Admin
19th June 2012, 08:58 AM
ويروس هاي رايانه اي – ملاك هاي انتخاب ضد ويروس
http://www.uc-njavan.ir/images/vm6888kxs9oegtmrowcy.jpg
چکيده: امروزه ، اكثر كامپيوتر ها مبتلا به ويروس ها مي باشند. ويروس ها، انواع مختلفي دارند كه روزانه حدود 200 الي 300 ويروس در آزمايشگاه هاي ويروس شناسي ، شناخته مي شود.
واژه هاي كليدي: ويروس ، هك ، كرك ، ويروس هاي رايانه اي ، ويروس نويسي ، تروجان ، كيلوگر.
مقدمه
ويروس ها انواع مختلفي دارند كه عبارتند از : "ويروس هاي فايل ، ويروس هاي ماكرو ، ويروس هاي بوت و پارتيشن سكتوري ، ويروس هاي اسكريپتي ، ويروس هاي مقيم در حافظه ، ويروس هاي مخفي كار ، ويروس هاي كد شده ، ويروس هاي چند شكلي ، ويروس هاي فعال شونده بر اساس رويداد خاص" كه در اين مقاله سعي داريم به اين نوع ويروس ها آشنا شويم..
پدر واقعي ويروس هاي كامپيوتري
http://www.uc-njavan.ir/images/un98d3tur8jy827fd4dz.jpg
تاريخچه به وجود آمدن ويروس هاي كامپيوتري به حدود 3دهه پيش باز مي گردد. هنگامي كه فردي به نام ((فرد كوهن)) در دانشگاه كاليفرنياي جنوبي به عنوان رساله دكتراي خود در رشته مهندسي برق، تحقيقات خود بر روي برنامه اي را ارايه كرد كه قادر بود يك كپي از خودش را با دستكاري كردن برنامه هاي ديگر، درون آنها قرار دهد. موضوع رساله دكتراي وي با واكنش هاي متفاوتي روبرو گرديد. ولي اين واقعيتي است كه حتي خود كوهن نيز تصور نمي كرد كه روزي طرح وي به صورت يك فاجعه جهاني در دنياي كامپيوتر تبديل شود.
اولين ويروس هاي كامپيوتري
بر اساس مدارك موجود ، اولين ويروس كامپيوتري توسط بسيط فروغ علوي و امجد علوي صاحبان شركت كامپيوتري Brain در سال 1985 به نام Brain نوشته شد. اين دو برادر با توليد و نگارش برنامه هاي نرم افزاري در شركت كامپيوتري خود كار مي كردند. آنها پس از مدتي متوجه گرديدند كه از برنامه هاي نرم افزاري آنها كپي هاي غير مجاز زيادي گرفته مي شود.
علاوه بر اين آنها پي برده بودند كه هر فلاپي ديسك، حاوي سكتور راه اندازي است كه با هر بار راه اندازي سيستم، اجرا مي گردد. در نتيجه تصميم گرفتند برنامه اي را بنويسند كه جايگزين اين سكتور راه اندازي شود به نحوي كه اگر كسي خواست از نرم افزار كپي بگيرد سيستم كامپيوتري وي دچار مشكل گردد. كامپيوتر فرد خاطي كه به محض تهيه كپي دچار مشكل مي شد و پيغامي به اين مضمون در روي صفحه نمايش ظاهر مي شد كه ((به سياه چال خوش آمديد!)).
استفاده كننده از اين حالت هيچ چاره اي جز تماس با برادران علوي جهت ويروس يابي نداشت. البته شماره تلفن برادران علوي بصورت يك پيغام ارايه مي شد. اين دو برادر با فروش كپي نرم افزار هاي معروف نيا مثل لوتوس و Word Star با قيمتهاي بسيار ارزان به همه مردم علي الخصوص توريست هاي خارجي، اقدام به انتشار اين برنامه كه بعد به ويروس شهرت يافت كردند. به زودي اين ويروس توانست صد هزار كامپيوتر را به راحتي آلوده كند.
يكي از اولين ويروس هايي كه نسبت به ويروس Brain بسيار مخرب تر مي باشد ويروس ارشليم مي باشد. اين ويروس اولين بار در سال 1987 در داشنگاه عربي اسرائيل گزارش شده و اصليت آن اسرائيلي مي باشد. اين ويروس در روز جمعه سيزدهم ماه مي 1988 (يعني چهلمين سالگرد ايجاد دولت غاصب اسرائيل) فعاليت تخريبي خود را آغاز كرده و پس از پاك كردن تمام فايل هاي كامپيوتري به كار خود خاتمه مي داد. ويروس ارشليم به صورتي برنامه نويسي شده تا در جمعه يا سيزدهم هر ماه از خود كپي هايي را تهيه كرده و به برنامه هاي ديگر بچسباند. اين ويروس كامپيوتري بسياري از دانشگاه ها و مراكز نظامي را آلوده و تخريب كرد.
ويروس ساسر
آيا براي شما تعجب آور نيست كه ويروس خطرناك ساسر كه كمتر از يك هفته 18 ميليون كامپيوتر را در سراسر دنيا آلوده كرد و موجب تعطيلي موقت چند شركت بزرگ كامپيوتري شد به وسيله يك جوان 18 ساله به نام Sven Jaschan نوشته شده است. گفتني است كه شركت بزرگ مايكروسافت براي دستگيري نويسنده نابغه اين ويروس مبلغ 250 هزار دلار جايزه تعيين كرده بود. اين جوان بالاخره پس از حمله ناگهاني پليس به منزل وي در شهر روتنبرگ آلمان دستگير شد. خطر ويروس هاي كامپيوتري در دنياي امروزي با گسترش كامپيوتر در كليه جوانب زندگي ما هر روز پر رنگ و پر رنگ تر شده است.
ويروس هاي بي خطر
تنهاپنج درصد از ويروس هاي كامپيوتري داراي اثرات تخريبي هستند و بقيه صرفا تكثير مي شوند. حالا سوال اين است كه آيا اين ويروس هاي به اصطلاح بي خطر هيچ تاثير منفي بر عملكرد كامپيوتر ندارد؟ جواب اين پرسش را مي توان در چندين قسمت پاسخ گفت:
- بسياري از ويروس هاي بي خطر داراي اثراتي هستند كه براي كاربر ايجاد مزاحمت مي كنند. مثلا ممكن است كه پيغامي را نمايش دهند كه باعث ريزش حروف صفحه نمايش به پايين شوند و يا اينكه يك آهنگ پخش كنند.
علاوه بر اين برخي از ويروس ها به علت اشكالات نرم افزاري كه ناشي از عدم دقت ويروس نويس مي باشد، ممكن است داراي اثرات غير قابل پيش بيني باشد، كه در بعضي مواقع حتي مي توانند تخريبي باشند.
- برخي از اين ويروس هاي بي خطر در حافظه كامپيوتر شما مقيم شده و از اين طريق عمليات تكثير خود را انجام مي دهند. اين عمل ممكن است به گونه اي باشد كه فضايي براي اجراي برنامه هايي ديگر نماند و يا باعث ايجاد تاخير و وقفه در حين عمليات سيستم، اعم از اجراي برنامه ها و يا راه اندازي، كامپيوتري گردند.
- ويروس هاي زيادي هستند كه عملكرد تخريبي ندارند ولي كارهاي ديگري مثل سرقت اطلاعات و كلمه عبور كاربر را انجام مي دهند. بعضي از اينگونه برنامه ها با مقيم شدن در حافظه از عباراتي كه توسط شما تايپ مي شود گزارش گرفته و پس از اتصال كامپيوتر شما به اينترنت، اين اطلاعات را براي مقصد خاصي ارسال مي كنند. گيرنده اين اطلاعات مي تواند به راحتي از اين اطلاعات مي تواند به راحتي از اين اطلاعات سو استفاده هاي مختلفي را بكند.
- يك ويروس علي رغم بي خطر بودن با انتقال غير عمدي مي تواند باعث عدم اعتماد افراد به يكديگر شود.
تعريف ويروس
معمولاً كاربران كامپیوتر بویژه آنهایی كه اطلاعات تخصصی كمتری درباره كامپیوتر دارند، ویروسها را برنامههایی هوشمند و خطرناك میدانند كه خود به خود اجرا و تكثیر شده و اثرات تخریبی زیادی دارند كه باعث از دست رفتن اطلاعات و گاه خراب شدن كامپیوتر میگردند در حالیكه طبق آمار تنها پنج درصد ویروسها دارای اثرات تخریبی بوده و بقیه صرفاً تكثیر میشوند. بنابراین یك ویروس رایانهای را میتوان برنامهای تعریف نمود كه میتواند خودش را با استفاده از یك میزبان تكثیر نماید. بنابراین تعریف اگر برنامهای وجود داشته باشد كه دارای اثرات تخریبی باشد ولی امكان تكثیر نداشته باشد، نمیتوان آنرا ویروس نامید.
بنابراین ویروسهای رایانهای از جنس برنامههای معمولی هستند كه توسط ویروسنویسان نوشته شده و سپس به طور ناگهانی توسط یك فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسك، فایلها و یا كامپیوترهای دیگر را آلوده میكنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یك دیسك آلوده توسط كاربر دوم، ویروس به صورت مخفی نسخهای از خودش را تولید كرده و به برنامههای دیگر میچسباند و به این ترتیب داستان زندگی ویروس آغاز میشود و هر یك از برنامهها و یا دیسكهای حاوی ویروس، پس از انتقال به كامپیوترهای دیگر باعث تكثیر نسخههایی از ویروس و آلوده شدن دیگر فایلها و دیسكها میشوند. لذا پس از اندك زمانی در كامپیوترهای موجود در یك كشور و یا حتی در سراسر دنیا منتشر میشوند. از آنجا كه ویروسها به طور مخفیانه عمل میكنند، تا زمانی كه كشف نشده و امكان پاكسازی آنها فراهم نگردیده باشد، برنامههای بسیاری را آلوده میكنند و از این رو یافتن سازنده و یا منشاء اصلی ویروس مشكل است.
ميزبان ويروس
ویروس هم مانند هر برنامه كامپیوتری نیاز به محلی برای ذخیره خود دارد. منتهی این محل باید به گونهای باشد كه ویروسها را به وصول اهداف خود نزدیكتر كند. همانگونه كه قبلاً ذكر شد اكثر ویروسها به طور انگلوار به فایلهای اجرایی میچسبند و آنها را آلوده میكنند. اصولاً میتوان فایلها را به دو گونه كلی «اجرایی» و «غیراجرایی» تقسیم كرد كه عموم ویروسها در فایلهای اجرایی جای گرفته و آنها را آلوده میكنند و واقعاً كمتر ویروسی یافت میشود كه در یك فایل غیراجرایی قرار بگیرد و بتواند از طریق آن تكثیر شود.
لازم به ذكر است كه بعضی از فایلها را شاید نتوان ذاتاً اجرایی نامید اما چون اینگونه فایلها میتوانند حاوی قسمتهایی اجرایی باشند، لذا آنها را از نوع اجرایی در نظر میگیریم. از این نوع فایلها میتوان به فایلهای Html و مستندات برنامههای Office اشاره كرد كه به ترتیب ممكن است شامل اسكریپت و ماكرو باشند. اسكریپتها و ماكروها قسمتهایی اجرایی هستند كه در دل این فایلها قرار گرفته و كار خاصی را انجام میدهند.
در ذیل فهرست پسوندهای رایج فایلهای اجرایی ارائه شده است و اكثر نرمافزارهای ضدویروس در حالت عادی (بدون تنظیمات خاص) این فایلها را ویروسیابی میكنند (البته در برخی برنامههای ضدویروس ممكن است برخی پسوندها حذف یا اضافه شوند) :
.com , .exe , .dll , .ovl , .bin , .sys , .dot , .doc , .vbe , .vbs , .hta , .htm , .scr , .ocx , .hlp , .eml
بنابراین یكی از اصلیترین میزبانهای ویروس، فایلهای اجرایی هستند. از طرف دیگر برخی ویروسها نیز از سكتور راهانداز (Boot Sector) و جدول بخشبندی دیسك (Master Boot Record یا Partition Table) به عنوان میزبان استفاده میكنند. سكتور راهانداز واحد راهاندازی سیستم عامل است كه در سكتور شماره صفر دیسكت فلاپی و یا درایوهای منطقی یك دیسك سخت قرار دارد و جدول بخشبندی شامل اطلاعات تقسیمبندی دیسك سخت میباشد كه آن نیز در سكتور شماره صفر دیسك سخت قرار دارد. اینگونه ویروسها با قرار گرفتن در یكی از این دو محل، هنگام راهاندازی كامپیوتر، اجرا شده و در حافظه سیستم مقیم میشوند و تا زمان خاموش كردن كامپیوتر و یا راهاندازی دوباره، همانجا مانده و فلاپیها و یا دیسكهای سخت دیگر را آلوده میكنند.
عملكرد ويروس
همانطور كه گفته شد تنها پنج درصد از ویروسها دارای اثرات تخریبی هستند و بقیه صرفاً تكثیر میشوند. با توجه به این مطلب این پرسش مطرح است كه چرا ویروسها به عنوان یك معضل شناخته میشوند و باید با آنها مبارزه كرد؟ پاسخ به این پرسش در موارد زیر خلاصه گردیده است:
۱ ـ بسیاری از ویروسها دارای اثراتی هستند كه هرچند تخریبی نمیباشد ولی میتواند برای كاربر ایجاد مزاحمت كند. مثلاً ممكن است پیغامی نمایش دهد، باعث ریزش حروف صفحه نمایش به پایین شود یا اینكه یك آهنگ پخش نماید. علاوه بر این برخی از ویروسها به علت اشكالات نرمافزاری كه ناشی از عدم دقت ویروسنویس میباشد، ممكن است دارای اثراتی غیرقابل پیشبینی باشند كه گاهی این اثرات میتوانند تخریبی نیز باشند. از نقطه نظر كاربر اهمیتی ندارد كه خسارت ایجاد شده بوسیله یك ویروس، یك كار عمدی پیشبینی شده توسط نویسنده ویروس بوده باشد یا یك اشتباه برنامهنویسی.
۲ ـ برخی از ویروسها در حافظه كامپیوتر مقیم شده و از این طریق عملیات تكثیر خود را انجام میدهند. این عمل ممكن است به گونهای باشد كه جایی برای اجرای برنامههای دیگر نماند و یا باعث ایجاد تأخیر یا وقفه در حین عملیات سیستم اعم از اجرای برنامهها و یا راهاندازی كامپیوتر گردد.
۳ ـ فرض كنید كه شما یك ویروس بر روی كامپیوتر خود داشته باشید. بسیار احتمال دارد كه این ویروس به صورت غیرعمدی به یك دوست، همكار یا مشتری منتقل شود كه این امر ممكن است باعث از بین رفتن اعتماد آنها به شما و شركت شما شود.
۴ ـ ویروسها و برنامههای مخرب زیادی وجود دارند كه اقدام به سرقت اطلاعات و كلمات عبور كاربر مینمایند. بعضی از اینگونه برنامهها با مقیم شدن در حافظه از عباراتی كه توسط شما تایپ میشود گزارش گرفته و پس از اتصال رایانه شما به اینترنت این اطلاعات را برای مقصد خاصی ارسال میكنند. گیرنده این اطلاعات میتواند به راحتی از آنها سوء استفادههای مختلفی نماید.
علاوه بر همه اینها هیچ ویروسی كاملاً بیضرر نیست و در خوشبینانهترین حالت، آنها وقت شما، وقت پردازنده و فضای دیسك شما را تلف میكنند.
در مورد اثرات تخریبی ویروسهایی كه آنها را به صورت عمدی انجام میدهند میتوان به موارد زیر اشاره نمود:
• تخریب یا حذف برنامهها و اطلاعات بخشهای مختلف دیسكها.
• فرمت كردن دیسكها.
• كد كردن اطلاعات و برنامهها.
• تخریب اطلاعات Flash ROM ها.
مزاحمتهای فوق ممكن است به محض فعال شدن ویروس (یعنی قرار گرفتن ویروس در حافظه از طریق اجرای یك برنامه آلوده) و یا در یك تاریخ و زمان خاص و یا حتی با اجرای یك برنامه كاربردی خاص انجام شود.
انواع ويروس ها
ارائه یك تقسیمبندی دقیق از ویروسها كار مشكلی است و میتوان ویروسها را به روشهای مختلفی تقسیمبندی كرد. این روشها میتواند بر اساس میزبان ویروس، سیستم عاملی كه ویروس میتواند در آن فعالیت كند، روش آلودهسازی فایل و ... باشد. در زیر به برخی از این روشها اشاره میكنیم :
تقسیم بندی ویروسها بر اساس مقصد آلودهسازی:
۱ ـ ویروسهای فایلی (File Viruses) :
ویروسهای فایلی، معمولاً فایلهای اجرایی را آلوده میكنند. فایلهای آلوده به این نوع از ویروسها اغلب (اما نه همیشه) دارای پسوند .com یا .exe هستند.
۲ ـ ویروسهای ماكرو (Macro Viruses) :
ویروسهای ماكرو، مستندات برنامههایی را كه از امكان ماكرونویسی پشتیبانی مینمایند (مانند MS Word ، MS Excel و...) آلوده میكنند. فایلهای اینگونه برنامهها اجرایی نیستند ولی درون آنها قسمتهایی اجرایی به نام «ماكرو» وجود دارد كه میتواند میزبان مناسبی برای ویروسهای ماكرو باشد.
۳ ـ ویروسهای بوت و پارتیشن سكتوری (Boot Sector and Partition Table Viruses) :
اینگونه ویروسها سكتور راهانداز (Boot Sector) دیسك سخت و دیسكت فلاپی یا جدول بخشبندی دیسكهای سخت را آلوده میكنند. با راهاندازی سیستم از روی دیسكی كه به اینگونه ویروسها آلوده شده است، ویروس در حافظه مقیم شده و متعاقباً دیسكهایی را كه مورد دسترسی قرار گیرند، آلوده میكند.
۴ ـ ویروسهای اسكریپتی (Script Viruses) :
این ویروسها كه اسكریپتهای نوشته شده به زبانهای ویژوال بیسیك یا جاوا میباشند، تنها در كامپیوترهایی اجرا میشوند كه بر روی آنها Internet Explorer یا هر مرورگر وب دیگری با توانایی اجرای اسكریپتها، نصب شده باشد و فایلهای با پسوند .html ، .htm ، .vbs ، .js ، .htt یا .asp را آلوده میكنند.
ویروسها جدا از تقسیمبندی فوق، ممكن است در یك یا چند دسته از دستههای زیر نیز قرار بگیرند:
• ویروسهای مقیم در حافظه (Memory Resident Viruses) :
اینگونه ویروسها با مقیم شدن در حافظه، هنگام دسترسی به فایلهای دیگر، آنها را آلوده میكنند.
• ویروسهای مخفیكار (Stealth Viruses) :
اینگونه ویروسها به روشهای مختلف ردپای خویش را مخفی میكنند. به این معنی كه فایلهای آلوده به اینگونه ویروسها به گونهای نشان داده میشود كه یك فایل غیرآلوده جلوه كند. به عنوان مثال عموم ویروسها پس از آلوده كردن یك فایل، اندازه آن را افزایش میدهند و یا گاهی تاریخ و زمان ضبط فایل را عوض میكنند. اما ویروسهای مخفیكار میتوانند با روشهای خاص و بدون تغییر وضعیت ظاهری، عملیات خویش را انجام دهند.
• ویروسهای كدشده (Encrypting Viruses) :
این ویروسها پس از هر بار آلودهسازی، با استفاده از شیوههای خود رمزی شكل ظاهری خود را تغییر میدهند.
• ویروسهای چندشكلی (Polymorphic Viruses) :
اینگونه ویروسها با استفاده از الگوریتمهای خاص، علاوه بر تغییر شكل ظاهری خود، ساختار خود را نیز تغییر میدهند به طوریكه ممكن است جای دستورالعملها و حتی خود دستورالعملها نیز تغییر كنند.
• ویروسهای فعالشونده بر اساس رویداد خاص(Triggered Event Viruses) :
ویروسهایی هستند كه بخشی از عملیات تخریب خود را در ساعت و یا در تاریخ خاص انجام میدهند. البته باید توجه داشت كه تكثیر و آلودهسازی فایلها در تمام اوقات فعال بودن ویروس انجام میشود.
• برنامه هاي جاسوسي (Spyware) :
اين برنامه ها به صورت مستقيم داراي اثات تخريبي نمي باشند و وظيفه اصلي آنها جمع آوري اطلاعات از روي سيستم كاربر و تحت نظر قرار دادن اعمال كاربر هنگام كار با اينترنت مي باشد. اطلاعات مورد نظر اين برنامه پيدا كردن شماره كارت اعتباري، كلمه عبور شبكه، كلمه عبور E-mail (تحت وب) و ... مي باشد.
در نهايت اين اطلاعات جمع آوري شده طبق تنظيمات تعريف شده برنامه جاسوسي به مقاصد مورد نظر استفاده مي شود.
نشانه هاي وجود ويروس
معمولاً سیستمی كه به ویروس آلوده میگردد نشانههایی را از خود بروز میدهد كه با دقت در آنها میتوان به ویروسی بودن احتمالی سیستم پی برد. بعضی از این نشانهها در زیر آمده است. اما باید دقت داشت كه این نشانهها ممكن است در اثر عوامل غیرویروسی نیز ظاهر گردد. اما اگر كامپیوتر بطور عادی كار میكرده و ناگهان و بدون هیچگونه دستكاری، این علایم را از خود بروز میدهد، احتمال وجود ویروس بیشتر است:
۱ ـ سیستم در هنگام راهاندازی قفل میكند و احتمالاً پیغامهای غیرمعمول روی صفحه ظاهر میگردد.
۲ ـ هنگام اجرای برنامهها پیغام كمبود حافظه ظاهر شده و برنامه اجرا نمیگردد.
۳ ـ در كار چاپگر اختلال ایجاد میشود یا بدون هیچگونه فرمان چاپی شروع به كار میكند.
۴ ـ امكان دسترسی به برخی از درایوها وجود ندارد.
۵ ـ هنگام اجرای فایلها، پیغام File is Damaged یا File is Corrupted نمایش داده میشود.
۶ ـ هنگام اجرای یك فایل، كاراكترها و یا پیغامهای غیرعادی روی صفحه نمایش ظاهر میگردد.
۷ ـ هنگام كار در محیطهای گرافیكی، تصاویر به هم میریزد.
۸ ـ اصوات غیرمعمول یا موزیك از بلندگوهای كامپیوتر پخش میشود.
۹ ـ سیستم هنگام اجرای یك برنامه قفل كرده و حتی گاهی فشردن كلیدهای Ctrl+Alt+Del نیز نمیتواند سیستم را دوباره راهاندازی كند.
۱۰ ـ اطلاعات بخشی از دیسك سخت و یا تمام آن بطور ناگهانی از بین میرود یا دیسك سخت ناخواسته فرمت میشود.
۱۱ ـ اندازه فایلهای اجرایی افزایش مییابد.
۱۲ ـ خواص فایلهای اجرایی تغییر میكند.
۱۳ ـ سرعت سیستم بطور نامحسوسی كاهش مییابد.
۱۴ ـ اطلاعات Setup كامپیوتر از بین میرود.
۱۵ ـ برنامهها مراجعاتی به دیسكت انجام میدهند كه قبلاً انجام نمیدادند.
۱۶ ـ كاهش فضای خالی دیسك بدون اینكه فایلی اضافه شده و یا به محتوای فایلها افزوده شده باشد.
۱۷ ـ نرمافزارهای مقیم در حافظه با خطا اجرا شده یا اصلاً اجرا نمیشوند.
۱۸ ـ بعضی برنامهها سعی در برقراری ارتباط با اینترنت را دارند.
۱۹ ـ هنگام كار با اینترنت مقدار ارسال و دریافت اطلاعات ناخواسته افزایش یافته و سرعت به شدت افت میكند.
۲۰ ـ نامههای الكترونیكی ناخواسته از روی سیستم ارسال شده و یا دریافت میگردد.
10- بد افزار ها ديگر
به غیر از ویروسها برنامههای خطرناك دیگری نیز وجود دارند كه نرمافزارهای ضدویروس وظیفه دارند اینگونه برنامهها را نیز شناسایی كنند. مهمترین تفاوتی كه بین این برنامهها و ویروسها وجود دارد اینست كه بر خلاف ویروسها این برنامهها نمیتوانند خود را از طریق یك میزبان تكثیر نمایند. از مهمترین این برنامهها میتوان به موارد زیر اشاره كرد:
• كرمهای اینترنتی (Worm):
این برنامهها كه امروزه بیشترین میزان آلودهسازی را به خود اختصاص دادهاند، فایلهای دیگر را آلوده نمیسازند بلكه خود را به صورت یك فایل مجزا بر روی سیستم كاربر كپی میكنند. كرمها معمولاً از طریق ضمایم نامههای الكترونیكی، حفرههای امنیتی سیستم عامل Windows نظیر حفره موجود در RPC و ... منتشر میشوند.
• ترویاها (Trojan):
ترویاها كه نام خود را از داستان معروف اسب تروا گرفتهاند به هیچ وجه امكان تكثیر نداشته و معمولاً به وسیله ویروسها یا كرمهای اینترنتی دیگر بر روی سیستم كاربر قرار داده میشوند. اینگونه برنامهها معمولا دارای اثرات تخریبی هستند.
• جاسوسافزارها (Spyware):
اینگونه برنامهها مستقیماً دارای اثر تخریبی نمیباشند و وظیفه آنها جمعآوری اطلاعات از روی سیستم كاربر و نیز تحت نظر قرار دادن اعمال وی هنگام كار با اینترنت میباشد. در نهایت این اطلاعات برای مقاصد خاص فرستاده میشود تا از آنها جهت اهداف تجاری و تبلیغی استفاده گردد.
اطلاعات مورد نظر اين برنامه پيدا كردن شماره كارت اعتباري، كلمه عبور شبكه، كلمه عبور E-mail (تحت وب) و ... مي باشد.
در نهايت اين اطلاعات جمع آوري شده طبق تنظيمات تعريف شده برنامه جاسوسي به مقاصد مورد نظر استفاده مي شود. البته بعضي از شركت هاي تبليغاتي و تجاري نيز جهت حصول به اهداف خود از اين برنامه ها استفاده مي كنند.
• یرنامههای تبلیغاتی (Adware):
اینگونه برنامهها همانند جاسوسافزارها دارای اثر تخریبی نمیباشند و وظیفه آنها باز کردن صفحات خاص اینترنتی جهت اهداف تجاری و تبلیغی است .
• جكها(Joke):
جكها برنامههایی هستند كه ادعا میكنند در حال انجام عملیاتی تخریبی بر روی سیستم شما میباشند ولی در واقع اینگونه نبوده و كار آنها چیزی جز یك شوخی ساده نمیباشد. متأسفانه برخی كاربران به سادگی تحت تأثیر جكها قرار گرفته و با تلاش برای از بین بردن چیزی كه مخرب نیست باعث ایجاد تخریب بیشتری میشوند.
• شوخیهای فریبآمیز (Hoax):
این برنامهها با سوء استفاده از كم بودن اطلاعات تخصصی كاربران، آنها را فریب داده و با دستورات و توصیههای اشتباه باعث میشوند كه كاربر شخصاً كاری تخریبی بر روی سیستم خود انجام دهد. به عنوان مثال وانمود میكنند كه فایلی خاص در مسیر سیستم عامل یك برنامه خطرناك است و باید توسط كاربر حذف شود. غافل از اینكه این فایل سیستمی بوده و برای عملكرد درست سیستم عامل، وجود آن لازم است.
• شمارهگیرها (Dialer):
اینگونه برنامهها وظیفهشان ارتباط دادن كاربر از طریق خط تلفن به سرورهایی در دیگر كشورها برای دسترسی مستقیم به اطلاعات آنها میباشد. این سرورها معمولا مربوط به سایتهای غیراخلاقی بوده و برقراری ارتباط با آنها از طریق خط تلفن باعث هزینه بسیار زیاد مالی میگردد.
• Rootkit ها :
بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمی توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس ها یا کرمهای اینترنتی یا نوع استفاده از ﺁنهاست که به ﺁنان ماهیتی خطرناک می بخشد. به عنوان یک تعریف میتوان گفت که Rootkit ابزاری نرم افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. Rootkit ها اغلب در سطح سیستم عامل فعالیت کرده و با تغییراتی که در سیستم عامل یا منابع ﺁن انجام می دهند، به مقاصد خود دست پیدا می کنند. به علت قابلیت پنهان سازی قوی اینگونه برنامه ها، شناسایی ﺁنها یا برنامه هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از Rootkit ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می نمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیت های مخرب خود به دور از چشم کاربر ادامه میدهد
• Downloader ها :
کار اینگونه برنامه ها Download کردن بد افزار ها و اجرای آنها است
• کلیک کننده ها (Adclicker) :
اینگونه برنامهها لینک صفحهات تبلیغاتی را دنبال نموده و به این طریق حالت کلیک شدن بر روی آن صفحه تبلیغاتی خاص را شبیه سازی می کنند و باعث بالا رفتن hit آن می شوند.
• Backdoor ها :
Backdoor ها ابزاری برای نفوذگرها هستند که به وسیله آنها می توانند سیستم های دیگر را در کنترل خود درآورند .Backdoor ها درون شبکه، پورت های TCP یا UDP را باز می کنند و شروع به گوش کردن نموده تا دستورات نفوذگرها را اجرا کنند. Backdoor ها از جهت نداشتن قابلیت تکثیر شبیه ترویاها هستند.
• پسورد دزد ها (Password-Stealer) :
اینگونه برنامه ها که نوعی ترویا هستند کارشان دزدی پسورد از روی سیستم ها و ارسال آنها برای نفوذگرها است.
• Exploit :
کد های مخربی هستند که با استفاده از آسیب پذیری های یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم می کنند.
• Keylogger :
اینگونه برنامه ها با قرار گرفتن در حافظه از کلید های زده شده توسط کاربر گزارش گرفته و در قالب یک فایل برای نفوذگر می فرستند..
نگهداري نسخه پشتيبان (backup) از اطلاعات :
مهمترین اقدامی كه میتوانید در مقابل هرگونه از دست دادن اطلاعات انجام دهید، گرفتن نسخههای پشتیبان به صورت مرتب از آنها میباشد. اگر شما از اطلاعات خود به صورت مرتب پشتیبان تهیه نكنید، احتمال ضرر و زیان بسیاری وجود دارد. به یاد داشته باشید كه نسخههای پشتیبان خود را بطور مكرر بررسی كنید و اطمینان حاصل نمایید كه میتوانید اطلاعات خود را از آنها بازیابی كنید. مطمئن شوید كه از تمامی فایلهای مهم خود بر روی دیسكت یا هر رسانه دیگری كپیهای سالمی دارید. همه دیسكتهای پشتیبان و دیسكتهای راهاندازی شما باید در حالت Write protect باشند.
بمب هاي ساعتي (Logic Bomb):
يكي از مخرب ترين گونه هاي برنامه هاي مخرب، بمب هاي ساعتي مي باشد كه شناسايي آنها بسيار مشكل است. اين برنامه هاي مخرب عمليات خود را به محض ورود به سيستم شروع نمي كنند، بلكه در گوشه اي در كمين مي نشينند و در زمان مناسب با شرايط تعيين شده براي آن همانند يك بمب ساعتي عمل مي كنند و شما را غافلگير مي كنند. بعضي از اين برنامه ها بعد از انفجار به خواب رفته و در كمين بوجود آمدن شرايط مجدد انفجار مي مانند متاسفانه شما هنگامي متوجه اين بمب هاي ساعتي مي شويد كه كار از كار گذشته است.
بررسي منابع نرم افزاري
مطمئن شوید كه تمامی نرمافزارهای شما از یك منبع قابل اطمینان و مشهور بدست میآیند. بررسی كنید كه نرمافزار در بسته بندی اصلی و دستنخورده خودش باشد. حتیالامكان از نرمافزارهای كپی شده و ثبت نشده استفاده نكنید. زیرا ممكن است كپی نرمافزار، شما را در معرض آلودگی ویروسی قرار دهد.
نرمافزارها میتوانند از طریق پورتهای ارتباطی وارد كامپیوتر شما شوند. هنگامی كه نرمافزاری را به كامپیوترهای دیگر و شبكهها میفرستید یا از آنها دریافت میكنید و هنگامی كه فایلها را از اینترنت دریافت میكنید، بسیار مراقب باشید..
از بين بردن نامه هاي الكترونيكي ناخواسته
امروزه بسیاری از كرمهای اینترنتی و ویروسها خود را از طریق ارسال نامههای الكترونیكی منتشر میكنند. آنها متن و عنوان نامهها را طوری انتخاب میكنند كه كاربر به باز كردن و خواندن نامهها ترغیب شود. لذا اغلب كاربران اینگونه نامهها را باز نموده و دچار آلودگی میشوند. لذا هنگام خواندن نامههای خود، از باز كردن و خواندن هرگونه نامهای كه انتظار دریافت آن را نداشته اید، حتی اگر از طرف شخصی آشنا باشد، خودداری نموده و آن نامه را پاك كنید.
استفاده از نرم افزارهاي ضدويروس و امنيتي و به روزنگه داشتن آنها
استفاده از نرمافزارهای ضدویروس و نیز نرمافزارهای امنیتی و فعال نمودن گارد آنها بر روی سیستم معمولاً از ورود ویروسها به سیستم جلوگیری نموده و احتمال آلوده شدن به ویروسها را به طور چشمگیری كاهش میدهد. به روز نگاه داشتن اینگونه نرمافزارها نیز باعث ایجاد امنیت در مقابل ویروسهای جدیدتر میگردد.
معيار هاي انتخاب آنتي ويروس
مهمترين وظيفه يك ضد ويروس شناسايي ويروس ها است. اما چگونه بايد مطمئن شويم كه يك ضد ويروس همان كاري را كه ادعا مي كند انجام مي دهد؟
آيا همين قدر كه برنامه ضد ويروس يك گزارش مبني بر شناسايي ويروس ها توليد مي كند متقاعد مي شويد كه كار خود را به خوبي انجام مي دهد؟ پيدا كردن جواب دو سوال زير سوال مي تواند به شما كمك كند:
1- نرم افزار ضد ويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد.. از اين پارامتر عموما با نام detection Rate ياد مي شود.
2-نرم افزار ضد ويروس تحت چه شرايطي مي تواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضد ويروس قابل تشخيص است؟
3- امكانات
بسيار مهم است كه بدانيم چه نوع فناوري در ضد ويروس مورد نظر استفاده شده است و چه ويژگي هايي دارد.
1-سازگاري سخت افزاري و نرم افزاري سيستم شما با ضد ويروس انتخاب شده.
در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرم افزار ضد ويروس خود را كه تنها با جديد ترين سيستم عامل ها كار مي كنند، ارايه مي دهند. بنابر اين منطقي به نظر مي رسد كه قبل از اقدام به خريد نرم افزار حتما به اين نكته توجه كنيد.
2- توانايي پوشش (on-Access Real time) را داشته باشد.
اين يكي از ويژگي هاي اساسي است كه يك ضد ويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري مي شود ويروس را شناسايي و خنثي كند.
اين بخش نرم افزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد و حافظه سركشي كنذ.
3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستم تان بايد انجام دهيد اين است كه هر از چند گاهي وضعيت سيستم خود را با اجراي ضد ويروس بررسي كند.مخصوصا هنگامي كه آخرين نسخه ضد ويروس را دريافت مي كنيد حتما اين كار را انجام دهيد.
نگهداري از ضد ويروس
دو مورد زير در نگهداري از نرم افزار هاي ضد ويروس قابل توجه هستند.
1- بروز كردن مداوم ضد ويروس براي مقابله با ويروس هاي جديد.
در بخش هاي قبل لزوم بروز نگه داشتن بانك اطلاعاتي ضد ويروس توضيح داده شد. بنابراين ضد ويروس منتخب شما بايد به گونه اي باشد كه به راحتي قابليت بروز شدن را داشته باشد و علاوه بر آن به طور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزم هايي جهت بروز نگه داشتن ضد ويروس استفاده مي شود. آيا نسخه هاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت قابل دريافت مي باشد؟ و آيا شما به راحتي مي توانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟
اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرم افزار بسيار خسته كننده مي باشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت بروز شده نرم افزار دريافت شود.
نكته ديگر اين كه، نويسندگان ضد ويروس ها چقدر سعي مي كنند تا روش هاي جديدي كه براي توليد ويروس ها استفاده مي شود بشناسند و در نرم افزار خود به كار گيرند؟
و نكته مهم تر اين كه از زمان خبر انتشار ويروس تا وقتي كه نرم افزار ضد ويروس براي اين ويروس بروز شود چقدر طول مي كشد؟
كرم ها، ويروس ها، اسب هاي تروا و ساير انواع برنامه هاي مخرب كه همراه با فايل هاي برنامه اي نامه هاي الكترونيكي و ... از روي CD، ديسك هاي فلاپي، ارتباط مستقيم با شبكه هاي محلي يا اينترنت و ... وارد كامپيوتر مي شوند، همه و همه تهديد كننده امنيت كامپيوترتان هستند. بسياري از اين برنامه ها با ايجاد Back Doorsعملا اجازه مي دهند كه Hackerها و يا افرادي كه قصد در كامپيوتر شما را به يغما ببرند. برخي ديگر از اين برنامه ها خود راسا دست به عمل زده و اطلاعات را به مقصد نامعلومي مي فرستند. البته كار فرستادن اطلاعات خيلي كند و با آهنگ آهسته اي انجام مي شود تا مورد توجه قرار نگيرند. برنامه هاي مخرب از هر نوع رده اي كه باشد از يك مساله سو استفاده مي كنند و آن وجود نقاط ضعف و bugهاي امنيتي در سيستم عامل ها و پروتكل ها و يا سرويس هاي مختلف است. نمونه اين ضعف مي تواند فرستاده شدن كلمه رمز عبور(Password) توسط پروتكل telnet باشد. برنامه طرف سرويس گيرنده (client) كه اقدام به telnet مي كند اسم رمز را به صورت غير رمز را به صورت غير رمز نگاري شده و يا اصطلاحا plain به سمت سرويس دهنده مي فرستد، حال اگر در بين راه يك نفر عمل sniff را انجام دهد به راحتي مي تواند اين اسم رمز را به دست آورد.
برخي از كاربران كامپيوتر تصور مي كنند كه اگر آخرين Patch ها و Update هاي سيستم عامل و برنامه هاي كامپيوترشان را تهيه و نصب كنند اين مشكل حل حل خواهد شد ، در صورتي كه اين عقيده خيلي درست نيست. مثلا اگر اين Patch ها يا Update ها بعد از آلوده شدن كامپيوتر نصب شوند معمولا فايده نداشته و برنامه هاي مخرب كماكان كار خود را ادامه خواهد داد. به عنوان مثالي براي اين نوع كرم ها مي توان به كرم MS Blaster و Update هاي شماره 824149 شركت ماكروسافت اشاره كرد كه براي رفع ضعف امنيتي سيستم عامل هاي ويندوز كه كرم Blaster از آن استفاده مي كند، اشاره كرد. اين Update ها فقط وقتي مفيد خواهد بود كه آنها را قبل از آلوده شدن سيستم بتوان نصب كرد. برنامه هاي فوق از آدرس :http://support.microsoft.com/?kbid=833330 در سايت ماكروسافت قابل تهيه مي باشد. يكي از جالب ترين نكاتي كه در ارتباط با اين كرم وجود دارد آن است كه بسياري از ديواره هاي آتشين (Fire Walls) اگر به درستي تنظيم شوند مي توانند جلوي شيوع اين كرم را بگيرند. يكي از نادرترين ديوارهاي آتيشيني كه نمي توانند جلوي اين كرم را بگيرد عبارت است از ICF مخفف (Internet Connention Firewall) كه همان ديواره آتشين موجود در ويندوز XP است. البته توجه داشته باشيد كه ديواره هاي آتشين اولين خط دفاعي كامپيوتر شما در برابر حملات هستند. ديواره دوم دفاعي نيز برنامه هاي ويروس ياب نظير پاندا، McAfee و يا آنتي ويروس نورتون، آويرا، ايمن مي توانند باشند. نكته منفي كه اينجا بد نيست به آن اشاره كنيم اين استكه تعداد قابل توجهي از كاربران به اين گونه برنامه اعتقاد زيادي نداشته و معمولا آنها را زايد تشخيص داده و نصب نمي كنند.
منابع
آزمايشگاه تحقيقات ويروس هاي رايانه اي ايمن:
Http://www.ImenAntiVirus.Com
دانشنامه آزاد ويكيپيا
سایر منابع معتبر
http://www.uc-njavan.ir/images/vm6888kxs9oegtmrowcy.jpg
چکيده: امروزه ، اكثر كامپيوتر ها مبتلا به ويروس ها مي باشند. ويروس ها، انواع مختلفي دارند كه روزانه حدود 200 الي 300 ويروس در آزمايشگاه هاي ويروس شناسي ، شناخته مي شود.
واژه هاي كليدي: ويروس ، هك ، كرك ، ويروس هاي رايانه اي ، ويروس نويسي ، تروجان ، كيلوگر.
مقدمه
ويروس ها انواع مختلفي دارند كه عبارتند از : "ويروس هاي فايل ، ويروس هاي ماكرو ، ويروس هاي بوت و پارتيشن سكتوري ، ويروس هاي اسكريپتي ، ويروس هاي مقيم در حافظه ، ويروس هاي مخفي كار ، ويروس هاي كد شده ، ويروس هاي چند شكلي ، ويروس هاي فعال شونده بر اساس رويداد خاص" كه در اين مقاله سعي داريم به اين نوع ويروس ها آشنا شويم..
پدر واقعي ويروس هاي كامپيوتري
http://www.uc-njavan.ir/images/un98d3tur8jy827fd4dz.jpg
تاريخچه به وجود آمدن ويروس هاي كامپيوتري به حدود 3دهه پيش باز مي گردد. هنگامي كه فردي به نام ((فرد كوهن)) در دانشگاه كاليفرنياي جنوبي به عنوان رساله دكتراي خود در رشته مهندسي برق، تحقيقات خود بر روي برنامه اي را ارايه كرد كه قادر بود يك كپي از خودش را با دستكاري كردن برنامه هاي ديگر، درون آنها قرار دهد. موضوع رساله دكتراي وي با واكنش هاي متفاوتي روبرو گرديد. ولي اين واقعيتي است كه حتي خود كوهن نيز تصور نمي كرد كه روزي طرح وي به صورت يك فاجعه جهاني در دنياي كامپيوتر تبديل شود.
اولين ويروس هاي كامپيوتري
بر اساس مدارك موجود ، اولين ويروس كامپيوتري توسط بسيط فروغ علوي و امجد علوي صاحبان شركت كامپيوتري Brain در سال 1985 به نام Brain نوشته شد. اين دو برادر با توليد و نگارش برنامه هاي نرم افزاري در شركت كامپيوتري خود كار مي كردند. آنها پس از مدتي متوجه گرديدند كه از برنامه هاي نرم افزاري آنها كپي هاي غير مجاز زيادي گرفته مي شود.
علاوه بر اين آنها پي برده بودند كه هر فلاپي ديسك، حاوي سكتور راه اندازي است كه با هر بار راه اندازي سيستم، اجرا مي گردد. در نتيجه تصميم گرفتند برنامه اي را بنويسند كه جايگزين اين سكتور راه اندازي شود به نحوي كه اگر كسي خواست از نرم افزار كپي بگيرد سيستم كامپيوتري وي دچار مشكل گردد. كامپيوتر فرد خاطي كه به محض تهيه كپي دچار مشكل مي شد و پيغامي به اين مضمون در روي صفحه نمايش ظاهر مي شد كه ((به سياه چال خوش آمديد!)).
استفاده كننده از اين حالت هيچ چاره اي جز تماس با برادران علوي جهت ويروس يابي نداشت. البته شماره تلفن برادران علوي بصورت يك پيغام ارايه مي شد. اين دو برادر با فروش كپي نرم افزار هاي معروف نيا مثل لوتوس و Word Star با قيمتهاي بسيار ارزان به همه مردم علي الخصوص توريست هاي خارجي، اقدام به انتشار اين برنامه كه بعد به ويروس شهرت يافت كردند. به زودي اين ويروس توانست صد هزار كامپيوتر را به راحتي آلوده كند.
يكي از اولين ويروس هايي كه نسبت به ويروس Brain بسيار مخرب تر مي باشد ويروس ارشليم مي باشد. اين ويروس اولين بار در سال 1987 در داشنگاه عربي اسرائيل گزارش شده و اصليت آن اسرائيلي مي باشد. اين ويروس در روز جمعه سيزدهم ماه مي 1988 (يعني چهلمين سالگرد ايجاد دولت غاصب اسرائيل) فعاليت تخريبي خود را آغاز كرده و پس از پاك كردن تمام فايل هاي كامپيوتري به كار خود خاتمه مي داد. ويروس ارشليم به صورتي برنامه نويسي شده تا در جمعه يا سيزدهم هر ماه از خود كپي هايي را تهيه كرده و به برنامه هاي ديگر بچسباند. اين ويروس كامپيوتري بسياري از دانشگاه ها و مراكز نظامي را آلوده و تخريب كرد.
ويروس ساسر
آيا براي شما تعجب آور نيست كه ويروس خطرناك ساسر كه كمتر از يك هفته 18 ميليون كامپيوتر را در سراسر دنيا آلوده كرد و موجب تعطيلي موقت چند شركت بزرگ كامپيوتري شد به وسيله يك جوان 18 ساله به نام Sven Jaschan نوشته شده است. گفتني است كه شركت بزرگ مايكروسافت براي دستگيري نويسنده نابغه اين ويروس مبلغ 250 هزار دلار جايزه تعيين كرده بود. اين جوان بالاخره پس از حمله ناگهاني پليس به منزل وي در شهر روتنبرگ آلمان دستگير شد. خطر ويروس هاي كامپيوتري در دنياي امروزي با گسترش كامپيوتر در كليه جوانب زندگي ما هر روز پر رنگ و پر رنگ تر شده است.
ويروس هاي بي خطر
تنهاپنج درصد از ويروس هاي كامپيوتري داراي اثرات تخريبي هستند و بقيه صرفا تكثير مي شوند. حالا سوال اين است كه آيا اين ويروس هاي به اصطلاح بي خطر هيچ تاثير منفي بر عملكرد كامپيوتر ندارد؟ جواب اين پرسش را مي توان در چندين قسمت پاسخ گفت:
- بسياري از ويروس هاي بي خطر داراي اثراتي هستند كه براي كاربر ايجاد مزاحمت مي كنند. مثلا ممكن است كه پيغامي را نمايش دهند كه باعث ريزش حروف صفحه نمايش به پايين شوند و يا اينكه يك آهنگ پخش كنند.
علاوه بر اين برخي از ويروس ها به علت اشكالات نرم افزاري كه ناشي از عدم دقت ويروس نويس مي باشد، ممكن است داراي اثرات غير قابل پيش بيني باشد، كه در بعضي مواقع حتي مي توانند تخريبي باشند.
- برخي از اين ويروس هاي بي خطر در حافظه كامپيوتر شما مقيم شده و از اين طريق عمليات تكثير خود را انجام مي دهند. اين عمل ممكن است به گونه اي باشد كه فضايي براي اجراي برنامه هايي ديگر نماند و يا باعث ايجاد تاخير و وقفه در حين عمليات سيستم، اعم از اجراي برنامه ها و يا راه اندازي، كامپيوتري گردند.
- ويروس هاي زيادي هستند كه عملكرد تخريبي ندارند ولي كارهاي ديگري مثل سرقت اطلاعات و كلمه عبور كاربر را انجام مي دهند. بعضي از اينگونه برنامه ها با مقيم شدن در حافظه از عباراتي كه توسط شما تايپ مي شود گزارش گرفته و پس از اتصال كامپيوتر شما به اينترنت، اين اطلاعات را براي مقصد خاصي ارسال مي كنند. گيرنده اين اطلاعات مي تواند به راحتي از اين اطلاعات مي تواند به راحتي از اين اطلاعات سو استفاده هاي مختلفي را بكند.
- يك ويروس علي رغم بي خطر بودن با انتقال غير عمدي مي تواند باعث عدم اعتماد افراد به يكديگر شود.
تعريف ويروس
معمولاً كاربران كامپیوتر بویژه آنهایی كه اطلاعات تخصصی كمتری درباره كامپیوتر دارند، ویروسها را برنامههایی هوشمند و خطرناك میدانند كه خود به خود اجرا و تكثیر شده و اثرات تخریبی زیادی دارند كه باعث از دست رفتن اطلاعات و گاه خراب شدن كامپیوتر میگردند در حالیكه طبق آمار تنها پنج درصد ویروسها دارای اثرات تخریبی بوده و بقیه صرفاً تكثیر میشوند. بنابراین یك ویروس رایانهای را میتوان برنامهای تعریف نمود كه میتواند خودش را با استفاده از یك میزبان تكثیر نماید. بنابراین تعریف اگر برنامهای وجود داشته باشد كه دارای اثرات تخریبی باشد ولی امكان تكثیر نداشته باشد، نمیتوان آنرا ویروس نامید.
بنابراین ویروسهای رایانهای از جنس برنامههای معمولی هستند كه توسط ویروسنویسان نوشته شده و سپس به طور ناگهانی توسط یك فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسك، فایلها و یا كامپیوترهای دیگر را آلوده میكنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یك دیسك آلوده توسط كاربر دوم، ویروس به صورت مخفی نسخهای از خودش را تولید كرده و به برنامههای دیگر میچسباند و به این ترتیب داستان زندگی ویروس آغاز میشود و هر یك از برنامهها و یا دیسكهای حاوی ویروس، پس از انتقال به كامپیوترهای دیگر باعث تكثیر نسخههایی از ویروس و آلوده شدن دیگر فایلها و دیسكها میشوند. لذا پس از اندك زمانی در كامپیوترهای موجود در یك كشور و یا حتی در سراسر دنیا منتشر میشوند. از آنجا كه ویروسها به طور مخفیانه عمل میكنند، تا زمانی كه كشف نشده و امكان پاكسازی آنها فراهم نگردیده باشد، برنامههای بسیاری را آلوده میكنند و از این رو یافتن سازنده و یا منشاء اصلی ویروس مشكل است.
ميزبان ويروس
ویروس هم مانند هر برنامه كامپیوتری نیاز به محلی برای ذخیره خود دارد. منتهی این محل باید به گونهای باشد كه ویروسها را به وصول اهداف خود نزدیكتر كند. همانگونه كه قبلاً ذكر شد اكثر ویروسها به طور انگلوار به فایلهای اجرایی میچسبند و آنها را آلوده میكنند. اصولاً میتوان فایلها را به دو گونه كلی «اجرایی» و «غیراجرایی» تقسیم كرد كه عموم ویروسها در فایلهای اجرایی جای گرفته و آنها را آلوده میكنند و واقعاً كمتر ویروسی یافت میشود كه در یك فایل غیراجرایی قرار بگیرد و بتواند از طریق آن تكثیر شود.
لازم به ذكر است كه بعضی از فایلها را شاید نتوان ذاتاً اجرایی نامید اما چون اینگونه فایلها میتوانند حاوی قسمتهایی اجرایی باشند، لذا آنها را از نوع اجرایی در نظر میگیریم. از این نوع فایلها میتوان به فایلهای Html و مستندات برنامههای Office اشاره كرد كه به ترتیب ممكن است شامل اسكریپت و ماكرو باشند. اسكریپتها و ماكروها قسمتهایی اجرایی هستند كه در دل این فایلها قرار گرفته و كار خاصی را انجام میدهند.
در ذیل فهرست پسوندهای رایج فایلهای اجرایی ارائه شده است و اكثر نرمافزارهای ضدویروس در حالت عادی (بدون تنظیمات خاص) این فایلها را ویروسیابی میكنند (البته در برخی برنامههای ضدویروس ممكن است برخی پسوندها حذف یا اضافه شوند) :
.com , .exe , .dll , .ovl , .bin , .sys , .dot , .doc , .vbe , .vbs , .hta , .htm , .scr , .ocx , .hlp , .eml
بنابراین یكی از اصلیترین میزبانهای ویروس، فایلهای اجرایی هستند. از طرف دیگر برخی ویروسها نیز از سكتور راهانداز (Boot Sector) و جدول بخشبندی دیسك (Master Boot Record یا Partition Table) به عنوان میزبان استفاده میكنند. سكتور راهانداز واحد راهاندازی سیستم عامل است كه در سكتور شماره صفر دیسكت فلاپی و یا درایوهای منطقی یك دیسك سخت قرار دارد و جدول بخشبندی شامل اطلاعات تقسیمبندی دیسك سخت میباشد كه آن نیز در سكتور شماره صفر دیسك سخت قرار دارد. اینگونه ویروسها با قرار گرفتن در یكی از این دو محل، هنگام راهاندازی كامپیوتر، اجرا شده و در حافظه سیستم مقیم میشوند و تا زمان خاموش كردن كامپیوتر و یا راهاندازی دوباره، همانجا مانده و فلاپیها و یا دیسكهای سخت دیگر را آلوده میكنند.
عملكرد ويروس
همانطور كه گفته شد تنها پنج درصد از ویروسها دارای اثرات تخریبی هستند و بقیه صرفاً تكثیر میشوند. با توجه به این مطلب این پرسش مطرح است كه چرا ویروسها به عنوان یك معضل شناخته میشوند و باید با آنها مبارزه كرد؟ پاسخ به این پرسش در موارد زیر خلاصه گردیده است:
۱ ـ بسیاری از ویروسها دارای اثراتی هستند كه هرچند تخریبی نمیباشد ولی میتواند برای كاربر ایجاد مزاحمت كند. مثلاً ممكن است پیغامی نمایش دهد، باعث ریزش حروف صفحه نمایش به پایین شود یا اینكه یك آهنگ پخش نماید. علاوه بر این برخی از ویروسها به علت اشكالات نرمافزاری كه ناشی از عدم دقت ویروسنویس میباشد، ممكن است دارای اثراتی غیرقابل پیشبینی باشند كه گاهی این اثرات میتوانند تخریبی نیز باشند. از نقطه نظر كاربر اهمیتی ندارد كه خسارت ایجاد شده بوسیله یك ویروس، یك كار عمدی پیشبینی شده توسط نویسنده ویروس بوده باشد یا یك اشتباه برنامهنویسی.
۲ ـ برخی از ویروسها در حافظه كامپیوتر مقیم شده و از این طریق عملیات تكثیر خود را انجام میدهند. این عمل ممكن است به گونهای باشد كه جایی برای اجرای برنامههای دیگر نماند و یا باعث ایجاد تأخیر یا وقفه در حین عملیات سیستم اعم از اجرای برنامهها و یا راهاندازی كامپیوتر گردد.
۳ ـ فرض كنید كه شما یك ویروس بر روی كامپیوتر خود داشته باشید. بسیار احتمال دارد كه این ویروس به صورت غیرعمدی به یك دوست، همكار یا مشتری منتقل شود كه این امر ممكن است باعث از بین رفتن اعتماد آنها به شما و شركت شما شود.
۴ ـ ویروسها و برنامههای مخرب زیادی وجود دارند كه اقدام به سرقت اطلاعات و كلمات عبور كاربر مینمایند. بعضی از اینگونه برنامهها با مقیم شدن در حافظه از عباراتی كه توسط شما تایپ میشود گزارش گرفته و پس از اتصال رایانه شما به اینترنت این اطلاعات را برای مقصد خاصی ارسال میكنند. گیرنده این اطلاعات میتواند به راحتی از آنها سوء استفادههای مختلفی نماید.
علاوه بر همه اینها هیچ ویروسی كاملاً بیضرر نیست و در خوشبینانهترین حالت، آنها وقت شما، وقت پردازنده و فضای دیسك شما را تلف میكنند.
در مورد اثرات تخریبی ویروسهایی كه آنها را به صورت عمدی انجام میدهند میتوان به موارد زیر اشاره نمود:
• تخریب یا حذف برنامهها و اطلاعات بخشهای مختلف دیسكها.
• فرمت كردن دیسكها.
• كد كردن اطلاعات و برنامهها.
• تخریب اطلاعات Flash ROM ها.
مزاحمتهای فوق ممكن است به محض فعال شدن ویروس (یعنی قرار گرفتن ویروس در حافظه از طریق اجرای یك برنامه آلوده) و یا در یك تاریخ و زمان خاص و یا حتی با اجرای یك برنامه كاربردی خاص انجام شود.
انواع ويروس ها
ارائه یك تقسیمبندی دقیق از ویروسها كار مشكلی است و میتوان ویروسها را به روشهای مختلفی تقسیمبندی كرد. این روشها میتواند بر اساس میزبان ویروس، سیستم عاملی كه ویروس میتواند در آن فعالیت كند، روش آلودهسازی فایل و ... باشد. در زیر به برخی از این روشها اشاره میكنیم :
تقسیم بندی ویروسها بر اساس مقصد آلودهسازی:
۱ ـ ویروسهای فایلی (File Viruses) :
ویروسهای فایلی، معمولاً فایلهای اجرایی را آلوده میكنند. فایلهای آلوده به این نوع از ویروسها اغلب (اما نه همیشه) دارای پسوند .com یا .exe هستند.
۲ ـ ویروسهای ماكرو (Macro Viruses) :
ویروسهای ماكرو، مستندات برنامههایی را كه از امكان ماكرونویسی پشتیبانی مینمایند (مانند MS Word ، MS Excel و...) آلوده میكنند. فایلهای اینگونه برنامهها اجرایی نیستند ولی درون آنها قسمتهایی اجرایی به نام «ماكرو» وجود دارد كه میتواند میزبان مناسبی برای ویروسهای ماكرو باشد.
۳ ـ ویروسهای بوت و پارتیشن سكتوری (Boot Sector and Partition Table Viruses) :
اینگونه ویروسها سكتور راهانداز (Boot Sector) دیسك سخت و دیسكت فلاپی یا جدول بخشبندی دیسكهای سخت را آلوده میكنند. با راهاندازی سیستم از روی دیسكی كه به اینگونه ویروسها آلوده شده است، ویروس در حافظه مقیم شده و متعاقباً دیسكهایی را كه مورد دسترسی قرار گیرند، آلوده میكند.
۴ ـ ویروسهای اسكریپتی (Script Viruses) :
این ویروسها كه اسكریپتهای نوشته شده به زبانهای ویژوال بیسیك یا جاوا میباشند، تنها در كامپیوترهایی اجرا میشوند كه بر روی آنها Internet Explorer یا هر مرورگر وب دیگری با توانایی اجرای اسكریپتها، نصب شده باشد و فایلهای با پسوند .html ، .htm ، .vbs ، .js ، .htt یا .asp را آلوده میكنند.
ویروسها جدا از تقسیمبندی فوق، ممكن است در یك یا چند دسته از دستههای زیر نیز قرار بگیرند:
• ویروسهای مقیم در حافظه (Memory Resident Viruses) :
اینگونه ویروسها با مقیم شدن در حافظه، هنگام دسترسی به فایلهای دیگر، آنها را آلوده میكنند.
• ویروسهای مخفیكار (Stealth Viruses) :
اینگونه ویروسها به روشهای مختلف ردپای خویش را مخفی میكنند. به این معنی كه فایلهای آلوده به اینگونه ویروسها به گونهای نشان داده میشود كه یك فایل غیرآلوده جلوه كند. به عنوان مثال عموم ویروسها پس از آلوده كردن یك فایل، اندازه آن را افزایش میدهند و یا گاهی تاریخ و زمان ضبط فایل را عوض میكنند. اما ویروسهای مخفیكار میتوانند با روشهای خاص و بدون تغییر وضعیت ظاهری، عملیات خویش را انجام دهند.
• ویروسهای كدشده (Encrypting Viruses) :
این ویروسها پس از هر بار آلودهسازی، با استفاده از شیوههای خود رمزی شكل ظاهری خود را تغییر میدهند.
• ویروسهای چندشكلی (Polymorphic Viruses) :
اینگونه ویروسها با استفاده از الگوریتمهای خاص، علاوه بر تغییر شكل ظاهری خود، ساختار خود را نیز تغییر میدهند به طوریكه ممكن است جای دستورالعملها و حتی خود دستورالعملها نیز تغییر كنند.
• ویروسهای فعالشونده بر اساس رویداد خاص(Triggered Event Viruses) :
ویروسهایی هستند كه بخشی از عملیات تخریب خود را در ساعت و یا در تاریخ خاص انجام میدهند. البته باید توجه داشت كه تكثیر و آلودهسازی فایلها در تمام اوقات فعال بودن ویروس انجام میشود.
• برنامه هاي جاسوسي (Spyware) :
اين برنامه ها به صورت مستقيم داراي اثات تخريبي نمي باشند و وظيفه اصلي آنها جمع آوري اطلاعات از روي سيستم كاربر و تحت نظر قرار دادن اعمال كاربر هنگام كار با اينترنت مي باشد. اطلاعات مورد نظر اين برنامه پيدا كردن شماره كارت اعتباري، كلمه عبور شبكه، كلمه عبور E-mail (تحت وب) و ... مي باشد.
در نهايت اين اطلاعات جمع آوري شده طبق تنظيمات تعريف شده برنامه جاسوسي به مقاصد مورد نظر استفاده مي شود.
نشانه هاي وجود ويروس
معمولاً سیستمی كه به ویروس آلوده میگردد نشانههایی را از خود بروز میدهد كه با دقت در آنها میتوان به ویروسی بودن احتمالی سیستم پی برد. بعضی از این نشانهها در زیر آمده است. اما باید دقت داشت كه این نشانهها ممكن است در اثر عوامل غیرویروسی نیز ظاهر گردد. اما اگر كامپیوتر بطور عادی كار میكرده و ناگهان و بدون هیچگونه دستكاری، این علایم را از خود بروز میدهد، احتمال وجود ویروس بیشتر است:
۱ ـ سیستم در هنگام راهاندازی قفل میكند و احتمالاً پیغامهای غیرمعمول روی صفحه ظاهر میگردد.
۲ ـ هنگام اجرای برنامهها پیغام كمبود حافظه ظاهر شده و برنامه اجرا نمیگردد.
۳ ـ در كار چاپگر اختلال ایجاد میشود یا بدون هیچگونه فرمان چاپی شروع به كار میكند.
۴ ـ امكان دسترسی به برخی از درایوها وجود ندارد.
۵ ـ هنگام اجرای فایلها، پیغام File is Damaged یا File is Corrupted نمایش داده میشود.
۶ ـ هنگام اجرای یك فایل، كاراكترها و یا پیغامهای غیرعادی روی صفحه نمایش ظاهر میگردد.
۷ ـ هنگام كار در محیطهای گرافیكی، تصاویر به هم میریزد.
۸ ـ اصوات غیرمعمول یا موزیك از بلندگوهای كامپیوتر پخش میشود.
۹ ـ سیستم هنگام اجرای یك برنامه قفل كرده و حتی گاهی فشردن كلیدهای Ctrl+Alt+Del نیز نمیتواند سیستم را دوباره راهاندازی كند.
۱۰ ـ اطلاعات بخشی از دیسك سخت و یا تمام آن بطور ناگهانی از بین میرود یا دیسك سخت ناخواسته فرمت میشود.
۱۱ ـ اندازه فایلهای اجرایی افزایش مییابد.
۱۲ ـ خواص فایلهای اجرایی تغییر میكند.
۱۳ ـ سرعت سیستم بطور نامحسوسی كاهش مییابد.
۱۴ ـ اطلاعات Setup كامپیوتر از بین میرود.
۱۵ ـ برنامهها مراجعاتی به دیسكت انجام میدهند كه قبلاً انجام نمیدادند.
۱۶ ـ كاهش فضای خالی دیسك بدون اینكه فایلی اضافه شده و یا به محتوای فایلها افزوده شده باشد.
۱۷ ـ نرمافزارهای مقیم در حافظه با خطا اجرا شده یا اصلاً اجرا نمیشوند.
۱۸ ـ بعضی برنامهها سعی در برقراری ارتباط با اینترنت را دارند.
۱۹ ـ هنگام كار با اینترنت مقدار ارسال و دریافت اطلاعات ناخواسته افزایش یافته و سرعت به شدت افت میكند.
۲۰ ـ نامههای الكترونیكی ناخواسته از روی سیستم ارسال شده و یا دریافت میگردد.
10- بد افزار ها ديگر
به غیر از ویروسها برنامههای خطرناك دیگری نیز وجود دارند كه نرمافزارهای ضدویروس وظیفه دارند اینگونه برنامهها را نیز شناسایی كنند. مهمترین تفاوتی كه بین این برنامهها و ویروسها وجود دارد اینست كه بر خلاف ویروسها این برنامهها نمیتوانند خود را از طریق یك میزبان تكثیر نمایند. از مهمترین این برنامهها میتوان به موارد زیر اشاره كرد:
• كرمهای اینترنتی (Worm):
این برنامهها كه امروزه بیشترین میزان آلودهسازی را به خود اختصاص دادهاند، فایلهای دیگر را آلوده نمیسازند بلكه خود را به صورت یك فایل مجزا بر روی سیستم كاربر كپی میكنند. كرمها معمولاً از طریق ضمایم نامههای الكترونیكی، حفرههای امنیتی سیستم عامل Windows نظیر حفره موجود در RPC و ... منتشر میشوند.
• ترویاها (Trojan):
ترویاها كه نام خود را از داستان معروف اسب تروا گرفتهاند به هیچ وجه امكان تكثیر نداشته و معمولاً به وسیله ویروسها یا كرمهای اینترنتی دیگر بر روی سیستم كاربر قرار داده میشوند. اینگونه برنامهها معمولا دارای اثرات تخریبی هستند.
• جاسوسافزارها (Spyware):
اینگونه برنامهها مستقیماً دارای اثر تخریبی نمیباشند و وظیفه آنها جمعآوری اطلاعات از روی سیستم كاربر و نیز تحت نظر قرار دادن اعمال وی هنگام كار با اینترنت میباشد. در نهایت این اطلاعات برای مقاصد خاص فرستاده میشود تا از آنها جهت اهداف تجاری و تبلیغی استفاده گردد.
اطلاعات مورد نظر اين برنامه پيدا كردن شماره كارت اعتباري، كلمه عبور شبكه، كلمه عبور E-mail (تحت وب) و ... مي باشد.
در نهايت اين اطلاعات جمع آوري شده طبق تنظيمات تعريف شده برنامه جاسوسي به مقاصد مورد نظر استفاده مي شود. البته بعضي از شركت هاي تبليغاتي و تجاري نيز جهت حصول به اهداف خود از اين برنامه ها استفاده مي كنند.
• یرنامههای تبلیغاتی (Adware):
اینگونه برنامهها همانند جاسوسافزارها دارای اثر تخریبی نمیباشند و وظیفه آنها باز کردن صفحات خاص اینترنتی جهت اهداف تجاری و تبلیغی است .
• جكها(Joke):
جكها برنامههایی هستند كه ادعا میكنند در حال انجام عملیاتی تخریبی بر روی سیستم شما میباشند ولی در واقع اینگونه نبوده و كار آنها چیزی جز یك شوخی ساده نمیباشد. متأسفانه برخی كاربران به سادگی تحت تأثیر جكها قرار گرفته و با تلاش برای از بین بردن چیزی كه مخرب نیست باعث ایجاد تخریب بیشتری میشوند.
• شوخیهای فریبآمیز (Hoax):
این برنامهها با سوء استفاده از كم بودن اطلاعات تخصصی كاربران، آنها را فریب داده و با دستورات و توصیههای اشتباه باعث میشوند كه كاربر شخصاً كاری تخریبی بر روی سیستم خود انجام دهد. به عنوان مثال وانمود میكنند كه فایلی خاص در مسیر سیستم عامل یك برنامه خطرناك است و باید توسط كاربر حذف شود. غافل از اینكه این فایل سیستمی بوده و برای عملكرد درست سیستم عامل، وجود آن لازم است.
• شمارهگیرها (Dialer):
اینگونه برنامهها وظیفهشان ارتباط دادن كاربر از طریق خط تلفن به سرورهایی در دیگر كشورها برای دسترسی مستقیم به اطلاعات آنها میباشد. این سرورها معمولا مربوط به سایتهای غیراخلاقی بوده و برقراری ارتباط با آنها از طریق خط تلفن باعث هزینه بسیار زیاد مالی میگردد.
• Rootkit ها :
بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمی توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس ها یا کرمهای اینترنتی یا نوع استفاده از ﺁنهاست که به ﺁنان ماهیتی خطرناک می بخشد. به عنوان یک تعریف میتوان گفت که Rootkit ابزاری نرم افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. Rootkit ها اغلب در سطح سیستم عامل فعالیت کرده و با تغییراتی که در سیستم عامل یا منابع ﺁن انجام می دهند، به مقاصد خود دست پیدا می کنند. به علت قابلیت پنهان سازی قوی اینگونه برنامه ها، شناسایی ﺁنها یا برنامه هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از Rootkit ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می نمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیت های مخرب خود به دور از چشم کاربر ادامه میدهد
• Downloader ها :
کار اینگونه برنامه ها Download کردن بد افزار ها و اجرای آنها است
• کلیک کننده ها (Adclicker) :
اینگونه برنامهها لینک صفحهات تبلیغاتی را دنبال نموده و به این طریق حالت کلیک شدن بر روی آن صفحه تبلیغاتی خاص را شبیه سازی می کنند و باعث بالا رفتن hit آن می شوند.
• Backdoor ها :
Backdoor ها ابزاری برای نفوذگرها هستند که به وسیله آنها می توانند سیستم های دیگر را در کنترل خود درآورند .Backdoor ها درون شبکه، پورت های TCP یا UDP را باز می کنند و شروع به گوش کردن نموده تا دستورات نفوذگرها را اجرا کنند. Backdoor ها از جهت نداشتن قابلیت تکثیر شبیه ترویاها هستند.
• پسورد دزد ها (Password-Stealer) :
اینگونه برنامه ها که نوعی ترویا هستند کارشان دزدی پسورد از روی سیستم ها و ارسال آنها برای نفوذگرها است.
• Exploit :
کد های مخربی هستند که با استفاده از آسیب پذیری های یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم می کنند.
• Keylogger :
اینگونه برنامه ها با قرار گرفتن در حافظه از کلید های زده شده توسط کاربر گزارش گرفته و در قالب یک فایل برای نفوذگر می فرستند..
نگهداري نسخه پشتيبان (backup) از اطلاعات :
مهمترین اقدامی كه میتوانید در مقابل هرگونه از دست دادن اطلاعات انجام دهید، گرفتن نسخههای پشتیبان به صورت مرتب از آنها میباشد. اگر شما از اطلاعات خود به صورت مرتب پشتیبان تهیه نكنید، احتمال ضرر و زیان بسیاری وجود دارد. به یاد داشته باشید كه نسخههای پشتیبان خود را بطور مكرر بررسی كنید و اطمینان حاصل نمایید كه میتوانید اطلاعات خود را از آنها بازیابی كنید. مطمئن شوید كه از تمامی فایلهای مهم خود بر روی دیسكت یا هر رسانه دیگری كپیهای سالمی دارید. همه دیسكتهای پشتیبان و دیسكتهای راهاندازی شما باید در حالت Write protect باشند.
بمب هاي ساعتي (Logic Bomb):
يكي از مخرب ترين گونه هاي برنامه هاي مخرب، بمب هاي ساعتي مي باشد كه شناسايي آنها بسيار مشكل است. اين برنامه هاي مخرب عمليات خود را به محض ورود به سيستم شروع نمي كنند، بلكه در گوشه اي در كمين مي نشينند و در زمان مناسب با شرايط تعيين شده براي آن همانند يك بمب ساعتي عمل مي كنند و شما را غافلگير مي كنند. بعضي از اين برنامه ها بعد از انفجار به خواب رفته و در كمين بوجود آمدن شرايط مجدد انفجار مي مانند متاسفانه شما هنگامي متوجه اين بمب هاي ساعتي مي شويد كه كار از كار گذشته است.
بررسي منابع نرم افزاري
مطمئن شوید كه تمامی نرمافزارهای شما از یك منبع قابل اطمینان و مشهور بدست میآیند. بررسی كنید كه نرمافزار در بسته بندی اصلی و دستنخورده خودش باشد. حتیالامكان از نرمافزارهای كپی شده و ثبت نشده استفاده نكنید. زیرا ممكن است كپی نرمافزار، شما را در معرض آلودگی ویروسی قرار دهد.
نرمافزارها میتوانند از طریق پورتهای ارتباطی وارد كامپیوتر شما شوند. هنگامی كه نرمافزاری را به كامپیوترهای دیگر و شبكهها میفرستید یا از آنها دریافت میكنید و هنگامی كه فایلها را از اینترنت دریافت میكنید، بسیار مراقب باشید..
از بين بردن نامه هاي الكترونيكي ناخواسته
امروزه بسیاری از كرمهای اینترنتی و ویروسها خود را از طریق ارسال نامههای الكترونیكی منتشر میكنند. آنها متن و عنوان نامهها را طوری انتخاب میكنند كه كاربر به باز كردن و خواندن نامهها ترغیب شود. لذا اغلب كاربران اینگونه نامهها را باز نموده و دچار آلودگی میشوند. لذا هنگام خواندن نامههای خود، از باز كردن و خواندن هرگونه نامهای كه انتظار دریافت آن را نداشته اید، حتی اگر از طرف شخصی آشنا باشد، خودداری نموده و آن نامه را پاك كنید.
استفاده از نرم افزارهاي ضدويروس و امنيتي و به روزنگه داشتن آنها
استفاده از نرمافزارهای ضدویروس و نیز نرمافزارهای امنیتی و فعال نمودن گارد آنها بر روی سیستم معمولاً از ورود ویروسها به سیستم جلوگیری نموده و احتمال آلوده شدن به ویروسها را به طور چشمگیری كاهش میدهد. به روز نگاه داشتن اینگونه نرمافزارها نیز باعث ایجاد امنیت در مقابل ویروسهای جدیدتر میگردد.
معيار هاي انتخاب آنتي ويروس
مهمترين وظيفه يك ضد ويروس شناسايي ويروس ها است. اما چگونه بايد مطمئن شويم كه يك ضد ويروس همان كاري را كه ادعا مي كند انجام مي دهد؟
آيا همين قدر كه برنامه ضد ويروس يك گزارش مبني بر شناسايي ويروس ها توليد مي كند متقاعد مي شويد كه كار خود را به خوبي انجام مي دهد؟ پيدا كردن جواب دو سوال زير سوال مي تواند به شما كمك كند:
1- نرم افزار ضد ويروس قادر است چه تعداد ويروس را مورد شناسايي قرار دهد.. از اين پارامتر عموما با نام detection Rate ياد مي شود.
2-نرم افزار ضد ويروس تحت چه شرايطي مي تواند يك ويروس را شناسايي كند؟ آيا اگر اين ويروس در حافظه مقيم شده باشد توسط ضد ويروس قابل تشخيص است؟
3- امكانات
بسيار مهم است كه بدانيم چه نوع فناوري در ضد ويروس مورد نظر استفاده شده است و چه ويژگي هايي دارد.
1-سازگاري سخت افزاري و نرم افزاري سيستم شما با ضد ويروس انتخاب شده.
در نگاه اول شايد اين مساله كمي بديهي به نظر برسد. اما به هر حال برخي از فروشندگان آخرين نسخه نرم افزار ضد ويروس خود را كه تنها با جديد ترين سيستم عامل ها كار مي كنند، ارايه مي دهند. بنابر اين منطقي به نظر مي رسد كه قبل از اقدام به خريد نرم افزار حتما به اين نكته توجه كنيد.
2- توانايي پوشش (on-Access Real time) را داشته باشد.
اين يكي از ويژگي هاي اساسي است كه يك ضد ويروس مانند يك سگ نگهبان عمل كند. يعني همان موقع كه ويروس در حافظه بارگذاري مي شود ويروس را شناسايي و خنثي كند.
اين بخش نرم افزار بايد قادر باشد كه به تمام نواحي سيستم از جمله فايل سيستم، بوت ركورد و حافظه سركشي كنذ.
3- توانايي پويش به صورت on-demand را داشته باشد. يكي از كارهاي ضروري كه براي حفظ سلامت سيستم تان بايد انجام دهيد اين است كه هر از چند گاهي وضعيت سيستم خود را با اجراي ضد ويروس بررسي كند.مخصوصا هنگامي كه آخرين نسخه ضد ويروس را دريافت مي كنيد حتما اين كار را انجام دهيد.
نگهداري از ضد ويروس
دو مورد زير در نگهداري از نرم افزار هاي ضد ويروس قابل توجه هستند.
1- بروز كردن مداوم ضد ويروس براي مقابله با ويروس هاي جديد.
در بخش هاي قبل لزوم بروز نگه داشتن بانك اطلاعاتي ضد ويروس توضيح داده شد. بنابراين ضد ويروس منتخب شما بايد به گونه اي باشد كه به راحتي قابليت بروز شدن را داشته باشد و علاوه بر آن به طور مداوم ركوردهاي اين بانك اطلاعاتي زياد شود. شما همچنين بايد متوجه اين مطلب باشيد كه از چه مكانيزم هايي جهت بروز نگه داشتن ضد ويروس استفاده مي شود. آيا نسخه هاي بروز شده بر روي وب سايت فروشندگان قرار دارد؟ و آيا به راحتي قابل دريافت قابل دريافت مي باشد؟ و آيا شما به راحتي مي توانيد از وجود يك ويروس جديد آگاهي يابيد يا نه؟
اگر شما داراي ارتباط اينترنتي كم سرعتي باشيد دريافت كردن اين نرم افزار بسيار خسته كننده مي باشد. اين نكته نيز مهم است كه در هر بار انجام اين عمل بايد فقط قسمت بروز شده نرم افزار دريافت شود.
نكته ديگر اين كه، نويسندگان ضد ويروس ها چقدر سعي مي كنند تا روش هاي جديدي كه براي توليد ويروس ها استفاده مي شود بشناسند و در نرم افزار خود به كار گيرند؟
و نكته مهم تر اين كه از زمان خبر انتشار ويروس تا وقتي كه نرم افزار ضد ويروس براي اين ويروس بروز شود چقدر طول مي كشد؟
كرم ها، ويروس ها، اسب هاي تروا و ساير انواع برنامه هاي مخرب كه همراه با فايل هاي برنامه اي نامه هاي الكترونيكي و ... از روي CD، ديسك هاي فلاپي، ارتباط مستقيم با شبكه هاي محلي يا اينترنت و ... وارد كامپيوتر مي شوند، همه و همه تهديد كننده امنيت كامپيوترتان هستند. بسياري از اين برنامه ها با ايجاد Back Doorsعملا اجازه مي دهند كه Hackerها و يا افرادي كه قصد در كامپيوتر شما را به يغما ببرند. برخي ديگر از اين برنامه ها خود راسا دست به عمل زده و اطلاعات را به مقصد نامعلومي مي فرستند. البته كار فرستادن اطلاعات خيلي كند و با آهنگ آهسته اي انجام مي شود تا مورد توجه قرار نگيرند. برنامه هاي مخرب از هر نوع رده اي كه باشد از يك مساله سو استفاده مي كنند و آن وجود نقاط ضعف و bugهاي امنيتي در سيستم عامل ها و پروتكل ها و يا سرويس هاي مختلف است. نمونه اين ضعف مي تواند فرستاده شدن كلمه رمز عبور(Password) توسط پروتكل telnet باشد. برنامه طرف سرويس گيرنده (client) كه اقدام به telnet مي كند اسم رمز را به صورت غير رمز را به صورت غير رمز نگاري شده و يا اصطلاحا plain به سمت سرويس دهنده مي فرستد، حال اگر در بين راه يك نفر عمل sniff را انجام دهد به راحتي مي تواند اين اسم رمز را به دست آورد.
برخي از كاربران كامپيوتر تصور مي كنند كه اگر آخرين Patch ها و Update هاي سيستم عامل و برنامه هاي كامپيوترشان را تهيه و نصب كنند اين مشكل حل حل خواهد شد ، در صورتي كه اين عقيده خيلي درست نيست. مثلا اگر اين Patch ها يا Update ها بعد از آلوده شدن كامپيوتر نصب شوند معمولا فايده نداشته و برنامه هاي مخرب كماكان كار خود را ادامه خواهد داد. به عنوان مثالي براي اين نوع كرم ها مي توان به كرم MS Blaster و Update هاي شماره 824149 شركت ماكروسافت اشاره كرد كه براي رفع ضعف امنيتي سيستم عامل هاي ويندوز كه كرم Blaster از آن استفاده مي كند، اشاره كرد. اين Update ها فقط وقتي مفيد خواهد بود كه آنها را قبل از آلوده شدن سيستم بتوان نصب كرد. برنامه هاي فوق از آدرس :http://support.microsoft.com/?kbid=833330 در سايت ماكروسافت قابل تهيه مي باشد. يكي از جالب ترين نكاتي كه در ارتباط با اين كرم وجود دارد آن است كه بسياري از ديواره هاي آتشين (Fire Walls) اگر به درستي تنظيم شوند مي توانند جلوي شيوع اين كرم را بگيرند. يكي از نادرترين ديوارهاي آتيشيني كه نمي توانند جلوي اين كرم را بگيرد عبارت است از ICF مخفف (Internet Connention Firewall) كه همان ديواره آتشين موجود در ويندوز XP است. البته توجه داشته باشيد كه ديواره هاي آتشين اولين خط دفاعي كامپيوتر شما در برابر حملات هستند. ديواره دوم دفاعي نيز برنامه هاي ويروس ياب نظير پاندا، McAfee و يا آنتي ويروس نورتون، آويرا، ايمن مي توانند باشند. نكته منفي كه اينجا بد نيست به آن اشاره كنيم اين استكه تعداد قابل توجهي از كاربران به اين گونه برنامه اعتقاد زيادي نداشته و معمولا آنها را زايد تشخيص داده و نصب نمي كنند.
منابع
آزمايشگاه تحقيقات ويروس هاي رايانه اي ايمن:
Http://www.ImenAntiVirus.Com
دانشنامه آزاد ويكيپيا
سایر منابع معتبر