|
ويروس و ضدويروس
حجم عظيم ويروس ها، کرم ها، ايرادات نرم افزارها و تهديدهاي
ناشي از آنها، نرم افزارهاي ضدويروس را تبديل به يکي از
ابزارهاي لازم براي همه کامپيوترها نموده است. در صورت آلوده
شدن يک کامپيوتر به ويروس بسته به نوع آن ممکن است مصائب
مختلفي براي سيستم کامپيوتري بوجود آيد که در پاره اي موارد
جبران آن ها هزينه هاي زيادي را تحميل مي کند. آسيب هاي بعضي
از ويروس ها به گونه اي است که آثار سوء آن ها را به هيچ وجه
نمي توان از بين برد. مستقل از نوع ويروسي که بايد با آن
مقابله شود نياز به برنامه هاي ضد ويروس همواره وجود دارد و در
شرايطي که محصولات ضد ويروس متنوعي توليد شده اند، انتخاب نرم
افزار مناسب دغدغه کاربران مي باشد.
ويروس چيست؟
ويروس هاي کامپيوتري برنامه هايي هستند که مشابه ويروس هاي
بيولوژيک گسترش يافته و پس از وارد شدن به کامپيوتر اقدامات
غيرمنتظره اي را انجام مي دهند. با وجودي که همه ويروس ها
خطرناک نيستند، ولي بسياري از آنها با هدف تخريب انواع مشخصي
از فايل ها، برنامه هاي کاربردي و يا سيستم هاي عامل نوشته شده
اند.
ويروس ها هم مشابه همه برنامه هاي ديگر از منابع سيستم مانند
حافظه و فضاي ديسک سخت، توان پردازنده مرکزي و ساير منابع بهره
مي گيرند و مي توانند اعمال خطرناکي را انجام دهند به عنوان
مثال فايل هاي روي ديسک را پاک کرده و يا کل ديسک سخت را فرمت
کنند. همچنين يک ويروس مي تواند مجوز دسترسي به دستگاه را از
طريق شبکه و بدون احراز هويت فراهم آورد.
براي اولين بار در سال ۱۹۸۴ واژه «ويروس» در اين معنا توسط فرد
کوهن در متون آکادميک مورد استفاده قرار گرفت. در اين مقاله
که «آزمايشاتي با ويروس هاي کامپيوتري» نام داشت نويسنده دسته
اي خاص از برنامه ها را ويروس ناميده و اين نام گذاري را به
لئونارد آدلمن نسبت داده است. البته قبل از اين زمان ويروس ها
در متن داستان هاي عملي و تخيلي ظاهر شده بودند.
انواع ويروس
انواع ويروس هاي رايج را مي توان به دسته هاي زير تقسيم بندي
نمود:
boot sector
:
boot
sector
اولين
Sector
بر روي فلاپي و يا ديسک سخت کامپيوتر است. در
اين قطاع کدهاي اجرايي ذخيره شده اند که فعاليت کامپيوتر با
استفاده از آنها انجام مي شود. با توجه به اينکه در هر بار
بالا آمدن کامپيوتر
Boot sector
مورد ارجاع قرار مي گيرد، و با هر بار تغيير پيکربندي کامپيوتر
محتواي
boot sector
هم مجددا نوشته مي شود، لذا اين قطاع مکاني بسيار آسيب پذير در
برابر حملات ويروس ها مي باشد.
اين نوع ويروس ها از طريق فلاپي هايي که قطاع
boot
آلوده دارند انتشار مي يابند.
Boot sector
ديسک
سخت کامپيوتري که آلوده شود توسط ويروس آلوده شده و هر بار که
کامپيوتر روشن مي شود، ويروس خود را در حافظه بار کرده و منتظر
فرصتي براي آلوده کردن فلاپي ها مي ماند تا بتواند خود را
منتشر کرده و دستگاه هاي ديگري را نيز آلوده نمايد. اين گونه
ويروس ها مي توانند به گونه اي عمل کنند که تا زماني که دستگاه
آلوده است امکان
boot
کردن کامپيوتر از روي ديسک سخت از بين برود.
اين ويروس ها بعد از نوشتن بر روي متن اصلي
boot
سعي مي کنند کد اصلي را به قطاعي ديگر بر روي ديسک منتقل کرده
و آن قطاع را به عنوان يک قطاع خراب (Bad
Sector)
علامت گذاري مي کند.
Macro viruses:
اين نوع ويروس ها مستقيما برنامه ها را آلوده نمي کنند. هدف
اين دسته از ويروس ها فايل هاي توليد شده توسط برنامه هايي است
که از زبان هاي برنامه نويسي ماکرويي مانند مستندات
Exel
يا
Word
استفاده مي کنند. ويروس هاي ماکرو از طريق ديسک ها، شبکه و يا
فايل هاي پيوست شده با نامه هاي الکترونيکي قابل گسترش مي
باشد.
ويروس تنها در هنگامي امکان فعال شدن را دارد که فايل آلوده
باز شود، در اين صورت ويروس شروع به گسترش خود در کامپيوتر
نموده و ساير فايل هاي موجود را نيز آلوده مي نمايد. انتقال
اين فايل ها به کامپيوتر هاي ديگر و يا اشتراک فايل بين دستگاه
هاي مختلف باعث گسترش آلودگي به اين ويروس ها مي شود.
File infecting
viruses:
فايل هاي اجرايي (فايل هاي با پسوند
.exe
و .com)
را آلوده نموده و همزمان با اجراي اين برنامه ها خود را در
حافظه دستگاه بار نموده و شروع به گسترش خود و آلوده کردن ساير
فايل هاي اجرايي سيستم مي نمايند. بعضي از نمونه هاي اين ويروس
ها متن مورد نظر خود را به جاي متن فايل اجرايي قرار مي دهند.
ويروس هاي
چندريخت(Polymorphic):
اين ويروس ها در هر فايل آلوده به شکلي ظاهر مي شوند. با توجه
به اينکه از الگوريتم هاي کدگذاري استفاده کرده و ردپاي خود را
پاک مي کنند، آشکارسازي و تشخيص اين گونه ويروس ها دشوار است.
ويروس هاي مخفي:
اين ويروس ها سعي مي کنند خود را از سيستم عامل و نرم افزارهاي
ضدويروس مخفي نگه دارند. براي اين کار ويروس در حافظه مقيم شده
و حائل دسترسي به سيستم عامل مي شود. در اين صورت ويروس کليه
درخواست هايي که نرم افزار ضدويروس به سيستم عامل مي دهد را
دريافت مي کند. به اين ترتيب نرم افزارهاي ضدويروس هم فريب
خورده و اين تصور به وجود مي آيد که هيچ ويروسي در کامپيوتر
وجود ندارد. اين ويروس ها کاربر را هم فريب داده و استفاده از
حافظه را به صورت مخفيانه انجام مي دهند.
ويروس هاي
چندبخشي
رايج ترين انواع اين ويروس ها ترکيبي از ويروس هاي
boot sector
و
file infecting
مي باشد. ترکيب انواع ديگر ويروس ها هم امکان
پذير است.
ساير
برنامه هاي مختل کننده امنيت
برخي از
محققين اسب هاي تروا(Trojan)،
کرم ها و بمب هاي منطقي را در دسته ويروس ها قرار نمي دهند
ولي واقعيت اين است که اين برنامه ها هم بسيار خطرناک بوده
و مي توانند خساراتي جدي به سيستم هاي کامپيوتري وارد
نمايند.
اسب هاي تروا
تظاهر مي کنند که کاري خاص را انجام مي دهند ولي در عمل
براي هدف ديگري ساخته شده اند، به عنوان مثال برنامه اي که
وانمود مي کند که يک بازي است ولي در واقع اجازه دسترسي از
راه دور يک کاربر به کامپيوتر را فراهم مي آورد.
کرم ها
برنامه هايي هستند که مشابه ويروس ها توان تکثير کردن
خود را دارند، ولي برعکس آنها براي گسترش خود نياز به
برنامه هايي ديگر ندارند تا آنها را آلوده کرده و تحت
عنوان فايل هاي آلوده اقدام به انتقال و آلوده کردن
دستگاه هاي ديگر نمايند. کرم ها معمولا از نقاط آسيب
پذير برنامه هاي
e-mail
براي توزيع
سريع و وسيع خود استفاده مي نمايند.
بمب هاي
منطقي
برنامه هايي هستند که در زمان هايي از قبل تعيين شده؛
مثلا يک روز خاص؛ اعمالي غير منتظره انجام مي دهند.
اين برنامه ها فايل هاي ديگر را آلوده نکرده و خود را
گسترش نمي دهند.
علي رغم
تنوع انواع برنامه هاي مخرب، برنامه هاي قوي ضد ويروس
مي توانند نسخه هاي مختلف آنها را شناسايي و از بين
ببرند. در ادامه اين متن براي سادگي به همه انواع اين
برنامه ها عنوان عمومي ويروس اطلاق مي شود.
|
طرز
کار برنامه هاي ضد ويروس
ضد
ويروس اصطلاحي است که به برنامه
يا مجموعه اي از برنامه ها اطلاق
مي شود که براي محافظت از
کامپيوتر ها در برابر ويروس ها
استفاده مي شوند. مهم ترين قسمت
هر برنامه ضد ويروس موتور اسکن
(Scanning engine) آن است. جزئيات
عملکرد هر موتور متفاوت است ولي
همه آنها وظيفه اصلي شناسايي فايل
هاي آلوده به ويروس را با استفاده
از فايل امضاي ويروس ها بر عهده
دارند. فايل امضاي ويروس يک رشته
بايت است که با استفاده از آن مي
توان ويروس را به صورت يکتا مورد
شناسايي قرار داد و از اين جهت
مشابه اثر انگشت انسان ها مي
باشد. ضد ويروس متن فايل هاي
موجود در کامپيوتر را با نشانه
هاي ويروس هاي شناخته شده مقايسه
مي نمايد. در بيشتر موارد در
صورتي که فايل آلوده باشد برنامه
ضدويروس قادر به پاکسازي آن و از
بين بردن ويروس است. در مواردي که
اين عمل ممکن نيست مکانيزمي براي
قرنطينه کردن فايل آلوده وجود
دارد و حتي مي توان تنظيمات
ضدويروس ها را به گونه اي انجام
داد که فايل آلوده حذف شود.
بعضي از برنامه هاي ضد ويروس
براي شناسايي ويروس هاي جديدي
که هنوز فايل امضاي آنها
ارائه نشده از روش هاي جستجوي
ابتکاري استفاده مي کنند. به
اين ترتيب داده هاي مشکوک در
فايل هاي موجود در سيستم و يا
فعاليت هاي مشکوک مشابه رفتار
ويروس ها (حتي در صورتي که
تعريف ويروسي منطبق با آنچه
که در فايل مشکوک يافت شده
موجود نباشد) علامت گذاري مي
شوند. اگر ضد ويروس فعاليت
مشکوکي را مشاهده نمايد،
برنامه اي که فعاليت مشکوک
انجام داده را قرنطينه نموده
و به کاربر در مورد آن اعلام
خطر مي کند (به عنوان مثال
اعلام مي شود که برنامه مشکوک
مايل به تغيير
Windows Registry
مي باشد). دقت اين روش پايين
است و در بسياري از مواقع در
شناخت فايل هاي مشکوک به
ويروس اشتباهاتي رخ مي دهد.
در چنين مواقعي فايل قرنطينه
شده براي شرکت هاي سازنده ضد
ويروس ها ارسال مي شود که پس
از تحقيق و آزمايش آن، در
صورتي که واقعا فايل آلوده به
ويروس باشد نام، امضاء و
مشخصات آن مشخص شده و پادزهر
آن ارائه مي گردد. در اين
صورت کد مشکوک تبديل به يک
ويروس شناخته شده مي شود.
قابليت هاي نرم افزار هاي
ضدويروس
سطح محافظت نرم افزار بسته به
جديد و بروز بودن آن متغير
است. محصولات جديدتر قابليت
هاي مانند بروز رساني خودکار،
اسکن هاي زمان بندي شده،
محافظت از سيستم به صورت
ماندگار در حافظه و همچنين
امکان يکپارچه شدن با برنامه
هاي کاربردي اينترنتي مانند
برنامه هاي
e-mail
و مرورگرهاي وب را دارند.
نسخه هاي قديمي تر نرم
افزارهاي ضدويروس تنها يک
اسکنر بودند که بايد به صورت
دستي راه اندازي مي شدند. همه
نرم افزار هاي ضدويروس در
صورتي که به صورت منظم به روز
رساني شده و عمليات اسکن بر
روي ديسک هاي سخت، تجهيزات
قابل انتقال (مانند فلاپي و
Zip disk)
انجام شود مي توانند دستگاه
کامپيوتر را در برابر ويروس
ها مقاوم کنند. در واقع نقطه
برتري محصولات جديد ضد ويروس
در قابليت هاي آنها براي
محافظت از سيستم در مواقعي
است که کاربر دانش و يا دقت
لازم براي به کارگيري آن را
ندارد.
حداقل توقعي که از يک برنامه
ضد ويروس خوب مي توان داشت
اين است که در برابر ويروس
هاي
boot-sector،
ماکرو، اسب هاي تروا و فايل
هاي اجرايي آلوده به ويروس و
کرم اقدامات محافظتي لازم را
به عمل آورد. از محصولات
جديدتر مي توان انتظار محافظت
در برابر صفحات وب، اسکريپت
ها، کنترل هاي
ActiveX
و اپلت هاي جاواي خطرناک،
همچنين کرم هاي
e-mail
را داشت.
|
|
 منبع:
گروه امداد امنيت ايران |