مقایسه ضد ویروسها

         ضد ویروس ها با استفاده از شیوه های متفاوتی ویروس ها را شناسایی می کنند . یک روش ، استفاده از امضای ویروس (Virus Signature) در فایل هاست.

بهتر است کمی در مورد روش کار نرم افزارهای ضد ویروس بدانید . ضد ویروس ها با استفاده از شیوه های متفاوتی ویروس ها را شناسایی می کنند . یک روش ، استفاده از امضای ویروس (Virus Signature) در فایل هاست.

هرگاه یک فایل توسط ویروس ها آلوده شود بخشی از آن تغییر پیدا می کند . هر ویروس تغییر خاص و منحصر به فردی را در فایلها ایجاد می نماید .

ضد ویروس ها می توانند با شناسایی این تغییر و مقایسه آن با لیست امضای ویروس هایی که در پایگاه اطلاعات (Database) خود دارند به این امر پی ببرند که فایل توسط چه ویروسی آلوده شده .

ولی از آنجا که ویروس هایی وجود دارند که برای فرار از شناخته شدن امضای ثابتی ندارند و در واقع از سیستم پیشرفته ای استفاده می کنند ضد ویروس ها مجبورند شیوه های دیگری را نیز به کار بگیرند تا ویروسها را شناسایی کنند . یکی از این شیوه های کمکی ، بررسی رفتار فایلها می باشد .

به عنوان مثال هنگامی که ویروس یک فایل را آلوده کرد ، سعی می کند خودش را تکثیر کند . این عمل ممکن است باعث شود ویروس فایل آلوده شده را کپی کند و یا سعی کند قسمتی از فایل های دیگر را تغییر دهد تا آنها نیز به ویروس آلوده شوند .

همچنین ویروس ممکن است شروع به تخریب و کد نمودن فایلها و یا بخش هایی از دیسک سخت (Hard Disk) نماید . به همین دلیل ضد ویروس های پیشرفته در بیشتر موارد از این طریق می توانند حتی ویروسهایی را که امضایشان در لیست دیتابیس آنها وجود ندارد ، شناسایی کنند .

بدون شک این امر که ضد ویروس رفتار کلیه فایلهای سیستم را تحت نظر بگیرد باعث پایین آمدن سرعت سیستم خواهد شد . البته میزان این کند شدن به مشخصات سخت افزاری کامپیوتر مورد استفاده بستگی خواهد داشت . معمولا داشتن حافظه رم (Ram) بیشتر و پردازنده (CPU) سریعتر باعث می شود این افت سرعت چندان به چشم نیاید .

ضد ویروس ها همچنین توانایی شناسایی کرم ها و تروجان ها را نیز دارند. موثر ترین روش جلوگیری از آلوده شدن یک کامپیوتر به تروجان ، استفاده از یک ضد ویروس قدرتمند و همواره به روز (Up To Date ) می باشد .

به این ترتیب حتی اگر فایلهای آلوده به تروجان در قالب تصویر یا موسیقی ویا هر فایل دیگر وارد سیستم شوند ، توسط ضد ویروس شناسایی خواهند شد.

نکته مهمی که در مورد ضد ویروس ها نباید فراموش کرد این است که حتی بهترین و قدرتمند ترین ضد ویروس ، تا زمانی که از طریق شرکت سازنده به روز (Update) نشود ، توانایی شناسایی و مقابله با ویروس های جدید را نخواهد داشت . این ارتقا به طور معمول از طریق اینترنت و به صورت رایگان (در صورتی که نرم افزار را خریداری کرده باشید ) قابل انجام است .

ضد ویروس های پیشرفته نظیر Norton Anti Virus توانایی اسکن کردن ایمیل های ورودی به کامپیوتر را نیز دارند و به این طریق می توانند از ورود ویروس های منتشر شونده از طریق ایمیل ها و کرم ها جلوگیری کنند .

یک کامپیوتر بدون ضد ویروس و یا با ضد ویروس ارتقا نیافته ، ریسک امنیتی بسیار بالایی دارد و دیری نمی پاید که به انواع نرم افزارهای مخرب و خطرناک آلوده شود . در واقع نصب ضد ویروس اولین و مهم ترین قدم در راستای افزایش امنیت هر کامپیوتر است .

پس در صورتی که یک ضد ویروس بر روی سیستم خود نصب نموده اید ارتقای آن را فراموش نکنید . در غیر این صورت ضد ویروس توانایی محافظت از کامپیوتر را نخواهد داشت و فقط باعث افت سرعت خواهد بود . انواعی از ضد ویروس ها در بخش دانلود و همچنین از صفحه اصلی سایت قابل دریافت هستند

مقدمه

امروزه با توجه به تعدد ویروس های کامپیوتری در کشور،که اغلب آنها نیز ایرانی می باشند، شناخت و جلوگیری از تخریب آنها مفید ولازم به نظر می رسد . پیش از هر گونه بحث فنی لازم است توضیحی در مورد ویروس و خوب وبد بودن ویروس سازی از دیدگاه مثبت آن بررسی شود تا مبادا افراد بد گمان و احتمالا متنفر از ویروس ، سیل بدو بیراه خود را نثار ویروس نویسان! کنند بد نیست بدانیم جدای از هنر و تکنیک زیبای عملکرد ویروس های مختلف و شیرینی جدال با ویروس یابها ، خود ویروس عاملی برای حمایت از برنامه های کاربردی می توامند به شمار آید، چرا که اولین ویروس ها در راه جلوگیری از کپی برداریهای غیر مجاز طرح و نوشته شده و زمان فعالیت آن را موکول به وقتی کرده اند که فرد خاطی از ” خواهش عدم کپی غیر مجاز” نیاز به گوش مالی دارد ! تا شاید همین فرد عادت به خرید و تهیه ی برنامه های مورد استفاده خود از طریق اصولی بنماید. واما ویروس ها برنامه هایی هستند که به شکل پنهانی، موقع اجرا شدن برنامه آلوده خود را به برنامه های اجرایی نظیر فایل های COM و EXE می چسبانند و معمولا بدون اینکه تاثیری در کار اصلی برنامه آلوده بگذارند، منتظر زمان فعالیت نهایی یا برقراری شرط خاصی می شوند . حال این فعالیت می تواند بزرگتر کردن فایلهای مختلف DATA باشد ، یا آلوده کردن فایلهای اجرایی و یا از بین بردن اطلاعات PARTITION TABLE، معدوم کردن اطلاعا ت با ارزش یا از کار انداختن فایل های اجرایی و … باشد . ولی در هر حال یک چیز در اکثر ویروس ها مشترک می باشد و آن انتقال ویروس از فایل های آلوده به فایل های سالم است . در این مقاله سعی شده است که نحوه عملکرد یکی از انواع ویروس های کامپیوتری بیان شود که قبل از مطالعه لازم است به نکته ذیل توجه گردد.

افرادی که مایل به مطالعه مقاله می باشند لازم است که :

۱- با زبان اسمبلی آشنا باشند .

۲- به DEBUG و دستورات آن مسلط باشند .

۳- از اطلاعات برنامه نویسی سیستم در حد آشنایی با Header فایل های اجرایی برخوردار باشند .

بنابراین اگر ملاحظه می شود که روشها بسیار خلاصه مطرح شده، تنها بدلیل عدم دسترسی عمومی به اطلاعاتی که ممکن است خطرناک باشد،است و هدف، ارائه روش بوده و باقی جزئیات بر حسب توان با خود برنامه نویس است .(توضیح اینکه ویروس ها برنامه کامپیوتری هستند و نه چیز دیگری و می توانند با انواع زبان های برنامه سازی Assenbly، C++، Pascal،Basic، … طراحی شوند و ما از قویترین زبان یعنی اسمبلی جهت اینکاراستفاده کرده ایم .) قبل از بیان الگوریتم کلی ویروس نویسی بهتر است به توضیح یکسری عناوین زیر بپردازیم :

انواع دستکاری و تخریب ویروس های کامپیوتری

صرف نظر از ویروس هایی که کاربران را مورد لطف قرارداده و تنها با صدورپیامی، نمایش تصویری و یا پخش موزیکی حضور خود را اعلام می کنند،سایر ویروس ها به گونه های مختلف باعث نابودی اطلاعات و در برخی موارد باعث خرابی سخت افزار کامپیوتر می شوند. در زیر نمونه هایی از خسارات ویروس ها بیان می شود:

الف: اختلال در کار سیستم(تخریب نرم افزاری)

در این حالت ویروس با ایجاد خطا دربرنامه موجب اختلال در اجرای آن می شود. این اختلال گاه همراه با تصویری بر روی صفحه نمایش و یا صدای خاصی بلندگو یا قفل شدن کامپیوتر می باشد .

بعضی از دلایل اختلال در سیستم بدلیل ویروس ها عبارتند از:

۱-خطاهای برنامه نویسی توسط برنامه نویس ویروس

۲ – ناسازگاری ویروس با سیستم یا نرم افزارهای نصب شده بر روی آن

۳- تخریب اطلاعات که شامل حذف، تغییر ویا اشغال و تکثیر در حافظه

۴- اختلال عمدی سیستم توسط ویروس(اهداف نویسندگان ویروس) که به عنوان مثال می توان به کندی سرعت سیستم اشاره کرد.

ب:تخریب سخت افزرای

عده ای معتقدند که ویروس ها نمی توانند به سخت افزار آسیب برسانند وتا به امروز، هیچ ویروسی پیدا نشده است که که این کار را انجام دهد. ولی در خلاف انتظار از بین بردن سخت افزار توسط برنامه های نرم افزاری امکان پذیر و عملی است . گرچه خسارات سخت افزاری در موارد اندکی توسط ویروسها وجود دارد ولی باید آنها را جدی گرفت . به عنوان مثال کامپیوترهای سری آمیگا از شرکت کمو دور، به خاطر نداشتن کنترل در قسمت های مختلف در مقابل ویروس آسیب پذیرند. در این کامپیوتر ها می توان به کمک نرم افزار ،موتور دیسک گردان را از حرکت باز داشت و همزمان فرمان خواندن یک تراک که وجو ندارد ، را به هد داد به این ترتیب هد به دیواره های دیسک گردان برخورد کرده و می شکند . نمونه دیگر این است که CPU و Icهای آمیگا از جمله اگنس ، دنیس و پائولا از نوع CMOS بوده و در مقابل الکتریسیته حساس هستند . اگر همزمان به تمام ورودیهای بیت یک اعمال می شود ولتاژ اضافی باعث خرابی ICها می شود.به کمک یک برنامه کوتاه چند خطی به زبان ماشین می توان کلیه ثباتهایی که به نام CPU می روند را حاوی بیت یک نمود و CPU را خراب کرد . در رایانه های شخصی ویروس می تواند هد خواندن و نوشتن دیسک گردان را روی یک تراک داخلی ، که وجودندارد قرار بدهد. در بعضی از دیسک گردانها، اینکار باعث می شود که هد ، به بستی در داخل دیسک گردان گیرکندو فقط با باز کردن دیسک گردان و جابه جا کردن هد با دست ، مشکل حل می شود. ویروس می تواند تراک صفر دیسک را نابود کند در اینصورت ، این دیسک دیگر قابل استفاده نیست یا اینکه ویروس بطور مکرر هد از سیلندر بیرونی به سیلندر داخلی حرکت دهد این امر سبب سایش ونهایتا خرابی دیسک خواهد شد . در اینجا ممکن است مستقیما چیزی تخریب نشود ولی باعث فرسودگی می شود. برای مثال ویروس AMP۲P که روی فایل CAMMAND.COM ویندوز ۹۵ وجود دارد ،قادر است تنظیم اصلی کارخانه را تغییر دهد و ویروسی که بتواند اینکار را انجام دهد قادر است به تمام اجزای سیستم دسترسی داشته و آنها را خراب کند . این ویروس معمولا هارد دیسک را دچار تعدادی بد سکتور می کند ویا تراک صفر را از کار می اندازد که با فرمت فیزیکی مجدد نیز دیسک قابل اصلاح نیست . تا چندی قبل ویروس ها فقط فایل ها را خراب می کردند که معمولا چاره اینکار آسان بود ولی اکنون ویروس ها به آنچنان توانایی رسیده اند که قادرند سخت افزار سیستم را مورد هدف قرار دهند که در این صورت خسارات ایجاد شده شدید و جبران آن سنگین است . تازه ممکن است پس ازتعویض قسمت خراب شده ، ویروس مجددا آنرا تخریب کند.

ساختار کلی فایل های COM وEXE تحت DOS

ساختار کلی فایل های اجرایی از نوع COM تحت DOS

با توجه به شکل ، مشخص می شود که معمولا و نه همیشه اولین دستور از فایل های اجرایی COM، حاوی یک آدرس پرش (Jump) می باشد که اجرای برنامه را به مکان دیگری از داخل حافظه انتقال می دهد و سپس دستورات اصلی برنامهاز مکان XXXXX در شکل فوق آغاز می گردد.اما اگر همین آدرس پرش اولیه را بتوانیم طوری تغییر دهیم که به ابتدای برنامه خودمان منتقل شود .می توان گفت که نصف کار آلوده سازی را انجام داده ایم . بصورت کلی جهت انجام این کار ابتدا آدرس پرش اولیه XXXXX را در مکانی از حافظه ذخیره کرده (برای استفاده بعدی ) و سپس آدرس شروع برنامه خود را درآن قرار می دهیم . خوب تا اینجا توانسته ایم کنترل اجرایی فایل های COM را بدست گیریم . سپس کافی است در داخل ویروس عملیات مربوط به یافتن فایل های اجرایی غیر آلوده ، درستکاری آنها و انجام یکسری تخریب ها ( چاپ یکسری مطالب جهت ترساندن کاربر معرفی خود) و نهایتا برگشت به آدرس اولیه پرش XXXXX جهت اجرای عادی فایل آلوده شده مراجعه کرده تا برنامه ازاین پس روال عادی اجرایی خود را انجام دهد.

ساختار کلی فایل های اجرایی از نوع EXE تحت DOS

ساختار کلی فایل های EXE پیچیده تر است . طبق شکل،تمام فایل های EXE دارای یک Header یا عنوان بوده که شامل اطلاعات تخصصی فایل اجرایی نظیر مشخصه فایل،اندازه واقعی فایل،آدرس های Data Segment،Code Segment و….. می باشد. بنابراین بر خلاف فایل های COM که اولین دستور از آنها حاوی آدرس شروع برنامه است ، در این فایل ها بایت های ۲۰و۲۲ در داخل Header حاوی آدرس شروع برنامه است و چون فایل های EXE از نظر اندازه می توانند خیلی بزرگتر از COM باشند، این آدرسها شامل SEGMENT:OFFSET است

با توجه به توضیح فوق در مورد نحوه آلوده سازی فایل های COM کافی است آدرس های X۱:X۲ را به ابتدای برنامه خود تغییر داده وسپس در پایان کار نیز به محل اولیه X۱:X۲ باز گردیم . اما این نکته قابل ذکر است که بدلیل پیچیدگی ساختار فایل های EXE، آلوده سازی اینگونه فایل ها از فایل های COM مسکلتر است .

دلایل خراب شدن فایل های اجرایی

همانطور که توضیح داده شد، به هنگام آلوده سازی فایل های اجرایی ممکن است، در محاسبه تغییر آدرس ها اشتباهاتی صورت گیرد و یا یک فایل اجرایی چندین بار آلوده گرددو در جریان چنین اعمالی نیز امکان دارد سیستم روال اجرایی عادی خود را ازدست داده و داخل یک حلقه بی نهایت قرار گیرد و یا به مکانی از حافظه پرش کند که هیچگونه دستور العملی وجودنداردو سرانجام باعث HANG کردن یا قفل کردن کامپیوتر می شود که گاهی اوقات بعضی از ویروس ها به هنگام آلوده سازی دچار این مشکل شده و احتمالا با این مسئله برخورد کرده اید که به هنگام آلوده بودن کامپیوترتان سیستم بدلیل نامشخصی قفل می کند. باتوجه به توضیحات داده شده،هم اکنون الگوریتم کلی یکی از انواع ویروس های کامپیوتری را به صورت زیر می نویسیم :

۱- اولین فایل اجرایی در مسیر جاری را پیدا کنید

۲- گر فایل پیدا شده ، آلوده است و دیگر فایل آلوده دیگری جهت جستجو وجود ندارد به مرحله ۶بروید

۳- اگر فایل پیدا شده آلوده است به مرحله ۱بروید

۴- فایل آلوده شده را پیدا کنید و فایل را طوری تغییر بدهید تا به صورت عادی کار کند(آسیب نبینید)

۵- به مرحله ۷بروید

۶- عملیات مربوط به دستکاری یا تخریب را انجام دهید

• برنامه اولیه را اجرا کنید

نتیجه گیری

با توجه به اینکه اغلب ویروس ها جهت آلوده سازی کامپیوتر ، طبق توضیحات داده شده، فایل های اجرایی حمله ور می شوند و آدرس های داخل فایل را تغییر می دهند، پس چه بهتر است بتوانیم این مکان ها را هر چه دقیقتر کنترل کنیم و همچنین با شناخت هر چه بیشتر کار ویروس ها، آمادگی کاملتری جهت مبارزه با آنها کسب نماییم .

برنامه ویروس کش AVG

         برنامه ویروس کش AVG از طرف شرکت grisoft عرضه شده است که در نمونه های رایگان و پولی قابل مصرف میباشد.

مطلب این مقاله را به معرفی یک برنامه ویروس کش اختصاص میدهم که فعلا برای مصارف خانگی رایگان است. هرچند این رایگان بودن در مقایسه با نمونه پولی آن محدودیتهایی را برای برنامه بوچود میآورد اما بخاطر عدم پرداخت وجه بابت مصرف آن میتواند مورد توجه بسیاری از علاقمندان قرار گیرد.

برنامه ویروس کش AVG از طرف شرکت grisoft عرضه شده است که در نمونه های رایگان و پولی قابل مصرف میباشد. نمونه رایگان این برنامه ویروس کش را میتوان بعنوان یک ابزار حفاظتی مناسب محسوب کرد. این نمونه رایگان فعلا برای مصارف خانگی کاملا مجانی بوده و قابلیت بروز کردن دیتای ویروسها نیز بدان داده شده است. اینها دلایل خوبی برای آنست که میلیونها یوزر در سراسر دنیا از آن استفاده کنند.

کار با این برنامه ساده بوده و از سرعت سیستم شما کم نمیکند زیرا از حداقل منابع و امکانات سیستم شما سود میجوید. از قابلیتهای این برنامه میتوان به امکان update اتوماتیک و سپر حفاظتی آن نام برد که در هر لحظه نسبت به باز شدن فایلها و یا اجرای برنامه عکس العمل نشان میدهد. آخرین نمونه این برنامه هنگام نگارش این مطلب نمونه ۷.۱.۳۷۵ میباشد.

نمونه AVG Professional این برنامه که پولی است دارای قابلیتهای بیشتری نسبت به نمونه رایگان آن است. قابلیتهای نمونه رایگان را میتوان در داشتن موتور جستجوی ویروس مطمئن، update سازی ویروسها از طریق اینترنت، تشخیص خودکار اینترنت، جستجو در ایمیلها برای ویروس و Valut برای ایزوله سازی ویروسها نام برد. نمونه پولی این ویروس کش در مدلهای تجاری و شبکه عرضه میشوند.

این برنامه میتواند روی ویندوزهای XP/۲۰۰۰/NT/ME/۹۸ بخوبی کار کند. نمونه لینوکس این ویروس کش نیز وجود دارد. به نظر میرسد که AVG Free یکی از کوچکترین ضد ویروسهای موجود باشد که بدرد کامپیوترهای قدیمی هم میخورد زیرا آنها را کند نمیکند.

قابلیت ویروس یابی این ویروس کش عالی است و آنرا میتوان در حالت Safe Mode ویندوز هم بکار برد که قابلیتی برتر برای کشتن ویروسهایی است که در این حالت توان سرکشی ندارند و یا وقتی سیستم نمیتواند در حالت عادی راه اندازی شود این روش بسیار بدرد میخورد.

بیاد داشته باشید که نمونه رایگان این برنامه برای حذف spyware و adware ها مناسب نیست و چون رایگان است، ضمانت و پشتیبانی هم ندارد.

AVG Free را میتوان به نحوی تنظیم کرد که هر روز راس یک ساعت خاص شروع بکار کرده و کلیه فایلهای داخل کامپیوتر را برای یافتن ویروس اسکن نماید. این زمان میتواند در ساعت کم کار کامپیوتر تنظیم گردد.

شاید یکی از مهمترین و بهترین راه جلوگیری از ویروسی و هک شدن کامپیوتر در اینترنت داشتن یک ویروس کش قوی و به روز باشد.

با توجه به پیشرفت روز به روز علم کامپیوتر و دانش اینترنت تعداد ویروس کش ها یا همان آنتی ویروسها روبه رشد میباشد.

ولی آیا هر ویروس کشی قابلیت شناسایی ویروسها و تروجانهای جدید را دارد؟

خیر.معمولا انتی ویروس ها به طوری تقسیم و طبقه بندی میشوند که هر ویروس کشی که بتواند ویروسهای بیشتر و جدید تری را شناسایی نماید در رتبه بالا تری قرار دارد.

در این مقاله میخواهیم به شما چند ویروس کش قوی و کارا در ایران معرفی نماییم.

اولین این ویروس کش ها مک آفی (Mcafee) میباشد.

آنتی ویروس مک آفی که بر اساس آماری که اطلاعات و فناوری ایران در تابستان سال ۸۴ گرفت مشخص شد که محبوبترین ویروس کش در ایران میباشد.

این ویروس کش ابتدا در ایران کارایی نداشت چون هر کس از آن استفاده میکرد برای روز رسانی این ویروس کش با مشکل رو به رو میشد.

به این طور که این ویروس کش یا بهتر شرکت سازنده مک آفی ایران را ساپورت نمیکرد و هر کس میخواست آن را آپدیت کند باید از پروکسی (ای پی نامشخص ) استفاده میکرد.

این کار نیز باعث میشد که به روز رسانی کندتر انجام شود.

ولی بعدها این شرکت به گونه ای عمل کرد که ایران نیز بتواند از به روز رسانی این نرم افزار بهره ببرد.

مک آفی شاید بتوان گفت یکی از بهترین ویروس کشهاست با قابلیتهایی نظیر:

در به روز رسانی میتوان گفت بیشترین پوشه های امنیتی را میگیرد برای همین از بهترین هاست.

دارای فایروالی قدرت مند که باعث جلوگیری از نفوذ هکر به کامپیوتر و بلاک(برگرداندن) تروجانهای که قصد باز کردن پورت را دارند.

یکی دیگر از این نوع ویروس کش ها که در ایران بعد از مک آفی کاربران از آن استفاده میکنند نورتون محصول شرکت سیمانتیک میباشد.

این نوع ویروس کش دارای کارایی بالا و آسان میباشد و شاید همین آسان بودنش باعث شده است که کاربران بتوانند با این ویروس کش راحت کار کنند.

همچنین روز رسانی این نرم افزار آسان میباشد و به دو صورت اتوماتیک و دستی میباشد.

دارای فایروال قوی و کارا که کارهای یک فایروال را صورت کامل انجام میدهد.

نورتون نسبت به مک آفی دارای سرعت اسکن پایین تری قرار دارد ولی این کم شدن سرعت اسکن نشان دهنده دقت و ظرافت در اسکن این نرم افزار میباشد.

همیشه برای انتخاب یک ویروس کش برای خود سعی کنید نکاتی را مد نظر قرار دهید:

۱-ویروس کشی معروف و مطمئن انتخاب نمایید

۲-بتوانید آن را به راحتی به روز رسانی نماید

۳-دارای اسکن درایوها به صورت کامل و منظم باشد

۴-دارای فایروال قدرتمند باشد.

حال که انتخاب کردید کارهای زیر را نیز باید انجام دهید:

۱-سعی کنید هر هفته یا حداقل هر یک ماه پوشه های امنیتی نرم افزار را بگیرید (به روزرسانی)

۲-هر هفته کل درایو مخصوصا درایو ویندوز را اسکن نمایید

۳-اجازه کانکت شدن هر برنامه اجرایی که توسط فایروال شناسایی میشود را ندهید فقط نرم افزارهای مورد نیاز مثل:مسنجر

حال که شما یک ویروس کش مناسب برای کامپیوتر خود انتخاب کرده اید و آن را به روز کرده اید و بقیه کارهای جرئی را انجام داده اید میتوان گفت تا حد خیلی زیادی از هک شدنتان و ویروسی شدن کامپیوترتان جلوگیری کرده اید.

ولی این را همیشه به خاطر داشته باشید ویروسها و تروجانهایی هستند که از چشم ویروس کش مخفی بماند.

ضد ویروس پاندا

         یکی از خصوصیات جالب ضدویروس پاندا این است که به محض وقوع اتفاقات خاص شروع به صحبت کردن با کاربر می‌کند.

این روزها در بازار نرم‌افزارهای ضدویروس، واژه‌ی پاندا را بسیار می‌شنویم. به همین دلیل سعی کردیم از نزدیک نگاهی به این ضدویروس داشته باشیم:

در این نرم‌افزار قابلیت‌های بسیاری را می‌توان یافت و در مجموع یک محصول خوب و کارآمد می‌باشد. برای آن که شرکت تولیدکننده‌ی این ضدویروس بتواند نظر کاربران سیستم‌عامل‌های مختلف را به خودجلب کند نسخه‌های مختلف این نرم‌افزار را به صورت CDعرضه کرده است. از جمله سیستم‌عامل‌هایی که می‌توانند از ضدویروس پاندا استفاده کنند می‌توان به Win ۲k، ویندوز NT، OS/۲ ، ویندوز x۹، ویندوز ۳.۱ و MS DOS اشاره کرد.

همچنین این CD حاوی راهنمایی است که اطلاعات اولیه و مهم را درباره‌ی ضدویروس پاندا و اسکنرهای ضدویروس فراهم می‌کند.

برای آن که نصب این ضدویروس به خوبی صورت بگیرد شرکت تولیدکننده از فن‌آوری Install Shield برای ساخت برنامه‌ی نصب ضدویروس پاندا استفاده کرده است. نصب کامل ضدویروس پاندا تنها ۲۴ مگابایت از فضای دیسک را به خود اختصاص می‌دهد و این عمل چند دقیقه بیشتر طول نمی‌کشد.

یکی از خصوصیات جالب ضدویروس پاندا این است که به محض وقوع اتفاقات خاص شروع به صحبت کردن با کاربر می‌کند. برای مثال هنگام جستجوی ویروس وقتی ویروسی را شناسایی کرد؛ شما جمله‌ی«Virus Detected» را می‌شنوید. برای انجام این کار؛ ضدویروس پاندا از ویژگیTrigger استفاده می‌کند. این ویژگی در مواقعی که رویداد ویژه‌ای رخ می‌دهد فایل‌های صوتی را فعال می‌نماید. برای مثال در مورد جمله‌ی «Virus Detected» این ضدویروس یک فایل .Wav اجرا می‌کند. بعضی از کاربران این ویژگی را دوست ندارند و آن را نوعی مزاحمت می‌دانند به همین دلیل هنگام نصب در منویی که برای پیکربندی این ضدویروس است آن را غیرفعال می‌کنند.

نرم افزار پاندا دو Mode (حالت) دارد.

یکی از این حالت‌ها UI Mode و دیگری Advanced Mode می‌باشد. UI Mode برای کاربران مبتدی و کم تجربه استفاده می‌شود. در این حالت؛ آیکون‌ها و منوها ساده هستند و به کارگیری آنها آسان می‌باشد. پس از انتخاب این حالت، انتخاب‌‌های مربوط به اسکن کردن ویروس تنها به یکی از چند الگوی از پیش تعریف شده محدود می‌شود.

به این ترتیب کاربر مبتدی هنگام اسکن ویروس لازم نیست مداخله‌ی چندانی انجام دهد. اما حالت پیشرفته یا Advanced Mode برای کاربران حرفه‌ای و با تجربه در نظر گرفته شده است. در این حالت کاربر کنترل بیشتری روی برنامه‌ دارد و می‌تواند الگوهای دلخواه خود را برای اسکن کردن ویروس ایجاد نماید.

برای استفاده‌ی کارآمدتر از این ضدویروس می‌توانید محتوای هارددیسک‌تان را به دو قسمت تقسیم کنید. سپس با انتخاب Advanced Mode الگویی ایجاد نمایید که تنها یکی از دو قسمت تعیین شده‌ی هاردتان را اسکن کند. این قسمت می‌تواند بخشی باشد که فایل‌‌های پر استفاده در آن ذخیره می‌شوند. در الگوی اسکن می‌توانید ویژگی ذخیره کردن کپی‌ِ اعمالی که انجام می‌شوند را نیز بگنجانید. برای آن که درایوهای مورد نظرتان را به فهرست اسکن ضدویروس پاندا اضافه کنید، آیکون مربوط به آن درایو را در فهرست درایوها کلیک نموده، آن را کشیده و به فهرست اسکن بیاندازید.

موتور اسکن این ضدویروس بسیار خوب کار می‌کند به طوری که GB۱۰ داده را در مدت ۱۲ دقیقه مورد جستجو قرار می‌دهد. این نرم‌افزار، ویروس‌های مخربی چون اسب تراوا و ویروس‌های ماکرو را به طور کامل شناسایی می‌کند. پس از آن که این ضدویروس توانست فایل‌های آسیب‌دیده را شناسایی کند آنها را قرنطینه کرده و در فهرست جداگانه‌ای قرار می‌دهد. این ویژگی بسیار کارآمد است چون پاکسازی فایل‌ها را آسان می‌کند.

ضدویروس پاندا برای یافتن ویروس‌های مخرب از نوعی روش اکتشافی استفاده می‌کند. لذا این برنامه می‌تواند رفتارهای ویروس مانند را نیز به راحتی شناسایی کند. در آزمایشی که برای کشف قابلیت‌های این ضدویروس انجام شد حدود ۵۰۰۰ ویروس مختلف در یک سیستم توزیع گشت. این ضدویروس توانست ۸۴ درصد از آنها را شناسایی کند.

علاوه بر این، ضدویروس پاندا دارای نوعی جدول زمان‌بندی است که به کاربر اجازه می‌دهد این ضدویروس را به گونه‌ای تنظیم کند که وظایف مربوط به اسکن کردن را به طور خودکار انجام دهد. برای این منظور باید در جدول زمان‌بندی، مواقعی را که می‌خواهید این برنامه به طور خودکار فعال شده و عمل اسکن ویروس را انجام دهد معین نمایید.

شما می‌توانید با توجه به توپولوژی سیستم‌تان اعمال مربوط به اسکن ویروس را اختصاصی‌تر نیز بکنید. برای مثال آن را طوری تنظیم کنید که سیستم‌عامل را روزی یکبار ومابقی محتوای درایو را هر دو ساعت یکبار اسکن کند. برای آن که کارتان نیتجه‌ی بهتری داشته باشد می‌توانید آن را به گونه‌ای تنظیم نمایید که علاوه بر اسکن‌های روزانه، هفته‌ای یکبار نیز کل سیستم را اسکن کند.

علاوه بر اسکن زمان‌بندی شده که در بالا گفتیم، فعالیت ضدویروس پاندا را می‌توان بر حسب نوع برنامه‌ی اجرا شونده نیز تنظیم کرد.

برای مثال شما می‌توانید این ضدویروس را به گونه‌ای تنظیم کنید که تنها هنگام استفاده از برنامه‌ی به خصوصی (مثلاً Word) فایل‌های مربوط به این برنامه را به طور بلادرنگ اسکن کند. به این ترتیب هرگاه شما برنامه‌ی Word را باز کنید ضدویروس پاندا فایل‌های .doc تان را اسکن می‌کند. برای استفاده از این ویژگی باید موتور اسکن Sentinel را فعال نمایید.

اگر کامپیوتر شما در یک سیستم شبکه شده قرار دارد می‌توانید ضدویروس پاندا را به نحوی تنظیم کنید که هنگام برخورد به یک ویروس به سایر کامپیوترهای موجود در شبکه و یا حتی به یک آدرس e-mail به خصوص پیغام هشدار بفرستد. وقتی این نرم‌افزار ویروسی را بر روی سیستم‌ شناسایی کرد کادر تبادلی‌ هشدار‌دهنده‌ای را بر روی صفحه‌ی نمایشگر ظاهر می‌کند. شما با استفاده از این کادر تبادلی می‌توانید به سایر کامپیوترهای موجود در شبکه پیغام هشدار و یا e-mail بفرستید.

هنگام آزمایش ضدویروس پاندا، از طریق یک سیستم لینوکس که در مکان دوری قرار داشت ویروس VBS.Love Letter به صورت یک پیوست e-mail به کامپیوتری که در شبکه قرار داشت ارسال شد. به محض آن که برنامه‌ی OutLook فعال شد و پیغام E-mail را دریافت کرد ضدویروس پاندا به تمام کامپیوترهای موجود در آن شبکه پیغام هشدار فرستاد و تا زمانی که ویروس را از بین نبرده بود به هیچ کاری اجازه نداد تا به آن فایل آلوده دسترسی پیدا کند.

با استفاده از سرویس‌گیرنده‌ی FTP موجود در این نرم‌افزار می‌توانید فایل‌های شناسایی کننده‌ی ویروس را در ضدویروس پاندا به روز نمایید. شما حتی می‌توانید این برنامه را به گونه‌ای تنظیم کنید که عمل شناسایی فایل‌های به روز شده و دریافت آنها را به طور خودکار انجام دهد. با استفاده از جدول زمان‌بندی می‌توانید موعد مشخصی را برای به روز کردن فایل‌های ضدویروس پاندا تعیین کنید.

برای مثال می‌توان این برنامه را به گونه‌ای تنظیم کرد که هر ساعت یکبار، هر هفته یک بار و یا هر سال یک بار به دنبال فایل‌های به روز شده بگردد و آنها را بارگذاری کند.

همانطور که در ابتدا گفته شد ضدویروس پاندا با سیستم‌عامل‌های بسیاری سازگار است و به همین دلیل می‌توانید آن را در یک توپولوژی TCP/IP مبتنی بر Win۲k به کار برده و به کنترل تمام فایل‌هایی که در اینترنت منتقل می‌شوند مانند فایل‌های Download شده از سایت‌های FTP، وب و تمام فایل‌هایی که از طریق برنامه‌های IM(پیغام‌رسانی فوری) دریافت می‌کنید بپردازید. استفاده از ضدویروس پاندا در کنار یک دیوار آتش و تنظیمات امنیتی خوب می‌تواند شما را مطمئن سازد که سیستم‌تان همیشه تمیز و عاری از ویروس است حتی اگر در یک محیط آلوده قرار گرفته باشد.

اگر به دنبال یک برنامه‌ی ضدویروس خوب با قیمت مناسب هستید می‌توانید این محصول را تهیه کرده و دیگر به دنبال ضدویروس نباشید چون دایماً می‌توانید آن را به روز کنید.

• ویروس Win۳۲.Elkern.c

این ویروسِ تقریباً بی‌ضرر یک ویروس‌ رمزی‌شده و مقیم در حافظه است. ویروس مذکور در فهرست جاری به دنبال برنامه‌های کاربردی Win ۳۲ EXE و فایل‌های PE EXE که پسوند .SCR و .EXE دارند می‌گردد. این ویروس درایوهای معمولی و منابع شبکه‌ای را مورد حمله قرار می‌دهد. اگر فایل‌ها در بخشی از مسیر خود دارای آدرس “tem۳۲dllcac” یا “rary Inter” باشند این ویروس کاری به آنها ندارد.

به هر حال پس از این که ویروس؛ فایلی را مورد حمله قرار داد خود را به صورت بلوک‌های جداگانه در داخل آن فایل می‌نویسد. تنها مشکلی که ویروس مذکور می‌تواند به وجود آورد آن است که مجدداً خود را در داخل فایل آسیب‌دیده بنویسد، در غیر این صورت مشکل به خصوصی را به وجود نمی‌آورد.

این ویروس در حافظه باقی می‌ماند و تمام پردازش‌هایی را که در نام آنها explorer وجود ندارد مورد حمله قرار می‌دهد. ویروس مذکور پس از حمله به یک پردازش بخصوص، بخشی از بدنه‌ی خود را در آن پردازش کپی کرده و مانع انجام عملکردهای Dispatch Message A و Dispatch Message W می‌گردد. وقتی یکی از این اعمال فراخوانده می‌شود ویروس Win۳۲.Elkern.c فعال شده و کپی خود را به جای آن عملکرد وارد پردازش می‌نماید.

• کرم Masana

این کرم از طریق پیوست‌های e-mailی آلوده وارد سیستم‌هایی می‌شود که به اینترنت وصل هستند. این کرم یک فایل ۱۰۷ کیلوبیتی به نام Windows PE EXE می‌باشد و به زبان دلفی نوشته شده است. پیغام آلوده‌ای که این کرم همراه آن ارسال می‌شود به صورت زیر است:

Subject: Masyanya!

Message text: Hi,here is a new film about Masyanya and V.V. Putin!!!

Homepage: http://mult.ru

Attachment: Masyanya.exe

البته ممکن است کاربران این ویروس را در قالب یک پیغام روسی که محتوای آن عین پیغام بالاست دریافت کنند.

ویروس موجود در پیغام آلوده تنها وقتی فعال می‌شود که کاربر فایل پیوستی موجود e-mail را کلیک ‌نماید. پس از کلیک کردن این فایل، کرم مذکور خود را بر روی آن سیستم نصب کرده و گسترش می‌یابد. در کد کرم Masana اشکالاتی وجود دارد که مانع اجرای برخی از روتین‌های آن می‌شود. این کرم هنگام نصب شدن خود را با نام msys۳۲.exe در فهرست سیستمی ویندوز کپی می‌کند. اگر سیستم عامل، ویندوز NT باشد این کرم در رجیستری سیستم خود را ثبت می‌شود و اگر سیستم‌عامل؛ ویندوز x۹ باشد در فایل System.ini ورودی‌های زیر را به وجود می‌آورد:

SYSTEM.INI

[boot]

shell=Explorer.exe msys۳۲.exe-dontrunold

HKLMSoftwareMicrosoftWindowsCurrenentVersionRun

در سیستمی که ویندوز NT دارد این کرم به قلمرو مدیر سیستم تجاوز کرده و آن را احاطه می‌نماید. برای انجام این کار کرم مذکور از یکی از حفره‌های امنیتی موجود در ویندوز NT که DebPloit exploit نام دارد سوء استفاده می‌کند. کرم مذکور برای آن که بتواند این حفره را شناسایی کند دو فایل به نام‌هایERunAsX.exe و ERunAsX.dll را به وجود می‌آورد و با استفاده از حفره‌ی DebPloit کپی مذکور را اجرا می‌نماید.

کرم Masana برای گسترش خود از عملکردهای Windows MAPI بهره می‌برد. سپس این کرم برای یافتن قربانیان خود به یکی از روش‌های زیر اقدام می‌کند:

۱) به دنبال فایل‌های .HTM گشته و هر رشته‌ای که شبیه به e-mail باشد را بیرون می‌کشد.

۲) با استفاده از عملکردهای Windows MAPI تمام پیغام‌های خوانده نشده در صندوق ورودی را می‌خواند و به آنها پاسخ می‌دهد.

هر بار که سیستم راه‌اندازی می‌شود این کرم پیغام‌های آلوده‌ای را به آدرس masyana@nm.ru می‌فرستد. معمولاً محتوای این پیغام‌ها به صورت زیر است:

Subject: Masyanya!

Body: gygygy!

Attach: Masyanya.exe

همچنین این کرم هشدار MAPI Send Mail برنامه‌ی Outlook Express۵.۰ را غیرفعال می‌نماید و به سیستم، یک کاربر جدید با نام masyanechkaa را می‌افزاید. این کاربر اختیارات مدیر سیستم را صاحب می‌شود.

گاهی رشته‌ی متنی زیر نیز همراه کرم masyanya دیده می‌شود:

Worm.Masyanya vl. ۰۸)Just a hello-word worm…

این کرم در رجیستری ورودی زیر را به وجود می‌آورد تا نشان دهد که سیستم آلوده شده است:

HKCUEnvironment

ID=۱

• ضدویروس‌ها

شرکت Trend Micro نرم‌افزارها و خدمات جدیدی را برای مبارزه با کرم‌ها و کدهای مخربی چون Nimda عرضه کرده است. نرم‌افزارهای این شرکت علاوه بر ممانعت از ورود ویروس‌ها به جستجوی ویروس‌ها پرداخته، آنها را یافته و از بین می‌برند.

این شرکت ژاپنی فن‌آوری‌های حفاظت‌کننده را نیز به نرم‌افزارهای خود می‌افزاید تا در صورت ورود ویروس به درون یک سیستم، عملکرد آن را کاهش دهد. محصولات جدید این شرکت بخشی از استراتژی امنیتی آن را تشکیل می‌دهند و برای آن که شرکت مذکور بتواند به حیات خود در بازار ضدویروس‌ها ادامه دهد هر از گاهی محصولات خود را مجدداً اما با ویژگی‌های بهتر تولید می‌کند.

به هر حال هر وقت ویروس جدیدی به راحتی از دیوار آتش و تدابیر امنیتی گذشته و وارد سیستم کاربران می‌شود به تغییر و تخریب فایل‌ها می پردازد. در چنین موقعیتی با وجود اطلاعات کمی که درباره‌ی آن کرم یا ویروس جدید وجود دارد وظیفه‌ی یک شرکت ضدویروس تهیه‌ی محصول مناسب برای مبارزه با حملات انجام‌شده می‌باشد.

معمولاً تیم آزمایشگاهی موجود در یک شرکت ضدویروس اولین گروهی است که اطلاعات مربوط به یک کرم جدید را دریافت می‌کند. این گروه بلافاصله پس از دریافت این اطلاعات به تجزیه و تحلیل آنها می‌پردازد. وقتی بررسی‌ها تمام شد سریعاً عمل ارتقای ضدویروس انجام می‌گیرد. این نسخه‌های ارتقا یافته به صورت On the Fly در اختیار کاربران گذاشته می‌شود تا راه را بر روی آن ویروس خطرناک ببندند و اگر ویروس وارد شده است؛ آن را شناسایی کرده، سرعت حملاتش را کاهش داده و یا از بین ببرند.

به طور کلی محصولات شرکت Trend Micro به دو دسته‌ی اداری و خانگی تقسیم می‌شوند. این محصولات معمولاً دارای ویژگی‌هایی چون اسکن کردن و پاک نمودن کد با توجه به نوع حمله‌ای که صورت گرفته است می‌باشند. یکی از این محصولات Office Scan است.

این محصول علاوه بر ویژگی‌های فوق می‌تواند گزارش کاملی از مراحل تخریب سیستم را پس از ورود یک کرم یا ویروس ارایه دهد عملی که سیستم بانک اطلاعاتی را راهنمایی می‌کند تا با توجه به یک تغییر خاص، وظیفه‌ی ویژه‌ای را انجام دهد.

آنتی ویروس چیست؟

         شما باید بتدریج با آشنا شدن مسائل مختلف امنیتی همه آنها را مد نظر داشته باشید. امنیت کامپیوتر در منزل شما یک موضوع ساده نیست که بخواهید از آن به راحتی بگذرید. موارد زیادی هست که باید به مرور زمان و کسب تجربه آنها را بیاموزید و در دستور کار خود قرار دهید.

انسان در طول زندگی و به هنگام رشد بتدریج یاد میگیرد که برای سالم زیستن باید مسائل خاصی را رعایت کند و هرگاه که نکته جدیدی می آموزد سعی می کند علاوه بر دانسته های قدیم آنرا نیز رعایت کند. مسئله امنیت شبکه یا کامپیوتر نیز چنین حالتی دارد. شما باید بتدریج با آشنا شدن مسائل مختلف امنیتی همه آنها را مد نظر داشته باشید.

امنیت کامپیوتر در منزل شما یک موضوع ساده نیست که بخواهید از آن به راحتی بگذرید. موارد زیادی هست که باید به مرور زمان و کسب تجربه آنها را بیاموزید و در دستور کار خود قرار دهید. سعی خواهیم کرد در مطالبی که بتدریج ارائه میشود به مهمترین این موارد اشاره کنیم.

 استفاده از آنتی ویروس

اگر یکنفر زنگ درب منزل شما را به صدا درآورد و بخواهد وارد منزل شما شود و به شما جنسی را به زور بفروشد، یا بخواهد از تلفن منزل شما استفاده کند و … بدون شک شما بفکر فرو می روید که آیا به او چنین اجازه ای را بدهید که وارد منزل شود یا نه؟

اگر این فرد یکی از همسایه ها یا آشنایان باشد، به عبارتی شما شناخت مثبت لازم از او را داشته باشید به احتمال زیاد به او چنین اجازه ای را خواهید داد در غیر اینصورت بعید است که چنین کاری را انجام دهید. همچنین شما آموزشهای لازم را به فرزندان یا سایر افراد خانواده را خواهید داد تا در نبود شما رعایت این موارد امنیتی را بکنند و بدانند چه تیپ افرادی را به منزل راه دهند و کدام دسته را راه ندهند.

یک نرم افزار Anti Virus که به اختصار آنرا AV می نامیم، به همین صورت رفتار می کند. نرم افزارهای AV با مشاهده و بررسی محتوای فایل ها به دنبال الگوهای آشنای ویروسها یا کرم‌های اینترنتی می گردند. در صورت مشاهده این الگوها که به آن Virus Signature گفته می شود، از ورود آن به کامپیوتر شما و اجرا شدن جلوگیری می کنند و یا به شما هشدار لازم را می دهند و از شما دستور میگیرند که آیا فایل را حذف کنند و یا سعی در اصلاح آن نمایند.

شرکتهای سازنده آنتی ویروس با آمدن ویروسهای جدید، الگوهای نرم افزاری آنها را کشف و جمع آوری می کنند و به همین علت اغلب لازم است تا این نرم افزارها هر چندگاهی به روز (Update) شوند تا الگوهای جدید ویروسها را بشناسند.

 ویروسها باهوش هستند

روشهای بسیاری وجود دارد که توسط آن برنامه های مختلفی که حامل ویروس هستند، نظاره گر رفتار کامپیوتر شما میشوند. شما در حال نگاه کردن به یک فیلم روی اینترنت هستنید، یا در حال خواندن یک نامه و بسیاری کارهای عادی دیگر … و بدون آنکه بدانید در همان زمان شما به ویروسی اجازه دادید تا کامپیوتر شما را بررسی و تحلیل کند.

بسیاری از اوقات هنگامی که شما آنها را شناسایی می کنید و از بین می برید، خبر ندارید که ویروس برای ورود مجدد و فعال شدن در کامپیوتر شما قبلا” چاره لازم را اندیشیده است و راه‌های دیگری (Backdoors) برای حمله مجدد به کامپیوتر یا شبکه شما ایجاد کرده است.

 ویروسها چگونه وارد کامپیوتر شما می شوند

راه های مختلفی برای رسیدن ویروس ها به کامپیوتر شما وجود دارد، مانند فلاپی دیسک، CD، مشاهده وب سایت، email، اجرای فایل های download شده و … بنابراین لازم است که تمامی این موارد به هنگام استفاده مورد کنترل یک AV قرار گیرد. به بیان دیگر هنگامی که میخواهید برنامه ای را از روی یک CD را اجرا کنید و یا email ای را باز کنید باید آنها را توسط یک AV کنترل کنید.

فراموش نکنید که شما همواره مراقب منزل خود هستید و دقت می کنید که درب منزل و پنجره‌ها هنگام شب یا هنگامی که در منزل نیستید باز نباشند. به همین ترتیب باید همواره وضعیت قسمت های مختلف کامپیوتر خود را کنترل کنید. اینکه اندازه فایلهای شما عادی باشد یا نه، اینکه مثلا” فایل جدیدی به کامپیوتر شما اضافه نشده باشد و بسیاری موارد دیگر که بتدریج می توانید آنها را یاد بگیرید. اما یک AV بسادگی می تواند هر موقع که شما اراده کنید تمام سیستم شما را کنترل کند و شما را از عدم وجود ویروس در کامپیوتر مطمئن سازد.

• DURCH تست

یک نرم افزار مناسب AV معمولا” باید بتواند به نیازهای زیر پاسخ دهد :

۱- تست Demand : باید بتواند هنگامی که می خواهید به یک فایل یا صفحه اینترنتی یا یک mail دسترسی داشته باشید، آنرا کنترل کند.

۲- تست Update : به این معنی که AV باید بتواند در بازه های زمانی مشخص بانک اطلاعاتی خود که شامل الگوهای (Signatures) ویروس ها است را بروز کند.

۳- تست Respond : اینکه نرم افزار آنتی ویروس بتواند تمامی رفتارهای منطقی در برخورد با یک ویروس را از خود نشان دهد. فایل کثیف را دوباره سازی و تمیز کند و یا آنرا حذف نماید.

۴- تست Check : باید بتواند تمام فایلها از نوع مختلف را که میتوانند محلی برای پنهان شدن ویروس باشند را کنترل کند.

۵- تست Heuristics : به این معنی که نرم افزار AV شما باید با وجود نداشتن الگوی همه ویروسها، بتواند تشخیص خطر دهد و به شما هشدار دهد که “با وجود آنکه مطمئن نیستم اما احتمالآ مسئله مشکوکی در کامپیوتر شما وجود دارد.” این کنترل نیاز به آن دارد که نرم افزار AV از هوش بالایی برخوردار باشد.