تحقیق در مورد ويروسها ( قسمت اول )
نگاهي به نحوهء تكامل ويروسهاي كامپيوتري
در سال 1985 ، دو برادر در لاهور پاكستان ، «بسيط فاروق علوي » و «امجد فاروق علوي » يك فروشگاه پي سي به نام « خدمات مغز كامپيوتر» را اداره مي كردند. آنها از كپي سازي غير مجاز نرم افزارها لذت مي بردند و برنامه هاي كاربردي براي مشتريان اداري طراحي مي كردند. با اين همه * اين دو برادر وقتي دريافتند كه آثار نرم افزاري خودشان به طور غير مجاز كپي مي شود يكه خوردند.
در اوايل سال 1986 ، امجد به قصد انتقام جنگ افزار نرم افزاري را در سطح عام معرفي كرد. او برنامه اي نوشت كه به ويروس «مغز پاكستاني » شهرت يافت. اين برنامهُ 512 بايتي در همهُ نرم افزارهايي كه فروشگاه آنها به فروش مي رساند قرار گرفت ، تعدادي از توريستهاي آمريكايي نيز آنها را خريدند. اين نگارش اوليه ويروس BRAIN ، «ركوردهاي بوت» ديسكتها را آلوده مي كرد ، كه باعث مي شد ديسكتها غير قابل استفاده بشوند، سپس وارد RAM سيستم مي شد كه از آنجا مي توانست وارد ديسكتهاي بعدي بشود. بر خلاف مؤلفان گمنان امروزي ويروس ، امجد حتي اطلاعات تماس خود را در كد آلوده قرار داده بود و از خوانندگان مي خواست كه براي «واكسيناسون» با فروشگاه تماس بگيرند.
پس از اين ويروس ء سازندگان نرم افزارها روشهايي براي محافظت از نرم افزارهاي خود ابداع كردند ، اما ويروسها همچنان مخرب هستند. در حالي كه ويروس Brain صرفاُ «جدول تخصيص فايل» يا FAT ديسكتهاي محافظت نشده را خراب مي كرد، بعضي از ويروسها شرفيت ضربه زدن به شبكه هاي چند ميليون دلاري را دارند. همهُ ويروسها مخرب نيستند، اكثر ويروسها قطعات كوچك برنامه اي هستند كه فقط براي تكثير طراحي مش وند نه تخريب داده ها.
با اين همه، شما بايد دربارهء ويروسها و روشهاي تابود سازي آنها معلوماتي داشته باشيد. حتي ويروسهاي بي ازار نيز مسئله هستند، حذف آنها وقت ارزشمند شما را مي گيرد. طبق گزارش مؤسسهُ Trend Micro ماهانه بيش از 500 ويروس جديد كشف مي شود ، از همين روي لازم است يك نرم افزار ضد ويروس همواره داشته باشيد و آن را روز آمد كنيد.
ويروس چيست ؟
در ويروسهاي بيولوژيكي ويروس وارد يك سلول مي شود ، در سلول تكثير مي شود ، و سپس در سلولهاي اصراف راه مي يابد. ويروس كامپيوتري نيز به همين شكل كار مي كند. برنامهء ويروس يك فايل را آلوده مي كند، سپس ، وقتي فعال شد ، تكثير مي شود و فايلهاي اطراف را آلوده مي كند . خبر خوش آن است كه ويروسها ، مانند ويروس ابولا (Ebola) ، هر چه مرگبارتر باشند، وقت كمتري براي تكثير دارند، در نتيجه شيوع آنها محدود است.
تكثير در تعريف ويروس اساسي است ، هر چند ، آلودگيهايي نيز وجود دارد كه تكثير نمي شوند . اما در گروه ويروسها جاي گرفته اند. ابتدا نوع اصلي ويروسها و سپس نحوهُ واكنش شما در برابر هر كدام از آنها را شرح خواهيم داد.
ويروسهاي فايلي
از لحاظ تاريخي ، ويروسهاي فايلي متداولترين ويروسها بوده اند؛ اين نوع ويروسها به سه گروه تقسيم مي شوند : قابل اجرا ، ماكرو (macro) و قطاع بوت (boot sector) ويروسهاي قابل اجرا به فايلهاي قابل اجرا كه بسط (extension) فايل «COM» (command file) يا بسط فايل «EXE» (execable file) دارند وصل مي شوند (تا به امروز، انواع فايلهاي داده اي مانند JPEG ، MP3 ، AVI ، TXT ، و فرمتهاي مشابه آلوده به ويروسها نشده اند.) وقتي فايلهاي قابل اجرا به اجرا در مي آيند، ويروس فعال مي شود. ويروس ممكن است يك تريگر يا ماشه (trigger) داشته باشد. تريگر به نوعي رويداد گفته مي شود كه به ويروس دستور مي دهد عمل اصلي خود را انجام دهد. ماشه يا تريگر مي تواند يك تاريخ ، يا ساعت معين ، رشته اي كليد زني خاص ، تعداد اجراها ، يا هر رويداد ديگر باشد. تريگرهاي ماهرانه تشخيص ويروسها را دشوار مي كنند.
ويروسهاي ماكرو از ضعفهاي امنيتي در برنامه هاي كاربردي فعال شده با ماكروها بهره برداري مي كنند ، به ويژه در ماكروهاي برنامه هاي WORD يا EXCEL چنين ويروسي ماكرو را آلوده مي سازد و معمولاُ به وسيلهُ ايميل انتقال مي يابد. يكي از نخستين نمونه هاي ويروس ماكرو ويروس W97.Melissa.A است كه به ويروس مليسا شهرت يافته است. كاربر يك سند حاوي يك ماكروي آلوده دريافت مي كند. وقتي چنين سندي باز مي شود ، مليسا ماكروي Tools در Word 97 را غير فعال مي كند تا كاربران نتوانند ماكروي مليسا را در فهرست ببينند و ماكروي Security در Word 2000 را غير فعال مي كند. سپس اين ويروس 50 نشاني تماس را از برنامهُ پست الكترونيكي Outlook انتخاب مي كند و خودش را از طريق ايميل به اين نشانيها با موضوع (Subject) زير ارسال مي كند:
Important Message From USERNAME
ويروسهاي ماكرو باعث شده اند كه برنامه هايي چون Word پيش لز لان كه بتوانيد يك سند فعال شوند با ماكرو را باز كنيد هشدار بدهند.
ويروسهاي قطاع بودت مانند ويروس Brain در زماني به طور گسترده شيوع مي يافتند كه اكثر نرم افزارها روي يك ديسكت منتشر مي شدند. وقتي كاربري به چنين ديسكتي دست مي يافت ابتدا قطاع بوت خوانده ميشد. يك قطاع بوت آلوده بلافاصله ويروس را به RAM انتقال مي دهد. و ويروس از RAM به هر ديسكتي كه پس از استفاده از اين ديسكت در ديسكتران قرار بگيرد انتقال مي يابد. كل كاري كه كاربر لازم است انجام بدهد تا ديسكت آلوده نشود بردن دكمهُ ديسكت به حالت محافظ در برابر نوشتن است . اگر ديسكتران نتواند چيزي در داخل ديسكت بنويسد، راهي براي تكثير ويروس وجود نخواهد داشت.
بايد توجه كنيد كه بعضي از ويروسهاي قطاع بوت قطاعهاي بوت ديسك سخت را نيز آلوده مي كنند. در چنين مواردي ممكن است ويندوز در حالت MS-DOS Compatibility . Mods باز شود كه كارايي سيستم را پايين مي آورد. پايين آمدن كارايي را به تقه زدن روي ,System,Control panel, Setting, Start و انتخاب دكمة Performance مي توانيد ببينيد . مسائل مربوط به دستگاه رانها (Driver) نيز مي تواند مسئلة Companibility Mod را به وجود بياورد.
در سال 1998 ، طبق گزارش «انجمن بن المللي امنيت كامپيوتر» ، ويروسهاي قطاع بوت 68% از مجموع ويروسها بوده است. در سال 1999، اين عدد به 38% رسيد و نزول بيشتر مي شود. با آن كه اين ويروسها نادر شده اند، باز هم بايد در برابر ويروسهاي قطاع بوت محافظت به عمل بياوريد و روي هر ديسكتي كه به دستتان مي رسد با استفاده از ضد ويروس يك بررسي انجام دهيد.
به طور مشابه ، با هر فايل Word ، Excel ، يا فايل اجرايي را كه به شما مي رسد به طور احتياطي برخورد كنيد بعضي از كاربران اصرار مي كنند كه فقط سندهايي را كه در فرمتهاي غير ماكرويي است ، مانند RTF دريافت كنند، و بعضي از افراد بسيار محتاط ، هر فايل قابل اجرايي را كه به وسيلة ايميل به دستشان مي رسد حذف مي كنند. فرستنده ممكن است يا فايل آلوده را بفرستد و اصلاً آگاه نباشد كه ويروس مدت و يك اثر مخرب دارد. بهتر است در مورد ايميلهايي كه فايلهاي الحاقي فيلمهاي مشهور و مانند آن را دارند نگران باشيد.
كرمها
برنامة كرمها مانند برنامة ويروسها تكثير مي شود ، اما فايلهاي ديگر را آلوده نمي كنند. كرمها به وسيلة ديسكت ياارتباطات شبكه اي ، به ويژه ايميل و گپ زني chat)) منتشر مي شوند. بر روي يك كامپيوتر ، خطر كرم آن است كه ، آن قدر تكثير مي شود كه ديسك سخت را پر و سيستم را بلا استفاده مي كند.
شركت نرم افزاري پاندا (سازندة شد ويروس پاندا) گزارش كرده است كه يك كردم (Visual Basic Script) VBS گردش خود را در جهان آغاز كرده است. نام رسمي اين ويروس VBS/LoveLetter.CN@MM است مه به نام غير رسمي JenniferLopez_Naked (جنيفر – لوپز برهنه) مشهور است، اين كرم نمونة كاملي از طرز كار كرم را نشان مي دهد . براي اطلاع :
پيامي از كسي كه مي شناسيد به صندوق پست الكترونيكي شما مي رسد . سطر موضوع (Subject) آن چنين است :
Where are you ?
بدنهء پيام فقط مي گويد:
This is my pic in the beach
اسم فايل الحاقي JENNIFEROLOPEZ_NAKEDJPG.vbs است. معمول و فرض آن است كه دريافت يك پيام از يك شخص آشنا شما را به باز كردن اين فايل الحاقي ترغيب نمي كند، اما تماشياي جنيفر لوپز برهنه ممكن است شما را به هوس بيندازد. محض آن كه فايل الحاقي را باز كنيد، كرم واقع در اين فايل همة فايلهاي روي سيستم شما را بسطهايي چون «.CSS» ، «.JPG» و «MP3.» رونويسي مي كند ، سپس كرم مزبور خود را در برنامة Outlook قرار مي دهد و به همة نشانيهاي تماس واقع در كامپيوترتان يك نسخه ايميل آلوده را ارسال مي كند. سرانجام ، اين كرم براي اين كه خصومت بيشتر خود را نشان بدهد ويروس W95/CIH ،مشهور به «چرنوبيل» را در سيستم شما مي گذارد. ويروس چرنوبيل 26 هر ماه ميلادي فعال مي شود. وقتي به اجرا در مي آيد به طور همزمان بر روي ديسك سخت شما آت و آشغال مي نويسد و بايوس فلش (Flash BIOS) را رونويسي مي كند ، و در نتيجه پي سي را مدتي بلااستفاده مي سازد.
چند نكته دربارة اين كرم و ويروس در زير مي آيد:
1. فايل الحاقي با بسط «.VBS» ختم مي شود ، كه يك فرمت كمتر شناخته شده است اما به طور وسيعي توسط ويروس نويسان در دو سال گذشته به كار گرفته شده است. تقريباً هيچ كس . به جز دانشجويان رشتة كامپيوتر فايل «.VBS» را براي كسي نمي فرستد . حتي اگر نمي دانيد فايل VBS چيست دليلي براي باز كردن آن نداريد . مي دانيد كه يك تصوير JPEG نيست چون بايست كه فايل JPEG ختم نمي شود. بعضي از كاربران خودشان را متقاعد مي كنند كه يك فايل معمولي است، اما چنين نيست .
2. پيامهاي ويروسي معمولاً املا و دستور زبان صحيبح ندارند. اما اين يكي بهتر از بقيه است، چون علائم نقطه گذاري در آن به درستي به كار رفته است اما باز هم شما عبارت «on the beach» را به كار مي بريد نه «in the beach» را همچنين توجه كنيد كه سطر موضوع و خود پيام ربطي به همديگر ندارند. دربارة پيامهايي شبيه به يك پيام ترديد كنيد.
3. پيش از باز كردن فايل الحاقي ، اسم آن فايل را بخوانيد . احتمال اينكه كسي براي شما تصوير برهنه اي از جنيفر لوپز بفرستد چقدر است؟ اگر ترديد داريد ، نامه اي به فرستنده ارسال كنيد و در آن از موضوع اين فايل پرس و جو كنيد. در غير اينصورت ، بلافاصله آن را پاك كنيد و حتماً آن را از پوشة Deleted خود به طور دائم پاك كنيد .
اسب تروا
وقتي ساكنان محاصره شدة شهر تروا فكر كردند كه ارتش يونان عقب نشيني كرده است و فقط يك اسب چوبي بزرگ را به عنوان يك هدية صلح بر جاي گذاشته اند ، مغرور شدند . آنها دروازه هاي شهر را باز كردند ، اسب چوبي را به داخل بردند، و بقيه داستان يك شعر حماسي خونين است . اسب تروا همچون اسب هومر (شاعر بزرگ يوناني) برنامه اي است كه شما داوطلبانه به ورود آن در سيستم خود خوش آمد مي گوييد چون فكر مي كنيد كه مفيد است . اما در داخل اين برنامه بخش مخربي وجود دارد كه به ذهن شما نمي آيد . اسبهاي تروا تكثير نيم شوند اما وقتي بخش مفيد آن ماهرانه درست شده باشد كاربران آن را به ديگران يم دهند و در نتيجه خودشان آن را تكثير مي كنند. اسبهاي تروا از ابزار محبوب هكرها (Hacker نفوذي ) هستند، چون آنها را طوري مي توانند برنامه سازي بكنند كه شبكه ها را جستجو كنند و كلمه هاي عبور را بيابند، و سپس اين داده ها را به هكر تحويل دهند.
به عنوان مثال ، فايل Trojan Taliban به شكل يك فايل الحاقي EXE سادة ايميل ظاهر مي شود ، كه يك آزمون ده سئوالي IQ (تست هوش ) در خود دارد. اگر سئوال سوم به درستي پاسخ داده شود ، يا سئوال يك و يا ششم نادرست پاسخ داده شود، اسب تروا بخش مخرب خود را فعال مي كند ، و همة فايلهاي مهم در پوشة C:\WINDOWS را پاك مي كند. حال ببينيد كاربر احساس مي كند كه چقدر باهوش است.
مي توانيد جاسوس – افزارها (spyware) را يكي از انواع اسب تروا در نظر بگيريد . جاسوس – افزار به برنامه هايي اشاره دارد كه يك وظيفة مورد نظر شما را انجام يم دهد اما اطلاعاتي را دربارة شما و رفتار شما به سازنده و يا عرضه كننده ارسال مي كند. به عنوان مثال برنامة RealJukebox محصول شركت Real Networks هر بار كه يك سي دي آهنگ پخش مي شد اطلاعاتي را به Real Networks ارسال مي كرد . شركت Real Networks با گردآوري اين اطلاعات و ID منحصر به فرد نرم افزار ، كه به داده هاي ثبتي خصوصي كاربر گره مي خورد كي توانست اطلاعات مهمي دربارة سليقة موسيقي هر كاربر به دست بياوريد .
شبه ويروسها (Hoax)
لطيفه ها ، اطلاعيه هاي سياسي و ساير پيامهاي ايميل متداولي كه به طور نامحدود به سوي شما روانه مي شود ممكن است در مجموع خود نوعي آلودگي و بيماري به حساب بيايند. كاربران خودشان آنها را تكثير مي كنند، و در نتيجه خواندن بسياري از آنها نه تنها وقت گير است بلكه پهناي باند (Band Width) خدمات دهنده ها (server) را بيهوده مصرف مي كند. Hoax ها شبيه به ويروس هستند در زير ترجمة متن پيام يك نومنه از آنها كه در سال 1994 انتشار يافت آمده است، كه نوع اختصاص شبيه ويروس Good Times است :
«در اينجا اطلاعات مهمي آمده است . مراقب فايلي به نام Good Times باشيد . ويروسي است كه بر روي شبكة America Online پيدا شده است و به وسيلة ايميل به خارج از اين شبكه انتشار يافته است . اگر پيامي دريافت كنيد كه در سطر موضوع آن عبارت «Good Times» آمده باشد ، آن را به خوانيد و نه دريافت كنيد اين ويروس ديسك سخت شما را پاك خواهد كرد . «كميسيون ارتباطات فدرال آمريكا » (FCC) يك اطلاعية هشدار دربارة اين ويروس منتشر كرده استو از كاربران اداري و خانگي خواسته است كه در مورد آن احتياط كنند. از دوستان خود بخواهيد كه مراقب اين تهديد جديد اينترنت باشند ، تا وقت و پول خود را بيهوده هدر ندهند.»
در زير نكته در مورد اين ويروس آمده است :
1. فايلهاي الحاقي وقتي دريافت مي شوند كه شما پيامهاي ايميل دريافت كنيد. مي توانيد فايل الحاقي را يا باز كنيد يا حذف كنيد، اما ذكر اينكه يك فايل الحاقي را مي توانيد دريافت نكنيد نشاندهندة عدم دقت نويسنده است .
2. FCC روي فركانس راديويي نظارت و حكومت دارد و كاري با ويروسها ندارد . به طور مشابه ، اكثر شبه ويروسها به اطلاعيه هاي شركتهاي معتبري چون IBM ، مايكروسافت ، و AOL و البته شركتههاي سازندة نرم افزارهاي ضد ويروس مانند مك آفي و سيمانتيك اشاره مي كنند.
3. بلوفها هميشه خبر از آثار مخرب ويروس مي دهند .
4. بخش آخر ، «هشدار دادن به دوستان » يك حقة رو شده است. اطلاعيه هاي رسمي دربارة ويروسها هرگز چنين درخواستي نمي كنند.
حال كه با انواع اصلي ويروسها آشنا شده ايد ، به محصولات و خدماتي اشاره مي كنيم كه براي مقابله با ويروسها مؤثر هستند .
بررسي كنندگان مجاني انترنت
آيا مي خواهيد پيش از خريد يك ضد ويروس آن را انتخاب كنيد ؟ اين برنامه هاي مجاني روي خطي (Online) را امتحان كنيد. اكثر آنها امكانات پيشرفتة نسخه هاي فروشي را ندارند اما همة آنها مي توانند دريابند كه آيا سيستم شما آلوده به ويروس است يا نه .
AVX online Scanning System
http://WWW.centralcommand.com
ساده اما قدرتمند است . مي توانيد مشخص كنيد كه كدام ناحيه از ديسك سخت يا تمام ديسك سخت بررسي شود . گزينه هايي نيز براي بررسي حافظة سيستم ، ركوردهاي بوت آرشيوها و ايميل در اختيار خواهيد داشت. وقتي برنامة اين ويروس بيابند ، يك كادر ظاهر مي شود و از شما مي پرسد كه ويروس را حذف يا نام گذاري مجدد كند يا آن را ناديده بگيرد.
اگر منوي Tools را باز كنيد گزينة Avx Online Scan را خواهيد ديد ، كه در مرورگر شما باقي خواهد ماند. زمان بررسي طولاني است.
McAfee.com VirusScan Online
به طور پيش فرض فايلهاي برنامه اي را بررسي مي كند اما مي توانيد گزينة Scan All fils را فعال كنيد. بخش پاك سازي آن در حالت رايگان غير فعال است.
Symantec Security Check
http://www.symantec.com/securitycheck
بانك اطلاعاتي اطلاعات كامل ويروسها و اسبهاي تراواي سيمانتيك در اختيار شماست.
Trend Micro HouseCall
يك پنجرة ActiveX را تحت IE به اجرا درآورد و كد ديسك سخت شمار ا بررسي مي كند. سريع است ، پس از بررسي مي توانيد حالتهاي پاك سازي يا حذف يك فايل يا همة فايلهاي آلوده را انتخاب كنيد.
نرم افزارهاي ضد ويروس
در اينجا چند نرم افزار ضد ويروس را معرفي مي كنيم.
AntiVirus eXpert
http://www.centrackcommand.com
يك برنامة جامع ضد ويروس است . سريع برپا مي شود و نيازي به راه اندازي مجدد كامپيوتر ندارد . امكانات پيچيده ندارد و برنامه اي ساده است و براي پوشش دادن به عمليات ضد ويروسي ساده مي كنند ويروسهاي فايلي و مايكرويي ، اسكريپتهاي مخرب ، و ويروسهاي مبتني بر اينتر نت طراحي شده است . روي كارايي سيستم اثر متوسط دارد .
McAfee.com Clinic
در مواقع چهار برنامه است : VirusScan ، First Aid ، Oil Change ، و Uninstaller . كابران يك حساب باز مي كنند. موتور اصلي برنامه را از اينتر نت دريافت مي كنند و McAfee.com را براي اجراي يكي از برنامه ها جستجو مي كند. براي كاربران شبكه ها مي تواند مناسب باشد . اما براي كاربران خانگي كه يك بررسي كنندة قابل انعطاف و قدرتمند مي خواهند پاسخ خوبي نيست.
McAfee VirusScan Classic 5.2
برنامه اي جامع است. قدرت VirusScan Deluxe را ندارد.
Norton AntiVirus 2001 Professional Edition
هنوز يكي از پرطرفدارترين برنامه هاي ضد ويروس است آن را مي توان پادشان نرم افزارهاي ضد ويروس ناميد.
Trend Micro PC-Cilin 2000
پنجره هاي ارتباطي بسيار خوب و امكانات فراواني دارد . بسيار سريع عمل مي كند بر روي كارايي سيستم اثر كمي مي گذارد.
علامتهاي هشدار نفوذ ويروس
چند علامت وجود دارد . اگر متوجه شويد كه صندوق پستي شما ، بخش OutBox – حاوي صدها پيامهاي بدون دستور شده است – احتمالاً يك كرم مانند كرم I Love you به سيستم شما رسوخ كرده است. اگر متوجه شويد كه بخش بزرگي از ديسك سخت شما ساييده شده است يا نسخه هاي فراواني از يك فايل در آن پر شده است ، احتمالاً يك ويروس در كامپيوترتان حاضر است . كارايي بسيار پايين ديسك سخت نيز مي تواند نتيجة حضور يك ويروس باشد . اگر صفحة نمايش پيامهاي سرزنش آميز مي دهد و به شما مي گويد كه امنيت كمي داريد احتمالاً مقصر يك ويروس است .
ويروسها معمولاً خصوصيات فايلهاي قابل اجرا (Bat,Exe,Com) مانند اندازة فايل ، يا مهر تاريخ فايل را تغيير مي دهند و اينها با احتمال غرب به يقين علامت حضور ويروس هستند. اما بسياري از كاربران معمولاً روي اين خصوصيات نظارت دارند – اين مهمترين وظيفة ضد ويروسهاست .
چند ويروس تاريخي
1986 : Brain (قطاع بوت ) . از طريق ديسكت انتقال مي يابد . قطاع بوت ديسكت را خراب مي كند وداده ها را غير قابل دسترس مي سازد .
1995: Concept (ماكرو ) . خانوادة WM.Concept بنيانگذار ويروسهاي ماكرويي بوده است . نسخة اصلي از پنج ماكرو براي آلوده سازي و انتشار بهره گيرد. وقتي به اجرا دي مي آيد ويروس عدد يك را در يك كادر يا يك دكمة OK نشان مي دهد. وقتي كاربر روي OK نقه بزند، Concept جاي ماكروهاي بومي Word مي نيشيد و بخش Save as را براي خراب كردن فايلهاي DOC آينده تغيير مي دهند . پيام زير را بعداً مي دهد:
That’s enough to prove my point
1998 : BackOrifice (اسب ترواي كنترل از راه دور) . اسب تروا به يك سيستم خدمات دهنده ( Server) و خدمات گيرنده (client) اتكا دارد . اگر كاربر بتواند ترغيب شود كه برنامة حاوي اين اسب تروا را نصب كند و دو كامپيوتر خدمات دهنده و خدمات گيرنده بطور همزمان روي اينترنت باشند، نفوذگر (هكر) قادر خواهد بود هر كاري را كه خدمات گيرنده انجام مي دهد ببيند و كنترل كامل PC را به دست بگيرد.
1999 : مليسا (ماكرو با انتشار انبوه از طريق ايميل). ويروس ماكرو W97.Melissa.A نخستين ويروس ماكرو است كه حفرة امنيتي برنامة افيس ميكروسافت را آشكار كرد. نسخة اوليه كه Office97 SRIMelissa نام داشت مانند Concept نه تنها تنظيمهاي ماكرو را اصلاح مي كند و فايلهاي فعال شونده با ماكرو را آلوده مي سازد، وارد Outlook نيز مي شود و با 50 نشاني ايميل داخل آن تماس مي گيرد ، و گاهي اطلاعات حساس را انتقال مي دهد پيش از اين ويروس اظهار انبوه وجود نداشت، در نتيحه در مدت كوتاهي توانست خدمات دهنده هاي پستي با ترافيك فوق العاده زادي مواجه كند و ضربه هاي فراواني به وجود بياورد.
2000 : liveLetter (اسكريپت يا ارسال انبوه ايميل ) . اسكريپت VBS.LoveLetter در Inbox ها با سطر موضوع «I Love you» و يك فايل الحاقي به نام LOVE-LETTER-FOR-YOU.TXT.vts ظاهر شد . اگر اين فايل الحاقي باز شود LoveLetter انواع مختلفي از فايلهاي روي سيستم كاربر را نابود مي كند (يا در صورت فايلهاي MP3 يا MP2 ) تغيير نام مي دهد . سپس خودش را به نشاني هركسي در فهرست نشاني Outlook ارسال مي كند. افزون بر اين ، اين كرم يا برنامة اسب تروا در سيتم به جاي مي گذارد كه اطلاعات كلمة عبور را پيدا مي كند و اين داده ها را به يك نشاني ايميل در فيليپين مي فرستد. جايي كه اين ويروس زاده شده است.
2000 : Palm Liberty (PDA) . ويروس Palm.Liberty.A نخستين ويروسي است كه بر روي محيط Palm OS كشف شده است . وقتي اجرا مي شود همة برنامه هاي كاربردي در كاپيوتر دستي را حذف مي كند. اين ويروس نادر است اما اعلام خطري براي كامپيوترهاي دستي است .
برنامه هاي ويروس ياب :
در برنامه ويروس ياب موجود MSAN (مخفف MicroSoft Anti-Virus) و MWAV (مخفف Microsoft Windows Anti-Virus) هستند . يك يا هر دو اين برنامه را مي توانيم هنگام راه اندازي برنامه SETUP نصب كنيم.
انواع ويروس :
ويروس هاي كاپميوتري بسته به نوع تاُثير آنها به سه قسمت تقسيم مي شوند:
الف ) Boot Sector
Boot Sector بخشي از ديسك سخت است كه به كنترل چگونگي آغاز سيستم عامل هنگام روشن كردن كامپيوترهاي مي پردازد. يك ويروس Boot Sector ، Boot Sector اصلي ديسك را برداشته و خود جانشين آن مي شود و ويروس را به حافظه انتقال مي دهد و حضور و ويروس در حافظه به مفهوم پخش شدن آن در ديسك هاي ديگر مي باشد.
ب) File Infector
ويروس تخريب كنندة فايل ، كه ويروس را براي فايلي كه برنامهء آن اجرا شده ، اضافه مي كند.
اين اضافه شدن به گونه اي است هنگام اجرا در برنامه ويروس فعال شده و فعاليت آن مفهوم پخش آمن در ساير فايل هاي برنامه مي باشد.
پ ) Trogen Hourse
ويروس Progen Hourse به عنوان يك برنامة مخرب كاپميوتري مي باشد. بدين ترتيب كه فايل و ديسك ها را خراب كرده و قدرت آن از ساير انواع ويروس، بسيار بيشتر مي باشد. فايل ها يا ديسك هايي كه با ويروس Progen Hourse تخريب شده اند ، ممكن است قابل بازيابي نباشد.
ويروس هاي شناخته شده :
ويروس شناخته شده ، ويروسي است كه قبلاً توسط متخصصين كشف شده و مورد تجزيه و تحليل گرفته است. بدين ترتيب نامي مانند «Sroned» يا «Michelangelo» براي آن انتخاب شده است. همچنين امضايي (Signature) نيز دارد كه يك سري بايت منحصر به فرد در برنامه ويروس بوجود در شناسايي آن كمك مي كند. هر دو و ويروس ممكن است چند نژاد شناخته شده داشته باشد ( يعني گونه هايي كه در برنامة اصلي آنها تفاوتهايي جزيي وجود دارد ) تا كنون بيش از ده هزار ويروس شناخته شده است ، بسياري از آنها مدتي است كه ديده نشده اند و احتمالاً معدوم شده اند. اما با وجود اين هيچ راهي براي پيش بيني زمان و محل ظهور مجدد آنها وجود ندارد.
برنامه هاي آنتي ويروس ميكروسافت با بررسي حافظه و ديس هاي سيستم ، بدنبال هزار امغابر ويروس شناخته شده مي كردند اين عمل در يك ديسك گردان ديسك سخت حجيم ممكن است ، چندين دقيقه طول بكشد . البته مي توانيم عمليات جستجوي ويروس ها را به نواحي خاص كه احتمال آلودگي آنها بيشتر است ، مانند جداول بخش بندي ديسك گردانهاي ديسك سخت ، ركورد بوت و ديسك ها و فايل هاي برنامه اي محدود نماييد. ويروس هاي معدودي ، خود را در جاهاي ديگر پنهان مي سازند.
با راه اندازي برنامه هاي ضد ويروس ، حافظ بطور اتوماتيك مورد پويش قرار مي گيرد. پس از آن ، فقط ديسك گردانها پويش مي شوند. ويروس ياب مي تواند بدون صدمه زدن به فايل ها يا قوامي سيستمي آلوده شده ، بسياري از ويروس هاي شناخته شده را از بين ببرد، اين روند را پاك كردن (Cleaning) ويروس مي گويند.
البته بعضي از ويروس ها وقتي فايل يا يك ناحيه سيستمي را مورد تهاجم قرار مي دهند، به آن آسيب مي رسانند و در اين موارد ويروس ياب نيز نمي تواند صدمات وارده را جبران كند. چنين فايل هايي را بايد پاك كرد و سپس از ديسك هاي برنامه اي اصلي يا كپي هاي پشتيبان بازيابي نمود.
ويروس يابيهاي ميكروسافت مي توانند ويروس ها را به طور اتوماتيك پاك كند و يا وقتي كه امكان پاك كردن آنها وجود نداشته باشد ، ما را مطلع سازند. اين ويروس يابها ، وجود ويروس هاي ناشناخته را نيز گزارش مي دهند.
ويروسهاي ناشناخته :
شايد يافتن ويروس هاي ناشناخته مهمتر از ويروس هاي شناخته شده باشد، زيرا ويروس هاي جديد تا قبل از كشف شدن ، مورد تجزيه و تحليل قرار گرفتن ، نامگذاري و توزيع شدن در ويروس سابها ؤ مدتي ناشناخته مي مانند.
ويروس يابها با جستجوي فايل هاي برنامه اي به دنبال تغييراتي در آنها كه احتمال آلودگي ويروسي را نشان مي دهند، ويروس هاي ناشناخته را پيدا مي كنند بيشتر فايل هاي برنامه اي پس از نصب تغيير نمي كند، بنابراين وجود هر گونه تغييري در آنها مي تواند نشانگر آلودگي ويروسي باشد.
اولين باري كه ويروس يابهاي ميكروسافت را در درايوي مورد استفاده قرار دهيد ، فايلي بنام CHKLIST.MS در هر فهرستي ايجاد مي كند و اندازه صفات ، تاريخ و ساعت تمام فايل هاي برنامه اي فهرست مزبور را در آن فايل ثبت مي كنند.
همچنين يك مقدار كنترلي (checksum) يعني مقدار منحصر به فردي كه از محاسبه محتويات فايل بدست مي آورد را نيز ثبت مي كند. بدين ترتيب اگر محتويات فايل تغيير كند ، مقدار كنتري آن نيز تغيير مي كند و ويروس ياب از روي آن مي فهمد كه فايل تغيير كرده است ، حتي اندازه ، صفات و تاريخ و ساعت آن ثابت مانده باشد.
اگر هنگام ثبت داده هاي CHKLIST.MS ويروس ناشناخته را در سيستم وجود داشته باشد ، شناسايي نخواهد شد . خوشبختانه VSAFE مي تواند با نظارت بر سيستم ، جلوي فعاليت مخرب ويروس ها را بگيرد. پس از تشكيل فايل هاي CHKLIST.MS ، هر بار كه عمليات ويروس يابي انجام شود ، ويروس ياب داده هاي ثبت شده را با فايل هاي برنامه اي مقايسه مي كند. وجود هر گونه تفاوتي در آنها باعث مي شود كه ويروس ياب امكان وجود يك ويروس ناشناخته را گزارش دهد كه در اين صورت بايد فكري به حال سيستم بكنيد در اين حالت مي توانيم كه برنامه وبروس ياب بگوئيم كه از تغيير صرف نظر كند، فايل CHKLIST.MS را با داده هاي جديد نوسازي كند، فايل آلوده را پاك كند ، يا عمليات ويروس يابي را متوقف سازد.
بسياري از تغييرات برنامه ها مجاز هستند . اين برنامه هاي هنگامي كه در گزينه ها يا پيكربندي آنها تغييذ دهيد ، روس فايل هاي برنامه اي خود تغييرات را ثبت مي كند . در صورتي كه چنين برنامه هايي داشته باشيد، از روي تجربه متوجه خواهيد شد كه مي توانيد از اهون وجود ويروس ناشناخته در مورد آنها صرف نظر كنيد.
اگر برنامه اي را به نگارس جديد آن ارتقاء دهيد، روند ويروس يابي بعدي وجود و يروس هاي ناشناخته اي را در فايل هاي برنامه اي تغيير كرد آن را گزارش مي دهد . چون مي دانيد كه دليل اينگزارش ، ارتقاء برنامه است ، مي توانيد از ويروس ياب بخواهيد كه CHKLIST.MS را با مقادير جديد نوسازي كند.
وقتي در مورد برنامه اي كه آن را ارتقاء نداد. مجدداً پيكربندي نكرده ايد ، گزارش وجود ويروس ناشناخته اي را دريافت كرديد بايد اقدامات جديدي را پيش بگيريد. دراين صورت با انتخاب خود مي توانيد فايل آلوده را پاك كنيد و يا عمليات را متوقف نموده و اقدامات ديگر تصميم بگيريد.
شناسنامه ويروسها:
در اين بخش تعدادي بسيار محدودي از ويروسها را نام برده ، نوع آنها، مقدار افزايش فايل ، ميزان اشغال حافظه تا حدودي شرح داده مي شود :
ويروس 1334,1339,9800:0000,Tenbytes,Usent,Valert
نوع : ويروس فايلي مقيم در حافظه
فايلهاي COM (بزرگتر از 1000 بايت) و فايل هاي EXE (بزرگتر از 1024 بايت) را آلوده كرده و از آلودگي صفحات خواندني /نوشتني جلويگري مي كند.
اندازة فايل COM را از 1554 تا 1569 بايت و فايل EXE رااز 1514 تا 1529 بايت افزايش مي دهد. ما بين ماههاي سپتامبر و دسامبر ، هر زماني كه DOS را مي نويسد ، 10 بايت اولية آن حذف شده و به انتهاي آن اضافه مي شود فايل هاي برنامه و داده اي را آلوده مي كند.
بخش مقيم در حافظه اين ويروس در جائي كه اظ حافظه رزرو نشده است ، قرار مي گيرد اين سبب مي شود كه آن قسمت از حافظه بازنويسي نشود وي توسط برنامه هاي نقشة حافظه غير قابل قبول خواهد بود.
ويروس 905,CHV2.1,Fichv.2-1
نوع : ويروس فايلي
تمام فايلهاي COM در زير فهرست جاري را كه بيش از 1500 بايت مي باشد ، هنگام اجرا شدن فايل آلوده، آلوده مي كند. اندازة فايل را از 896 تا 903 بايت افزايش مي دهد.
متن FICHV 2.1 Vous aEu در ويروس پيدا مي شود.
در طول ماه مارس ، ديسك را توسط نوشتن پيغام فوق در شش سكتور اول هر تراك ، آلوده خواهد كرد. ويروس كد گذاري شده و توسط وقفه هاي 3 , 1 از اجراي آنها جلوگيري مي كند.
انوع معتبر ويروس :
Version 1.0 فايل هاي EXE را آلوده كرده و 897 بايت اضافه مي كند.
Version 2.0 فايل هاي COM را آلوده كرده و 896 بايت اضافه مي كند.
ويروس 9.8min,Keypress,stloes,Turku,Twins
نوع : ويروس فايل مقيم در حافظه
فايل هاي EXE,COM را آلوده مي كند. در صورت اجراي DOS 2 ، فايل ها هنگام خواندن ، نيز آلوده مي شوند. اندازة فايل را از 1232 تا 1487 بايت تغيير مي دهد.
هر ده دقيقه يكبار به مدت 2 ثانيه ، ويروس كليد فشار داده شده را بيش از 5 بار تكرار مي كند.
انواع معتبر ويروس :
samsoft.1232.a,samsoft,d,c,b,a پيغامي را روي صفحه نمايش مي دهد.
ويروس Aircop
اين ويروس سكتور راه اندازنده يي ديسك ها و سكتور بخش بندي هاردديسك ها را هنگامي كه PC از يك فلاپي ديسك آلوده راه اندازي مي شود ، آلوده مي كند . سكتور راه اندازي اصلي تا سيلندر 39، هد 1 و سكتور 9 بازنويسي مي شود ويروس پيغام زير را نمايش مي دهد : RED STATE,Germ offensing – AIRCOP
انواع معتبر ويروس : Aircot , Aircop NGA , b and c , standard
ويروس هاي Grew1,V2480
نوع : ويروس فايلي
يك فايل COM را موقع اجراي يك فايل آلوده ، تحت تاُثير قرار مي دهد. اندازة فايل را 2480 بايت افزايش مي دهد رشته هاي منفيزير در ويروس وجود دارند:
After 1988 , if month is leter then June , any infected program run result in a 3% chance that the fllowing will be displayed:
Notice this:
Ps ain't Smart at all.
Europcan
Crackin
Crew
Distrbution Since
11-06-1984 (or 06-11-1987)
Press any key
انوع معتبر ويروس : Crew2 با طول 1967 بايت.
ويروس Dark Lord
نوع : ويروس فايلي مقيم در حافظه
فايل هاي COM و EXE را هنگام اجرا و بستن آلوده مي كند. فايل COMMAND.COM از اين آلودگي مستثني مي باشد. تاريخ و ساعت تغيير نمي يابند. اندازة فايل را به اندازة مضربي از 16 خرد كرده و سپس 921 بايت اضافه مي كند .
رضته هاي متني زير در اين فايل وجود دارند.
Park Lord,Isumman thee!
And
MANOWAR
ويروس هاي David , Diamond – David
نوع : ويروس فايلي مقيم در حافظه
فايل هاي COM و EXE را هنگام اجرا آلوده مي كند. فايل هاي COM بزرگتر از 63851 بايت ، آلوده نمي شوند. فايل ها را به اندازة 9173 بايت افزايش مي دهد. فايل هاي مخفي را با استفاده از Stealth افزايش مي دهد. به دليل وجود يك اشكال ، برنامه هاي COM آلوده شده كار نكرده و به جاي آلودگي ، خراب مي شوند.
متن زير را مي توان در ابتداي شروع ويروس پيدا كرد :
© David Grant Virus Research 1991 PCVRF and Distribuite this Virus Ferrly !!! …ah …John … Fu…Vou!
بدليل پنهان كردن اندازة فايل ، هنگامي كه CHKDSK به همراه ويروس فعال در حافظه اجرا مي شود ، يك عدم هماهنگي بين اندازه هاي فايل هاي آلوده و طول FAT را گزارش خواهد كرد.
اگر PC از يك ديسك سالم DOS راه اندازي شود و CHKDSK اجرا شود ، ويروس نمي تواند اندازة فايل را پنهان كند و عدم هماهنگ گزارش مي شود.
روزهاي سه شنبه ويروس سعي مي كند كه هارديسك را فرمت كند ولي بدليل وجود اشكال اين كار را نمي تواند انجام دهد.
ويروس Jeru – Kylie , Kylie
نوع : ويروس فايلي مقيم در حافظه
فايل هاي COM و EXE به جز فايل COMMAND.COM را هنگام اجرا آلوده مي كند . فايل ها را از 2272 تا 2287 بايت افزايش مي دهد. اين ويروس محتوي رشته Ky.lieMinoyue مي باشد . دو نسخه از اين ويروس وجود دارد كه هنگام آلوده كردن ، pc هنگ مي كند.
برنامه هاي آنتي ويروس ميكروسافت و تحت DOS
نظارت ضد ويروسي :
ناظر ضد ويروس ميكروسافت كه VSAFE نام دارد ، بايد به عنوان يك TSR بارگذاري شود. VSAFE تحت DOS و Windows به اجرا در مي آيد و تمام فعاليتهاي سيستم را براي يافتن ويروس هاي تحت نظارت قرار مي دهد.
اين كار طبيعتاً باعث كاهش سرعت سيستم مي شود ، اما با بارگذاري VSAFE ويژگي امنيتي بر سرعت ارجعيت داده مي شود. نظارت اين برنامه را مي توان روي فعاليتهاي محدود كرد كه احتمال دخالت ويروس ها در آنها بيشتر است مانند تغيير جدول بخش بندي ديسك سخت (Partition Table) يا انجام فرمت فيزيكي روي ديسك سخت.
VSAFE و حتي فعاليت ،مشكوكي را شناسايي كند ، حبري آن را گرفته و با اعصان آن به شما در مورد ادامه يا توقف عمليات كسب تكليف مي كند. اگر از بي خطر بودن فعاليت مزبور اطمينان داشته باشيم ، مثلاُ وقتي كه با استفاده از FDISK جدول بخش بندي ديسك سخت را مجدداً تنظيم مي كنيم، مي توانيم به VSAFE بيان كنيم كه اجازه ادامة عمليات را بدهد در غير اينصورت ، فعاليت مزبور را متوقف ساخته و با بوت كردن مجدد سيستم ويروس را از حافظه خارج سازيم ، سپس سريعاً ويروس ياب را به اجرا در آورده و آن را از بين مي بريم .
مواقع استفاده از برنامه هاي آنتي ويروس :
اگر حداكثر حفاظت مد نظرمان باشد ، با هر بار بوت كردن سيستم ، حافظه و فايل هاي برنامه اي را ويروس يابي كنيم. براي اين منظور و در صورت استفاده از MSAV مي توانيم فرمان لازم برابر ويروس يابي را در فايل Autoexec.bat قرار دهيم. در محيط Windows مي توانيم MWAN را در گروه Satart UP قرار دهيم تا هر بار كه Windows به اجرا در مي آيد ، ويروس ياب مزبور شروع به عمل كند.
ويروس ها اغلب خود را به قطاع بوت دسك ها مي رسانند. هر وقت ديسك را كه از سيتم ديگري خارج شده و در ديسك گردان خود قرار مي دهيم، بايد عمليات ويروس يابي را روي آن انجام دهيم.
هر وقت كه سيستم مان را در معرض خطر هجوم و بررسي قرار مي دهيم ، بايد بلافاصله آن را ويروس يابي كنيم ، وقتي كامپيوتر را به خطوط مراكز از طريق ارتباطات ، خدمات نرم افزاي مي دهند (حتي معروفترين آنها مانند Comou Serve يا Prodingy ) يا به هر نوع مركز خدماتي on-line متصل مي كنيم ، بخصوص وقتي كه اطلاعاتي را از آنها به سيستم خود انتقال مي دهيم .
- وقتي كامپيوتر خود را از طريق INTERLNK يا نرم افزار مشابهي به كامپيوتر ديگر متصل مي كنيد.
- وقتي وارد شبكه اي شده و چيزي را از ديسك گردان شبكه به يكي از ديسك گردانهاي خود كپي كرمي يا برنامه اي را از ديسك گردان شبكه به اجرا در آيد.
- وقتي پس از پاك كردن فايل آلوده اي ، آن را از كپي پشتيبان مربوطه بازيابي مي كيد (كپي پشتيبان نيز ممكن است آلوده شده است)
- وقتي نرم افزاري (بخصوص نرم افزارهاي غير رسمي يا هر نرم افزاري كه در بسته بندي اصلي خود قرار ندارد) را نصب كرد يا ارتقاء مي بخشيم .
ويروس ياب پس از نصب يا ارتقاء نرم افزار باعث مي شود كه ويروس ياب نيز فرصتي براي ثبت داده هاي به فايل هاي جديد در CHKLIST.MS بيايد.
اگر ويروس ياب را از حد لازم ، كمتر انجام مي دهيد ، حتماً بطور منظم از VSAFE استفاده كنيد . براي اين منظور مي توان يك فرمان VSAFA را در فايل AUTOEXEC.BAT خود جاي دهيم تا با هر بوت شدن سيستم ، به اجرا درآيد.
نسل بعدي ويروسها
حمله مهلك بعدي وبروس ها چه فرمان خواهد بود؟
چهارشنبه – سوم ماه مي 2000 . ويروسي جديد از كامپيوتري در مانيل واقع در كشور فيليپين راه خود را به آرامي آغاز مي كند. و پايانه هاي كامپيوتري را در سراسر آسيا ، اروپا ، ايالات متحده آمريكا گرفتار خود مي سازد.
باك LOVE ، كه به عنوان LoveLetter شناخته شده ، سريعتر و كمتر از ويروسهاي الكتريكي قبلي گسترش يافت و 55 ميليون كامپيوتر را مورد حمله قرار داد و 7/8 ميليارد دلار خسارت به بار آورد.
در سال 1993 ، تنها 3200 ويروس در جهان شناخته شده بود . امروزه بيش از 4000 نوع ويروس وجود دارد كه 200 الي 300 نوع از آنها به سرعت پخش مي شوند ، روزانه 6 الي 12 عدد ويروس جديد ظهور مي يابد كه هر نسل نسبت به قبل مخفيانه تر وارد عمل مي شود. بنا به اظهارات كارشناسان ، ويروسهاي نسل آن منتظر نخواهند نشست تا شما پست الكترونيكي يا پيوست آن را باز كنيد ؛ آنها براحتي و هنگام كنترل برنامه پست الكترونيكي و مكاتبات جديد فعال خواهند شد ، علاوه براين ويروسهاي خوشه اي نيز با تخم ريزي ويروسها در داخل سيستم ، سكتورهاي مختلف را مورد حمله قرار دارد و مانع از فعاليت نرم افزار اسكن دستگاه مي كردند. همچنين مواردي از وب سايتهاي مخرب ، فايلها و كلمات رمز كامپيوترها را خواهند ربود و نخستين ويروسهاي پالم PDA ها به عرصه حضور خواهند رسيد. دور نيست كه ويروسها تلفنهاي موبايل و سيستم هاي ليونكس را مور حمله قرار دهند. و سرانجام ممكن است ويروسها به عنوان عامل تروريستي ، سيستم هاي دفاعي و امنيتي كشورها را هدف قرار داده ، داده ها را بدزدند و ارتباطات را مختل سازند.
تكامل ويروسها
1983 – فرد كوهلن ، يك محقق ويروس شناس ، واژه «ويروس كامپيوتري ر» را ابداع كرد.
1987 – نخستين وروس كامپيوتري به نام Brain عرضه گشت. اين ويروس بوت سكتور فلاپي ديسك (306 كيلو بايتي) را آلوده ساخت و با استفاده از تكنيكهاي خفا سازي كامپيوتر را از وجود آن بي خبر تكه داشت. Stoned نخستين ويروس (ويژه Master Boot Record) شكل گرفت اين ويروس MBR هارد درايو را مختل مي سازد و سيستم را از بوت كردن برخورد مي دارد.
1988 – نخستين نرام افزار ضد ويروس بوسيله يك برنامه نويس اندوتريابي ساخته شد. اين برنامه بدنبال ويروس Brain مي باشد و آن را از كامپيوتر خارج مي سازد و سيستم را در برابر جملات احتمالي Brain مصون مي ماند.
كرم اينترنت شكل گرفت و حدود 6000 كامپيوتر را از كار انداخت .
1989 – Dark Avenger پا به عرصه گذاشت. اين ويروس به سرعت برنامه ها را آلوده مي سازد، ولي خسارتهاي بعدي به كندي روي مي دهد ، ويروس مدت زماني طولاني بدون آنكه شناسايي شود باقي مي ماند.
شركت IBM نخستين محصول ضد ويروس خود را عرضه مي كند. تحقيقا گستر هواي پيرامون ضد ويروسها آغاز مي گردد.
1990 – ويروسهاي مختلفي نظير ويروسهاي چند ديختي ( كه هنگام پخش شدن تغيير مي يابند) و ويروسهاي چند بخشي ( كه مكانهاي مختلفي را در ماشين آلوده مي نمايند) ظاهر مي شود.
بوردهاي اطلاعاتي تبادل ويروس روشهاي رايجي در دست ويروس نويسان كشت تا بدين وسيله به انتقال و تبادل كه منبع بپردازند.
1991 – كيتهاي ساخت ويروس در بوردهاي تبادل ويروس ديده مي شود . بدين ترتيب هر كس مي تواند براحتي ويروس بسازد. در ابتداي سال ، 9 درصد شركتها گرفتار حملات ويروسها شوند. اين رقم تا انتهاي سال به 63 درصد مي رسد.
1992 – Michelanedo ، نخستين ويروس در زمينه مديا ديده مش ود. اين ويروس بخشهاي آلوده هارددرايو را در روز توليد ميكل آنژ هنرمند دوره رنسانس ، 6 مارس ، بازنويسي مي كند. فروش نرم افزارهاي ضد ويروس بالا مي گيرد ولي دستگاههاي معدودي واقعاً آلوده گشتند.
1994- نويسنده ويروس Pathogen در انگليس از سوي اسكاتلند يارد بازداشت و به 18 ماه حبس محكوم شد. اين نخستين باري است كه يك نويسنده ويروس به دليل اشامه كو مخرب تحت پيگرد قرار مي گيرد.
1995 – Concept ، نخستين ويروس ماكرو به چشم مي خورد. اين ويروس به زبان Word Basic مايكروسافت نوشته شده و مي تواند بروي هر پلات فرمي كه Word را اجرا مي كند ضمان شود. از آنجائيكه ويروسهاي ماكرو به راحتي خلق و منتشر مي شوند ، Concep2 شروع يك انفجار را در عرصه ويروس نويسي نهيب مي زند.
1999 – ويروس چرنوبيل هارد درايو كاربر را مختل و داده ها را غير قابل دسترسي مي سازد. اين ويروس در ماه آوريل فعال مي شود. گر چه خسارت محدودي را در ايالات متحده منجر مي شود ولي خسارتي جهاني به بار مي آورد. چين متحمل 291 ميليون دلار ضرر مي گردد. تركيه و كره جنوبي نيز به همين ترتيب دچار ضرر مي شوند.
ويروس Melissa هزاران هزار كامپيوتر را در سراسر جهان آلوده مي سازد اين ويروس از OutLook مايكروسافت استفاده مي كند تا خود براي 50 آدرس نخست كاربر انتقال دهد.
2000 – ويروس Love Letter از فيليپين آغاز و ظرف شش ساعت اروپا و ايالات متحده آمريكا را در نورديد. اين ويروس حدود 5/2 الي 3 ميليون دستگاه را آلوده ساخت و 7/8 ميليارد دلار خسارت به بار آورد.
ضميمه (1)
ويروس Navidad @ M
اين كرم اينترنتي كه مبداً آن آمريكاي جنوبي است ، توسط پست الكترونيك و به صورت يك فايل پيوست به نامة اصلي با عنوان Navidad.exe ارسال مي گردد. پس از اين كه فايل فوق اجرا شد يك پيغام خطا بر روي صفحه ظاهر شده و يك نشانه چشم در بخش system tray ويندوز و در كنار ساعت سيستم ظاهر مي شود و سپس يك كپي از اين كرم در فايلي به نام winsuro.vxd كپي مس شود و كليدهاي زير در رجيستري ايجاد مي شوند.
Navidad HKEY\SoftWare\
HKEY\SoftWare\Microsoft\Windows\Gurrent
Version \ Run \win32 Base Service Mod =
C:\Windows\System\Winsuro.exe
براي غير فعال كردن اين كرم بر روي نشانة چشم كليك كرده تا يك پنجره ظاهر شود كه داراي شستي اي با عنوان Don’t press Me است بر روي شستي Close در گوشة سمت راست پنجره كليك كنيد. يك پيغام بر روي صفحه ظاهر شده و پس از فسردن شستي OK كار كرد پايان مي يابد. پيغام هاي نمايش داده شده توسط ويروس فوق به زبان اسپانيايي است.
اقتباس از ماه نامه كامپيوتر شماره 75
ويروس MTX
اين ويروس كه به نام W95.MTX شناخته مي شود يك ويروس تركيبي است از ويروس كرم و پاكسازي آن منجر به ايجاد مشكلاتي خواهد شد. اين ويروس براي گسترش به كامپيوتر هاي ديسك به صورت يك كرم عمل كرده و توابع فايل WSOCK32.DLL را به فايل WSQCK32.MTX انتقال مي دهد اين كار به ويروس اين امكان را مي دهد كه دسترسي به اينترنت را در يك كامپيوتر تحت كنترل درآورد . و نيز باعث مي شود اين كرم بتواند از طريق الحاق به نامه هاي پست الكترونيكي خود را به كاربران ديگر منتقل كند.
ويروئس MTX همچنين مي توانند از ارسال نامه هاي الكترونيكي به توليد كنندگان ضد ويروس و در دسترسي به فايل هاي اينترنتي ضد ويروس جلوگيري به عمل آورد كه اين كار باعث مي شود از به روزرساني اطلاعات برنامه هاي ضد ويروس جلوگيري به عمل آيد هنگامي كه اين ويروس به سايرز فايل ها در سخت ديسك نفوذ مي كند نمي تواند دستورات JUMP مربوط به سرلوحة فايل ها را تنظيم كند لذا خود را در اواسط فايل كپي مي كند اين كار 2 اشكال اساسي ايجاد مي كند اول : از بين رفتن اطلاعات فايل ، دوم : ردگيري بسيار سخت ويروس
اين ويروس با دستكاري در رجيستري به صورت يك در محقي عمل مي كند.
درهاي محقي مي توانند به كامپيوترهاي ديگر در اينترنت دسترسي پيدا كرده و فايل هاي ديگران را به كامپيوتر آلوده منتقل كند. هنگامي كه در محقي سعدي نمايد با يك كامپيوتر ارتباط برقرار كند، پيغام خطايي به نمايش در مي آيد.
اقتباس از ماهنامة «كامپيوتر» شماره 75
ويروس كامپيوتري مليسا:
اويل فروردين ماه سال 1378 ويروسي به نام «مليسا) كشف شد كه بر روي برنامه هاي مرتبط با «پست الكترونيك» فعاليت مي كند. بدين شكل كه هنگام مطالعةبرنامه هاي الكترونيك خود پيغامي تحت عنوان «پيغام پستي مهم از …» برخورد مي كنيد. اين پيغام از نظر رواني به گونه اي است كه كمتر كسي ممكن است به آن مشكوك شده و آن را مرور نكند در ابتدا پيام «اين همان متني است كه شما درخواست كرده ايد … به كسي ديگري نشان ندهيد» به نمايش در مي آيد…
چنين پيغامي از سوي يك كاربر ، براي پنجاه نفر و از طريق اين 50 نفر براي 250 نفر ديگر با همين نسبت تصاويري تا آخر ، ارسال مي گردد تا جايي كه گستردگي و خطر ناشي از آن فراگير مي شود.
سرايت .يروس «مليسا» به قدري سريع است كه 30 درصد شركتهاي عظيم كامپيوترياز جمله شركت ميكروسافت چاره اي بر تعطيل كردن پست الكترونيكي خود نداشتند. هر چند اين ويروس آسيب مستقيمي به كامپيوتر ها وارد نمي كند و با كمك نرم افزارهاي موجود مي توان آن را از بين برد، ولي شيوه آن در چنين سطح وسيعي نازك دارد و يك نمونه از آفتهاي است كه شبكه اينترنت و كامپيوترهاي مبتني بر سيستم عامل ويندوز را تهديد مي كند.
اين ويروس ابتدا در آمريكا و سپس در فاصله كمتر از يكروز در استراليا و آلمان و ساير نقاط جهان ديده شد.
تحقيقات گسترده اي برااي پيدا كردن باعث وباني اين ويروس به عمل آمد. پليس نيوجرسي آمريكا فردي 30 ساله نام ديويد اسميت را در اين خصوص دستگير كرد. در صورت اثبات مجرميت ، وي به حداكثر 40 سال زندان و يك جريمه نقدي 480000 هزار دلاري محكوم خواهد شد.
اقتباس از ماه نامه كامپيوتر شماره 67