عبارت«ویروس های کامپیوتری» مدتی است که در فرهنگ اصطلاحات کامپیوتری جای خود را به خوبی باز کرده است و نه تنها کاربران و استفاده کنندگان از کامپیوتر ، بلکه دیگرانی که از دور هم با نام کامپیوتر آشنا هستند این عبارت را کمابیش شنیده اند.
استفاده کنندگان از کامپیوترهای شخصی باید همواره از برنامه- ها، فایل ها و داده های غیر قابل جایگزین خود در مقابل آتش، صدمات وارده به یک دیسک سخت، نرم افزارهای ضعیف از نظر برنامه نویسی ، و نیز بسیاری دیگر از صدما ت احتمالی محافظت نمایند.
به نظر کارشناسان باید با مسئله ویروس های کامپیوتری به طورزیر بنایی برخورد کرد.
همان طور که همه ی مردم نمی توانند «پزشک» ، تبدیل کردن همه برنامه نویسان به «ویروس کشانی» مجرب و کارآمد نیز امکان پذیر نخواهد بود.
ولی می توان به برنامه- نویسان و استفاده کنندگان از کامپیوتر درمورد ماهیت این پدیده توضیح داده شود و سپس باید « کمک های اولیه»، به آن ها آموخته شود.
این تحقیق از 3 بخش تشکیل شده است که در فصل اول تعاریف مربوط به ویروس ها وخصوصیات و محل زندگی و...
ذکر شده است و در فصل دوم انواع ویروس ها و در فصل سوم راه های مقابله و پاک سازی ویروس ها آمده است و سعی شد ه است موضوعات مهم ویروس های کامپیوتری آورده شود.
برای بسیاری از کلمات و اصطلاحات کامپیوتری نام لاتین آن نیز در پانوشت ذکر شده است.ودر پایان پاراگراف هایی که با حرف E مشخص شده است منبع آن اینترنت می باشد
فصل اول- آشنایی با ویروس های کامپیوتری
1-1-ویروس کامپیوتری چیست؟
یک ویروس کامپیوتری عبارت است از یک برنامه کامپیوتری – نه کمتر و نه بیشتر – که می تواند خطر ناک نیز باشد.
به زبان ساده می توان گفت: ویروس کامپیوتری ،برنامه مخفی و کوچکی است که باعث آلوده شدن برنامه های دیگر می شود و می تواند داده ها را دستکاری و یا تخریب نموده، سرعت سیستم را کاهش داده، باعث اغتشاش و عدم کارایی کامپیوتر شود.-2
ویروس های کامپیوتری خود به خود یا به طور طبیعی بوجود نمی آیند و به طریق سحر و جادو نیز ظاهر نمی شوند بلکه توسط افرادی هوشمند و آگاه به سازمان کامپیوتر تولید- نوشته- می شوند.
بنابر این ویروس کامپیوتر یک «نرم افزار» است و آنچه که ویروس های کامپیوتری را از برنامه ها و نرم افزارهای دیگر نظیر برنامه های حسابداری ،انبارداری،ویرایشگرها و… ممتاز می سازد، این است که: ویروس ها معمولا راندمان و کیفیت کار کامپیوتر را کاهش می دهند و یا اینکه اصولا در مورد اطلاعات کامپیوتری «خرابکاری» می کنند.-1
برنامه ایرا ویروس می نامیم که همه ی ویژگی های زیر را دارا باشد:
1- تغییر نرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی از این برنامه به برنامه های دیگر.
2-قابلیت انجام تغییر در بعضی از برنامه ها.
3- قابلیت تشخیص این نکته که برنامه قبلا دچار تغییر شده است یا خیر.
4- قابلیت جلوگیری از تغییر بیشتر یک برنامه در صورت تغییراتی در آن بواسطه ی ویروس.
5- نرم افزارهای تغییر یافته ویژگی های 1 الی 4را دارا هستند.
اگر برنامه ای فاقد یک یا چند ویژگی های فوق باشد، نمی توان به طور قاطع آن را ویروس نامید.E-
مهمترین خصوصیت ویروس قدرت تکثیر آن است.
ویروس ها برای تکثیر نیاز به یک برنامه اجرایی دارند.
یعنی بیشتر ویروس ها در فایل های اجرایی جای می گیرند و آن ها را آلوده می کنند.
و کمتر ویروسی پیدا می شود که در یک فایل غیر اجرایی جای بگیرد و بتواند از طریق آن تکثیر شود.
بنابراین ویروس برنامه ای است که می تواند نسخه های اجرایی از خود را در برنامه های دیگر قرار دهد.
برنامه آلوده به ویروس می تواند هر برنامه سیستمی یا کاربردی باشد که شرایط مورد نیاز برای پذیرش ویروس را داشته باشد.
برنامه آلوده نیز، قادر است برنامه های دیکر را آلوده کند.
از آن جایی که ویروس ها می توانند به تمام فایل هایی که توسط سیستم اجرا می شوند، اضافه شوند به آنها خود انعکاسی(1) نیز می گویند.
با وجودیکه ویروس ها توسط برنامه نویسان مجرب و حرفه ای نوشته می شوند، ولی برخی ها تصور می کنند که خود به خود و به طور تصادفی وارد سیستم می شوند.
ولی فرد کوهن (2)و سایر کارشناسان احتمال به وجود آمدن ویروس به طور تصادفی را بسیار کم دانسته اند.زیرا:
a-اگر طول برنامه ویروس هزار بیت فرض شود.
b- اگر پنجاه در صد از بیت ها صحیح فرض شوند.
-c اگر فرض کنیم با پانصد تغییر در برنامه، ویروس کامل می شود.
آنگاه احتمال به وجود آمدن ویروس برابر است با:
آنگاه احتمال به وجود آمدن ویروس برابر است با: P=500!/1000500 با فرض فوق که شرایط مطلوبی برای ایجاد خود به خودی ویروس است عدد P برابر مقدار کوچک 1/10365 می شود که شانس بسیار کمی به وجود آمدن و تکامل ویروس به طور تصادفی است.-2 2-1-مقایسه ویروس های بیولوژیکی و کامپیوتری به کار بردن کلمه ویروس برای این برنامه ها، به دلیل شباهت فراوان آنها با ویروس های بیولوژیکی است که در بدن موجود زنده فعالیت می کنند.
بنابر این ویروس های کامپیوتری را می توان با ویروس های بیولوژیکی مقایسه کرد.
ویروس های بیولوژیکی رشته هایی از اسید نوکلیک(1) ، همراه با پوشش پروتیینی هستند که به تنهایی هیچ اثری از حیات ندارند مگر اینکه به یک سلول زنده به عنوان میزبان را وارد شوند.
پس از ورود ویروس های بیولوژیکی به بدن، شروع به فعالیت کرده و فعالیت های سلول میزبان را متوقف می کنند.ویروس های بیولوژیکی در بدن میزبان می توانند تولید مثل کرده و ویروس جدید به وجود آورند.-2 ویروس های کامپیوتری مانند ویروس های بیولوژیکی به تنهایی نمی توانند فعالیت کنند و همانند ویروس های بیولوژیکی نیاز به میزبان دارند.
ویروس های کامپیوتری به طور غیر فعال در برنامه میزبان باقی می مانند تا در شرایط مناسب فعال شده و عملیات تخریبی و تکثیر خود را آغاز کنند.شرایط مناسب برای فعالیت ویروس ها، بسته به نوع آن ها متفاوت است.-2 برخی از ویروس های بیولوژیکی هستند که در سلول مستقر می شوند و یا با تولید زیاد در آن،سلول را از بین می برند و یا در آن جوانه می زنند و کاری به آن ندارند.
ویروس های کامپیوتری نیز همین گونه عمل می کنند و با استقرار در یک کامپیوتر و رخنه در آن یا با تکثیر زیاد به آن صدمه می زنند و یا بدون صدمه زدن در آن، در آن جوانه زده و شروع به رشد می کنند.-2 3-1-محل زندگی ویروس ها کجاست؟
ویروس های کامپیوتری نیز همانند هم نام های بیولوژیکی خود بایستی جایی را برای باقی ماندن خود داشته باشند.
ویروس های کامپیوتری می توانند در دو جا قرار داشته باشند: 1- روی دیسک؛ 2- حافظه RAM؛ ماندن ویروس داخل RAM (حافظه کامپیوتر) موقتی است و تا زمانی ادامه دارد که کامپیوتر روشن باشد ولی ویروس ها می توانند روی دیسک به طور دایم باقی بمانند.
ذکر این نکته ضروری است که اقامت ویروس ها روی دیسک گرچه دایمی می تواند باشد اما ویروس در آنجا قدرت فعالیت ندارد و «زنده» بودن ویروس در حافظه RAM به ظهور می رسد.
می توان اینطور تصور کرد که ویروس ها در روی دیسک به «حالت کمون» قرار دارند و شرایط تحرک و حیات آن ها در حافظه ی RAM در اختیار قرار می گیرد.
یعنی چرخه ی حیات ویروس از حافظه RAM به دیسک و بالعکس می باشد.-1 بعضی از ویروس ها بر روی فایل هایی با پسوند EXE و بعضی از آن ها بر روی فایل های با پسوند COM و بعضی دیگر بر روی هر دو دسته اثر می گذارند.
بنابر این می توان گفت:یکی از محل های وجود ویروس ، فایل های اجرایی است.
پسوندهای رایج فایل هایی که توسط ویروس ها، آلود می شوند عبارتند از: EXE-COM-SYS-BIN-OVL-DLL-SCR-DOC-DOT-OVR-APP-XTP-FON برخی از ویروس ها علاقه خاصی به بوت سکتور(1) و پارتیشن تیبل(2) دارند.
ویروس های بوت سکتور، جای بوت سکتور را با برنامه خودشان عوض می کنند.
اگر ویروس ها به بیش از یک سکتور نیاز داشته باشند، سکتورهای دیگری از دیسک را به کار می برند و در این صورت در جدول FAT آن هارا به عنوان «بدسکتور»(1) علامت گذاری می کنند.
تا از نوشتن روی آن ها جلوگیری شود و اکثر برنامه های کمکی مانند نورتن نیز نمی توانند محتویات این سکتورها به ظاهر خراب را نمایش دهند.-2 رکورد راه انداز اصلی(2) درسکتور اول هارد دیسک تراک صفر قرار دارد وحاوی جدولی است که اندازه و حد هر پارتیشن را در خود جای داده است.
ویروس های رکورد راه انداز اصلی، نسخه ای از خودشان را روی رکورد مزبور کپی می کنند و جای رکورد در راه انداز اصلی، هارد دیسک را عوض می کنند .
برخی از ویروس های با قرار گرفتن در بوت سکتور رکورد راه انداز اصلی، پس از روشن شدن کامپیوتر ،به راحتی و به دلخواه کنترل برنامه های اجرایی را دست می گیرند.-2 برخی از ویروس ها بر روی برنامه های غیر اجرایی یا داده ای اثر گذاشته و آنها را غیر فعال می کنند.
ویروس ها، فقط می توانند به فایل های داده ای صدمه بزنند، اما نمی توانند آنها را آلوده کنند.
در نتیجه فایل های داده ای نیز نمی توانند کامپیوتر را آلوده کنند.
از فایل های داده ای می توان فایل های با پسوند DBF.وDAT.و… نام برد.-2 4-1-خصوصیات ویروس بر اساس تعاریف قبلی ویروس ها دارای خصوصیات زیر می باشند: برنامه نرم افزاری کوچک و مضری است که روی نوعی وسیله ی ذخیره اطلاعات کامپیوتری، قرار می گیرد.
به صورت خودکار و بدون دخالت اشخاص اجرا می شوند.
3-معمولا در حافظه هستند و با اجرای فایل ها ی آلوده به ویروس،در حافظه کپی می شوند.
4-نام ویروس در فهرست فایل ها ظاهر نمی شود.
5- ویروس هامیتوانندخودرادر سایر کامپیوترهاازطریق برنامه هایآلوده،کپی کرده و تولید مثل نمایند.
6- ویروس های کامپیوتری توسط برنامه نویسان تکامل پیدا می کنند.
یعنی در حال حاضر تکامل آن ها وابسته به دخالت برنامه نویسان است.
7- اکثر ویروس های بوت سکتور کوچکتر از 512 بایت هستند زیرا فضای ذخیره شده در این قسمت 512 بایت(یک سکتور) است.
8- بعضی از ویروس ها مانع از اجرای ضد ویروس هایی مانند Scan می شوند و این در صورتی است که حافظه آلوده به ویروس نباشد.
9- ویروس ها ی مقیم در حافظه ، در صورت اجرا یا باز شدن فایل، آنها را آلوده می سازند.
10- قسمت های مختلف یک ویروس به هم وابسته است و با پاک کردن یک یا همه دستورات ، ویروس از بین می رود.
11- ویروس ها معمولا تغییرات مختلف در کامپیوتر را تشخیص داده و می توانند در مقابل آن ها عکس العمل نشان دهند.-2 5-1- مراحل زندگی ویروس از آن جایی که ویروس های کامپیوتری همانند ویروس های بیولوژیکی هستند نام ویروس را بر روی آن گذاشته اند.
و دارای چرخه ی حیاتی به شرح ذیل می باشند: مرحله خوابیده(1): مدت زمانی است که ویروس از زمان نوشته شدن تا زمان انتقال لازم دارد.
مرحله انتشار(2) : که در این مرحله آلوده سازی صورت می گیرد.
3-مرحله فعال شدن(3) :که در این مرحله شروع به آلوده کردن کامپیوتر می کند.
4-مرحله صدمه زدن(4) :که بر اساس نوع ویروس آلوده کننده متفاوت است.
عبور از مرحله ی یک بستگی به نوع ویروس آلوده کننده دارد برای ویروس «وان هاف» دو سال و نیم طول کشید و برای ویروس ماکرو چند ماه بیشتر طول نکشید.
در مرحله ی انتشار برای جلب اطمینان استفاده کننده،و برای این که ویروس کشف نشود، ویروس تنها یک کپی از خودش را به دیسک منتقل می کند.
و برای مرحله فعال شدن یک دستور (نظیر کپی یا روشن و خاموش شدن یا …) لازم است.
در مرحله ی صدمه زدن نوع صدمه ای که برنامه نویس تعیین کرده است اجرا می- گردد.-2 زمانی که ویروس وارد سیستم و اجرا شد این برنامه در هر منطقه ای که اجرا می شود آن جا را آلوده کرده و خود یک ویروس منتشر کننده می شود، که ویروس های منتشر کننده ی بیشتری تولید می کند.
ویروس هاتولید می شوند و آلوده می کنند و در پایان از بین می روند.
پس از تولید ویروس ها فعالیت آن ها شروع شده و شروع به تولید مثل می کنند.
که بیشترین صدمه را در این مرحله می زنند.
پس از شناسایی ویروس دیگر با قدرت قبلی فعالیت نمی کند بلکه سرعت فعالیتش کاهش یافته زیرا کاربران ماهر دیگر می دانند فعالیت ویروس کجاست.
ولی کاربران غیر ماهر از آن اطلاعی ندارند.
در پایان ویروس مرگش فرا می رسد و برنامه های ضد ویروس آن را شناسایی می کنند و نابود می گردد.
6-1- تاریخچه ویروس در سال 1983 در یک سمینار به نام سمینار «حفاظت دیسک(1)» افراد شرکت کننده در سمنار مدعی بودند که اطلاعات درون دیسک ها، اگر به طور عادی حذف نشوند و آسیب فیزیکی نبیند در دیسک دارا ی عمر طولانی هستند.
ولی فرد کوهن نظر دیگری را در رد این نظر داد.
کوهن در سال 1983 برنامه ی کوچک چند بایتی نوشت که پس از چند بار اجرا باعث می شد که در طول برنامه، مقداری اضافه شود و این عمل باعث می شود که پس از چند بار اجرا دیگر برنامه آلوده شده، اجرا نشود و در واقع آسیب ببیند.
و فرد کوهن اولین ویروس کامپیوتری را نوشت.
اولین ویروس غیر آزمایشی در ژانویه 1986 کشف شد و در سال 1987 نام ویروس های کامپیوتری بر سر زبان ها افتاد.
در نوامبر همان سال یکی از فارغ التحصیلان دانشگاه«کورنل(2)» اولین ویروس کامپیوتری به معنی امروزی را نوشت.
و آنرا وارد شبکه اینترنت کرد.
کوهن بتدریج به عنوان پدر ویروس های کامپیوتری شناخته شد.
و کتاب او «تیوری آزمایشات ویروس های کامپیوتری» مورد توجه فراوان قرار گرفت.
ولی اولین ویروس کامپیوتری شخصی ویروس «و یردم(3) »بود که توسط «رالف برگر(4)» نوشته شد.
او بعداً ضد ویروس آن را هم نوشت.
7-1-برنامه های شبه ویروس گاهی برنامه های ویروس با انواع دیگری که شبیه ویروس هستند اشتباه می شوند این برنامه ها عبارت است از: 1- اسب تروآ(1): نام تروآ از داستان اسب تروآ که مربوط به نبرد یونانیان با ساکنان شهر تروآ است، گرفته شده اند.
اسب های تروآ تظاهر می کنند که کاری خاص را انجام می دهند ولی در عمل برای هدف دیگری ساخته شده اند.E- ویروس اسب تروآ نیز به صورت مخفی وارد سیستم کامپیوتر شده و پس از مدتی سکوت و عدم فعالیت ،مشغول عملیات مخرب خود، مانند از بین بردن راهنمای دیسک یا FAT (2)می شوند و این برنامه ها در هر بار اجرا عملیات تخریبشان را انجام می دهند.
بنابراین تروآ ها در اصطلاح کامپیوتری، برنامه ای است که ظاهری زیبا، فریبنده و مفید دارد اما درون خود حامل برنامه ای مخرب است.
تروآیی ها بر عکس ویروس قادر به تولید مثل خود نیستند.-2 2- بمب منطقی(3): یک بمب منطقی عبارت است از یک برنامه کوچک که به برنامه موجود اضافه شده و تحت شرایط ویژه، یک «انفجار» !
در کامپیوتر (در اطلاعات موجود در کامپیوتر) بوجود می آورد.
درجه آلوده سازی بمب منطقی همانند ویروس های کامپیوتری نیست و مثل ویروس از یک کامپیوتر به کامپیوتر دیگر منتقل نمی شود.-1 بمب منطقی معمولا برای یک برنامه خاص ویک کامپیوتر خاص طراحی و تدوین می شوند تفاوت آنها با اسب تروآ در این است که اسب تروآ، روی هر سیستم و هر کامپیوتری فعال می شود درحالی که بمب منطقی روی یک سیستم خاص عمل می کند.
3-کرم(1): نوعی برنامه نرم افزاری است که در طول حافظه کامپیوتر ،یا روی دیسک و یا هر دو حرکت کرده و اطلاعات موجود را تغییر می دهد.
تفاوت کرم ها، با ویروس ها را می توان به صورت زیر خلاصه کرد: 1 – کرم ها برای گسترش به برنامه میزبان و حامل نیاز ندارند.
2- قطعات کپی شده جدید توسط کرم ها، بر خلاف ویروس ها نمی توانند بطور مستقل عمل کنند و باید ارتباطشان را با تولید کننده حفظ کنند.
3- کرم ها گسترش می یابند ولی تکثیر نمی شوند زیرا کرم ها بدون استفاده از برنامه حامل به تمام سطوح سیستم خزیده و نفوذ می کنند در حالیکه ویروس ها تکثیر می شوند.-2 8-1-دلایل ویروس نویسی نویسندکان ویروس اغلب ناشناخته اند و برای مقاصد کنجکاوی و یا سرگرمی ، انتقام جویانه و خراب کارانه و گاه در اثر روحیه مردم آزاری و روان بیمار خود شروع به نوشتن ویروس می کنند.
از اهداف مهم ویروس نویسی می توان موارد زیر را بر شمرد: 1- حفاظت نرم افزار: در کشور پاکستان دو برادر بودندکه نرم افزارهای آمریکایی را خریداری می کردند و پس از تکثیر غیر مجاز ،آن ها را به بهای کم می فروختند.
و این نرم افزارها به ترکیه می رفت و در آنجا نیز تکثیر می شد.
این دو برادر برای جلوگیری از این کار اقدام به نوشتن ویروسی کردند که در صورت کپی غیر مجاز از آن نرم-افزار شروع به فعالیت کرده و با دادن پیغام خطا کار خود را شروع می کرد.
شرکت های بسیاری برای جلوگیری از کپی برداری غیرمجاز اقدام به گذاشتن قفل بر روی نرم افزارها می کند .
ولی پس از مدتی این قفل ها باز می شدند، این ویروس ها طوری تهیه شدند که در صورت کپی غیر مجاز فعال می شوند.-2 2- کسب در آمد: بعضی از شرکت ها برای اینکه نرم افزارهای ضد ویروس خود را به فروش برسانند اقدام به نوشتن ویروس کرده و سپس با ایجاد نگرانی از لحاظ از دست رفتن اطلاعات با فروش نرم افزاری خود پول سرشاری را نصیب خود می کردند.
3- مقاصد شخصی مقاصد شخصی دارای موارد زیر می باشد: الف- مقاصد ایذایی فردی: برای مثال یک برنامه نویس که از بیکاری رنج و هراس دارد می-تواند با نوشتن یک برنامه ی ویروس آن را برای ساعت و زمان معینی «کوک» کند.
حال اگر در آن زمان آن را خنثی نکرد یا زمانش را به تعویق نینداخت شروع به اجرای خود می کند.
ب- مقاصد ایذایی گروهی و شرکتی یا سیاسی: ممکن است یک کمپانی برای از میان برداشتن رقیب شروع به ویروس نویسی کند و آن را به میان کامپیوترهای کمپانی رقیب وارد نماید.
ج- ارضاء نفس: ممکن است دلایل فرهنگی باشد.
وجود افرادی متخصص که در تخصص خود مهارت دارند و از صدمه زدن به دیگران لذت می برند و عقده های روانی خود را نشان می دهند.-1 9-1-کاربرد مفید ویروس: همانطوریکه بعضی از ویروس های بیولوژیکی برای انسان بی خطر است ولی برای مقابل با ویروس های خطرناک استفاده می-شوند.
در ویروس های کامپیوتری نیز همین طور است.
ویروس های برنامه ضد ویروس مانند پاتن بی اثر، بدون آنکه به سیستم عامل یا برنامه ها آسیبی برسانند در سیستم کامپیوتری باقی ماندهوهرگاهویروس های مزاحم بخواهند ایجاد مشکل کنند وارد عمل شده و آنها را نابود می کنند.
برای مثال ویروس پنتاگون(1) ،ویروس «مغز پاکستانی» را در دیسک قبلا از بین می برد و با توجه به همه ی این ها ویروس-های ضد ویروس کاربرد بالقوه ای دارند.-2 از ویروس ضد ویروس به عنوان فشرده ساز داده ها نیز می توان استفاه کرد.
ویروس های فشرده ساز داده ها را به فایلی که قرار است به دیسک منتقل شود متصل می کنند و سپس حجم آن را کم کرده و برای استفاده از آن مجددا آن را باز می کنند.
و با این روش حجم اطلاعات بیشتری را در دیسک می توان ذخیره کرد.-2 از دیگر کاربردهای مفید ویروس ضد ویروس ، تازه کردن اطلاعات پایگاه داده ها است.
مثلا اگر دارای بانک اطلاعاتی باشیم می توانیم تغییرات داده شده را با استفاده از ویروس در بانک اعمال کنیم.
این کار سریعتر و راحت تر از روش های سنتی به روز در آوردن پایگاه داده ای است.
10-1-انواع ویروس ها ویروس ها از نظر نوع عملکرد در محل استقرارشان به صورت زیر گروه بندی می شوند: 1- ویروس های رکورد راه انداز اصلی(1): رکورد راه اندازاصلی در سکتور اول هارد روی تراک صفر قرار دارد و حاوی جدولی است که اندازه وحد هر پارتیشن را در خود جای داده است.
ویروس های رکورد راه انداز اصلی نسخه ای از خودشان روی رکورد مزبور کپی می کنند و جای رکورد راه انداز اصلی را عوض می کنند.
در این حالت ممکن است، اختلالاتی را برای راه اندازی سیستم بوجود آورند و یا اگر مانع از راه اندازی سیستم نشوند،حافظه کامپیوتر را در بدو شروع و راه- اندازی آلوده نمایند و به این ترتیب باعث گسترش آلودگی به درایو های دیگر شوند.-2 2- ویروس های بوت سکتور(2): بوت سکتور اولین Sector بر روی فلاپی با دیسک سخت کامپیوتر است.
در این قطاع کد های اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام می شود با توجه به اینکه در هر بار بالا آمدن کامپیوتر Bootsector مورد ارجاع قرارمی گیرد و با هر بار پیکربندی کامپیوتر محتوای bootSector هم مجددا نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر جملات ویروس ها می باشد.E- این نوع ویروس ها از طریق فلاپی هایی که قطاع boot آلوده دارند انتشار می یابند.
بوت سکتور دیسک سخت کامپیوتری راآلوده شود توسط ویروس آلوده شده و در هر بار که کامپیوتر روشن می شود ،ویروس خود را به حافظه بار کرده و منتظر فرصتی برای الوده کردن فلاپی ها می ماند تا بتواند خود را منتشر کرده و دستگاههای دیگری را نیز آلوده نماید.E- 3-ویروس تخریب کننده ی فایل(1): ویروس تخریب کننده ی فایل، که ویروس را برای فایلی که برنامه ی آن اجرا می شود، اضافه می کند این اضافه شدن به گونه ای است که هنگام اجرای برنامه ویروس فعال شده و فعالیت آن به مفهوم پخش آن در سایر فایل های برنامه نیز می باشد.-3 با اجرای هر فایل آلوده ، ویروس مقیم حافظه می شود.
پس از آن برنامه اصلی اجرا می شود و اگر فایل سالمی اجرا شود ویروس موجود در حافظه خود را به آن متصل می کند و مجموع ویروس و برنامه در داخل دیسک، نوشته می شود.
بعضی از ویروس ها به انتهای فایل،برخی در ابتدای فایل، بعضی از در هر دو جا و برخی در وسط فایل خود را جای می دهند.-2 4-ویروس های چند بخشی این ویروس ها دارای خصوصیات گروه های 1و2و3 هستند یعنی هم بوت سکتور و هم پارتیشن تیبل و هم فایل های اجرایی راآلوده می کنند، در حال حاضر بیشتر ویروس ها از این نوع هستند زیرا هم از طریق دیسک، و هم از طریق اینترنت منتشر می شوند.
ویروس «ناتاس» ، روی فایل های با پسوند SYS,DLL,OVL,EXE,COMو… همچنین بوت سکتور و پارتیشن تیبل قرار گرفته و آنها را آلوده می کند.این ویروس علاوه بر ایجاد اشکال در اجرای برنامه ها ، در موارد خاصی اقدام به فرمت هارد دیسک می کنند.-2 رایج ترین انواع این ویروس ها ترکیبی از ویروس های Fileinfecting,bootsector می باشند و ترکیب انواع دیگر نیز امکان دارد.-E 5-ویروس های مقیم در حافظه این ویروس ها در حافظه قرار گرفته و کنترل سیستم عامل را در دست می گیرند.
آنها در عملیات ورودی/خروجی، فایل های اجرایی، مفسرهای فرمان و… اثر گذاشته و باعث اختلال در کار سیستم می شوند.
این ویروس ها با خاموش کردن کامپیوتر از حافظه پاک می شوند ولی اگر منشاء ورودآن ها به سیستم از بین نرود،با روشن شدن دوباره ، ممکن است به حافظه وارد شوند.
بسیاری از ویروس ها، از این سادگی ساختار حافظه در داس استفاده کرده و هنگامی که برنامه آلوده، شروع به اجرا می-کند، ویروس کنترل را در دست گرفته و یک کپی از خود را در انتهای حافظه قرار می دهد و از حجم حافظه به اندازه حجم ویروی کم می کند.-2 11-1- انواع ویروس های نسل جدید عده ای ویروس های نسل جدید را به انواع زیر تقسیم بندی می کنند: 1-ویروس های مقیم در حافظه(1): برنامهمقیمدرحافظه ،برنامه ایاست که پس از تمام شدن اجرا، جایخود رادرحافظهازدست نمی دهد.-2 2-ویروس های استقاری (نهان)(2): این ویروس ها با روش های خاص و بدون تغییر وضعیت ظاهری عملیات خود را انجام می دهند و به روش های گوناگون ردپای خود را مخفی می کنند تا شناخته نشوند.
اولین حرکت در مخفی کردن، جلوگیری از اصطلاح تاریخ ثبت در فایل های آلوده است.
روش دیگر استفاده از وقفه ها است که ویروس ها با در اختیار گرفتن آنها می توانند حضور خود را مخفی کنند.
روش دیگر مخفی سازی، استفاده از ویروس های همزاد یا همراه است.-2 3- ویروس های رمزی(3): این ویروس ها برای جلوگیری از شناسایی خود را به صورت مختلفی رمز می کنند.
ویروس ایرانی «آریا» به صورت کد شده بر روی فایل های آلوده قرار می گیرد و در ابتدای ویروس، یک روال رمز گشا برای رمز گشایی ویروس وجود دارد.-2 ویروس های چند شکلی (هزار چهره)(4): کشف این ویروس از همه مشکل تر است زیرا این ویروس ها پس از هر بار آلوده سازی، ساختار داخلی خود را تغییر می دهند یا از شیوه های خود رمزی استفاده می کنند .
این ویروس ها هنگام تولید مثل شکل خود را تغییر و تکامل می دهند.E- 5- ویروس های انفجاری (تریگر)(5): این ویروس ها بخشی از عملیات تخریب خود را در سرعت و یا در تاریخ خاصی انجام می دهند، ولی تکثیر و آلوده سازی فایل ها در تمام مدت فعال بودن ویروس در حافظه و در اجرای برنامه های دیگر صورت می گیرد.
12-1- طبقه بندی انجمن بین المللی امنیت کامپیوتر(1) از ویروس ها انجمن بین المللی امنیت کامپیوتر و ویروس ها را به دو دسته زیر تقسیم کرده است: الف- ویروس های اهلی (آزمایشگاهی)(2) این ویروس ها در کامپیوتر های کاربران معمولی و عادی کامپیوتر ، پیدا نمی شوند و فقط در محیط های علمی و تحقیقاتی پیدا می شوند.
در نتیجه خساراتی در سطح عمومی به بار نمی آورند.-2 ب- ویروس های وحشی (غیر آزمایشگاهی)(3) این ویروس ها در کامپیوترهای کاربران معمولی و عادی کامپیوتری،پیدا می شوند و در سطح یک منطقه یا بیشتر رواج دارند و باعث آلودگی، آسیب و خسارات در کامپیوتر ها می شوند.-2 از نظر انجمن بین المللی امنیت کامپیوتر یک ضد ویروس خوب و کارا دارای خصوصیات زیر است: باید بتواند همه ویروس های وحشی شناخته شده را شناسایی و نابود کند لیست این ویروس ها، توسط این سازمان تهیه شده و مرتبا تازه می گردد.
ضد ویروس باید بتواند حداقل90% از ویروس های اصلی را شناسایی و نابود کند.
لیست این ویروس ها نیز توسط این سازمان تهیه شده و مرتبا تازه می گردد.-2 1-Inernational Computer security association (ICSA) 2-zoo virus 3-wild viruse 13-1-آثار مخرب ویروس ها 1- اختلال در سیستم: در اینجا می پردازیم به نمونه های مختلفی، مانند نمایش تصویری روی نمایش، ایجاد صدای خاصی که از بلند گو و یا قفل شدن سیستم بروز پیدا می کند.
دلایل اختلال در کار سیستم در اثر ویروس ها : الف- خطاهای برنامه نویسی ایجاد شده بوسیله برنامه نویس.
ب- ناسازگاری ویروس با نرم افزارهای نصب شده روی سیستم.
ج- اختلال عمدی سیستم توسط ویروس که از اهداف ویروس نویسان می باشد.-2 2-تخریب سخت افزار: به اعتقاد بعضی ها تا به حال ویروسی طراحی نشده است که بتواند به سخت افزار کامپیوتر آسیب برساند اما این در عمل ثابت شده است.
گرچه خسارات وادره ناچیز است اما نباید آن را نادیده گرفت.
بعنوان مثال در کامپیوترهای شخصی ویروس می-تواند هد خواندن و نوشتن را روی دیسک گردان در قسمتی قرار دهد که تراک خالی دارد که امکان دارد باعث شود هد به بستی داخل دیسک گردان گیر کند که فقط با باز کردن قابل تعمیر است.
تا چندی قبل ویروس ها فقط قابلیت اختلال نرم افزاری داشتند، ولی امروزه قدرت ویروس ها به حدی رسیده است که می توانند به راحتی سخت افزار سیستم را مورد حذف قرار داده و خسارات سنگینی به سیستم وارد کنند.-2 3- تخریب اطلاعات: از مهمترین خسارات ویروس ها تخریب پنهانی اطلاعات است که شامل موارد زیر می شود: الف- حذف اطلاعات: بعضی از ویروس ها، با پاک کردن اطلاعات ایجاد خسارت می کنند که البته کم ضررترین روش تخریب اطلاعات است و خیلی زود هم متوجه به آن می شوید.
ب- تغییر اطلاعات: بعضی از ویروس ها با ایجاد تغییر در کل اطلاعات یک یا چند کاراکتر می توانند خسارت عظیم و فاجعه آمیزی به سیستم وارد کنند.
ج- با اضافه شدن تعدادی کاراکتر تخیلی و زاید باعث می شود که: زمان دستیابی به اطلاعات افزایش پیدا کند.
ارزیابی و محاسبات اشتباه شود.
3-پیدا کردن و حذف داده های اضافه شده مشکل و تقریباً غیر ممکن است.
4- برای رفع خرابی باید هزینه ای صرف کنیم.
4- کندی سیستم: یکی دیگر از خسارات ویروس ها کند کردن کار سیستم است که باعث هدر رفتن وقت کاربر خواهد شد.
5- اشغال حافظه و تکثیر در حافظه: که با تکثیر بیش از حد داده ها باعث کمبود حافظه برای اجرای برنامه ها می شود.-2 14-1- چگونه می توانید بگویید که کامپیوتر شما ویروس دارد یا نه؟
ویروسی بودن کامپیوتر ها معمولاً از پیام ها یا اثرات خاصی که ویروس ها دارند شناخته می شود.
لذا اگر اثرات ویروس ظاهر شده باشد تنها مساله باقیمانده تعیین و تشخیص نوع ویروسی است که سیستم را مبتلا کرده است.
اما اگر کامپیوتر شما علایم غیر عادی و یژه ای را نشان نمی دهد با قاطعیت باید گفت که نمی توانید ادعا کنید که کامپیوتر شما ویروسی نیست !
چرا که ویروسی ممکن است ماه ها یا حتی سال ها روی یک سیستم بماند و خود را نشان ندهد و برنامه ها به طور طبیعی به کار خود ادامه دهند تا زمانی که«تحریک» به وجود آید و در این زمان است که ویروس فعال شده و اثرات خود را ظاهر می سازد.-1 به طور کلی علایم به زیر معمولا بوسیله ویروس ها ایجاد می شوند: 1- قفل کردن و دادن پیغام های غیر عادی: بعضی از ویروس ها به محض ورود به حافظه ، خودشان را چندین بار تکثیر می کنند و حافظه سیستم را اشغال می کند.
این کار موجب می شود سیستم بسیار کند شود و گاهی نیز قفل کند.
2- داده پیغام های غیر عادی: پاره ای از ویروس در مراحلی از آلودگی خود پیام هایی را نمایش می دهند که نشانه ی آلودگی سیستم است.
3- اختلال در کار چاپگر: یکی از مواردی که نشان دهنده ی احتمال آلودگی به ویروس است، اختلال در کار چاپگر است.
اعمالی مانند توقف عمل چاپ و و عمل فرمت موقع چاپ یا… می تواند نشان دهنده ی آلودگی سیستم باشد.-2 4- صدای غیر عادی بلند گو: برخی از ویروس ها با ایجاد صداهای غیر عادی یا با پخش یک موزیک و… آلودگی سیستم را اعلام می کنند.
5- کاهش سرعت سیستم: در صورتیکه زمان بار کردن برخی از برنامه ها به نحو قابل ملاحظه ای افزایش یابد و یا مدت زمان راه اندازی سیستم، وقتی که از روی هارددیسک راه انداز می شود، به نحوقابل ملاحظه- ای افزایش یافته باشد و… نشان دهنده احتمال آلودگی به ویروس است.-2 15-1- پیشگیری از آن جا که هر نرم افزاری می تواندعامل انتشار ویروس باشد در بسیاری از محیط ها این آلودگی از طریق نرم افزار های موجود در روی دیسک ها و یا نرم افزارهایی که از شبکه اینترنت گرفته می شوند، صورت می گیرد باید با توجه به منابع آلودگی اعمال زیر را انجام دهید: