••• کتول میدرخشد •••
از شما دوست عزیز میخوام که در صورت استفاده از مطالب وبلاگ حتما نام وبلاگ را به عنوان منبع ذکر نمایید.ممنونم.••• کتول میدرخشد •••
از شما دوست عزیز میخوام که در صورت استفاده از مطالب وبلاگ حتما نام وبلاگ را به عنوان منبع ذکر نمایید.ممنونم.ویروس چیست؟ (قسمت 3)
ویروسها چگونه پخش می شوند :
راه های بسیار زیادی برای انتقال ویروسها موجود می باشد که یکی از آنها روش زیر می باشد :
1) یک دیسک فلاپی که دارای بوت سکتور ویروسی می باشد را درون کامپیوتر قرار داده و کامپیوتر را خاموش می کنید
2) هنگامی که کامپیوتر را دوباره روشن می کنید دیسک هنوز در درایو A: موجود می باشد پس بوت سکتور ویروس آن فعال می گردد
3) ویروس یک کپی از خود را درون بوت سکتور هارد کامپیوتر ذخیره کرده بدین ترتیب دیگر هیچ نیازی به وجود دیسک نخواهد بود!!
4) هر بار که دیسکتی را درون درایو A: قرار می دهید ویروس در بوت سکتور دیسکت کپی می گردد.
5) سرانجام این دیسکت را به دوست یا همکار خود غرض می دهید.
6) این چرخه از کامپوتری به کامپیوتر دیگر ادامه پیدا کرده و ...
البته نیاز به یادآوری نیست که مطالب فوق تنها جهت کسب اطلاع و آشنایی شما با پخش ویروس ها است. از این رو از بکار بردن آن بطور عملی جداً خود داری کنید. زیرا ممکن است علاوه بر آسیب رسیدن به سیستم خودتان دیگران را نیز با مشکل مواجه کنید.
نکته : مواظب Autorun سی دی ها باشید چون آنها هم مثل بوت سکتور فلاپی عمل می کنند و تنها با گذاشتن Cd در CD ROM ممکن است آلوده بشوید برای حل این مشکل هنگامی که Cd را در درایو قرار دادید برای اجرا نشدن Autorun باید کلید Shift را پایین نگه دارید تا اجرا نشود بعد Cd را با یک آنتی ویروس اسکن کنید.
نحوه مخفی شدن ویروسها و نحوه اطلاع ما از وجود ویروس :
ویروس کامپیوتری معمولاً برنامه ای کوتاه می باشند که خود را ضمیمه یک برنامه دیگر مثلاً پردازشگر Word می کند . رفتار این ویروسهای کامپیوتری کاملاً شبیه به ویروس آنفولانزا است، که پس از وارد شدن به بدن شروع به تکثیر کرده و در صورت نبودن مراقبت لازم سیستم دفاعی بدن را از کار می اندازد .
حجم یک ویروس کامپیوتری می تواند تنها 90 بایت بوده که حتی از طول این پاراگراف که با احتساب فضای خالی تنها 191 بایت می باشد کوتاه تر است با این حال میانگین اندازه این ویروسها برابر 2000 کاراکتر می باشد.
هنگامی که یک ویروس خود را به برنامه دیگری اضافه می کند در حقیقت سبب می شود تا آن برنامه افزایش حجم پیدا کند از آنجا که این برنامه ها خود به خود حجیم نمی شوند پس می توان یکی از راههای از بین بردن این ویروسها یا پی بردن به وجود آنها را در کامپیوتر از طریق همین برنامه های حجیم شده تشخیص داد.
تمام این ویروسها دارای سه مشخصه اساسی زیر می باشند :
1- روشی برای تکثیر و پخش خود در دیگر کامپیوترها.
2- انجام دادن عملیاتی خاص در کامپیوتر (مثلا در تاریخی مشخص).
3- از کار افتادن برنامه پس از انجام عملیاتی خاص از قبیل نمایش یک پیغام کاملا بی ضرر مانند "Free Frodo" تا از بین بردن تمام محتویات هارد.
ویروسها بر حسب نحوه ورود به کامپیوتر به دو گروه مقدماتی تقسیم می شوند. گروه اول برنامه هایی هستند که دارای پسوندهای .EXE ,.SYS ,و یا COM بوده و می توانند از طریق E-Mail وارد Notepad موجود در Windows گردند. گروه دوم از طریق دیگر برنامه های فرعی وارد کامپیوتر شده و یکی از اهداف آنها آسیب رساندن به بوت سکتورها (Boot Sector) است. هر دیسک از چند هارد درایو و یک بوت سکتور که برنامه های اجرایی کامپیوتر را در بر می گیرد تشکیل شده است و ویروسها به راحتی می توانند در این مکانها ذخیره شوند.
ویروسی که در یک برنامه پنهان شده است با هر بار اجرای برنامه راه اندازی می شود بطور مثال اگر ویروس همراه برنامه Word شما باشد با هر بار استفاده ،ویروس موجود در آن راه اندازی می شود. در صورتیکه ویروس هایی که درون بوت سکتورها ذخیره شده باشند با هر بار روشن شدن کامپیوتر فعال می شوند فرض کنید یک دیسک را قبل از روشن کردن کامپیوتر درون درایو A: قرار داده اید با روشن کردن دستگاه بوت سکتور موجود در دیسک فعال شده و از طریق کامپیوتر خوانده می شود (همراه با ویروس موجود در آن).همچنین در صورتیکه هیچ دیسکتی درون درایو A: نباشد بوت سکتور موجود در درایو C: (همراه با ویروس موجود در آن)فعال می گردد.
یک ویروس ممکن است پس از فعال سازی درون حافظه RAM نفوذ کرده و به دیگر برنامه ها سرایت کند به طور مثال تعداد دفعات راه اندازی خود را محاسبه کرده و در صورتیکه این تعداد به رقم 100 رسید تمام اطلاعات کامپیوتر را پاک کند یا ممکن است حافظه RAM را از طریق تکثیر خود پر کرده و سرعت عملیاتی کامپیوتر را تا حد بالایی پایین بیاورد(این گروه از ویروسها کرم نامیده می شوند).
تاریخچه Love Bug سریعترین ویروس منتشر شده :
بعد از Melissa در چهارم ماه می سال 2000 ویروس Love Bug توانست از طریق شرکت خدماتی Sky Internet وارد شبکه شده و عنوان سریعترین انتشار را از آن خود بکند( البته این دو ویروس جز زیر مجموعه کرم ها Wormمی باشند)
Love Bug از آن جهت موفق شد که دارای زیرکی خاص Social Engineering بود. این ویروس همانند Melissa خود را از طریق کامپیوتر یک دوست ارسال کرده با این تفاوت که در قسمت Subject آن عبارت اغوا کننده ILOVEYOU تایپ شده و چشم پوشی از آن تا حدی غیر ممکن می نمود البته درون E-Mail نیز تا حدودی گمراه کننده بود و به راحتی سبب فریفتن کاربر می گشت :
“ Kindly check the attached LOVELETTER coming from me”
LOVE – LETTER – FOR – YOU.TXT.vbs
این پیام دارای دو نکته بسیار گمراه کننده می باشد :.اول: استفاده از کلمه فریبنده LOVE و دیگری استفاده از پسوند .TXT با حرف درشت بود زیرا همانطور که همه می دانید پسوند .TXT کاملا بی ضرر بوده و تنها با Notepadباز می گردد
پسوند حقیقی این فایل .vbs بوده و تنها افراد ماهر می دانند که این پسوند مربوط به Visual Basic Script می باشد و نشانگر برنامه بودن فایل بوده نه سند بودن آن .برنامه Love Bug متشکل از 311 خط می باشد که علاوه بر سرعت فراوان در انتشار از قدرت تخریب بسیار بالایی نیز برخوردار بوده و طبق یک برایند توانست در حدود 300 میلیون کامپیوتر را مورد تجاوز خود قرار داده و خسارتی معادل 3 تا 10 میلیارد دلار را بالغ گردد . Love Bug بر خلاف Melissa هیچ گونه آسیبی به فایلهای .DOC نرسانده بلکه فعالیت خود را متوجه فایلهای با پسوند .MP3 ,.JPG,.CSS,.WSH,.VBS,.SCR,.HTA,.MP2 نمود.
نحوه کار Love Bug بدین ترتیب بود که پس از تغییرات اندکی در Registery آن را جستجو کرده و در صورت یافتن هرگونه رمز عبوری فعال آن را به آدرسی در فیلیپین ارسال (دیگر وجود ندارد) کرده و سپس چندین کپی از خود را به تمام آدرسهای موجود در Outlook Express می فرستاد پس از آن ابتدا Home Page اینترنت کاربر را Resetکرده و پس از آن تمام فایلهای با پسوند ذکر شده را پاک و در عوض یک کپی از خود را در جای آنها قرار می داد.
لغات آسیب رسان نیستند:
تا چند سال پیش خواندن E-Mail یا یک فایل .DOC برنامه Word کاملاً بی خطر بوده و نیز مطمئن بودید که هیچ آسیبی متوجه شما نخواهد بود.در حالیکه اکنون فایلهای اطلاعاتی نظیر Excel , Word و ... نیز توانایی حمل و انتقال برنامه را داشته و عملیات معینی را برای کامپیوتر تعریف می کنند . ویروسها نیز چیزی غیر از برنامه ها ولی با اهداف غیر اخلاقی نمی باشند. در حال حاضر برای اجرای برنامه ها نیازی به پسوند .EXE ندارید. تنها فعل خواندن یک فایل .DOC نیز می تواند ویروسی را وارد کامپیوتر کرده و فعال کند. یکی از انواع برنامه هایی که درون فایل .Doc قرار می گیرد Macro ها می باشند تمام برنامه های اصلی مایکروسافت از جمله Word , Excel , Access با زبان VBA که همان زبان Macro ها می باشد نوشته می شوند .
آیا E-Mail های معمولی خطرناک هستند؟
همانطور که می دانید یکی از راههای جلوگیری از ورود ویروسهایی مانند Melissa به کامپیوتر باز نکردن فایلهای ضمیمه E-Mail هایی می باشد که انتظار آنها را نداریم اما آیا باز کردن E-MAIL هایی که هیچ فایل ضمیمه ندارند نیز خطرناک می باشد؟
متاسفانه بله . در حقیقت مشکل همان اسکریپت ها می باشند. اسکریپتها برنامه های کوچکی مانند Macro ها هستند که توانایی بسیار اندکی دارند . به عنوان مثال بر خلاف Macro و دیگر زبانهای کامپیوتری زبان اسکریپت قدرت پاک کردن فایلها را ندارد .دو زبان JavaScript و VBScript دو زبان بسیار معروف می باشند که در هیچ کدام از آن دو فرمانهایی که بتواند به کامپیوتر خسارت بزند وجود ندارد با اینکه این زبانها خود به تنهایی نمی توانند هدف خاصی را درون خود قرار دهند پس نصیحت من به شما این می باشد که هرگز از دست افراد غریبه سیبی را دریافت نکنید!!!
تکنیک Mata Hari : تله گذاری
یک تکنیک جالب استفاده شده در آنتی ویروس ها فرستادن یک برنامه درون کامپیوتر و جلب کردن توجه ویروسها می باشد این برنامه شرایط نفوذ ویروسها را در خود فراهم کرده و با بررسی مداوم برنامه از لحاظ افزایش حجم و ... به نفوذ برنامه ویروس پی می برد.
همانطور که می دانید بعضی از فایلها دارای پسوند .EXE می باشند .EXE مربوط به فایلهای اجرایی مانند Winword.EXE می باشد که تنها کاربردشان اجرا کردن برنامه ها می باشد یکی از راههای شناسایی ویروسها جستجو کردن فعالیتهای غیر عادی درون کامپیوتر می باشد یکی از این فعالیتها باز کردن و خواندن بوت سکتور و کپی کردن چیزهای جدید بر روی آها و فایلهای .EXE می باشد که همگی جز فعالیتهایی غیر عادی تلقی می شوند.
شاخص بررسی برای تغییرات فایل :
عمومی ترین آنتی ویروس بررسی کننده فایل، بطور پیوسته ای تمام قسمتهای یک فایل که توسط ویروس ها تغییر داده می شوند را امتحان کرده و هر گونه تغییری در سایز و اسم و تاریخ و Checksum هر فایل را شناسایی می نماید. یک ویروس به راحتی می تواند سایز , اسم و همچنین تاریخ یک فایل را ثابت نگاه دارد اما ثابت نگه داشتن Checksum یک فایل پس از انجام هرگونه تغییر جزئی یا کلی بر روی برنامه بسیار مشکل می باشد.
Checksum چیست ؟ به خاطر بیاورید که هر بایت یک برنامه عددی بین 0 و 255 می باشد بعضی از این کدها برای نشان دادن متن، بعضی برای ذخیره اطلاعات گروهی برای انجام عملیات محاسبه (جمع , ضرب ,هجی کردن لغات) و ... می باشند. با این حال همه آنها از اعدادی بین 0 و 255 تشکیل شده اند.
فرض کنید که یک فایل ذخیره ای دارای 10 دستورالعمل 27 ,157 , 2 ,88 , 240 ,240 , 8 , 99 , 201 , 84 می باشد. برای بدست آوردن Checksum مربوط به این فایل ارزش این کدها را با یکدیگر جمع کنید : Checksum بدست آمده این فایل مقدار 84+99+8+240+240+88+2+157+27 یا 1146 می باشد .
ویروس به راحتی می تواند بعضی از این کدها را تغییر دهد ولی امکان تغییر Checksum فایل در هنگام هرگونه جایگزینی بسیار زیاد می باشد پس به راحتی می توان به کمک Checksum هرگونه تغییری در فایل را ردیابی کرد. ولی مشکلاتی نیز وجود دارد، به خاطر بیاورید کهWord2000 دارای 8799232 بایت می باشد هر چقدر کامپیوتر ها نیز سریع باشند محاسبه مجموع این بایتها در برنامه های حجیم امروزی وقت زیادی می گیرد .
برگرفته از سایت irsecure
