ويروس كامپيوتري چيست؟

آشنايي با انواع مختلف برنامه‌هاي مخرب

E-mail virus

ويروسهايي كه از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده كه مي‌تواند در قالب يك صفحه با فرمت HTML و يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك word document باشد كه با باز كردن آنها فعال مي‌شوند.

Marco virus

اين نوع ويروسها معمولاً در داخل فايلهايي كه حاوي صفحات متني (word document) نظير فايلهاي برنامه‌هاي Ms office مانند microsoft word و Excel هستند به شكل ماكرو قرار دارند.
توضيح ماكرو: نرم افزارهايي مانند microsoft word و Excel اين توانايي را به كاربر مي‌دهند كه در صفحه متن خود ماكرويي را ايجاد نموده كه اين ماكرو مي‌تواند حاوي يكسري دستور العملها، عمليات‌ها و يا keystrok ها باشد كه تماماً توسط خود كاربر تعيين مي‌شوند.
ماكرو ويروسها معمولاً طوري تنظيم شده‌اند كه خود را به راحتي در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي مي‌‌دهند.

اسب تروآ:

سابقه انگيزة اين نوع برنامه حداقل به اندازه خود اسب تروآي اصلي است. عملكرد اين نوع برنامه‌ها هم ساده و هم خطرناك است.
در حاليكه كاربر با تصاوير گرافيكي زيبا و شايد همراه با موسيقي مسحور گردانده شده است، برنامه بدون متوجه شدن كاربر عمليات مخرب خود را انجام مي‌دهد.
براي مثال شما به خيال خودتان يك بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد نه تنها بازي‌اي در كار نيست بلكه ناگهان متوجه خواهيد شد تمام فايلهاي روي هارد ديسك شما پاك شده و يا به طور كلي فرمت گرديده است.

كرمها (worm)

برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري ?خزيده? و نفوذ مي‌كنند. در مورد برنامه‌هاي كرم در قسمت سوم مفصلاً بحث خواهد شد.

ويروسهاي بوت سكتور و پارتيشن

Boot sector بخشي از هر ديسك سخت و فلاپي ديسك است كه هنگامي كه سيستم از روي آنها راه‌اندازي مي‌شود به وسيله كامپيوتر خوانده مي‌شود. Boot Sector يك ديسك سيستم شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. ديسكهايي كه شامل داده هستند و غير سيستم مي‌باشند. حاوي كدي هستند كه براي نمايش پيغامي مبني بر اينكه كامپيوتر نمي‌تواند به وسيله آن راه‌اندازي شود، لازم است.
سكتور پارتيشن اولين بخشي از يك ديسك سخت است كه بعد از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور شامل اطلاعاتي دربارة ديسك از قبيل تعداد سكتورها در هر پارتيشن و موقعيت همه پارتيشن‌ها مي‌باشد.
سكتور پارتيشن، همچنين ركورد اصلي راه‌اندازي يا Master Boot Record -MBR نيز ناميده مي‌شود.
بسياري ازكامپيوترها طوري پيكربندي شده‌‌اند كه ابتدا از روي درايو: A راه‌اندازي شوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، وقتي كه قصد داريد سيستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا مي‌شود و ديسك سخت را آلوده مي‌كند.
اگر حتي ديسك شما حاوي فايلهاي سيستمي نباشد ولي‌ آلوده به يك ويروس بوت سكتوري باشد اگر اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره‌ راه‌اندازي كنيد پيغام زير مشاهده مي‌شود ولي ويروس بوت سكتوري پيش از اين اجرا شده است و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready

كامپيوترهاي بر پايه Intel در برابر ويروسهاي Boot Sector و Partition Table آسيب پذير هستند.
اينگونه ويروسها مي‌توانند هر كامپيوتري را صرف نظر از نوع سيستم عامل آن تا وقتي كه ويروس قبل از بالا آمدن سيستم اجرا گردد، آلوده كنند.

HOAX (گول زنك‌ها)

اين نوع ويروسها امروزه بازار داغي را دارند، پيغامهاي فريب آميزي كه كاربران اينترنت را گول زده و به كام خود مي‌كشد. به ويژه وقتي كه كاربر بيچاره كمي هم احساسي باشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نمي‌باشد و تا حدودي بستگي به روحيات شخصي نويسنده ويروس دارد، گاهي ممكن است تهديد آميز و يا بالعكس محبت آميز و يا مي‌تواند هشداري مبني بر شيوع يك ويروس جديد در اينترنت و يا درخواستي در قبال يك مبلغ قابل توجه و يا هر چيزي ديگري كه انسان را وسوسه كرده تا دست به عملي بزند را شامل شود. البته ناگفته نماند كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است پيغام شخص سازنده ويروس نباشد بلكه يك پيغام ويرايش شده و يا به طور كلي تغيير داده شده توسط يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.
نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده است و همين امر باعث گسترش سريع Hoax‌ها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده مي‌تواند به صورت يك بمب منطقي و يا يك اسب تروا باشد و يا شايد يكي از فايلهاي سيستمي ويندوز ما، شيوه‌اي كه ويروس Magistre-A از آن استفاده مي‌كند و خود را منتشر مي‌كند.

SULFNBK يك ويروس، يك شوخي و يا هردو؟!

سايت خبري سافس چندي پيش خبري مبني بر شناخته شدن يك ويروس جديد منتشر كرد، ويروسي با مشخصه SULFNBK (SULFNBK.EXE)
شايد براي بعضي از شما اين نام آشنا باشد.
SULFNBK.EXE نام فايلي است در سيستم عامل ويندوز 98 كه وظيفه بازيابي اسامي طولاني فايلها را به عهده دارد و يك فايل سودمند در سيستم عامل ويندوز 98 مي‌باشد.
اينجاست كه مي‌توان به مفهوم واقعي HOAX ها پي برد، فايل SULFNBK.EXE اي كه معمولاً به همراه يك نامه فريب آميز و شايد تهديد اميز بزبان پرتغالي از طريق پست الكترونيكي وارد سيستم مي‌شود دقيقاً در جايي ساكن مي‌شود كه فايل SULFNBK.EXE سالم در آنجاست، در واقع بهتراست بگوييم جايگزين آن مي‌شود. فايل SULFNBK.EXE آلوده در شاخه Command ويندوز 98 ساكن شده و چون داراي همان شمايل و سايز مي‌باشد به همين منظور كاربر متوجه حضور يك ويروس جديد در سيستم خود نخواهد شد و اينجاست كه كاربر فريب خورده و ويروس خطرناك Magistre-A كه در هسته اين فايل وجود دارد در اول ماه ژوين فعال شده و سازنده خود را به مقصودش مي‌رساند. نسخه‌اي ديگر از اين ويروس را مي‌توان يافت كه در 25 ماه مي فعال شده و تفاوتي كه با نسخه قبلي خود دارد آنست كه روي فايل SULFNBK.EXE آلوده در ريشه درايو C ساكن مي‌شود. لازم به ذكر است اين ويروس در سيستم عامل ويندوز 9X فعال مي‌شود و حوزه فعاليتش در درايو C مي‌باشد. تشخيص اينكه فايل SULFNBK.EXE ما واقعاً آلوده است يا خير دشوار است. البته شايد از طريق ويروس يابهاي جديد بعد از ماه ژوئن 2002 مانند جديدترين نسخه Norton، McAfee بتوان آنها را تشخيص داد اما اگر به ويروس يابهاي ذكر شده دسترسي نداشته باشيم مي‌توانيم حداقل فايل SULFNBK.EXE را چه آلوده باشد و چه نباشد پاك كنيم، البته از آنجايي كه فايل SULFNBK.EXE يك فايل سيستمي ويندوز به شمار مي‌رود ممكن است پاك كردن آن به سيستم عامل لطمه وارد كند، از اينرو بد نيست قبل از پاك كردن، نسخه‌اي از آن را بر روي يك فلاپي كپي كرده و نگه داريم. البته اگر مايل به اجراي آن نيستيد! حقيقت آنست كه كمتر كسي هم تن به اجرا كردن مي‌دهد و ريسك مي‌كند.
اما پيغامي كه ضميمه اين فايل ارسال مي‌شود نيز در چند نسخه وجود دارد كه نسخه اصل آن همانطور كه گفته شد به زبان پرتغالي است كه اين پيغام نيز ممكن است بزبانهاي انگليسي و اسپانيولي ترجمه و يا حتي تغيير داده شده باشد.
به هرحال هر ويروسي چه از نوع HOAX باشد و چه از انواع ديگر، يك دوراني دارد و به قول معروف يك مدت كوتاه يا بلند روي بورس است و معمولاً لطمه‌هاي غير قابل جبران خود را در همان بدو تولد به جاي مي‌گذارند و بعد از مدتي مهار مي‌شوند . اما نكته‌اي كه قابل توجه است اينست كه با داشتن يك پيش زمينه مي‌توان حداقل با نسخه‌هاي جديدتر آن ويروس و يا ويروسهاي مشابه آن به راحتي در همان شروع كار مبارزه كرد.

CELLSAVER يك اسب تروا

a.k.a CellSaver- Celcom Screen Saver نير ويروسي از نوع HOAX مي‌باشد كه چندي پيش در اينترنت منتشر شده و عليرغم آنكه مدت زيادي از اولين انتشار آن مي‌گذرد اما هنوز كاربران اينترنت گريبان گير آن هستند. اين ويروس در دو نسخه وجود دارد. كه نسخه اول براي نخستين بار در سال 1998 ظاهر شد و نسخه جديدتر آن كمي بعد در آوريل 1999 براي كاربران اينترنت ارسال شد و هردو آنها به همراه يك پيغام دروغين منتشر شده‌اند.
هرگاه نامه‌اي با عنوان CELLSAVER.EXE وبه همراه فايلي با همين نام دريافت كرديد بدون ترديد آنرا پاك كنيد و از Forward كردن آن براي شخص ديگري پرهيز كنيد، اينكار هيچ لذتي ندارد و فقط به انتشار بيشتر آن كمك كرده و به بقاي آن مي‌افزاييد.
اين فايل يك اسب تروا كامل مي‌باشد ، يك فايل Screen Saver زيبا براي ويندوز و به محض اجرا شدن هر كسي را مجذوب و مسحور مي‌گرداند.
احتياط كنيد! CELLSAVER.EXE به محض اجرا شدن يك گوشي تلفن بي‌سيم Nokia بر روي صفحه نمايش به صورت يك Screen Saver نمايش مي دهد كه در صفحه نمايش اين گوشي، زمان و پيغامهائي را مي‌‌توان ديد. بعد از يكبار اجرا شدن، ويروس فعال شده و شما خيلي زود متوجه خواهيد كه سيستم شما بسيار كند شده و قادر به بوت شدن نخواهد بود و اطلاعات رود هارد ديسك نيز پاكسازي مي‌شوند و شما مجبور به نصب مجددكليه برنامه‌هايتان خواهيد بود.
در آخر باز هم يادآور مي‌شويم كه هيچ يك از نامه‌هاي دريافتي كه كمي ناشناخته و مشكوك به نظر مي‌رسند را مطلقاً باز نكنيد.

ويروسهاي چند جزئي Multipartite virus

بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده مي‌كنند و فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده مي‌كنند. اينگونه ويروسها معمولاً تحت windows 9Xيا Win.Nt انتشار نمي‌يابند.

چگونه ويروسها گسترش مي‌يابند؟

زماني كه شما يك كد برنامة آلوده به ويروس را اجرا مي‌كنيد، كد ويروس هم پس از اجرا به همراه كد برنامه اصلي ، در وهله اول تلاش مي‌كند برنامه‌هاي ديگر را آلوده كند. اين برنامه ممكن است روي همان كامپيوتر ميزان باشد، ممكن است برنامه‌اي بر روي كامپيوتر ديگر واقع در يك شبكه باشد. حال اين برنامه كه تازه آلوده شده نيز پس از اجرا دقيقاً عمليات مشابه قبل را به اجرا درمي‌اورد. وقتي شما يك كپي از فايل آلوده را ، كه براي ديگر كاربران كامپيوترهاي ديگر به صورت اشتراكي قابل دسترسي قرار مي‌دهيد، با اجراي اين فايل كامپيوترهاي ديگر نيز آلوده خواهند شد. و همچنين طبيعي است با اجراي هرچه بيشتر اين فايلهاي آلوده فايلهاي بيشتري آلوده خواهند شد.
اگر كامپيوتري آلوده به يك ويروس بوت سكتور باشد، ويروس تلاش مي‌كند كه كپي‌هايي از خود را در فضاهاي سيستمي فلاپي ديسكها و هارد ديسك بنويسد. سپس فلاپي آلوده مي‌تواند كامپيوترهايي را كه از روي‌آن بوت مي‌شوند آلوده كند و نيز يك نسخه از ويروسي كه قبلاً روي فضاي بوت يك هارد ديسك نوشته شده نيز مي‌تواند فلاپي‌هاي جديد ديگري را نيز آلوده نمايد.
ويروسهايي كه هم قادر به آلوده كردن فايلها و هم قادر به آلوده نمودن فضاهاي بوت مي‌باشند را اصطلاحاً ويروسهاي چند جزئي (multipartite) مي‌نامند.
فايلهايي كه به توزيع ويروسها كمك مي‌كنند ويروسها حاوي يك نوع عامل بالقوه مي‌باشند كه هر نوع كد اجرائي را آلوده مي‌كنند. نه فقط فايلهايي كه عمدتاً فايلهاي برنامه‌اي (program files) ناميده مي‌شوند. براي مثال بعضي ويروسها كدهاي اجرائي را آلوده مي‌كنند كه در بوت سكتور فلاپي ديسكها و فضاهاي سيستمي هارديسكها وجود دارند.
يك نوع ديگر ويروس كه به ويروسهاي ماكرو شناخته شده‌اند، مي‌توانند عمليات پردازش كلمه‌اي (word processing) يا صفحه‌هاي حاوي متن را آلوده كنند كه از ماكروها استفاده مي‌كنند.البته اين امر براي صفحه‌هايي با فرمت HTMl نيز صادق است.
از آنجائيكه يك كد ويروس بايد حتماً قابل اجرا شدن باشد تا اثري از خود به جاي بگذارد از اينرو فايلهايي كه كامپيوتر با آنها به عنوان داده‌هاي خالص و تميز سرو كار دارد امن هستند.
فايلهاي گرافيكي و صدا مانند فايلهايي با پسوند gif . ، jpg ، mp3، wav،?
براي مثال زماني كه يك فايل با فرمت picture را تماشا مي‌كنيد كامپيوتر شما آلوده نخواهد شد.
يك كد ويروس مجبور است كه در قالب يك فرم خاص قرار گيرد مانند يك فايل برنامه‌اي .exe يا يك فايل متني كه كامپيوتر واقعاً آن را اجرا مي‌كند.

عمليات مخفيانه ويروس در كامپيوتر

همانطور كه مي‌دانيد ويروسها برنامه‌هاي نرم افزاري هستند آنها مي‌‌توانند مشابه برنامه‌هايي كه به صورت عمومي در يك كامپيوتر اجرا مي شوند باشند.
اثر واقعي يك ويروس بستگي به نويسندة ان دارد. بعضي از ويروسها عمداً براي ضربه زدن به فايلها طراحي شده‌اند و يا در حالت ديگر مي‌‌توان گفت در عمليات مختلف كامپيوتر شما دخالت مي‌كنند و خلل ايجاد مي‌كنند.
براحتي بدون آنكه متوجه شويد خود را تكثير مي‌كنند وگسترش مي‌يابند و در حين گسترش يافتن نيز به فايلها صدمه رسانده و يا ممكن است باعث مشكلات ديگر شوند. نكته: ويروسها قادر نيستند به سخت افزار کامپیوتر آسیب برسانند مثلا باعث سوختن هارد شوند

ويروسها و E-mail

شما فقط با خواندن يك متن سادة پيغام يك e-mail و يا استفاده از netpost ويروسي دريافت نخواهيد كرد. بلكه چيزي كه بايد مراقب آن بود پيغامهاي رمز شدة حاوي كدهاي اجرائي قرار داده شده درآنها و يا پيغامي كه حاوي فايل اجرائي ضميمه شده است. از اين رو براي به كار افتادن يك ويروس و يا يك برنامه اسب تروا كامپيوتر مجبور است بعضي كدها را اجرا نمايد كه اين كد مي تواند يك برنامه ضميمه شده به يك e-mail و يا يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشد.