عبارت«ویروس های کامپیوتری» مدتی است که در فرهنگ اصطلاحات کامپیوتری جای خود را به خوبی باز کرده است و نه تنها کاربران و استفاده کنندگان از کامپیوتر ، بلکه دیگرانی که از دور هم با نام کامپیوتر آشنا هستند این عبارت را کمابیش شنیده اند.
استفاده کنندگان از کامپیوترهای شخصی باید همواره از برنامه- ها، فایل ها و داده های غیر قابل جایگزین خود در مقابل آتش، صدمات وارده به یک دیسک سخت، نرم افزارهای ضعیف از نظر برنامه نویسی ، و نیز بسیاری دیگر از صدما ت احتمالی محافظت نمایند.
به نظر کارشناسان باید با مسئله ویروس های کامپیوتری به طورزیر بنایی برخورد کرد.
همان طور که همه ی مردم نمی توانند «پزشک» ، تبدیل کردن همه برنامه نویسان به «ویروس کشانی» مجرب و کارآمد نیز امکان پذیر نخواهد بود.
ولی می توان به برنامه- نویسان و استفاده کنندگان از کامپیوتر درمورد ماهیت این پدیده توضیح داده شود و سپس باید « کمک های اولیه»، به آن ها آموخته شود.
این تحقیق از 3 بخش تشکیل شده است که در فصل اول تعاریف مربوط به ویروس ها وخصوصیات و محل زندگی و...
ذکر شده است و در فصل دوم انواع ویروس ها و در فصل سوم راه های مقابله و پاک سازی ویروس ها آمده است و سعی شد ه است موضوعات مهم ویروس های کامپیوتری آورده شود.
برای بسیاری از کلمات و اصطلاحات کامپیوتری نام لاتین آن نیز در پانوشت ذکر شده است.ودر پایان پاراگراف هایی که با حرف E مشخص شده است منبع آن اینترنت می باشد
فصل اول- آشنایی با ویروس های کامپیوتری
1-1-ویروس کامپیوتری چیست؟
یک ویروس کامپیوتری عبارت است از یک برنامه کامپیوتری – نه کمتر و نه بیشتر – که می تواند خطر ناک نیز باشد.
به زبان ساده می توان گفت: ویروس کامپیوتری ،برنامه مخفی و کوچکی است که باعث آلوده شدن برنامه های دیگر می شود و می تواند داده ها را دستکاری و یا تخریب نموده، سرعت سیستم را کاهش داده، باعث اغتشاش و عدم کارایی کامپیوتر شود.-2
ویروس های کامپیوتری خود به خود یا به طور طبیعی بوجود نمی آیند و به طریق سحر و جادو نیز ظاهر نمی شوند بلکه توسط افرادی هوشمند و آگاه به سازمان کامپیوتر تولید- نوشته- می شوند.
بنابر این ویروس کامپیوتر یک «نرم افزار» است و آنچه که ویروس های کامپیوتری را از برنامه ها و نرم افزارهای دیگر نظیر برنامه های حسابداری ،انبارداری،ویرایشگرها و… ممتاز می سازد، این است که: ویروس ها معمولا راندمان و کیفیت کار کامپیوتر را کاهش می دهند و یا اینکه اصولا در مورد اطلاعات کامپیوتری «خرابکاری» می کنند.-1
برنامه ایرا ویروس می نامیم که همه ی ویژگی های زیر را دارا باشد:
1- تغییر نرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی از این برنامه به برنامه های دیگر.
2-قابلیت انجام تغییر در بعضی از برنامه ها.
3- قابلیت تشخیص این نکته که برنامه قبلا دچار تغییر شده است یا خیر.
4- قابلیت جلوگیری از تغییر بیشتر یک برنامه در صورت تغییراتی در آن بواسطه ی ویروس.
5- نرم افزارهای تغییر یافته ویژگی های 1 الی 4را دارا هستند.
اگر برنامه ای فاقد یک یا چند ویژگی های فوق باشد، نمی توان به طور قاطع آن را ویروس نامید.E-
مهمترین خصوصیت ویروس قدرت تکثیر آن است.
ویروس ها برای تکثیر نیاز به یک برنامه اجرایی دارند.
یعنی بیشتر ویروس ها در فایل های اجرایی جای می گیرند و آن ها را آلوده می کنند.
و کمتر ویروسی پیدا می شود که در یک فایل غیر اجرایی جای بگیرد و بتواند از طریق آن تکثیر شود.
بنابراین ویروس برنامه ای است که می تواند نسخه های اجرایی از خود را در برنامه های دیگر قرار دهد.
برنامه آلوده به ویروس می تواند هر برنامه سیستمی یا کاربردی باشد که شرایط مورد نیاز برای پذیرش ویروس را داشته باشد.
برنامه آلوده نیز، قادر است برنامه های دیکر را آلوده کند.
از آن جایی که ویروس ها می توانند به تمام فایل هایی که توسط سیستم اجرا می شوند، اضافه شوند به آنها خود انعکاسی(1) نیز می گویند.
با وجودیکه ویروس ها توسط برنامه نویسان مجرب و حرفه ای نوشته می شوند، ولی برخی ها تصور می کنند که خود به خود و به طور تصادفی وارد سیستم می شوند.
ولی فرد کوهن (2)و سایر کارشناسان احتمال به وجود آمدن ویروس به طور تصادفی را بسیار کم دانسته اند.زیرا:
a-اگر طول برنامه ویروس هزار بیت فرض شود.
b- اگر پنجاه در صد از بیت ها صحیح فرض شوند.
-c اگر فرض کنیم با پانصد تغییر در برنامه، ویروس کامل می شود.
آنگاه احتمال به وجود آمدن ویروس برابر است با:
آنگاه احتمال به وجود آمدن ویروس برابر است با: P=500!/1000500 با فرض فوق که شرایط مطلوبی برای ایجاد خود به خودی ویروس است عدد P برابر مقدار کوچک 1/10365 می شود که شانس بسیار کمی به وجود آمدن و تکامل ویروس به طور تصادفی است.-2 2-1-مقایسه ویروس های بیولوژیکی و کامپیوتری به کار بردن کلمه ویروس برای این برنامه ها، به دلیل شباهت فراوان آنها با ویروس های بیولوژیکی است که در بدن موجود زنده فعالیت می کنند.
بنابر این ویروس های کامپیوتری را می توان با ویروس های بیولوژیکی مقایسه کرد.
ویروس های بیولوژیکی رشته هایی از اسید نوکلیک(1) ، همراه با پوشش پروتیینی هستند که به تنهایی هیچ اثری از حیات ندارند مگر اینکه به یک سلول زنده به عنوان میزبان را وارد شوند.
پس از ورود ویروس های بیولوژیکی به بدن، شروع به فعالیت کرده و فعالیت های سلول میزبان را متوقف می کنند.ویروس های بیولوژیکی در بدن میزبان می توانند تولید مثل کرده و ویروس جدید به وجود آورند.-2 ویروس های کامپیوتری مانند ویروس های بیولوژیکی به تنهایی نمی توانند فعالیت کنند و همانند ویروس های بیولوژیکی نیاز به میزبان دارند.
ویروس های کامپیوتری به طور غیر فعال در برنامه میزبان باقی می مانند تا در شرایط مناسب فعال شده و عملیات تخریبی و تکثیر خود را آغاز کنند.شرایط مناسب برای فعالیت ویروس ها، بسته به نوع آن ها متفاوت است.-2 برخی از ویروس های بیولوژیکی هستند که در سلول مستقر می شوند و یا با تولید زیاد در آن،سلول را از بین می برند و یا در آن جوانه می زنند و کاری به آن ندارند.
ویروس های کامپیوتری نیز همین گونه عمل می کنند و با استقرار در یک کامپیوتر و رخنه در آن یا با تکثیر زیاد به آن صدمه می زنند و یا بدون صدمه زدن در آن، در آن جوانه زده و شروع به رشد می کنند.-2 3-1-محل زندگی ویروس ها کجاست؟
ویروس های کامپیوتری نیز همانند هم نام های بیولوژیکی خود بایستی جایی را برای باقی ماندن خود داشته باشند.
ویروس های کامپیوتری می توانند در دو جا قرار داشته باشند: 1- روی دیسک؛ 2- حافظه RAM؛ ماندن ویروس داخل RAM (حافظه کامپیوتر) موقتی است و تا زمانی ادامه دارد که کامپیوتر روشن باشد ولی ویروس ها می توانند روی دیسک به طور دایم باقی بمانند.
ذکر این نکته ضروری است که اقامت ویروس ها روی دیسک گرچه دایمی می تواند باشد اما ویروس در آنجا قدرت فعالیت ندارد و «زنده» بودن ویروس در حافظه RAM به ظهور می رسد.
می توان اینطور تصور کرد که ویروس ها در روی دیسک به «حالت کمون» قرار دارند و شرایط تحرک و حیات آن ها در حافظه ی RAM در اختیار قرار می گیرد.
یعنی چرخه ی حیات ویروس از حافظه RAM به دیسک و بالعکس می باشد.-1 بعضی از ویروس ها بر روی فایل هایی با پسوند EXE و بعضی از آن ها بر روی فایل های با پسوند COM و بعضی دیگر بر روی هر دو دسته اثر می گذارند.
بنابر این می توان گفت:یکی از محل های وجود ویروس ، فایل های اجرایی است.
پسوندهای رایج فایل هایی که توسط ویروس ها، آلود می شوند عبارتند از: EXE-COM-SYS-BIN-OVL-DLL-SCR-DOC-DOT-OVR-APP-XTP-FON برخی از ویروس ها علاقه خاصی به بوت سکتور(1) و پارتیشن تیبل(2) دارند.
ویروس های بوت سکتور، جای بوت سکتور را با برنامه خودشان عوض می کنند.
اگر ویروس ها به بیش از یک سکتور نیاز داشته باشند، سکتورهای دیگری از دیسک را به کار می برند و در این صورت در جدول FAT آن هارا به عنوان «بدسکتور»(1) علامت گذاری می کنند.
تا از نوشتن روی آن ها جلوگیری شود و اکثر برنامه های کمکی مانند نورتن نیز نمی توانند محتویات این سکتورها به ظاهر خراب را نمایش دهند.-2 رکورد راه انداز اصلی(2) درسکتور اول هارد دیسک تراک صفر قرار دارد وحاوی جدولی است که اندازه و حد هر پارتیشن را در خود جای داده است.
ویروس های رکورد راه انداز اصلی، نسخه ای از خودشان را روی رکورد مزبور کپی می کنند و جای رکورد در راه انداز اصلی، هارد دیسک را عوض می کنند .
برخی از ویروس های با قرار گرفتن در بوت سکتور رکورد راه انداز اصلی، پس از روشن شدن کامپیوتر ،به راحتی و به دلخواه کنترل برنامه های اجرایی را دست می گیرند.-2 برخی از ویروس ها بر روی برنامه های غیر اجرایی یا داده ای اثر گذاشته و آنها را غیر فعال می کنند.
ویروس ها، فقط می توانند به فایل های داده ای صدمه بزنند، اما نمی توانند آنها را آلوده کنند.
در نتیجه فایل های داده ای نیز نمی توانند کامپیوتر را آلوده کنند.
از فایل های داده ای می توان فایل های با پسوند DBF.وDAT.و… نام برد.-2 4-1-خصوصیات ویروس بر اساس تعاریف قبلی ویروس ها دارای خصوصیات زیر می باشند: برنامه نرم افزاری کوچک و مضری است که روی نوعی وسیله ی ذخیره اطلاعات کامپیوتری، قرار می گیرد.
به صورت خودکار و بدون دخالت اشخاص اجرا می شوند.
3-معمولا در حافظه هستند و با اجرای فایل ها ی آلوده به ویروس،در حافظه کپی می شوند.
4-نام ویروس در فهرست فایل ها ظاهر نمی شود.
5- ویروس هامیتوانندخودرادر سایر کامپیوترهاازطریق برنامه هایآلوده،کپی کرده و تولید مثل نمایند.
6- ویروس های کامپیوتری توسط برنامه نویسان تکامل پیدا می کنند.
یعنی در حال حاضر تکامل آن ها وابسته به دخالت برنامه نویسان است.
7- اکثر ویروس های بوت سکتور کوچکتر از 512 بایت هستند زیرا فضای ذخیره شده در این قسمت 512 بایت(یک سکتور) است.
8- بعضی از ویروس ها مانع از اجرای ضد ویروس هایی مانند Scan می شوند و این در صورتی است که حافظه آلوده به ویروس نباشد.
9- ویروس ها ی مقیم در حافظه ، در صورت اجرا یا باز شدن فایل، آنها را آلوده می سازند.
10- قسمت های مختلف یک ویروس به هم وابسته است و با پاک کردن یک یا همه دستورات ، ویروس از بین می رود.
11- ویروس ها معمولا تغییرات مختلف در کامپیوتر را تشخیص داده و می توانند در مقابل آن ها عکس العمل نشان دهند.-2 5-1- مراحل زندگی ویروس از آن جایی که ویروس های کامپیوتری همانند ویروس های بیولوژیکی هستند نام ویروس را بر روی آن گذاشته اند.
و دارای چرخه ی حیاتی به شرح ذیل می باشند: مرحله خوابیده(1): مدت زمانی است که ویروس از زمان نوشته شدن تا زمان انتقال لازم دارد.
مرحله انتشار(2) : که در این مرحله آلوده سازی صورت می گیرد.
3-مرحله فعال شدن(3) :که در این مرحله شروع به آلوده کردن کامپیوتر می کند.
4-مرحله صدمه زدن(4) :که بر اساس نوع ویروس آلوده کننده متفاوت است.
عبور از مرحله ی یک بستگی به نوع ویروس آلوده کننده دارد برای ویروس «وان هاف» دو سال و نیم طول کشید و برای ویروس ماکرو چند ماه بیشتر طول نکشید.
در مرحله ی انتشار برای جلب اطمینان استفاده کننده،و برای این که ویروس کشف نشود، ویروس تنها یک کپی از خودش را به دیسک منتقل می کند.
و برای مرحله فعال شدن یک دستور (نظیر کپی یا روشن و خاموش شدن یا …) لازم است.
در مرحله ی صدمه زدن نوع صدمه ای که برنامه نویس تعیین کرده است اجرا می- گردد.-2 زمانی که ویروس وارد سیستم و اجرا شد این برنامه در هر منطقه ای که اجرا می شود آن جا را آلوده کرده و خود یک ویروس منتشر کننده می شود، که ویروس های منتشر کننده ی بیشتری تولید می کند.
ویروس هاتولید می شوند و آلوده می کنند و در پایان از بین می روند.
پس از تولید ویروس ها فعالیت آن ها شروع شده و شروع به تولید مثل می کنند.
که بیشترین صدمه را در این مرحله می زنند.
پس از شناسایی ویروس دیگر با قدرت قبلی فعالیت نمی کند بلکه سرعت فعالیتش کاهش یافته زیرا کاربران ماهر دیگر می دانند فعالیت ویروس کجاست.
ولی کاربران غیر ماهر از آن اطلاعی ندارند.
در پایان ویروس مرگش فرا می رسد و برنامه های ضد ویروس آن را شناسایی می کنند و نابود می گردد.
6-1- تاریخچه ویروس در سال 1983 در یک سمینار به نام سمینار «حفاظت دیسک(1)» افراد شرکت کننده در سمنار مدعی بودند که اطلاعات درون دیسک