اطلاعات اساسی در مورد ویروس
________________________________________
ويروس چيست؟
يک ويروس يک برنامه کوچک و انجام پذير است که قابليت آنرا دارد که کد خود را در قسمتهای مختلف يک کامپيوتر مثل هارد ديسک يا فلاپی کپی کند يا به فايل‌های اجرائی بچسباند. اين در حالی است که کاربر از وجود ويروس و اعمالی که انجام می‌دهد کاملا بی‌اطلاع است و هنگامی متوجه می‌شود که سيستم يا بايد Format شود و يا سرعت سيستم به شدت پايين آمده است.
هر ويروس خصوصياتی مخصوص به خود دارد. ويروسها راههای متفاوتی برای آلوده کردن سيستمها دارند که همين خصوصيت آنها را از ديگر ويروسها متمايز می‌کند. در زير طريقه جدا کردن ويروسها را از همديگر شرح می‌دهم:

الف) حجم: يک ويروس می‌تواند کوچکتر يا در حدود ۶۶ بايت باشد يا بزرگتر يا در حدود ۴۰۹۶ بايت باشد. در مقايسه با نرم‌افزارها يک ويروس بايد خيلی کوچک باشد.
ب) روش آلوده سازی: يک ويروس می‌تواند با روشهای متفاوتی برنامه ميزبان را آلوده کند. در زير سه روش که بيشتر مورد استفاده است شرح داده می‌شود:

ب(۱) overwriteکردن: زمانيکه يک ويروس با اين روش برنامه‌ای را آلوده می‌کند، بسادگی يک کپی از کد خود را در بالای کد برنامه ميزبان می‌نويسد اين روش خيلی ساده بوده و در ويروسهای اوليه بکار گرفته می‌شد. در اين روش فايل ميزبان به احتمال زياد خراب می‌شود و از کاربر از ديسک پشتيبان فايل را فراخوانی می‌کند. در اين روش تاريخ تغييرات فايل عوض می‌شود اما حجم همانطور باقی می‌ماند در اين روش توابعی که برنامه بايد انجام دهد زياد می‌شود و سرعت اجرای برنامه اصلی (اگر خراب نشده باشد) کاهش پيدا می‌کند.

ب(۲) الصاق کردن: اين روش کمی پيچيده‌تر است. ويروس خود را به انتهای فايل ميزبان الصاق می‌کند و سرخط برنامه را اصلاح می‌کند در هنگام اجرای برنامه، برنامه ابتدا به قسمتی که کد ويروس قرار دارد رفته، دستورات ويروس را اجرا کرده و بعد برگشته و به اجرای برنامه ميزبان می‌پردازد. در نظر کاربر برنامه به صورت نرمال اجرا می‌شود اما ايراد اين روش اين است که حجم فايل افزايش می‌يابد. بعضی از ويروسهای الصاقی تشخيص نمی‌دهند که فايل قبلا ويروسی شده است يا نه و دوباره و چندباره فايل را آلوده می‌کنند و اين باعث می‌شود که حجم فايل رشد قابل ملاحظه‌ای کرده و در انتها فايل ديگر غيرقابل استفاده می‌شود.

ب(۳) آلوده کننده‌های ديسک: ويروسهای ديگر رکورد بوت (بوت سکتور) ديسک يا جدول پارتيشن را آلوده می‌کنند. اين رکورد قسمتی از ديسک است که هنگام راه‌اندازی سيستم بصورت اتوماتيک خوانده می‌شود اين يعنی بعد از راه‌اندازی سيستم ويروس در حافظه قرار می‌گيرد!
ج) (terminated and stay resident) يا TSR: يک ويروس که ممکن است مقيم در حافظه باشد يا با اجرای يک برنامه خاص در حافظه بار شود. هنگامی که ويروس مقيم در حافظه شد هر زمان و هر فايلی را که بخواهد آلوده می‌کند. تمام ويروسهائی که جدول پارتيشن يا بوت سکتور را آلوده می‌کنند جزو TSRها هستند.

د) مخفی‌شدن: بعضی از ويروسهای TSR از تکنيکی ماهرانه استفاده می‌کنند چنانچه هيچ کار سيستم عجيب به نظر نمی‌رسد گويا اصلا ويروسی در سيستم نيست! موقعی که کاربر يک ليست از پوشه‌ها می‌گيرد ويروس از خوانده شدن صحيح ديسک جلوگيری می‌کند انگار نه انگار که چيزی در سيستم تغيير کرده چون يک کپی از محتويات ديسک را قبل از آلوده شدن به کاربر نشان می‌دهد. به همين دليل پيدا کردن ويروسهائی که مقيم در حافظه شده‌اند تقريبا غيرممکن است.

ويروسهايی که بوت سکتور را آلوده می‌کنند ممکن است مخفی شونده باشند. تنها راه مطمئن برای شناسائی اين ويروس‌ها اين است که ابتدا سيستم را با يک فلاپی (که از ويروسی‌ نبودن آن مطمئن هستيم و در حالت محافظت شده از نوشتن است) بالا آورده و ديسک سخت را ويروس‌کشی کنيم.

هـ) نحوه فعال شدن و نتايج: ديگر ناحيه برای سوا کردن ويروسها از همديگر نحوه فعال شدن، نتايج آن و نحوه غيرفعال شدن آنهاست. بعضی از آنها در تاريخ معينی فعال می‌شوند. بعضی ديگر با اجرا شدن برنامه‌ای خاص اجرا می‌شوند و بعضی ديگر هنگامی خود را نمايان می‌کنند که ديگر فايلی برای آلوده کردن نمی‌يابند (يعنی همه فايلها آلوده شده‌اند!)

هر وقت که يک ويروس فعال می‌شود فعاليت‌هايی را که برايش معين شده است انجام می‌دهد که اينها را نتايج فعال شدن می‌ناميم. نتيجه‌ای که ممکن است ساده و بی‌ضرر باشد مانند نشان دادن يک پيغام يا بدانديشانه باشد و هارد سيستم را تبديل به يک آشغال‌دونی بکند. بديهی است که هرکس می‌خواهد قبل از اينکه ويروس فعال شود آن را بيابند.

۹(۳) از چه راههائی ممکن است سيستم ويروسی شود؟
مثل ويروس ايدز چرنديات زيادی در مورد ويروسهای کامپيوتری وجود دارد که می‌گويند کدام ويروس می‌تواند سيستم شما را آلوده کند. طوری ما را از آنها می‌ترسانند که با فهميدن ويروسی شدن سيستم حالمون خراب می‌شود.

سيستم زمانی ويروسی می‌شود که شما يک فايل اجرائی را که ويروسی شده است اجرا می‌کنيد يا قصد بوت کردن از روی يک ديسک آلوده می‌کنيد. سيستم شما با نگاه کردن به يک فايل ويروسی، ويروسی نمی‌شود مگر اينکه سيستم‌عامل خود را طوری تنظيم کنيد که اعمالی خاص را هنگام ديدن فايلهای خاص انجام دهد مثلا windows script host اجرای ويروسهای vbs. را ساده می‌کند. يک ويروس فقط فايل‌هائی را می‌تواند ويروسی کند که قابليت اجرا شدن داشته باشند يا سيستم عامل اجازه اجرا خودکار به آن فايل خاص دهد مانند .scr. bin . drv . sys . ovl . com . exe. و … و جدول پارتيشن و بوت رکورد فلاپی يا ديسک سخت.

اشاره کردم که قصد کنيد از روی يک فلاپی آلوده سيستم را بوت کنيد. حتی زمانيکه شما اين اقدام به اين کار می‌کنيد و سيستم پيغام می‌دهد که فلاپی قابليت بوت کردن ندارد و شما آنرا درآورده و از هارد سيستم را بوت می‌کنيد بازهم سيستم ويروسی می‌شود. اين خيلی مهم است يعنی لازم نيست که شما با موفقيت از روی يک فلاپی آلوده بوت کنيد تا ويروس فعال شود. اولين کاری که ويروس انجام می‌دهد آلوده کردن درايو :c است. بعد که يک ديسک در فلاپی می‌گذاريد آنرا نيز آلوده می‌کند. به همين دليل است که نبايد هيچ ديسکی در فلاپی باقی بماند و چرا بايد فلاپی ها را در مقابل نوشته شدن محافظت کنيم.

و اما جمع‌بندی مطالب بالا:
الف) سيستم زمانی ويروسی می‌شود که شما يک فايل اجرائی را اجرا می‌کنيد. هر چند ممکن است آن فايل اجرا نشود اما مطمئن باشيد ويروس اجرا می‌شود.
ب) سيستم زمانی ويروسی می‌شود که شما اقدام به بوت کردن از روی يک ديسک آلوده می‌کنيد هر چند بوت کردن با موفقيت انجام نشود.

ج) بوت سرد می‌تواند ويروس را از حافظه بيرون اندازد اما بوت گرم نه، پس زمانی که می‌خواهيد سيستم را ری‌بوت و سپس ويروس‌کشی کنيد با دکمه power اين کار را انجام دهيد نه با سه کليد Ctrl+Alt+Del.
د)‌ سيستم شما به صرف اينکه شما به يک ديسک يا برنامه آلوده نگاه می‌کنيد ويروسی نمی‌شود .
هـ) سيستم شما با يک فايل داده مثل txt. هيچوقت آلوده نمی‌شود مگر اينکه برنامه‌های ديگر يک فايل اجرائی را به اين نام تغيير نام داده باشند که اين هم وقت‌گير است و زياد مورد توجه ويروس‌نويس‌ها نيست. در ضمن سيستم را طوری تنظيم کنید که پسوند تمام فايلها را نشان دهد شايد متوجه شوید که فايل ويروس چنين است pic1.jpg.exe و تمام فايلهای اجرائی جديد را قبل از اجرا با نرم‌افزارتان چک کنيد و هيچوقت يک ديسکت را در فلاپی ديسک باقی نگذاريد.

۹(۴) با چه علائمی می‌توان فهميد سيستم ويروسی شده است؟
بعضی چيزها و علائم هستند که از روی آنها می‌توان فهميد سيستم ويروسی شده است حتی با وجود اينکه نرم‌افزار ضد ويروس سيستم را سالم می‌داند باز هم به آن اعتماد ۱۰۰٪ نکنيد خيلی از ويروس‌ها حتی اين نرم‌افزارها را نيز اسير خود می‌کنند. و اما علائم از اين قرارند:
الف) فايلهای exe و com رشد می‌کنند و حجم‌شان زياد می‌شود پس سيستم يک ويروس الصاقی دارد.

ب) برنامه‌هايی که اجرايشان می‌کنيم بدرستی اجرا نمی‌شوند و با چند پيغام خطا که برای ما تازگی دارند از ادامه کار باز می‌ماند. اين علامت يک ويروس overwrite است بعضی از پيغام‌های خطای معمول چنين است “unknown command” يا “حجم برنامه زياد است و در حافظه جای نمی‌گيرد” و يا پيغامهای شبيه اينها، اينها بايد شما را نسبت به سيستم مشکوک کند.

ج) تغييرات مشکوک در پوشه‌ها. اگر شما برنامه را اجرا می‌کنيد و متوجه می‌شويد شما به يک پوشه ديگر انتقال يافته‌ايد يعنی يک ويروس شروع به شکار فايلها در پوشه برنامه شما کرده است.
د) کاهش در حافظه سيستم. شما بايد بدانيد معمولا چقدر فضای آزاد در حافظه سيستم‌ داريد، اگر اين عدد کاهش پيدا کند پس يک ويروس TSR در سيستم‌تان زندگی می‌کند! اما اين هميشه کارگر نيت چون بعضی از ويروسها مقدار زيادی از حافظه را اشغال نمی‌کنند.

هـ) پيغامهای خطای مشکوک CHKDSK. ويروسهای نهان باعث می‌شوند شما پيغام خطای CHKDSK بگيريد زيرا آنها اطلاعات CHKDSK را تغيير می‌دهند. اگر شما در اين وضعيت CHKDSK /f کنيد خطر بزرگی ساختمان پوشه‌هايتان را تهديد می‌کند در صورتی که در وضعيت عادی چنين خطری وجود ندارد.
و) پائين آمدن سرعت در عمليات سيستم. در اين حالت مدت زمان اجرای برنامه‌ها افزايش می‌يابد.
۹(۵) چگونه می‌توان از سيستم خود در برابر ويروسها محافظت کرد؟
الف) در فاصله زمانی معين از فايلهای حساس خود back up بگيريد.
ب) خيلی از برنامه‌ها مثل NU می‌توانند برايتان يک ديسک نجات تهيه کنند تا در موارد حساس از آن استفاده کنيد اين ديسک را تهيه کرده، write protect کرده و در يک جای امن نگهداری کنيد. در آن ديسک يا يک ديسک ديگر يک ويروس‌کش کم حجم را ذخيره کنيد.
ج) اطلاعات خود را در مورد ويروسها افزايش دهيد و بيشتر با آنها و اعملشان آشنا شويد هيچ برنامه‌ ضدويروسی به اندازه انسان هوشمند نيست.

د) از برنامه‌های قوی ضدويروس استفاده کنيد (از هيچ چيز که بهترند). اما هميشه به آنها اعتماد نکنيد!
منبع: یادم نیست
__________________