در این مقاله سعی می کنیم شما را با ویروس های کامپیوتری و نحوه کار ویروس های کامپیوتری و ویروس های متصل به نامه های الکترونیکی و نحوه کار نرم افزارهای ضدجاسوسی و ضدویروس آشنا کنیم پس تا پایان مقاله ما را همراهی کنید.
نحوه کار ویروس های کامپیوتری
ویروس کامپیوتری چیست ؟ ویروس زمانی ایجاد می شود که یک برنامه نویس به صورت عمدی یک برنامه یا دیسک را به کدی آلوده می کند که توانایی جایگزینی خود، پنهان شدن یا انتظار برای وقوع یک اتفاق خاص و امکان انجام فعالیت های مخرب را دارد.
زمانی که برنامه آلوده شده اجرا شود، ابتدا کد ویروس اجرا می شود و این کد معمولا چهار فعالیت را انجام می دهد:
1 – Replication : ویروس چند کپی از خود را در فایل سایر برنامه ها، درج می کند. هر یک از برنامه های آلوده شده نیز به نوبه خود به محض اجرا شدن، کپی هایی از خود را در سایر برنامه ها، وارد می کند. ویروس های رکورد، راه اندازی محلی از دیسک به نام master boot record را هدف قرار می دهند. این نقطه همان جایی است که کامپیوتر در هر بار اجرا باید اطلاعات آن را بخواند تا قبل از آنکه به سایر فایل های سیستم دسترسی داشته باشد، بتواند نحوه سازمان دهی دیسک را شناسایی کند. با مخفی شدن در این مکان، ویروس می تواند اجرا شود، حتی قبل از آنکه سیستم عامل کامپیوتر راه اندازی شود. ویروس های برنامه ها به دنبال فایل های برنامه های اجرایی .COM و .EXE می گردند. ویروس در اغلب موارد به سرعت یک کپی از خود را بعد از هدر برنامه قرار می دهد. این قسمت یک ناحیه کد کوچک در ابتدای فایل است که اطلاعاتی در مورد نوع فایل در آن قرار می گیرد. این کار تضمین می کند که ویروس همیشه قبل از اجرای قسمت اصلی برنامه اجرا می شود.
2 – انتظار برای رویداد : هر بار که ویروس اجرا می شود، منتظر وضعیت خاصی می ماند، به عنوان مثال یک تاریخ خاص و هر زمان که شرایط مورد نظر برقرار شود، ویروس فعالیت مخرب خود را آغاز می کند. اگر رویداد مورد نظر رخ ندهد، ویروس هیچ کاری انجام نمی دهد و فقط کپی هایی از خود را در فایل سایر برنامه ها درج می کند.
3 – استتار : ویروس های پنهان به طوری تغییر ظاهر می دهند که ضدویروس ها، آنها را به عنوان نرم افزارهای معتبر شناسایی کنند. تغییر ظاهر انجام شده توسط این نوع ویروس ها شامل کدهای بدون کاربرد و قسمت های قابل تغییر در کد است و کدهای ویروسی در بین آنها، قرار میگیرند. هر بار که ویروس ، خود را منتشر میکند، قسمت های بی کاربردکد تغییر می کنند تا الگوی فایل تغییر کرده و امکان شناسایی ویروس، غیرممکن شود. ویروس همچنان ممکن است اطلاعات ثبت شده در هدر که در مورد طول فایل هستند راتغییر دهد تا به نظر برسد که طول فایل صحیح است.
4 – انتقال : زمانی که رویداد مورد نظر رخ دهد، ویروس شروع به اجرای خود می کند. اتفاقی که رخ می دهد، ممکن است بدون خطر باشد، نظیر نمایش یک پیام یا ممکن است خطرناک باشد، نظیر پاک کردن فایل ها یا تغییر اطلاعات فایل هایی که نحوه دسترسی به سایر فایل های روی دیسک را تعیین می کنند. خطرناک ترین و منتشر شونده ترین ویروس ها، آنهایی هستند که به هیچ عنوان وجود خود را اظهار نکرده و روی فایل ها تغییرات جزیی ایجاد می کنند. به عنوان مثال، این برنامه ها می توانند به طور تصادفی اعداد را در فایل های مربوطه به یک برنامه حسابداری تغییر دهند یا رمزها را به سرقت ببرند یا وقفه هایی را اجرا کنند که باعث کند شدن سرعت کامپیوتر شود.
بعضی از ویروس ها خود را در حافظه کپی می کنند. ویروس هایی وجود دارند که به طور دائم رویداد مورد نظر مانند فشرده شدن دکمه صفحه کلید را بررسی می کنند. ویروس های مقیم در حافظه همچنین می توانند اجرای برنامه ضدویروس را شناسایی کرده و با بازگرداندن اطلاعات بدون کاربرد، امکان شناسایی خود را ناممکن سازند.
نحوه کار ویروس های متصل به نامه های الکترونیکی
ایمیل یا نامه الکترونیکی برای گیرنده مورد نظر طوری ارسال می شود که او فکر کند این نامه توسط یک آشنا فرستاده شده است. عنوان نامه نیز طوری انتخاب می شود که گیرنده آن را تشویق به مشاهده آن کند.
در داخل پیام الکترونیک ، یکی از سه نوع ویروس زیر ذخیره می شود:
1 – ویروس های نوع MIME : با وجود آنکه دیده نمی شوند ولی به اجرای خود ادامه می دهند، قسمتی از کد که در ناحیه هدر قرار می گیرد به برنامه Outlook Express می گوید این پیام از نوع wav است ؛ یعنی یک فایل صوتی در نتیجه ، بدون آنکه گیرنده پیام کاری انجام دهد ، ویروس به طور خودکار توسط اوت لوک اکسپرس اجرا می شود.
2 – ویروس نوع HTML Virus : ویروسی است که به صورت کد، با محتوای فعال ایجاد می شود و معمولا یک تکه کد کوچک است که با زبان javaScript یا زبان های نرم افزار نویسی Activex ایجاد میشود. محتوال فعال معمولا در سطح وب ایجاد می شود و هر زمان که شما چیزی می خرید، یا فرمی را پر می کنید یا در نظر سنجی شرکت می کنید یا در هر صفحه دیگری که امکان تعامل آن وجود دارد ، فعالیت انجام می دهید ؛ شروع به فعالیت می کند. پیام html زمانی که شما یک پیام با قالب html را باز می کنید مشاهده نمی شود. نمونه های معروف این نوع ویروس ها عبارتند از : کرم BubbleBoy ، Kak و Hap Time
3 – ویروس های الحاقی : برنامه ای است که به یک نامه الکترونیکی ، الحاق می شود در ابتدا ، به نظر می رسد این فایل یک عکس در فیلمی است که کاربر می تواند آن را در کامپیوتر خود مشاهده کند. نام فایل الحاقی نیز طوری انتخاب می شود که ماهیت آن را پنهان می کند. به عنوان مثال، فایل الحاقی با نام vacation.jpg.vbs است را ببینید و با مشاهده پسوند .jpg تصور می کنید که فایل فوق از نوع تصویری است. استفاده از فایل های الحاقی، معمول ترین روش برای اختفا و انتشار ویروس ها توسط نامه الکترونیکی است و از جمله ویروس های معروف که به این روش منتشر شده اند می توان به LoveLetter ، Melissa ، Anna Hournikova اشاره کرد.
آنچه باعث می شود که ویروس حمله خود را آغاز کند، متناسب با نوع آن ویروس تفاوت می کند. ویروس های الحاقی زمانی اجرا می شوند که گیرنده پیام روی فایل الحاقی دابل کلیک کند.
ویروس های پنهان در نامه های الکترونیک ، نوع خاص از رفتار آزار دهنده ولی کم خطر را بروز می دهند و اولین کاری که این نوع ویروس ها نیز انجام می دهند ، منتشر کردن خود است . این ویروس ها با جست جوی دفتر آدرس های کامپیوتر آلوده شده ایمیل قبلی او و حتی اسناد ایجاد شده با ورد و اکسل می توانند نام و آدرس های جدیدی را به دست آورند.
ویروس از این آدرس ها استفاده می کند تا یک کپی از خود را برای آدرس الکترونیکی دوستان و همکاران گیرنده اصلی پیام ارسال کند. این کار از طریق همان پیامی انجام می شود که برای گیرنده قبلی پیام فرستاده شده بود. برای اینکه امکان ردیابی ویروس، سخت تر شود، ویروس ممکن است یک نام را به طور تصادفی از میان نام های دفتر آدرس انتخاب کند. به این ترتیب، ویروس می تواند در عرض چند دقیقه به صدها کامپیوتر ارسال شود و فایل ها و نامه های و صفحات گسترده روی کامپیوتر گیرنده پیام را به خطر بیاندازد.
بعد از چند دور انتشار، هزاران کپی از ویروس اصلی منتشر شده است . این پیام ها، هر چیزی را شامل می شود، از پیام های ناخوشایند گرفته تا پاک کردن اطلاعات هارددیسک . ویروس ها ممکن است فعالیت خود را به محض جای گرفتن در کامپیوتر میزبان آغاز کنند، یا ممکن است منتظر یک رویداد شوند یا آنکه برای مدت ها ، هیچ فعالیتی را انجام ندهند.
نحوه کار نرم افزارهای ضدویروس
نرم افزارهای ضدویروس، اولین خط دفاعی در برابر ویروس ها هستند. این برنامه ها با جست جوی master boot record و فایل های اجرایی مرتبط با برنامه ها و کدهای سیستم ، وجود ویروس ها را بررسی می کنند. ضدویروس های کنترل کننده امضاء محتوای همه نواحی مورد اشاره را بررسی کرده و رشته های داده ای مشابه با ساختار ویروس ها را جست جو می کنند. این کار از طریق بررسی ترتیب اطلاعاتی ذخیره شده در هر فایل با مجموعه ای از ساختارهای اطلاعاتی مربوط به آخرین ویروس های شناخته شده است. این جداول باید به طور منظم به روز رسانی شوند تا بتوانند در برابر ویروس ها ، کارآیی داشته باشند.
از آنجا که ویروس های پنهان را نمی توان با بررسی ساختار فایلی شناسایی کرد، در نتیجه باید برای شناسایی این گونه ویروس ها از روش جستجوی معروف به آشکار سازهایی مبتنی بر تجربه، استفاده کرد. این نوع ویروس یابی از طریق بررسی قسمت هایی از کد برنامه انجام می شود. که نسبت به رویداد زمان سیستم حساس هستند یا قسمت هایی از کد را شناسایی می کنند که به جست جوی فایل های .COM و .EXE می پردازند، همچنین کدهایی که سعی می کنند با عبور از لایه سیستم عامل مستقیما کارهای نوشتن و خواندن را انجام دهند نیز برای این برنامه ها، به عنوان نشانی از وجود ویروس هستند.
۱۳۸۸ فروردین ۱۵, شنبه
اشتراک در:
نظرات پیام (Atom)
هیچ نظری موجود نیست:
ارسال یک نظر