در حدود ۲۹ سال قبل اولین ویروس کامپیوتری پا به کامپیوترها گذاشت و از آن تاریخ به بعد شرکت‌های امنیتی و کاربران کامپیوتر در حال جنگ دائمی با ویروس‌ها بوده‌اند.در ادامه با لیزاردوب همراه باشید.

۲۹ سال قبل در ۱۰ نوامبر سال ۱۹۸۳ “فرد کوهن” دانشجوی دوره کارشناسی ارشد دانشگاه کالیفرنیای جنوبی در یک سمینار امنیت در دانشگاه پنسیلوانیا یک کد مفهومی را به خط فرمان یونیکس بر روی سیستم رایانه تایپ کرد و بعد از ۵ دقیقه کنترل تمامی رایانه‌های آن دانشگاه را دردست گرفت.

در آن زمان او موفق شد تمام سیستم‌های امنیتی رایانه‌ها را درعرض نیم‌ساعت دور زده و آنها را غیرفعال کند.

فرد کوهن نام این کد مخرب را ویروس گذاشت و بدین ترتیب اولین ویروس رایانه‌ای پا به عرضه گذاشت و کوهن توانست با ویروسش، کارشناسان فناوری را درفکر تغییرات اساسی در امنیت رایانه‌ها بیاندازد.

در خصوص علت نامگذاری این برنامه‌ها آمده است که این برنامه‌ها به دلیل شباهت نحوه فعالیت‌اشان با ویروس‌ها در دنیای حقیقی نام ویروس را بر خود گرفته‌اند.
معمولا کاربران رایانه به ویژه آنهایی که اطلاعات تخصصی کمتری درباره رایانه دارند، ویروس‌ها را برنامه‌هایی هوشمند و خطرناک می‌دانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر می‌گردند در حالی‌که طبق آمار تنها پنج درصد ویروس‌ها دارای آثار تخریبی بوده و بقیه صرفا تکثیر می‌شوند.

چند سال پس از معرفی اولین ویروس انتشار ویروس‌های رایانه‌ای به طور گسترده آغاز شد و در آن زمان بیش از هزار رایانه را در جهان آلوده کرد که هر یک از آنها نماینده بخش مهمی از رایانه‌های متصل به اینترنت بودند.

از معروف‌ترین ویروس‌های رایانه‌ای در این ۲۶ سال می‌توان به “LOVE-LETTER-FOR-YOU.TXT” ،“Love Bug struck” و “Melissa virus” اشاره کرد.

ویروس‌های رایانه‌ای تا بحال به ۵۵ میلیون رایانه حمله کرده و بیش از ۲٫۵ تا ۳ میلیون رایانه را قربانی خود کرده‌اند و کاربران از ویروس‌های رایانه ای در حدود ۱۰ بیلیون دلار خسارت دیده‌اند.

در حال حاضر ویروس‌های رایانه‌ای به بدافزارها تبدیل شده‌اند و هر روز پیچیده‌تر شده و بیشتر در خدمت هدف‌های ناسالم قرار می‌گیرند.

با کمک این ویروس‌ها کلاهبرداری‌های رایانه‌ای صورت می گیرد که در آنها برنامه‌هایی به صورت نامحسوس در رایانه کاربر مستقر شده و اطلاعات حساس کاربران مانند رمز عبور حساب‌های بانکی را سرقت کرده و بدین ترتیب در کوتاه‌ترین زمان پول‌های حساب‌های بانکی کاربران را به یغما می‌برند.

حتی برخی از این ویروس‌ها به نوعی باج‌گیری می‌کنند و با سرقت اطلاعات کاربران آنها راتهدید به انتشار اسناد شخصی می‌کنند.

تکامل ویروس‌های رایانه‌ای همواره جالب بوده است و شرکت‌های امنیتی هر چقدر هم تلاش کنند همواره یک قدم عقب‌تر از هکرها و ویروس‌نویس‌ها خواهند بود.

به نوعی همیشه ویروس‌نویسان راه‌های جدیدی برای تهدید پیدا می کنند اگرچه برخی بر این باورند که دست ویروس‌نویسان و شرکت‌های امنیتی در یک کاسه است و هر دو به فکر حساب‌های بانکی همدیگرند!!!!!!

انواع ویروسها

ویروس های سکتور بوت

(سکتور از بخش بندی های فضای بر روی دیسک ها می باشد)

ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. آنها از طریق تغییر دادن سکتور بوت –قسمتی از سخت افزاری از دیسک که در آن برنامه ای قرار می گیرد که باعث شروع به کار کامپیوتر شما می شود –گسترش می یابند.

هنگامی که شما کامپیوتر را روشن می کنید، سخت افزار به دنبال برنامه سکتور بوت –که معمولابرروی دیسک سخت است، ولی می تواند بر روی فلاپی یا سی دی هم باشد – می گردد تا آن را اجرا کند. این برنامه با اجرا شدن، وقفه سیستم عامل را در حافظه بار گذاری می کند. (Load)

یک ویروس سکتور بوت، نسخه اصلی برنامه سکتور بوت را با نسخه ای تغییر یافته ومربوط به خود جایگزین کرده ونسخه اصلی را معمولا در جایی دیگر روی دیسک سخت پنهان می کند. هنگامی که شما در مرتبه بعدی دستگاه را روشن می کنید، سکتور بوت آلوده شده، مورد استفاده از سخت افزار قرار خواهد گرفت وبنابراین ویروس فعال خواهد شد.

پس در صورتیکه شما دستگاه را به وسیله یک دیسکت آلوده- معمولا دیسک های نرمی که سکتور بوت آلوده دارند- راه اندازی کنید، در نهایت آلوده به ویروس خواهید شد.

بسیاری از ویروس ها ی سکتور بوت در حال حاضر دیگر جزءویروس های کهنه وقدیمی محسوب می شوند. آنهایی که برای دستگاههای تحت سیستم عامل DOSنوشته شده بودند، معمولا نمی توانند از طریق سیستم عامل ها ی ویندوز ۹۵، ۹۸، ME، NT، ۲۰۰۰وXP بودند، گسترش یابند، گرچه ممکن است گاهی اوقات این سیستم عامل هارا از راه اندازی صحیح متوقف کنند.

معرفی ویروس هایی از این نوع :

ویروس Form:ویروسی است که پس از ۱۰سال بعد از اولین مشاهده، هنوز هم:ویروس رایج است.

نسخه اصلی آن در روز ۱۸هر ماه، فعال شده وهنگامی که هر دکمه ای بر روی صفحه کلید فشرده شود، باعث ایجاد یک کلیک می شود.

ویروس Parity Boot: ویروسی است که به طور تصادفی پیغام PARITY CHECKویروس نمایش داده وسیستم عامل را قفل می کند. این پیغام مانند پیغام واقعی است که به هنگام ایجاد خطا در حافظه کامپیوتر نمایش داده می شود.

ویروس های انگلی :

ویروس های انگلی که با نام ویروس های فایل هم شناخته می شوند، خود را به برنامه ها یا همان فایل های قابل اجرا پیوند می زنند.

هنگامی که شما اجرای برنامه آلوده شده توسط ویروسی را آغاز می کنید، در ابتدا ویروس اجرا خواهد شد. سپس ویرو س ها برای مخفی نگاه داشتن حضور خود، برنامه اصلی را اجرا می کند. سیستم عامل دستگاه که ویروس را بخشی از برنامه اجرا شده توسط شما می داند، به آن مجوزهای اجرا را می دهد. این مجوز ها به ویروس اجازه می دهند تا از خود کپی بسازد، خود را در حافظه کامپیوتر قرار داده وبدنه خود را آزاد کند.

ویروس های انگلی در تاریخچه ویروس ها از نخستین انواع آنها می باشند، اما در حال حاضر نیز از تهدیدات واقعی به شمار می روند. شبکه اینترنت که گسترش برنامه ها را ساده تر کرده، به ویروس ها نیز فرصتی جدیدی برای گسترش داده است.

معرفی ویروس هایی از این نوع :

ویروس Jerusalem:در جمعه های با تاریخ ۱۳هرماه، تمام برنامه های اجرا شده در کامپیوتر را پاک می کند.

ویروس CIHیا همان Chernoby:در روز ۲۶ از ماههای مشخصی، اطلاعات چیپ :بایوس را بازنویسی کرده واز بین می برد. با این کار کامپیوتر غیر قابل استفاده می شود. این ویروس همچنین اطلاعات دیسک سخت را نیز بازنویسی می کنند.

ویروس Remote Explorer:ویروس Remote Explorer) ) WNT/RemExpفایل اجرایی ویندوز NTرا آلوده می کند. این ویروس اولین ویروسی بود که توانست خود را به عنوان یک سرویس –برنامه هایی که در ویندوز NTحتی در زمان هایی که کسی Log inنکرده، اجرا می شوند، در ویندوز NTاجرا کند.

 ویروس های ماکرو (کلان دستور) :

ویروس های ماکرو که از مزایای برنامه نویسی ماکرو سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده وبه صورت خودکار اجرا می شوند.

بسیاری از برنامه ها مانند برامه های واژه پرداز یا تهیه کننده صفحه گسترده از خاصیت برنامه نویسی ماکرو استفاده می کنند.

ویروس ماکرو، یک برنامه ماکرو اس ت که می تواند از خود کپی ساخته واز فایلی به فایل دیگر گسترش پیدا کند. در صورتیکه شما فایلی را باز کنید که حامل ویروسی ازنوع همه چیز ماکرو است، در اینصورت ویروس خود را در فایل های آغازین اجرای آن برنامه کپی می کند واین زمان است که کامپیوتر آلوده شده است.

زمانی که شما در مرحله بعد فایلی را باز می کنید از همان برنامه استفاده می کند، ویروس، آن فایل را هم آلوده کرد. در صورتیکه کامپیوتر شما در یک شبکه باشد، این آلودگی به سرعت گسترش پیدا می کند ودلیل آن هم این است که هنگامی که شما فایلی آلوده را برای فرد دیگری می فرستید، اوهم با باز کردن فایل آلوده خواهد شد.

یک ماکروی مخرب همچنین می تواند باعث بوجود آمدن تغییرات در اسناد یا تنظیمات شما شود.

ویروس های ماکرو می توانند فایل هایی که در بیشتر ادارات مورد استفاده قرار می گیرند را آلوده کنند وهمچنین بعضی از آنها می توانند چندین نوع متفاوت از فایل ها مانند فایل های برنامه های Wordیا Excelرا تحت تاثیر قرار دهند. همچنین آنها می توانند به تمام فایل هایی که توسط برنامه میزبان آنها مورد اجرا قرار می گیرد، گسترش پیدا کنند، بالاتر از همه اینکه آنها می توانند براحتی گسترش پیدا کنند، چرا که اسناد بطور مداوم در نامه های الکترونیک و وب سایت ها در حال تبادل هستند.

معرفی ویروس هایی از این نوع:

ویروس WM/Wazzu:فایل های تهیه شده توسط برنامه Wordرا آلوده می سازد. این ویروس بطور تصادفی در بین هر یک تا سه کلمه، عبارتwazzuرا قرار می دهد.

ویروس OF97/Crown-B:فایل های برنامه هایPower pointوExcel، Wordرا آلوده می کند. هنگامی که این ویروس، فایلی از برنامه Wordرا آلوده می سازد، بخش محافظتی ماکرو در سایر برنامه های نرم افزار Officeرا از کار انداخته واز این طریق آنها را تحت تاثیر قرار می دهد.

ویروس های برتر

کدامیک از ویروس ها تا بحال بیشترین موفقیت را داشته اند؟در این قسمت گزیده ای از ویروس هایی آورده می شود که توانسته اند :به دور ترین نقاط انتقال پیدا کنند، بیشترین تعداد کامپیوتر را آلوده کنند، ویا اینکه بیشترین طول عمر را داشته باشند.

 ویروس Love Bug

 احتمالاویروس Love Bugبهترین ویروس شناخته شده می باشد. این ویروس با تظاهر خود به عنوان یک برنامه عاشقانه وبرانگیختن حس کنجکاوی کاربران، در ساعاتی توانست در نقاط مختلف جهان گسترش پیدا کند.

اولین مشاهده :ماه می از سال ۲۰۰۰

سرچشمه:فلیپین

شهرت :نامه عاشقانه

نوع:کرم اسکریپتی ویژال بیسیک

راه اندازی ویروس :در اولین آلودگی

تاثیرات:نسخه اصلی این ویروس نامه ای با عنوان ( (دوستت دارم) ) با متن ( (در کمال لطف ومهربانی، نامه ای عاشقانه از من به تو، پیوند این نامه شده است، آن را بخوان) ) را برای کاربران می فرستد. باز کردن فایل پیوندی، باعث راه اندازی ویروس خواهد شد. در صورتیکه برنامه Outlookشرکت مایکروسافت نصب شده باشد، ویروس سعی خواهد کرد تا خود را به آدرس تمام افرادی که آدرس آنها در دفترچه آدرس برنامه Outlook وجود دارد، ارسال کند. این ویروس همچنین می تواند خود را در گروههای خبری توزیع کرده، اطلاعات کاربران را مورد سرقت قرار دهد وفایل های بخصوصی را بازنویسی کند.

 ویروسFORM

به خاطر گسترش هشت ساله آن-که هنوز هم ادامه دارد-در Formنام ویروس ونسخه های ابتدایی  DOS لیست ۱۰ویروس برتر آورده شده است. در سیستم عامل ویندوز، این ویروس بسیار مخفی عمل کرده وبه همین خاطر توانسته در ابعادی وسیع گسترش پیدا کند.

اولین مشاهده:سال۱۹۹۱

سرچشمه :سوئیس

نوع:ویروس سکتور بوت

راه اندازی ویروس :در روز ۱۸ماه

تاثیرات:هنگامی که شما هر دکمه ای بر روی صفحه کلید را فشار دهید، این ویروس باعث تولید یک کلیک خواهد شد. می تواند باعث عدم فعالیت کامپیوتر های مبتنی بر سیستم عامل NTشود.

کرم Kakworm

این کرم فقط با خواندن نامه آلوده، باعث آلوده شدن دستگاه کاربر می شود.

اولین مشاهده:سال۱۹۹۹

نوع:کرم اسکریپتی ویژوال بیسیک

راه اندازی ویروس :در بیشتر موارد آلودگی، آلودگی با اولین اجرای ویروس شروع شده که این نوع آلودگی بیشترین آلودگی از این ویروس را داشته ودر نوع دیگر، کردنShut Downویروس در روز اول هر ماه فعال می شود که این نوع فعالیت جانبی ویندوز همراه است.

تاثیرات:این کرم در پیامی که از طریق پست الکترونیک در یافت می شود، جاسازی به همراه Outlook Expressیا Outlookشده است. در صورتی که شما از برنامه استفاده می کنید، ممکن است کامپیوترتان به هنگام باز کردن یا Internet Explorer 5راOutlook Expressمشاهده نامه آلوده، ویروسی شود. این ویروس تنظیمات برنامه چنان تغییر می دهد که با هر نامه فرستاده شده از طرف شما، دستورات ویروسی هم به طور اتو ماتیک فرستاده می شوند. در روز اول هر ماه، بعد از ساعات ۵بعد از ظهر، ویروس را نمایش داده وسیستم عامل ویندوز را Kro$oft says-Anti-Kagou not today  پیغام خاموش می کند.

ویروس Anticmos

ویروسی بخصوص از نوع ویروس سکتور بوت است. در اواسط دهه ۱۹۹۰شروع به گسترش کرده وبه طور متناوب در لیست ۱۰ویروس برتر قرار گرفته است.

اولین مشاهده:ماه ژانویه از سال ۱۹۹۴

سرچشمه :اولین شناسایی در هنگ کنگ بوده اما عقیده بر آن است که سر چشمه آن کشور چین می باشد.

نوع:ویروس سکتور بوت

راه اندازی ویروس:تصادفی

تاثیرات :سعی در پاک کردن اطلاعات مربوط به درایوهای نصب شده فلاپی ودیسک سخت.

ویروس Melissa

ملیسا ویروسی از نوع ویروس های پست الکترونیکی بوده واز ظرافت های روانشناختی برای گسترش سریع استفاده می کند. این ویروس اینطور وانمود می کند که از طرف فردی آشنا برای شما آمده وشامل متنی است که شما حتما می خواهید آن را بخوانید. د رنتیجه به همین سادگی ویروس ملیسا سرتاسر دنیا را تنها در یک روز می پیماید.

اولین مشاهده :ماه مارس از سال۱۹۹۹برنامه نویس ۳۱ساله آمریکایی که متنی آلوده، David Smith

سرچشمه :آقای قرار داده (Sex) به ویروس را در گروههای خبری وابسته به گروههای نامشروع جنسی بود.

Wordو۲۰۰۰Wordنوع :ویروس ماکرو مربوط به برنامه های ۹۷

راه اندازی ویروس :در اولین اجرا

تاثیرات:با تهیه یک نامه که در موضوع آن، نام کاربر استفاده کننده از کامپیوتر آورده شده وارسال آن نامه به پنجاه آدرس اول از تمام کتابچه آدر س هایی که در دسترس باشند، خود را گسترش می دهد. نامه فرستاده شده شامل Microsoft Outlookبرنامه فایلی پیوندی است که نسخه ای از متنی آلوده به ویروس را در خود دارد. در صورتیکه در۱۰از روز :زمان وتاریخ باز شدن فایل، دقیق وشماره روز یکی باشند) مثلا ساعت۰۵را به فایل اضافه خواهد کرد. Scrabbleپنجم ماه (، ویروس متنی راجع به بازی)

ویروس New Zealand

بدون شک در اوایل دهه ۱۹۹۰، این ویروس یکی از ویروس های فراگیر بوده است.

اولین مشاهده :اواخر دهه۱۹۸۰

سرچشمه :نیوزلند

شهرت:سنگ شده

نوع:ویروس سکتور بوت

راه اندازی ویروس:در صورتیکه سیستم از طریق فلاپی راه اندازی شود، در هر ۸مرتبه، یکبار این ویروس فعال می شود. را نمایش می دهد. این <<کامپیوتر شما در حال حاضر سنگ شده

>>تاثیرات :پیام ویروس نسخه ای از سکتور بوت اصلی را در آخرین سکتور از فهرست ریشه یک دیسکت ۳۶۰کیلوبایتی قرار می دهد. این کار می تواند به دیسکت های با حجم بیشتر صدمه بزند.

ویروس Concept

Officeکه توانست تصادفا حامل مناسبی مانند نرم افزارهای Concept ویروس شرکت مایکروسافت را بدست آورد، موفقیتی ناگهانی کسب کرد. این ویروس که اولین نوعی بود که به صورت ماکرو) کلان دستور (نوشته شده بود، به یکی از ویروس های فراگیر در کنترل دستگاه را با اجرای ماکروی Conceptسالهای ۱۹۹۶تا۱۹۹۸تبدیل شد. ویروس آن را بصورت خودکار اجرا می کرد، بدست آورده وWordخود که برنامه Auto Openشدن فایلی در برنامه Saveخود که در هر بار FileSaveAs آلودگی را از طریق ماکروی اجرا می شد، انتقال می داد، گونه های مختلفی از این ویروس وجود داردWord.

اولین مشاهده :ماه آگوست از سال۱۹۹۵

نوع:ویروس ماکرو

تاثیرات:هنگامی که شما سندی آلوده را باز می کنید، یک صفحه پیغام با عنوان

That’s enough to proveنمایان می شود. این ویروس شامل عبارت Microsoft Wordبوده اما آن را هیچگاه نمایش نمی دهدmy point.

ویروس Chernoby

اولین ویروسی بود که توانست به سخت افزار کامپیوتر صدمه وارد کند. به CIH محض اینکه این ویروس اطلاعات بایوس را بازنویسی کند، کامپیوتر دیگر قابل استفاده نخواهد بود مگر آنکه چیپ بایوس آن تعویض شود.

اولین مشاهده:ماه ژوئن از سال ۱۹۹۸

سرچشمه :نوشته شده توسط  Chen Ing –Hauاز تایوان

نوع:ویروسی انگلی که بر روی کامپیوترهای مبتنی بر سیستم عامل ویندوز ۹۵اجرا می شود.

راه اندازی ویروس :در روز ۲۶ماه آوریل. انواع دیگر آن در روز های ۲۶ از ماه ژوئن ویا روز ۲۶هر ماه آزاد می شوند.

تاثیرات :بازنویسی کردن اطلاعات روی بایوس وپس از ان اطلاعات بر روی دیسک سخت.

ویروس Parity Boot

این ویورس برروی سکتور بوت فلاپی ها گسترش می یابد. موفقیت آن مؤید این مطلب است که ویروس های از نوع سکتور بوت –که در دهه ۱۹۸۰واوایل دهه۱۹۹۰فراگیر بوده اند –هنوز هم می توانند پررونق باشند.

نام این ویروس در اکثر گزارش های مربوط به سال ۱۹۹۸قابل مشاهده می باشد.

آلودگی فوق العاده این ویروس مربوط به کشور آلمان می باشد، جایی که توانست خود را از) . طریق دیسکت های توزیع شده به همراه یک مجله منتشر کند) در سال ۱۹۹۴

اولین مشاهده:ماه مارس از سال ۱۹۹۳

سرچشمه :احتمالاکشور آلمان

نوع :ویروس سکتور بوت

راه اندازی ویروس :تصادفی

را نمایش داده وباعث قفل شدن کامپیوترPARITY CHECK

تاثیرات:پیغام می شود. این کار تقلیدی از رخداد یک خطای واقعی حافظه می باشد. در نتیجه اغلب اوقات دستگاه آنها وجود دارد RAM. کاربران تصور می کنند که مشکلی در حافظه

ویروس   Happy99

 اولین ویروس شناخته شده ای بود که توانست به سرعت خود را از طریق پست الکترونیک گسترش دهد.

اولین مشاهده :ماه ژانویه از سال۱۹۹۹ویروس نویس فرانسوی به یک گروه خبری ارسال Spanskaسرچشمه :توسط شد.، NT، ME، ۹۸،

نوع :ویروس فایلی که بر روی سیستم عامل ویندوز ۹۵اجرا می شود XP2000. ورا نمایش <<سال ۱۹۹۹مبارک >>تاثیرات :نمایی از یک آتش بازی وسپس پیام را Windowsاز سیستم عاملSystemدر شاخه Wsock32. Dll می دهد. این ویروس فایل چنان تغییر می دهد که بعد از هر نامه ای که فرستاده می شود، پیام دیگری هم که شامل ویروس می باشد ارسال خواهد شد.

 Bandook

منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۵

‏Bandook یک تروجان «در پشتی» بود که ویندوز ۲۰۰۰، ایکس پی، ۲۰۰۳ و ویستا را تحت تاثیر قرار می داد. این تروجان فایروال ویندوز را دور می زد و دسترسی از راه دور مهاجم را به سیستم شما فراهم می کرد. رفتار این تروجان مشابه پسر عموی خود، Beast Trojan بود.

Beast Trojan

منبع احتمالی انتشار: دلفی
سال انتشار: ۲۰۰۲

این کرم مبتنی بر ویندوز به شخص مهاجم کنترل کاملی بر روی کامپیوتر آلوده می داد، از جمله دسترسی به تمام فایل ها با توانایی آپلود، دانلود، اجرا یا حذف فایلها.

 Benjamin

منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۲

ویروس « بنجامین » کامپیوترها را از طریق برنامه به اشتراک گذاری فایل Kazaa آلوده می نمود. ویروس به عنوان آهنگی محبوب به منظور فریب کاربران برای دانلود آن معرفی می شد. هنگامی که این ویروس یک بار روی سیستم اجرا می شد، اتصال به اینترنت رایانه میزبان را مسدود و تمام ظرفیت هارد دیسک را پر می کرد.

 CIH aka Chernobyl

منبع احتمالی انتشار: تایوان
سال انتشار: ۱۹۹۸

ویروس «چرنوبیل» باعث آسیب ۸۰ میلیون دلاری به رایانه ها شد. این ویروس رایانه های مجهز به ویندوز ۹۵، ۹۸ و ME را آلوده کرده و می توانست روی فایل های هارد دیسک رونویسی کرده یا از بوت شدن سیستم جلوگیری کند. نام آن برگرفته از یک فاجعه بود: ویروس در همان روزی منتشر شد که سال ها قبل از آن انفجار راکتور هسته ای چرنوبیل در شوروی رخ داد.

  Explorer.zip

منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۱۹۹۹

این کرم به قربانیان با حذف فایل های ورد، اکسل و پاورپوینت خسارت دردآوری وارد می کرد. کرم در عین حال روش هوشمندانه ای برای گسترش خود در سراسر وب داشت: Explorer.zip در متن ایمیل ها جستجو کرده و به طور خودکار جواب دارای فایل پیوست آلوده به کرم را در پاسخ به آنها با استفاده از تیتر اصلی ارسال می کرد.

SoBig

منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۳

‏SoBig میلیون ها کامپیوتر تحت ویندوز را آلوده کرد. این بدافزار ایمیل هایی به مخاطبین رایانه آلوده شده با عناوینی مانند “پاسخ: برنامه کاربردی درخواستی شما” و “متشکرم” ارسال شده و حاوی متنی بود که گیرنده نامه را به لینک “برای دریافت جزئیات پیوست را بازدید کنید،” هدایت می کرد، که چیزی نبود جز مواجهه با عذاب گرفتاری به بدافزار جدید. هنگامی که با SoBig آلوده می شدید، شما یک فرستنده اسپم به دوستان خود بودید.

 Stuxnet

منبع احتمالی انتشار: ایران
سال انتشار: ۲۰۱۰

کرم «استاکس نت»در میان کارشناسان سبب ایجاد وحشت شد، چرا که ظاهرا توانایی از کار انداختن تاسیسات صنعتی و هسته ای را داشت. شاید بتوان آن را اولین بدافزار با قابلیت تخریب سخت افزاری خارج از کامپیوتر نامید. در همین زمینه کارشناسان امنیت سایبر در مورد یک مسابقه تسلیحاتی جدید هشدار دادند. به نظر می رسد که هدف استاکس نت ایران بوده است.

 Magistr

منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۱

کرم Magistr قوی و مخرب بود. این کرم، فایل های ذخیره شده روی هارد دیسک های آلوده را با فایل های خود بازنویسی کرده و سبب نابودی اطلاعات به این شیوه شده و سبب کرش سیستم می گردید. همچنین Magistr در برابر آنتی ویروس ها مقاوم بود و بسیاری تلاش های معمول برای حذف آن را مسدود کرده و بی اثر می نمود.

Sasser

منبع احتمالی انتشار: آلمان
سال انتشار: ۲۰۰۴

«ساسر» توسط سوئن جاشن ایجاد شد که شهرت خود را از برنامه نویسی ویروس Netsky که در در ادامه بدان اشاره می شود بدست آورده بود، با این تفاوت که ساسر دست پخت هکر برای انجام ماموریتی بزرگ و ویرانگر بود. چرا که برآوردها نشان می داد بر اثر این بدافزار ۱۸ میلیون دلار آسیب به صنعت رایانه وارد گردید. آلودگی سبب خساراتی منجمله خاموشی ارتباطات ماهواره ای خبرگزاری های فرانسه و لغو پروازهای Delta Airlines شد و این تنها بخشی از اثرات ویرانگر این بدافزار بود.

 Mariposa

منبع احتمالی انتشار: اسپانیا
سال انتشار: ۲۰۱۰

این ویروس یک botnet یا شبکه ای از سیستم های آلوده شده بود که در بیش از ۱۹۰ کشور گسترش یافته و ۱۲.۷ میلیون رایانه را آلوده کرد. مقامات پلیس که موفق به شکست حلقه آلودگی شدند، اعتقاد دارند این آلودگی ها از اسپانیا نشات گرفته است و هدف آن سرقت شماره کارت اعتباری و اطلاعات بانکی قربانیان بوده است.

 Klez

منبع احتمالی انتشار: روسیه
سال انتشار: ۲۰۰۲

‏Klez رکوردی را که پیش از این در اختیار SirCam بود، شکست و تبدیل به گسترده ترین کرم تا آن زمان در تاریخ رایانه شد. رفتار کرم شبیه کرم قدیمی تر بود، یعنی بازنویسی فایل ها با فایل های آلوده که حجمشان صفر بود. علاوه بر این، Klez تلاش به غیر فعال کردن برنامه آنتی ویروس به منظور زنده نگه داشتن خود می نمود.

SQL Slammer

منبع احتمالی انتشار: بریتانیا
سال انتشار: ۲۰۰۳

بدافزار SQL Slammer سرور ها را هدف قرار داده، و آنها را با قطعات کوچکی از کد که به آدرس های IP تصادفی فرستاده می شد، بمباران می کرد. سرورهای گرفتار شده با ترافیک مصنوعی یا کند شده و سرعت ارائه خدمات به کلاینت های آنها پایین می آمد، یا به کلی از ارائه سرویس ناتوان می گشتند. بخشی از قربانیان مهم شامل سرورهای بانک مرکزی امریکا، خطوط هوایی «قاره ای» (Continental) و شهر سیاتل بود. کرم به طرز حیرت آوری سریع عمل کرده و تنها در عرض ۱۰ دقیقه به ۹۰ درصد از تمام سیستم های آسیب پذیر ممکن گسترش یافت (بیش از ۷۵ هزار کامپیوتر).

 Code Red

منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار : ۲۰۰۱

این کرم که خطرناک ترین آلودگی ممکن در زمان خود محسوب می شد، با آلوده کردن رایانه های متعدد و متحد کردن آنها در حمله علیه وب سایت کاخ سفید برای خود نامی هراس انگیز دست و پا کرد. کرم نیازی به فایل اجرایی آلوده نداشت، و از طریق صدها هزار شبکه، که عمدتا متعلق به شرکت ها بود گسترش یافت.

  Storm

منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۷

کرم «طوفان» ۵۰ میلیون رایانه را آلوده کرد. این بدافزار در پیوست یک نامه الکترونیکی با عنوان “۲۳۰ کشته در جریان طوفان در اروپا ” پنهان شده بود. هر چند برخی تغییرات در قالب و متن این ایمیل در رایانه های مختلف مشاهده شده، از جمله یک مورد خبر زلزله در چین در زمان برگزاری بازی های المپیک پکن. کرم برای سوء استفاده طراحی شده و در طراحی آن از بروز رفتار غیرعادی در کامپیوتر میزبان غفلت شده بود. این کرم دکمه هایی که کاربر روی صفحه کلید را فشار می داد ثبت کرده و یک پایگاه داده بزرگ از اطلاعات محرمانه به منظور فروش اطلاعات قربانی تولید می کرد. کرم بسیار زیرک بود و بر یک کد تکیه داشت که هر ۳۰ دقیقه تغییر شکل می داد. این ویروس از این نظر که آینده بدافزار های مخرب را ترسیم می کرد و هدفش تبدیل قربانیان به خوراکی آماده برای اسپمرها (فرستندگان هرزنامه) بود، حائز اهمیت است.

 Mydoom

منبع احتمالی انتشار: روسیه
سال انتشار : ۲۰۰۴

‏Mydoom سریعترین کرم گسترش یافته در اینترنت بود که تا آن زمان طراحی شده بود. این کرم توسط یک فرستنده ایمیل های اسپم مأموریت یافته بود که ایمیل های ناخواسته یا اسپم حاوی پیام: “اندی ، من فقط کارم را انجام می دهم، هیچ دلبستگی شخصی در میان نیست. متأسفم!” را برای قربانیان ارسال کند. کرم اجازه کنترل از راه دور سیستم میزبان را به مهاجم می داد. برخی از گونه های حمله به وب سایت های خاصی از جمله مایکروسافت و گروه سازمان همکاری های شانگهای (SCO) انجام گرفت. برخی کارشناسان بر این باورند که کرم همچنین از طریق Kazaa خود را گسترش می دهد.

 Nimda

منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۱

ویروس Nimda یکی از پیچیده ترین بدافزارها در طول تاریخ است، چرا که به پنج روش مختلف خود را تکثیر می نمود. هنگامی که کامپیوتری به این ویروس آلوده می شد، ویروس یک حساب کاربری مدیریتی (Administrator Account) ایجاد کرده و اطلاعات ذخیره شده روی هارد و شبکه را با فایل های بی ارزش خود بازنویسی کرده و از بین می برد. این ویروس هر دو نوع رایانه های شخصی و سرورها را آلوده کرده و برای آلودگی نیازی به اجرای فایل برنامه توسط میزبان نداشت.

 I LOVE YOU

منبع احتمالی انتشار: ایالات متحده آمریکا
سال : ۲۰۰۰

در آغاز دهه اول قرن بیست و یکم با تمام بدبینی های پیش زمینه کاربران، ویروس I LOVE YOU میلیون ها کامپیوتر را در یک شب آلوده کرد. این بدافزار یک اسب تروجان روی رایانه قربانی دانلود می کرد که به دنبال رمزعبور و نام های کاربری کاربر گشته، و کارهایی از قبیل بازنویسی و انتقال فایل ها را انجام می داد. ویروس توسط یک دانشجوی فیلیپینی ایجاد شده، از طریق ایمیلی با عنوان بی رحمانه ” دوستت دارم” گسترش می یافت. در زمان اوج شیوع سراسری این ویروس ، تخمین زده شد ۱۰ میلیارد دلار به رایانه های خانگی و شرکت ها خسارت وارد شده است. روش های هیجان انگیز و پیچیده ویروس “دوستت دارم” موضوع ده ها پایان نامه دانشجویی و نمایشگاه امنیت رایانه ای در بسیاری از کشورهای جهان شد.

Conficker

منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۹

کرم رایانه ای که به بیش از ۲۰۰ کشور جهان گسترش یافته و دهها میلیون رایانه و سرور را آلوده کرده و به آنها آسیب رساند، چیزی نیست جز کرم Conficker که لقب زهرآگین ترین کرم تمام دوران را از آن خود کرده است. Conficker تکنیک های مختلف نرم افزارهای مخرب را با هم ترکیب نموده و در اصل نیمه ویروس و نیمه تروجان بود.کرم تلاش می کرد تا از به روز رسانی سیستم ها جلوگیری کرده و به برنامه های ضد تروجان حمله و آنها را غیرفعال کند. Conficker به ویژه در اروپا اثرات ویرانگری از خود بر جای گذارد. از جمله خسارات قابل توجه می توان به وزارت دفاع بریتانیا، نیروی دریایی فرانسه و پلیس نروژ اشاره کرد. انتشار چندین گونه از این کرم باعث شد تا آن یک قدم جلوتر از تلاش ها برای محو آن باشد. این ویروس همچنان به عنوان بی رحم ترین برنامه مخرب موثر در دوران مدرن رایانه باقی مانده است.

ویروس Bronkot. Aوروش های مقابله

این یک ویروس بسیار حرفه ای است واساس طراحی این ویروس با Visual Basic0. 6می باشد. برای اولین بار کمپانی سازنده آنتی ویروس Bit Defenderپادزهر آن را ساخت اما چون روشی خاصی برای نابودی این کرم وجود ندارد، نرم افزار آنتی ویروس نمی تواند این کار را انجام دهد وفقط ویروس را شناسایی می کند. دوستانی که سطح اطلاعات کامپیوتری مبتدی است توصیه می شود که ویندوز خود را عوض کنند وتمام مطالبی که در زیر نوشته شده است را کنار بگذارند. البته توضیحات واضح است وضرری ندارد اگر یک بار امتحان کنید اما کسانی که مدت زیادی است با کامپیوتر آشنایی دارند بهتر می توانند موفق شوند. در ابتدا خوب است کمی راجع به هنر نمایی های این ویروس بدانیم :

کرمی که باعث ایجاد این ویروس می شود Bron Tok. A نام دارد. معروف شده است به پنهان کننده  Folder Options بهتر است بدانید که این تنها کار این کرم نیست  Registry Toolsرا قفل می کند.  Task Manager با Error مواجه می شود واگر هم بر حسب اتفاق اجرا شود توانایی END کردن بسیاری از پروسه ها را ندارد. محتویات My Documentرا پس از اجرا شدن نمایش می دهد، اگر از طریق منوی StartگزینهRunرا فعال کنیم وهر یک از عبارات RegEdit32، RegeditوCMDرا اجرا کنیم سیستم بلافاصه Restart می شود. کلیک بر روی Log off یا Turn off باعث Restart می شود. سرعت سیستم را کاهش داده ومانع اجرای  بعضی نرم افزار ها می شود. این کرم آیکون یک پوشه معمولی را دارد واز طریق فایل inetinfo. Exe در سیستم منتشر می شود.

 ویروسها از نظر محل تأثیر گذاری

ویروس ها مانند سایر برنامه ها نیاز به محلی برای ذخیره خود دارند با این تفاوت که آنها محلی را انتخاب می کنند که برای رسیدن به اهداف شوم خود نزدیک تر ودر دسترس تر باشد. محلهایی که برای جایگیری ویروس ها محبوبیت بیشتری دارند (محل تأثیر گذاری) به شرح زیر می باشند :

ویروس های تاثیر گذار روی رکورد راه انداز

این نوع ویروس ها همان طوری که از نام آنها مشخص است به رکورد راه انداز (RECORD BOOT) سیستم آسیب می رساند واطلاعات این بخش را (از قبیل ظرفیت دیسک تعداد سکتور های آن مقدار بایت های هر سکتور سایز کلاستر ها و. . . . . علاوه بر این اطلاعات در دیسک های راه اندازاین سکتور شامل برنامه ای است که سیستم عامل را در حافظه قرار داده آن را راه اندازی BOOT-می کند) را از بین می برند در نتیجه موقع شروع به کار سیستم برنامه STRAP BOOTکه عملیات راه اندازی را آغاز می کند وجود نداشته ودر نتیجه کامپیوتر راه اندازی نمی شود وپیغام خطایی از طرف سیستم مبنی بر عدم وجود فایل های سیستمی در صفحه نمایش ظاهرمی شود واگر مانع از راه اندازی سیستم نشوند حافظه کامپیوتر را در بدو شروع وراه اندازی آلوده وبه این ترتیب باعث گسترش آلودگی به درایوهای دیگر می شوند مثلا:ویروس “فیلیپ”.

ویروس های تاثیر گذار روی پارتیشن تیبل

پارتیشن تیبل به جدولی گفته می شود در آن نحوه تقسیم بندی هاردیسک (هاردیسک می تواند دارای چند درایو باشد) وظرفیت تک تک پارتیشن های هارددیسک مشخص شده است که در سکتور شماره صفرها رد دیسک قرار دارد. این ویروس ها می توانند از نظر منطقی ظرفیت تک تک پارتیشن ها را به هم ریخته وآنها را کم وزیاد کرده وحتی روی نحوه تقسیم بندی دیسک تاثیر بگذارند در این صورت نمی توان به بعضی از فایل ها در جای خودشان دسترسی پیدا کرد محل نگهداری این جدول در رکورد راه انداز اصلی هر هارد است.

همچنین این گونه ویروس ها با قرار گرفتن در این محل به محض روشن شدن کامپیوتر واجرای یک برنامه آلوده به ویروس همراه آن نرم افزار در حافظه اصلی جای می گیرند وگاهی اوقات تا موقع خاموش شدن کامپیوتر در آنجا باقی مانده وفایل های دیگر را آلوده می کنند.

ویروس های تاثیر گذار روی فایل های اجرایی

این نوع ویروس ها فایل های اجرایی را آلوده نموده وخود را به فایل های اجرایی اضافه می کنند وبا هر بار اجرای این نوع فایل ها به همراه آنها وارد حافظه شده وفعالیت خود را شروع می کنند. در نتیجه این نوع ویروس ها از نوع ویروس های خیلی خطرناک هستند که بسرعت شیوع پیدا می کنند. بعضی از ویروس های نرم افزاری مثل “۲D” هر بار که به فایلی اضافه می شوند یک نسخه ازخود را روی فایل تکثیر می کنند. بدین ترتیب طول فایل اصلی با هر بار اجرا بیشتر می شود که این خود نشانه وجود ویروس روی آن فایل است وبراحتی قابل تشخیص است اما برخی دیگر از ویروس های نرم افزاری  هوشمندانه عمل می کنند یعنی اگر ویروس قبلا به فایلی چسبیده باشد دیگر به آن حمله نمی کند وبدین ترتیب تشخیص وجود ویروس در آن فایل مشکل تر خواهد بود.

ویروس ها تاثیر گذار روی فایل های غیر اجرایی

گفتیم که ویروس برای اینکه بتواند فعال شود باید خود را به یک فایل اجرایی بچسباند طوریکه با اجرای این نوع فایل ها ویروس نیز فعالیت خود را آغاز کند وقسمتهای مختلف سیستم را مورد حمله قرار دهد وبه ندرت اتفاق افتاده که ویروس روی یک فایل غیر اجرایی مثلا فایلهای متنی یا بانکهای اطلاعاتی جای بگیرد وآنرا آلوده کند. از ویروسهای تاثیر گذار بر روی فایلهای غیر اجرایی میتوان به ویروسهایی اشاره کرد که در انتهای اسناد WORDیاEXCELخود را پنهان میکنند این ویروسها به صورت دستورات نرم افزارهای WORDیاEXCEL هستند که پس از باز شدن سند بصورت خودکار اجرا میشوند.

معمولا آثار مخرب ویروسها برروی فایلهای غیر اجرایی نمایان میشود وکمتر مشاهده شده است که ویروس ها خود را در این فایلها پنهان کنند.

 ویروس های سخت افزاری

عده­ای معتقدند که ویروس­ها نمی­توانند به سخت­افزار آسیب برسانند وتا به امروز، هیچ ویروسی پیدا نشده است که که این کار را انجام دهد. ولی در خلاف انتظار از بین بردن سخت افزار توسط برنامه­های نرم افزاری امکان­پذیر و عملی است. گرچه خسارات سخت افزاری در موارد اندکی توسط ویروسها وجود دارد ولی باید آنها را جدی گرفت. به عنوان مثال کامپیوترهای سری آمیگا از شرکت کمودور، به خاطر نداشتن کنترل در قسمت­های مختلف در مقابل ویروس آسیب پذیرند. در این کامپیوترها می­توان به کمک نرم افزار، موتور دیسک­گردان را از حرکت باز داشت و همزمان فرمان خواندن یک تراک که وجود ندارد، را به هد داد به این ترتیب هد به دیواره­های دیسک­گردان برخورد کرده و می­شکند. نمونه دیگر این است که CPU و Icهای آمیگا از جمله اگنس، دنیس و پائولا از نوع CMOS بوده و در مقابل الکتریسیته حساس هستند. اگر همزمان به تمام ورودیهای بیت یک اعمال می­شود ولتاژ اضافی باعث خرابی ICها می­شود. به کمک یک برنامه کوتاه چند خطی به زبان ماشین می­توان کلیه ثباتهایی که به نام CPU می روند را حاوی بیت یک نمود و CPU را خراب کرد. در رایانه­های شخصی ویروس می­تواند هد خواندن و نوشتن دیسک­گردان را روی یک تراک داخلی، که وجودندارد قرار بدهد. در بعضی از دیسک گردانها، اینکار باعث می­شود که هد، به بستی در داخل دیسک­گردان گیر کند و فقط با باز کردن دیسک گردان و جابه جا کردن هد با دست، مشکل حل می­شود. ویروس می­تواند تراک صفر دیسک را نابود کند در اینصورت، این دیسک دیگر قابل استفاده نیست یا اینکه ویروس بطور مکرر هد را از سیلندر بیرونی به سیلندر داخلی حرکت دهد این امر سبب سایش و نهایتا خرابی دیسک خواهد شد. در اینجا ممکن است مستقیما چیزی تخریب نشود ولی باعث فرسودگی می­شود. برای مثال ویروس AMP2P که روی فایل CAMMAND.COM ویندوز ۹۵ وجود دارد، قادر است تنظیم اصلی کارخانه را تغییر دهد و ویروسی که بتواند اینکار را انجام دهد قادر است به تمام اجزای سیستم دسترسی داشته و آنها را خراب کند. این ویروس معمولا هارد دیسک را دچار تعدادی بد سکتور می کند ویا تراک صفر را از کار می اندازد که با فرمت فیزیکی مجدد نیز دیسک قابل اصلاح نیست. تا چندی قبل ویروس ها فقط فایل­ها را خراب می­کردند که معمولا چاره اینکار آسان بود ولی اکنون ویروس ها به آنچنان توانایی رسیده­اند که قادرند سخت افزار سیستم را مورد هدف قرار دهند که در این صورت خسارات ایجاد شده شدید و جبران آن سنگین است. تازه ممکن است پس ازتعویض قسمت خراب شده، ویروس مجددا آنرا تخریب کند.

ساختار کلی فایل­های COM و EXE تحت DOS

 ساختار کلی فایل­های اجرایی از نوع COM تحت DOS  : معمولا و نه همیشه اولین دستور از فایل­های اجرایی COM، حاوی یک آدرس پرش (Jump) می باشد که اجرای برنامه را به مکان دیگری از داخل حافظه انتقال می­دهد و سپس دستورات اصلی برنامه از مکان XXXXX در شکل فوق آغاز می­گردد. اما اگر همین آدرس پرش اولیه را بتوانیم طوری تغییر دهیم که به ابتدای برنامه خودمان منتقل شود .می­توان گفت که نصف کار آلوده­سازی را انجام داده­ایم. بصورت کلی جهت انجام این کار ابتدا آدرس پرش اولیه XXXXX را در مکانی از حافظه ذخیره کرده (برای استفاده بعدی) و سپس آدرس شروع برنامه خود را درآن قرار می دهیم. خوب تا اینجا توانسته ایم کنترل اجرایی فایل­های COM را بدست گیریم. سپس کافی است در داخل ویروس عملیات مربوط به یافتن فایل­های اجرایی غیر آلوده، درستکاری آنها و انجام یکسری تخریب ها (چاپ یکسری مطالب جهت ترساندن کاربر معرفی خود) و نهایتا برگشت به آدرس اولیه پرش XXXXX جهت اجرای عادی فایل آلوده شده مراجعه کرده تا برنامه ازاین پس روال عادی اجرایی خود را انجام دهد.

 ساختار کلی فایل­های اجرایی از نوع EXE تحت DOS :

ساختار کلی فایل های EXE پیچیده تر است.  تمام فایل­های EXE دارای یک Header یا عنوان بوده که شامل اطلاعات تخصصی فایل اجرایی نظیر مشخصه فایل، اندازه واقعی فایل، آدرس­های Data Segment،Code Segment و….. می­باشد. بنابراین بر خلاف فایل­های COM که اولین دستور از آنها حاوی آدرس شروع برنامه است، در این فایل­ها بایت­های ۲۰ و۲۲ در داخل Header حاوی آدرس شروع برنامه است و چون فایل های EXE از نظر اندازه می­توانند خیلی بزرگتر از COM باشند، این آدرسها شامل SEGMENT:OFFSET است با توجه به توضیح فوق در مورد نحوه آلوده­سازی فایل های COM کافی است آدرس­های X1:X2 را به ابتدای برنامه خود تغییر داده و سپس در پایان کار نیز به محل اولیه X1:X2 باز گردیم. اما این نکته قابل ذکر است که بدلیل پیچیدگی ساختار فایل­های EXE، آلوده­سازی اینگونه فایل­ها از فایل های COM مشکلتر است. دلایل خراب شدن فایل­های اجرایی همانطور که توضیح داده شد، به هنگام آلوده سازی فایل­های اجرایی ممکن است، در محاسبه تغییر آدرس­ها اشتباهاتی صورت گیرد و یا یک فایل اجرایی چندین بار آلوده گردد و در جریان چنین اعمالی نیز امکان دارد سیستم روال اجرایی عادی خود را ازدست داده و داخل یک حلقه بی­نهایت قرار گیرد و یا به مکانی از حافظه پرش کند که هیچگونه دستور العملی وجودندارد و سرانجام باعث HANG کردن یا قفل کردن کامپیوتر می­شود که گاهی اوقات بعضی از ویروس­ها به هنگام آلوده­سازی دچار این مشکل شده و احتمالا با این مسئله برخورد کرده­اید که به هنگام آلوده بودن کامپیوترتان سیستم بدلیل نامشخصی قفل می کند.

 ویروس های چند بخشی

این ویروس ها دارای خصوصیات هر سه دسته از ویروس های بالا هستند یعنی هم بوت سکتور وپارتیشن تیبل را آلوده می کنند وهم فایلهای اجرایی را آلوده می کنند. در حال حاضر بیشتر ویروس از این نوع هستند زیرا هم از طریق دیسک وهم از طریق اینترنت منتشر می شوند.

مثل ویروس “ناتاس”که هم فایل های با پسوند، OVL، EXE، COM، SYSو. . . را آلوده می کند وهم بوت سکتور وپارتیشن تیبل را.

ویروس های مقیم در حافظه

این ویروس ها در حافظه قرار گرفته وکنترل سیستم عامل را در دست می گیرند. آنها روی عملیات ورودی-خروجی فایل  های اجرایی ومفسرهای فرمان و. . . . . اثر گذاشته وباعث اختلال در کار سیستم می شوند.

این ویروس ها با خاموش کردن کامپیوتر از حافظه پاک می شوند ولی اگر منشاء ورود آنها به سیستم از بین نرود با روشن شدن دوباره ممکن است به حافظه وارد شوند.

آیا نوشتن ویروس همیشه نادرست است؟

اکثر ما به این مطلب اذعان داریم که ویروس ها چیزهای بدی هستند، اما آیا این نظر همیشه صحیح است ؟

بسیاری از ویروس ها بی زیان بوده ویا اینکه فقط در حد یک شوخی می باشند. بقیه هم می توانند هشداری برای شکاف های امنیتی نرم افزار های ما باشند. حتی بعضی افراد استدلال می کنند که ویروس ها می توانند مفید باشند، مثلامی توانند باعث شوند تا اشکالات نرم افزاری مورد تصحیح قرار گیرند. متاسفانه با توجه به دلایل زیر نظریه بی زیان بودن ویروس ها را نمی توان با مقوله امنیت جمع کرد.

دلیل اول اینکه ویروس ها بدون رضایت کاربران ودر اغلب اوقات بدون آگاهی آنان تغییراتی را در کامپیوتر های آنها ایجاد می کنند. اینکار صرف نظر از خوب یا بد بودن قصد ویروس، غیر اخلاقی –ودر بسیاری از کشورها غیر قانونی –می باشد. شما حق دخالت وفضولی در کامپیوتر فرد دیگری را ندارید، همانطور که نمی توانید بدون اینکه به کسی بگویی ماشین اورا قرض !بگیرید (حتی اگر قصد شما تعویض روغن موتور ماشین او بوده باشد) .

دلیل دوم آن است که ویروس ها همیشه کاری را که نویسنده آنها می خواسته، انجام نمی دهند. در صورتیکه ویروسی نادرست نوشته شده باشد، می تواند مشکلات ناخواسته ای را ایجاد کند. حتی اگر ویروسی بر روی سیستم عاملی که مورد نظرش بوده، مضر نباشد ممکن است بر روی سیستم عامل ها ویا برنامه های دیگر اثرات تخریبی بالایی داشته ویا اینکه نسخه های بعدی همان برنامه ها را در آینده با مشکل مواجه کند.

چه چیزی ویروس نیست؟!

بدلیل سوء شهرتی که ویروسهای کامپیوتری کسب کرده اند، به آسانی هر مشکل کامپیوتری بر گردن ویروسها انداخته می شود. در این مقاله در ابتدا به بعضی موارد ومشکلات که ممکن است دلیلی بغیر از ویروس داشته باشند، اشاره می شود:

-مشکلات سخت افزاری :ویروسی وجود ندارد که بتوانند به بعضی از قطعات سخت افزاری مانند چیپ ها، بردها ومونیتور آسیب برساند.

-صدای بوق در هنگام راه اندازی کامپیوتر بدون تصویر :این حالت معمولا بدلیل یک مشکل سخت افزاری در هنگام روند بوت رخ می دهد.

-کامپیوتر کل ۶۴۰کیلو بایت اول از حافظه را نشان نمی دهد. این می تواند نشانه ویروس باشد، اما قطعی نیست. بعضی از درایوهای سخت افزار مانند مونیتور یا کارت  SCSIممکن است بخشی از این قسمت از حافظه را استفاده کنند.

-دو برنامه ضد ویروس نصب شده دارید ویکی از این دو، ویروسی را گزارش می کند :در حالیکه که این می تواند نشانه ویروس باشد اما ممکن است امضا یا اثر یکی از این ضد ویروسها در حافظه باشد که توسط دیگری به صورت ویروس تشخیص داده شده است.

-در حال استفاده از Microsoft Wordهستید که Wordبه شما گزارش وجود یک ماکرو در یک فایل را می دهد. به این معنی نیست که ماکرو ویروس است.

-یک فایل یا سند خاص را نمی توانید باز کنید :این الزاما نشانه وجود ویروس نیست. امتحان کنید که آیا می توان فایل دیگر یا نسخه پشتیبان همین فایل را باز کرد. اگر بقیه باز می شوند، امکان خراب بودن فایل اولیه وجود دارد. بر چسب روی هارد تغییر کرده است. هر دیسک اجازه داشتن یک برچسب را دارد. می توانید توسط DOSیا Windows به یک دیسک برچسبی اختصاص دهید.

-هنگام اجرای ScanDisk، آنتی ویروس نورتون یک فعالیت شبه ویروسی را گزارش می کند. دو راه حل در پیش رو دارید:

oAuto-Protect نورتون را موقتا غیر فعال کنید وScanDiskرا اجرا کنید.

oOptionهای ScanDiskرا در هنگام اجرا تغییر دهید.

خصوصیات ویروس

بر اساس تعاریفی که تا به حال بیان شد برنامه ی ویروس باید دارای خصوصیات زیر باشد:

۱-برنامه ی نرم افزاری کوچک ومضری است که روی نوعی وسیله ذخیره ی اطلاعات کامپیوتری قرار می گیرد.

۲-بصورت خودکار وبدون دخالت اشخاص اجرا می شود.

۳-معمولا مقیم در حافظه هستند وبا اجرای فایل های آلوده به ویروس در حافظه کپی می شوند.

۴-نام ویروس ها در فهرست فایل ها ظاهر نمی شود.

۵-ویروس ها می توانند خود را در سایر کامپیوتر ها از طریق برنامه های آلودگی کپی کرده وتولید مثل نمایند.

۶-ویروسهای کامپیوتری توسط برنامه نویسان تکامل پیدا می کنند یعنی در حال حاضر تکامل آنها وابسته به دخالت برنامه نویسان است.

۷-ویروسهای مقیم در حافظه در صورت اجرا یا باز شدن فایل آنها را آلوده میسازند ولی ویروس هایی که دحا فظه مقیم نیستند باید در فهرست جاری یا مسیر های تعریفی در pathبه دنبال فایل های سالم بگردند وآنها را آلوده کنند. بعضی از ویروس ها به دنبال فایل های خاص در مسیر های خاص می گردند ودر صورت وجود فایل خاص آن را آلوده می کنند.

۸-بعضی از ویروس ها مانع از اجرای ضد ویروس هایی مانند Scan  می شوند واین در صورتی است که حافظه آلوده به ویروس نباشد. در این صورت برنامه ضد ویروس ظاهرا اجرا می شود ولی ویروس را نمی تواند روی دیسک تشخیص دهد. ویروس های ”  ایرانین  ”    و  ”   وان هاف ” از این نوع اند.

۹-قسمت های مختلف یک ویروس به هم وابسته اند وبا پاک کردن یک یا همه دستورات ویروس از بین می رود.

۱۰-ویروس ها معمولا تغییرات مختلف در کامپیوتر را تشخیص داده ومی تواند در مقابل آنها عکس العمل نشان دهند.

نام گذاری ویروس ها

نویسندگان ویروس معمولا آثار خود را نامگذاری نمی کنند زیرا اعلام نام موجب کشف سریع ویروس می شود اما گاهی نویسنده ویروس اسم ویروس را هم اسم با نام شخصی که با آن خصومت دارد انتخاب می کند مثل ویروس “عباس کوهکن”یا اینکه نویسنده ویروس برای زنده نگه داشتن یاد کسی اسم او را بر روی ویروس خود می گذارد مثل ویروس ” میکل آنژ  “. معمولا نامگذاری ویروس ها توسط دیگران صورت میگیرد به همین دلیل یک ویروس گاهی دارای چندین نام است مثلا ویروس ” مهاجم”دارای نام های “پلاستیک ۲″و”آنتی کد” است. نامگذاری ویروس ها توسط دیگران معمولا از روی نام اولین محلی که توسط ویروس آلوده شده یا برنامه ای که برای اولین بار حامل آن بوده یا حجم ویروس یا از روی برخی کلمات موجود در پیام ویروس و. . . . انجام می گیرد.

ویروس های”   پینگ پنگ ”  ”   ماری جوانا  ”  ”  میکل آنژ   “و ”  عباس کوهن ” توسط نویسندگان ویرووس نامگذاری شده اند اما ویروس”کارت کریسمس”از روی پیام آن که یک کارت کریسمس است نامگذاری شده ویا علت نامگذاری ویروس “لهای”این بود که اولین کامپیوتر آلوده شده توسط این ویروس در آزمایشگاههای میکرو کامپیوتر دانشگاه”لهای” قرار داشته است ویا ویروس “۲۵۷” چون اندازه آن ۲۵۷بایت است به این نام شناخته می شود.

زبان ها برنامه نویسی ویروس

بیشتر ویروس ها به زبان اسمبلی نوشته می شوند زیرا با این زبان میتوان:

-تمام اقدامات امنیتی نرم افزاری در سیستم عامل را خنثی کرد.

-زمان اجرای برنامه ویروس را کم کرد زیرا زمان دستیابی به حافظه جانبی را میتوان به حداقل رساند.

-میتوان اندازه ویروس را کوچک در نظر گرفت.

ولی با این وجود به سایر زبان های برنامه نویسی چون Cپاسکال وحتی بیسیک ویروس نوشته میشود. یک زبان سطح بالا چون Cوپاسکال امکانات بسیار خوبی برای نوشتن ویروس در اختیار ویروس نویس قرار می دهند. ویروس ۴۶۲۵بایتی” اسنتینل” به زبان توربو پاسکال نوشته شده است وبخشهایی از ویروس”۵۱۲۰″به زبان بیسیک نوشته شده است برای همین یکی از بزرگترین ویروسهای شناخته شده است و۵۱۲۰بایت طول دارد. وویروس ایرانی” مهران کامندر” با زبان سطح بالای Cنوشته شده اندازه آن از ویروس های دیگر که به زبان اسمبلی نوشته می شوند بیشتر است.

محل زندگی ویروس ها

ویروس های کامپیوتری نیز همانند هم نام های بیولوژیکی خود باید جایی برای باقی ماندن خود داشته باشند. ویروس ها می توانند در دو جا قرار داشته باشند:روی دیسک وحافظه RAM.

ماندن ویروس داخل RAMموقتی است وتا زمانی ادامه دارد که کامپیوتر روشن باشد ولی ویروس ها می توانند روی دیسک به طور دائم باقی بمانند. اقامت ویروس ها روی دیسک گرچه می تواند دائمی باشد اما ویروس در آنجا قدرت فعالیت ندارد وزنده بودن ویروس در حافظه رم به ظهور می رسد. می توان این طور تصور کرد که ویروس روی دیسک به حالت “کمون” قرار دارند وشرایط تحرک وحیات آنها در حافظه رم است. یعنی چرخه حیات ویروس از حافظه رم به دیسک وبالعکس است.

محل فعالیت ویروس ها

بعضی از ویروس ها بر روی فایل های با پسوند EXEوبعضی از آنها بر روی فایل های با پسوند COMوبرخی دیگر بر روی هر دودسته اثر می گذارند. بنابراین می توان گفت :یکی از محل های وجود ویروس فایل های اجرایی است. پسوند های رایج فایل هایی که توسط ویروس آلوده می شوند عبارتند از :

OVR-APP-XTP-FON-EXE-COM-SYS-BIN-OVL-DLL-SCR-DOC-DOT.

برخی از ویروس ها علاقه خاصی به بوت سکتور وپارتیشن تیبل دارند.

ویروس های بوت سکتور جای بوت سکتور را با برنامه خودشان عوض می کنند. اگرویروس ها به بیش از یک سکتور نیاز داشته باشند سکتور های دیگر ی از دیسک را به کار می برند ودر این صورت در جدول FATآنها را به عنوان “بدسکتور” علامت گذاری می کنند تا از نوشتن روی آنها جلوگیری شود واکثر برنامه های کمکی مثل نورتن نیز نمی توانند محتویات این سکتورهای به ظاهر خراب را نشان دهند. مثلاویروس “فورم”بوت سکتور فلاپی دیسک وهاردیسک را آلوده می کند.

رکورد راه اندازی اصلی در سکتور اول هارددیسک روی تراک صفر قرار دارد وحاوی جدولی است که اندازه وحد هر پارتیشن را در خود جای داده است. ویروس های رکورد راه اندازی اصلی نسخه ای از خودشان را روی رکورد مزبور کپی می کنند وجای رکورد راه انداز اصلی هاردیسک را عوض می کنند. برخی از ویروس ها باقرار گرفتن در بوت سکتور رکورد راه انداز اصلی پس از روشن شدن کامپیوتر به راحتی وبه دلخواه کنترل برنامه های اجرایی را دردست می گیرند. وقتی فایل آلوده به ویروس را اجرا کنید ویروس در حافظه قرار می گیرد ودر آنجا مقیم می شود. پس از آن هر وقت فایل سالمی را اجرا کنید برای اجرا به داخل می رود و ویروس مقیم در حافظه خود را به آن متصل می کند وبالاخره فایل آلوده در دیسک ذخیره می شود. بیشتر ویروس ها مانند برنامه های مقیم در حافظه عمل می کنند. برنامه های مقیم در حافظه پس از اجرا جای خود را در حافظه از دست نمی دهند. ویروس های مقیم در حافظه کنترل سیستم عامل را در دست می گیرند وفرایندهای ورودی –خروجی I\O مترجم های فرمان و. . را تحت کنترل می گیرند. اما بعضی از ویروس ها فقط در حافظه قرار می گیرند ونمی توانند مانند برنامه های مقیم در حافظه عمل می کنند. بعضی تنها از اقامت در حافظه استفاده می کنند. برخی از ویروس ها بر روی برنامه های غیر اجرایی یا دادهای اثر گذاشته وآنها را غیر فعال می کنند. ویروس ها فقط می توانند به فایلهای داده ای صدمه بزننداما نمی توانند آنها را آلوده کنند. در نتیجه فایل های داده ای نیز نمی توانند کامپیوتر را آلوده کنند. از فایل های دادهای می توان فایل هایی با پسوند DAT، DBFو. . . . را نام برد. بعضی از ویروس ها خودشان را فقط یک بار به یک فایل اضافه می کنند، یعنی هر فایل یک بار آلوده می کنند زیرا بیشتر ویروس ها دارای یک علامت مشخصه هستند که باعث می شود فایل های آلوده شده توسط خودشان را تشخیص دهند. این امر آنهارا قادر می سازد تا از کشف شدنشان جلوگیری به عمل آید. زیرا فایل آلوده به ویروس در صورت آلودگی های پی در پی به صورت قابل توجهی بزرگ می شود. برخی از ویروس ها مانند ویروس ایرانی “آریا” هنگام فهرست گرفتن یا جستجوی فایل ها ابتدا کنترل می کند که آیا فایل آلوده شده است یا خیر؟ در صورت آلودگی فایل به جای نمایش اندازه فایل در حالت آلودگی اندازه آن را قبل از آلوده شدن نشان می دهد. بنابراین همیشه نمی توان با فهرست گرفتن از فایل ها ومشاهده آنها پی به آلوده بودن آنهابرد. بعضی از ویروس ها به علت اشکالات در برنامه آنها باهر بار اجرای یک فایل خود را به آن اضافه می کنند وبه این ترتیب حجم فایل آلوده مرتبا افزایش می یابد. مثلا ویروس” اسرائیلی”یا”جمعه سیزدهم”فایل های COMرا فقط یکبار آلوده می کند ولی وقتی یک فایل EXE را آلوده می کندعلامت مشخصه خود را به انتهای فایل آلوده اضافه نمی کند ودر نتیجه پس از آلودگی اولیه هر بار که برنامه اجرا شود این ویروس خود را به فایل اضافه می کند. وبه این ترتیب حجم فایل آلوده مرتبا افزایش می یابد. (که این ویروس ها زود شناسایی می شوند.)