ویروس چیست؟ (قسمت 3)

ویروسها چگونه پخش می شوند :     راه های  بسیار زیادی برای انتقال ویروسها موجود می باشد كه یكی از آنها روش زیر می باشد : 1)     یك دیسك فلاپی كه دارای بوت سكتور ویروسی می باشد را درون كا...
بازدید :
زمان تقریبی مطالعه :

ویروسچیست؟ (قسمت 3)

ویروسها چگونه پخش می شوند :

    راه های  بسیار زیادی برای انتقال ویروسها موجود می باشد كه یكی از آنها روش زیر می باشد :

1)     یك دیسك فلاپی كه دارای بوت سكتور ویروسی می باشد را درون كامپیوتر قرار داده و كامپیوتر را خاموش می كنید

2)     هنگامی كه كامپیوتر را دوباره روشن می كنید دیسك هنوز در درایو A: موجود می باشد پس بوت سكتور ویروس آن فعال  می گردد

3)     ویروس یك كپی از خود را درون بوت سكتور هارد كامپیوتر ذخیره كرده بدین ترتیب دیگر هیچ نیازی به وجود دیسك نخواهد بود!!

4)     هر بار كه دیسكتی را درون درایو A: قرار می دهید ویروس در بوت سكتور دیسكت كپی می گردد.

5)     سرانجام این دیسكت را به دوست یا همكار خود غرض می دهید.

6)     این چرخه از كامپوتری به كامپیوتر دیگر ادامه پیدا كرده و ...

 البته نیاز به  یادآوری نیست كه مطالب فوق تنها جهت كسب اطلاع و آشنایی شما با پخش ویروس ها است. از این رو از بكار بردن آن بطور عملی جداً خود داری كنید. زیرا ممكن است علاوه بر آسیب رسیدن به سیستم خودتان دیگران را نیز با مشكل مواجه كنید.

نكته : مواظب Autorun سی دی ها باشید چون آنها هم مثل بوت سكتور فلاپی عمل می كنند و تنها با گذاشتن Cd در CD ROM ممكن است آلوده بشوید برای حل این مشكل هنگامی كه Cd  را در درایو قرار دادید برای اجرا نشدن Autorun باید كلید Shift را پایین نگه دارید تا اجرا نشود بعد Cd  را با یك آنتی ویروس اسكن كنید.

نحوه مخفی شدن ویروسها و نحوه اطلاع ما از وجود ویروس :

  ویروس كامپیوتری معمولاً برنامه ای كوتاه می باشند كه خود را ضمیمه یك برنامه دیگر مثلاً پردازشگر Word می كند . رفتار این ویروسهای كامپیوتری كاملاً شبیه به ویروس آنفولانزا است،  كه پس از وارد شدن به بدن شروع به تكثیر كرده و در صورت نبودن مراقبت لازم سیستم دفاعی بدن را از كار می اندازد .

حجم یك ویروس كامپیوتری می تواند تنها 90 بایت بوده كه حتی از طول این پاراگراف كه با احتساب فضای خالی تنها 191 بایت می باشد كوتاه تر است با این حال میانگین اندازه این ویروسها برابر 2000 كاراكتر می باشد.

هنگامی كه یك ویروس خود را به برنامه دیگری اضافه می كند در حقیقت سبب می شود تا آن برنامه افزایش حجم پیدا كند از آنجا كه این برنامه ها خود به خود حجیم نمی شوند پس می توان یكی از راههای از بین بردن این ویروسها یا پی بردن به وجود آنها را در كامپیوتر از طریق همین برنامه های حجیم شده تشخیص داد.

تمام این ویروسها دارای سه مشخصه اساسی زیر می باشند :

1-      روشی برای تكثیر و پخش خود در دیگر كامپیوترها.

2-      انجام دادن عملیاتی خاص در كامپیوتر (مثلا در تاریخی مشخص).

3-      از كار افتادن برنامه پس از انجام عملیاتی خاص از قبیل نمایش یك پیغام كاملا بی ضرر مانند         "Free Frodo" تا از بین بردن تمام محتویات هارد.

ویروسها بر حسب نحوه ورود به كامپیوتر به دو گروه مقدماتی تقسیم می شوند. گروه اول برنامه هایی هستند كه دارای پسوندهای .EXE ,.SYS ,و یا COM بوده و می توانند از طریق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طریق دیگر برنامه های فرعی وارد كامپیوتر شده و یكی از اهداف آنها آسیب رساندن به بوت سكتورها (Boot Sector) است. هر دیسك از چند هارد درایو و یك بوت سكتور كه برنامه های اجرایی كامپیوتر را در بر می گیرد تشكیل شده است و ویروسها به راحتی می توانند در این مكانها ذخیره شوند.

ویروسی كه در یك برنامه پنهان شده است با هر بار اجرای برنامه راه اندازی می شود بطور مثال اگر ویروس همراه برنامه Word شما باشد با هر بار استفاده ،ویروس موجود در آن راه اندازی می شود. در صورتیكه ویروس هایی كه درون بوت سكتورها ذخیره شده باشند با هر بار روشن شدن كامپیوتر فعال می شوند فرض كنید یك دیسك را قبل از روشن كردن كامپیوتر درون درایو A: قرار داده اید با روشن كردن دستگاه بوت سكتور موجود در دیسك فعال شده و از طریق كامپیوتر خوانده می شود (همراه با ویروس موجود در آن).همچنین در صورتیكه هیچ دیسكتی درون درایو A: نباشد بوت سكتور موجود در درایو C: (همراه با ویروس موجود در آن)فعال می گردد.

یك ویروس ممكن است پس از فعال سازی درون حافظه RAM نفوذ كرده و به دیگر برنامه ها سرایت كند به طور مثال تعداد دفعات راه اندازی خود را محاسبه كرده و در صورتیكه این تعداد به رقم 100 رسید تمام اطلاعات كامپیوتر را پاك كند یا ممكن است حافظه RAM را از طریق تكثیر خود پر كرده و سرعت عملیاتی كامپیوتر را تا حد بالایی پایین بیاورد(این گروه از ویروسها كرم نامیده می شوند).

تاریخچه Love Bug سریعترین ویروس منتشر شده :

   بعد از Melissa در چهارم ماه می سال 2000 ویروس Love Bug توانست از طریق شركت خدماتی Sky Internet وارد شبكه شده و عنوان سریعترین انتشار را از آن خود بكند( البته این دو ویروس جز زیر مجموعه كرم ها Wormمی باشند)

   Love Bug از آن جهت موفق شد كه دارای زیركی خاص Social Engineering بود. این ویروس همانند Melissa خود را از طریق كامپیوتر یك دوست ارسال كرده با این تفاوت كه در قسمت Subject آن عبارت اغوا كننده ILOVEYOU تایپ شده و چشم پوشی از آن تا حدی غیر ممكن می نمود البته درون    E-Mail  نیز تا حدودی گمراه كننده بود و به راحتی سبب فریفتن كاربر می گشت :

“ Kindly check the attached LOVELETTER coming from me”

LOVE – LETTER – FOR – YOU.TXT.vbs

   این پیام دارای دو نكته بسیار گمراه كننده می باشد :.اول: استفاده از كلمه فریبنده LOVE و دیگری استفاده از پسوند .TXT با حرف درشت بود زیرا همانطور كه همه می دانید پسوند .TXT كاملا بی ضرر بوده و تنها با Notepadباز می گردد

   پسوند حقیقی این فایل .vbs بوده و تنها افراد ماهر می دانند كه این پسوند مربوط به Visual Basic Script می باشد و نشانگر برنامه بودن فایل بوده نه سند بودن آن .برنامه Love Bug متشكل از 311 خط می باشد كه علاوه بر سرعت فراوان در انتشار از قدرت تخریب بسیار بالایی نیز برخوردار بوده و طبق یك برایند توانست در حدود 300 میلیون كامپیوتر را مورد تجاوز خود قرار داده و خسارتی معادل 3 تا 10 میلیارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هیچ گونه آسیبی به فایلهای .DOC نرسانده بلكه فعالیت خود را متوجه فایلهای با پسوند .MP3 ,.JPG,.CSS,.WSH,.VBS,.SCR,.HTA,.MP2 نمود.

نحوه كار Love Bug بدین ترتیب بود كه پس از تغییرات اندكی در Registery آن را جستجو كرده و در صورت یافتن هرگونه رمز عبوری فعال آن را به آدرسی در فیلیپین ارسال (دیگر وجود ندارد) كرده و سپس چندین كپی از خود را به تمام آدرسهای موجود در Outlook Express می فرستاد پس از آن ابتدا Home Page اینترنت كاربر را  Resetكرده و پس از آن تمام فایلهای با پسوند ذكر شده را پاك و در عوض یك كپی از خود را در جای آنها قرار می داد.

لغات آسیب رسان نیستند:

   تا چند سال پیش خواندن E-Mail یا یك فایل .DOC برنامه Word كاملاً بی خطر بوده و نیز مطمئن بودید كه هیچ آسیبی متوجه شما نخواهد بود.در حالیكه اكنون فایلهای اطلاعاتی نظیر Excel , Word  و ... نیز توانایی حمل و انتقال برنامه را داشته و عملیات معینی را برای كامپیوتر تعریف می كنند . ویروسها نیز چیزی غیر از برنامه ها ولی با اهداف غیر اخلاقی نمی باشند. در حال حاضر برای اجرای برنامه ها نیازی به پسوند .EXE ندارید. تنها فعل خواندن یك فایل .DOC نیز می تواند ویروسی را وارد كامپیوتر كرده و فعال كند. یكی از انواع برنامه هایی كه درون فایل .Doc قرار می گیرد Macro ها می باشند تمام برنامه های اصلی مایكروسافت از جمله Word , Excel , Access  با زبان VBA كه همان زبان Macro ها می باشد نوشته می شوند .

آیا E-Mail های معمولی خطرناك هستند؟

همانطور كه می دانید یكی از راههای جلوگیری از ورود ویروسهایی مانند Melissa به كامپیوتر باز نكردن فایلهای ضمیمه E-Mail هایی می باشد كه انتظار آنها را نداریم اما آیا باز كردن  E-MAIL هایی كه هیچ فایل ضمیمه ندارند نیز خطرناك می باشد؟

متاسفانه بله . در حقیقت مشكل همان اسكریپت ها می باشند. اسكریپتها برنامه های كوچكی مانند Macro ها هستند كه توانایی بسیار اندكی دارند . به عنوان مثال بر خلاف Macro و دیگر زبانهای كامپیوتری زبان اسكریپت قدرت پاك كردن فایلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسیار معروف می باشند كه در هیچ كدام از آن دو  فرمانهایی كه بتواند به كامپیوتر خسارت بزند وجود ندارد با اینكه این زبانها خود به تنهایی نمی توانند هدف خاصی را درون خود قرار دهند پس نصیحت من به شما این می باشد كه هرگز از دست افراد غریبه سیبی را دریافت نكنید!!!

تكنیك Mata Hari : تله گذاری

یك تكنیك جالب استفاده شده در آنتی ویروس ها فرستادن یك برنامه درون كامپیوتر و جلب كردن توجه ویروسها می باشد این برنامه شرایط نفوذ ویروسها را در خود فراهم كرده و با بررسی مداوم برنامه از لحاظ افزایش حجم و ... به نفوذ برنامه ویروس پی می برد.

همانطور كه می دانید بعضی از فایلها دارای پسوند .EXE می باشند .EXE مربوط به فایلهای اجرایی مانند Winword.EXE می باشد كه تنها كاربردشان اجرا كردن برنامه ها می باشد یكی از راههای شناسایی ویروسها جستجو كردن فعالیتهای غیر عادی درون كامپیوتر می باشد یكی از این فعالیتها باز كردن و خواندن بوت سكتور و كپی كردن چیزهای جدید بر روی آها و فایلهای .EXE می باشد كه همگی جز فعالیتهایی غیر عادی تلقی می شوند.

شاخص بررسی برای تغییرات فایل :

عمومی ترین آنتی ویروس بررسی كننده فایل، بطور پیوسته ای تمام قسمتهای یك فایل كه توسط ویروس ها تغییر داده می شوند را امتحان كرده و هر گونه تغییری در سایز و اسم و تاریخ و Checksum هر فایل را شناسایی می نماید. یك ویروس به راحتی می تواند سایز , اسم و همچنین تاریخ یك فایل را ثابت نگاه دارد اما ثابت نگه داشتن Checksum یك فایل پس از انجام هرگونه تغییر جزئی  یا كلی بر روی برنامه بسیار مشكل می باشد.

Checksum چیست ؟ به خاطر بیاورید كه هر بایت یك برنامه عددی بین 0 و 255 می باشد بعضی از این كدها برای نشان دادن متن، بعضی برای ذخیره اطلاعات گروهی برای انجام عملیات محاسبه (جمع , ضرب ,هجی كردن لغات) و ... می باشند. با این حال همه آنها از اعدادی بین 0 و 255 تشكیل شده اند.

فرض كنید كه یك فایل ذخیره ای دارای 10 دستورالعمل 27 ,157 , 2 ,88 ,  240 ,240 , 8 , 99 , 201 , 84 می باشد. برای بدست آوردن Checksum مربوط به این فایل ارزش این كدها را با یكدیگر جمع كنید : Checksum بدست آمده این فایل مقدار 84+99+8+240+240+88+2+157+27 یا 1146 می باشد .

ویروس به راحتی می تواند بعضی از این كدها را تغییر دهد ولی امكان تغییر Checksum فایل در هنگام هرگونه جایگزینی بسیار زیاد می باشد پس به راحتی می توان به كمك Checksum هرگونه تغییری در فایل را ردیابی كرد. ولی مشكلاتی نیز وجود دارد، به خاطر بیاورید كهWord2000 دارای 8799232 بایت می باشد هر چقدر كامپیوتر ها نیز سریع باشند محاسبه مجموع این بایتها در برنامه های حجیم امروزی وقت زیادی می گیرد .

برگرفته از سایت

irsecure

مطالب مرتبط مجموعه :
آخرین مطالب سایت