فصل یکم- ویروس ها

- 1-1تعریف ویروس

به برنامه‌های رایانه‌ای که به منظور تخریب ویا سوءاستفاده از ساختار یک رایانه نوشته شود،ویروس رایانه‌ای می‌گویند. ویروس رایانه‌ای عبارتی است برای یک برنامه ناخواسته مخرب که می‌تواند روی رایانه‌هامنتشرواجراگردد.

.معمولاًویروس‌هاتوسط برنامه‌نویسان برای مقاصد گوناگون نوشته می‌شوند. اهدافی چون شهرت،انتقام، ایجاد خسارت و یا اهداف اقتصادی می‌توانند باعث ایجاد انگیزه در نوشتن ویروس کامپیوتری شوند. برخی از ویروس‌ها بسیار مخرب هستند و برخی تنها جنبه تبلیغاتی دارند.

علت نامگذاری این برنامه‌ها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروس‌ها در دنیای حقیقی است. ویروس رایانه‌ای را می‌توان برنامه‌ای تعریف نمود که می‌توان خودش را با استفاده از یک میزبان تکثیر نماید. بنابراین تعریف اگر برنامه‌ای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد،نمی‌توان آن را ویروس نامید.

معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند،ویروس‌ها را برنامه‌هایی هوشمندوخطرناک می‌دانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر می‌گردند در حالی که طبق آمار تنها پنج درصد ویروس‌ها دارای آثار تخریبی بوده وبقیه صرفاً تکثیر می‌شوند. بنابراین ویروس‌های رایانه‌ای از جنس برنامه‌های معمولی هستند که توسط ویروس‌نویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک،فایل‌ها و یا کامپیوتر‌های دیگر را آلوده می‌کنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخه‌ای خودش را تولید کرده و به برنامه‌ های دیگر می‌چسباند و به این ترتیب داستان زندگی ویروس آغاز می‌شودوهر یک از برنامه‌ها و یا دیسک‌های حاوی ویروس، پس ازانتقال به کامپیوتر‌های دیگر باعث تکثیر نسخه‌هایی از ویروس وآلوده شدن دیگر فایل‌ها و دیسک‌ها می‌شوند.

بنابراین پس از اندک زمانی در کامپیوتر‌های موجود در یک کشور و یا حتی در سراسر دنیا منتشر می‌شوند.از آنجا که ویروس‌ها به طور مخفیانه عمل می‌کنند، تا زمانی که کشف نشده وامکان پاکسازی آنها فراهم نگردیده باشد، برنامه‌های بسیاری را آلوده می‌کنند و از این رو یافتن سازنده و یا منشأ اصلی ویروس مشکل است.

ویروس‌ها هر روز در اینترنت، بیشتروبیشتر می‌شوند. ولی تعداد شرکت‌های آنتی ویروس ثابت است. پس ما باید برای حفاظت از سیستم خود دست به کار شویم. دراین سلسله مقالات سعی داریم که نحوه مقابله با ویروس‌هاوهمین طور بیوگرافی ویروس‌هاونحوه مقابله با هر ویروس را آموزش بدهیم.

از نظر مردم عادی به برنامه‌ای که در سیستم عامل اختلالات ایجاد کندویروس است ولی باید بدانید که خود ویروس‌ها بنا به کارها و امکاناتی که دارند تقسیم‌بندی می‌شوند.ویروس‌ها مثل سایر برنامه‌ها هستند.کسانیکه ویروس رامی‌نویسندهم ازهمین برنامه‌های عادی برنامه‌نویسی استفاده می‌کند.این برنامه‌ها دقیقاً مثل چاقو می‌ماند که هم می‌شود استفاده درست کرد هم نادرست.

- 2-1تاریخچه ورود ویروس

1949:

Home

برای اولین بار تئوری برنامه‌هایی که خودشان را جایگزین می‌نمایند مطرح گردید.

1981: ویروس‌های Apple 1 , Apple 2 , Apple 3 از اولین ویروس‌هایی بودند که پا به عرصه عمومی نهادند.این ویروس‌ها توسط کمپانی Texas A & M برای جلوگیری از کپی‌های غیر مجاز بازی‌های کامپیوتری نوشته و سپس شایع شدند. این ویروس‌ها ویژه سیستم عامل Apple II بودند.

1983: فرد کوهن (Fred Cohen) زمانی که روی رساله دکترایش کار می‌کرد، رسماً یک ویروس کامپیوتری را چنین تعریف نمود: «یک برنامه کامپیوتری که می‌تواند روی سایر برنامه‌های کامپیوتری از طریق تغییر دادن آنها به روشی (شاید) مانند کپی کردن خودش روی آنها، تأثیر بگذارد».

1986: دو برادر برنامه‌نویس پاکستانی به نام‌های «بسیط» و «امجد» کد قابل اجرای موجود در بوت سکتور یک فلاپی دیسک را با خودشان (که برای آلوده نمودن فلاپی دیسک‌های 360KB نوشته بودند) جایگزین کردند. تمام فلاپی‌های آلوده دارای برچسب «Brain» بودند.بنابراین، این ویروس «Brain» یا «مغز پاکستانی» نام گرفت. همزمان در کشور اتریش برنامه‌نویسی به نام رالف برگر «Ralf Burger» دریافت که یک برنامه می‌تواند از طریق چسباندن خودش به انتهای یک برنامه دیگر تکثیر شود،او با استفاده از این ایده برنامه‌ای به نام Virdem نوشت که پدیده فوق را شبیه‌سازی می‌نمود. پس از آن برگر Virdem را در کنفرانسی به همه معرفی نمود. برگر همچنین کتابی درباره ویروس‌های کامپیوتری نوشت ودرآن سورس ویروس به نام Vienna را چاپ کرد که این مسأله بعداً باعث سوءاستفاده بسیاری از افراد گردید.

1987: یک برنامه‌نویس آلمانی ویروسی به نام Cascade نوشت.این ویروس، اولین ویروسی بود که روش رمز کردن (Encryption) را به کار می‌برد. در این روش بیشتر کد ویروس به غیر از چند بایت از آن به صورت رمز شده در می‌آید و از آن چند بایت بعداً برای رمزگشایی بقیه کد ویروس استفاده می‌شود. در این صورت تشخیص ویروس برای آنتی ویروس‌ها بسیار مشکل‌تر می‌باشد و دیگر رشته تشخیص ویروس (که در آنتی ویروس‌ها به کار می‌رود) به چند بایت محدود نمی‌شود.

بعدها برنامه‌نویسی به نام مارک واشبرن «Mark Washburn» با استفاده از این ایده و سورس ویروس Vienna اولین ویروس هزار چهره (Polymorphic) به نام «1260» را نوشت.

1988: ویروس Jerusalem منتشر شدوبه یکی از شایع‌ترین ویروس‌ها تبدیل گشت.این ویروس درروزهای جمعه‌ای که مصادف با سیزدهم هر ماه بودند فعال می‌شدوضمن آلوده نمودن فایل‌های Com , Exe، هر برنامه‌ای که در آن روز اجرا می‌شد را نیز پاک می‌نمود.

1989: در ماه مارچ مهم‌ترین موضوع ویروسی، خبری بود که حکایت از فعال شدن ویروسی به نام Datacrime در ماه آوریل داشت.اما پس از بررسی سورس کد ویروس معلوم شد که این ویروس در هر تاریخی پس از روز سیزدهم اکتبر فعال شده واقدام به فرمت کردن سیلندر صفر هارد دیسک می‌نماید. بدین ترتیب کاربران تمامی محتوای هارد دیسک‌شان را از دست می‌دهند. ویروس Datacrime به احتمال زیاد در کشور هلند نوشته شده بود ولی آمریکایی‌ها اسم آن را ویروس Columbus Day گذاشتندواعتقاد داشتند که توسط تروریست‌های نروژی نوشته شده است. در این سال این ویروس علیرغم سر و صدای زیادش، خسارت‌های چندانی به بار نیاورد. در این سال همچنین ویروس‌نویسان بلغاری و روسی وارد عرصه ویروس‌نویسی شدند.

1990: مارک واشبرن «Mark Washburn» ابتدا ویروس هزار چهره 1260 و سپس بر همان اساس ویروس‌های V2P1 , V2P2 V2P6 را نوشت وسورس کد آنها را منتشر نمود، هر چند که بعداً ویروس‌نویسان این کدها را به کار نبردند و حتی این ویروس‌ها خطر چندانی هم نداشتند ولی ایده موجود در آنها الهام‌بخش بسیاری از ویروس‌نویسان شد.

از طرف دیگر در بلغارستان ویروس‌نویس ماهری با نام مستعار Dark Avenger چند ویروس خطرناک به نام‌های DarkAvernger- 1800 , Number of the Beast , Nomenklaturaرانوشت. ویروس‌های وی دارای دو ویژگی مهم«آلوده‌سازی سریع» و «صدمه زدن زیرکانه» بودند. Dark Avenger به صورت فعالانه‌ای از طریق آلوده نمودن برنامه‌های Shareware وارسال آنهااقدام به پخش ویروس‌هایش نیز می‌نمود. همچنین در این سال کمپانی Symantec نیز آنتی ویروس Norton را به بازار عرضه نمود.

1991: سر و کله ویروس Tequila از کشور سوئیس پیدا شد. این ویروس، ویروس هزار چهره کامل‌تری بود که پا به عرصه عمومی گذاشت و بسیار شایع شد. پس از آن نوبت انتشار ویروس هزار چهره دیگری به نام Amoeba از کشور مالت رسید. تشخیص ویروس‌های هزارچهره به دلیل اینکه پس از هر بار آلوده‌سازی ظاهرشان را تغییر می‌دهند، برای اسکنرهای ویروس بسیار سخت‌تر می‌باشد.

Dark Avenger هم درانتهای این سال موتور خود تغییر دهنده «MtE» را ابداع کرد که می‌توانست چهار میلیارد شکل مختلف به خود بگیرد و با پیوند زدن آن به هر ویروسی، یک ویروس کاملاً چند شکلی پدید می‌آمد. وی سپس با استفاده از MtE ویروس‌های Dedicated , Commander Bomber را به دو سبک کاملاً متفاوت نوشت.

1992: تعداد ویروس‌ها به هزار و سیصد عدد رسید که در مقایسه با ماه دسامبر سال 1990 چهارصد و بیست درصد افزایش یافته بود. همچنین در این سال پیش‌بینی شد که خطر ناشی از انتشار ویروس «میکلآنژ» پنج میلیون کامپیوتر را تهدید به نابودی خواهد کرد، که البته این رقم در عمل به بیش از ده هزار تا نرسید. علاوه بر اینها ویروس هزار چهره جدیدی با نام Starship پا به میدان نهاد، نرم‌افزارهای تولید ویروس توسط دو ویروس‌نویس با نام‌های مستعار Nowhere Man , Dark Angel نوشته شدندودرانگلستان نیز گروه ویروس‌نویسی ARCV تأسیس شد.

1993-1994: گروه ویروس‌نویسی جدیدی به نام Tridend در کشور هلند فعالیت خود را آغاز نمود و موتور جدیدی به نام TPE را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ویروس‌های، Girafe Cruncher، Bosnia را نوشتند. در آمریکا هم Dark Angel به کمک موتور ابداعی‌اش موسوم به DAME ویروس Trigger را نوشت.

1995: Concept اولین ویروس ماکرو، نوشته شد. این ویروس اسناد نرم‌افزار Microsoft Word را مورد حمله قرار می‌داد.

1996: در استرالیا گروهی از ویروس‌نویسان به نام VLAD اولین ویروس ویژه سیستم عامل ویندوز موسوم به Bonz و همچنین اولین ویروس سیستم عامل لینوکس موسوم به Staog را نوشتند. علاوه بر اینها اولین ویروس ماکروی نرم‌افزار Microsoft Excel به نام Laroux نیز در این سال نوشته شد.

ویروس Strange Brew، اولین ویروسی که فایل‌های جاوا را آلوده می‌کرد، نوشته شد. این ویروس با کپی کردن خودش در میان کد فایل‌های Class و عوض نمودن نقطه شروع اجرای این فایل‌ها با نقطه شروع کد ویروسی اقدام به تغییر دادن فایل‌های Class می‌نمود. همچنین Back Orifice اولین اسب تراوایی که امکان دسترسی از راه دور به سایر سیستم‌ها را در اینترنت فراهم می‌نمود، نوشته شد و کم‌کم مقدمات ظهور ویروس‌های ماکروی نرم‌افزار Microsoft Access نیز فراهم می‌گردید.

1999: ویروس «ملیسا» از طریق اجرا نمودن ماکرویی که در اسناد ضمیمه شده به نامه‌های الکترونیکی موجود بود، صدمه زدن به سیستم‌ها را آغاز نمود. این ویروس همچنین برای گسترش خود از دفترچه آدرس نرم‌افزار Outlook استفاده می‌کرد و ضمیمه‌های آلوده را برای 50 نفر دیگر ارسال می‌نمود. ویروس «ملیسا» سریع‌تر از تمامی ویروس‌های قبلی منتشر گردید. در این سال همچنین ویروس Corner اولین ویروسی که می‌توانست فایل‌های برنامه MS Project را آلوده سازد، نیز نوشته شد. علاوه براین، نوآوری‌های دیگری هم در دنیای ویروس‌نویسان صورت گرفت که از بین آنها می‌توان به نوشته شدن ویروس Tristate که اولین ویروس ماکروی چند برنامه‌ای بود و می‌توانست فایل‌های سه برنامه از برنامه‌های مایکروسافت (ورد، اکسل و پاور پوینت) را آلوده کند و همچنین نوشته شدن کرم Bubbleboy اشاره نمود.

این کرم هم اولین کرمی بود که وقتی کاربر نامه ساده و بدون ضمیمه‌ای را در نرم‌افزار Outlook Express باز و یا آن را پری‌ویو می‌نمود، فعال می‌گردید. حتی بدون اینکه ضمیمه‌ای به همراه نامه باشد، این کرم برای اثبات یک روش جدید نوشته شده بود و بعداً ویروس Kak از این روش بهره گرفت و به صورت گسترده‌ای شایع شد.

2000: ویروس I Love You درست مانند ویروس «ملیسا» به وسیله نرم‌افزار Outlook در سراسر دنیا پخش گردید. اما این ویروس از نوع اسکریپت ویژوال بیسیک بود که به صورت ضمیمه نامه الکترونیکی ارسال می‌شد. ویروس I Love You فایل‌های کاربر را پاک می‌کرد و حتی به برخی از فایل‌های تصویری و موسیقی نیز رحم نمی‌کرد. علاوه بر این، ویروس اسم کاربر و رمز عبور وی را می‌دزدید و برای نویسنده‌اش می‌فرستاد.

در این سال همچنین ویروس‌های Resume (که شبیه ویروس «ملیسا» بود) و Stages (که از روش پسوند دروغین بهره می‌گرفت) نیز ظهور کردند. در ماه ژوئن این سال و در کشور اسپانیا کرم Timofonica از نوع اسکریپت ویژوال بیسیک اولین حمله به سیستم‌های مخابراتی را آغاز نمود و در ماه نوامبر نیز اولین ویروس نوشته شده به زبان PHP ظاهر شد، این ویروس که Pirus نام گرفت، خودش را به فایل‌های PHP , HTML اضافه می‌نمود.

2001: ویروس Anna Kournikova در پوشش تصویر ستاره تنیس، «آنا کورنیکووا» و با روش انتشاری مشابه ویروس‌های «ملیسا» و «I love You» ظاهر شد. در ماه می این سال هم ویروس Home Page به حدود ده هزار نفر از کاربران نرم‌افزار Outlook آسیب رساند. در ماه جولای و آگوست نیز کرمهای CodeRed I ، Code Red II به شبکه‌های کامپیوتری حمله نمودند.

تعداد کامپیوترهای آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سیستم‌ها بالغ بر دو میلیارد دلار برآورد گردید.

حادثه مهم دیگری که در این سال به وقوع پیوست، نوشته شدن ویروس Winux یا Lindose در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابلیت آلوده‌سازی هر دو سیستم عامل ویندوز و لینوکس را با هم داشت.

در این سال همچنین ویروس LogoLogic-A و ویروس PeachyPDF-A (اولین ویروسی که برای پخش شدن از نرم‌افزار کمپانی Adobe ویژه فایل‌های PDF استفاده می‌کرد) نیز پا به عرصه حیات گذاشتند. ولی بدون شک اهمیت هیچ یک از این ویروس‌ها به اندازه کرم Nimda نبود، این کرم که در ماه سپتامبر ظاهر شد، از تکنیک‌های برتر سایر ویروس‌های مهم به صورت همزمان استفاده می‌نمود. بنابراین توانست تا بسیار سریع گسترش یابد.

از ویروس‌های خطرناک و خبرساز دیگر این سال نیز می‌توان به ویروس‌های Sircam , BanTrans اشاره کرد.

2002: ابتدا در ماه ژانویه شاهد ظهور اولین ویروس آلوده کننده فایل‌های با پسوند SWF بودیم که LFM-926 نام داشت. این ویروس یک اسکریپت دیباگ (که می‌توانست یک فایل COM ساخته و به وسیله آن سایر فایل‌های با پسوند SWF را آلوده نماید) رها می‌کرد. پس از آن کرم Donut به عنوان اولین کرمی که به سرویس‌های NET. توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولین کرمی که مختص سرویس‌های NET. بود وارد عرصه شد. این کرم توسط یک دختر جوان بلژیکی با نام مستعار Gigabite و به زبانC# نوشته شد. در ماه می این سال نیز Benjamin ظاهر شد. این ویروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده می‌نمود.

در ماه ژوئن ویروس Perrun برای اثبات فرضیه «امکان آلوده‌سازی فایل‌های تصویری با پسوند JPEG توسط ویروس‌ها»، نوشته شد که این مسأله تا قبل از این غیر ممکن می‌نمود. در این ماه کرم Scalper که وب سرورهای Apache را مورد حمله قرار می‌داد و از آنها برای طغیان شبکه سوء استفاده می‌کرد نیز شناسایی گردید.




-3-1 انواع ویروس
انواع ویروس های رایج را می توان به دسته های زیر تقسیم بندی نمود:
-1-3-1سکتور بوت (boot sector)
سکتور بوت اولین سکتور بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام میشود. با توجه به اینکه در هر بار روشن شدن و بارگذاری، سکتور بوت مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکر بندی کامپیوتر محتوای سکتور بوت هم مجدداً نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.
ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. این ویروس هااز طریق فلاپی هایی که قطاع بوت الوده دارند انتشار می یابند. در صورت آلوده شدن سکتور بوت دیسک سخت کامپیوتر توسط ویروس، هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپیها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. اینگونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانیکه دستگاه آلوده است امکان بوت کردن کامپیوتر از روی دیسک سخت وجود نداشته باشد.
این ویروس ها بعد از نوشتن بر روی متن اصلی بوت سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب علامت گذاری می کند. هنگامی که شما در مرتبه بعدی دستگاه راروشن می کنید، سکتور بوت آلوده شده، مورد استفاده سخت افزار قرار خواهد گرفت و بنابراین ویروس فعال خواهد شد.
پس در صورتیکه کاربر دستگاه را به وسیله یک دیسکت آلوده، (معمولاً دیسک های نرمی که سکتور بوت آلوده دارند) راه اندازی کند، در نهایت دستگاه آلوده به ویروس خواهد شد.


- 2-3-1ویروس های ماکرو (کلان دستور)
ویروس های macro از مزایای برنامه نویسی macro سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده و به صورت خودکار اجرا می شوند. این نوع ویروس ها مستقیماً برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Excel یا Wordاستفاده می کنند. در حقیقت ویروس های macro یک برنامه ماکرو است که می تواند از خود کپی ساخته و از فایلی به فایل دیگر گسترش پیدا کند. ویروس های macro از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های الکترونیکی قابل گسترش می باشد.
- 3-3-1ویروس های چند ریخت
این ویروس ها درهر فایل آلوده به شکلی ظاهر می شوند. با توجه به اینکه از الگوریتم های کد گذاری استفاده کرده وردپای خود را پاک می کنند، آشکارسازی و تشخیص اینگونه ویروس ها دشوار است.
-4-3-1ویروس های مخفی
این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضد ویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضد ویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضد ویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد. این ویروس ها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام می دهند.

- 5-3-1ویروس های چند بخشی
رایج ترین انواع این ویروس ها ترکیبی از ویروس های سکتور بوت و ویروس های انگلی می باشند. ترکیب انواع دیگر ویروس ها هم امکان پذیر است.
-6-3-1ویروس های مبتنی بر پست الکترونیکی
ویروس هایی از این نوع از طریق پیام های پست الکترونیکی منتقل می گردند. این نوع ویروس ها بصورت خودکار برای افراد متعدد، پست خواهند شد. گزینش افراد برای ارسال نامه الکترونیکی بر اساس دفترچه آدرس پست الکترونیکی، انجام می گیرد.
در حقیقت آخرین اطلاعات موجود در رابطه با ویروس های کامپیوتری به ویروس های پست الکترونیکی اشاره دارد و در حال حاضر پست الکترونیک بزرگترین منشاه ویروس ها می باشد.
-7-3-1ویروس های دوزیست
اینگونه ویروس ها، ویروس هایی هستند که در دو محیط مختلف از نظر نوع سیستم عامل قادر به زیست و آلوده سازی می باشند. این نوع از ویروس ها در سیستم عامل های معروفی چون ویندوز و خانواده لینوکس بیشتر دیده شده اند و براحتی قادر به مهاجرت از سیستم عامل ویندوز به لینوکس و بلعکس می باشند. نگارندگان ویروسهای کامپیوتری تاکنون نمونه های مختلفی از این کدهای مخرب را که می تواند هر دو سیستم عامل ویندوز و لینوکس را مبتلا سازند، به صورت محدود و کنترل شده منتشر کرده اند.

- 4-1ساير نرم افزار هاي مخرب
برخي از محققين كرم ها، اسب هاي تروا ( Trojan Horse )، Spyware ها، Trapdoor ها، Backdoor ها، باكتري ها، Zombie، Rootkit و بمب هاي منطقي را در دسته ويروس ها قرار نمي دهند ولي واقعيت اين است كه اين برنامه ها هم بسيار خطرناك بوده و مي توانند خساراتي جدي به سيستم هاي كامپيوتري وارد نمايند .
- 1-4-1کرم ها
اولین و مشهورترین ویروس یک Worm می‌باشد که به طور تصادفی در 2 نوامبر 1988 وارد شبکه گردید. طبق ادعای طراح آن هدف از این کار تنها اثبات کردن ضعف سیستم امنیتی کامپیوتر‌ها بوده است. اینترنت در سال 1988 دوران کودکی خود را طی می‌کردو تنها در اختیار معدودی از دانشگاه‌ها، مؤسسات تحقیقاتی دولتی مانند NASA و آزمایشگاه‌های بین‌المللی مانند Los Alamos بود. با وجود اینترنت بسیار محدود آن زمان خبر از کار افتادن این مغزهای کامپیوتر‌ی در MIT , Berkeley و... تمام مردم را شوکه کرد. تنها در مذت چند ساعت بیش از 3000 کامپیوتر در مهم‌ترین مراکز آمریکا از کار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار برآورد گردید.
Wormها زیر مجموعه‌ای از ویروس‌های کامپیوتری می‌باشند که برخلاف دیگر ویروس‌ها از جمله Melissa که خود را به صورت E-Mailبرای کاربران اینترنتی می‌فرستد. سیستم کامپیوتر را سوراخ کرده و به طرف مغز کامپیوتر پیش می‌روند. یکی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده به طوری که قابل ردگیری نمی‌باشند. این Worm‌ها مانند ویروس‌هایی می‌باشند که خود را در اعصاب ستون فقرات پنهان کرده و گاه و بی‌گاه دردهای شدیدی را تولید می‌کنند و اما Worm‌های مفید: در میان انواع Worm‌ها کرم‌های مفیدی نیز طی سالیان متمادی به منظور چک کردن کارآیی سیستم و... مورد استفاده قرار گرفته‌اند.
این Worm‌ها Agent نامیده شده و درون شبکه حرکت کرده اطلاعات منابع مورد استفاده و... را چک و اطلاعاتی در مورد کارکرد شبکه یا حتی محلی را که می‌ توان ارزان‌ترین DVD را خریداری نمود به کاربر اعلام می‌دارند. از تفاوت‌های بارز میان Agent و Worm می‌توان به این مورد اشاره کرد که Agent برخلاف Worm خود را تکثیر نکرده و درون سیستم‌های کاربران نفوذ نمی‌کند.
-1-1-4-1تاریخچه اولین کرم
این Worm که توسط Robert Tappan Morris طراحی شده به RTM مشهور گردید. Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامه‌نویسی کامپیوتر روی آورد. بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امکانات کامپیوتری واینترنتی دانشگاه بهره‌مند شد. وی در اکتبر سال 1988 برنامه‌ای را به منظور پی بردن به نقاط ضعف سیستم‌های اینترنتی و امنیتی کامپیوتر طراحی کرد. نحوه کار این برنامه بدین ترتیب بود که پس از رها شدن آن در اینترنت سریعاًوبدون جلب هیچ گونه توجهی پخش می‌گشت (طبق اظهارات وکیل مدافع موریس).
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق کامپیوتر‌های دانشگاه MIT وارد شبکه کرد. یکی از خصوصیات این ویروس اضافه کردن یک شمارنده به برنامه بود. بدین ترتیب در صورتی که این برنامه حداکثر تا 6 بار یک کپی از خود را در کامپیوتر پیدا می‌کرد، تکثیر نشده ودر هفتمین بار این برنامه پس از تکثیر و نفوذ به کامپیوتر آن را مورد هجوم قرار می‌داد. این برنامه ضمیمه یک اشتباه بسیار مهلک بود!! کامپیوتر‌هایی که در سال 1988 به اینترنت متصل می‌شدند به طور میانگین هر 10 روز یک بار خاموش شده ودوباره راه‌اندازی می‌گشتند. از آنجا که برنامه موریس در کامپیوتر ذخیره نمی‌شد، این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن کامپیوتر برنامه به طور خودکار از میان برود.
با این حال از آنجایی که تمام کامپیوتر‌های متصل به اینترنت به طور همزمان خاموش نمی‌شدند این Worm‌ها می‌توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm‌ها همواره دارای یک تعادل بوده و مشکل خاصی را در کامپیوتر سبب نمی‌شدند. و اما ایراد برنامه موریس دراین بود که این Worm بسیار سریع‌تر از انتظار موریس تکثیر می‌یافت در کمتر از چند ساعت بعد از آزادسازی آن هزاران کامپیوتر در مراکز حساس از کار افتاده و دچار سکته شدند. پنج روز بعداز ازادسازی Wormدر6نوامبرهمه چیز به حالت عادی خود برگشت در 12نوامبر سرانجام E-mailهایی که موریس در آنها طرز خنثی کردن Worm را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی‌سازی Worm آگاهی یافتند.
2-4-1اسبهای تروا (Trojan Horse )
اسب هاي تروا تظاهر مي كنند كه كاري خاص را انجام ميدهند ولي در عمل براي هدف ديگري ساخته شده اند. به عنوان مثال برنامه اي كه وانمود مي كند كه يك بازي است ولي در واقع اجازه دسترسي از راه دور يك كاربر به كامپيوتر را فراهم مي آورد. برنامه هاي فوق بر خلاف ادعاي خود نه تنها عمليات مثبتي را انجام نخواهند داد بلكه باعث بروز آسيب هاي جدي پس از فراهم نمودن شرايط اجرا مي باشند. (بطور مثال ممكن است اطلاعات موجود بر روي هارد ديسك را حذف نمايند). اسب هاي تروا داراي روشي براي تكثير خود نمي باشند. اينگونه نرم افزارها اكثرا براي انتشار ويروس يا كرم و يا ايجاد يك Backdoor (در پشتي) بكار مي روند. به اينگونه نرم افزارها RAT نيز گفته مي شود.
-3-4-1جاسوس افزارها(Spyware)
نرم افزار جاسوسي هر نوع فناوري يا برنامه روي كامپيوتر شماست كه اطلاعات را بطور پنهاني جمع آوري ميكند. Spyware يك نام كلي براي برنامه هايي است كه رفتارهاي مشخص انجام مي دهند مثل نمايش آگهي هاي تبليغاتي، جمع آوري اطلاعات شخصي يا تغيير تنظيمات كامپيوتر شما كه معمولا بدون كسب مجوز اجرا مي شوند.
در حقيقت جاسوس افزار، نرم افزاري است كه اقدام به جمع آوري اطلاعات شخصي بدون آگاهي و يا اجازه كاربران مي نمايد. اطلاعات جمع آوري شده مي توان شامل ليست سايت هاي مشاهده شده توسط كاربر و يا اطلاعات بمراتب حساس تري نظير نام و رمز عبور باشد.

-4-4-1درهاي پشتي (Backdoor)
برنامه اي است كه به يك نفوذگر اين امكان را مي دهد تا پروسه امنيتي يك سيستم را دور زده و منابع مختلفي از آن سيستم را از راه مربوطه در اختيار نفوذگر قرار دهد. به عبارت ديگر در پشتي راهي ساده و فرعي براي ورود مجدد يه سيستم بدون پيش نيازهاي امنيتي ميباشد.
Backdoor حضور بلند مدت نفوذگر را بر روي سيستم هدف تضمين مي كند.
- 5-4-1باكتري ها (Bacteries )
اينگونه از نرم افراز هاي مخرب كاري بجز تكثير خود بصورت نمايي انجام نمي دهند ولي همين عمل مي تواند منجر به درگير شدن همه منابع سيستم (پردازنده، حافظه و فضاي ديسك سخت) تا سر حد مرگ شود.
Zombie -6-4-1
نرم افزار هاي معروف به Zombie در قالب برنامه هاي رايگان، زيبا و جذاب ولي آلوده در سراسر شبكه اينترنت توزيع مي شوند بخشي از كاربران آماتور كه آگاهي خاصي از اين موضوع ندارند، با اجراي اين برنامه ها، ارسال بخشي از بسته هاي بمباران كننده مثل SYN-Flood را بر عهده مي گيرند و بدين نحو بدون اطلاع، با اهداف شوم نفوذگر همسو مي شوند.
Rootkits -7-4-1
يك Rootkits، شامل مجموع اي از برنامه هايي است كه نفوذگر جهت گريز از كشف و رديابي در هنگام دسترسي غير مجاز به كامپيوتر هدف از انها استفاده مي كند. Rootkits، عملياتي كلي مانند جابجايي فايل هاي اصلي و كتابخانه اي يا نصب ماژول هسته سيستم عامل را انجام مي دهد. نفوذگر ابزارRootkit را پس از دسترسي به سيستم هدف در سطح يك كاربر مدير، بر روي سيستم نصب مي كند. اين دسترسي مي تواند از طريق درهم شكستن كلمه عبور و يا بهره گيري از نقاط آسيب پذير سيستم صورت گيرد. در ادامه نفوذگر اقدام به جمع آوري User ID هاي سيستم هدف از طريق ابزار Rootkit مي نمايد تا به حساب كاربري اصلي مانند حساب كاربري Root يا Administrator دست يابد.
-8-4-1بمب هاي منطقي
بمب هاي منطقي برنامه هايي هستند كه در زمان هايي از قبل تعيين شده؛ مثلا يك روز خاص؛ اعمالي غير منتظره انجام مي دهند. اين برنامه ها فايل هاي ديگررا آلوده نكرده و خود را گسترش نمي دهند در حقيقت بمب هاي منطقي يكي از قديمي ترين انواع نرم افزارهاي مخرب محسوب مي شوند. اين نرم افزار ها شامل يك قطعه كد پنهاني بوده كه در داخل يك برنامه مجاز گنجانيده شده است و همانطور كه گفته شد اين قطعه كد به شرط خاصي فعال مي شود و آن مي تواند وجود يا عدم وجود فايل خاصي، تاريخ / ساعت مشخصي و يا كاربر خاصي باشد كه در صورت فعال شدن معمولا همراه با انجام عمليات تخريبي مي باشد. ( مانند تغيير يا حذف فايل ها )
-5-1عملكرد ويروس ها
ويروس ها علاوه بر كار اصلي خود، كارهاي فرعي ديگري كه در اكثر اوقات از آنها براي جلب توجه كاربر استفاده مي شود ( و به اين قسمت از برنامه ويروس اكثرا Playload گفته مي شود)انجام مي دهند در قسمت زير بعضي از اينگونه فعاليت ها آورده شده است:
-1-5-1پيغام ها
گاهي ويروس ها اقدام به ارسال و نمايش پيغامهاي معني دار و بي معني به مخاطب خود مي كنند كه اصولا اين پيغام ها اهداف و جهت هاي خاصي را دنبال مي كنند. براي مثال ويروس WM98/jerk اقدام به نمايش پيغام هاي توهين آميز به كاربر و قرباني خود مي كند.
-2-5-1 شوخي ها
اکثر ويروس ها موضوعي مانند شوخي را سرلوحه كار خود قرار مي دهند و در كنار كار اصلي خود قصد شوخي كردن با كاربر خود را نيز دارند. براي مثال ويروس Yankee در ساعت 5 بعد ازظهر اقدام به نمايش و اجرا يك برنامه طنز خاص مي نمايد.
-3-5-1غير فعال كردن دسترسي ها
اين اقدام از مهمترين و اصلي ترين اقدامات يك ويروس بشمار مي آيد. البته ويروس هايي هم گزارش شده اند كه به هيچ وجه از اقدامات عدم دسترسي در جهت پيش برد اهدافشان استفاده نمي كنند. اما اين اقدام مي تواند يكي از استانداردترين اهداف يك ويروس بشمار آيد. به عنوان مثال ويروس WM97/NightShade در جمعه هايي با تاريخ 13 هر ماه متن هاي باز شده در دستگاه را توسط كلمه رمزي غير قابل دسترسي مي كند.
- 4-5-1سرقت اطلاعات
سرقت اطلاعات مي تواند هدف اصلي يك ويروس سارق به حساب آيد. البته نرم افزار هاي مخربي نيز وجود دارند كه در كنار كارهاي ديگر خود بر اساس شرايط خاصي مانند تاريخ و ساعت اقدام به سرقت از نوع مالي و اطلاعات مي كنند. به عنوان مثال يك نوع اسب ترواي LoveLet-A اطلاعات مربوط به كاربر و دستگاه او را به آدرسي در فيليپين ارسال مي كند.
- 5-5-1تخريب اطلاعات
ويروس ها عموما عمل تخريب اطلاعات را به خوبی انجام ميدهند و يكي از مهمترين كارهاي انها به حساب مي آيد. البته نوع و اندازه تخريب به نوع ويروس و هدف آن نيز بستگي دارد و عملكرد همه يكسان نمي باشد. بطور مثال ويروس XM/Compatable تغييراتي در اطلاعات صفحه هاي طراحي شده توسط برنامه Excel بوجود مي آورد.
- 6-5-1پاك سازي اطلاعات
عمليات پاك سازي در سطح هاي مختلف بر روي اطلاعات موجود انجام مي شود و ويروسهايي در اين زمينه گزارش شده اند كه تنها اطلاعات خاص را پاك نموده و برخي تمامي اطلاعات را پاك سازي مي كنند.به طور مثال ويروس Michelangelo در روز 6 ماه مارس قسمتي از اطلاعات بر روي ديسك سخت را بازنويسي كرده و از بين مي برد.

-7-5-1عدم دسترسي به سخت افزار
نوعي از ويروس ها فوق العاده خطرناك نيز در مجموعه ويروس ها وجود دارند كه اقدامات جبران ناپذيري را در زمينه سخت افزار يك سيستم كامپيوتري انجام مي دهند. اينگونه ويروس ها در برخي موارد اقدام به سوزاندن قطعات كامپيوتري كرده و در موارد معمولي تخريب اطلاعات برنامه ريزي شده بر روي دستگاه هاي سخت افزاري را به همراه خواهند داشت. اكثر ويروس هايي كه بدين فرم عمل مي كنند بر اساس زمان و تاريخ خاصي اقدام به انجام اينگونه تخريب ها مي كنند. بطور مثال ويروس CIH يا ( W95/CIH-10xx ) Chernobyl، در روز 26 ماه آوريل اطلاعات بر روي بايوس را بازنويسي كرده و آنها را از بين مي برد. بااين کار دستگاه غير قابل استفاده خواهد شد.
- 6-1راه‌های ویروسی شدن
راه‌های مختلفی برای ورود ویروس‌ها به رایانه شما وجود دارد.مانند فلاپی دیسک‌ها،لوح‌های فشرده،مشاهده وب گاه،دریافت نامه‌های آلوده،اجرای فایل‌های دریافت شده از اینترنت و غیره.بنابراین لازم است که تمامی این موارد به هنگام استفاده مورد کنترل یک نرم‌افزار ضد ویروس قرار گیرد. به بیان دیگر هنگامی که می‌خواهید برنامه‌ای را از روی یک لوح فشرده اجرا کنید و یا نامه‌ای را باز کنید،باید آنها را توسط یک نرم‌افزار ضد ویروس وارسی کنید.
فراموش نکنید که شما همواره مراقب منزل خود هستید و دقت می‌کنید که در منزل و پنجره‌ها هنگام شب یا هنگامی که در منزل نیستید، باز نباشند. به همین ترتیب باید همواره وضعیت قسمت‌های مختلف کامپیوتر خود را کنترل کنید. این که اندازه‌های فایل‌های شما عادی باشد یا نه،این که مثلاً فایل جدیدی به کامپیوتر شما اضافه نشده باشد و بسیاری موارد دیگر که به تدریج می‌توانید آنها را یاد بگیرید.اما یک نرم‌افزار ضد ویروس به سادگی می‌تواند هر موقع که شما اراده کنید تمام سیستم شما را کنترل کند و شما را از عدم وجود ویروس در کامپیوتر مطمئن سازد.


فصل دوم-آنالیزویروس ملیسا

2-1-ویروس ملیسا یک خطر جدید

ویروس ملیسا که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود لرزه بر پشت صنعت کامپیوتر انداخت.نگرانی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یابد و وقتی ایمیل باز میشودویروس به افراد کتابچه آدرس قربانی فرستاده می شود.این بدان معنی است که ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.همچنین ملیسا اسناد حساس را نیز میتواند برای افرادیکه در کتابچه آدرس هستند بدون اینکه کاربرمتوجه شود بفرستد.الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلی آلوده به نظر برسد از طرف فردی آمده است که دریافت کننده وی را می شناسد.

ملیسا امتیاز تهدید امنیتی بالقوه ایجاد شده توسط زبان های ماکرورانیز دارد. در این مورد ابزار برنامه نویسی برای برنامه های کاربردی مایکروسافت (VBA ) به برنامه های کاربران امکان اجرا در اسناد رامی دهد. در مورد ملیسا محقق عاملیت بد خیم را در سند استفاده شده به عنوان یک ضمیمه ایمیلی برنامه ریزی کرده است.به این دلیل ویروس ملیسا معرف یک توسعه جدید و بزرگ در تکنولوزی ویروس است.

ویروس های مشابهی می توانند بسیار بد خیم تر از ملیسا باشند این را JEFF Carpenterرهبر تیم پاسخگویی به حوادث در تیم پاسخگویی به موارد اضطراری کامپیوتری در دانشگاه Carnegie mellon میگوید.این می تواند انشعابات شدیدی داشته باشد چون بسیاری از سازمان ها وابسته به ایمیل برای وظائف خود هستند.بدتر از همه این نوع مشکل اجرای فعالیت های اینترنتی را بر هم زده و باعث دهها بیلیون دلار خسارت میگردد.این را MIChael A.vatis مدیر مرکز حفاظت زیر ساخت های ملی (NIPC)می گوید.

2-2-اثرات مخرب ویروس ملیسا

ملیسا در 26مارس جمعه شروع بکار کرد.

اثرات ملیسا

کاربران پیام های ایمیل را با موارد زیر دریافت کردند:

_ یک خط موضوعی که به دنبال نام قربانی قبلی که نام دریافت کننده را در کتابچه آدرس ایمیل دارد و احتمالا وی را می شناسد مطلب زیررا می خواند((یک پیام مهم از...))

یک پیام متنی که می گوید:((این سندی است که شما می خواهید ...آن رابه کس دیگری نشان ندهید))

_یک ضمیمه به نام List.doc با لیست دارای نامهای کاربران وپسوردهای انها در سایت های وب مستهجن که از یک گروه خبری alt.sexگرفته شده است.

چون این پیام بنظر از طرف یک آشنا آمده است دریافت کننده راتشویق به بازکردن ضمیمه میکند.

اگر قربانی از ایمیلOutlook مایکروسافت وWord 97 یا2000Word استفاده کرده باشد دستورالعمل های مایکروویروس پیام وضمیمه آلوده را به 50 تماس در هر کتابچه آدرس ایمیل قربانی می فرستد. چون یک تماس می تواند معرف یک گروه از افراد باشد نه فقط یک فرد این ویروس میتواند به بیش از 50 دریافت کننده در یک لحظه فرستاده شود.این ویروس نرم افزار word را الوده و در ادامه تمام سندهای فعال شده Word را نیز الوده وبه این ترتیب امکان توزیع وگسترش ان فراهم میگرددو همچنین این ویروس باعث بروز تغییرات در تنظیمات سیستم بمنظور تسهیل در ماموریت خود میگردد.ملیسا الگوی normal.dotدرwordرا آلوده میکند که عموما برای ایجاد اسناد استفاده می شود.اسناد جدیدسپس با ملیسا آلوده می شوند.اگر کاربر اسناد آلوده را به صورت ضمیمه ایمیل کند دریافت کننده با outlookمایکروسافت، ویروس را با باز کردن ضمیمه فعال می کند بنابراین کپی هایی از آن اسناد آلوده به اولین 50تماس خود در کتابچه آدرسشان را ارسال می کنند.اگر این سند دارای محتویات حساس باشد باعث ایجاد مشکلات امنیتی خواهد شد.

در صورتیکه کلید رجیستری زیر در کامپیوتری وجودداشته باشد،نشاندهنده آلودگی سیستم به ویروس Melissa است.مقدار رجیستری فوق”by kwyjibo….” است.

HKEY_CURRENT_USERSoftwareMicrosoftOfficeMelissa

با انتشار ملیساسریعااین ویروس شروع به گسترش و بستن سرورهای ایمیل می کند.این به بسیاری از سازمانهای کوچک که ازیک سرور برای ایمیل و دیگر کاربری های مهم خود استفاده میکند صدمه می زند.

2-3-خسارت های فراوان ویروس ملیسا

ملیسا باعث بر هم ریختگی های شدیدی در سازمان های بزرگی مثل Microsoft،US Marine Corps،Honeywell،Intel ،E.I.du pont de Nemours and Co شده است.Shrader از Trend Microمی گوید:ملیسا سریعترین ویروس منتشر شده ای است که من بدون شک تا به حال دیده ام.TippettازICSA تخمین زده است که ملیسا حدود 2/1میلیون کامپیوتر و 53000 سرور را در 7800 شرکت در آمریکای شمالی آلوده کرده است که حداقل 200، PCداردوارزش آن بین 249میلیون و 561 میلیون دلار جهت نصب است. سخنگوی ICSA Barbara Rose می گوید از 300شرکت تحقیق شده هزینه مبارزه با ملیسا 1750دلار بود اگر چه برخی هزینه های بالاتر از 100000دلار رانیز گزارش دادند دراول آوریل آژانس های اجرای قانون از ظن در این مورد جلوگیری کردند.

در آخر هفته ای که ملیسا منتشر شد کاربران ITدرسازمان های آلوده شده شروع به یادگیری در مورد ویروس پرداخته و در بسیاری موارد سرورهای ایمیل خود را خاموش کرده و ویروس را از سیستم های خود حذف کردند برای مثال مجریان تمام ایمیل های با خط موضوعی امضای ملیسا را فیلتر کردند. ضمنا فروشندگان آنتی ویروس شروع به کار کردند. Schrader می گوید: این ویروس ساده ای است راه حل آن نیز ساده است برای ما فقط 20دقیقه، ایجاد یک الگو جهت شناسایی ویروس زمان می برد.

سازمان های دارای سیستم های مدیریت امنیت مرکزی کل شبکه خود را برای پاک شدن ملیسا اسکن کردند دیگر سازمان ها نیز باید دسک تاپ خود را اسکن کنند.

رشد فزاینده زبان های ماکرو این مفهوم را تقویت کرده است که ماکروویروس هارایج تر و خطرناک تر شده است. خصوصا از زمانی که ملیسا منتشر شده است زبان های ماکرو برای جاسازی انواع عاملیت ها در اسناد استفاده می شود. برای مثال کاربران می توانند یک تقویم رادریک گزارش هزینه جا بدهند،بنابراین میتوانند تاریخ های مسافرت را که در سند ثبت شده اند را پیگیری کنند.به این نکته Neil Charneyمدیر تولید ابزاربرنامه نویسی در بر نامه های کاربردی (VBA) مایکرو سافت در word 2000 اشاره می کند. بااین وجود نویسندگان ویروس مثل کسی که ملیسا را نوشته است می تواند از زبان های ماکرو در جاسازی یک عاملیت بدخیم دراسناد استفاده کند. فروشندگان برنامه های کاربردی زبان های ماکرو را برای محصولاتشان پیشنهاد میکنند. VBA ابتدا درسال 1993عرضه شد و در آفیس ماکروسافت که بزرگترین محیط کاربردی است استفاده شد، بنابر این بیشترین استفاده را از زبان ماکرو داشته است .Charney می گوید علیرغم نام آن ماکرو ها برای کارهای بیش از ایجاد ماکروها دروظایف خودکار استفاده شده اند. وی می گوید: VBA می تواند به عنوان یک محیط توسعه باشد برای مثال وی گفت VBA با افزایش طرح هایی که فروشندگان را شامل نمی شود برای بهبود برنامه های کاربردی مایکروسافت استفاده شده است بعلاوه VBAبرای ادغام عاملیت چندین برنامه کاربردی استفاده میشود برای مثالCharney میگوید به جای وارد کردن دستی داده ها از یک پایگاه داده به یک صفحه گسترده استفاده شده است.

Dan Shchraderمدیر تجاری ایمنی در Portal Division at Trend Macroکه یک فروشنده نرم افزار های آنتی ویروس است بر این نظر میباشد که بسیاری از کاربران قوی این قابلیت ها را می خواهند، با این وجود می گوید صنعت کامپیو تر باید مراقب باشد چون زبان های ماکرو میتواند اسناد را تبدیل به برنامه های قابل اجراکند. کاربرانی که سندی را فقط برای خواندن باز میکنند نادانسته یک برنامه جاسازی شده را فعال می کنند که می تواند بد خیم باشد. عموما عاملیت بیشتر منجر به امنیت کمتر می شود.

Roger Thompsonمدیر فنی تحقیقات کدهای بد خیم در انجمن بین المللی امنیتی کامپیوتر که یک مشاوره دهنده امنیتی است می گوید طرح هایی مثل VBAانجام کارهای خوب وبد را آسانتر کرده استSchrader.

می گوید زبان های ماکرو نوعی طرح متداول هستند که از بین نمی روند بنابر این صنعت کامپیوتر باید راهی را برای زندگی ایمنتر با آنها پیدا کند.

2-4-متغیر ها و گونه ها

دو روز پس از انتشار، ویروس نویسان چندین گونه از ملیسا را با نام های Madcow ،Papa ،Syndicate Marauderمنتشر کردند. برای مثال Papaاکسل مایکروسافت را تحت تاثیر قرار می دهد که مثل word،VBAرا پشتیبانی می کند. وقتی یک قربانی از outlook مایکروسافت باز شده در ضمیمه ای برپایه اکسل در یک نوشته ایمیلی استفاده میکند،ویروس یادداشت وضمیمه ای به اولین 60تماس در کتابچه آدرس قربانی ارسال می کند .Roger Thompson مدیر فنی ICSA در تحقیقات کد های بد خیم اشاره می کند که نویسندگان گونه های خود از کد های ملیسا را به چندین گروه خبری مدت کوتاهی پس از انتشار ارسال کرده اند . با این وجود بسیاری از شرکتهای آنتی ویروس منتظر گونه ها بوده و نرم افزارهای بروزی که بتواند آنها را شناسایی کند تولید کرده اند.

2-5-بازداشت فرد مظنون به تولید ملیسا

با انتشار ملیسا در شبکه ها در 26مارس آژانسهای اجرای قانون مثل FBIشروع به جستجوی تولیدکننده ویروس کردند. آنها منبع ویروس را در نیوجرسی رد یابی کردند.

در اول آوریل ،محققین جرم های کامپیوتری با پلیس ایالتی نیوجرسی وبخش امنیت عمومی وقانون David L. Smith 31ساله که یک برنامه نویس است و در نیوجرسی زندگی میکند را بازداشت کردند.





شکل،David L.Smith(در مرکز)از دادگاه می خواهد که به دفاعیات وی در ایجاد ویروس ملیسا گوش دهند. وی همراه با وکیل خودEdward F.Borden است. محققین Smith رامتهم به برهم زدن ارتباطات عمومی، توطـیه در برهم زدن ارتباطات عمومی وتلاش برای برهم زدن ارتباطات عمومی با اتهام درجه2وسرقت از سرویس های کامپیوتری وصدمه و فعالیت نامشروع در سیستم های کامپیوتری با اتهام درجه 3کردندووی پس از گذاشتن 100000دلار وثیقه ازاد شد.وکیل Smithاز پرنستون نیوجرسی در دفاع از وی تمام اتهامات را قبول نکرد.

Smithبا حداکثر جریمه 480000دلار و40سال زندان طبق گفته Paul Loriquetسخنگوی دفاتر عمومی وکلای نیوجرسی محکوم شد. با تکمیل تحقیقات دفتر عمومی وکالت به هیات منصفه ایالت دلایلی را می فرستند تا دادگاه در کیفر خواست وی تصمیم بگیرد.

2-6-نتیجه گیری

ملیسا بر این تاکید دارد که سازمان ها باید رمزدار کردن تمام ایمیل ها را متوقف کنند. وقتی پیام ها رمزدار شدند نرم افزار آنتی ویروس محتویات آن را نمی تواند بخواند وبنابراین نمی تواند تعیین کند که آیا دارای ویروس های ایمیلی مثل ملیسا هستند یا نه. مردم نیاز به رضایتمندی بیشتردارند رمز دار کردن تمام ایمیل ها آیا لازم است؟ شاید آنها فقط مهمترین ایمیل ها را رمز دار کنند. البته متخصصی

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: