همه چیز درباره ی مخرّب های کامپیوتری (1)

ویروس کامپیوتری چیست؟

E-mail virus

ویروس هایی که از طریق E-mail وارد سیستم می‌شوند معمولاً به صورت مخفیانه درون یک فایل ضمیمه شده که می‌تواند در قالب یک صفحه با فرمت HTML و یا یک فایل قابل اجرای برنامه‌ای (یک فایل کد شده قابل اجرا) و یا یک word document باشد که با باز کردن آنها فعال می‌شوند.

Marco virus

این نوع ویروس ها معمولاً در داخل فایلهایی که حاوی صفحات متنی ( word document ) نظیر فایلهای برنامه‌های Ms office مانند microsoft word و Excel هستند به شکل ماکرو قرار دارند.
توضیح ماکرو: نرم افزارهایی مانند microsoft word و Excel این توانایی را به کاربر می‌دهند که در صفحه متن خود ماکرویی را ایجاد نموده که این ماکرو می‌تواند حاوی یکسری دستور العملها، عملیات‌ها و یا keystrok ها باشد که تماماً توسط خود کاربر تعیین می‌شوند.
ماکرو ویروس ها معمولاً طوری تنظیم شده‌اند که خود را به راحتی در همه صفحات متنی ساخته شده با همان نرم افزار ( Excel , ms word ) جای می‌‌دهند.

اسب تروآ:

سابقه انگیزة این نوع برنامه حداقل به اندازه خود اسب تروآی اصلی است. عملکرد این نوع برنامه‌ها هم ساده و هم خطرناک است.
در حالیکه کاربر با تصاویر گرافیکی زیبا و شاید همراه با موسیقی مسحور گردانده شده است، برنامه بدون متوجه شدن کاربر عملیات مخرب خود را انجام می‌دهد.
برای مثال شما به خیال خودتان یک بازی جدید و مهیجی را از اینترنت Download کرده‌اید ولی وقتی آنرا اجرا می‌کنید متوجه خواهید شد نه تنها بازی‌ای در کار نیست بلکه ناگهان متوجه خواهید شد تمام فایلهای روی هارد دیسک شما پاک شده و یا به طور کلی فرمت گردیده است.

کرمها ( worm )

برنامه کرم برنامه‌ای است که با کپی کردن خود تولید مثل می‌کند. تفاوت اساسی میان کرم و ویروس این است که کرمها برای تولید مثل نیاز به برنامة میزبان ندارند. کرمها بدون استفاده از یک برنامة حامل به تمامی سطوح سیستم کامپیوتری «خزیده» و نفوذ می‌کنند. در مورد برنامه‌های کرم در قسمت سوم مفصلاً بحث خواهد شد.

ویروس های بوت سکتور و پارتیشن

Boot sector بخشی از هر دیسک سخت و فلاپی دیسک است که هنگامی که سیستم از روی آنها راه‌اندازی می‌شود به وسیله کامپیوتر خوانده می‌شود. Boot Sector یک دیسک سیستم شامل کدی است که برای بار کردن فایلهای سیستم ضروری است. دیسکهایی که شامل داده هستند و غیر سیستم می‌باشند. حاوی کدی هستند که برای نمایش پیغامی مبنی بر اینکه کامپیوتر نمی‌تواند به وسیله آن راه‌اندازی شود، لازم است.
سکتور پارتیشن اولین بخشی از یک دیسک سخت است که بعد از راه‌اندازی سیستم خوانده می‌شود. این سکتور شامل اطلاعاتی دربارة دیسک از قبیل تعداد سکتورها در هر پارتیشن و موقعیت همه پارتیشن‌ها می‌باشد.
سکتور پارتیشن، همچنین رکورد اصلی راه‌اندازی یا Master Boot Record -MBR نیز نامیده می‌شود.
بسیاری ازکامپیوترها طوری پیکربندی شده‌‌اند که ابتدا از روی درایو: A راه‌اندازی شوند. (این قسمت در بخش Setup سیستم قابل تغییر و دسترسی است) اگر بوت سکتور یک فلاپی دیسک آلوده باشد، وقتی که قصد دارید سیستم را از روی آن راه‌اندازی کنید، ویروس نیز اجرا می‌شود و دیسک سخت را آلوده می‌کند.
اگر حتی دیسک شما حاوی فایلهای سیستمی نباشد ولی‌ آلوده به یک ویروس بوت سکتوری باشد اگر اشتباهاً دیسکت را درون فلاپی درایو قرار دهید و کامپیوتر را دوباره‌ راه‌اندازی کنید پیغام زیر مشاهده می‌شود ولی ویروس بوت سکتوری پیش از این اجرا شده است و ممکن است کامپیوتر شما را نیز آلوده کرده باشد.
Non-system disk or disk error
Replace and press any key when ready
کامپیوترهای بر پایه Intel در برابر ویروس های Boot Sector و Partition Table آسیب پذیر هستند.
اینگونه ویروس ها می‌توانند هر کامپیوتری را صرف نظر از نوع سیستم عامل آن تا وقتی که ویروس قبل از بالا آمدن سیستم اجرا گردد، آلوده کنند.

HOAX (گول زنک‌ها)

این نوع ویروس ها امروزه بازار داغی را دارند، پیغامهای فریب آمیزی که کاربران اینترنت را گول زده و به کام خود می‌کشد. به ویژه وقتی که کاربر بیچاره کمی هم احساسی باشد. این نوع ویروس ها معمولاً به همراه یک نامه ضمیمه شده از طریق پست الکترونیک وارد سیستم می‌شوند. متن نامه مسلماً متن مشخصی نمی‌باشد و تا حدودی بستگی به روحیات شخصی نویسنده ویروس دارد، گاهی ممکن است تهدید آمیز و یا بالعکس محبت آمیز و یا می‌تواند هشداری مبنی بر شیوع یک ویروس جدید در اینترنت و یا درخواستی در قبال یک مبلغ قابل توجه و یا هر چیزی دیگری که انسان را وسوسه کرده تا دست به عملی بزند را شامل شود. البته ناگفته نماند که همه این نامه‌ها اصل نمی‌باشند یعنی ممکن است پیغام شخص سازنده ویروس نباشد بلکه یک پیغام ویرایش شده و یا به طور کلی تغییر داده شده توسط یک کاربر معمولی و یا شخص دیگری باشد که قبلا این نامه‌ها را دریافت کرده و بدینوسیله ویروس را با پیغامی کاملاً جدید مجدداً ارسال می‌کند.
نحوه تغییر پیغام و ارسال مجدد آن بسیار ساده است و همین امر باعث گسترش سریع Hoax ‌ها شده،‌ با یک دستور Forward می‌توان ویروس و متن تغییر داده شده را برای شخص دیگری ارسال کرد. اما خود ویروس چه شکلی دارد؟ ویروسی که در پشت این پیغامهای فریب آمیز مخفی شده می‌تواند به صورت یک بمب منطقی و یا یک اسب تروا باشد و یا شاید یکی از فایلهای سیستمی ویندوز ما، شیوه‌ای که ویروس Magistre-A از آن استفاده می‌کند و خود را منتشر می‌کند.

SULFNBK یک ویروس، یک شوخی و یا هردو؟!

سایت خبری سافس چندی پیش خبری مبنی بر شناخته شدن یک ویروس جدید منتشر کرد، ویروسی با مشخصه SULFNBK (SULFNBK.EXE)
شاید برای بعضی از شما این نام آشنا باشد.
SULFNBK.EXE نام فایلی است در سیستم عامل ویندوز 98 که وظیفه بازیابی اسامی طولانی فایلها را به عهده دارد و یک فایل سودمند در سیستم عامل ویندوز 98 می‌باشد.
اینجاست که می‌توان به مفهوم واقعی HOAX ها پی برد، فایل SULFNBK.EXE ای که معمولاً به همراه یک نامه فریب آمیز و شاید تهدید امیز بزبان پرتغالی از طریق پست الکترونیکی وارد سیستم می‌شود دقیقاً در جایی ساکن می‌شود که فایل SULFNBK.EXE سالم در آنجاست، در واقع بهتراست بگوییم جایگزین آن می‌شود. فایل SULFNBK.EXE آلوده در شاخه Command ویندوز 98 ساکن شده و چون دارای همان شمایل و سایز می‌باشد به همین منظور کاربر متوجه حضور یک ویروس جدید در سیستم خود نخواهد شد و اینجاست که کاربر فریب خورده و ویروس خطرناک Magistre-A که در هسته این فایل وجود دارد در اول ماه ژوین فعال شده و سازنده خود را به مقصودش می‌رساند. نسخه‌ای دیگر از این ویروس را می‌توان یافت که در 25 ماه می فعال شده و تفاوتی که با نسخه قبلی خود دارد آنست که روی فایل SULFNBK.EXE آلوده در ریشه درایو C ساکن می‌شود. لازم به ذکر است این ویروس در سیستم عامل ویندوز 9 X فعال می‌شود و حوزه فعالیتش در درایو C می‌باشد. تشخیص اینکه فایل SULFNBK.EXE ما واقعاً آلوده است یا خیر دشوار است. البته شاید از طریق ویروس یابهای جدید بعد از ماه ژوئن 2002 مانند جدیدترین نسخه Norton ، McAfee بتوان آنها را تشخیص داد اما اگر به ویروس یابهای ذکر شده دسترسی نداشته باشیم می‌توانیم حداقل فایل SULFNBK.EXE را چه آلوده باشد و چه نباشد پاک کنیم، البته از آنجایی که فایل SULFNBK.EXE یک فایل سیستمی ویندوز به شمار می‌رود ممکن است پاک کردن آن به سیستم عامل لطمه وارد کند، از اینرو بد نیست قبل از پاک کردن، نسخه‌ای از آن را بر روی یک فلاپی کپی کرده و نگه داریم. البته اگر مایل به اجرای آن نیستید! حقیقت آنست که کمتر کسی هم تن به اجرا کردن می‌دهد و ریسک می‌کند.
اما پیغامی که ضمیمه این فایل ارسال می‌شود نیز در چند نسخه وجود دارد که نسخه اصل آن همانطور که گفته شد به زبان پرتغالی است که این پیغام نیز ممکن است بزبانهای انگلیسی و اسپانیولی ترجمه و یا حتی تغییر داده شده باشد.
به هرحال هر ویروسی چه از نوع HOAX باشد و چه از انواع دیگر، یک دورانی دارد و به قول معروف یک مدت کوتاه یا بلند روی بورس است و معمولاً لطمه‌های غیر قابل جبران خود را در همان بدو تولد به جای می‌گذارند و بعد از مدتی مهار می‌شوند . اما نکته‌ای که قابل توجه است اینست که با داشتن یک پیش زمینه می‌توان حداقل با نسخه‌های جدیدتر آن ویروس و یا ویروس های مشابه آن به راحتی در همان شروع کار مبارزه کرد.

CELLSAVER یک اسب تروا

a.k.a CellSaver- Celcom Screen Saver نیر ویروسی از نوع HOAX می‌باشد که چندی پیش در اینترنت منتشر شده و علیرغم آنکه مدت زیادی از اولین انتشار آن می‌گذرد اما هنوز کاربران اینترنت گریبان گیر آن هستند. این ویروس در دو نسخه وجود دارد. که نسخه اول برای نخستین بار در سال 1998 ظاهر شد و نسخه جدیدتر آن کمی بعد در آوریل 1999 برای کاربران اینترنت ارسال شد و هردو آنها به همراه یک پیغام دروغین منتشر شده‌اند.
هرگاه نامه‌ای با عنوان CELLSAVER.EXE وبه همراه فایلی با همین نام دریافت کردید بدون تردید آنرا پاک کنید و از Forward کردن آن برای شخص دیگری پرهیز کنید، اینکار هیچ لذتی ندارد و فقط به انتشار بیشتر آن کمک کرده و به بقای آن می‌افزایید.
این فایل یک اسب تروا کامل می‌باشد ، یک فایل Screen Saver زیبا برای ویندوز و به محض اجرا شدن هر کسی را مجذوب و مسحور می‌گرداند.
احتیاط کنید! CELLSAVER.EXE به محض اجرا شدن یک گوشی تلفن بی‌سیم Nokia بر روی صفحه نمایش به صورت یک Screen Saver نمایش می دهد که در صفحه نمایش این گوشی، زمان و پیغامهائی را می‌‌توان دید. بعد از یکبار اجرا شدن، ویروس فعال شده و شما خیلی زود متوجه خواهید که سیستم شما بسیار کند شده و قادر به بوت شدن نخواهد بود و اطلاعات رود هارد دیسک نیز پاکسازی می‌شوند و شما مجبور به نصب مجددکلیه برنامه‌هایتان خواهید بود.
در آخر باز هم یادآور می‌شویم که هیچ یک از نامه‌های دریافتی که کمی ناشناخته و مشکوک به نظر می‌رسند را مطلقاً باز نکنید.

ویروس های چند جزئی Multipartite virus

بعضی از ویروس ها، ترکیبی از تکنیکها را برای انتشار استفاده می‌کنند و فایلهای اجرائی، بوت سکتور و پارتیشن را آلوده می‌کنند. اینگونه ویروس ها معمولاً تحت windows 9X یا Win.Nt انتشار نمی‌یابند.

چگونه ویروس ها گسترش می‌یابند؟

زمانی که شما یک کد برنامة آلوده به ویروس را اجرا می‌کنید، کد ویروس هم پس از اجرا به همراه کد برنامه اصلی ، در وهله اول تلاش می‌کند برنامه‌های دیگر را آلوده کند. این برنامه ممکن است روی همان کامپیوتر میزان باشد، ممکن است برنامه‌ای بر روی کامپیوتر دیگر واقع در یک شبکه باشد. حال این برنامه که تازه آلوده شده نیز پس از اجرا دقیقاً عملیات مشابه قبل را به اجرا درمی‌اورد. وقتی شما یک کپی از فایل آلوده را ، که برای دیگر کاربران کامپیوترهای دیگر به صورت اشتراکی قابل دسترسی قرار می‌دهید، با اجرای این فایل کامپیوترهای دیگر نیز آلوده خواهند شد. و همچنین طبیعی است با اجرای هرچه بیشتر این فایلهای آلوده فایلهای بیشتری آلوده خواهند شد.
اگر کامپیوتری آلوده به یک ویروس بوت سکتور باشد، ویروس تلاش می‌کند که کپی‌هایی از خود را در فضاهای سیستمی فلاپی دیسکها و هارد دیسک بنویسد. سپس فلاپی آلوده می‌تواند کامپیوترهایی را که از روی‌آن بوت می‌شوند آلوده کند و نیز یک نسخه از ویروسی که قبلاً روی فضای بوت یک هارد دیسک نوشته شده نیز می‌تواند فلاپی‌های جدید دیگری را نیز آلوده نماید.
ویروس هایی که هم قادر به آلوده کردن فایلها و هم قادر به آلوده نمودن فضاهای بوت می‌باشند را اصطلاحاً ویروس های چند جزئی ( multipartite ) می‌نامند.
فایلهایی که به توزیع ویروس ها کمک می‌کنند ویروس ها حاوی یک نوع عامل بالقوه می‌باشند که هر نوع کد اجرائی را آلوده می‌کنند. نه فقط فایلهایی که عمدتاً فایلهای برنامه‌ای ( program files ) نامیده می‌شوند. برای مثال بعضی ویروس ها کدهای اجرائی را آلوده می‌کنند که در بوت سکتور فلاپی دیسکها و فضاهای سیستمی هاردیسکها وجود دارند.
یک نوع دیگر ویروس که به ویروس های ماکرو شناخته شده‌اند، می‌توانند عملیات پردازش کلمه‌ای ( word processing ) یا صفحه‌های حاوی متن را آلوده کنند که از ماکروها استفاده می‌کنند.البته این امر برای صفحه‌هایی با فرمت HTMl نیز صادق است.
از آنجائیکه یک کد ویروس باید حتماً قابل اجرا شدن باشد تا اثری از خود به جای بگذارد از اینرو فایلهایی که کامپیوتر با آنها به عنوان داده‌های خالص و تمیز سرو کار دارد امن هستند.
فایلهای گرافیکی و صدا مانند فایلهایی با پسوند gif . ، jpg ، mp3 ، wav ،…
برای مثال زمانی که یک فایل با فرمت picture را تماشا می‌کنید کامپیوتر شما آلوده نخواهد شد.
یک کد ویروس مجبور است که در قالب یک فرم خاص قرار گیرد مانند یک فایل برنامه‌ای . exe یا یک فایل متنی .
doc که کامپیوتر واقعاً آن را اجرا می‌کند.

عملیات مخفیانه ویروس در کامپیوتر

همانطور که می‌دانید ویروس ها برنامه‌های نرم افزاری هستند آنها می‌‌توانند مشابه برنامه‌هایی که به صورت عمومی در یک کامپیوتر اجرا می شوند باشند.
اثر واقعی یک ویروس بستگی به نویسندة ان دارد. بعضی از ویروس ها عمداً برای ضربه زدن به فایلها طراحی شده‌اند و یا در حالت دیگر می‌‌توان گفت در عملیات مختلف کامپیوتر شما دخالت می‌کنند و خلل ایجاد می‌کنند.
براحتی بدون آنکه متوجه شوید خود را تکثیر می‌کنند وگسترش می‌یابند و در حین گسترش یافتن نیز به فایلها صدمه رسانده و یا ممکن است باعث مشکلات دیگر شوند. نکته: ویروس ها قادر نیستند صدمه‌ای به سخت افزار کامپیوتر برسانند مثلاً باعث شوند cpu ذوب شده و یا هارد دیسک بسوزد و یا اینکه مانیتور منفجر شود و …

ویروس ها و E-mail

شما فقط با خواندن یک متن سادة پیغام یک e-mail و یا استفاده از netpost ویروسی دریافت نخواهید کرد. بلکه چیزی که باید مراقب آن بود پیغامهای رمز شدة حاوی کدهای اجرائی قرار داده شده درآنها و یا پیغامی که حاوی فایل اجرائی ضمیمه شده (یک فایل برنامه‌ای کد شده و یا یک word document که حاوی ماکروهایی باشد) است. از این رو برای به کار افتادن یک ویروس و یا یک برنامه اسب تروا کامپیوتر مجبور است بعضی کدها را اجرا نماید که این کد می‌تواند یک برنامه ضمیمه شده به یک e-mail و یا یک word document دانلود شده از اینترنت و یا حتی مواردی از روی یک فلاپی دیسک باشد.

نکاتی جهت جلوگیری از آلوده شدن سیستم

اول از هرچیزی به خاطر داشته باشید اگر کامپیوترتان در بعضی از عملیات سریع عمل نمی‌کند و یا برنامه‌ای درست کار نمی‌کند این به آن معنا نیست که کامپیوتر شما آلوده به ویروس است.
اگر از یک نرم افزار آنتی ویروس شناخته شده و جدید استفاده نمی‌کنید در قدم اول ابتدا این نرم افزار را به همراه کلیه امکاناتش بر روی سیستم نصب کرده و سعی کنید آنرا به روز نگه دارید.
اگر فکر می‌کنید سیستمتان آلوده است سعی کنید قبل از انجام هر کاری از برنامه آنتی ویروس خود استفاده کنید.( البته اگر قبل از استفاده از آن، آنرا بروز کرده باشید بهتر است). سعی کنید بیشتر نرم افزارهای آنتی ویروس را محک بزنید و مورد اطمینان‌ترین آنها را برگزینید.
البته بعضی وقتها اگر از نرم افزارهای آنتی ویروس قدیمی هم استفاده کنید، بد نیست. زیرا تجربه ثابت کرده بعضی از ویروس ها که یک دورانی را به قول معروف روی بورس هستند و همه جا از آنها صحبت می‌شود و بعد از مدتی به دست فراموشی سپرده می‌شوند، ویروس یابهای قدیمی بهتر می‌توانند آنها را شناسایی و پاکسازی کنند.
ولی اگر شما جزء افرادی هستید که به صورت مداوم با اینترنت سروکار دارید حتماً یک آنتی ویروس جدید و up به روز شده لازم و ضروری است.
برای درک بهتر و داشتن آمادگی در هر لحظه برای مقابله با نفوذ ویروس ها نکات لازم را به صورت ساده و قدم به قدم در ذیل آورده شده است:
1- همانطور که در بالا گفته شد حتماً یک نرم افزار آنتی ویروس از یک کمپانی مشهور و شناخته شده‌ای را بر روی سیستم نصب کرده و سعی کنید آنرا همیشه به روز نگه دارید.
2- در هر روز و در هر لحظه احتمال ورود ویروس های جدید به سیستم شما امکان پذیر است. پس یک برنامه آنتی ویروس که چند ماه است به روز نشده نمی‌تواند در مقابل جریان ویروس ها مقابله کند.
3- برای آنکه سیستم امنیتی کامپیوتر از یک نظم و سازماندهی برخوردار باشد توصیه می‌شود برنامه a.v (آنتی ویروس) خود را سازماندهی نمائید مثلاً قسمت configuration نرم افزار a.v . خود را طوری تنظیم کنید که به صورت اتوماتیک هر دفعه که سیستم بوت می‌شود سیستم شما را چک نماید، این امر باعث می‌شود سیستم شما در هر لحظه در مقابل ورود ویروس و یا هنگام اجرای یک فایل اجرائی ایمن شود.
4- برنامه‌های آنتی ویروس در یافتن برنامه‌های اسب تروآ خیلی خوب عمل نمی‌کنند از این رو فوق العاده در باز کردن فایلهای باینری و فایلهای برنامه‌های excel و Word که از منابع ناشناخته و احیاناً مشکوک می‌باشند محتاط عمل کنید.
5- اگر نرم افزار کمکی خاصی برای ایمیل و یا اخبارهای اینترنتی بر روی سیستمتان دارید که قادر است به صورت اتوماتیک صفحات Java و word macro ها و یا هر گونه کد اجرائی موجود و یا ضمیمه شده به یک پیغام را اجرا نماید توصیه می‌شود این گزینه را غیر فعال ( disable) نمائید.
6- از قبول کردن فایلهای مختلف از طریق chat پرهیز کنید.
7- اگر احیاناً اطلاعات مهمی بر روی هارد دیسک خود دارید حتماً از همه آنها نسخه پشتیبان تهیه کنید تا اگر اطلاعات شما آلوده و یا از بین رفتند بتوانید جایگزین کنید.
ادامه دارد ......