ویروس کامپیوتری چیست ؟

مقدمه

ویروس کامپیوتربرنامه ای است که می تواند نسخه های اجرایی خود را دربرنامه های دیگرقراردهد.هربرنامه آلوده می تواند به نوبه خود نسخه های دیگری ازویروس رادربرنامه های دیگرقرار دهد.

برنامه ای را برنامه ویروس می نامیم که همه ویژگیهای زیررادارا باشد:

1) تغییرنرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن  قسمتهایی ازاین برنامه به برنامه های دیگر.

2) قابلیت تشخیص این نکته که برنامه قبلا دچارتغییر شده است یا خیر.

3) قابلیت انجام تغییردربعضی ازبرنامه ها.

4) قابلیت جلوگیری ازتغییربیشتر یک برنامه درصورت تغییراتی درآن به واسطه ی ویروس.

5) نرم افزارهای تغییر یافته ویژگیهای 1 الی 4 را دارا هستند. اگربرنامه ای فاقد یک یا

چند ویژگی ازویژگیهای فوق باشد نمی توان به طورقاطع آنرا ویروس نامید.

آشنایی با انواع مختلف برنامه های مخرب

E-mail virus

ویروسهایی که ازطریق E-mail وارد سیستم میشوندطبق معمول به صورت مخفیانه

درون یک فایل ضمیمه شده قراردارند که با گشودن یک صفحه ی htmlیا یک فایل قابل اجرای برنامه ای ( یک فایل کد شده قابل اجرا) ویا یک word document      می توانند فعال شوند.

MARCO VIRUS

این نوع ویروسها معمولا به شکل ما کرو در فایلهایی قرارمی گیرند که حاوی صفحات

متنی ( word document ) نظیرفایلهای برنامه های ms office  همچون word  و

Excel هستند.

توضیح ماکرو: نرم افزارهایی مانند word Microsoft و Excel این امکان را برای 

کاربربوجود می آورند که درصفحه متن خود ماکرویی ایجاد نماید‘ این ماکروحاوی یکسری دستورالمعل ها عملیات ویا keystroke ها است که تمام اینها توسط خوده کاربرتعیین میگردند.

ماکرو ویروسها معمولا طوری تنظیم شده اند که به راحتی خود رادرهمه صفحات متنی

ساخته شده با همان نرم افزار ms word ‘ Excel جای می دهند.

اسب تروآ

این برنامه حداقل به اندازه خود اسب تروآی اصلی قدمت دارد. عملکرد این برنامه ها ساده ودرعین حال خطرناک است.

درحالیکه کاربرمتوجه نیست وبا تصاویرگرافیکی زیبا وشاهد همراه با موسیقی محسور

شده برنامه عملیات مخرب خود را آغازمی کند.

برای مثال به خیال خودتان بازی جدید ومهیجی راازاینترنت Download کرده اید ولی

وقتی آنرا اجرا می کنید متوجه خواهید شد که تمامی فایلهای روی هارد دیسک پاک شده ویا به طور کلی فرمت گردیده است.

کرمها WORM

برنامه کرم برنامه ای است که با کپی کردن خود تولید مثل می کند. تفاوت اساسی میان کرم وویروس این است که کرمها برای تولید مثل نیازبه برنامه ی میزبان ندارند.کرمها بدون استفاده ازیک برنامه ی حامل به تمامی سطوح سیستم کامپیوتری « خزیده » ونفوذ می کنند.

ویروسهای بوت سکتورو پارتیشن

Boot sector قسمتی ازدیسک سخت و فلاپی دیسک است که هنگام راه اندازی سیستم ازروی آن به وسیله کامپیوترخوانده می شود.boot sector یا دیسک سیستم شامل کدی است که برای باز کردن فایلهای سیستم ضروری است.

این دیسکها داده هایی درخود دارند وهمچنین حاوی کدی هستند که برای نمایش پیغام راه اندازی شدن کامپیوتر بوسیله ی آن لازم است.

سکتور پارتیشن اولین بخش یک دیسک است که پس ازراه اندازی سیستم خوانده     می شود.

این سکتورراجبدیسک اطلاعاتی نظیرتعداد سکتورها درهر پارتیشن ونیزموقعیت همه ی

پارتیشن ها را درخود دارد.

سکتورپارتیشن رکورد اصلی راه اندازی یا mbr – master boot record نیزنامیده

می شود. بسیاری ازکامپیوترها به گونه ای پیکربندی شده اند که ابتدا ازروی درایو: A

راه اندازی می شوند. این قسمت دربخش set up سیستم قایل تغییرو دسترسی است اگربوت سکتوریک فلاپی دیسک آلوده باشد وشما سیستم را از روی آن راه اندازی کنید ویروس نیزاجرا شده ودیسک سخت راآلوده می کند.

اگر دیسکی حاوی فایلهای سیستمی هم نبوده باشد ولی به یک ویروس بوت سکتوری آلوده باشد وقتی اشتباها دیسک را درون فلاپی درایو قرار دهید وکامپیوتر را دوباره راه اندازی کنید پیغام زیر مشاهده می شود. ولی به هر حال ویروس بوت سکتوری پیش ازاین اجرا شده وممکن است کامپیوترشما رانیز آلوده کرده باشد.

System disk or disk error -  non

Replace and press any key when ready

کامپیوترهایی که برپایه یintel هستند در برابر ویروسهای boot sector و Partition  آسیب پذیرند.

تا قبل ازاینکه سیستم بالا بیاید وبتواند اجرا شود صرفنظرازنوع سیستم عامل می تواند هرکامپیوتری را آلوده سازد.

-HOAX گول زنگ ها

این نوع ویروسها درقالب پیغام های فریب آمیزی کاربران اینترنت را گول زده وبه کام خود می کشد. این نوع ویروسها طبق معمول به همراه یک نامه ضمیمه شده از طرق پست الکترونیک وارد سیستم می شوند. متن نامه مسلما متن مشخصی نیست وتا حدودی به روحیات شخصی نویسنده ویروس بستگی دارد‘ پیغامها می توانند مضمونی تحد ید آمیزیا محبت آمیزباشند ویا درقالب هشداری مبنی برشیوع یک ویروس جدید اینترنت یا درخواستی درقبال یک مبلغ قابل توجه ویا هرموضوع وسوسه انگیزدیگر باشد. لازم به ذکراست که همه ی این نامه ها اصل نمی باشد یعنی ممکن است بسیاری ازآنها پیغام شخص سازنده ویروس نباشند بلکه شاید پیغام ویرایش شده یا تغییریافته از یک کاربرمعمولی ویا شخص دیگری باشد که قبلا این نامه ها را دریافت کرده وبدینوسیله ویروس را با پیغامی کاملاً جدید مجددا ارسال می کند.

نحوه تغییرپیغام وارسال مجدد آن بسیارساده بوده همین امرباعث گسترش سریع hoax ها شده بایک دستور forward می توان ویروس ومتن تغییرداده شده را برای شخص دیگری ارسال کرد.

اما خوده ویروس چه شکلی دارد؟ ویروسی که درپشت این پیغام های فریب آمیزمخفی شده می تواند به صورت یک بمب منطقی یک اسب تروا ویا یکی ازفایلهای سیستمی ویندوز باشد.

شیوه ای که ویروس A – magistre ازآن استفاده کرده وخود را منتشر می کند.

Sulfnbk یک ویروس  یک شوخی ویا هردو؟!

سایت خبری سافس چندی پیش خبری مبنی برشناخته شدن یک ویروس جدید منتشرکرد ویروسی با مشخصه exe . sulfnbk نام فایلی درسیستم عامل ویندوز 98 می باشد که وظیفه بازیابی اسامی طولانی فایلها را برعهده دارد ودرسیستم عامل ویندوز98 فایلی سودمند می باشد.

اینجاست که می توان به مفهوم واقعی hoax ها پی برد فایل exe . sulfnbk که معمولاً ازطریق پست الکترونیکی به همراه یک نامه فریب آمیزوشاید تهدید آمیزبه زبان پروتکلی وارد سیستم ها می شود دقیقا درجایی ساکن می شود که فایل سالم exe . sulfnbk درآنجاست به بیان بهتراینکه جایگزین آن فایل سالم می شود. فایل exe  .    sulfnbk  آلوده درشاخه command  ویندوز98 ساکن شده وچون به همان شکل وسایز می باشد به همین منظور کاربرمتوجه حضوریک ویروس جدید درسیستم خود نخواهد شد اینجاست که فریب خورده ویروس خطرناک A – magistre که درهسته این فایل وجود دارد دراول ماه ژوین فعال شده وسازنده خود را به مقصودش می رساند.

نسخه ای دیگرازاین ویروس را می توان یافت که در 25 ماه می فعال می شود. تفاوتی که این ویروس نسخه قبلی خود دارد آن است که روی فایل   exe . sulfnbk آلوده در درایو C ساکن می شود.

لازم به ذکراست این ویروس درسیتم عامل ویندوز98 فعال شده وحوزه فعالیتش دردرایو C می باشد.

تشخیص اینکه فایل exe . sulfnbk واقعا آلوده است یا خیردشوارمی باشد البته شاید بعد ازماه ژوین 2002 ازطریق ویروس یابهای جدید مانند mcafee , Norton بتوان آنها را تشخیص داد اما درصورت درسترس نبودن ویروس یابهای مذ کور حداقل می توان exe . sulfnbk را چه آلوده وچه غیرآلوده پاک کرد البته ازآنجایی که فایل exe . sulfnbk یک فایل سیستمی ویندوزبه شمارمی رود ممکن است پاک کردن آن به سیستم لطمه وارد کند ازاین رو بعید نیست قبل ازپاک کردن نسخه ای ازآن را برروی یک فلاپی کپی کرده ونگه داریم. حقیقت آن است که کمترکسی ریسک می کند واین قبیل فایلها را اجرا می کند. پیغامی که ضمیمه این فایل ارسال می شود نیز در چندین نسخه وجود دارد. همانطور که قبلا ذکرشد نسخه اصل پیغام به زبان پرتغالی است اما ترجمه انگلیسی واسپانیولی آن نیزیافته شده است. به هرحال هرویروس چه ازنوع hoax باشد وچه ازانواع دیگرمدتی چه طولانی وچه کوتاه روی بورس است ومعمولا لطمه های جبران ناپذیر خود را درهمان بدو تولد به جای گذاشته وبعد ازمدتی مهارمی شود. نکته قابل توجه این است که با داشتن حداقل آشنایی ازاین ویروسها درهمان شروع کاربه راحتی می توان با نسخه های جدیدترآن ویروس ویا ویروسهای مشابه مبارزه کرد.

CELLSAVER  یک اسب تروا

CELCOM SCREEN SAVER – A.K.A CELLSAVER نیزویروسی ازنوع HOAX  می باشد وعلا رقم مدت زیادی که ازاولین انتشارآن می گذرد کاربران زیادی را دچار مشکل ساخته است. این ویروس برای کاربران اینترنت ارسال شده است. نسخه نخست آن درسال 1998 ونسخه  جدیدترآن کمی بعد در آوریل 1999 به همراه یک پیغام دروغین منتشرشد.

هرگاه نامه ای با عنوان exe . cellsaver به همراه فایلی با همین نام دریافت کردید سریعا آن راپاک کرده واز forward کردن برای شخصی دیگر بپرهیزید اینکار هیچ گونه لذتی نداشته فقط به انتشاروبقای بیشترآن کمک می کند. این فایل یک اسب تروا کامل می باشد یک فایل saver  Screen زیبا برای ویندوزکه به محض اجرا شدن هر کسی را مجذوب ومسحور می گرداند.

احتیاط کنید! exe . cellsaver به محض اجرا شدن یک گوشی تلفن بی سیم nokia را بصورت یک saver screen برروی صفحه نمایش نشان می دهد. درصفحه نمایش این گوشی می توان زمان وپیغام را دید بعد ازیک باراجرا شدن ویروس فعال شده وشما خیلی زود متوجه خواهید شد که سیستم بسیار کندعمل کرده قادربه بوت شدن نخواهد بود اطلاعات هارد دیسک نیزپاکسازی می شوند.

درنتیجه مجبور به نصب مجدد کلیه برنامه ها خواهید بود. درآخربازهم یادآورمی شویم که هرگزنامه های دریافتی که کمی ناشنا خته ومشکوک به نظرمی رسند را بازنکنید.

ویروسهای چند جزئی multipartite virus

بعضی از ویروسها ترکیبی از تکنیکها را برای انتشاراستفاده کرده فایلهای اجرائی بوت سکتور وپارتیشن را آلوده می سازند. این گونه ویروس ها معمولا تحت 98 windows یا win.nt انتشارنمی یابند.

چگونه ویروس ها گسترش می یابند ؟

زمانی که یک کد برنامه آلوده به ویروس را اجرا می کنید کد ویروس هم پس از اجرا به همراه کدبرنامه اصلی درمرحله اول تلاش می کند برنامه های دیگر را آلوده کند.این برنامه ممکن است روی همان کامپیوترمیزان یا برنامه ای بر روی کامپیوتردیگر واقع دریک شبکه باشد. حال برنامه تازه آلوده شده نیز پس از اجرا دقیقا عملیات مشابه قبل را به اجرا درمی آورد. هنگامیکه به صورت اشتراکی یک کپی ازفایل آلوده را در دسترس کاربران دیگرکامپیوترها قرار می دهید با اجرای فایل کامپیوترهای دیگر نیز آلوده خواهند شد. همچنین طبیعی است با اجرای هر چه بیشتر فایلهای آلوده فایلهای بیشتری آلوده خواهند شد.

اگرکامپیوتری آلوده به یک ویروس بوت سکتور باشد ویروس تلاش می کند در فضاهای سیستمی فلاپی دیسکها وهارد دیسک ازخود کپی هایی بجا بگذارد سپس فلاپی آلوده می تواند کامپیوترهایی را که ازروی آن بوت می شوند ونیز یک نسخه از ویروسی که قبلا روی فضای بوت یک هارد دیسک نوشته شده نیز می تواند فلاپی های جدید دیگری را نیز آلوده نماید. به ویروسهایی که هم قادربه آلوده کردن فایلها وهم آلوده نمودن فضاهای بوت می باشند اصطلاحا ویروسهای چند جزئی multipartite  می گویند.

فایلهایی که به توزیع ویروسها کمک می کنند حاوی یک نوع عامل با لقوه می باشند که می توانند هرنوع کد اجرائی را آلوده کنند. برای مثال بعضی ویروسها کدها را آلوده      می کنند که در بوت سکتورفلاپی دیسکها وفضای سیستمی هارد دیسکها وجود دارند. نوع دیگراین ویروس ها که به ویروسهای ماکرو شناخته می شوند‘ می توانند عملیات پردازش کلمه ای word processing یا صفحه های حاوی متن را که ازاین ماکروها استفاده می کنندآلوده می کنند. این امر برای صفحه هایی با فرمت Html نیز صادق است. ازآنجایی که یک کد ویروس باید حتما قابل اجرا شدن باشد تا اثری ازخود به جای بگذارد ازاین رو فایلهایی که کامپیوتر به عنوان داده های خالص وتمیزبا آنها سرو کاردارد امن هستند. فایلهای گرافیکی وصدا مانند فایلهایی با پسوند wav‘ 3mp‘ jpg‘ gif.‘... هستند. برای زمانی که یک فایل با فرمت picture را تماشا می کنید کامپیوترشما آلوده نخواهد شد. یک کد ویروس مجبور است که درقالب یک فرم خاص مانند یک فایل برنامه ای exe یا یک فایل متنی doc که کامپیوتر واقعا آن را اجرا می کند قرار گیرد.

عملیات مخفیانه ویروس درکامپیوتر

همانطورکه می دانید ویروسها برنامه های نرم افزاری هستند  آنها می توانند مشابه برنامه هایی باشند که به صورت عمومی دریک کامپیوتر اجرا می گردند. اثر واقعی یک ویروس بستگی به نویسنده آن دارد. بعضی از ویروسها با هدف خاص ضربه زدن به فایلها طراحی می شوند ویا اینکه در عملیات مختلف کامپیوتر دخالت کرده وایجاد مشکل می کنند. ویروسها براحتی بدون آنکه متوجه شوید خود را تکثیر کرده گسترش می یابند درحین گسترش یافتن به فایلها صدمه رسانده ویا ممکن است باعث مشکلات دیگری شوند.    نکته : ویروسها قادر نیستند به سخت افزار کامپیوتر صدمه ای وارد کنند.

مثلا نمی توانند باعث ذوب شدنcpu سوختن هارد دیسک ویا انفجار مانیتوروغیره شوند.

ویروسها و E-mail

شما صرفا با خواندن یک متن ساده e-mail یا استفاده از net post  ویروسی دریافت نخواهید کرد بلکه باید مراقب پیغام های رمزدار حاوی کدهای اجرائی و یا پیغامهایی بود که حاوی فایل اجرائی ضمیمه شده یک فایل برنامه کد شده ویا یک word document که حاوی ماکروهایی باشد می باشند. ازاین رو برای به کارافتادن یک ویروس یا یک برنامه اسب تروا کامپیوتر مجبور به اجرای کدهایی است می توانند یک برنامه ضمیمه شده به e-mail یک word document دانلود شده از اینترنت ویا حتی مواردی از روی یک فلاپی دیسک باشند .

نکاتی جهت جلوگیری از آلوده شدن سیستم

نصب کرده وسعی کنید آنرا به روز نگه دارید. اگر فکر می کنید سیستم تان آلوده است سعی کنید قبل ازانجام هر کاری از برنامه آنتی ویروس خود استفاده کنید البته اگر قبل ازاستفاده ازآن آنرا بروز کرده باشید بهتر است سعی کنید بیشتر نرم افزارهای آنتی ویروس را محک زده ومطمئن ترین آنها را برگزینید. البته بعضی وقتها اگراز نرم افزارهای آنتی ویروس قدیمی هم استفاده کنید بد نیست زیرا تجربه ثابت کرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسا یی و پاکسازی کنند. ولی اگرجزء افرادی هستید که به صورت مداوم با اینترنت سرو کار دارید حتما به یک آنتی ویروس جدید و به روز شده نیازخواهید داشت.

برای درک بهتر و داشتن آمادگی درهر لحظه برای مقابله با نفوذ ویروسها به نکات ساده ی زیر توجه کنید:

1 – همانطورکه دربالا ذکر شد ازیک کمپانی مشهور و شناخته شده بر روی سیستم تان یک نرم افزار آنتی ویروس نصب کرده و سعی کنید همیشه آنرا به روز نگه دارید.

2 – همیشه احتمال ورود ویروسهای جدید به سیستم وجود دارد. پس یک برنامه آنتی ویروس که چند ماه به روز نشده نمی تواند درمقابل جریان ویروسها مقابله کند.

3 – توصیه می شود برای آنکه سیستم امنیتی کامپیوتر از نظم و سازماندهی برخوردار باشد برنامهa.v( آنتی ویروس) خود را سازماندهی نمائید‘ مثلا قسمت configuration نرم افزارa.v خود را طوری تنظیم کنید که به صورت اتوماتیک هر دفعه که سیستم بوت می شود آن را چک نماید این امرباعث می شود سیستم شما درهر لحظه در مقابل ورود ویروس ویا هنگام اجرای یک فایل اجرائی ایمن شود.

4 – برنامه های آنتی ویروس دریافتن برنامه های اسب تروا خیلی خوب عمل نمی کنند از این رو در باز کردن فایلهای باینری و فایلهای برنامه های excel و word که ازمنابع نا شناخته و احیانا مشکوک می باشند محتاط عمل کنید.

5 – اگر برای ایمیل و یا اخبار اینترنتی بر روی سیستم خود نرم افزار کمکی خاصی دارید که قادراست به صورت اتوماتیک صفحات java script و word macro ها و یا هر گونه کد اجرائی موجود ویا ضمیمه شده به یک پیغام را اجرا نماید توصیه می شود این گزینه را غیرفعال (disa bl  ) نمائید.

6 – ازباز کردن فایلهایی که ازطریق چت برایتان فرستاده می شوند پرهیز کنید.

7 – اگر احتمالا بر روی هارد دیسک خود اطلاعات مهمی دارید حتما ازهمه آنها نسخه پشتیبان تهیه کنید تا اگر اطلاعات شما آلوده شده اند یا از بین رفتند بتوانید جایگزین کنید.

نکاتی برای جلوگیری از ورود کرمها به سیستم

ازآنجایی که این برنامه ها ( worms ) امروه گسترش بیشتری یافته وباید بیشتر از سایر برنامه های مخرب از آنها دوری کنیم ازاین رو به این نوع برنامه های مخرب بیشتر      می پردازیم.

کرمها برنامه های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده بدون واسطه خود را تکثیر کرده وخیلی زود سراسر سیستم را فرا می گیرند. در زیر نکاتی برای جلوگیری از ورود کرمها آورده شده است.

1 – بیشتر کرمهایی که از طریق E-mail گسترش پیدا می کنند از طریق نرم افزارهای Microsoft Out look و یا out look express وارد سیستم می شوند. اگر شما از این نرم افزار استفاده میکنید پیشنهاد می شود همیشه آخرین نسخه security patch این نرم افزار را از سایت Microsoft دریافت و به روز کنید.

همچنین بهتر است علاوه بربه روز کردن این قسمت از نرم افزار out look سعی کنید سایر نرم افزارها و حتی سیستم عامل خود را نیز در صورت امکان همیشه به روز نگه دارید ویا حداقل بعضی از تکه های آنها را که به صورت بروز در آمده قابل دسترسی است. اگر از روی اینترنت بروز می کنید و یا از cd ها وبسته های نرم افزاری آماده دربازاراز اصل بودن آنها اطمینان حاصل کنید.

2 – تا جای ممکن در مورد e-mail attachment ها محتاط باشید. چه در دریافت e-mail و چه درارسال آنها.

3- همیشه ویندوز خود را در حالت show file extensions قرار دهید.  

این گزینه درمنوی toold/ folder option/view با عنوان hide file extensions for Known file types قرار دارد که به صورت پیش فرض این گزینه تیک خورده است تیک آن را بردارید.

4 – فایلهای attach شده با پسوندهای shs و vbs ویا pif را هرگزباز نکنید. این نوع فایلها در اکثرموارد نرمال نیستند وممکن است حامل یک ویروس ویا کرم باشند.

5 – هرگز ضمائم دو پسوندی را باز نکنید.

پسوندهایی مانند neme.bmp.exe ویا name.txt.vbs و....

6 – پوشه های موجود بر روی سیستم خود را به جز در واقع ضروری با دیگر کاربران به اشتراک نگذارید اگر مجبور به این کارهستید اطمینان حاصل کنید که کل درایو ویا شاخه ویندوز خود را به اشتراک نگذاشته اید.

7 – زمانی که از کامپیوتر استفاده نمی کنید کابل شبکه ویا مودم را جدا کرده ویا آنها را خاموش کنید.

8 – اگر از دوستی که به نظر می رسد ناشناس است ایمیلی دریافت کردید قبل از باز کردن ضمائم آن حتما متن را چند بار خوانده و زمانی که مطمئن شدید از طرف یک دوست است آنگاه سراغ ضمائم آن بروید.

9 – توصیه می شود فایلهای ضمیمه شده به ایمیل های تبلیغاتی و یا احیانا weblink های موجود درآنها را حتی الامکان بازنکنید.

10 – از فایلهای ضمیمه شده ای که به هر نحوی از طریق تصاویر و یا عناوین خاص به تبلیغ مسائل جنسی و مانند آن می پردازند دوری کنید. عناوینی مانند porno.exe ویا  Pamela-nude.vbsکه باعث گول خوردن کاربران می شود.

11 – به یک آیکون فایلهای ضمیمه شده نیز به هیچ عنوان اعتماد نکنید. چرا که ممکن است کرم هایی در قالب فایل عکس ویا یک فایل متنی فرستاده شود ولی در حقیقت این فایل یک فایل اجرائی بوده و باعث فریب خوردن کاربر می شود.

12 – در messenger هایی مانند icq.irc ویا aol به هیچ عنوان فایلهای ارسالی از جانب کاربران ناشناس on-line در chat system ها را قبول(accept ) نکنید.

13 – از Download کردن فایل از گروه های خبری همگانی نیز پرهیز کنید. Usenet newsزیرا اغلب گروه های خبری خود یکی از علل پخش ویروس می باشند.

یک نوع کرم اینترنتی

حال به شرح حال مختصری از خصوصیات یک کرم معروف که هنوز هم وجود خواب آلوده خود را برروی هزاران وب سرور افکنده و کارشناسان امنیتی رابه تکاپو وا داشته است می پردازیم. راجع به واژه خواب آلود متن زیر را مطالعه کنید.

Codered یک نوع کرم اینترنتی

مرکز تطبیق و هماهنگی cert در پتیسبورگ که مرکزی برای بررسی اطلاعات سری کامپیوتری است اذعان می دارد که ویروس codered احتمالا به درون بیش از 280000 دستگاه متصل به اینترنت که از سیستم عاملهای 4’.  Nt و ویندوز 2000 استفاده می کنند نفوذ کرده است. حال آنکه این سیستم عاملها دارای مزیت محافظتی به وسیله نرم افزارهای خطا یاب 5iis و 4iis می باشند.

هنگامی که هر دو گونه این ویروس نسخه های a.29 و codered ii تلاش می کنند تا روی سرورهایی که به وسیله ی سرویسهای شاخص نرم افزارها iis از لحاظ ضعف های عبوری یا مقاومت در برابر ویروس های جدید اصلاح نشده اند نفوذ و منتشر شوند یکی از دو نسخه قدیمی این ویروس طوری تنظیم شده است که صفحات اولیه اتصال اینترنتی معروف به homepage و یا  startpageمربوط به وب سرور آلوده شده را از حالت طبیعی خارج سازد.

این ویروس طوری تنظیم شده است که تا بیستمین روز ماه منتشر می شود آنگاه با حالتی که  certآن را مرحله ویرانگر نامیده است چنان عمل می کند که خود ویروس محافظ شخصی را بر علیه آدرس اینترنتی داده شده وادار به خراب کاری می کند. جالب است بدانید اولین آدرس اینترنتی داده شده به ویروس وب سرور کاخ سفید بوده است. به نظر می رسد که این ویروس درآخرین ساعت بیست وهفتمین روز ماه بمباران و انتشارهای خود را متوقف کرده وارد مرحله ی خواب موقتی شده وخودرا غیر فعال     می کند. حال آیا ویروس قدرت این را دارد که دراولین روز ماه بعد خود را برای فعالیتی

دوباره بیدار کند. یک مرکز تحقیقات تخصصی که در اوهایوایالات کلمبیا شرکتی مشاوره ای و فنی است به بررسی و تست ویروس codered پرداخته وبه این نتیجه رسیده است که این مزاحم خواب آلود می تواند دوباره خود را فعال کرده و فرآیند جستجوی میزبانان جدید را از سر بگیرد. بررسی ها ونتایج به دست آمده نشان می دهند که codered برای شروع فعالیت مجدد فایل مخصوصی را جستجو کرده وتا زمان پیدا کردن آن فایل و ساختن درایو مجازی خاصی به نام تروآ Trojan در حالت خواب باقی می ماند.

کارشناسان فنی براین عقیده اند که این ویروس مجبور نیست خود را بیدار و فعال کند تا برای سیستم ها تهدیدی جدی به حساب آید. درحال حاضر سیستم های آلوده بسیاری وجود دارند که نا خود آگاه برای انتشار و سرایت ویروس به سیستم های دیگر تلاش می کنند. یکی از کارشناسان sarc  مراکز تحقیقاتی می گوید: ازآنجا که کامپیوترهای زیادی هستند که ساعتها درسایت تنظیم نشده اند شاهد انتشار مجدد این ویروس خواهیم بود. تنها یکی از سیستم های آلوده برای انتشار موج جدیدی ازاختلالات کافی خواهد بود. محاسبات مرکز تطبیق و هماهنگی cert نشان می دهدکه ویروس 250000 .codered سرور ویندوزهایی که در خلال 9 ساعت اول فعالیت زود هماهنگ خود سرورویندوزهایی که آسیب پذیر بوده اند آلوده ساخته است. بولتن خبری cert تخمین می زند که با شروع فعالیت ویروس از یک میزبان آلوده زمان لازم برای آلوده شدن تمام سیستم هایی که علی رغم استفاده ازنرم افزارهای iis البته نسخه های قدیمی آن همچنان آسیب پذیر مانده اند کمتر از 18 ساعت است ! این رخدادها این سوال را طراحی می کنند که چه تعداد از کامپیوترهای آلوده شده قبلی تا کنون اصلاح وپاکسازی شده اند؟ اگر چه سرور کاخ سفید هدف اصلی حملات خراب کارانه ی codered بوده است . با این حال این کرم کینه جو هنوز مشکلات بسیاری را برای میزبانان به وجود می آورد.

حمله به سیستم های Linux

ویروس معروف و بسیار گسترده ی slapper برای اولین بار در تاریخ 14 سپتامبر 2002 کشف شد .

Slapper یک کرم شبکه

Slapper طی مدت کوتاهی به سرعت هزاران وب سرور در سراسر دنیا را آلوده کردیکی از جالب ترین خصوصیات slapper توانایی آن درایجاد یک شبکه نظیربه نظیراست که برای نویسنده امکان کنترل تمامی شبکه های آلوده شده را بوجود می آورد.

Blaster 

کوتاه ومختصر:هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتیWindows update.com این کمپانی می باشد نویسنده این کرم با این عمل می خواهد برای کاربرانی که می خواهند عامل ویندوز خود را از این طریق در برابر هجوم این کرم محافظت کنند مشکل ایجاد نماید.

این کرم در کدهای خود حاوی رشته پیغام زیر می باشد:

I just want to say LOVE YOU SAN!! Billy Gates why do you make this

.possibile ? stopmaking money and fix yoursoftware

البته این پیغام در نسخه جدیدتر این کرم /blaster-b32w تغییر کرده است.

کرم blaster از طریق ایمیل گسترش پیدا نمی کند بلکه ازطریق یافتن نسخه های آسیب پذیر ویندوزگسترش می یابد و این کار را از طریق سرویس remot procedur call. Rpc ویندوز انجام می دهد. بنابراین برنامه های محافظ ایمیل قادر به شناسایی این کرم نیستند.

شرکت ها و مدیران شبکه ها می بایست نرم افزارهای محافظ مخصوص این کرم را از روی سایت مایکروسافت دریافت و نیز از صحیح نصب شدن firewall ها بر روی سیستم ها و سرورهای خود اطمینان حاصل کرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نکنند.

شرح و بررسی W 32 A – BLASTER

نامهای مستعار:

    .blaster.worm  ’  worm- msblast.a  ’  32/lovsan.worm  ’  w32w

.poza  ’  worm/lovsan.a32win

نوع :

Worm 32win

/blaster- a32w کرمی است که از طریق اینترنت و با استفاده از خطای آسیب پذیری   dcomموجود در سرویس remote  procedure  call-rpc  سیسنم عامل های

 ویندوز برای اولین بارتوسط کمپانی مایکروسافت در اواسط ماه جولای 2003 فاش و منتشر می شود. لازم به ذکراست این کرم برخلاف اغلب کرمهای دیگراز طریق ایمیل گسترش نمی یابد.

سیستم عاملهایی که در معرض هجوم این کرم می باشند به شرح زیرهستند:

4’.windows nt

Terminal services edition4’.windows nt

2000 windows

Windows xp

2003 windows server

در نسخه های ویندوز xp که به این کرم آلوده می شوند بطور متوالی سرویس rpc متوقف می شوند وپیغامی مبنی بر خاموش شدن سیستم ظاهر می شود system shutdowm وبعد از حدود یک دقیقه سیستم حاوی ویندوز xpدوباره راه اندازی     می شود.

ویندوزme’ 98’95 که از سرویس rpc استفاده نمی کنند از این بابت در خطر حمله ی این کرم نیستند. در مسیر یافتن سیستم های آسیب پذیر کرم سیستم راه دور( کامپیوتر آسیب پذیر) را وادار به یافتن فایلی از طریق پروتکل دریافت فایل tftp به عنوان msblast.exe ویا  .exe32penisمی نماید این فایل در شاخه ویندوز کپی می شود.

همچنین دستور زیر را دررجیستری ویندوز اضافه می کند:

Html/siftware/microsoft/windows/current version/run/windows  auto

Update=msblast.exe

ونیز رشته کاراکترزیردرکدهای این ویروس دیده شده که البته واضح نیست :

I just want to say love you san!! Bhlly gates why do you make this

Possible ؟      .top making money and fix your software

نحوه مقابله و پاکسازی:

Blaster از طریق شبکه اینترنت سایت ها را جستجو کرده و سیستمهایی که دارای خطای آسیب پذیری سرویس محافظتی dcom rpc هستند را یافته و به درون آنها نفوذ می کند.

تمهیداتی برای مدیران شبکه ها

مدیران شبکه ( administrators ) برای مقابله با نفوذ این کرم به درون سیستمها و خنثی کردن آن بهتر است که به روش زیر عمل کنند:

 -در مرحله ی اول اگر آنتی ویروس بر روی سیستم شما نصب بود آنرا به روز کنید در غیر اینصورت ازیکی از سایتهای مشهور و قابل اطمینان نظیر سایتهای Symantec ویا mcafee به نصب آنتی ویروس مناسب بپردازید.

 -درمرحله بعدی patch مربوط به عملیات خنثی سازی blaster را از سایت    Microsoft دریافت کرده وبر روی تک تک سیستمها و سرورها نصب کنید.

 -فایل ftp.exe ( که یکی از فایلهای برنامه ی ویندوز می باشد ) فایلی است که blaster میتواند از طریق آن به مقاصد خود برسد. پس بهتر است آنرا به فایل ftp.exe.old تغییر نام داد وعملیات blaster را خنثی کنید.

راهنمایی برای کا ربرا ن خا نگی

   افرادی که از نسخه های ویندوزو 2003,xp,server2000,4nt استفاده می کنند   می توانند جهت محافظت سیستم خود و حتی پاکسازی آن از آلودگی به نکات زیر توجه کنند.

      نکته اول:

  نرم افزار firewall در محافظت از کامپیوتر به شما کمک می نماید. راه اندازی نرم افزار  firewall می تواند معلیات مخفیانه کرمها را محدود سازد.

  در نسخه ها ی  window xpوserver 2003 نرم افزارfirewall  موجود می باشد.

  قبل از  راه اندازی این نرم افزار، اگر سیستم مدامreboot  شد ، ابتدا ارتباط اینترنتی را قطع کرده و سپس  firewall  را فعال کنید.

 -1 کاربران XP :

برای راه اندازیfirewall  ویندوز  xp به ترتیب مراحل زیر را انجام دهید.

-network connection  را باز کنید.

(   setting / control panel/ network & internet connection/ (start 

                                                                                                 menu

سپس روی گزینه  network connection  کلیک کنید.

بر روی یکی از  internet connection  هایی که مایلید محافظت بر روی آن انجام

     شود ، کلیک کنید.

     سپس در سمت چپ و در قسمت network tasks  بر روی  settings of this

 connections      کلیک کرده و یا بر روی یکی از  connection  ها کلیک کرده و

  گزینه ی propertis  را بزنید.

-   در قسمت advanced  اگر گزینه   " protect my computer network "

تیک داشته باشد ،  firewall  نیز و اگر تیک آن بر داشته شود ، غیر فعال خواهد بود.

برای دریافت اطلاعات بیشتر راجع به این قسمت میتوانید به آدرس زیر مراجعه کنید :

www. Microsoft .com/  security/ incident/ blast.asp

 -2 کاربران ویندوز  server 2003

برای فعال کردن firewall  ویندوز می توان به آدرس زیر مراجعه کرد :

www. Microsoft .com/  technet/ treeview/default.asp

دریافت security patch  از سایت مایکرو سافت است .

http:// windowsupdate. Microsoft. Com

نکته سوم : نصب یک آ نتی ویروس  uptodate  بر روی سیستم می باشد .

نکته چهارم : پاکسازی کرم از روی سیستم است. که برای انجام این کار هم می توان از ندم افزار آنتی ویروس Uptodate  شده استفاده کرد وهم این که جهت اطمینان بیشتر بصورت دستی اقدام کرد که ابتدا باید کرم موجود در سیستم و در نرم افزار آنتی ویروس را شناسایی کرده و سپس اقدام به پاکسازی آن کنید .

پاکسازی دستی  blaster-a  از روی سیستم

1: ابتداکه  security patch  مخصوص را از سایت میکروسافت دریاقت کرده وبر روی

سیستم  نصب نمایید .

2: کلیدهای ctrl+alt+del  را به طور هم زمان با هم فشار دهید.

3: پس از ظاهر شدن پنجره  task manager  بر روی گزینه ی  processes tab  کلیک کنید .

4: فایل  msblast.exe  را در لیست جستجو کنید.

5 : پس از یافتن فایل بروی آن کلیک کرده ، آنرا  highlight  نموده ، بروی  end process  

کلیک کرده و  task  manager ببندید.

6: توسط موتور جستجو گر ویندوز سه فایل

32 teekids.exe,                       penis.exe , msblast.exe

را (( start/ search  ))  جستجو کنید .

احتما لا به همراه فایلهای اجرا ئی فوق ، فایلهایی با پسوند pif.  یافت می شوند. پس از اتمام عملیات جستجو کلیه ی فایلهای یافته شده با مشخصات بالا را پا ک نمائید . این فایلها همگی درشاخه ویندوز یافت می شوند .

7: حال می بایست دستوری که توسط کرم به ریجستری داده می شود را بیاییم و از بین ببریم . البته عملیات فوق را می توان با استفاده از دستور دیگری هم انجام داد :

-  در پنجره ظاهر شده بروی گزینه ی " services and application"  دوبار کلیک کرده، همانطور که مشاهده می شود لیستی از سرویسها ظاهر می شود .

-  در قسمت راست پنجره سرویسrpc- remote procedure call را جستجو کنید .

-  بروی آن کلیک راست کرده و  properties  را انتخاب کنید .

-  بروی  recovery tab  کلیک کنید .

لیستهای کرکره ای موجود (( subsequent failures , second failure , first failure  ))

را روی گزینه ی " restart the service  " تغییر دهید .

-  apply  کرده و سپس  ok  را بزنید .

با انجام این عملیات و به هنگام اتصال به اینترنت ، blaster  دیگر قادر به  reboot کردن سیستم نخواهد بود .

غیر فعال کردن  system restore  در ویندوز  xp  

به منظور احتیاط ، سرویس با زیابی خود کار ویندوز  xp  یعنی  system  restore  را موقتاً غیر فعال می نمائیم .

چرا که این قسمت از ویندوز  xp بصورت پیش فرض فعال بوده و ممکن است ویندوز فایلهای آسیب دیده ، ویروس ها ، کرم ها و برنامه های اسب تروآیی که احیاناً قبلاً بروی سیستم بوده اند را باز گرداند. برای غیر  فعال کردن این قسمت در ویندوز xp  به آدرس زیر مراجعه کنید :

(( startmenu/ setting/ controlpanel/ performance and

maintenance/ system/ system restore tab ))

و سپس گزینه ی زیر   را فعال می کنیم :

"turn of system restore on all drives "                         

ویروسهای کامپیوتری : خدمت یا خیانت ؟

این نخستین بار است که یک شرکت کامپیوتری در حد و اندازه مایکروسافت باری به دام انداختن یک ویروس نویس وارد عمل می شود .

به نظر می رسد آن چه که شرکت مایکروسافت را وادار به حضور در عرصه های امنیت

 کامپیوتری در مقابله با خرابکاران کامپیوتری می کند ضربه های متعددی است که خصوصا طی چند ماه اخیر بر سیستم عامل های این شرکت وارد آمده است. شاید به همین علت است که آنها از چند روز قبل با  تعیین 50 میلیون دلار جایزه عملا  به تیم های تحقیقاتی fbi , cla  پیوستندو نتایج فعالیت آنها به دستگیری نویسنده ویروس ساسر انجامید . نوجوان 18 ساله آلمانی پیش ازآن که ماموران پلیس بخش هانوفر را جلو در منزل خود ببیند هیچ گاه تصور نمی کرد کرم رایانه ای که او نگارش آن را انجام داده ودرطی  مدت کوتاهی میلیون ها کامپیوتر در سر تا سر جهان را آلوده ساخته است بتواند به این سادگی صاحب خود را گرفتار پلیس کند .

هر چند این کرم کوچک رایانه ای در ابتدای شناسایی خود از طرف شرکت های ضد ویروس کم خطر اعلام شد اماکمی بعد با گسترش شتاب گونه ، ناگهان در سر تا سر جهان پخش گردید و درنقاطی نیزبرخی فعالیتهای حیاتی را متوقف ساخت . هر چند مقامات شرکت مایکروسافت از این ابتکار خود در قرار دادن جایزه که منجر به دستگیری این پسرک آلمانی شد راضی به نظرمی رسند اما خود آنها نیز می دانند ویروس نویسان همواره چند پله جلوتر از شرکت های کامپیوتری بوده اند . بنابر گزارش خبر گزاری ها آن چه که منجر به دستگیری این پسر آلمانی شد اطلاعاتی بود که توسط فرد دیگر که همشهری فردویروس نویس بود به مایکروسافت و مقامات پلیس ارائه شده بود. شیوه ای که مایکروسافت دربرخورد با این کرم درپیش گرفت به گونه ای مقابل قراردادن متخصصان امنیتی و یا حتی ویروس نویسان با هم است .

به این ترتیب وظیفه یافتن یک خرابکار صرفا به دانش چند  متخصص امنیتی شبکه در یک کشورخاص محدود نمی شود ، کسب 5 میلیون دلار آن قدر وسوسه انگیز است که یک فرد آلمانی نویسنده ویروس ساسر را به آمریکایی ها معرفی کند.

از عمر ویروس ساسر چند هفته ای نمی گذرد . این ویروس از تکنیکی بهر میبرد که سال قبل ویروس مشهور بلستر آن را به کار گرفت تا میلیون ها کامپیوتر را در سراسر جهان بارها rebootکند . ویژگی اصلی هر دو کرم ، آلوده کردن سیستم های کامپیوتری بدون استفاده ازایمیل ویا فایل های الصاقی دیگراست . کرم از طریق نقاط ضعفی که سیستم عامل ویندوز دارد واز طریق  tcp/ ip  به سیستم های کامپیوتری نفوذ می کند و پس از آلوده شدن دستگاه اعلام یک پیغام خطا یا  reboot  ظاهر می شود و دستگاه به اصطلاح دوباره راه اندازی می شود .

 طی روزهای بحرانی آلودگی این ویروس بیمارستان ها ، بانک ها ، شرکتهای هواپیمایی ،

سازمانهای دولتی وکاربران خانگی بامشکلات عمده ای روبه روشدندحتی درروزدستگیری

نویسنده آن اعلام شد که به رغم نسخه های اصلاحی نصب شده روی رایا نه ها وبازگشت

شرایط به حالت عادی امکان بازگشت مجدد این ویروس وجود دارد. نگاهی به چرخه ویروسهای کامپیوتری طی چند سال اخیر نشان می دهد همگام با پیشرفت راه های امنیتی مبارزه با حملات اینترنتی و ویروس ها این نرم افزار های کوچک موذی نیز خود را با محیط تطبیق داده وبه اصطلاح هوشمند تر و مخرب تر شده اند . اگر تا چند سال قبل عمده تاثیر ویروس ها پاک شدن اطلاعات چند کاربر و یا حداکثر یک صدمه سخت افزاری نه چندان شدید بود ویروس ها ی هوشمند امروزین گاه جریان های حیاتی یک جامعه را هدف قرار می دهند این موضوع خصوصاً برای جوامعی که بیش ترین توسعه کامپیوتری را داشته اند و بسیاری از امور خود را روی شبکه  ویا اینترنت منتقل کرده اند تاثیر بیشتری داشته است . در ایران بلافاصله پس از هجوم این ویروس به اینترنت نشانه های آلودگی آن مشاهده شد حتی یکی از نمایندگان شرکت های آنتی ویروس ادعا کرد ویروس ساسر بیش ترین قربانی را در ایران داشته است .

 هر چند این ادعا کمی اغراق آمیز به نظر می رسید اما گزارش ها حاکی از تاثیر این ویروس روی چندین شرکت بزرگ و کوچک و مراکز اداری چون روزنامه ها و ... بوده است . به رغم این به نظر می رسد عقب ماندگی کامپیوتری کشور و عدم اتصال شریان های حیاتی و دستگاه های مختلف به اینترنت باعث کم بودن این ویروس در کشور شده است البته این موضوع درمقابل بسیاری از منافعی که گسترش تکنولوژی آی تی در کشور ایجاد می کند بسیار کوچک وکم اهمیت می نماید. برخی از کارشناسان معتقدند کرم های امروزین پس از ظهور برای نخستین بارپس از مدتی  دوباره باشکل تغییر یافته  مشاهده خواهند شد . نمونه کرم هایی چون نت اسکای که طی یکی دو مه گذشته چندین نسخه از آن در اینترنت شنا سایی شده نشان می دهد ویروس های امروزین به سادگی از بین نمی روند و عمر طولانی تری دارند . به گفته برخی ازکارشناسان بعضی از ویروسها مثل  code red , sqlslammerهنوز روی اینترنت مشغول فعالیت هستند . حتی برخی پیش بینی می کنند ویروسهای آینده با ترکیب کردن قابلیت های امروزین به اندازه ای خطرناک تر خواهند بود که بسیاری از افراد دسترسی خود به اینترنت را قطع کنند .

• زنده برای همیشه

تصوری که از ویروس های کامپیوتری برای نخستین بار در ذهن یک کاربر کامپیوتر مجسم میشود چیزی شبیه به ویروس های بیماری زا است اما اگر گفته شودویروسهای کامپیوتری به نسبت همتایان انسانی خود مفیدتر و سازنده تر هستند حرف بی راهی  نیست چرا که نرم افزارهای کوچک با شناسایی نقاط ضعف سیستم ها طی سال های گذشته کمک شایانی به رشد امنیت سایت ها ، شبکه های کامپیوتری و نرم افزارها کرده اند . ویروس ها معمولا از قطعه نرم افزارکوچکی تشکیل شده اند که بر دوش یک برنامه حقیقی حمل می شود مثلا یک ویروس می تواند درکنار ویرایشگر الصاق شود و هر بار که این برنامه اجرا می شود ویروس یک کپی از خود ایجادکرده و یا طبق برنامه نوشته شده برای آن دستورات تخریبی خاص را در سیستم اجرا کند . به نوشته سایت  srco ویروس های کامپیوتری بدین دلیل ویروس نامیده شده اند چون دارای برخی وجوه مشترک با ویروس های زیست شناسی هستند . یک ویروس کامپیوتری از کامپیوتری به کامپیوتر دیگر عبور کرده دقیقا مشابه ویروس های زیست شناسی که از شخصی به  شخص دیگر منتقل می شود . ویروس زیست شناسی یک موجود زنده نیست ، ویروس بخشی از  dna  بوده و داخل یک روکش حفاظتی قرار می گیرد .

ویروس برخلاف سلول قادر به انجام عملیات و یا تکثیر مجدد خود نیست ، یک ویروس زیست شناسی می بایست dnaخودرا به یک سلول تزریق نماید  dnaویروسی در ادامه با استفاده از دستگاه موجود سلول قادر به تکثیر خود می گردد . در برخی حالات سلول با ویروس جدید آلوده تا زمانی که سلول فعال و با عث رها سازی ویروس گردد در حالات دیگر ذرات ویروس جدید باعث عدم رشد سلول در هر لحظه شده و سلول همچنان زنده

باقی خواهند ماند . به هرحال یک ویروس کامپیوتری می بایست بر دوش سایر برنامه ها و یا مستندات قرا ر گرفته تادرزمان لازم شرایط اجرای آن فراهم گردد. پس از اجرای یک ویروس زمینه آلوده کردن سایربرنامه ها و یا مستندات نیز فراهم می شود اما کرم ها تفاوت آشکاری با ویروس ها دارند چرا که کرم ، یک برنامه کامپیوتری است که قابلیت تکثیر خود از ماشینی به ماشین دیگر را دارا است .

شبکه های کامپیوتری بستر مناسب برای حرکت کرم ها و آلوده کردن سایر ماشین های موجود در شبکه را فراهم می آورند . با استفاده از شبکه های کامپیوتری کرم ها قادر به تکثیر باورنکردنی خود در اسرع زمان هستند مثلا کرم   code red که در سال 2001 مطرح گردید قادربه تکثیر خود به میزان 250000 مرتبه در مدت زمان نه ساعت است .

همچینین کرم  code reنیز درزمان تکثیر به میزان قابل ملا حظه ای سرعت ترافیک

اطلاعاتی بر روی اینترنت را کند می کرد ، هر نسخه از کرم فوق پیمایش اینترنت به منظوریافتن سرویس دهندگان ویندوز آنتی یا 2000 را آغاز می کرد و هر زمان که یک

سرویس دهنده ناامن(سرویس دهنده ای که بر روی آن آخرین نرم افزار های امنیتی مایکروسافت نصب نشده بود) پیدا می شد کرم نسخه ای از خود را بر روی سرویس دهنده تکثیر می کرد و نسخه جدید نیز در ادامه عملیات پیمایش برای یافتن سایر سرویس دهندگان کار خود را آغاز می کرد . با توجه به تعداد سرویس دهندگان ناامن ، یک کرم قادر به ایجاد صدها و هزاران نسخه از خود است.

ایجاد کنندگان ویروس های کامپیوتری افرادی آگاه و با تجربه بوده و همواره از آخرین حقه های موجود استفاده می کنند . یکی از این حقه های مهم در خصوص قابلیت استقرار در حافظه واستمرار وضعیت اجرای خود در حاشیه است ( البته تا زمانی که سیستم روشن باشد ) بدین ترتیب امکان تکثیر این نوع ویروس ها با شرایط مطلوب تری فراهم می شود .

یکی دیگر از حقه ها ی موجود قابلیت آلوده کردن بوت سکتور فلاپی دیسک ها و هارد دیسک ها است ، بوت سکتور شمال یک برنامه کوچک به منظور استقرار بخش اولیه یک سیستم عامل درحافظه است . با استقرار ویروس های کامپیوتری در بوت سکتور اجرا شدن آن تضمین خواهد شد بد ین ترتیب یک ویروس بلافاصله در حافظه مستقر وتا زمانی که سیستم روشن باشد به حضور مخرب خود در حافظه  ادامه خواهند داد. ویورس های بوت سکتور قادر به آلوده کردن سایر بوت سکتور های فلاپی دیسک های سالمی که در درایو ماشین قرار خواهند گرفت نیز میباشد در مکان هایی که کامپیوتر به صورت مشترک بین افراد استفاده می گردد بهترین شرایط برای تکثیر ویروس های کامپیوتری به وجود خواهد آمد .

•  رابین هود عالم  اینترنت

همه ساله ویروس های کامپیوتری میلیون ها دلار خسارت به شبکه های کامپیوتری وارد می سازند و همه ساله میلیون ها دلار نصیب شرکت های سازنده آنتی ویروس و نرم افزارهای امنیتی می شود به نظر می رسد این جنگ و گریز بین ویروس های کامپیوتری و شبکه ها به این زودی ها قابل رفع نباشد حتی برخی از افراد بدین معتقدند بیشتر ویروس ها توسط شرکت های آنتی ویروس تولید می شوند چرا که تنها کاربران از ترس ویروس است که به سراغ نرم افزارهای های این شرکت ها می روند . واقعیت این است که ویورس های کامپیوتری برای نفوذ به سیستمهای افراد راه های متفاوتی را آزمایش کرده اند . ویروس سوبیگ که یک ماه قبل در اینترنت مشاهده شد فشار شدیدی را به شبکه اینترنت و سیستم های شرکت های تجاری وارد و بسیاری از آنها را دچار کندی کرد .

این ویروس یزای آن که توسط کاربران شناسایی نشود مرتبا موضوع پیغام های آلوده خود را تغییر می داد با این ترتیب کاربران کم تجربه از ریسک بیشتری برای گشودن نامه های آلوده به این ویروس برخودار می شدند . ویروسی مانند نت اسکای تغییر عنوان نامه را به اوج رساند به نحوهی که با تغییر نام و آدرس فرستنده ایمیل کاربران را دچار این شک می ساخت که این نامه از طرف یک دوست برایشان ارسال شده است.  ویروس  mydoom که از ژانویه سال 2004 فعالیت خود را آغاز کرد تنها طی 36 ساعت 100 میلیون ایمیل آلوده ایجاد کرد. این ویروس که از ضعف های سیستم عامل مایکروسافت بهره می برد از طریق یک فایل ضمیمه در نامه الکترونیکی منتشر می شد و به آدرس هایی که از طریق ضعف مزبور بر روی یک سیستم یافته بود ایمیل آلوده ارسال کرد . میزان آلودگی این ویروس به حدی بود که گفته می شد یکی از هر12 ایمیل ارسالی را در برمی  گرفت و در بیش از 200 کشور جهان مشاهده می شد . یک سال قبل ویروسی که شباهت آشکاری به ویروس ساسر داشت و باعث  reboot  کردن کامپیوتر هامی شد تمام دنیای کامپیوتر را بهم ریخت . 

این ویروس که ام اس بلاست نام داشت به سرعت مشهور شدچرا که با دستور ساده خود مبنی برراه اندازی مجدد ویندوزعملا جلوی استفاده از دستگاه را می گرفت . این ویروس به گونه هوشمندانه نوشته شده بود که بعد ازآ لوده کردن یک دستگاه به دنبال دستگاه متصل به آن می گشت تا آنها را نیزآلوده سازد . گفته می شد این ویروس در اوج فعالیت خود تنها ظرف 30 ثانیه را یا نه های سالم را پیدا می کرد و تخمین زده می شد بیش از 500 هزار رایانه توسط انواع مختلف این ویروس آ لوده شده است اما شاید یکی از قدیمی ترین ویروس های نسل فعلی که فعالیت آن تاثیر بسزایی روی نوع نگرش به ویروس ها داشت ویروس مشهور  love  letter  بود که در میان مردم به I love you  شهرت پیدا کرده بود و ... اما در نظر داشت ویروس ها همچنان که برخی اعمال تخریبی نیز به همراه داشته اند به گونه ای گاه مصارف مفیدی نیز یرای آنها تصور می شود . 

به عنوان نمونه ویروس ولچی یا نا چی که از شیوه تخریبی ام اس بلاست بهره می برد نمونه ای از یک ویروس نیکوکار بود . این ویروس بعد از ورود به سیستم تلاش می کرد بسته تازه نرم افزار های مایکروسافت را روی سیستم نصب کند و اگر کرم بلاستر را روی سیستم می یافت آن را حذف می کرد ، مشاور ارشد یک شرکت ضد ویروس نویسنده این ویروس نیکوکار را رابین هود عالم اینترنت نامید که می خواهد ویروس پلیدام اس بلاست را نابود کند .

به نظر می رسدویروسهای کامپیوتری ماهیت دو گا نه ای دارند ،آنها از یک سوی تخریب می کنند و خسارت به بار می آورند و از سوی دیگر نتایج کار آنها جلو تخریب های بیش تروخسارت سنگین تر را می گیرد . با چنین رویکردی آیا می توان آنها را به طور مطلق مفید یا مضر خواند ؟

نتیجه

هر روزه برنامه ها ، هدف، حمله ها و خطرهای بی شماری در اینترنت قرار می گیرد که از نظر تعداد می توان 95 تا از هر صد حمله را متوقف کرد ولی همین 5 خطر باعث کاهش امنیت به مقدار 20% می شوند چون این خطرها توسط افراد عادی و تازه کار نیست و عاملان آنها در کار خود بسیار تبحر دارند و در اکثر موارد می توانند از تمام مرزهای امنیتی گذشته و به طور کامل به مقصود خود برسند.

برای این منظور می توان

 1- از یک نرم افزار ضد هکر با آخرین به روز رسانی ها استفاده کرد.

2- استفاده از ویروس کشهای Nortonanti Virus 2005, Mcafee که اگر pack کامل باشد خیلی بهتر است.

باید توجه داشت که نرم افزارهای فوق را از سایتهای اصلی آنها بگیریم و اقدام به خرید آنها نکنیم.

3- سطح ایمنی و یروس کشی را در حالت high بگذاریم تا تمام فایلها، با هر پسوندی که هستند ویروس کشی شوند.

4- service pack  های ویندوز را دانلود کنیم و همیشه ویندوز خود را به روز نگه داریم .

5- تنظیمات صحیح خود سیستم عامل و عدم به اشتراک گذاری فایلها

                                                                             ک . اسحاقی

                                                                                تابستان 85

منابع ومآخذ

سایت اینترنت :

www.Farsicom.com

www.Tebian.com

کتاب جهان نما ویروسها  –  دکترسعید شریعتی  –  چاپ  1384

کتاب خطردراینترنت  –  علیرضا حسین پور  –  چاپ  1384