‌هاي بيولوژيكي در بدن ميزبان مي توانند توليد مثل كرده و ويروس هاي جديد به وجود آورند.


ويروس هاي كامپيوتري مانند ويروس هاي بيولوژيكي به تنهايي نمي توانند فعاليت كنند و همانند ويروس هاي بيولوژيكي نياز به ميزبان دارند. ويروس هاي كامپيوتري به طور غير فعال در برنامه ميزبان باقي مي مانند تا در شرايط مناسب فعال شده و عمليات تخريبي و تكثير خود را آغاز كنند. شرايط مناسب براي فعاليت ويروس ها، بسته به نوع آنها متفاوت است. راه اندازي سيستم، اجراي يك برنامه اجرائي و ... باعث فعال شدن ويروس ها مي شود. در برخي موارد، يك تاريخ مشخص باعث فعاليت ويروس مي شود.
بايد توجه داشت هيچ كامپيوتري در برابر ويروس مقاوم نيست. اگر كامپيوتري در حال حاضر فاقد هر نوع ويروس باشد، آن وقت كامپيوتر به ويروس آلوده نمي شود، اگر:
a- هيچ نوع ديسكت يا “سي دي” در آن مورد استفاده قرار نگيرد .
b- به شبكه متصل نباشد.
يعني همه درگاه هاي ارتباطي را بايد كنار بگذاريد. كه البته كامپيوتري كه قادر به انجام اين كار باشد نادر و كمياب است. در صورت وجود چنين كامپيوتري ميتوان گفت ويروس به صورت مستقيم يعني تايپ خود برنامه ويروس مي تواند اين كامپيوتر را آلوده كند

محل فعاليت ويروس
بعضي ويروس ها بر روي فايل هاي با پسوند exe و بعضي از آنها بر روي فايل هاي با پسوند com و بعضي ديگر بر روي هر دو دسته اثر مي گذارند. بنابراين مي توان گفت : يكي از محل هاي وجود ويروس، فايل هاي اجرايي است. پسوندهاي رايج فايل هايي كه توسط ويروس ها آلوده مي شوند عبارتند از:
EXE-COM-SYS-BIN-OVL-DLL-SCR-DOC-DOT-OVR-APP-XTP


بعضي از ويروس ها علاقه خاصي به بوت سكتور و پارتيشن تيبل دارند. ويروس هاي بوت سكتور، جاي بوت سكتور را با برنامه خودشان عوض مي كنند. اگر ويروس ها بيش از يك سكتور نياز داشته باشند، سكتورهاي ديگري از ديسك را به كار مي برند و در اين صورت در FAT آنها را به عنوان “ بد سكتور“ علامت گذاري مي كنند تا از نوشتن روي آنها جلوگيري شود و اكثر برنامه هاي كمكي مانند نورتن نيز نمي توانند محتويات اين سكتورهاي به ظاهر خراب را نمايش دهند.


وقتي فايل آلوده به ويروس را اجرا كنيد، ويروس در حافظه قرار مي گيرد و در آنجا مقيم مي‌شود. پس از آن، هر وقت فايل سالمي را اجرا كنيد، براي اجرا به داخل حافظه مي رود، و ويروس مقيم در حافظه خود را به آن متصل مي كند و بالاخره فايل آلوده در ديسك ذخيره مي شود. بيشتر ويروس ها مانند برنامه هاي مقيم در حافظه عمل مي كنند. برنامه هاي مقيم در حافظه پس از اجرا، جاي خود را در حافظه از دست نمي دهند. محل حافظه اين برنامه ها با روش خاصي اداره مي شود و در اختيار برنامه هاي ديگر قرار نمي گيرد. ويروس هاي

مقيم در حافظه كنترل سيستم عامل را در دست مي گيرند و فر آيندهاي ورودي/خروجي ، مترجم هاي فرمان و ... را تحت كنترل مي گيرند. اما بعضي از ويروس ها فقط در حافظه قرار مي گيرند و نمي توانند مانند برنامه هاي مقيم در حافظه عمل كنند. يعني تنها از اقامت در حافظه استفاده مي كنند و نمي توانند تحت عنوان وقفه ها سيستم عامل فعاليت نمايند.
برخي از ويروس ها بر روي برنامه هاي غير اجرائي يا داده اي اثر گذاشته و آنها را غير فعال مي كنند. ويروس ها، فقط مي توانند به فايل ها داده اي صدمه بزنند، اما نمي توانند همه انواع آنها را آلوده كنند. در نتيجه فايل هاي داده اي نيز نمي توانند كامپيوتر را آلوده كنند.


بعضي از ويروس ها خودشان را فقط يك بار به يك فايل اضافه مي كنند. يعني هر فايل را فقط يك بار آلوده مي كنند زيرا بيشتر ويروس ها داراي يك علامت مشخصه هستند كه باعث مي شود فايل هاي آلوده شده، توسط خودشان را تشخيص دهند. اين امر آنها را قادر مي سازد تا از كشف شدنشان جلوگيري بعمل آيد زيرا فايل آلوده به ويروس، در صورت آلودگي پي در پي به صورت قابل توجهي بزرگ مي شود.

خصوصيات ويروس


بر اساس تعاريفي كه تا به حال بيان شد، برنامه ويروس بايد داراي خصوصيات زير باشد:
1- برنامه نرم افزاري كوچك و مضري است كه روي نوعي وسيله ذخيره اطلاعات كامپيوتري قرار مي گيرد.
2- به صورت خودكار و بدون دخالت اشخاص اجرا مي شود.


3- معمولا مقيم در حافظه هستند و با اجراي فايل هاي آلوده به ويروس در حافظه كپي مي شوند. ويروس هاي مقيم در حافظه مي توانند از طريق وقفه ها در حافظه مقيم شوند.روش دوم نياز به مهارت فراوان در برنامه نويسي دارد ولي در عوض ديرتر كشف مي شود زيرا اغلب برنامه هاي ضد ويروس بر روي وقفه ها نظارت دارند.
4- نام ويروس ها در فهرست فايل ها ظاهر نمي شود.


5- ويروس ها مي توانند خود را در ساير كامپيوترها از طريق برنامه هاي آلوده كپي كرده و توليد مثل نمايند.
6- ويروس هاي كامپيوتري توسط برنامه نويسان تكامل پيدا مي كنند. يعني در حال حاضر تكامل آنها وابسته به دخالت برنامه نويسان است.
7- اكثر ويروس ها بوت سكتور كوچكتر از 512 بيت هستند زيرا فضاي ذخيره شده در اين قسمت 512 بايت (يك سكتر)است.


8- بعضي از ويروس ها مانع از اجراي ضد ويروس هايي مانند scan مي شوند و اين در صورتي است كه حافظه آلوده به ويروس نباشد. در اين صورت برنامه ضد ويروس ظاهرا اجرا مي شود ولي ويروس را نمي تواند بر روي ديسك تشخيص دهد. ويروس هاي “ وان هاف” و “ايرانين” از اين نوع هستند.


9- ويروس هاي مقيم در حافظه، در صورت اجرا يا باز شدن فايل، آنها را آلوده مي سازدند ولي ويروس هايي كه در حافظه مقيم نيستند بايد در فهرست جاري يا مسير هاي تعريفي در دستور path به دنبال فايل هاي سالم بگردنند و آنها را آلوده كنند.بعضي از ويروس ها به دنبال فايل خاص در مسيرهاي خاص مي گردند و در صورت وجود فايل خاص، آنرا آلوده مي كنند.
10-قسمت هاي مختلف يك ويروس به هم وابسته اند و با پاك كردن يك يا همه دستورات، ويروس از بين مي رود.
11-ويروس ها معمولا تغييرات مختلف در كامپيوتر را تشخيص داده و مي توانند در مقابل آنها عكس العملي نشان دهند.

مراحل زندگي ويروس
از آنجائيكه ويروس هاي كامپيوتري شباهت زيادي با ويروس هاي بيولوژيكي دارند به اين دليل نام ويروس را بر آنها نهاده اند و مانند آنها داراي چرخه اي براي گسترش، ايجاد و تخريب هستند كه عبارتند از :
1- مرحله خوابيده و بي حركت كه بستگي به نوع ويروس دارد و مدت زماني است كه ويروس از زمان نوشته شدن تا زمان انتقال به محيط خارج لازم دارد.
2- مرحله انتشار كه در اين مرحله آلوده سازي صورت مي گيرد.


3- مرحله فعال شدن كه در اثر يك رويداد خاص(ماننديك دستور يا تاريخ خاص يا ...) تعيين شده توسط برنامه نويس ويروس، اين حالت رخ مي دهد.
4- مرحله صدمه زدن : كه با توجه به نوع ويروس مشخص مي شود.


عبور از مرحله يك، معمولا بين سه تا پنج سال طول مي كشد. براي ويروس “وان هاف” اين مدت دو سال و نيم طول كشيده است تا اين ويروس بتواند به كامپيوترهاي كاربران در محل هاي مختلف منتقل شود. در حاليكه اين مرحله، براي ويروس هاي ماكرو بيش از چند ماه نيست. با گسترش اينترنت اين زمان و اين مرحله اكنون ديگر چندان مطرح نيست.


زماني كه ويروس وارد سيستم و اجرا شد، هر برنامه يا منطقه اي از سيستم كه آلوده شده باشد، خود يك منتشر كننده ويروس بوده و منتشر كننده هاي بيشتري توليد مي كند. ويروس ها ايجاد مي شوند، فعاليت مي كنند، شناسائي مي شوند و از بين ميروند. پس از مرحله ايجاد ويروس ، فعاليت قوي و پنهاني، كه اوج عمليات تكثير ، آن است شروع مي شود و بيشترين آسيب و صدمه به سيستم هاي كامپيوتري در اين مرحله صورت مي گيرد. پس از شناسائي ويروس، ديگر ويروس با سرعت قبل توان گسترش نخواهد داشت. چرا كه كاربران ماهر كامپيوتر با چگونگي فعاليت ويروس آشنا شده اند و سيستم آلوده را از غير آلوده به راحتي تميز مي دهند.
در مرحله فعاليت ضعيف كاربران غير ماهر كامپيوتر، كه اطلاعات كافي در مورد ويروس ندارند صدمه مي بينند. در آخر مرگ ويروس فرا مي رسد، در اين مرحله ديگر برنامه هاي ضد ويروس به راحتي مي توانند ويروس را شناسائي و نابود كنند.

 

تاريخچه
در سال 1983 در يك سمينار “حفاظت ديسك“ كه در يكي از دانشكده هاي دانشگاه كاليفرنيا برگزار مي شد، افراد شركت كننده در سمينار مدعي بودند كه اطلاعات درون ديسكت ها، اگر به طور غير عادي حذف نشوند و آسيب فيزيكي نبينند، در ديسك داراي عمر طولاني هستند. ولي فرد كوهن اين را قبول نداشت. وقتي سمينار تمام شد، كوهن نظر خود را با استادش “آدلمن“ در ميان گذاشت و آدلمن بلافاصله به شباهت نظر كوهن با ويروس هاي بيولوژيكي اشاره كرد. اين در حالي بود كه آنها اطلاع نداشتند كه در سال 1972، ديويد جرالد، يكي از نويسندگان داستان هاي علمي – تخيلي در كتاب خود با نام “ وقتي هارلي يك ساله بود” از كلمه ويروس براي اشاره به كامپيوترهاي بد ذات استفاده كرده بود.
در نتيجه كوهن در سال 1983 برنامه كوچك چند بايتي نوشت كه پس از اجرا باعث مي شد كه به طول برنامه، مقداري اضافه شود و اين عمل باعث مي شد كه پس از چند بار اجرا ديگر برنامه آلوده شده، اجرا نشود و در واقع آسيب ببيند. به اين ترتيب فرد كوهن از دانشگاه كاليفرنياي آمريكا اولين ويروس كامپيوتري را نوشت. ولي هدف كوهن تخريب و صدمه زدن نبود، بلكه او مي خواست ثابت كند اطلاعات روي ديسكت ها صدمه پذير هستند.


اما اولين ويروس كامپيوتري غير آزمايشي در ژانويه 1986 كشف شد و در سال 1987 نام ويروس هاس كامپيوتري بر سر زبان ها افتاد و اين وقتي بود كه در نوامبر اين سال يكي از فارغ التحصيلان دانشگاه “كورنل” اولين ويروس كامپيوتري به معناي امروزي را نوشت و آنرا وارد شبكه كامپيوتري اينترنت كرد. اين ويروس كه به ويروس “اينترنت” معروف شد پس از فعال شدن، از ميان 250000 سيستم كامپيوتري متصل به اين شبكه، 6200 سيستم را آلوده كرد.

برنامه هاي شبه ويروس
گاهي برنامه هاي ويروس با انواع ديگري از برنامه ها كه از جهاتي شبيه ويروس هستند، اشتباه گرفته مي شوند. اين برنامه ها عبارتند از:
1-اسب تروآ: اولين ويروس هايي كه آثار آنها مشاهده شد، به نام هاي اسب تروآ و بمب منطقي نام گذاري شدند. نام تروآ از داستان اسب تروآ كه مربوط به نبرد يونانيان با ساكنان شهر تروآ است، گرفته شده است. طبق داستان هاي اساطيري يونان باستان ، يونانيان پس از ده سال جنگ و محاصره شهر تروآ چون نتوانستند پيروز شوند، به حيله متوسل شدند و اسب چوبي بزرگي ساختند و تعدادي سرباز داخل آن مخفي كردند و آنرا نزديك شهر گذاشتند و اينطور وانمود كردند كه اين اسب هديه اي براي پايان مخاصمه و بر قراري دوستي با اهالي شهر است. پس از آن سوار كشتي هاي خود شده و به ظاهر منطقه را ترك كردند.


اهالي شهر چونكه قبلا چنين حيله اي را نديده و يا نشنيده بودند، فريب خورده و اسب چوبي را به داخل شهر آوردند و شب هنگام، بعد از يك جشن طولاني كه اهالي شهر در خواب بودند سربازان مخفي شده در داخل شكم اسب، با طناب پائين آمده و دروازه ها را باز كردند و سربازان يوناني كه به منطقه برگشته بودند به داخل شهر هجوم برده و آنرا تصرف كردند.
ويروس اسب تروآ نيز به صورت مخفي وارد سيستم كامپيوتر شده و پس از مدتي سكوت و عدم فعاليت، مشغول عمليات مخرب خود، مانند از بين بردن فهرست راهنماي ديسك يا FAT مي شوند و اين برنامه ها هربار كه اجرا شوند عمليات تخريبشان را انجام مي دهند و گاهي بستگي به نوع برنامه مي توانند بسيار خطرناك باشند.

بمب منطقي
بمب هاي منطقي معمولا براي يك برنامه خاص و يك كامپيوتر خاص طراحي و تدوين مي شوند و درجه آلوده سازي آنها مانند ويروس كامپيوتري نيست زيرا بر عكس ويروس ها از يك كامپيوتر به كامپيوتر ديگر منتقل نمي شوند و تفاوت آنها با اسب تروا در اين است كه اسب تروآ، روي هر سيستم و هر كامپيوتري فعال مي شود در حاليكه بمب منطقي فقط روي يك سيستم خاص عمل مي كند.


بمب منطقي يك برنامه كوچك است كه به برنامه موجود اضافه مي شود و تحت شرايطي، باعث تخريب اطلاعات موجود در كامپيوتر مي شود شرايط خاص معمولا رسيدن تاريخ يا ساعتي مشخص است.

كرم
نوعي برنامه نرم افزاري است كه در طول حافظه كامپيوتر، يا روي ديسك و يا هر دو حركت كرده و اطلاعات موجود را تغيير مي دهد. مثل اين است كه در داخل حافظه سيستم مي خزد. يعني تمام حافظه هاي خالي را پيدا كرده و هر جا كه بتواند، خود را مستقر مي كند و اين كار را آنقدر ادامه مي دهد تا كار سيستم را متوقف كند. اين كار معمولا با صفر كردن، يك هاي موجود يا جابجائي يك ها و صفرها صورت مي گيرد.

دلايل ويروس نويسي
نويسندگان ويروس ها اغلب ناشناخته اند. نويسندگان ويروس ها براي كنجكاوي يا سرگرمي، يا به خاطر اهداف انتقام جويانه و خرابكارانه و گاه در اثر روحيه مردم آزاري و روان بيمار خود اقدام به نوشتن ويروس مي كنند. گاهي انگيزه هاي سياسي و اهداف تروريستي باعث نوشتن ويروس ها شده است. بنابراين نوشتن ويروس ها به دلائل مختلفي صورت مي گيرد كه در زير به مهمترين آنها اشاره مي كنيم :

حفاظت نرم افزارها
در پاكستان دو برابر پاكستاني، نرم افزارهاي مختلف را از آمريكا خريداري كرده و پس از تكثير به قيمت ارزان آنها را ميفروختند. اما نسخه هاي فروش رفته، از پاكستان به تركيه نيز ارسال مي شد و در تركيه آنها را مجددا تكثير و مي فروختند. برادران پاكستاني براي جلوگيري از اين كار اقدام به نوشتن ويروس كردند كه به ويروس “مغز پاكستاني” ، معروف شد. نام هاي ئيگر اين ويروس “آشار” و “كفش” است.


كسب در آمد
برخي معتقدند اين امكان وجود دارد كه ويروس ها توسط افراد يا شركت هايي كه برنامه هايي براي شناسايي و انهدام ويروس ها مي نويسند ايجاد شوند. يعني براي ايجاد بازار كار شركت هاي توليد كننده ضد ويروس، ويروس ها را نوشته و پخش كنند تا با ايجاد نگراني و دلواپسي ناشي از احتمال از دست دادن اطلاعات، با تبليغات فراوان اقدام به فروش ضد ويروس مربوطه نمايند. به اين ترتيب از فروش ضد ويروس سود سرشاري نصيب خود كنند. اين ويروس ها نيز از لحاظ سطح برنامه نويسي در سطح بالايي قرار دارند.

مقاصد شخصي
ويروس ها ممكن است براي مقاصد شخصي، انتقام از شركتي كه در آن مشغول به كار بوده و اخراج شده، عواملي رواني مانند عقده هاي دروني و لذت صدمه زدن به ديگران توليد شوند. اغلب اين ويروس ها به سادگي قابل شناسائي و انهدام هستند.

كاربرد مفيد ويروس ها
همانطوريكه از ويروس آبله گاوي كه براي انسان بي خطر است، به عنوان واكسني عليه ويروس كشنده آبله استفاده مي شود ويروس هاي كامپيوتري بي خطر نيز مي توانند براي مقابله با ويروس هاي كامپيوتري خطرناك مورد استفاده قرار گيرند ويروس هاي ضد ويروس مانند پادتن بي اثر در سيستم ايمني، بي آنكه به سيستم عامل يا برنامه ها آسيبي برسانند در سيستم كامپيوتر منتظر مي مانند و هرگاه ويروس هاي مزاحم بخواهند اختلالي در سيستم بوجود آورند وارد عمل مي شوند آنها را نابود مي كنند.


تنها مورد كاربرد ويروس ها،استفاده ضد ويروسي آنها نيست بلكه مي توان ازآ نها به عنوان ويروس هاي فشرده ساز داده ها استفاده كرد. ويروس هاي فشرده ساز كامپيوتري مي توانند خود را به فايل ها متصل كرده و هرگاه لازم باشد فايلي به ديسكت منتقل شود، آنرا فشرده كرده و موقع استفاده از آن، فايل را مجددا باز كنند. با اين روش فايل هاي بيشتري را مي توان در ديسكت، فشرده و ذخيره كرد.

 

نامگذاري ويروس ها
نويسندگان ويروس ها معمولا آثار خود را نامگذاري نمي كنند زيرا اعلام نام موجب كشف سريع ويروس مي شود. ولي برخي اوقات نويسنده ويروس اسم ويروس را هم اسم با نام شخصي كه با آن خصومت و دشمني دارد انتخاب مي كند. از اين نوع نامگذاري مي‌توان ويروس ايراني، عباس كوهكن را ذكر كرد. يا اينكه نويسنده ويروس براي زنده نگهداشتن ياد كسي، اسم او را بر روي ويروس خود مي گذارد. از اين نمونه مي توان ويروس “ميكل آنژ” را ذكر كرد.


معمولا نامگذاري ويروس توسط ديگران صورت مي گيرد. به همين دليل يك ويروس در جاهاي مختلف با نام هاي مختلفي شناخته مي شود و ممكن است يك ويروس داراي چند نام باشد. براي مثال ويروس “استوند ،داراي نام هاي “ماري جوانا” و “زلاند نو” است و ويروس پلاستيك2 ، داراي نام هاي “ آنتي كد” و “مهاجم” مي باشد.
نامگذاري ويروس ها توسط ديگران، معمولا از روي نام اولين محلي كه توسط ويروس آلوده شده، يا برنامه اي كه براي اولين بار حامل آنها بوده ، يا حجم ويروس، يا كلمات و عبارات موجود در پيام هايي كه توسط ويروس بر صفحه نمايش ، نشان داده مي شود، و... انجام مي گيرد بطور كلي نامگذاري ويروس ها از نوع پيام، نوع و روش تخريبي، محل نوشته شدن و بسياري عوامل ديگر تأثير مي گيرد.


ويروس هاي ماري جوانا و پينگ پنگ ، ميكل آنژ و عباس كوهكن توسط نويسندگان ويروس نامگذاري شده اند. اما ويروس كارت كريسمس از روي پيام آن كه يك كارت كريسمس است نامگذاري شده است و يا علت نامگذاري ويروس “ لهاي” با اين نام اين بود كه اولين كامپيوتر آلوده شده توسط اين ويروس در آزمايشگاه ميكرو كامپيوتر دانشگاه لهاي قرار داشته است و يا نام ويروس مغز پاكستاني از روي يكي از پيام هاي صادره از سوي آن، كه حاوي آدرس شركتي به نام brain واقع در پاكستان است، انتخاب شده است. ويروس بلغاري ”پاريتي“ وقتي كه برنامه آلوده در حال اجرا است، يك اشتباه در حافظه را به طور كاذب نشان مي دهد و پيام زير را نمايش مي دهد.

انواع ويروس ها
ويروس ها از نظر نوع عملكرد و محل استقرارشان به صورت زير گروه بندي مي شوند:
1-ويروس ركورد راه انداز اصلي : ركورد راه انداز اصلي در سكتور اول هارد ديسك روي تراك صفر قرار دارد و حاوي جدولي است كه اندازه و حد هر پارتيشن را در خود جاي داده است. ويروس هاي ركورد راه انداز اصلي نسخه اي از خودشان را روي ركورد مزبور كپي مي كنند و جاي ركورد راه انداز اصلي هارد ديسك را عوض مي كنند. در اين حالت ممكن است اختلالاتي را براي راه اندازي آلوده نمايند و به اين ترتيب باعث گسترش آلودگي به درايوهاي ديگر شوند.


2-ويروس بوت سكتور: هر ديسك شامل يك بوت سكتور است. اين سكتور هميشه داراي يك شكل بوده و اغلب از طريق بوت سكتور مي توانند جاي اين سكتور را با برنامه خودشان عوض كنند و اگر راه‌اندازي كامپيوتر از طريق بوت سكتور آلوده انجام گيرد، ويروس وارد حافظه شده، شروع به فعاليت ميكند.


سيستم عامل ويندوز 95 و98 در ابتداي راه اندازي يك تست ساده بر روي بوت سكتور انجام مي دهد و در صورت آلوده بودن بوت سكتور به ويروس، با يك پيام، غير استاندارد و آلوده بودن سكتور را اعلام مي كند. يعني سيستم عامل به جاي ويروس ، كامپيوتر را از كار مي اندازد در نتيجه ويروس فرصت انتشار پيدا نمي كند.
به مرور از اهميت ويروس هاي بوت سكتور كم مي شود زيرا:


a-از طريق اينترنت كمتر منتقل مي شوند چون مخصوص ديسكت ها هستند. و از طريق ديسكت منتقل مي شوند.
b-به سادگي مي توان با استفاده از يك ديسكت غير آلوده، مانع اجراي برنامه ويروس از ديسك آلوده شد.
c-به علت حجم زياد برنامه ها، ديگر ديسكت ها تنها وسيله انتقال برنامه نيستند و استفاده از سي دي و پست الكترونيكي به مرور جايگزين ديسكت هاي كنوني مي شود.
d-ويندوز 95 و98 و ان تي، با انجام تست بر روي بوت سكتور آلودگي آنرا اعلام مي‌كنند با وجود اين، آنها خود را فاقد نرم افزار ضد ويروس هستند.
e-بيشتر ويروس هاي بوت سكتور معمولا براي سيستم عامل داس نوشته شده اند.


f-از بين بردن ويروس هاي بوت سكتور به راحتي صورت مي گيرد.
3-ويروس هاي انگلي يا فايلي : اين ويروس ها خود را به فايل هاي اجرائي متصل مي‌كنند و معمولاً پيكره اصلي برنامه را دست نخورده باقي مي گذارند . در موقع اجرا برنامه‌هاي آلوده ، ابتدا كد ويروس اجرا شده ، پس از آن برنامه اصلي اجرا مي شود . با اجراي هر فايل آلوده ، ويروس مقيم حافظه مي شود . پس از آن برنامه اصلي اجرا مي شود . و اگر فايل سالمي اجرا شود ويروس موجود در حافظه خود را به آن متصل مي كند و مجموع ويروس و برنامه در داخل ديسك نوشته مي شود . بعضي ويروس ها به انتهاي فايل ، برخي در ابتداي فايل ، بعضي در هر دو جا و برخي در وسط فايل خود را جا مي دهند .


ويروس ها براي اطلاع از آلوده بودن فايل ها از روش هاي زير استفاده مي كنند:
1-علائم داخلي فايل: ويروس ها از علائمي كه در فايل آلوده باقي مي گذارند پي به آلوده بودن فايل مي برند كه در اين صورت بايد ويروس فايل را باز كند تا از آلودگي آن آگاه شود.
2-علائم خارج فايل: چون اين علائم در داخل فايل قرار دارند ويروس براي دسترسي به آنها نيازي به باز كردن فايل ندارد. اين علائم عبارتند از :
a-سيستم عامل داس معمولا از دو رقم آخر تاريخ ساخت فايل كه مربوط به سال است، در عمليات معمولي استفاده نمي كند.
b-سيستم عامل داس از ثانيه مربوط به زمان ساخت فايل استفاده نمي كند و همينطور عدد غير مجاز 62 را قبول نمي كند.
c-به جاي استفاده از زمان و تاريخ، ويروس مي تواند از اندازه فايل استفاده كند.


d-برخي از ويروس ها از علائم عمومي و كلي ديگري استفاده مي كنند. اين علائم مي‌تواند كنترل بخش خاصي از حافظه باشد و يا بررسي برچسب ديسك و ... باشد كه معمولا ويروس هاي بوت سكتور و پارتيشن تيبل از اين علائم خاص استفاده مي كنند. براي ويروس “ مغز پاكستاني ” نشانه آلودگي به ويروس اين است كه برچسب ديسك،brain باشد.
ويروس ها به روش هاي زير به دنبال فايل هاي سالم مي گردند تا آنها را آلوده كنند:


a-جستجوي فايل ها با استفاده از مسيرهاي تعريفي در دستور path ويروس “ويني“ هنگامي كه يك فايل آلوده اجرا مي شود در فهرست جاري و مسيرهاي تعريفي توسط path به دنبال فايل هاي سالم مي گردد و آنها را آلوده مي كند.


b-جستجو در فهرست جاري ويروس ”جمعه سيزدهم شماره 1 و 2” كليه فايل هاي COM و EXE سالم موجود در فهرست جاري را آلوده مي سازد.
c-شروع يا خاتمه اجراي فايل ها، كه معمولا ويروس هاي مقيم در حافظه از اين روش استفاده مي كنند. ويروس “جمعه سيزدهم ” وقتي مقيم در حافظه شد، هر بار كه يك فايل اجرا شود، آنرا آلوده مي سازد و ويروس ماكوسافت هر وقت يك فايل آلوده اجرا شود كليه فايل هاي com درايو جاري را آلوده مي كند.
d-زمان باز شدن فايل ها معمولا موقع چك كردن يك فايل توسط ضد ويروس ها يا كپي فايل ها، ويروسي به جستجوي بايت مشخصه براي آلودگي مي گردد و در صورت عدم وجود آن ، در اين هنگام فايل را آلوده مي كند.


ويروس چند بخشي : اين ويروس داراي خصوصيات ويروس هاي گروه هاي 1 و2 و3 هستند يعني هم بوت سكتور و پارتيشن تيبل را آلوده مي كنند، هم فايل هاي اجرائي را آلوده مي كنند.
ويروس هاي مقيم در حافظه : اين ويروس ها در حافظه قرار گرفته و كنترل سيستم عامل را در دست مي گيرند. آنها روي عمليات ورودي و خروجي، فايل هاي اجرايي، مفسرهاي فرمان و... اثر گذاشته و باعث اختلال در كار سيستم مي شوند. اين ويروس ها با خاموش كردن كامپيوتر از حافظه پاك مي شوند ولي اگر منشاء ورود آنها به سيستم از بين نرود، با روشن شدن دوباره، ممكن است به حافظه وارد شوند.

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید