فصل یکم- ویروس ها
- 1-1تعریف ویروس
به برنامههای رایانهای که به منظور تخریب ویا سوءاستفاده از ساختار یک رایانه نوشته شود،ویروس رایانهای میگویند. ویروس رایانهای عبارتی است برای یک برنامه ناخواسته مخرب که میتواند روی رایانههامنتشرواجراگردد.
.معمولاًویروسهاتوسط برنامهنویسان برای مقاصد گوناگون نوشته میشوند. اهدافی چون شهرت،انتقام، ایجاد خسارت و یا اهداف اقتصادی میتوانند باعث ایجاد انگیزه در نوشتن ویروس کامپیوتری شوند. برخی از ویروسها بسیار مخرب هستند و برخی تنها جنبه تبلیغاتی دارند.
علت نامگذاری این برنامهها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروسها در دنیای حقیقی است. ویروس رایانهای را میتوان برنامهای تعریف نمود که میتوان خودش را با استفاده از یک میزبان تکثیر نماید. بنابراین تعریف اگر برنامهای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد،نمیتوان آن را ویروس نامید.
معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند،ویروسها را برنامههایی هوشمندوخطرناک میدانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر میگردند در حالی که طبق آمار تنها پنج درصد ویروسها دارای آثار تخریبی بوده وبقیه صرفاً تکثیر میشوند. بنابراین ویروسهای رایانهای از جنس برنامههای معمولی هستند که توسط ویروسنویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک،فایلها و یا کامپیوترهای دیگر را آلوده میکنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخهای خودش را تولید کرده و به برنامه های دیگر میچسباند و به این ترتیب داستان زندگی ویروس آغاز میشودوهر یک از برنامهها و یا دیسکهای حاوی ویروس، پس ازانتقال به کامپیوترهای دیگر باعث تکثیر نسخههایی از ویروس وآلوده شدن دیگر فایلها و دیسکها میشوند.
بنابراین پس از اندک زمانی در کامپیوترهای موجود در یک کشور و یا حتی در سراسر دنیا منتشر میشوند.از آنجا که ویروسها به طور مخفیانه عمل میکنند، تا زمانی که کشف نشده وامکان پاکسازی آنها فراهم نگردیده باشد، برنامههای بسیاری را آلوده میکنند و از این رو یافتن سازنده و یا منشأ اصلی ویروس مشکل است.
ویروسها هر روز در اینترنت، بیشتروبیشتر میشوند. ولی تعداد شرکتهای آنتی ویروس ثابت است. پس ما باید برای حفاظت از سیستم خود دست به کار شویم. دراین سلسله مقالات سعی داریم که نحوه مقابله با ویروسهاوهمین طور بیوگرافی ویروسهاونحوه مقابله با هر ویروس را آموزش بدهیم.
از نظر مردم عادی به برنامهای که در سیستم عامل اختلالات ایجاد کندویروس است ولی باید بدانید که خود ویروسها بنا به کارها و امکاناتی که دارند تقسیمبندی میشوند.ویروسها مثل سایر برنامهها هستند.کسانیکه ویروس رامینویسندهم ازهمین برنامههای عادی برنامهنویسی استفاده میکند.این برنامهها دقیقاً مثل چاقو میماند که هم میشود استفاده درست کرد هم نادرست.
- 2-1تاریخچه ورود ویروس
1949:
Home
برای اولین بار تئوری برنامههایی که خودشان را جایگزین مینمایند مطرح گردید.
1981: ویروسهای Apple 1 , Apple 2 , Apple 3 از اولین ویروسهایی بودند که پا به عرصه عمومی نهادند.این ویروسها توسط کمپانی Texas A & M برای جلوگیری از کپیهای غیر مجاز بازیهای کامپیوتری نوشته و سپس شایع شدند. این ویروسها ویژه سیستم عامل Apple II بودند.
1983: فرد کوهن (Fred Cohen) زمانی که روی رساله دکترایش کار میکرد، رسماً یک ویروس کامپیوتری را چنین تعریف نمود: «یک برنامه کامپیوتری که میتواند روی سایر برنامههای کامپیوتری از طریق تغییر دادن آنها به روشی (شاید) مانند کپی کردن خودش روی آنها، تأثیر بگذارد».
1986: دو برادر برنامهنویس پاکستانی به نامهای «بسیط» و «امجد» کد قابل اجرای موجود در بوت سکتور یک فلاپی دیسک را با خودشان (که برای آلوده نمودن فلاپی دیسکهای 360KB نوشته بودند) جایگزین کردند. تمام فلاپیهای آلوده دارای برچسب «Brain» بودند.بنابراین، این ویروس «Brain» یا «مغز پاکستانی» نام گرفت. همزمان در کشور اتریش برنامهنویسی به نام رالف برگر «Ralf Burger» دریافت که یک برنامه میتواند از طریق چسباندن خودش به انتهای یک برنامه دیگر تکثیر شود،او با استفاده از این ایده برنامهای به نام Virdem نوشت که پدیده فوق را شبیهسازی مینمود. پس از آن برگر Virdem را در کنفرانسی به همه معرفی نمود. برگر همچنین کتابی درباره ویروسهای کامپیوتری نوشت ودرآن سورس ویروس به نام Vienna را چاپ کرد که این مسأله بعداً باعث سوءاستفاده بسیاری از افراد گردید.
1987: یک برنامهنویس آلمانی ویروسی به نام Cascade نوشت.این ویروس، اولین ویروسی بود که روش رمز کردن (Encryption) را به کار میبرد. در این روش بیشتر کد ویروس به غیر از چند بایت از آن به صورت رمز شده در میآید و از آن چند بایت بعداً برای رمزگشایی بقیه کد ویروس استفاده میشود. در این صورت تشخیص ویروس برای آنتی ویروسها بسیار مشکلتر میباشد و دیگر رشته تشخیص ویروس (که در آنتی ویروسها به کار میرود) به چند بایت محدود نمیشود.
بعدها برنامهنویسی به نام مارک واشبرن «Mark Washburn» با استفاده از این ایده و سورس ویروس Vienna اولین ویروس هزار چهره (Polymorphic) به نام «1260» را نوشت.
1988: ویروس Jerusalem منتشر شدوبه یکی از شایعترین ویروسها تبدیل گشت.این ویروس درروزهای جمعهای که مصادف با سیزدهم هر ماه بودند فعال میشدوضمن آلوده نمودن فایلهای Com , Exe، هر برنامهای که در آن روز اجرا میشد را نیز پاک مینمود.
1989: در ماه مارچ مهمترین موضوع ویروسی، خبری بود که حکایت از فعال شدن ویروسی به نام Datacrime در ماه آوریل داشت.اما پس از بررسی سورس کد ویروس معلوم شد که این ویروس در هر تاریخی پس از روز سیزدهم اکتبر فعال شده واقدام به فرمت کردن سیلندر صفر هارد دیسک مینماید. بدین ترتیب کاربران تمامی محتوای هارد دیسکشان را از دست میدهند. ویروس Datacrime به احتمال زیاد در کشور هلند نوشته شده بود ولی آمریکاییها اسم آن را ویروس Columbus Day گذاشتندواعتقاد داشتند که توسط تروریستهای نروژی نوشته شده است. در این سال این ویروس علیرغم سر و صدای زیادش، خسارتهای چندانی به بار نیاورد. در این سال همچنین ویروسنویسان بلغاری و روسی وارد عرصه ویروسنویسی شدند.
1990: مارک واشبرن «Mark Washburn» ابتدا ویروس هزار چهره 1260 و سپس بر همان اساس ویروسهای V2P1 , V2P2 V2P6 را نوشت وسورس کد آنها را منتشر نمود، هر چند که بعداً ویروسنویسان این کدها را به کار نبردند و حتی این ویروسها خطر چندانی هم نداشتند ولی ایده موجود در آنها الهامبخش بسیاری از ویروسنویسان شد.
از طرف دیگر در بلغارستان ویروسنویس ماهری با نام مستعار Dark Avenger چند ویروس خطرناک به نامهای DarkAvernger- 1800 , Number of the Beast , Nomenklaturaرانوشت. ویروسهای وی دارای دو ویژگی مهم«آلودهسازی سریع» و «صدمه زدن زیرکانه» بودند. Dark Avenger به صورت فعالانهای از طریق آلوده نمودن برنامههای Shareware وارسال آنهااقدام به پخش ویروسهایش نیز مینمود. همچنین در این سال کمپانی Symantec نیز آنتی ویروس Norton را به بازار عرضه نمود.
1991: سر و کله ویروس Tequila از کشور سوئیس پیدا شد. این ویروس، ویروس هزار چهره کاملتری بود که پا به عرصه عمومی گذاشت و بسیار شایع شد. پس از آن نوبت انتشار ویروس هزار چهره دیگری به نام Amoeba از کشور مالت رسید. تشخیص ویروسهای هزارچهره به دلیل اینکه پس از هر بار آلودهسازی ظاهرشان را تغییر میدهند، برای اسکنرهای ویروس بسیار سختتر میباشد.
Dark Avenger هم درانتهای این سال موتور خود تغییر دهنده «MtE» را ابداع کرد که میتوانست چهار میلیارد شکل مختلف به خود بگیرد و با پیوند زدن آن به هر ویروسی، یک ویروس کاملاً چند شکلی پدید میآمد. وی سپس با استفاده از MtE ویروسهای Dedicated , Commander Bomber را به دو سبک کاملاً متفاوت نوشت.
1992: تعداد ویروسها به هزار و سیصد عدد رسید که در مقایسه با ماه دسامبر سال 1990 چهارصد و بیست درصد افزایش یافته بود. همچنین در این سال پیشبینی شد که خطر ناشی از انتشار ویروس «میکلآنژ» پنج میلیون کامپیوتر را تهدید به نابودی خواهد کرد، که البته این رقم در عمل به بیش از ده هزار تا نرسید. علاوه بر اینها ویروس هزار چهره جدیدی با نام Starship پا به میدان نهاد، نرمافزارهای تولید ویروس توسط دو ویروسنویس با نامهای مستعار Nowhere Man , Dark Angel نوشته شدندودرانگلستان نیز گروه ویروسنویسی ARCV تأسیس شد.
1993-1994: گروه ویروسنویسی جدیدی به نام Tridend در کشور هلند فعالیت خود را آغاز نمود و موتور جدیدی به نام TPE را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ویروسهای، Girafe Cruncher، Bosnia را نوشتند. در آمریکا هم Dark Angel به کمک موتور ابداعیاش موسوم به DAME ویروس Trigger را نوشت.
1995: Concept اولین ویروس ماکرو، نوشته شد. این ویروس اسناد نرمافزار Microsoft Word را مورد حمله قرار میداد.
1996: در استرالیا گروهی از ویروسنویسان به نام VLAD اولین ویروس ویژه سیستم عامل ویندوز موسوم به Bonz و همچنین اولین ویروس سیستم عامل لینوکس موسوم به Staog را نوشتند. علاوه بر اینها اولین ویروس ماکروی نرمافزار Microsoft Excel به نام Laroux نیز در این سال نوشته شد.
ویروس Strange Brew، اولین ویروسی که فایلهای جاوا را آلوده میکرد، نوشته شد. این ویروس با کپی کردن خودش در میان کد فایلهای Class و عوض نمودن نقطه شروع اجرای این فایلها با نقطه شروع کد ویروسی اقدام به تغییر دادن فایلهای Class مینمود. همچنین Back Orifice اولین اسب تراوایی که امکان دسترسی از راه دور به سایر سیستمها را در اینترنت فراهم مینمود، نوشته شد و کمکم مقدمات ظهور ویروسهای ماکروی نرمافزار Microsoft Access نیز فراهم میگردید.
1999: ویروس «ملیسا» از طریق اجرا نمودن ماکرویی که در اسناد ضمیمه شده به نامههای الکترونیکی موجود بود، صدمه زدن به سیستمها را آغاز نمود. این ویروس همچنین برای گسترش خود از دفترچه آدرس نرمافزار Outlook استفاده میکرد و ضمیمههای آلوده را برای 50 نفر دیگر ارسال مینمود. ویروس «ملیسا» سریعتر از تمامی ویروسهای قبلی منتشر گردید. در این سال همچنین ویروس Corner اولین ویروسی که میتوانست فایلهای برنامه MS Project را آلوده سازد، نیز نوشته شد. علاوه براین، نوآوریهای دیگری هم در دنیای ویروسنویسان صورت گرفت که از بین آنها میتوان به نوشته شدن ویروس Tristate که اولین ویروس ماکروی چند برنامهای بود و میتوانست فایلهای سه برنامه از برنامههای مایکروسافت (ورد، اکسل و پاور پوینت) را آلوده کند و همچنین نوشته شدن کرم Bubbleboy اشاره نمود.
این کرم هم اولین کرمی بود که وقتی کاربر نامه ساده و بدون ضمیمهای را در نرمافزار Outlook Express باز و یا آن را پریویو مینمود، فعال میگردید. حتی بدون اینکه ضمیمهای به همراه نامه باشد، این کرم برای اثبات یک روش جدید نوشته شده بود و بعداً ویروس Kak از این روش بهره گرفت و به صورت گستردهای شایع شد.
2000: ویروس I Love You درست مانند ویروس «ملیسا» به وسیله نرمافزار Outlook در سراسر دنیا پخش گردید. اما این ویروس از نوع اسکریپت ویژوال بیسیک بود که به صورت ضمیمه نامه الکترونیکی ارسال میشد. ویروس I Love You فایلهای کاربر را پاک میکرد و حتی به برخی از فایلهای تصویری و موسیقی نیز رحم نمیکرد. علاوه بر این، ویروس اسم کاربر و رمز عبور وی را میدزدید و برای نویسندهاش میفرستاد.
در این سال همچنین ویروسهای Resume (که شبیه ویروس «ملیسا» بود) و Stages (که از روش پسوند دروغین بهره میگرفت) نیز ظهور کردند. در ماه ژوئن این سال و در کشور اسپانیا کرم Timofonica از نوع اسکریپت ویژوال بیسیک اولین حمله به سیستمهای مخابراتی را آغاز نمود و در ماه نوامبر نیز اولین ویروس نوشته شده به زبان PHP ظاهر شد، این ویروس که Pirus نام گرفت، خودش را به فایلهای PHP , HTML اضافه مینمود.
2001: ویروس Anna Kournikova در پوشش تصویر ستاره تنیس، «آنا کورنیکووا» و با روش انتشاری مشابه ویروسهای «ملیسا» و «I love You» ظاهر شد. در ماه می این سال هم ویروس Home Page به حدود ده هزار نفر از کاربران نرمافزار Outlook آسیب رساند. در ماه جولای و آگوست نیز کرمهای CodeRed I ، Code Red II به شبکههای کامپیوتری حمله نمودند.
تعداد کامپیوترهای آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سیستمها بالغ بر دو میلیارد دلار برآورد گردید.
حادثه مهم دیگری که در این سال به وقوع پیوست، نوشته شدن ویروس Winux یا Lindose در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابلیت آلودهسازی هر دو سیستم عامل ویندوز و لینوکس را با هم داشت.
در این سال همچنین ویروس LogoLogic-A و ویروس PeachyPDF-A (اولین ویروسی که برای پخش شدن از نرمافزار کمپانی Adobe ویژه فایلهای PDF استفاده میکرد) نیز پا به عرصه حیات گذاشتند. ولی بدون شک اهمیت هیچ یک از این ویروسها به اندازه کرم Nimda نبود، این کرم که در ماه سپتامبر ظاهر شد، از تکنیکهای برتر سایر ویروسهای مهم به صورت همزمان استفاده مینمود. بنابراین توانست تا بسیار سریع گسترش یابد.
از ویروسهای خطرناک و خبرساز دیگر این سال نیز میتوان به ویروسهای Sircam , BanTrans اشاره کرد.
2002: ابتدا در ماه ژانویه شاهد ظهور اولین ویروس آلوده کننده فایلهای با پسوند SWF بودیم که LFM-926 نام داشت. این ویروس یک اسکریپت دیباگ (که میتوانست یک فایل COM ساخته و به وسیله آن سایر فایلهای با پسوند SWF را آلوده نماید) رها میکرد. پس از آن کرم Donut به عنوان اولین کرمی که به سرویسهای NET. توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولین کرمی که مختص سرویسهای NET. بود وارد عرصه شد. این کرم توسط یک دختر جوان بلژیکی با نام مستعار Gigabite و به زبانC# نوشته شد. در ماه می این سال نیز Benjamin ظاهر شد. این ویروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده مینمود.
در ماه ژوئن ویروس Perrun برای اثبات فرضیه «امکان آلودهسازی فایلهای تصویری با پسوند JPEG توسط ویروسها»، نوشته شد که این مسأله تا قبل از این غیر ممکن مینمود. در این ماه کرم Scalper که وب سرورهای Apache را مورد حمله قرار میداد و از آنها برای طغیان شبکه سوء استفاده میکرد نیز شناسایی گردید.
-3-1 انواع ویروس
انواع ویروس های رایج را می توان به دسته های زیر تقسیم بندی نمود:
-1-3-1سکتور بوت (boot sector)
سکتور بوت اولین سکتور بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام میشود. با توجه به اینکه در هر بار روشن شدن و بارگذاری، سکتور بوت مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکر بندی کامپیوتر محتوای سکتور بوت هم مجدداً نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.
ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. این ویروس هااز طریق فلاپی هایی که قطاع بوت الوده دارند انتشار می یابند. در صورت آلوده شدن سکتور بوت دیسک سخت کامپیوتر توسط ویروس، هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپیها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. اینگونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانیکه دستگاه آلوده است امکان بوت کردن کامپیوتر از روی دیسک سخت وجود نداشته باشد.
این ویروس ها بعد از نوشتن بر روی متن اصلی بوت سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب علامت گذاری می کند. هنگامی که شما در مرتبه بعدی دستگاه راروشن می کنید، سکتور بوت آلوده شده، مورد استفاده سخت افزار قرار خواهد گرفت و بنابراین ویروس فعال خواهد شد.
پس در صورتیکه کاربر دستگاه را به وسیله یک دیسکت آلوده، (معمولاً دیسک های نرمی که سکتور بوت آلوده دارند) راه اندازی کند، در نهایت دستگاه آلوده به ویروس خواهد شد.
- 2-3-1ویروس های ماکرو (کلان دستور)
ویروس های macro از مزایای برنامه نویسی macro سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده و به صورت خودکار اجرا می شوند. این نوع ویروس ها مستقیماً برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Excel یا Wordاستفاده می کنند. در حقیقت ویروس های macro یک برنامه ماکرو است که می تواند از خود کپی ساخته و از فایلی به فایل دیگر گسترش پیدا کند. ویروس های macro از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های الکترونیکی قابل گسترش می باشد.
- 3-3-1ویروس های چند ریخت
این ویروس ها درهر فایل آلوده به شکلی ظاهر می شوند. با توجه به اینکه از الگوریتم های کد گذاری استفاده کرده وردپای خود را پاک می کنند، آشکارسازی و تشخیص اینگونه ویروس ها دشوار است.
-4-3-1ویروس های مخفی
این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضد ویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضد ویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضد ویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد. این ویروس ها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام می دهند.
- 5-3-1ویروس های چند بخشی
رایج ترین انواع این ویروس ها ترکیبی از ویروس های سکتور بوت و ویروس های انگلی می باشند. ترکیب انواع دیگر ویروس ها هم امکان پذیر است.
-6-3-1ویروس های مبتنی بر پست الکترونیکی
ویروس هایی از این نوع از طریق پیام های پست الکترونیکی منتقل می گردند. این نوع ویروس ها بصورت خودکار برای افراد متعدد، پست خواهند شد. گزینش افراد برای ارسال نامه الکترونیکی بر اساس دفترچه آدرس پست الکترونیکی، انجام می گیرد.
در حقیقت آخرین اطلاعات موجود در رابطه با ویروس های کامپیوتری به ویروس های پست الکترونیکی اشاره دارد و در حال حاضر پست الکترونیک بزرگترین منشاه ویروس ها می باشد.
-7-3-1ویروس های دوزیست
اینگونه ویروس ها، ویروس هایی هستند که در دو محیط مختلف از نظر نوع سیستم عامل قادر به زیست و آلوده سازی می باشند. این نوع از ویروس ها در سیستم عامل های معروفی چون ویندوز و خانواده لینوکس بیشتر دیده شده اند و براحتی قادر به مهاجرت از سیستم عامل ویندوز به لینوکس و بلعکس می باشند. نگارندگان ویروسهای کامپیوتری تاکنون نمونه های مختلفی از این کدهای مخرب را که می تواند هر دو سیستم عامل ویندوز و لینوکس را مبتلا سازند، به صورت محدود و کنترل شده منتشر کرده اند.
- 4-1ساير نرم افزار هاي مخرب
برخي از محققين كرم ها، اسب هاي تروا ( Trojan Horse )، Spyware ها، Trapdoor ها، Backdoor ها، باكتري ها، Zombie، Rootkit و بمب هاي منطقي را در دسته ويروس ها قرار نمي دهند ولي واقعيت اين است كه اين برنامه ها هم بسيار خطرناك بوده و مي توانند خساراتي جدي به سيستم هاي كامپيوتري وارد نمايند .
- 1-4-1کرم ها
اولین و مشهورترین ویروس یک Worm میباشد که به طور تصادفی در 2 نوامبر 1988 وارد شبکه گردید. طبق ادعای طراح آن هدف از این کار تنها اثبات کردن ضعف سیستم امنیتی کامپیوترها بوده است. اینترنت در سال 1988 دوران کودکی خود را طی میکردو تنها در اختیار معدودی از دانشگاهها، مؤسسات تحقیقاتی دولتی مانند NASA و آزمایشگاههای بینالمللی مانند Los Alamos بود. با وجود اینترنت بسیار محدود آن زمان خبر از کار افتادن این مغزهای کامپیوتری در MIT , Berkeley و... تمام مردم را شوکه کرد. تنها در مذت چند ساعت بیش از 3000 کامپیوتر در مهمترین مراکز آمریکا از کار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار برآورد گردید.
Wormها زیر مجموعهای از ویروسهای کامپیوتری میباشند که برخلاف دیگر ویروسها از جمله Melissa که خود را به صورت E-Mailبرای کاربران اینترنتی میفرستد. سیستم کامپیوتر را سوراخ کرده و به طرف مغز کامپیوتر پیش میروند. یکی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده به طوری که قابل ردگیری نمیباشند. این Wormها مانند ویروسهایی میباشند که خود را در اعصاب ستون فقرات پنهان کرده و گاه و بیگاه دردهای شدیدی را تولید میکنند و اما Wormهای مفید: در میان انواع Wormها کرمهای مفیدی نیز طی سالیان متمادی به منظور چک کردن کارآیی سیستم و... مورد استفاده قرار گرفتهاند.
این Wormها Agent نامیده شده و درون شبکه حرکت کرده اطلاعات منابع مورد استفاده و... را چک و اطلاعاتی در مورد کارکرد شبکه یا حتی محلی را که می توان ارزانترین DVD را خریداری نمود به کاربر اعلام میدارند. از تفاوتهای بارز میان Agent و Worm میتوان به این مورد اشاره کرد که Agent برخلاف Worm خود را تکثیر نکرده و درون سیستمهای کاربران نفوذ نمیکند.
-1-1-4-1تاریخچه اولین کرم
این Worm که توسط Robert Tappan Morris طراحی شده به RTM مشهور گردید. Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامهنویسی کامپیوتر روی آورد. بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امکانات کامپیوتری واینترنتی دانشگاه بهرهمند شد. وی در اکتبر سال 1988 برنامهای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی کامپیوتر طراحی کرد. نحوه کار این برنامه بدین ترتیب بود که پس از رها شدن آن در اینترنت سریعاًوبدون جلب هیچ گونه توجهی پخش میگشت (طبق اظهارات وکیل مدافع موریس).
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق کامپیوترهای دانشگاه MIT وارد شبکه کرد. یکی از خصوصیات این ویروس اضافه کردن یک شمارنده به برنامه بود. بدین ترتیب در صورتی که این برنامه حداکثر تا 6 بار یک کپی از خود را در کامپیوتر پیدا میکرد، تکثیر نشده ودر هفتمین بار این برنامه پس از تکثیر و نفوذ به کامپیوتر آن را مورد هجوم قرار میداد. این برنامه ضمیمه یک اشتباه بسیار مهلک بود!! کامپیوترهایی که در سال 1988 به اینترنت متصل میشدند به طور میانگین هر 10 روز یک بار خاموش شده ودوباره راهاندازی میگشتند. از آنجا که برنامه موریس در کامپیوتر ذخیره نمیشد، این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن کامپیوتر برنامه به طور خودکار از میان برود.
با این حال از آنجایی که تمام کامپیوترهای متصل به اینترنت به طور همزمان خاموش نمیشدند این Wormها میتوانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Wormها همواره دارای یک تعادل بوده و مشکل خاصی را در کامپیوتر سبب نمیشدند. و اما ایراد برنامه موریس دراین بود که این Worm بسیار سریعتر از انتظار موریس تکثیر مییافت در کمتر از چند ساعت بعد از آزادسازی آن هزاران کامپیوتر در مراکز حساس از کار افتاده و دچار سکته شدند. پنج روز بعداز ازادسازی Wormدر6نوامبرهمه چیز به حالت عادی خود برگشت در 12نوامبر سرانجام E-mailهایی که موریس در آنها طرز خنثی کردن Worm را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثیسازی Worm آگاهی یافتند.
2-4-1اسبهای تروا (Trojan Horse )
اسب هاي تروا تظاهر مي كنند كه كاري خاص را انجام ميدهند ولي در عمل براي هدف ديگري ساخته شده اند. به عنوان مثال برنامه اي كه وانمود مي كند كه يك بازي است ولي در واقع اجازه دسترسي از راه دور يك كاربر به كامپيوتر را فراهم مي آورد. برنامه هاي فوق بر خلاف ادعاي خود نه تنها عمليات مثبتي را انجام نخواهند داد بلكه باعث بروز آسيب هاي جدي پس از فراهم نمودن شرايط اجرا مي باشند. (بطور مثال ممكن است اطلاعات موجود بر روي هارد ديسك را حذف نمايند). اسب هاي تروا داراي روشي براي تكثير خود نمي باشند. اينگونه نرم افزارها اكثرا براي انتشار ويروس يا كرم و يا ايجاد يك Backdoor (در پشتي) بكار مي روند. به اينگونه نرم افزارها RAT نيز گفته مي شود.
-3-4-1جاسوس افزارها(Spyware)
نرم افزار جاسوسي هر نوع فناوري يا برنامه روي كامپيوتر شماست كه اطلاعات را بطور پنهاني جمع آوري ميكند. Spyware يك نام كلي براي برنامه هايي است كه رفتارهاي مشخص انجام مي دهند مثل نمايش آگهي هاي تبليغاتي، جمع آوري اطلاعات شخصي يا تغيير تنظيمات كامپيوتر شما كه معمولا بدون كسب مجوز اجرا مي شوند.
در حقيقت جاسوس افزار، نرم افزاري است كه اقدام به جمع آوري اطلاعات شخصي بدون آگاهي و يا اجازه كاربران مي نمايد. اطلاعات جمع آوري شده مي توان شامل ليست سايت هاي مشاهده شده توسط كاربر و يا اطلاعات بمراتب حساس تري نظير نام و رمز عبور باشد.
-4-4-1درهاي پشتي (Backdoor)
برنامه اي است كه به يك نفوذگر اين امكان را مي دهد تا پروسه امنيتي يك سيستم را دور زده و منابع مختلفي از آن سيستم را از راه مربوطه در اختيار نفوذگر قرار دهد. به عبارت ديگر در پشتي راهي ساده و فرعي براي ورود مجدد يه سيستم بدون پيش نيازهاي امنيتي ميباشد.
Backdoor حضور بلند مدت نفوذگر را بر روي سيستم هدف تضمين مي كند.
- 5-4-1باكتري ها (Bacteries )
اينگونه از نرم افراز هاي مخرب كاري بجز تكثير خود بصورت نمايي انجام نمي دهند ولي همين عمل مي تواند منجر به درگير شدن همه منابع سيستم (پردازنده، حافظه و فضاي ديسك سخت) تا سر حد مرگ شود.
Zombie -6-4-1
نرم افزار هاي معروف به Zombie در قالب برنامه هاي رايگان، زيبا و جذاب ولي آلوده در سراسر شبكه اينترنت توزيع مي شوند بخشي از كاربران آماتور كه آگاهي خاصي از اين موضوع ندارند، با اجراي اين برنامه ها، ارسال بخشي از بسته هاي بمباران كننده مثل SYN-Flood را بر عهده مي گيرند و بدين نحو بدون اطلاع، با اهداف شوم نفوذگر همسو مي شوند.
Rootkits -7-4-1
يك Rootkits، شامل مجموع اي از برنامه هايي است كه نفوذگر جهت گريز از كشف و رديابي در هنگام دسترسي غير مجاز به كامپيوتر هدف از انها استفاده مي كند. Rootkits، عملياتي كلي مانند جابجايي فايل هاي اصلي و كتابخانه اي يا نصب ماژول هسته سيستم عامل را انجام مي دهد. نفوذگر ابزارRootkit را پس از دسترسي به سيستم هدف در سطح يك كاربر مدير، بر روي سيستم نصب مي كند. اين دسترسي مي تواند از طريق درهم شكستن كلمه عبور و يا بهره گيري از نقاط آسيب پذير سيستم صورت گيرد. در ادامه نفوذگر اقدام به جمع آوري User ID هاي سيستم هدف از طريق ابزار Rootkit مي نمايد تا به حساب كاربري اصلي مانند حساب كاربري Root يا Administrator دست يابد.
-8-4-1بمب هاي منطقي
بمب هاي منطقي برنامه هايي هستند كه در زمان هايي از قبل تعيين شده؛ مثلا يك روز خاص؛ اعمالي غير منتظره انجام مي دهند. اين برنامه ها فايل هاي ديگررا آلوده نكرده و خود را گسترش نمي دهند در حقيقت بمب هاي منطقي يكي از قديمي ترين انواع نرم افزارهاي مخرب محسوب مي شوند. اين نرم افزار ها شامل يك قطعه كد پنهاني بوده كه در داخل يك برنامه مجاز گنجانيده شده است و همانطور كه گفته شد اين قطعه كد به شرط خاصي فعال مي شود و آن مي تواند وجود يا عدم وجود فايل خاصي، تاريخ / ساعت مشخصي و يا كاربر خاصي باشد كه در صورت فعال شدن معمولا همراه با انجام عمليات تخريبي مي باشد. ( مانند تغيير يا حذف فايل ها )
-5-1عملكرد ويروس ها
ويروس ها علاوه بر كار اصلي خود، كارهاي فرعي ديگري كه در اكثر اوقات از آنها براي جلب توجه كاربر استفاده مي شود ( و به اين قسمت از برنامه ويروس اكثرا Playload گفته مي شود)انجام مي دهند در قسمت زير بعضي از اينگونه فعاليت ها آورده شده است:
-1-5-1پيغام ها
گاهي ويروس ها اقدام به ارسال و نمايش پيغامهاي معني دار و بي معني به مخاطب خود مي كنند كه اصولا اين پيغام ها اهداف و جهت هاي خاصي را دنبال مي كنند. براي مثال ويروس WM98/jerk اقدام به نمايش پيغام هاي توهين آميز به كاربر و قرباني خود مي كند.
-2-5-1 شوخي ها
اکثر ويروس ها موضوعي مانند شوخي را سرلوحه كار خود قرار مي دهند و در كنار كار اصلي خود قصد شوخي كردن با كاربر خود را نيز دارند. براي مثال ويروس Yankee در ساعت 5 بعد ازظهر اقدام به نمايش و اجرا يك برنامه طنز خاص مي نمايد.
-3-5-1غير فعال كردن دسترسي ها
اين اقدام از مهمترين و اصلي ترين اقدامات يك ويروس بشمار مي آيد. البته ويروس هايي هم گزارش شده اند كه به هيچ وجه از اقدامات عدم دسترسي در جهت پيش برد اهدافشان استفاده نمي كنند. اما اين اقدام مي تواند يكي از استانداردترين اهداف يك ويروس بشمار آيد. به عنوان مثال ويروس WM97/NightShade در جمعه هايي با تاريخ 13 هر ماه متن هاي باز شده در دستگاه را توسط كلمه رمزي غير قابل دسترسي مي كند.
- 4-5-1سرقت اطلاعات
سرقت اطلاعات مي تواند هدف اصلي يك ويروس سارق به حساب آيد. البته نرم افزار هاي مخربي نيز وجود دارند كه در كنار كارهاي ديگر خود بر اساس شرايط خاصي مانند تاريخ و ساعت اقدام به سرقت از نوع مالي و اطلاعات مي كنند. به عنوان مثال يك نوع اسب ترواي LoveLet-A اطلاعات مربوط به كاربر و دستگاه او را به آدرسي در فيليپين ارسال مي كند.
- 5-5-1تخريب اطلاعات
ويروس ها عموما عمل تخريب اطلاعات را به خوبی انجام ميدهند و يكي از مهمترين كارهاي انها به حساب مي آيد. البته نوع و اندازه تخريب به نوع ويروس و هدف آن نيز بستگي دارد و عملكرد همه يكسان نمي باشد. بطور مثال ويروس XM/Compatable تغييراتي در اطلاعات صفحه هاي طراحي شده توسط برنامه Excel بوجود مي آورد.
- 6-5-1پاك سازي اطلاعات
عمليات پاك سازي در سطح هاي مختلف بر روي اطلاعات موجود انجام مي شود و ويروسهايي در اين زمينه گزارش شده اند كه تنها اطلاعات خاص را پاك نموده و برخي تمامي اطلاعات را پاك سازي مي كنند.به طور مثال ويروس Michelangelo در روز 6 ماه مارس قسمتي از اطلاعات بر روي ديسك سخت را بازنويسي كرده و از بين مي برد.
-7-5-1عدم دسترسي به سخت افزار
نوعي از ويروس ها فوق العاده خطرناك نيز در مجموعه ويروس ها وجود دارند كه اقدامات جبران ناپذيري را در زمينه سخت افزار يك سيستم كامپيوتري انجام مي دهند. اينگونه ويروس ها در برخي موارد اقدام به سوزاندن قطعات كامپيوتري كرده و در موارد معمولي تخريب اطلاعات برنامه ريزي شده بر روي دستگاه هاي سخت افزاري را به همراه خواهند داشت. اكثر ويروس هايي كه بدين فرم عمل مي كنند بر اساس زمان و تاريخ خاصي اقدام به انجام اينگونه تخريب ها مي كنند. بطور مثال ويروس CIH يا ( W95/CIH-10xx ) Chernobyl، در روز 26 ماه آوريل اطلاعات بر روي بايوس را بازنويسي كرده و آنها را از بين مي برد. بااين کار دستگاه غير قابل استفاده خواهد شد.
- 6-1راههای ویروسی شدن
راههای مختلفی برای ورود ویروسها به رایانه شما وجود دارد.مانند فلاپی دیسکها،لوحهای فشرده،مشاهده وب گاه،دریافت نامههای آلوده،اجرای فایلهای دریافت شده از اینترنت و غیره.بنابراین لازم است که تمامی این موارد به هنگام استفاده مورد کنترل یک نرمافزار ضد ویروس قرار گیرد. به بیان دیگر هنگامی که میخواهید برنامهای را از روی یک لوح فشرده اجرا کنید و یا نامهای را باز کنید،باید آنها را توسط یک نرمافزار ضد ویروس وارسی کنید.
فراموش نکنید که شما همواره مراقب منزل خود هستید و دقت میکنید که در منزل و پنجرهها هنگام شب یا هنگامی که در منزل نیستید، باز نباشند. به همین ترتیب باید همواره وضعیت قسمتهای مختلف کامپیوتر خود را کنترل کنید. این که اندازههای فایلهای شما عادی باشد یا نه،این که مثلاً فایل جدیدی به کامپیوتر شما اضافه نشده باشد و بسیاری موارد دیگر که به تدریج میتوانید آنها را یاد بگیرید.اما یک نرمافزار ضد ویروس به سادگی میتواند هر موقع که شما اراده کنید تمام سیستم شما را کنترل کند و شما را از عدم وجود ویروس در کامپیوتر مطمئن سازد.
فصل دوم-آنالیزویروس ملیسا
2-1-ویروس ملیسا یک خطر جدید
ویروس ملیسا که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود لرزه بر پشت صنعت کامپیوتر انداخت.نگرانی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یابد و وقتی ایمیل باز میشودویروس به افراد کتابچه آدرس قربانی فرستاده می شود.این بدان معنی است که ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.همچنین ملیسا اسناد حساس را نیز میتواند برای افرادیکه در کتابچه آدرس هستند بدون اینکه کاربرمتوجه شود بفرستد.الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلی آلوده به نظر برسد از طرف فردی آمده است که دریافت کننده وی را می شناسد.
ملیسا امتیاز تهدید امنیتی بالقوه ایجاد شده توسط زبان های ماکرورانیز دارد. در این مورد ابزار برنامه نویسی برای برنامه های کاربردی مایکروسافت (VBA ) به برنامه های کاربران امکان اجرا در اسناد رامی دهد. در مورد ملیسا محقق عاملیت بد خیم را در سند استفاده شده به عنوان یک ضمیمه ایمیلی برنامه ریزی کرده است.به این دلیل ویروس ملیسا معرف یک توسعه جدید و بزرگ در تکنولوزی ویروس است.
ویروس های مشابهی می توانند بسیار بد خیم تر از ملیسا باشند این را JEFF Carpenterرهبر تیم پاسخگویی به حوادث در تیم پاسخگویی به موارد اضطراری کامپیوتری در دانشگاه Carnegie mellon میگوید.این می تواند انشعابات شدیدی داشته باشد چون بسیاری از سازمان ها وابسته به ایمیل برای وظائف خود هستند.بدتر از همه این نوع مشکل اجرای فعالیت های اینترنتی را بر هم زده و باعث دهها بیلیون دلار خسارت میگردد.این را MIChael A.vatis مدیر مرکز حفاظت زیر ساخت های ملی (NIPC)می گوید.
2-2-اثرات مخرب ویروس ملیسا
ملیسا در 26مارس جمعه شروع بکار کرد.
اثرات ملیسا
کاربران پیام های ایمیل را با موارد زیر دریافت کردند:
_ یک خط موضوعی که به دنبال نام قربانی قبلی که نام دریافت کننده را در کتابچه آدرس ایمیل دارد و احتمالا وی را می شناسد مطلب زیررا می خواند((یک پیام مهم از...))
یک پیام متنی که می گوید:((این سندی است که شما می خواهید ...آن رابه کس دیگری نشان ندهید))
_یک ضمیمه به نام List.doc با لیست دارای نامهای کاربران وپسوردهای انها در سایت های وب مستهجن که از یک گروه خبری alt.sexگرفته شده است.
چون این پیام بنظر از طرف یک آشنا آمده است دریافت کننده راتشویق به بازکردن ضمیمه میکند.
اگر قربانی از ایمیلOutlook مایکروسافت وWord 97 یا2000Word استفاده کرده باشد دستورالعمل های مایکروویروس پیام وضمیمه آلوده را به 50 تماس در هر کتابچه آدرس ایمیل قربانی می فرستد. چون یک تماس می تواند معرف یک گروه از افراد باشد نه فقط یک فرد این ویروس میتواند به بیش از 50 دریافت کننده در یک لحظه فرستاده شود.این ویروس نرم افزار word را الوده و در ادامه تمام سندهای فعال شده Word را نیز الوده وبه این ترتیب امکان توزیع وگسترش ان فراهم میگرددو همچنین این ویروس باعث بروز تغییرات در تنظیمات سیستم بمنظور تسهیل در ماموریت خود میگردد.ملیسا الگوی normal.dotدرwordرا آلوده میکند که عموما برای ایجاد اسناد استفاده می شود.اسناد جدیدسپس با ملیسا آلوده می شوند.اگر کاربر اسناد آلوده را به صورت ضمیمه ایمیل کند دریافت کننده با outlookمایکروسافت، ویروس را با باز کردن ضمیمه فعال می کند بنابراین کپی هایی از آن اسناد آلوده به اولین 50تماس خود در کتابچه آدرسشان را ارسال می کنند.اگر این سند دارای محتویات حساس باشد باعث ایجاد مشکلات امنیتی خواهد شد.
در صورتیکه کلید رجیستری زیر در کامپیوتری وجودداشته باشد،نشاندهنده آلودگی سیستم به ویروس Melissa است.مقدار رجیستری فوق”by kwyjibo….” است.
HKEY_CURRENT_USERSoftwareMicrosoftOfficeMelissa
با انتشار ملیساسریعااین ویروس شروع به گسترش و بستن سرورهای ایمیل می کند.این به بسیاری از سازمانهای کوچک که ازیک سرور برای ایمیل و دیگر کاربری های مهم خود استفاده میکند صدمه می زند.
2-3-خسارت های فراوان ویروس ملیسا
ملیسا باعث بر هم ریختگی های شدیدی در سازمان های بزرگی مثل Microsoft،US Marine Corps،Honeywell،Intel ،E.I.du pont de Nemours and Co شده است.Shrader از Trend Microمی گوید:ملیسا سریعترین ویروس منتشر شده ای است که من بدون شک تا به حال دیده ام.TippettازICSA تخمین زده است که ملیسا حدود 2/1میلیون کامپیوتر و 53000 سرور را در 7800 شرکت در آمریکای شمالی آلوده کرده است که حداقل 200، PCداردوارزش آن بین 249میلیون و 561 میلیون دلار جهت نصب است. سخنگوی ICSA Barbara Rose می گوید از 300شرکت تحقیق شده هزینه مبارزه با ملیسا 1750دلار بود اگر چه برخی هزینه های بالاتر از 100000دلار رانیز گزارش دادند دراول آوریل آژانس های اجرای قانون از ظن در این مورد جلوگیری کردند.
در آخر هفته ای که ملیسا منتشر شد کاربران ITدرسازمان های آلوده شده شروع به یادگیری در مورد ویروس پرداخته و در بسیاری موارد سرورهای ایمیل خود را خاموش کرده و ویروس را از سیستم های خود حذف کردند برای مثال مجریان تمام ایمیل های با خط موضوعی امضای ملیسا را فیلتر کردند. ضمنا فروشندگان آنتی ویروس شروع به کار کردند. Schrader می گوید: این ویروس ساده ای است راه حل آن نیز ساده است برای ما فقط 20دقیقه، ایجاد یک الگو جهت شناسایی ویروس زمان می برد.
سازمان های دارای سیستم های مدیریت امنیت مرکزی کل شبکه خود را برای پاک شدن ملیسا اسکن کردند دیگر سازمان ها نیز باید دسک تاپ خود را اسکن کنند.
رشد فزاینده زبان های ماکرو این مفهوم را تقویت کرده است که ماکروویروس هارایج تر و خطرناک تر شده است. خصوصا از زمانی که ملیسا منتشر شده است زبان های ماکرو برای جاسازی انواع عاملیت ها در اسناد استفاده می شود. برای مثال کاربران می توانند یک تقویم رادریک گزارش هزینه جا بدهند،بنابراین میتوانند تاریخ های مسافرت را که در سند ثبت شده اند را پیگیری کنند.به این نکته Neil Charneyمدیر تولید ابزاربرنامه نویسی در بر نامه های کاربردی (VBA) مایکرو سافت در word 2000 اشاره می کند. بااین وجود نویسندگان ویروس مثل کسی که ملیسا را نوشته است می تواند از زبان های ماکرو در جاسازی یک عاملیت بدخیم دراسناد استفاده کند. فروشندگان برنامه های کاربردی زبان های ماکرو را برای محصولاتشان پیشنهاد میکنند. VBA ابتدا درسال 1993عرضه شد و در آفیس ماکروسافت که بزرگترین محیط کاربردی است استفاده شد، بنابر این بیشترین استفاده را از زبان ماکرو داشته است .Charney می گوید علیرغم نام آن ماکرو ها برای کارهای بیش از ایجاد ماکروها دروظایف خودکار استفاده شده اند. وی می گوید: VBA می تواند به عنوان یک محیط توسعه باشد برای مثال وی گفت VBA با افزایش طرح هایی که فروشندگان را شامل نمی شود برای بهبود برنامه های کاربردی مایکروسافت استفاده شده است بعلاوه VBAبرای ادغام عاملیت چندین برنامه کاربردی استفاده میشود برای مثالCharney میگوید به جای وارد کردن دستی داده ها از یک پایگاه داده به یک صفحه گسترده استفاده شده است.
Dan Shchraderمدیر تجاری ایمنی در Portal Division at Trend Macroکه یک فروشنده نرم افزار های آنتی ویروس است بر این نظر میباشد که بسیاری از کاربران قوی این قابلیت ها را می خواهند، با این وجود می گوید صنعت کامپیو تر باید مراقب باشد چون زبان های ماکرو میتواند اسناد را تبدیل به برنامه های قابل اجراکند. کاربرانی که سندی را فقط برای خواندن باز میکنند نادانسته یک برنامه جاسازی شده را فعال می کنند که می تواند بد خیم باشد. عموما عاملیت بیشتر منجر به امنیت کمتر می شود.
Roger Thompsonمدیر فنی تحقیقات کدهای بد خیم در انجمن بین المللی امنیتی کامپیوتر که یک مشاوره دهنده امنیتی است می گوید طرح هایی مثل VBAانجام کارهای خوب وبد را آسانتر کرده استSchrader.
می گوید زبان های ماکرو نوعی طرح متداول هستند که از بین نمی روند بنابر این صنعت کامپیوتر باید راهی را برای زندگی ایمنتر با آنها پیدا کند.
2-4-متغیر ها و گونه ها
دو روز پس از انتشار، ویروس نویسان چندین گونه از ملیسا را با نام های Madcow ،Papa ،Syndicate Marauderمنتشر کردند. برای مثال Papaاکسل مایکروسافت را تحت تاثیر قرار می دهد که مثل word،VBAرا پشتیبانی می کند. وقتی یک قربانی از outlook مایکروسافت باز شده در ضمیمه ای برپایه اکسل در یک نوشته ایمیلی استفاده میکند،ویروس یادداشت وضمیمه ای به اولین 60تماس در کتابچه آدرس قربانی ارسال می کند .Roger Thompson مدیر فنی ICSA در تحقیقات کد های بد خیم اشاره می کند که نویسندگان گونه های خود از کد های ملیسا را به چندین گروه خبری مدت کوتاهی پس از انتشار ارسال کرده اند . با این وجود بسیاری از شرکتهای آنتی ویروس منتظر گونه ها بوده و نرم افزارهای بروزی که بتواند آنها را شناسایی کند تولید کرده اند.
2-5-بازداشت فرد مظنون به تولید ملیسا
با انتشار ملیسا در شبکه ها در 26مارس آژانسهای اجرای قانون مثل FBIشروع به جستجوی تولیدکننده ویروس کردند. آنها منبع ویروس را در نیوجرسی رد یابی کردند.
در اول آوریل ،محققین جرم های کامپیوتری با پلیس ایالتی نیوجرسی وبخش امنیت عمومی وقانون David L. Smith 31ساله که یک برنامه نویس است و در نیوجرسی زندگی میکند را بازداشت کردند.
شکل،David L.Smith(در مرکز)از دادگاه می خواهد که به دفاعیات وی در ایجاد ویروس ملیسا گوش دهند. وی همراه با وکیل خودEdward F.Borden است. محققین Smith رامتهم به برهم زدن ارتباطات عمومی، توطـیه در برهم زدن ارتباطات عمومی وتلاش برای برهم زدن ارتباطات عمومی با اتهام درجه2وسرقت از سرویس های کامپیوتری وصدمه و فعالیت نامشروع در سیستم های کامپیوتری با اتهام درجه 3کردندووی پس از گذاشتن 100000دلار وثیقه ازاد شد.وکیل Smithاز پرنستون نیوجرسی در دفاع از وی تمام اتهامات را قبول نکرد.
Smithبا حداکثر جریمه 480000دلار و40سال زندان طبق گفته Paul Loriquetسخنگوی دفاتر عمومی وکلای نیوجرسی محکوم شد. با تکمیل تحقیقات دفتر عمومی وکالت به هیات منصفه ایالت دلایلی را می فرستند تا دادگاه در کیفر خواست وی تصمیم بگیرد.
2-6-نتیجه گیری
ملیسا بر این تاکید دارد که سازمان ها باید رمزدار کردن تمام ایمیل ها را متوقف کنند. وقتی پیام ها رمزدار شدند نرم افزار آنتی ویروس محتویات آن را نمی تواند بخواند وبنابراین نمی تواند تعیین کند که آیا دارای ویروس های ایمیلی مثل ملیسا هستند یا نه. مردم نیاز به رضایتمندی بیشتردارند رمز دار کردن تمام ایمیل ها آیا لازم است؟ شاید آنها فقط مهمترین ایمیل ها را رمز دار کنند. البته متخصصی
نظرات شما عزیزان: