ويروس‌هاي كامپيوتري

چكيده:

يك ويروس، يك برنامه كامپيوتري است كه هنگام اجراي يك برنامه، به اجرا درمي‌آيد. بنابراين فقط فايل‌هاي اجرايي مي‌توانند آلوده شوند. اين فايل‌ها در MSDOS معمولاً داراي پسوند EXE،COM ، BAT و يا SYS هستند. بنا به تعريف، ويروس ساير برنامه‌ها را با نسخه‌هايي از خودش آلوده مي‌كند. ويروس توانايي تكثيرشدن دارد، پس در جستجوي مداوم براي محيط‌هاي ميزبان جديد براي توليد مثل مي‌باشد . بي‌خطرترين ويروس‌ها، فقط تكثير مي‌شوند و در سيستم‌هاي جديد گسترش مي‌يابند، اما برنامه ويروس ممكن است ساير برنامه‌ها را تخريب يا داده‌ها را مختل كند. شايد در اين ضمن خودش نيز تخريب شود. تنها شواهد چنين ويروس‌هايي، تخريبي است كه در

سيستم‌هاي آلوده شده ايجاد مي‌كنند. اين امر ايجاد سد دفاعي در مقابل ويروس را بسيار مشكل مي‌كند.
ويروس‌ها مي‌توانند بلافاصله پس از ورود به يك دستگاه، مخرب شوند و يا مي‌توانند برنامه‌ريزي شوند تا زمان خاصي شروع به فعاليت كنند. نوع ديگري از ويروس منتظر است تا يك توالي خاص رايج از ضربات روي شاسي‌هاي صفحه كليد اجرا شود. از آن بدتر، حتي اگر بنظر برسد يك دستگاه آلوده، پاكسازي شده است، نوع بد خيمي از اين ويروس وجود دارد كه مي‌تواند مجدداً ظاهر شود و مشكلات تازه‌اي به وجود آورد.

مقدمه

برنامه‌هاي كامپيوتري شوخي‌آميز و گاهي مخربي كه ويروس خوانده مي‌شوند و به نظر مي‌رسد با سرعت الكترون‌هاي متحرك سير مي‌كنند، مانند يك بلاي غيرقابل كنترل در جامعه جهاني كامپيوتر انتشار يافته‌اند. برنامه‌هاي ويروس، كه براي دست انداختن ديگران يا خرابكاري عمدي نوشته مي‌شوند، با استفاده مشترك از نرم‌افزارهاي آلوده به ويروس توسط اپراتورهاي ناآگاه، به سرعت از كامپيوتري به كامپيوتر ديگر انتشار مي‌يابد.

در اوايل دهه ۱۹۸۰، اگر برنامه‌نويسي مي‌گفت كه كامپيوتر مي‌تواند به ًويروسً آلوده شود، احتمالاً با خنده تمسخرآميز همكارانش مواجه مي‌شد. طي اين مدت واكنش در مقابل اين مساله تا حدي تغير كرده است و اين امر تا حدودي به تبليغات گسترده، اما نه هميشه مبتني به واقعيتي كه به عمل آمده است، مربوط مي‌شود. اما حتي امروزه بسياري از كاربران داراي اين تصور غلط مي‌باشند كه ويروس‌هاي كامپيوتر ويروس‌هاي بيولوژيكي هستند.
البته چنين نيست. ويروس هاي كامپيوتر برنامه هستند، درست مانند برنامه‌هاي كاربربرگ يا وازه‌پرداز. به دليل اين تصور غلط از ويروس‌هاي كامپيوتري است كه طيف واكنش‌ها در قبال اين موضوع از خنده‌اي تمسخرآميز تا لبخندي از روي آگاهي گرفته تا هراس عمومي از آلودگي ويروسي متغير مي‌باشد. تا كنون توضيحات مبتني بر واقعيت در مورد اين موضوع عموماً ناديده گرفته شده‌اند، حال ممكن است از خود بپرسيد؛ “چگونه ممكن است برنامه‌اي در يك كامپيوتر مانند ويروس‌هاي طبيعي در داخل بدن يك جاندار عمل كند؟” براي اينكه بتوانيد به اين سؤال پاسخ دهيد بايد با ساختمان سيستم‌هاي كامپيوتري آشنا باشيد.

 

۱- تعريف ويروس‌هاي كامپيوتري
به زبان ساده‌تر مي‌توان گفت ويروس، برنامه مخفي و كوچكي است كه باعث آلوده‌شدن برنامه ديگري مي‌شود و مي‌تواند داده‌ها را دستكاري يا تخريب نموده، سرعت سيستم را كاهش داده، باعث اغتشاش و عدم كارايي كامپيوتر شود.
مهمترين خصوصيت ويروس، قدرت تكثير آن است. ويروس‌ها براي تكثير نياز به يك برنامه اجرايي دارند، يعني بيشتر ويروس‌ها در فايل‌هاي اجرايي جاي مي‌گيرند و آنها را آلوده مي‌كنند و كمتر ويروسي پيدا مي‌شود كه در يك فايل غيراجرايي جاي بگيرد و بتواند از طريق آن تكثير شود. بنابراين، ويروس مي‌تواند هر برنامه سيستمي يا كاربردي باشد كه شرايط مورد نياز براي پذيرش ويروس را داشته باشد. برنامه آلوده نيز قادر است برنامه‌هاي ديگر را آلوده كند. از آنجايي‌كه ويروس‌ها

مي‌توانند به تمامي فايل‌هايي كه توسط سيستم اجرا مي‌شوند، اضافه شوند، به آنها خود انعكاس مي‌گويند. با وجودي كه ويروس‌ها توسط برنامه‌نويسان مجرب و حرفه‌اي نوشته مي‌شوند، ولي برخي‌ها تصور مي‌كنند كه خود به خود و به‌طور تصادفي وارد سيستم مي‌شوند.
۲- ويژگي‌هاي ويروس‌هاي كامپيوتري
هر برنامه‌اي كه داراي ويژگي‌هاي زير باشد، را ويروس كامپيوتري مي گوييم:
۱٫ «تغييردادن نرم‌افزارهايي كه به برنامه ويروس متعلق نيستد، با چسباندن قسمت‌هايي از برنامه‌ي ويروس به اين برنامه‌هاي ديگر.
۲٫ قابليت تشخيص اينكه يك برنامه قبلاً تغيير داده شده است يا خير؟
۳٫ قابليت انجام تغيير در بعضي از برنامه‌ها.
۴٫ قابليت جلوگيري از تغيير بيشتر يك برنامه، در صورتي كه معلوم شود قبلاً توسط ويروس تغيير داده شده است.
۵٫ نرم‌افزارهايي تغيير داده شده، ويژگي‌هاي ا الي ۴ را به خود مي‌گيرند.
اگر برنامه‌اي فاقد يك يا چند خاصيت از خواص فوق باشد، آنرا نمي‌توان به‌طور قطع ويروس تلقي كرد.»

۳- نحوه فعاليت ويروس‌هاي كامپيوتري
ويروس‌ها همواره به دنبال برنامه‌اي براي آلوده كردن آن مي‌باشند. در صورت يافتن برنامه، ويروس بررسي مي‌كند كه آيا اين برنامه از قبل توسط ويروس آلوده شده است يا خير؟ اگر آلوده شده باشد، به جست‌وجو ادامه مي‌دهيم و اگر آلوده نباشد، يك نسخه از خود را به آن مي‌چس

باند و آن را آلوده مي‌كند.
ويروس‌ها از طريق كدهايي كه در ابتداي برنامه‌ها قرار مي‌گيرند، مشخص مي‌كنند كه كدام برنامه آلوده است و يا كدام برنامه آلوده نيست. در واقع، ويروس‌ها در هر برنامه آلوده، امضايي دارند كه دو بار برنامه را امضاء نمي‌كنند.

۴- ايجاد اولين ويروس
پيش از چند دهه قبل، مردي به نام «فرد كوهن» اولين ويروس كامپيوتري را به عنوان پروژه دانشجويي نوشت كه قادر بود خود را به صورت انگل‌وار تكثير كرده، به برنامه‌هاي ديگر بچسباند و تغييراتي را در آنها بوجود آورد. علت نامگذاري ويروس بر روي اين‌گونه برنامه‌ها، تشابه بسيار زياد آنها با ويروس‌هاي بيولوژيكي است، زيرا ويروس‌هاي كامپيوتري نيز مانند ويروس‌هاي بيولوژيكي به طور ناگهاني تكثير مي‌شوند، در حالي كه ممكن است بر روي يك ديسك وجود داشته باشند تا زماني كه شرايط مناسب نباشد، فعال نخواهند شد. اين ويروس در سال ۱۹۸۶ براي كامپيوترهاي مجهز به سيستم MS-DOS نوشته شد. مفهوم كلي ويروس كامپيوتري، احتمالاً از سال ۱۹۸۳ پديد آمد. در آن زمان، اين واژه، اولين بار توسط فرد كوهن مورد استفاده قرار گرفت كه در شركت Digital Equipment Corportion تجربياتي در اين زمينه انجام داده بود.
زمينه پيدايش اولين ويروس، كه بعدها گسترش فراواني پيدا كرد، از سال ۸۲-۱۹۸۱ شروع شده بود، يعني ويروس ELK Cloner براي AppleII؛ اين ويروس كه Brain نام داشت در سال ۱۹۸۶ براي اولين بار كامپيوتر را آلوده كرد. اين ويروس كه از نوع ويروس‌هاي Boot-Sector و مقيم در حافظه (Memory-Resident) بود. داستان پيدايش اين ويروس بسيار عجيب است.
دو برادر پاكستاني به نام‌هاي باسط و امجد فروغ علوي، براي اينكه بتوانند در مقابل كپي‌برداري محافظت كنند، يك ويروس بي‌خطر را برنامه‌ريزي كردند ـ كه بعداً به نام Brain مشهور شدـ‌. اسم شركت كامپيوتري كوچك آنها، Brain computer services، به خاطر داشتن نشاني كامل و شماره تلفن آنها در درون اين ويروس، خيلي زود در تمام دنيا مشهور شد. اين دو برادر، به اثرات مخرب اين كار خود فكر نكرده بودند و نمي‌دانستند كه از برنامه‌نويسي آنها در آينده به عنوان ويروس‌

هاي مخرب كامپيوتري استفاده مي‌شود. عملكرد اين ويروس از لحاظ فني واقعاً جالب بود: Brain روي Boot-Sector يك ديسكت نوشته مي‌شد و آن را به نسخه‌اي كه قبلاً ايجاد كرده بود، هدايت مي‌كرد. در اين حالت، اين ويروس به راحتي قابل كشف و بازيابي نبود. اين ويروس فقط برچسب (label) ديسكت را به C.Brain تغيير مي‌داد و به صورت دائم، در حافظه قرار مي‌گرفت تا بتوانند منتظر ديسكت‌هاي جديدي بماند كه هنوز به اين ويروس آلوده نشده بودند.
بعدها نسخه‌هاي ديگري از ويروس Brain ساخته شد كه فقط محدود به ديسكت‌ها نمي‌شدند، اهداف اين دو برنامه‌نويس پاكستاني به هيچ وجه مخرب و غيرانساني نبود، اين ويروس در آمريكا به عنوان حمله‌كننده‌اي به كامپيوترهاي آمريكايي ارزشيابي شد.

۵- خصوصيات ويروس‌هاي كامپيوتري
۱٫ ويروس‌ها معمولاً تغييرات مختلف در كامپيوتر را تشخيص داده و مي‌توانند در مقابل آنها عكس‌العمل نشان دهند.
۲٫ به صورت خود كار و بدون دخالت اشخاص اجرا مي‌شوند.
۳٫ معمولاًً مقيم در محافظت هستند و با اجراي فايل‌هاي آلوده به ويروس، در حافظه كپي مي‌شوند. ويروس‌هاي مقيم در حافظه مي‌توانند از طريق وقفه‌ها در حافظه مقيم شوند، يا اينكه به صورت مستقيم در حافظه مقيم شوند. روش دوم، نياز به مهارت فراوان در برنامه‌نويسي دارد، ولي در عوض ديرتر كشف مي‌شوند، زيرا اغلب برنامه‌هاي ضدويروس بر روي وقفه‌ها نظارت دارند.
۴٫ نام ويروس‌ها در فهرست فايل‌ها ظاهر نمي‌شود.
۵٫ ويروس‌ها مي‌توانند خود را در ساير كامپيوترها از طرق برنامه‌هاي آلوده، كپي كرده و توليد مثل نمايند.
۶٫ ويروس‌ها كامپيوتري توسط برنامه‌نويسان تكامل پيدا مي‌كنند، يعني در حال حاضر، تكامل آنها وابسته به دخالت برنامه‌نويسان است.

۷٫ اكثر ويروس‌هاي بوت سكتور كوچكتر از ۵۱۲ بايت هستند، زيرا فضاي ذخيره شده در اين قسمت، ۵۱۲ بايت (يك سكتور) است.
۸٫ بعضي از ويروس‌ها، مانع از اجراي ضدويروس‌هايي مانند Scan مي‌شوند و اين در صورتي است كه حافظه آلوده به ويروس نباشد. در اين صورت، برنامه ضدويروس ظاهراً اجرا مي‌شود، ولي ويروس را نمي‌توان بر روي ديسكت تشخيص دهد. ويروس‌هاي «وان هاف» و «ايرانين» از اين نوع هستند.
۹٫ ويروس‌هاي مقيم در حافظه، در صورت اجرا يا باز شدن فايل، آنها را آلوده مي‌سازند، ولي ويروس‌هايي كه در حافظه مقيم نيستند، بايد در فهرست جاري يا مسيرهاي تعريفي در Path به دنبال فايل‌هاي سالم بگردند و آنها را آلوده كنند. بعضي از ويروس‌ها به دنبال فايل‌هاي خاص در مسيرهاي خاص برمي‌گرداند و در صورت وجود فايل خاص، آن را آلوده مي‌كنند.
۱۰٫ قسمت‌هاي مختلف يك ويروس، به هم وابسته‌اند و با پاك كردن يك يا همه دستورات، ويروس از بين مي‌رود.

۶- شباهت‌هاي ويروس‌هاي كامپيوتري و بيولوژيكي
ويروس‌هاي بيولوژيكي ويروس‌هاي كامپيوتري
به سلول‌هاي خاصي از بدن حمله مي‌كنند. به برنامه‌هاي خاصي حمله مي‌كنند (تمام برنامه‌هاي *.com، برنامه‌هاي *.exe و ..).
اطلاعات ژنتيكي سلول را تغيير مي‌دهد. برنامه را تغيير مي‌دهد.
در خود سلول آلوده و ويروس‌هاي جديد را بوجود مي‌آورد. برنامه آلوده، برنامه‌هاي ويروس توليد مي‌كند.
يك سلول بيش از يك بار توسط يك ويروس آلوده نمي‌شود. اكثر ويروس‌ها هر برنامه را فقط يك بار آلوده مي‌كنند.
يك ارگانيسم آلوده ممكن است مدت‌ها هيچ گونه علامتي را بروز ندهند. برنامه آلوده ممكن است مدتها بدون خطا كار كند.

تمامي سلول‌هايي كه ويروس با آنها تماس مي‌يابد، آلوده نمي‌شوند. برنامه‌ها را مي‌توان در مقابل ويروس‌هاي خاصي مصون ساخت.
ويروس‌ها مي‌توانند تغيير شكل دهند و بنابراين نمي‌توان آنها را به وضوح تشخيص داد. برنامه‌هاي ويروس مي‌توانند خود را تغيير داده و احتمالاً به اين طريق مانع از كشف خود ‌شوند.

۷- خطرات ناشي از ويروس‌ها
براي كاربران معمولي ممكن است حداكثر خطر ناشي از يك ويروس خطرناك، نابود شدن اطلاعات و برنامه‌هاي مهم موجود بر روي كامپيوترشان باشد، اما ضرر و زيان ناشي از ويروس‌هاي مخرب بر روي شبكه‌هاي ارتباطي مراكز تجاري و اقتصادي ممكن است موجب تغيير و يا حذف اطلاعات مالي و شركت‌ها و اشخاص گردد و خسارت مالي، اقتصادي و تجاري سنگين و جبران‌ناپذيري را در پي داشته باشد و يا حتي تاثير ويروس در سيستم‌هاي كامپيوتري يك پايگاه نظامي هسته‌اي ممكن است منجر به خطر افتادن حيات انسان‌ها و كره زمين گردد.
۸٫ آشنايي با انواع مختلف ويروس
۸- ۱- ويروس‌هاي اينترنتي:
به احتمال بسيار، همگي افراد درباره ويروس Love كه به صورت پست الكترونيكي خود را براي كاربرهاي اينترنت ارسال مي‌كرد، چيزهايي شنيده‌اند. اين ويروس پس از مورد حمله قرار دادن يك كامپيوتر، با دستبرد به دفتر آدرس‌ها (Address book)در برنامه ارسال و دريافت پست الكترونيكي out look با استفاده از آدرس‌هاي فهرست شده در آن، خود را منتشر مي‌كرد. قبل از آن، همين روش توسط ويروس وحشتناك مليسا (Melissa) مورد استفاده قرار مي‌گيرند و تاكنون ويروس‌هاي كوچكتري نيز مانند Pretty park به اين شيوه خود را پراكنده‌اند. چنين به نظر مي‌رسد كه پست الكترونيكي به عنوان شيوه موثر ارتباط درد دنياي اينترنت، بهترين بسته براي انتشار بعضي از ويروس‌ها تبديل شده است.

در خبرها شنيده شده است كه نويسنده ويروس Love دستگير شده است، اما پس دستگيري اين شخص در اين مدت كوتاه با كمال تعجب شاهد انتشار ويروس ديگري هستيم كه طرز رفتاري بسيار شبيه پدرخوانده‌ي خود، يعني ويروس Love دارد. به گفته متخصصان مركز تحقيقات ويروس شناسي سينانتيك، اين ويروس حتي از ويروس Love مخرب‌تر است. اين ويروس كه به New Love شهرت يافته، در نخستين دو روز فعاليت خود، هزاران كامپيوتر را در سرتاسر جهان آلوده كرد. شناسايي اين ويروس از آنجا كه هر بار از طريق نامه‌اي به عنوان (Subject) متفاوت خود را ارسال مي‌كند، بسيار دشوارتر است، اما خوشبختانه مجموع خسارت آن به پاي ويروس Love نرسيده، چرا كه با آمادگي ذهني كه ويروس Love ايجاد كرده بود، بسياري از شركت‌هاي بزرگ چندمليتي در نخستين اقدام، توانستند از پذيرش برنامه‌هاي آلوده خودداري كنند.
اين ويروس مخرب، علاوه بر از بين بردن فايل‌هاي ذخيره شده در كامپيوتر، باعث از كار افتادن سيستم عامل كامپيوتر نيز مي‌شود. اين ويروس هرچند از نظر فني، پيچيده‌تر از ويروس Love است، اما فاقد هرگونه محرك است. ويروس Love از يك پيام تحريك‌آميز (I love you) در خط عنوان خود برخوردار است و يك پيام عاشقانه با نام (Love letter) به آن پيوسته است. اين ويروس حدود ۱۰ بيليون دلار خسارت برجاي گذاشت، اما ويروس New Love فاقد چنين عبارت‌هايي است و هر بار با يك نام متفاوت خود را به نامه‌اي پيوست و ارسال مي‌كند.
۸- ۲- :Email viruse
ويروس‌هايي كه از طريق Email وارد سيستم مي‌شوند، معمولاً به صورت مخفيانه درون يك فايل ضميمه شده كه مي‌تواند در قالب يك صفحه با فرمت HTML و يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك Word document باشد كه با باز كردن آنها، فعال مي‌شوند. شما فقط با خواندن يك متن ساده پيغام، يك Email و يا استفاده از Net post ويروس دريافت نخواهيد كرد، بلكه چيزي كه بايد مراقب آن بود، پيغام‌هاي رمز شده حاوي كدهاي اجرايي و قرارداده شده در آنها و يا پيغامي كه حاوي فايل اجرايي ضميمه شده (يك فايل برنامه‌ا

ي كد شده و يا يك Word document كه حاوي ماكروهايي باشد) است. از اين رو، براي به كار افتادن يك ويروس و يا يك برنامه اسب تروا، كامپيوتر مجبور است بعضي كدها را اجرا نمايد كه اين كد مي‌تواند يك برنامه ضميمه شده به يك Email و يا يك Word document دانلود شده از اينترنت و … باشد.
۸- ۳- marco viruse
اين نوع ويروس‌ها معمولاً در داخل فايل‌هايي كه حاوي صفحات متني (Word document) نظير فايل‌هاي برنامه‌ي Office مانند Excel هستند، به شكل مايكرو قرار دارند.
توضيح مايكرو: نرم‌افزارهايي مانند Word, Excel، اين توانايي را به كاربر مي‌دهند كه در صفحه متن خود ماكرويي را ايجاد نموده كه اين ماكرو مي‌تواند حاوي يكسري دستورالعمل‌ها، عمليات و يا Key strake باشد كه تماماً ‌توسط خود كاربرد تعيين مي‌شوند. ماكرو ويروس‌ها، معمولاً طوري تنظيم شده‌اند كه خود را به راحتي در همه صفحات متني ساخته شده با همان نرم‌افزار (Word, Excel) جاي مي‌دهند.