|
بيش از دو دهه از ساخت اولين ويروس كامپيوتري توسط «فرد كوهن»
ميگذرد. شايد او در ابتدا هرگز تصور نميكرد كه روزي اختراعش به صورت يك فاجعة
كامپيوتري درآمده و دنياي كامپيوتر را مورد تهديد قرار دهد.
فرد كوهن صرفاً به عنوان يك پروژة دانشجويي، برنامهاي را نوشت كه ميتوانست خود را
تكثير كرده و انگلوار به ديگر برنامهها بچسبد و نوعي تغيير در آنها بوجود آورد.
با طرح ويژگيهاي اين نوع برنامهها در مقالات و سخنرانيها، به تدريج اين مسأله
توجه عدة بيشتري از برنامهنويسان را به خود جلب كرد و رفته رفته مسألة توليد
ويروسهاي كامپيوتري گسترش يافت.
علت نامگذاري «ويروس» بر روي اينگونه برنامهها، تشابه زياد آنها با ويروسهاي
بيولوژيكي بود. چرا كه ويروسهاي كامپيوتري نيز مانند ويروسهاي بيولوژيكي به طور
ناگهاني تكثير ميشوند و در حاليكه ممكن است بر روي ديسك وجود داشته باشند، تا
زماني كه شرايط مناسب نباشد، فعال نخواهند شد.
امروزه مسألة ويروسهاي كامپيوتري به يك معضل بسيار جدي تبديل شده است. حوزة عملكرد
ويروسها، انواع كامپيوترها و سيستمهاي عامل را در بر ميگيرد و هر روز دهها
ويروس جديد در سراسر دنيا توليد شده و در كامپيوترهاي جهان و بر روي شبكهها رها
ميشوند.
براي يك كاربر معمولي
PC
ممكن است حداكثر ضرر ناشي از يك ويروس خطرناك، از بين رفتن اطلاعات و برنامههاي
مهم موجود بر روي كامپيوترش باشد در حاليكه به عنوان مثال ضرر يك ويروس مخرب بر روي
شبكة ارتباطي ترمينالهاي بانكهاي يك كشور ممكن است موجب تغيير و يا حذف اطلاعات
مالي شركتها و افراد صاحب حساب شده و خسارات مالي سنگيني را به بار آورد، آنچنان
كه تاكنون نيز مواردي از اين دست از رسانههاي گروهي اعلام شده است. همچنين وجود يك
ويروس در سيستمهاي كامپيوتري يك پايگاه نظامي هستهاي ميتواند وجود بشريت و حيات
كرة زمين را تهديد كند. بنابراين اثر تخريبكنندگي ويروسها مرز خاصي نميشناسد و
هر جا كه اثري از يك فعاليت كامپيوتري ـ نرمافزاري وجود دارد، ممكن است ويروسها
نيز حضور داشته باشند.
بديهي است رشد سرطان گونة ويروسها متخصصين امر را بر آن داشت كه برنامههايي براي
نابودي ويروسها تهيه كنند.
به زبان ساده، ويروسهاي كامپيوتري برنامههايي هستند كه ميتوانند تكثير شوند و با
اتصال به يك برنامة اجرايي و يا نواحي سيستمي ديسك، همراه آنها اجرا گردند.
بنابراين ويروسهاي كامپيوتري از جنس برنامههاي معمولي هستند كه توسط
برنامهنويسان نوشته شده و سپس به طور ناگهاني توسط يك فايل اجرايي و يا جاگرفتن در
ناحية سيستمي ديسك، فايلها و يا كامپيوترهاي ديگر را آلوده ميكنند. در اين حال پس
از اجراي فايل آلوده به ويروس و يا دسترسي به يك ديسك آلوده توسط كاربر دوم، ويروس
به صورت مخفي نسخهاي از خودش را توليد كرده و به برنامههاي ديگر ميچسباند و به
اين ترتيب داستان زندگي ويروس آغاز ميشود و هر يك از برنامهها و يا ديسكهاي حاوي
ويروس، پس از انتقال به كامپيوترهاي ديگر باعث تكثير نسخههايي از ويروس و آلوده
شدن ديگر فايلها و ديسكها ميشوند. لذا پس از اندك زماني در كامپيوترهاي موجود در
يك كشور و يا حتي در سراسر دنيا منتشر ميشوند. از آنجا كه ويروسها به طور مخفيانه
عمل ميكنند، تا زماني كه كشف نشده و امكان پاكسازي آنها فراهم نگرديده باشد،
برنامههاي بسياري را آلوده ميكنند و از اين رو يافتن سازنده و يا منشاء اصلي
ويروس مشكل است.
ويروس هم مانند هر برنامة كامپيوتري نياز به محلي براي ذخيرة خود دارد. منتهي اين محل
بايد به گونهاي باشد كه ويروسها را به وصول اهداف خود نزديكتر كند. همانگونه كه
قبلاً ذكر شد اكثر ويروسها به طور انگلوار به فايلهاي اجرايي ميچسبند و آنها را
آلوده ميكنند. اصولاً ميتوان فايلها را به دو گونة كلي «اجرايي» و «غيراجرايي»
تقسيم كرد و عموم ويروسها در فايلهاي اجرايي جاي گرفته و آنها را آلوده ميكنند و
واقعاً كمتر ويروسي يافت ميشود كه در يك فايل غيراجرايي قرار بگيرد و بتواند از
طريق آن تكثير شود. در ذيل فهرست پسوندهاي رايج فايلهاي اجرايي ارائه شده است و
اكثر نرمافزارهاي ضدويروس در حالت عادي (بدون تنظيمات خاص) اين فايلها را
ويروسيابي ميكنند (البته در برخي برنامههاي ضدويروس ممكن است برخي پسوندها حذف
يا اضافه شوند) : (
.exe , .com , .sys ,
.bin , .ovl , .dll , .scr
) ، بنابراين يكي از اصليترين خانههاي ويروس، فايلهاي اجرايي هستند. از طرف ديگر
برخي ويروسها علاقة خاصي به قطاع راهانداز (Boot Sector)
و جدول بخشبندي ديسك (Master
Boot Record يا
Partition Table)
دارند. قطاع راهانداز واحد راهاندازي سيستم عامل است كه در قطاع شمارة صفر ديسكت
فلاپي و يا درايوهاي منطقي يك ديسك سخت قرار دارد و جدول بخشبندي شامل اطلاعات
تقسيمبندي ديسك سخت ميباشد كه آن نيز در قطاع شمارة صفر ديسك سخت قرار دارد.
اينگونه ويروسها با قرار گرفتن در يكي از اين دو محل، هنگام راهاندازي كامپيوتر،
اجرا شده و در حافظة اصلي مقيم ميشوند و تا زمان خاموش كردن كامپيوتر و يا
راهاندازي مجدد، همانجا مانده و فلاپيها و يا ديسكهاي سخت ديگر را آلوده
ميكنند.
ويروسها عملكرد مختلفي دارند و آنچه در مورد همة آنها مشترك است، عملكرد منفي آنها
ميباشد. به اين معني كه ويروسها عموماً در صدد ايجاد مزاحمتهاي كامپيوتري هستند.
اين مزاحمتها گسترة وسيعي دارند و به راحتي قابل تعريف نيستند. اما به طور كلي
ميتوان عملكرد ويروسها را به صورت زير تقسيمبندي كرد:
1 ـ ايجاد تأخير
يا وقفه در حين عمليات سيستم اعم از اجراي برنامهها و يا راهاندازي
كامپيوتر و ...
2 ـ تخريب يا حذف برنامهها و اطلاعات بخشهاي مختلف
ديسكها و يا حتي فرمت كردن ديسكها.
3 ـ اشغال حافظه و
تكثير در حافظه به نحوي كه در حافظه جايي براي اجراي ديگر برنامهها نميماند و يا
باعث اختلال در كار ديگربرنامههاي موجود در حافظه ميشود.
4 ـ اشغال فضاي ديسك.
مزاحمتهاي فوق ممكن است به محض فعال شدن ويروس (يعني قرار گرفتن ويروس در حافظه از
طريق اجراي يك برنامة آلوده و يا در يك تاريخ و زمان خاص و يا حتي با اجراي يك
برنامة كاربردي خاص) انجام شود.
ارائة يك تقسيمبندي دقيق از ويروسها مشكل است و ميتوان ويروسها را به
روشهاي مختلفي تقسيمبندي كرد.
تقسيم بندي
ويروسها بر اساس مقصد آلودهسازي:
1.
ويروسهاي فايلي
( File
Viruses
) :
ويروسهاي فايلي، معمولاً فايلهاي اجرايي را آلوده ميكنند.
فايلهاي آلوده به اين نوع از ويروسها اغلب (اما نه هميشه) داراي پسوند
.com
يا .exe
هستند.
2.
ويروسهاي ماكرو
( Macro
Viruses )
:
ويروسهاي ماكرو، فايلهاي برنامههايي را كه داراي زبان ماكرو هستند (مانند
MS Word
، MS Excel
و...) را آلوده مينمايند.
3.
ويروسهاي بوت و
پارتيشن سكتوري
(
Boot
Sector and Partition Table Viruses
)
:
اينگونه ويروسها قطاع راهانداز (Boot
Sector ) ديسك سخت و ديسكت فلاپي يا جدول بخشبندي ديسكهاي سخت را
آلوده ميكنند.
4.
ويروسهاي
اسكريپتي
(
Script
Viruses )
:
اين ويروسها كه اسكريپتهاي نوشته شده به زبانهاي ويژوال
بيسيك يا جاوا ميباشند، تنها در كامپيوترهايي كه بر روي آنها
Internet Explorer
نصب شده باشد و توانايي اجراي
Script
ها را داشته باشد، اجرا ميشوند و فايلهاي با پسوند
.html
، .htm
، .vbs
، .js
، .htt
يا .asp
را آلوده ميكنند.
ويروسها جداي از تقسيمبندي فوق، ممكن است در يك يا چند دسته از دستههاي
زير نيز قرار بگيرند:
1. ويروسهاي مقيم در حافظه
(Memory
Resident Viruses)
: اينگونه ويروسها با مقيم شدن در حافظه، هنگام دسترسي به فايلهاي ديگر، آنها را
آلوده ميكنند.
2. ويروسهاي مخفيكار
(Stealth
Viruses) :
اينگونه ويروسها به روشهاي مختلف ردپاي خويش را مخفي ميكنند. به اين معني كه
فايلهاي آلوده به اينگونه ويروسها به گونهاي نشان داده ميشود كه يك فايل
غيرآلوده جلوه كند. به عنوان مثال عموم ويروسها پس از آلوده كردن يك فايل، اندازة
آن را افزايش ميدهند و يا گاهي تاريخ و زمان ضبط فايل را عوض ميكنند. اما
ويروسهاي مخفيكار ميتوانند با روشهاي خاص و بدون تغيير وضعيت ظاهري، عمليات
خويش را انجام دهند.
3. ويروسهاي كدشده (Encrypting
Viruses) :
اين ويروسها پس از هر بار آلودهسازي، با استفاده از شيوههاي
خود رمزي شكل ظاهري خود را تغيير ميدهند.
4. ويروسهاي چندشكلي (Polymorphic
Viruses) : اينگونه ويروسها با استفاده از الگوريتمهاي خاص، علاوه بر
تغيير شكل ظاهري خود، ساختار خود را نيز تغيير ميدهند به طوريكه ممكن است جاي
دستورالعملها و حتي خود دستورالعملها نيز تغيير كنند.
5. ويروسهاي فعالشونده بر اساس رويداد خاص
((Triggered
Event Viruses)
: ويروسهايي هستند
كه بخشي از عمليات تخريب خود را در ساعت و يا در تاريخ خاص انجام ميدهند. البته
بايد توجه داشت كه تكثير و آلودهسازي فايلها در تمام اوقات فعال بودن ويروس انجام
ميشود.
جملة معروفي در علم پزشكي مطرح است كه پيشگيري از بيماري به مراتب آسانتر
از درمان آن است. اين سخن تا حدود زيادي در مورد ويروسهاي كامپيوتري نيز صادق است.
به اين معني كه در بسياري از مواقع جلوگيري از ورود ويروس به سيستم سادهتر از دفع
آن است. به طور كلي راههاي اصلي مبارزه به ويروسها به سه دستة زير تقسيم ميشوند:
1 ـ جلوگيري از
ورود ويروسها به سيستم براي محدود كردن انتشار و شيوع آنها.
2 ـ رديابي و
شناسايي ويروسها تا اگر ويروسي توانست از امكانات تدافعي ما عبور كرده و وارد
كامپيوتر شود، در سريعترين زمان ممكن كشف شود.
3 ـ ازبين بردن
ويروس وارد شده به سيستم و در صورت ايجاد اختلال، باز گرداندن وضعيت سيستم كامپيوتر
و برنامههاي آن به حالت عادي.
هر روزه ويروسهاي جديد به دست ويروسنويسان ساخته ميشود و ممكن است تا زماني كه
اين ويروسها شناخته شده و برنامههاي پاككنندة آنها تهيه شود، هزاران برنامه در
معرض حمله و تخريب آنها قرار گرفته باشند. شركتهاي توليدكنندة نرمافزارهاي
ضدويروس زماني ميتوانند برنامههاي ضدويروس خود را كاملتر و فراگيرتر كنند كه
حداقل به ويروسهاي جديد دسترسي پيدا كرده و بتوانند با تحليل ويروس و بدست آوردن
رفتار آن، برنامههاي مناسب را طراحي نمايند و همة اين مراحل بسيار وقتگير خواهد
بود.
بنابراين اگر صرفاً به شناخت دقيق ويروسها اكتفا كنيد، هرگز روش مطمئن و فراگيري
را نخواهيد يافت و هيچيك از برنامههاي ضدويروس فعلي نيز ادعاي شناخت همه ويروسها
را ندارند. البته اين به معناي عدم توجه به اثر فوقالعاده روشهاي مبارزهاي كه
مبتني بر شناخت دقيق ويروس است، نخواهد بود. بلكه منظور آن است كه اگر همين امروز
كامپيوتر شما دچار ويروس مخربي بشود كه هيچ ويروسيابي نتواند آن را بشناسد، آنگاه
بايد ضرر ناشي از فرمت ديسك سخت، از بين رفتن برنامههايي كه ساعتها مشغول طراحي و
ويرايش آن بودهايد و يا حداقل ضرر اتلاف وقت خويش را تحمل كنيد.
براي رفع اين مشكلات ميتوان چند اصل زير را رعايت نمود:
1 ـ نگهداري
نسخههاي پشتيبان (Backup)
از اطلاعات.
2 ـ بررسي منابع
نرمافزاري.
3 ـ از بين بردن
نامههاي الكترونيكي ناخواسته.
4 ـ استفاده از
نرمافزارهاي ضدويروس و امنيتي و به روز نگاه داشتن آنها.
1.
نگهداري نسخههاي پشتيبان (Backup)
از اطلاعات: مهمترين اقدامي كه شما ميتوانيد در مقابل هرگونه از دست دادن اطلاعات
انجام دهيد، گرفتن نسخههاي پشتيبان به صورت مرتب از اطلاعاتتان ميباشد. اگر شما
از اطلاعات خود به صورت مرتب پشتيبان تهيه نكنيد، احتمال ضرر و زيان بسياري وجود
دارد. به ياد داشته باشيد كه نسخههاي پشتيبان خود را بطور مكرر بررسي كنيد و
اطمينان حاصل نماييد كه ميتوانيد اطلاعاتتان را از آنها بازيابي كنيد. مطمئن شويد
كه از تمامي فايلهاي مهم خود بر روي ديسكت يا هر رسانة ديگري كپيهاي سالمي داريد.
همة ديسكتهاي پشتيبان و ديسكتهاي راهاندازي شما بايد در حالت
Write protect
باشند.
2.
بررسي
منابع نرمافزاري: مطمئن شويد كه تمامي نرمافزارهاي شما از يك منبع قابل اطمينان و
مشهور بدست ميآيند. بررسي كنيد كه نرمافزار در بستهبندي اصلي و دستنخوردة خودش
باشد. حتيالامكان از نرمافزارهاي كپيشده و ثبت نشده استفاده نكنيد. زيرا ممكن
است كپي نرمافزار شما را در معرض آلودگي ويروسي قرار دهد. نرمافزارها ميتوانند
از طريق پورتهاي ارتباطي وارد كامپيوتر شما شوند. هنگامي كه نرمافزاري را به
كامپيوترهاي ديگر و شبكهها ميفرستيد يا دريافت ميكنيد و هنگامي كه فايلها را از
صفحات بولتني و اينترنت دريافت ميكنيد، بسيار مراقب باشيد.
3.
از بين
بردن نامههاي الكترونيكي ناخواسته: امروزه بسياري از كرمهاي اينترنتي و ويروسها
خود را از طريق ارسال نامههاي الكترونيكي منتشر ميكنند. آنها متن و عنوان نامهها
را طوري انتخاب ميكنند كه كاربر به باز كردن و خواندن نامهها ترغيب شود. لذا اغلب
كاربران اينگونه نامهها را باز نموده و دچار آلودگي ميشوند. لذا هنگام خواندن
نامههاي خود از باز كردن و خواندن هرگونه نامهاي كه انتظار دريافت آن را
نداشتهايد، حتي اگر از طرف شخصي آشنا باشد، خودداري نموده و آن نامه را پاك كنيد.
4.
استفاده
از نرمافزارهاي ضدويروس و امنيتي و به روز نگاه داشتن آنها: استفاده از
نرمافزارهاي ضدويروس و نيز نرمافزارهاي امنيتي و فعال نمودن گارد آنها بر روي
سيستم معمولاً از ورود ويروسها به سيستم جلوگيري نموده و احتمال آلوده شدن به
ويروسها را به طور چشمگيري كاهش ميدهد. به روز نگاه داشتن اينگونه نرمافزارها
نيز باعث ايجاد امنيت در مقابل ويروسهاي جديدتر ميگردد.
ويژگي هاي انتخاب يک ضدويروس کارآ و مناسب
1 :
مشخصات عمومی :
1-1 :
سهولت در نصب
1-2 :
سهولت در استفاده
1-3 :
عملکرد يا کارآيي
1-4 :
محصول چه کشوری (عدم وابستگی به روابط سياسي بين کشورها)
1-5 :
زمان پاسخ به ويروس هاي جديد اعلام شده از طرف مشتري
1-6 :
پشتيباني ويروس هاي منطقه اي
1-7 :
عدم تخريب فايلهاي اصلي سيستم و اطلاعات ايجاد شده توسط کاربر
1-8 :
جوابگويي فايلهاي تخريب شده توسط ضدويروس
1-9 :
پاکسازي کامل فايل
1-10 :
بازيابي اطلاعات کدشده توسط ويروس
1-11 :
گزارش گيري مديريتي جهت پيدا نمودن منبع آلودگي و کنترل کاربران
1-12 :
وجود امنيت در طراحي نرم افزار
1-13 :
عدم وجود
Backdoor
و
Blackbox
در برنامه ضدويروس
1-14 :
پاکسازي سريعتر
1-15 :
قابليت سفارشي نمودن نرم افزار
1-16 :
وجود مرکزي بومي براي تحقيقات روي ويروس هاي رايانه اي
1-17 :
در دسترس بودن کارشناسان ضدويروس و تيم تحقيقاتي
1-18 :
سابقه فعاليت شرکت ارائه کننده محصول
1-19 :
ميزان خوشنامي و ارائه پشتيباني مناسب
1-20 :
...
2 :
قابليت
هاي اسکن (پويش يا کنترل):
2-1 :
پويش بلادرنگ (آني)
2-2 :
پويش بر اساس جدول زماني
2-3 :
پويش مکاشفه اي
2-4 :
پويش دستي
2-5 :
تخمين زمان پويش
2-6 :
گزارش گيری و ثبت تاريخچه آن
2-7 :
...
3 :
به روز
رساني :
3-1 :
اشتراک سالانه
3-2 :
بروز رسانی اطلاعات ويروسها به صورت خودکار
3-3 :
بروز رسانی رابط کاربری و موتور جستجو به صورت خودکار
3-4 :
بروز رسانی اطلاعات ويروسها به صورت دستی
3-5 :
بروز رسانی رابط کاربری و موتور جستجو به صورت دستی
4 :
گواهينامه (Certification)
:
5 :
پشتيباني فني، هميشگی و موثر
5-1 :
راهنما/پاسخ به سوالات متداول/ دانشمان يا پايگاه دانش (Knowledge
Base)
:
5-2 :
پشتيباني تلفني
5-3 :
دوره هاي آموزشي
5-4 :
پشتيباني از طريق ايميل
6 :
پشتيباني شده برای سيستم عامل های رايج .
7 :
ديگر ويژگي ها:
7-1 :
هشدار
در مورد تهديدات فراگير .
7-2 :
سازگاري سختافزاري و نرمافزاري سيستم با ضدويروس انتخاب
شده .
7-3 :
توانايي
شناسائی الگوريتمهای (
Heuristic )
.
7-4
: توانايي شناسائی انواع فايلها با فرمتهاي مختلف .
7-5
: توانايي شناسائی اسبهاي تراوا، جاوااپلتهاي مخرب، اكتيوايكسهاي مزاحم و
اسكريپتهاي مخرب.
7-6
: توانايي پويش ضميمه ( Email ) .
7-7
: قابليت بررسي فايلهاي فشرده . |
