بخشی از مقاله
اطلاعات اساسی در مورد ویروس
________________________________________
ويروس چيست؟
يک ويروس يک برنامه کوچک و انجام پذير است که قابليت آنرا دارد که کد خود را در قسمتهای مختلف يک کامپيوتر مثل هارد ديسک يا فلاپی کپی کند يا به فايلهای اجرائی بچسباند. اين در حالی است که کاربر از وجود ويروس و اعمالی که انجام میدهد کاملا بیاطلاع است و هنگامی متوجه میشود که سيستم يا بايد Format شود و يا سرعت سيستم به شدت پايين آمده است.
هر ويروس خصوصياتی مخصوص به خود دارد. ويروسها راههای متفاوتی برای آلوده کردن سيستمها دارند که همين خصوصيت آنها را از ديگر ويروسها متمايز میکند. در زير طريقه جدا کردن ويروسها را از همديگر شرح میدهم:
الف) حجم: يک ويروس میتواند کوچکتر يا در حدود ۶۶ بايت باشد يا بزرگتر يا در حدود ۴۰۹۶ بايت باشد. در مقايسه با نرمافزارها يک ويروس بايد خيلی کوچک باشد.
ب) روش آلوده سازی: يک ويروس میتواند با روشهای متفاوتی برنامه ميزبان را آلوده کند. در زير سه روش که بيشتر مورد استفاده است شرح داده میشود:
ب(۱) overwriteکردن: زمانيکه يک ويروس با اين روش برنامهای را آلوده میکند، بسادگی يک کپی از کد خود را در بالای کد برنامه ميزبان مینويسد اين روش خيلی ساده بوده و در ويروسهای اوليه بکار گرفته میشد. در اين روش فايل ميزبان به احتمال زياد خراب میشود و از کاربر از ديسک پشتيبان فايل را فراخوانی میکند. در اين روش تاريخ تغييرات فايل عوض میشود اما حجم همانطور باقی میماند در اين روش توابعی که برنامه بايد انجام دهد زياد میشود و سرعت اجرای برنامه اصلی (اگر خراب نشده باشد) کاهش پيدا میکند.
ب(۲) الصاق کردن: اين روش کمی پيچيدهتر است. ويروس خود را به انتهای فايل ميزبان الصاق میکند و سرخط برنامه را اصلاح میکند در هنگام اجرای برنامه، برنامه ابتدا به قسمتی که کد ويروس قرار دارد رفته، دستورات ويروس را اجرا کرده و بعد برگشته و به اجرای برنامه ميزبان میپردازد. در نظر کاربر برنامه به صورت نرمال اجرا میشود اما ايراد اين روش اين است که حجم فايل افزايش میيابد. بعضی از ويروسهای الصاقی تشخيص نمیدهند که فايل قبلا ويروسی شده است يا نه و دوباره و چندباره فايل را آلوده میکنند و اين باعث میشود که حجم فايل رشد قابل ملاحظهای کرده و در انتها فايل ديگر غيرقابل استفاده میشود.
ب(۳) آلوده کنندههای ديسک: ويروسهای ديگر رکورد بوت (بوت سکتور) ديسک يا جدول پارتيشن را آلوده میکنند. اين رکورد قسمتی از ديسک است که هنگام راهاندازی سيستم بصورت اتوماتيک خوانده میشود اين يعنی بعد از راهاندازی سيستم ويروس در حافظه قرار میگيرد!
ج) (terminated and stay resident) يا TSR: يک ويروس که ممکن است مقيم در حافظه باشد يا با اجرای يک برنامه خاص در حافظه بار شود. هنگامی که ويروس مقيم در حافظه شد هر زمان و هر فايلی را که بخواهد آلوده میکند. تمام ويروسهائی که جدول پارتيشن يا بوت سکتور را آلوده میکنند جزو TSRها هستند.
د) مخفیشدن: بعضی از ويروسهای TSR از تکنيکی ماهرانه استفاده میکنند چنانچه هيچ کار سيستم عجيب به نظر نمیرسد گويا اصلا ويروسی در سيستم نيست! موقعی که کاربر يک ليست از پوشهها میگيرد ويروس از خوانده شدن صحيح ديسک جلوگيری میکند انگار نه انگار که چيزی در سيستم تغيير کرده چون يک کپی از محتويات ديسک را قبل از آلوده شدن به کاربر نشان میدهد. به همين دليل پيدا کردن ويروسهائی که مقيم در حافظه شدهاند تقريبا غيرممکن است.
ويروسهايی که بوت سکتور را آلوده میکنند ممکن است مخفی شونده باشند. تنها راه مطمئن برای شناسائی اين ويروسها اين است که ابتدا سيستم را با يک فلاپی (که از ويروسی نبودن آن مطمئن هستيم و در حالت محافظت شده از نوشتن است) بالا آورده و ديسک سخت را ويروسکشی کنيم.
هـ) نحوه فعال شدن و نتايج: ديگر ناحيه برای سوا کردن ويروسها از همديگر نحوه فعال شدن، نتايج آن و نحوه غيرفعال شدن آنهاست. بعضی از آنها در تاريخ معينی فعال میشوند. بعضی ديگر با اجرا شدن برنامهای خاص اجرا میشوند و بعضی ديگر هنگامی خود را نمايان میکنند که ديگر فايلی برای آلوده کردن نمیيابند (يعنی همه فايلها آلوده شدهاند!)
هر وقت که يک ويروس فعال میشود فعاليتهايی را که برايش معين شده است انجام میدهد که اينها را نتايج فعال شدن میناميم. نتيجهای که ممکن است ساده و بیضرر باشد مانند نشان دادن يک پيغام يا بدانديشانه باشد و هارد سيستم را تبديل به يک آشغالدونی بکند. بديهی است که هرکس میخواهد قبل از اينکه ويروس فعال شود آن را بيابند.
۹(۳) از چه راههائی ممکن است سيستم ويروسی شود؟
مثل ويروس ايدز چرنديات زيادی در مورد ويروسهای کامپيوتری وجود دارد که میگويند کدام ويروس میتواند سيستم شما را آلوده کند. طوری ما را از آنها میترسانند که با فهميدن ويروسی شدن سيستم حالمون خراب میشود.
سيستم زمانی ويروسی میشود که شما يک فايل اجرائی را که ويروسی شده است اجرا میکنيد يا قصد بوت کردن از روی يک ديسک آلوده میکنيد. سيستم شما با نگاه کردن به يک فايل ويروسی، ويروسی نمیشود مگر اينکه سيستمعامل خود را طوری تنظيم کنيد که اعمالی خاص را هنگام ديدن فايلهای خاص انجام دهد مثلا windows script host اجرای ويروسهای vbs. را ساده میکند. يک ويروس فقط فايلهائی را میتواند ويروسی کند که قابليت اجرا شدن داشته باشند يا سيستم عامل اجازه اجرا خودکار به آن فايل خاص دهد مانند .scr. bin . drv . sys . ovl . com . exe. و ... و جدول پارتيشن و بوت رکورد فلاپی يا ديسک سخت.
اشاره کردم که قصد کنيد از روی يک فلاپی آلوده سيستم را بوت کنيد. حتی زمانيکه شما اين اقدام به اين کار میکنيد و سيستم پيغام میدهد که فلاپی قابليت بوت کردن ندارد و شما آنرا درآورده و از هارد سيستم را بوت میکنيد بازهم سيستم ويروسی میشود. اين خيلی مهم است يعنی لازم نيست که شما با موفقيت از روی يک فلاپی آلوده بوت کنيد تا ويروس فعال شود. اولين کاری که ويروس انجام میدهد آلوده کردن درايو :c است. بعد که يک ديسک در فلاپی میگذاريد آنرا نيز آلوده میکند. به همين دليل است که نبايد هيچ ديسکی در فلاپی باقی بماند و چرا بايد فلاپی ها را در مقابل نوشته شدن محافظت کنيم.
و اما جمعبندی مطالب بالا:
الف) سيستم زمانی ويروسی میشود که شما يک فايل اجرائی را اجرا میکنيد. هر چند ممکن است آن فايل اجرا نشود اما مطمئن باشيد ويروس اجرا میشود.
ب) سيستم زمانی ويروسی میشود که شما اقدام به بوت کردن از روی يک ديسک آلوده میکنيد هر چند بوت کردن با موفقيت انجام نشود.
ج) بوت سرد میتواند ويروس را از حافظه بيرون اندازد اما بوت گرم نه، پس زمانی که میخواهيد سيستم را ریبوت و سپس ويروسکشی کنيد با دکمه power اين کار را انجام دهيد نه با سه کليد Ctrl+Alt+Del.
د) سيستم شما به صرف اينکه شما به يک ديسک يا برنامه آلوده نگاه میکنيد ويروسی نمیشود .
هـ) سيستم شما با يک فايل داده مثل txt. هيچوقت آلوده نمیشود مگر اينکه برنامههای ديگر يک فايل اجرائی را به اين نام تغيير نام داده باشند که اين هم وقتگير است و زياد مورد توجه ويروسنويسها نيست. در ضمن سيستم را طوری تنظيم کنید که پسوند تمام فايلها را نشان دهد شايد متوجه شوید که فايل ويروس چنين است pic1.jpg.exe و تمام فايلهای اجرائی جديد را قبل از اجرا با نرمافزارتان چک کنيد و هيچوقت يک ديسکت را در فلاپی ديسک باقی نگذاريد.
۹(۴) با چه علائمی میتوان فهميد سيستم ويروسی شده است؟
بعضی چيزها و علائم هستند که از روی آنها میتوان فهميد سيستم ويروسی شده است حتی با وجود اينکه نرمافزار ضد ويروس سيستم را سالم میداند باز هم به آن اعتماد ۱۰۰٪ نکنيد خيلی از ويروسها حتی اين نرمافزارها را نيز اسير خود میکنند. و اما علائم از اين قرارند:
الف) فايلهای exe و com رشد میکنند و حجمشان زياد میشود پس سيستم يک ويروس الصاقی دارد.
ب) برنامههايی که اجرايشان میکنيم بدرستی اجرا نمیشوند و با چند پيغام خطا که برای ما تازگی دارند از ادامه کار باز میماند. اين علامت يک ويروس overwrite است بعضی از پيغامهای خطای معمول چنين است "unknown command" يا "حجم برنامه زياد است و در حافظه جای نمیگيرد" و يا پيغامهای شبيه اينها، اينها بايد شما را نسبت به سيستم مشکوک کند.
ج) تغييرات مشکوک در پوشهها. اگر شما برنامه را اجرا میکنيد و متوجه میشويد شما به يک پوشه ديگر انتقال يافتهايد يعنی يک ويروس شروع به شکار فايلها در پوشه برنامه شما کرده است.
د) کاهش در حافظه سيستم. شما بايد بدانيد معمولا چقدر فضای آزاد در حافظه سيستم داريد، اگر اين عدد کاهش پيدا کند پس يک ويروس TSR در سيستمتان زندگی میکند! اما اين هميشه کارگر نيت چون بعضی از ويروسها مقدار زيادی از حافظه را اشغال نمیکنند.
هـ) پيغامهای خطای مشکوک CHKDSK. ويروسهای نهان باعث میشوند شما پيغام خطای CHKDSK بگيريد زيرا آنها اطلاعات CHKDSK را تغيير میدهند. اگر شما در اين وضعيت CHKDSK /f کنيد خطر بزرگی ساختمان پوشههايتان را تهديد میکند در صورتی که در وضعيت عادی چنين خطری وجود ندارد.
و) پائين آمدن سرعت در عمليات سيستم. در اين حالت مدت زمان اجرای برنامهها افزايش میيابد.
۹(۵) چگونه میتوان از سيستم خود در برابر ويروسها محافظت کرد؟
الف) در فاصله زمانی معين از فايلهای حساس خود back up بگيريد.
ب) خيلی از برنامهها مثل NU میتوانند برايتان يک ديسک نجات تهيه کنند تا در موارد حساس از آن استفاده کنيد اين ديسک را تهيه کرده، write protect کرده و در يک جای امن نگهداری کنيد. در آن ديسک يا يک ديسک ديگر يک ويروسکش کم حجم را ذخيره کنيد.
