ویروسها در کجای رایانه ما ذخیره می شوند؟
ویروس هم مانند هر برنامه كامپیوتری نیاز به محلی برای ذخیره خود دارد. منتهی این محل باید به گونه‌ای باشد كه ویروس‌ها را به وصول اهداف خود نزدیكتر كند. همانگونه كه قبلاً ذكر شد اكثر ویروس‌ها به طور انگل‌وار به فایل‌های اجرایی می‌چسبند و آنها را آلوده می‌كنند. اصولاً می‌توان فایل‌ها را به دو گونه كلی «اجرایی» و «غیراجرایی» تقسیم كرد كه عموم ویروس‌ها در فایل‌های اجرایی جای گرفته و آنها را آلوده می‌كنند و واقعاً كمتر ویروسی یافت می‌شود كه در یك فایل غیراجرایی قرار بگیرد و بتواند از طریق آن تكثیر شود.

لازم به ذكر است كه بعضی از فایل‌ها را شاید نتوان ذاتاً اجرایی نامید اما چون اینگونه فایل‌ها می‌توانند حاوی قسمت‌هایی اجرایی باشند، لذا آنها را از نوع اجرایی در نظر می‌گیریم. از این نوع فایل‌ها می‌توان به فایل‌های Html و مستندات برنامه‌های Office اشاره كرد كه به ترتیب ممكن است شامل اسكریپت و ماكرو باشند. اسكریپت‌ها و ماكروها قسمت‌هایی اجرایی هستند كه در دل این فایل‌ها قرار گرفته و كار خاصی را انجام می‌دهند.

در ذیل فهرست پسوندهای رایج فایل‌های اجرایی ارائه شده است و اكثر نرم‌افزارهای ضدویروس در حالت عادی (بدون تنظیمات خاص) این فایل‌ها را ویروس‌یابی می‌كنند (البته در برخی برنامه‌های ضدویروس ممكن است برخی پسوندها حذف یا اضافه شوند) :
.com , .exe , .dll , .ovl , .bin , .sys , .dot , .doc , .vbe , .vbs , .hta , .htm , .scr , .ocx , .hlp , .eml
بنابراین یكی از اصلی‌ترین میزبان‌های ویروس، فایل‌های اجرایی هستند. از طرف دیگر برخی ویروس‌ها نیز از سكتور راه‌انداز (Boot Sector) و جدول بخش‌بندی دیسك (Master Boot Record یا Partition Table) به عنوان میزبان استفاده می‌كنند. سكتور راه‌انداز واحد راه‌اندازی سیستم عامل است كه در سكتور شماره صفر دیسكت فلاپی و یا درایوهای منطقی یك دیسك سخت قرار دارد و جدول بخش‌بندی شامل اطلاعات تقسیم‌بندی دیسك سخت می‌باشد كه آن نیز در سكتور شماره صفر دیسك سخت قرار دارد. اینگونه ویروس‌ها با قرار گرفتن در یكی از این دو محل، هنگام راه‌اندازی كامپیوتر، اجرا شده و در حافظه سیستم مقیم می‌شوند و تا زمان خاموش كردن كامپیوتر و یا راه‌اندازی دوباره، همانجا مانده و فلاپی‌ها و یا دیسك‌های سخت دیگر را آلوده می‌كنند.
 
عملكرد ویروس
همانطور كه گفته شد تنها پنج درصد از ویروس‌ها دارای اثرات تخریبی هستند و بقیه صرفاً تكثیر می‌شوند. با توجه به این مطلب این پرسش مطرح است كه چرا ویروس‌ها به عنوان یك معضل شناخته می‌شوند و باید با آنها مبارزه كرد؟ پاسخ به این پرسش در موارد زیر خلاصه گردیده است:

۱ ـ بسیاری از ویروس‌ها دارای اثراتی هستند كه هرچند تخریبی نمی‌باشد ولی می‌تواند برای كاربر ایجاد مزاحمت كند. مثلاً ممكن است پیغامی نمایش دهد، باعث ریزش حروف صفحه نمایش به پایین شود یا اینكه یك آهنگ پخش نماید. علاوه بر این برخی از ویروس‌ها به علت اشكالات نرم‌افزاری كه ناشی از عدم دقت ویروس‌نویس می‌باشد، ممكن است دارای اثراتی غیرقابل پیش‌بینی باشند كه گاهی این اثرات می‌توانند تخریبی نیز باشند. از نقطه نظر كاربر اهمیتی ندارد كه خسارت ایجاد شده بوسیله یك ویروس، یك كار عمدی پیش‌بینی شده توسط نویسنده ویروس بوده باشد یا یك اشتباه برنامه‌نویسی.

۲ ـ برخی از ویروس‌ها در حافظه كامپیوتر مقیم شده و از این طریق عملیات تكثیر خود را انجام می‌دهند. این عمل ممكن است به گونه‌ای باشد كه جایی برای اجرای برنامه‌های دیگر نماند و یا باعث ایجاد تأخیر یا وقفه در حین عملیات سیستم اعم از اجرای برنامه‌ها و یا راه‌اندازی كامپیوتر گردد.

۳ ـ فرض كنید كه شما یك ویروس بر روی كامپیوتر خود داشته باشید. بسیار احتمال دارد كه این ویروس به صورت غیرعمدی به یك دوست، همكار یا مشتری منتقل شود كه این امر ممكن است باعث از بین رفتن اعتماد آنها به شما و شركت شما شود.

۴ ـ ویروس‌ها و برنامه‌های مخرب زیادی وجود دارند كه اقدام به سرقت اطلاعات و كلمات عبور كاربر می‌نمایند. بعضی از اینگونه برنامه‌ها با مقیم شدن در حافظه از عباراتی كه توسط شما تایپ می‌شود گزارش گرفته و پس از اتصال رایانه شما به اینترنت این اطلاعات را برای مقصد خاصی ارسال می‌كنند. گیرنده این اطلاعات می‌تواند به راحتی از آنها سوء استفاده‌های مختلفی نماید.

علاوه بر همه اینها هیچ ویروسی كاملاً بی‌ضرر نیست و در خوشبینانه‌ترین حالت، آنها وقت شما، وقت پردازنده و فضای دیسك شما را تلف می‌كنند.

در مورد اثرات تخریبی ویروس‌هایی كه آنها را به صورت عمدی انجام می‌دهند می‌توان به موارد زیر اشاره نمود:

• تخریب یا حذف برنامه‌ها و اطلاعات بخش‌های مختلف دیسك‌ها.
• فرمت كردن دیسك‌ها.
• كد كردن اطلاعات و برنامه‌ها.
• تخریب اطلاعات FlashROM ها.

مزاحمت‌های فوق ممكن است به محض فعال شدن ویروس (یعنی قرار گرفتن ویروس در حافظه از طریق اجرای یك برنامه آلوده) و یا در یك تاریخ و زمان خاص و یا حتی با اجرای یك برنامه كاربردی خاص انجام شود.
انواع ویروس‌ها
ارائه یك تقسیم‌بندی دقیق از ویروس‌ها كار مشكلی است و می‌توان ویروس‌ها را به روش‌های مختلفی تقسیم‌بندی كرد. این روش‌ها می‌تواند بر اساس میزبان ویروس، سیستم عاملی كه ویروس می‌تواند در آن فعالیت كند، روش آلوده‌سازی فایل و ... باشد. در زیر به برخی از این روش‌ها اشاره می‌كنیم :

تقسیم بندی ویروس‌ها بر اساس مقصد آلوده‌سازی:

۱ ـ ویروس‌های فایلی (File Viruses) :
ویروس‌های فایلی، معمولاً فایل‌های اجرایی را آلوده می‌كنند. فایل‌های آلوده به این نوع از ویروس‌ها اغلب (اما نه همیشه) دارای پسوند .com یا .exe هستند.

۲ ـ ویروس‌های ماكرو (Macro Viruses) :
ویروس‌های ماكرو، مستندات برنامه‌هایی را كه از امكان ماكرونویسی پشتیبانی می‌نمایند (مانند MS Word ، MS Excel و...) آلوده می‌كنند. فایل‌های اینگونه برنامه‌ها اجرایی نیستند ولی درون آنها قسمت‌هایی اجرایی به نام «ماكرو» وجود دارد كه می‌تواند میزبان مناسبی برای ویروس‌های ماكرو باشد.

۳ ـ ویروس‌های بوت و پارتیشن سكتوری (BootSector and Partition Table Viruses) :
اینگونه ویروس‌ها سكتور راه‌انداز (Boot Sector) دیسك سخت و دیسكت فلاپی یا جدول بخش‌بندی دیسك‌های سخت را آلوده می‌كنند. با راه‌اندازی سیستم از روی دیسكی كه به اینگونه ویروس‌ها آلوده شده است، ویروس در حافظه مقیم شده و متعاقباً دیسك‌هایی را كه مورد دسترسی قرار گیرند، آلوده می‌كند.

۴ ـ ویروس‌های اسكریپتی (Script Viruses) :
این ویروس‌ها كه اسكریپت‌های نوشته شده به زبان‌های ویژوال بیسیك یا جاوا می‌باشند، تنها در كامپیوترهایی اجرا می‌شوند كه بر روی آنها Internet Explorer یا هر مرورگر وب دیگری با توانایی اجرای اسكریپت‌ها، نصب شده باشد و فایل‌های با پسوند .html ، .htm ، .vbs ، .js ، .htt یا .asp را آلوده می‌كنند.

ویروس‌ها جدا از تقسیم‌بندی فوق، ممكن است در یك یا چند دسته از دسته‌های زیر نیز قرار بگیرند:

• ویروس‌های مقیم در حافظه (Memory Resident Viruses) :
اینگونه ویروس‌ها با مقیم شدن در حافظه، هنگام دسترسی به فایل‌های دیگر، آنها را آلوده می‌كنند.

• ویروس‌های مخفی‌كار (Stealth Viruses) :
اینگونه ویروس‌ها به روش‌های مختلف ردپای خویش را مخفی می‌كنند. به این معنی كه فایل‌های آلوده به اینگونه ویروس‌ها به گونه‌ای نشان داده می‌شود كه یك فایل غیرآلوده جلوه كند. به عنوان مثال عموم ویروس‌ها پس از آلوده كردن یك فایل، اندازه آن را افزایش می‌دهند و یا گاهی تاریخ و زمان ضبط فایل را عوض می‌كنند. اما ویروس‌های مخفی‌كار می‌توانند با روش‌های خاص و بدون تغییر وضعیت ظاهری، عملیات خویش را انجام دهند.

• ویروس‌های كدشده (Encrypting Viruses) :
این ویروس‌ها پس از هر بار آلوده‌سازی، با استفاده از شیوه‌های خود رمزی شكل ظاهری خود را تغییر می‌دهند.

• ویروس‌های چندشكلی (Polymorphic Viruses) :
اینگونه ویروس‌ها با استفاده از الگوریتم‌های خاص، علاوه بر تغییر شكل ظاهری خود، ساختار خود را نیز تغییر می‌دهند به طوریكه ممكن است جای دستورالعمل‌ها و حتی خود دستورالعمل‌ها نیز تغییر كنند.

• ویروس‌های فعال‌شونده بر اساس رویداد خاص(Triggered Event Viruses) :
ویروس‌هایی هستند كه بخشی از عملیات تخریب خود را در ساعت و یا در تاریخ خاص انجام می‌دهند. البته باید توجه داشت كه تكثیر و آلوده‌سازی فایل‌ها در تمام اوقات فعال بودن ویروس انجام می‌شود.
نشانه‌های وجود ویروس
معمولاً سیستمی كه به ویروس آلوده می‌گردد نشانه‌هایی را از خود بروز می‌دهد كه با دقت در آنها می‌توان به ویروسی بودن احتمالی سیستم پی برد. بعضی از این نشانه‌ها در زیر آمده است. اما باید دقت داشت كه این نشانه‌ها ممكن است در اثر عوامل غیرویروسی نیز ظاهر گردد. اما اگر كامپیوتر بطور عادی كار می‌كرده و ناگهان و بدون هیچگونه دستكاری، این علایم را از خود بروز می‌دهد، احتمال وجود ویروس بیشتر است:

۱ ـ سیستم در هنگام راه‌اندازی قفل می‌كند و احتمالاً پیغام‌های غیرمعمول روی صفحه ظاهر می‌گردد.
۲ ـ هنگام اجرای برنامه‌ها پیغام كمبود حافظه ظاهر شده و برنامه اجرا نمی‌گردد.
۳ ـ در كار چاپگر اختلال ایجاد می‌شود یا بدون هیچگونه فرمان چاپی شروع به كار می‌كند.
۴ ـ امكان دسترسی به برخی از درایوها وجود ندارد.
۵ ـ هنگام اجرای فایل‌ها، پیغام File isDamaged یا File is Corrupted نمایش داده می‌شود.
۶ ـ هنگام اجرای یك فایل، كاراكترها و یا پیغام‌های غیرعادی روی صفحه نمایش ظاهر می‌گردد.
۷ ـ هنگام كار در محیط‌های گرافیكی، تصاویر به هم می‌ریزد.
۸ ـ اصوات غیرمعمول یا موزیك از بلندگوهای كامپیوتر پخش می‌شود.
۹ ـ سیستم هنگام اجرای یك برنامه قفل كرده و حتی گاهی فشردن كلیدهای Ctrl+Alt+Del نیز نمی‌تواند سیستم را دوباره راه‌اندازی كند.
۱۰ ـ اطلاعات بخشی از دیسك سخت و یا تمام آن بطور ناگهانی از بین می‌رود یا دیسك سخت ناخواسته فرمت می‌شود.
۱۱ ـ اندازه فایل‌های اجرایی افزایش می‌یابد.
۱۲ ـ خواص فایل‌های اجرایی تغییر می‌كند.
۱۳ ـ سرعت سیستم بطور نامحسوسی كاهش می‌یابد.
۱۴ ـ اطلاعات Setup كامپیوتر از بین می‌رود.
۱۵ ـ برنامه‌ها مراجعاتی به دیسكت انجام می‌دهند كه قبلاً انجام نمی‌دادند.
۱۶ ـ كاهش فضای خالی دیسك بدون اینكه فایلی اضافه شده و یا به محتوای فایل‌ها افزوده شده باشد.
۱۷ ـ نرم‌افزارهای مقیم در حافظه با خطا اجرا شده یا اصلاً اجرا نمی‌شوند.
۱۸ ـ بعضی برنامه‌ها سعی در برقراری ارتباط با اینترنت را دارند.
۱۹ ـ هنگام كار با اینترنت مقدار ارسال و دریافت اطلاعات ناخواسته افزایش یافته و سرعت به شدت افت می‌كند.
۲۰ ـ نامه‌های الكترونیكی ناخواسته از روی سیستم ارسال شده و یا دریافت می‌گردد.
بدافزار ها دیگر
به غیر از ویروس‌ها برنامه‌های خطرناك دیگری نیز وجود دارند كه نرم‌افزارهای ضدویروس وظیفه دارند اینگونه برنامه‌ها را نیز شناسایی كنند. مهمترین تفاوتی كه بین این برنامه‌ها و ویروس‌ها وجود دارد اینست كه بر خلاف ویروس‌ها این برنامه‌ها نمی‌توانند خود را از طریق یك میزبان تكثیر نمایند. از مهمترین این برنامه‌ها می‌توان به موارد زیر اشاره كرد:

• كرم‌های اینترنتی (Worm):
این برنامه‌ها كه امروزه بیشترین میزان آلوده‌سازی را به خود اختصاص داده‌اند، فایل‌های دیگر را آلوده نمی‌سازند بلكه خود را به صورت یك فایل مجزا بر روی سیستم كاربر كپی می‌كنند. كرم‌ها معمولاً از طریق ضمایم نامه‌های الكترونیكی، حفره‌های امنیتی سیستم عامل Windows نظیر حفره موجود در RPC و ... منتشر می‌شوند.

• ترویاها (Trojan):
ترویاها كه نام خود را از داستان معروف اسب تروا گرفته‌اند به هیچ وجه امكان تكثیر نداشته و معمولاً به وسیله ویروس‌ها یا كرم‌های اینترنتی دیگر بر روی سیستم كاربر قرار داده می‌شوند. اینگونه برنامه‌ها معمولا دارای اثرات تخریبی هستند.

• جاسوس‌افزارها (Spyware):
اینگونه برنامه‌ها مستقیماً دارای اثر تخریبی نمی‌باشند و وظیفه آنها جمع‌آوری اطلاعات از روی سیستم كاربر و نیز تحت نظر قرار دادن اعمال وی هنگام كار با اینترنت می‌باشد. در نهایت این اطلاعات برای مقاصد خاص فرستاده می‌شود تا از آنها جهت اهداف تجاری و تبلیغی استفاده گردد.

• یرنامه‌های تبلیغاتی (Adware):
اینگونه برنامه‌ها همانند جاسوس‌افزارها دارای اثر تخریبی نمی‌باشند و وظیفه آنها باز کردن صفحات خاص اینترنتی جهت اهداف تجاری و تبلیغی است .

• جك‌ها(Joke):
جك‌ها برنامه‌هایی هستند كه ادعا می‌كنند در حال انجام عملیاتی تخریبی بر روی سیستم شما می‌باشند ولی در واقع اینگونه نبوده و كار آنها چیزی جز یك شوخی ساده نمی‌باشد. متأسفانه برخی كاربران به سادگی تحت تأثیر جك‌ها قرار گرفته و با تلاش برای از بین بردن چیزی كه مخرب نیست باعث ایجاد تخریب بیشتری می‌شوند.

• شوخی‌های فریب‌آمیز (Hoax):
این برنامه‌ها با سوء استفاده از كم بودن اطلاعات تخصصی كاربران، آنها را فریب داده و با دستورات و توصیه‌های اشتباه باعث می‌شوند كه كاربر شخصاً كاری تخریبی بر روی سیستم خود انجام دهد. به عنوان مثال وانمود می‌كنند كه فایلی خاص در مسیر سیستم عامل یك برنامه خطرناك است و باید توسط كاربر حذف شود. غافل از اینكه این فایل سیستمی بوده و برای عملكرد درست سیستم عامل، وجود آن لازم است.

• شماره‌گیرها (Dialer):
اینگونه برنامه‌ها وظیفه‌شان ارتباط دادن كاربر از طریق خط تلفن به سرورهایی در دیگر كشورها برای دسترسی مستقیم به اطلاعات آنها می‌باشد. این سرورها معمولا مربوط به سایت‌های غیراخلاقی بوده و برقراری ارتباط با آنها از طریق خط تلفن باعث هزینه بسیار زیاد مالی می‌گردد.

Rootkit ها :
بدافزارهایی هستند که اغلب، ﺁنها را به خودی خود نمی توان مخرب یا خطرناک دانست، بلکه قرار گرفتن ﺁنها در کنار ویروس ها یا کرمهای اینترنتی یا نوع استفاده از ﺁنهاست که به ﺁنان ماهیتی خطرناک می بخشد. به عنوان یک تعریف میتوان گفت که Rootkit ابزاری نرم افزاری است که بوسیله ﺁن این امکان وجود دارد تا فایل، پروسه یا کلیدی خاص در رجیستری را پنهان نمود. Rootkit ها اغلب در سطح سیستم عامل فعالیت کرده و با تغییراتی که در سیستم عامل یا منابع ﺁن انجام می دهند، به مقاصد خود دست پیدا می کنند. به علت قابلیت پنهان سازی قوی اینگونه برنامه ها، شناسایی ﺁنها یا برنامه هایی که توسط ﺁنها پنهان گردیده اغلب مشکل بوده و این امر می تواند مشکلاتی را برای کاربران بوجود ﺁورد. به عنوان مثال برخی از Rootkit ها پس از اجرا بر روی سیستم کاربر، کرمی را از دل خود بیرون ﺁورده و بر روی سیستم کاربر اجرا می نمایند. سپس با قابلیتهای خاص خود ﺁنرا از دید کاربر مخفی میکنند و کرم مزبور به راحتی به فعالیت های مخرب خود به دور از چشم کاربر ادامه میدهد

•  Downloader ها :
کار اینگونه برنامه ها  Download کردن بد افزار ها و اجرای آنها است

• کلیک کننده ها (Adclicker) :
اینگونه برنامه‌ها لینک صفحهات تبلیغاتی را دنبال نموده و به این طریق حالت کلیک شدن بر روی آن صفحه تبلیغاتی خاص را  شبیه سازی می کنند و باعث بالا رفتن hit آن می شوند.

Backdoor ها :
Backdoor ها ابزاری برای نفوذگرها هستند که به وسیله آنها می توانند سیستم  های دیگر را در کنترل خود درآورند .Backdoor ها درون شبکه، پورت های TCP یا UDP را باز می کنند و شروع به گوش کردن نموده تا دستورات نفوذگرها را اجرا کنند. Backdoor ها از جهت نداشتن قابلیت تکثیر شبیه ترویاها هستند.
 
• پسورد دزد ها (Password-Stealer) :
اینگونه برنامه ها که نوعی ترویا هستند کارشان دزدی پسورد از روی سیستم ها و ارسال آنها برای نفوذگرها است.

Exploit :
کد های مخربی هستند که با استفاده از آسیب پذیری های  یک سیستم  امکان دسترسی از راه دور به آن سیستم را فراهم می کنند.

Keylogger :
اینگونه برنامه ها با قرار گرفتن در حافظه از کلید های زده شده توسط کاربر گزارش گرفته و در قالب یک فایل برای نفوذگر می فرستند.
 
 
 
برگرفته از سایت شرکت مهندسی مهران رایانه