0
عضویت / ورود
سه‌شنبه، 23 بهمن 1403 ( جهش تولید با مشارکت مردم )

ويروس و نرم افزار هاي مخرب

 
mohamadaminsh
mohamadaminsh
کاربر طلایی1
تاریخ عضویت : دی 1389 
تعداد پست ها : 25772
محل سکونت : خوزستان

پاسخ به:ويروس و نرم افزار هاي مخرب
شنبه 4 شهریور 1391  4:56 PM

انواع ویروسها وراههای مقابله با آن

ويروس چيست؟
 

ويروس هاي کامپيوتري برنامه هايي هستند که مشابه ويروس هاي بيولوژيک گسترش  يافته و پس از وارد شدن به کامپيوتر اقدامات غيرمنتظره اي را انجام مي دهند. با وجودي که همه ويروس ها خطرناک نيستند، ولي بسياري از آنها با هدف تخريب انواع مشخصي از فايل ها، برنامه هاي کاربردي و يا سيستم هاي عامل نوشته شده اند.
ويروس ها هم مشابه همه برنامه هاي ديگر از منابع سيستم مانند حافظه و فضاي ديسک سخت، توان پردازنده مرکزي و ساير منابع بهره مي گيرند و مي توانند اعمال خطرناکي را انجام دهند به عنوان مثال فايل هاي روي ديسک را پاک کرده و يا کل ديسک سخت را فرمت کنند. همچنين يک ويروس مي تواند مجوز دسترسي به دستگاه را از طريق شبکه و بدون احراز هويت فراهم آورد.
براي اولين بار در سال ۱۹۸۴ واژه «ويروس» در اين معنا توسط فرد کوهن در متون آکادميک مورد استفاده قرار گرفت. د‍ر اين مقاله که «آزمايشاتي با ويروس هاي کامپيوتري» نام داشت نويسنده دسته اي خاص از برنامه ها را ويروس ناميده و اين نام گذاري را به لئونارد آدلمن نسبت داده است. البته قبل از اين زمان ويروس ها در متن داستان هاي عملي و تخيلي ظاهر شده  بودند.
 

نامگذاري ويروس ها:

نام ويروس كامپيوتري از سال 1987 بر سر زبان ها افتاد. در نوامبر اين سال يكي از فارغ التحصيلان دانشگاه كورنل امريكا اولين ويروس كامپيوتري را نوشت و آن را وارد شبكه اينترنت نمود. در آن زمان اينتزنت در اختيار دانشگاها و سازمان ها بود ، در نتيجه اين عمل ويروس منتشر شد. اين ويروس باعث قطع ارتباط 6200 سيستم و از بين بردن 250000 سيستم گرديد.
 

انواع ويروس

انواع ويروس هاي رايج را مي توان به دسته هاي زير تقسيم بندي نمود:
boot sector : boot sector  اولين Sector  بر روي فلاپي و يا ديسک سخت کامپيوتر است. در اين قطاع کدهاي اجرايي ذخيره شده اند که فعاليت کامپيوتر با استفاده از آنها انجام مي شود. با توجه به اينکه در هر بار بالا آمدن کامپيوتر Boot sector مورد ارجاع قرار مي گيرد، و با هر بار تغيير پيکربندي کامپيوتر محتواي boot sector هم مجددا نوشته مي شود، لذا اين قطاع مکاني بسيار آسيب پذير در برابر حملات ويروس ها مي باشد.
اين نوع ويروس ها از طريق فلاپي هايي که قطاع boot آلوده دارند انتشار مي يابند. Boot sector  ديسک سخت کامپيوتري که  آلوده شود توسط ويروس آلوده شده و هر بار که کامپيوتر روشن مي شود، ويروس خود را در حافظه بار کرده و منتظر فرصتي براي آلوده کردن فلاپي ها مي ماند تا بتواند خود را منتشر کرده و دستگاه هاي ديگري را نيز آلوده نمايد. اين گونه ويروس ها مي توانند به گونه اي عمل کنند که تا زماني که دستگاه آلوده است امکان boot  کردن کامپيوتر از روي ديسک سخت از بين برود.
اين ويروس ها بعد از نوشتن بر روي متن اصلي boot سعي مي کنند کد اصلي را به قطاعي ديگر بر روي ديسک منتقل کرده و آن قطاع را به عنوان يک قطاع خراب (Bad Sector) علامت گذاري مي کند.
Macro viruses: اين نوع ويروس ها مستقيما برنامه ها را آلوده نمي کنند. هدف اين دسته از ويروس ها فايل هاي توليد شده توسط برنامه هايي است که از زبان هاي برنامه نويسي ماکرويي مانند مستندات Exel يا Word استفاده مي کنند. ويروس هاي ماکرو از طريق ديسک ها، شبکه و يا فايل هاي پيوست  شده با نامه هاي الکترونيکي قابل گسترش مي باشد.
ويروس تنها در هنگامي امکان فعال شدن را دارد که فايل آلوده باز شود، در اين صورت ويروس شروع به گسترش خود در کامپيوتر نموده و ساير فايل هاي موجود را نيز آلوده مي نمايد. انتقال اين فايل ها به کامپيوتر هاي ديگر و يا اشتراک فايل بين دستگاه هاي مختلف باعث گسترش آلودگي به اين ويروس ها مي شود.
File infecting viruses: فايل هاي اجرايي (فايل هاي با پسوند .exe و .com) را آلوده نموده و همزمان با اجراي اين برنامه ها خود را در حافظه دستگاه بار نموده و شروع به گسترش خود و آلوده کردن ساير فايل هاي اجرايي سيستم مي نمايند. بعضي از نمونه هاي اين ويروس ها متن مورد نظر خود را به جاي متن فايل اجرايي قرار مي دهند.
ويروس هاي چندريخت(Polymorphic):اين ويروس ها در هر فايل آلوده به شکلي ظاهر مي شوند. با توجه به اينکه از الگوريتم هاي کدگذاري استفاده کرده و ردپاي خود را پاک مي کنند، آشکارسازي و تشخيص اين گونه ويروس ها دشوار است.
ويروس هاي مخفي:اين ويروس ها سعي مي کنند خود را از سيستم عامل و نرم افزارهاي ضدويروس مخفي نگه دارند. براي اين کار ويروس در حافظه مقيم شده و حائل دسترسي به سيستم عامل مي شود. در اين صورت ويروس کليه درخواست هايي که نرم افزار ضدويروس به سيستم عامل مي دهد را دريافت مي کند. به اين ترتيب نرم افزارهاي ضدويروس هم فريب خورده و اين تصور به وجود مي آيد که هيچ ويروسي در کامپيوتر وجود ندارد. اين ويروس ها کاربر را هم فريب داده و استفاده از حافظه را به صورت مخفيانه انجام  مي دهند.
ويروس هاي چند بخشي:رايج ترين انواع اين ويروس ها ترکيبي از ويروس هاي boot sector  و file infecting  مي باشد. ترکيب انواع ديگر ويروس ها هم امکان پذير است.
 

خطرات ويروسهاي ايميل و اسبهاي تروا

استفاده گسترده از ايميل راه ساده اي را براي گسترش محتويات مضر در شبکه ها پيش روي هکرها قرار داده است. هکرها براحتي مي توانند از حصار ايجاد شده توسط يک فايروال از طريق نقب زدن از راه پروتکل ايميل عبور کنند، زيرا فايروال محتويات ايميل را بررسي نمي کند. CNN در ژانويه ۲۰۰۴ گزارش داد که ويروس MyDoom هزينه اي در  حدود ۲۵۰ ميليون دلار را  بدليل آسيب هاي وارده و  هزينه هاي پشتيباني فني  بر شرکتها تحميل کرده است،  اين در حاليست که  NetworkWorld   هزينه هاي مقابله با  Blaster، SoBig.F، Wechia و ساير ويروسهاي ايميل تا سپتامبر ۲۰۰۳ را تنها براي شرکتهاي ايالات متحده ۳/۵ ميليارد دلار ذکر کرد. (يعني عدد ۳۵ با هشت تا صفر جلوش!!!)
 
بعلاوه،  از ايميل براي نصب اسبهاي تروا استفاده مي شود که مشخصاً سازمان شما را براي بدست آوردن اطلاعات محرمانه يا بدست گيري کنترل سرورتان، هدف مي گيرند. اين ويروسها که خبرگان امنيت از آنها بعنوان ويروسهاي جاسوسي ياد مي کنند، ابزار قدرتمندي در جاسوسي صنعتي بشمار ميروند! يک مورد آن حمله ايميلي به شبکه مايکروسافت در اکتبر۲۰۰۰ است که يک سخنگوي شرکت مايکروسافت از آن بعنوان “يک عمل جاسوسي ساده و تميز” ياد کرد. برطبق گزارشها، شبکه مايکروسافت توسط يک ترواي backdoor که به يک کاربر شبکه توسط ايميل ارسال شده بود، هک شد.
 

خطر نشت و فاش شدن اطلاعات

سازمانها اغلب در آگاهي دادن به کارکنانشان نسبت به وجود مخاطرات دزدي داده هاي مهم شرکتهايشان ، کوتاهي مي کنند. مطالعات مختلف نشان داده است که چگونه کارمندان از ايميل بمنظور فرستادن اطلاعات حقوقي محرمانه استفاده مي کنند. گاهي آنها اينکار را از روي ناراحتي يا کينه توزي انجام مي دهند.  گاهي بدليل عدم درک مناسب از ضربه مهلکي است که در اثر اين عمل به سازمان وارد مي شود. گاهی کارمندان از ايميل براي به اشتراک گذاري داده هاي حساسي استفاده مي کنند که رسماً مي بايست در داخل سازمان باقي مي ماند.
بر طبق مطالعات و پرس وجوهاي Hutton در انگلستان در سال ۲۰۰۳ نشان داده شد  که صاحب منصبان دولتي و اعضاء هيات رئيسه BBC از ايميل براي فاش ساختن اطلاعاتي که محرمانه بوده اند استفاده کرده اند. مقاله اي در مارس ۱۹۹۹ در PC Week به تحقيقي اشاره کرد که طي آن از ميان ۸۰۰ پرسنل مورد مطالعه، ۲۱ تا ۳۱ درصد آنها به ارسال اطلاعات محرمانه ـ مانند اطلاعات مالي يا محصولات ـ به افراد خارج از شرکتشان اعتراف کرده اند.
 

طرز کار برنامه هاي ضد ويروس
 

ضد ويروس اصطلاحي است  که به برنامه يا مجموعه اي از برنامه ها اطلاق مي شود که براي محافظت از کامپيوتر ها در برابر ويروس ها استفاده مي شوند. مهم ترين قسمت هر برنامه ضد ويروس موتور اسکن
(Scanning engine) آن است. جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه اصلي شناسايي فايل هاي آلوده به ويروس را با استفاده از فايل امضاي ويروس ها بر عهده دارند. فايل امضاي ويروس يک رشته  بايت است که با استفاده از آن مي توان ويروس را به صورت يکتا مورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسان ها مي باشد. ضد ويروس متن فايل هاي موجود در کامپيوتر را با نشانه هاي ويروس هاي شناخته شده مقايسه مي نمايد. در بيشتر موارد در صورتي که فايل آلوده باشد برنامه ضدويروس قادر به پاکسازي آن و از بين بردن ويروس است. در مواردي که اين عمل ممکن نيست مکانيزمي براي قرنطينه کردن فايل آلوده وجود دارد و حتي مي توان تنظيمات ضدويروس ها را به گونه اي انجام داد که فايل آلوده حذف شود.
 
 

تفاوت بين نسخه‌هاي ضد ويروس

همه نرم‌افزارهاي ضد ويروس عمل واحدي را انجام مي‌دهند که همان اسکن فايل‌ها و پاک‌سازي موارد آلوده مي‌باشد. بعضي از آنها حتي از موتورهاي اسکن يکساني براي شناسايي ويروس‌ها بهره مي‌گيرند. تفاوت اصلي بين اين محصولات در کيفيت واسط کاربر، سرعت و دقت محصول و قابليت‌هاي خاص (مانند اسکنر‌هاي e-mail، بروز رساني‌هاي خودکار زمان بندي شده، اسکن‌هاي ابتکاري و ...)‌ مي‌باشد.
در حال حاضر با توجه به اتصال اکثر کامپيوترها به شبکه اينترنت و خطرات گسترده‌اي که از اين طريق کاربران را تهديد مي‌کند تامين امنيت در برابر ويروس‌هايي که از طريق اينترنت انتقال مي‌يابند اهميت زيادي دارد. از سوي ديگر اينترنت مي‌تواند به عنوان ابزاري براي بروز نگه‌داري نرم‌افزارهاي ضدويروس مورد استفاده قرار گيرد.
 

 حافظت e-mail‌

افزايش تعداد کرم‌هايي که از طريق e-mail‌ توزيع مي‌شوند نياز همه افراد به محصولات ضد ويروسي که امنيت آنها را تامين کنند افزايش داده است. تعدادي از محصولات نرم‌افزاري نمي‌توانند امنيت مورد نياز را براي همه کاربران تامين کنند. از سوي  ديگر  تمايل  زياد کاربران به  يک‍پارچه  سازي نرم ‌افزارهاي
 e-mail‌ با برنامه‌هاي اداري[1] باعث شده، شکاف‌هاي امنيتي موجود در نرم‌افزارهاي اداري توسط کرم‌هايي مانند ILOVEYOU و W32.Klez به سادگي مورد استفاده قرار گيرد. در چنين مواردي اگر وصله‌هاي امنيتي سيستم قديمي باشند(که اين مساله بسيار رايج است)، تنها مشاهده يک نامه آلوده کافي است که کرم‌ به دستگاه نفوذ کند.
مشکل اصلي در رابطه با امنيت e-mail به نحوه کار برنامه‌ها برمي‌گردد. برنامه‌هاي e-mail پيام‌ها را دريافت کرده و آنها را در پايگاه‌داده‌هاي خاص خود ذخيره مي‌نمايند. از سوي ديگر برنامه‌هاي ضد ويروس فقط فايل‌هايي را که در قالب فايل‌سيستم‌هاي شناخته شده مانند Fat16، Fat32، NTFS و ... هستند را اسکن مي‌کنند، بنابراين لزوما نمي‌توانند ساختمان داده‌اي را که برنامه e-mail‌ براي ذخيره سازي اطلاعات استفاده مي‌کند شناخته و پيام‌هاي ذخيره شده و فايل‌هاي ضميمه آن را اسکن کند. اين بدان معناست که هرگاه يک e-mail آلوده بر روي دستگاهي که وصله‌هاي جديد بر روي آن نصب نشده بار شود، نه تنها کامپيوتر آلوده مي‌شود بلکه پاک کردن دستگاه به سادگي امکان پذير نيست و حتي ممکن است همه e-mail‌ها از دست بروند. به عنوان مثال کرم W32.Klez که کامپيوترهاي زيادي را آلوده نمود، در گام اول برنامه‌هاي ضد ويروس را مورد هجوم قرار مي‌دهد و در نتيجه برنامه آلوده شده قادر به پاک کردن محتويات صندوق‌هاي پستي کاربران نيست.
دو راه‌ حل براي اين مشکل وجود دارد، يا  بايد با دقت همه  وصله ‌هاي جديد  مرورگر وب و  برنامه‌هاي
 e-mail‌ را گرفته و بر روي دستگاه نصب نمود و يا از برنامه‌هاي ضدويروسي استفاده کرد که به مرورگر و برنامه mail‌ متصل شده و آنها را به روز نگه‌مي‌دارند.
براي اينکه سيستم e-mail‌ کاملا حافظت شده باشد، بايد عمليات اسکن قبل از اينکه e-mail در جايي از حافظه ذخيره شود صورت گيرد. به عبارت ديگر برنامه ‌e-mail داده را بعد از گرفتن از اينترنت به اسکنر ضدويروس ارسال مي‌نمايد تا عمليات لازم بر روي آن صورت گيرد.
همه نرم‌افزارهاي e-mail قابليت اين نوع مجتمع‌ شدن را ندارند. اما اسکنر‌هايي وجود دارند که به خوبي با بعضي از نسخه‌هاي Microsoft Outlook Express، Microsoft Outlook، Netscape Messenger، Netscape، Eudora Pro و Becky Internet Mail مجتمع مي‌شوند. بعضي از اسکنر‌ها ادعاي مجتمع شدن با همه سرويس‌گيرنده‌هاي POP3‌ و MAPI را مطرح مي‌کنند.
  

 بروز رساني نرم‌افزار‌هاي ضدويروس

نصب برنامه ضد ويروس و رها کردن آن براي داشتن دستگاهي بدون ويروس و مقاوم در برابر حملات ويروس‌ها کافي نيست. هر روزه ويروس‌هاي جديدي عرضه مي‌شود و در سال‌هاي جديد انتشار سريع کرم‌ها از طريق اينترنت نرخ ايجاد ويروس را افزايش داده است. اين مساله در ترکيب با افزايش دانش عمومي در مورد مشکلات امنيتي نرم‌افزارها و سيستم‌هاي عامل سرعت ايجاد ويروس‌هاي جديد را افزايش داده است. امروزه براي ايجاد يک ويروس نياز به مهارت و تخصص زياد نيست. توليد کنندگان ويروس‌ها مي توانند ويروس‌هايي با تفاوت‌هاي اندک نوشته و در دنياي مجازي انتشار دهند. بنابراين علاوه بر خريد و نصب نرم‌افزار ضدويروس دقت در بروز نگه‌داشتن آن هم از اهميت خارق‌العاده‌اي برخوردار است.
شرکت‌هاي توليد کننده نرم‌افزار براي مقابله با اين مشکل قابليت بروز‌ رساني خودکار را به محصولات جديد خود افزوده‌اند. بنابراين کاربران تنها با انتخاب گزينه مناسب از منوهاي نرم‌افزار مي‌توانند از بروز بودن نرم‌افزار خود مطمئن باشند.
 
 
منابع مورد استفاده :
گروه امداد امنیت کامپیوتری ایران/ایران آی تی

کریمی که جهان پاینده دارد               تواند حجتی را زنده دارد

 

دانلود پروژه و کارآموزی و کارافرینی

تشکرات از این پست
دسترسی سریع به انجمن ها