بررسی رفتار و ساختار ويروسهاي كامپيوتري

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1-1 آشنايي با برنامه هاي مخرب

هر نرم افزار با توجه به دستورالعمل هايي كه در آن وجود دارد عمليات خاصي را انجام مي دهد . برنامه نويس يك نرم افزار با توجه به هدفي كه از ايجاد نرم افزار دارد يكسري دستورالعمل هايي را در نرم افزار پيش بيني مي كند. حال اگر يك برنامه نويس قصد داشته باشد برنامه اي توليد كند كه به برنامه هاي ديگر و فايلها و اطلاعات كامپيوتر آسيب برساند يكسري دستورالعمل را جهت نابود كردن و يا خراب كردن فايلهاي كامپيوتر در نرم افزار قرار مي دهد.

برنامه هاي مخرب با اهداف مختلفي توليد مي شوند. گاهي اوقات يك برنامه مخرب جهت ضربه زدن به شركت هاي رقيب نرم افزاري و بدنام كردن محصولات شركت رقيب تهيه مي شود . گاهي اوقات برنامه مخرب توسط برنامه نويسان حرفه اي جهت ضربه زدن به اطلاعات شبكه هاي كامپيوتري كشورهاي ديگر و يا نشان دادن قدرت نرم افزاري خود و مطرح كردن نام يك گروه در دنياي برنامه- نويسان باشد .

 

1-2 انواع برنامه هاي مخرب

برنامه هاي مخرب را از لحاظ نوع آسيب رساني مي توان به چهار دسته تقسيم كرد :

 

• برنامه هاي مخرب نرم افزارها

اين برنامه ها براي ضربه زدن و نابود كردن يك نرم افزار مشخص يا محصولات يك شركت خاص توليد مي شوند .

 

• برنامه هاي مخرب سخت افزارها

اين برنامه ها جهت آسيب رساندن به يك قطعه سخت افزاري نظير مانيتور، كارت گرافيكي ، Hard Disk ، BIOS IC و ... تهيه مي شوند.

 

• برنامه هاي مخرب اطلاعات

اين برنامه ها فقط به اطلاعات موجود در بانكهاي اطلاعاتي آسيب مي رساند .

 

• برنامه هاي جاسوسي و نفوذ كننده

اين برنامه ها توسط نفوذ كننده ها (Hackers) جهت نفوذ به شبكه ها كامپيوتري ، كامپيوترهاي شبكه ،كامپيوترهاي شخصي و ... تهيه مي شوند .

1-3 راههاي انتقال برنامه هاي مخرب

از طرق مختلفي مي توان برنامه هاي مخرب را مثل ديگر برنامه هاي كامپيوتري بر روي كامپيوترها منتفل كرد . ولي اگر دريافت كننده اين برنامه بداند كه ممكن است اين برنامه مخرب باشد آنرا اجرا نمي كند . به همين منظور توليد كنندگان برنامه هاي مخرب سعي مي كنند اين برنامه ها را بدون اطلاع كاربران روي كامپيوتر آنها منتقل كرده و اجرا كنند و يا اينكه به روشهاي مختلفي اطمينان كاربران كامپيوتر را جلب كنند و برنامه هاي مخرب را برنامه هايي مفيد و سودمند جلوه دهند .

 

1-4 آشنايي با مفهوم ويروس كامپيوتري

 

1-4-1 بمبهاي منطقي (Logical Bombs)

يك بمب منطقي مجموعه اي از دستورالعمل هاست كه به برنامه موجود اضافه مي گردد و با پيش- آمدن وضعيت مناسب و بر اساس يك شرط منطقي فعال مي شود . بمب منطقي توسط افراد آشنا كه هدفي خصمانه نسبت به محيط كار يا يك سازمان دارند و كليه نرم افزار هاي اداري و حسابداري و ... آنها توسط يك سيستم سرويس داده مي شود وارد سيستم مي گردند .

از آنجا كه فقط يك برنامه كاربردي خاص آلوده مي شود در انتها شخص تهيه كننده آن قادر است بمب منطقي را به راحتي از برنامه جدا و سيستم را پاكسازي نمايد . براي مثال يك بمب منطقي مي تواند به نحوي برنامه ريزي شود كه به برنامه Calculate.exe متصل شده و در هر بار اجرا تاريخ سيستم را بررسي نمايد و در صورتي كه برابر با تاريخ مشخصي باشد شرط برنامه بمب منطقي برقرار شده عمل تخريب و پاك كردن بانكهاي اطلاعاتي و مختل شدن سيستم انجام مي پذيرد .

 

1-4-2 كرمها (Worms)

نوع ديگري از برنامه هاي مخرب كه روي داده ها ، اطلاعات حافظه و سطح ديسك مي خزند و مقادير را تغيير مي دهند كرمها (Worms) ناميده مي شوند . يك كرم مي تواند همه محتويات قسمتي از حافظه را صفر كرده و باعث از كاراندازي سيستم گردد . براي مثال تكنيك به كار برده شده در ويروس چرنوبيل كه حافظه CMOS را صفر مي كند خود يك كرم خزنده است . همچنين به عنوان مثالي ديگر مي توان فرمولهاي كد كننده استفاده شده در كرمها را نام برد كه كد داده هاي تايپ شده در يك فايل TXT را تغيير داده و باعث تخريب اطلاعات تايپ شده مي شود .

 

 

1-4-3 Trojan ها

يك Trojan برنامه مخربي است كه هيچگونه عوامل مشكوكي ندارد و ظاهرا بي خطر و طبيعي جلوه مي نمايد . مثلا يك Trojan ممكن است يك برنامه ترسيماتي و گرافيكي مفيد باشد كه اعمال روزمره يك سازمان را انجام مي دهد ولي در حين ترسيمات و نمايشات به كد كردن تعدادي از سيلندرهاي هارد ديسك نيز مي پردازد .

Trojan ها مي توانند ساختار بسيار پيچيده و بزرگ داشته باشند و ضررهاي جبران ناپذيري را نيز به امكانات سخت افزاري كه برنامه كاربردي منبع با آن درگير است وارد نمايد . مثلا شماره شيار و سكتور را مقداري خارج از محدوده وارد نمايد . حين عمل خواندن و نوشتن هد آن گرداننده گير كند و ديگر قادر به خواندن و نوشتن روي سطح آن ديسك نباشد .

تفاوت Trojan ها با بمب منطقي در اين است كه بمب منطقي محدود به يك شرط و پيش آمدن يك شرايط مناسب است ولي Trojan ها در هر بار اجراي برنامه تاثير مخرب خود را روي سيستم گذاشته و محدود به شرايط خاصي نيستند .

 

1-4-4 ويروسها (Viruses)

ويروسهاي كامپيوتري به برنامه هاي مخرب كوچكي گفته مي شوند كه مخفيانه وارد كامپيوتر مي شوند و بدون اطلاع و اختيار كاربر خود را تكثير مي كنند .

نام ويروس به اين علت روي اينگونه از برنامه ها گذاشته شده است كه عملكردي مشابه ويروسهاي بيولوژيك دارند . يك ويروس بيولوژيك از طرق مختلفي ممكن است وارد بدن انسان شود و ممكن است تا مدت زيادي به فعاليت مخفيانه در بدن بپردازد و پس از مدتي علائم وجود ويروس مشخص شود . يك ويروس كامپيوتري نيز از طرق مختلفي ممكن است وارد كامپيوتر شود و تا مدتها به فعاليت خود ادامه دهد و پس از مدتي اختلالاتي را در كامپيوتر ايجاد نمايد . ويروسهاي كامپيوتري مي توانند به اطلاعات و برنامه هاي موجود در كامپيوتر آسيب رسانده و آنها را از بين ببرند .

برنامه هاي ويروس كامپيوتري از نظر تخريب كنندگي كامل ترين برنامه ها و در بر گيرنده خصايص ويژه بمبهاي منطقي ، كرمها و Trojan ها مي باشند . علاوه بر اين داراي قدرت تكثير و قابليت سرايت از فايل به حافظه ، فايلي به فايل ديگر ، از ديسكي به ديسك ديگر و در كل از سيستمي به سيستم ديگر مي باشند .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2-1 انواع ويروس از نظر محل تاثيرگذاري

ويروسها مثل ساير برنامه هاي كامپيوتري نياز به محلي براي ذخيره خود دارند با اين تفاوت كه ويروسها محلي را انتخاب مي كنند كه براي رسيدن به اهداف خود در دسترس تر و نزديكتر باشند .

محلهايي كه ويروسها آنها را براي جايگيري خود در نظر مي گيرند به شرح زير مي باشند :

• فايلهاي اجرايي
• فايلهاي غير اجرايي
• ركورد راه انداز (Boot Record)
• جدول پارتيشن (Partition Table يا Master Boot Record)

 

2-1-1 ويروسهاي تاثيرگذار بر روي فايلهاي اجرايي

بيشتر ويروسها بطور انگل وار به فايلهاي اجرايي مي چسبند و آنها را آلوده مي كنند تا پس از اجرا شدن آنها فعال شده و ضمن تكثير خود اطلاعات را از بين ببرند . به همين منظور اغلب نرم افزارهاي ضد ويروس ، فايلهاي اجرايي يا انعشاب هاي زير را بررسي يا پاكسازي مي كنند :

.SCR ، .DLL ، .OVL ، .BIN ، .SYS ، .COM ، .EXE

بنابراين فايلهاي اجرايي با انشعاب هاي فوق از اصلي ترين محلهاي جايگيري ويروسها مي باشند .

 

2-1-2 ويروسهاي تاثيرگذار بر روي فايلهاي غير اجرايي

به ندرت ويروسها در فايلهاي غير اجرايي مثل فايلهاي متني يا بانكهاي اطلاعاتي جاي مي گيرند . از اين نوع ويروسها مي توان به ويروسهايي اشاره كرد كه در انتهاي اسناد Word يا Excel خود را پنهان مي كنند . اين ويروسها بصورت دستورات نرم افزارهاي Word يا Excel هستند كه پس از باز شدن سند بصورت خودكار اجرا مي شوند . معمولا آثار مخرب ويروسها بر روي فايلهاي غير اجرايي نمايان مي شود و كمتر مشاهده شده است كه ويروسها خود را در فايلهاي غير اجرايي پنهان كنند .

 

2-1-3 ويروسهاي تاثيرگذار بر روي ركورد راه انداز (Boot Record)

اين نوع ويروسها به Boot Record سيستم آسيب مي رسانند و اطلاعات اين بخش را از بين مي برند در نتيجه موقع شروع به كار سيستم برنامه Bootstrap كه عمليات راه اندازي DOS را آغاز مي كند وجود نداشته در نتيجه كامپيوتر راه اندازي نمي شود و پيغام خطايي از طرف سيستم مبني بر عدم وجود فايلهاي سيستمي در صفحه نمايش ظاهر مي شود .

 

 

2-1-4 ويروسهاي تاثيرگذار بر روي جدول Partition ديسك

اين ويروسها تمايل خاصي به پنهان شدن در جدول Partition دارند زيرا اين جدول شامل اطلاعات تقسيم بندي هارد ديسك است كه در سكتور شماره صفر هارد ديسك قرار دارد (Master Boot Record) . ويروسهاي تاثيرگذار روي جدول Partition ديسك مي توانند از نظر منطقي ظرفيت تك تك Partition ها را به هم ريخته آنها را كم يا زياد كرده و يا حتي روي نحوه تقسيم بندي ديسك تاثير بگذارند . در اين صورت ممكن است نتوان به بعضي از فايلها در جايگاه خودشان دسترسي پيدا كرد .

همچنين ويروسهايي يافت مي شوند كه اطلاعات مربوط به setup سيستم را نيز خراب كرده يا تغيير مي دهند .

 

2-2 روشهاي انتقال ويروس

ويروسهاي كامپيوتري ممكن است از راههاي زير به كامپيوتر انتقال يابند :

 

2-2-1 انتقال ويروس از طريق ديسكت يا CD آلوده

بعضي از ويروسها با چسبيدن به انتهاي فايلهاي اجرايي (با پسوند EXE و COM) يا با قرار گرفتن روي سكتور ديسكت يا سي دي خود را به روي كامپيوتر منتقل مي كنند . با اجراي فايلهاي آلوده يا با قرار دادن ديسكت يا سي دي آلوده در كامپيوتر و استفاده از آن ويروس به كامپيوتر منتقل شده و فعاليت خود را آغاز مي كند .

 

2-2-2 انتقال ويروس از طريق شبكه

چنانچه يكي از كامپيوترهاي متصل به شبكه آلوده به ويروس باشد ممكن است ويروس از طريق شبكه همه كامپيوترها را آلوده نمايد . بعضي از ويروسها مخصوص شبكه هستند و ابتدا كامپيوتر سرويس دهنده (Server ) را آلوده مي كنند و سپس توسط كامپيوتر سرويس دهنده كليه كامپيوترهاي شبكه را آلوده مي سازند .

 

2-2-3 انتقال ويروس از طريق اينترنت

با گسترش استفاده از اينترنت ويروسهاي اينترنتي به عنوان نسل جديدي از ويروسها مطرح شدند . ويروسهاي اينترنتي بسيار سريعتر از ويروسهاي ديگر در سطح دنيا انتشار مي يابند بصورتيكه ظرف چند روز ميليونها كامپيوتر در سراسر دنيا به يك ويروس جديد آلوده مي شوند . اين نوع ويروسها ممكن است از طريق پست الكترونيك (E-mail) ويا از طريق دريافت فايل از اينترنت و ... به كامپيوتر منتقل شوند .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3-1 تشخيص ويروسي شدن سيستم

عملكرد ويروسها كه در واقع راههايي جهت تشخيص ويروسي شدن سيستم مي باشند را مي توان به شرح زير دسته بندي كرد :

• ايجاد تاخير ، وقفه يا اختلال در عمليات راه اندازي كامپيوتر يا اجراي برنامه ها و فايلهاي اجرايي .
• تخريب يا حذف اطلاعات و برنامه ها و يا حتي فرمت كردن ديسكها .
• اشغال حافظه و تكثير در حافظه بطوريكه جايي براي اجراي برنامه هاي ديگر وجود نداشته باشد .

اختلالات فوق ممكن است به محض فعال شدن ويروس انجام شوند .

بطور كلي علائم زير مي تواند نشان دهنده ويروسي شدن كامپيوتر باشد :

 

3-1-1 كند شدن سيستم

البته هر نوع كند شدن سيستم را نمي توان در رابطه با ويروسها قلمداد كرد . كند شدن سيستم ممكن است به علت اجراي برنامه هاي متعدد ، كم بودن حافظه اصلي كامپيوتر ، پايين بودن مشخصات كامپيوتر و ... باشد . ولي اگر كامپيوتري قبلا با همين وضعيت سرعت مناسبي داشته و هم اكنون سرعت اجرايي برنامه ها كم شده است اين امكان وجود دارد كه سيستم ويروسي شده باشد .

 

3-1-2 ايجاد اشكال در راه اندازي سيستم

اگر هنگام راه اندازي كامپيوتر مشكلي پيش آيد و كامپيوتر راه اندازي نشود ممكن است كامپيوتر ويروسي شده باشد . معمولا اين ويروسها بر روي سكتور صفر هارد ديسك (Boot Sector) قرار مي گيرند و وارد حافظه اصلي مي شوند و شروع به فعاليت مي كنند و اشكالاتي را ايجاد مي نمايند . بعضي از اين ويروسها هنگام راه اندازي سيستم پيغامي را نمايش مي دهند و به كاربر اعلام مي كنند كه كامپيوتر ويروسي است . يكي از اين ويروسها ، ويروس One Half است كه در هنگام راه اندازي كامپيوتر عبارت زير را نمايش مي دهد :

This is One Half …

 

 

3-1-3 ايجاد اشكال در اجراي فايلهاي اجرايي

ويروسهايي كه به فايلهاي اجرايي حمله مي كنند خود را به آنها مي چسبانند و با هر بار اجراي اين فايلها به همراه آنها وارد حافظه شده و فعاليت خود را شروع مي كنند . بعضي از ويروسها هر بار كه به فايلي اضافه مي شوند يك نسخه از خود را روي فايل تكثير مي كنند . بدين ترتيب طول فايل اصلي با هر بار اجرا بيشتر مي شود كه اين خود نشانه اي از وجود ويروس در آن فايل است و به راحتي قابل تشخيص مي باشد .

 

3-1-4 پيغام Program big to fit in memory

پيغام Program big to fit in memoryبه اين معناست كه براي اجراي برنامه به حافظه بيشتري احتياج است . اين احتمال وجود دارد برخي از برنامه هايي كه قبلا اجرا شده اند هنوز قسمتي از حافظه را اشغال كرده باشند در اين صورت براي خالي كردن حافظه مي توان سيستم را مجددا راه- اندازي نمود . اما اگر دوباره اين پيغام نمايش داده شد اين احتمال وجود دارد كه كامپيوتر ويروسي شده باشد چون بعضي از ويروسها با روشن كردن كامپيوتر از ديسك آلوده به حافظه RAM منتقل شده و تا وقتيكه كامپيوتر خاموش نشود در حافظه اصلي (RAM ) باقي مي مانند (ويروسهاي مقيم حافظه) در نتيجه قسمتي از حافظه را اشغال مي كنند و به همين دليل است كه براي اجرا و شروع به كار برنامه ها در حافظه RAM فضاي كمتري باقي مي ماند .

 

3-1-5 كند شدن ارتباط با اينترنت

بعضي از ويروسها اطلاعات كامپيوتر را بصورت مخفيانه از طريق اينترنت به نويسنده ويروس ارسال مي كنند . بعضي از ويروسها ممكن است از طريق اينترنت خود را تكثير كنند . يعني پس از متصل شدن كامپيوتر به اينترنت شروع به تكثير خود در اينترنت نمايند . بنابراين كند شدن ارتباط با اينترنت نيز مي تواند يكي از دلايل ويروسي شدن كامپيوتر باشد .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4-1 مقابله با ويروسي شدن سيستم

بطور كلي راههاي اصلي مقابله و مبارزه با ويروسها به دو دسته زير تقسيم مي شوند :

• شناسايي ويروسها و جلوگيري از ورود آنها به كامپيوتر (پيشگيري)
• از بين بردن ويروسهاي وارد شده به كامپيوتر و در صورت لزوم به وضعيت عادي برگرداندن سيستم (درمان)

بعضي از راههاي مقابله با ويروسي شدن سيستم عبارتند از :

• ويروسها هنگام ورود به سيستم به ناچار بايد روي حافظه ، برنامه و يا ناحيه سيستمي ديسك قرار گيرند لذا معمولا در سيستم يك حالت نوشتن اطلاعات بوجود مي آيد كه اين عمل تا حدودي قابل كنترل است . مثلا با Write Protected كردن فلاپي ديسك يا OnlyRead كردن پارتيشن هاي ديسك مي توان از نوشتن جلوگيري كرد . (پيشگيري)
• از اتصال به كامپيوترها و شبكه هايي كه اطميناني از عدم ويروسي بودن آنها وجود ندارد بايد پرهيز كرد . (پيشگيري)
• از فلاپي ديسكهايي كه از عدم ويروسي بودن آنها اطميناني نيست هرگز نبايد استفاده كرد . (پيشگيري)
• حتما بايد برنامه هاي ضد ويروسي كه قابليت مقيم شدن در حافظه دارند را روي سيستم نصب كرد . (پيشگيري)
• بايد تنظيمات مربوط به كنترل ويروس را در Set up سيستم انجام داد . (پيشگيري)
• وقتي ويروسي بر روي ناحيه سيستمي ديسك يا بر روي فايل برنامه مي نشيند اندازه ، تاريخ يا بعضي ديگر از مشخصات فايل اجرايي را تغيير مي دهد . لذا مي توان با تهيه Backup هاي مرتب و مقايسه مشخصات فايلهاي اجرايي و برنامه ها با نسخه هاي قبلي آنها از وجود احتمالي ويروس آگاهي پيدا كرد . (درمان)

 

4-2 روشهاي مقابله با ويروسهاي اينترنتي

با گسترش شبكه اينترنت ويروسها راه مناسب و سريعتري را براي گسترش وتكثير خود پيدا كرده اند بصورتي كه اكثر ويروسهاي امروزي از طريق اينترنت منتقل مي شوند .

 

ويروسهاي اينترنتي به اغلب از راههاي زير وارد كامپيوتر مي شوند :

• انتقال از طريق نامه هاي الكترونيكي (E-mail)
• انتقال از طريق دريافت فايل آلوده از اينترنت

بهترين راه مبارزه با ويروسهاي اينترنتي پيشگيري از آلوده شدن به اينگونه ويروسها است . براي جلوگيري از آلوده شدن به ويروسهاي اينترنتي بايد به توصيه هاي زير توجه كرد :

• نامه هاي الكترونيكي مشكوك و ناشناس و ضميمه هاي آنها را نبايد باز كرد .
• اگر ضميمه نامه ها ،فايلهاي اجرايي يا اسناد نرم افزارهايي نظير Microsoft Word بود بدون بررسي توسط نرم افزارهاي ضد ويروس نبايد آنها را اجرا كرد .
• فايلها و برنامه هايي كه از اينترنت دريافت مي شود حتما بايد نرم افزارهاي ضد ويروس بررسي شود د پس از اطمينان از سالم بودن آنها استفاده گردد .
• سيستم عامل ، نرم افزارهاي اينترنتي و نرم افزارهاي ويروس ياب را بايد به موقع بروز رساني كرد .
• همواره بايد از اخبار ويروسهاي جديد از طريق سايتهاي مربوط در اينترنت اطلاعات جديد بدست آورد .

 

4-3 مراحل پاكسازي سيستمهاي آلوده

در صورتيكه به هر دليلي كامپيتر به ويروس آلوده شد بايد هر چه سريعتر براي پاكسازي آن اقدام كرد.

براي پاكسازي ويروسها نمي توان روش مشخصي را تعيين كرد زيرا هر ويروس عملكرد خاصي دارد كه با توجه به نحوه تاثير گذاري ويروس ، نوع ويروس ، نحوه آلوده كردن سيستم و... بايد روش مناسبي را جهت پاكسازي ويروس انتخاب كرد .

 

4-3-1پاكسازي ويروسهاي مقيم در حافظه

ويروسهاي مقيم در حافظه اغلب ويروسهايي هستند كه بر روي ركورد راه انداز يا جدول Partition قرار دارند و در هنگام راه اندازي كامپيوتر فعال شده و در حافظه باقي مي مانند . تا هنگامي كه اين ويروسها در حافظه قرار دارند نمي توان براي پاكسازي آنها اقدام نمود .

جهت پاكسازي اين نوع ويروسها مراحل زير را بايد انجام داد :

• در صورت روشن بودن كامپيوتر بايد آنرا مجددا راه اندازي كرد .
• بايد كامپيوتر را با يك ديسكت يا CD راه انداز سالم و عاري از ويروس راه اندازي كرد .
• ديسكت يا CD ضد ويروس مناسب را بايد در درايو قرار داده و ويروسها را پاكسازي كرد .
• در صورتيكه سيستم عامل كامپيوتر آسيب ديده باشد و يا سيستم راه اندازي نشود مي بايد با توجه به نوع سيستم عامل عمليات بازسازي و احياي سيستم انجام شود .

 

4-3-2 پاكسازي ويروسهاي غير مقيم در حافظه

چونكه اين ويروسها در حافظه فعال نيستند كا فيست با نرم افزار ضد ويروس مناسب آنها را پاكسازي كرد . جهت پاكسازي اين نوع ويروسها بايد ديسكت يا CD ويروس ياب مناسب را در درايو قرار داده و ويروسها را پاكسازي نمود .

 

4-3-3 پاكسازي ويروسهاي اينترنتي

همانطور كه مشخص است ويروسهاي اينترنتي از طريق اينترنت به كامپيوتر منتقل مي شوند . پس هنگام پاكسازي اين ويروسها بايد اتصال به اينترنت را قطع نمود زيرا ممكن است بلافاصله پس از پاكسازي ويروس كامپيوتر مجددا آلوده شود .

جهت پاكسازي اين نوع ويروسها مراحل زير را بايد انجام داد :

• بايد ارتباط با اينترنت را قطع كرد .
• با توجه به دستورالعمل پاكسازي ويروس ممكن است نياز باشد كه كامپيوتر مجددا راه اندازي شود .
• ديسكت يا CD ضد ويروس مناسب را بايد در درايو قرار داده و ويروسها را پاكسازي كرد .

 

4-4 نرم افزارهاي ضد ويروس

يكي از روشهاي جلوگيري از انتقال ويروس به كامپيوتر و حذف ويروسها از كامپيوتر استفاده از نرم افزارهاي ضد ويروس است . نرم افزارهاي ضد ويروس نرم افزارهايي هستند كه فايلهاي آلوده به ويروس را شناسايي كرده و ويروس را از روي كامپيوتر حذف مي كنند .

از معروفترين و متداولترين نرم افزارهاي ضد ويروس مي توان به نرم افزارهاي زير اشاره كرد :

- McAfee Virus Scan

- Norton Antivirus

- Panda Antivirus

- Dr Web

 

نرم افزارهاي ضد ويروس فقط مي توانند ويروسهاي شناخته شده را تشخيص دهند و قادر نيستند ويروسهاي جديد را تشخيص دهند . براي حل اين مشكل در نرم افزارهاي ضد ويروس امكان بروز رساني در نظر گرفته شده است بصورتيكه از طريق اينترنت مي توان نرم افزارهاي ضد ويروس را بروز رساني كرد .

 

4-5 روشهاي مقابله نرم افزارهاي ضد ويروس با ويروسها

نرم افزارهاي ضد ويروس به روشهاي زير با ويروسها مقابله مي كنند :

• پيشگيري از آلوده شدن به ويروس :

در هنگام وارد شدن ويروس به كامپيوتر پيغام هشدار دهنده اي را به كاربر نمايش مي دهند و از

فعال شدن ويروس خودداري مي كنند .

• پاك كردن ويروس :

فايلهاي سالمي كه به ويروس آلوده شده اند را شناسايي مي كنند و در صورت امكان آنها را ويروس زدايي كرده و بصورت اوليه باز مي گردانند به اين عمل Disinfecting (ويروس- زدايي) مي گويند .

• قرنطينه كردن فايل ويروسي :

در صورتيكه نتوانند فايل آلوده را ويروس زدايي كنند آن فايل را قرنطينه كده و به كاربر اطلاع مي دهند كه اين فايل آلوده به ويروس است و امكان ويروس زدايي آن نيست و فعلا در قرنطينه است . در صورتيكه كاربر مايل باشد مي تواند اين فايل را به كلي حذف كند . همچنين نرم افزارهاي ضد ويروس به كاربران اجازه مي دهند فايلهاي مشكوك را به قسمت قرنطينه منتقل كنند .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5-1 عملكرد چند ويروس

 

5-1-1 ويروس AntiCMOS

اين ويروس Boot Sector فلاپي و Partition Table هارد ديسك را آلوده مي كند و داراي دو نگارش AntiCMOS.a و AntiCMOS.b مي باشد .

 

5-1-2 ويروس Arya

اين ويروس فايلهاي COM ، EXE و Partition Table هارد ديسك را آلوده مي كند و اندازه آن 4616 بايت مي باشد و در روزهاي سيزدهم هر ماه از نيمه دوم سال به بعد هنگام كار با فايلهايي با پسوند ZIP ، DEF ، GIF ، DAT و... آنها را تخريب مي كند . همچنين اين ويروس اطلاعات CMOS RAM را نيز تخريب مي كند و باعث اختلال در سخت افزار سيستم مي گردد .

 

5-1-3 ويروس Die-hard

اين ويروس خود را بطور مخفيانه در حافظه مقيم مي كند و داراي دو نگارش 3000 و 4000 بايتي است . نگارش 3000 بايتي فقط فايلهاي COM را آلوده مي سازد . در صورتي كه نگارش ديگر آن داراي سرعت عمل بسيار بالاتر نسبت به نگارش قبلي خود است و فايلهاي EXE را نيز آلوده مي كند .

 

5-1-4 ويروس W/32 FunLove

اين ويروس فايلهاي اجرايي تحت ويندوز با FAT 32 از قبيل EXE ، SCR و OCX را آلوده مي كند و هنگام اجرا فايل FLCSS.EXE را ايجاد مي نمايد كه منجر به آلوده شدن كليه فايلهاي سيستم و شبكه از نوع مذكور مي شود .

 

5-1-5 ويروسهاي اينترنتي

تعدادي از ويروسهاي شبكه اينترنت كه از طريق E-mail (پست الكترونيكي) مي توانند منتقل شوند عبارتند از :

• كرم موريس ( Morris Worm)
• ميكل آنژ ( Michelangelo)
• ورد كانسپت ( Word Concept)
• وازو ( Wazzu )
• مليسا ( Melissa )
• ويروس چرنوبيل (Chernobyl )
• اكس پلور زيپ (Explore.Zip )
• بابل بوي (Bubble Boy )
• لاو باگ (Love Bug )

 

 

 

 

 

 

 

 

 

 

 

 

 

 

فهرست منابع

 

1- مهندس موسوي، سيد علي، مهندس سبزعلي گل ، مجيد ، مهندس قرباني ، مهدي .

ويروسهاي كامپيوتري ، چاپ اول . تهران : صفار : اشراقي ، 1383 .

2- واحد تحقيقات و انتشارات مجتمع فني تهران ، مهندس الله وردي ، مجتبي ، آجوداني ، حسين ، پزشكي ، افشين . NC و ويروسهاي كامپيوتري ، چاپ يازدهم .تهران : موسسه فرهنگي هنري ديباگران تهران ، 1383 .

3- سعيدي ، روح اله . بررسي ساختار ويروسهاي كامپيوتري ، چاپ اول . تهران : موسسه فرهنگي هنري ديباگران تهران ، 1381 .