تبلیغات
کامپیوتر و IT - آشنایی با انواع مختلف برنامه‌های مخرب

آشنایی با انواع مختلف برنامه‌های مخرب

پنجشنبه 13 اسفند 1388   11:10 ب.ظ


نوع مطلب : مقاله ،امنیت ،



E-mail virus

ویروسهایی كه از طریق E-mail وارد سیستم می‌شوند معمولاً به صورت مخفیانه درون یك فایل ضمیمه شده قرار دارند که با گشودن یك صفحه ی HTML یا یك فایل قابل اجرای برنامه‌ای (یك فایل كد شده قابل اجرا) و یا یك word document می توانند فعال‌ شوند.

Marco virus

این نوع ویروسها معمولاً به شکل ماکرو در فایلهایی قرار می گیرند كه حاوی صفحات متنی (word document) نظیر فایلهای برنامه‌های Ms office ( همچون microsoft word و Excel )هستند .
توضیح ماكرو: نرم افزارهایی مانند microsoft word و Excel این امکان را برای كاربر بوجود می آورند كه در صفحه متن خود ماكرویی ایجاد نماید،این ماكرو حاوی یكسری دستور العملها، عملیات‌ و یا keystroke ها است كه تماماً توسط خود كاربر تعیین میگردند.
ماكرو ویروسها معمولاً طوری تنظیم شده‌اند كه به راحتی خود را در همه صفحات متنی ساخته شده با همان نرم افزار (Excel , ms word) جای می‌‌دهند.


اسب تروآ:

این برنامه حداقل به اندازه خود اسب تروآی اصلی قدمت دارد . عملكرد این برنامه‌ها ساده و در عین حال خطرناك است.
در حالیكه كاربر متوجه نیست و با تصاویر گرافیکی زیبا و شاید همراه با موسیقی محسور شده ، برنامه عملیات مخرب خود را آغاز می کند.
برای مثال به خیال خودتان بازی جدید و مهیجی را از اینترنت Download كرده‌اید ولی وقتی آنرا اجرا می‌كنید متوجه خواهید شد که تمامی فایلهای روی هارد دیسك پاك شده و یا به طور كلی فرمت گردیده است.

كرمها (worm)

برنامه كرم برنامه‌ای است كه با كپی كردن خود تولید مثل می‌كند. تفاوت اساسی میان كرم و ویروس این است كه كرمها برای تولید مثل نیاز به برنامة میزبان ندارند. كرمها بدون استفاده از یك برنامة حامل به تمامی سطوح سیستم كامپیوتری «خزیده» و نفوذ می‌كنند. راجع به اینگونه برنامه ها در فصل سوم مفصلا بحث خواهد شد.

ویروسهای بوت سكتور و پارتیشن

Boot sector قسمتی از دیسك سخت و فلاپی دیسك است كه هنگام راه اندازی سیستم از روی آن به وسیله كامپیوتر خوانده می‌شود. Boot Sector یا دیسك سیستم ، شامل كدی است كه برای بار كردن فایلهای سیستم ضروری است. این دیسكها داده هایی در خود دارند و همچنین حاوی كدی هستند كه برای نمایش پیغام راه اندازی شدن کامپیوتر بوسیله ی آن لازم است .
سكتور پارتیشن اولین بخش یك دیسك سخت است كه پس از راه‌اندازی سیستم خوانده می‌شود. این سكتور راجع به دیسک اطلاعاتی نظیر تعداد سكتورها در هر پارتیشن و نیز موقعیت همه ی پارتیشن‌ها را در خود دارد.
سكتور پارتیشن، ركورد اصلی راه‌اندازی یا Master Boot Record -MBR نیز نامیده می‌شود.
بسیاری ازكامپیوترها به گونه ای پیكربندی شده‌‌اند كه ابتدا از روی درایو: A راه‌اندازی میشوند. (این قسمت در بخش Setup سیستم قابل تغییر و دسترسی است) اگر بوت سكتور یك فلاپی دیسك آلوده باشد، و شما سیستم را از روی آن راه‌اندازی كنید، ویروس نیز اجرا شده و دیسك سخت را آلوده می‌كند.
اگر دیسكی حاوی فایلهای سیستمی هم نبوده باشد ولی‌ به یك ویروس بوت سكتوری آلوده باشد وقتی اشتباهاً دیسكت را درون فلاپی درایو قرار دهید و كامپیوتر را دوباره‌ راه‌اندازی كنید پیغام زیر مشاهده می‌شود. ولی به هر حال ویروس بوت سكتوری پیش از این اجرا شده و ممكن است كامپیوتر شما را نیز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready

كامپیوترهای بر پایه Intel در برابر ویروسهای Boot Sector و Partition Table آسیب پذیر هستند.
تا قبل از اینکه سیستم بالا بیاید و بتواند اجرا شود صرفنظر از نوع سیستم عامل می تواند هر کامپیوتری را آلوده سازد.

HOAX (گول زنك‌ها)

این نوع ویروسها در قالب پیغامهای فریب آمیزی ، كاربران اینترنت را گول زده و به كام خود می‌كشد. این نوع ویروسها معمولاً به همراه یك نامه ضمیمه شده از طریق پست الكترونیك وارد سیستم می‌شوند. متن نامه مسلماً متن مشخصی نیست و تا حدودی به روحیات شخصی نویسنده ویروس بستگی دارد، پیغامها می توانند مضمونی تحدید آمیز یا محبت آمیز داشته باشند و یا در قالب هشداری ، مبنی بر شیوع یک ویروس جدید ئر اینترنت ، یا درخواستی در قبال یک مبلغ قابل توجه و یا هر موضوع وسوسه انگیز دیگر باشد . لازم به ذکر است كه همه این نامه‌ها اصل نمی‌باشند یعنی ممكن است بسیاری از آنها پیغام شخص سازنده ویروس نباشند بلكه شاید پیغام ویرایش شده یا تغییر یافته از یك كاربر معمولی و یا شخص دیگری باشد كه قبلا این نامه‌ها را دریافت كرده و بدینوسیله ویروس را با پیغامی كاملاً جدید مجدداً ارسال می‌كند.
نحوه تغییر پیغام و ارسال مجدد آن بسیار ساده بوده ، همین امر باعث گسترش سریع Hoax‌ها شده،‌ با یك دستور Forward می‌توان ویروس و متن تغییر داده شده را برای شخص دیگری ارسال كرد. اما خود ویروس چه شكلی دارد؟ ویروسی كه در پشت این پیغامهای فریب آمیز مخفی شده می‌تواند به صورت یك بمب منطقی ، یك اسب تروا و یا یكی از فایلهای سیستمی ویندوز باشد. شیوه‌ای كه ویروس Magistre-A از آن استفاده کرده و خود را منتشر می‌كند.

SULFNBK یك ویروس، یك شوخی و یا هردو؟!

سایت خبری سافس چندی پیش خبری مبنی بر شناخته شدن یك ویروس جدید منتشر كرد، ویروسی با مشخصه SULFNBK (SULFNBK.EXE)که ممکن است نام آن اغلب برای شما آشنا باشد .

SULFNBK.EXE نام فایلی در سیستم عامل ویندوز 98می باشد كه وظیفه بازیابی اسامی طولانی فایلها را به عهده دارد و در سیستم عامل ویندوز 98 فایلی سودمند می باشد .
اینجاست که می توان به مفهوم واقی HOAX ها پی برد ، فایل SULFNBK.EXE که معمولا از طریق پست الکترونیکی به همراه یک نامه ی فریب آمیز و شاید تهدید آمیز به زبان پروتکلی وارد سیستمها می شود دقیقا در جایی ساکن می شود که فایل سالم SULFNBK.EXEدر آنجاست به بیان بهتر اینکه جایگزین آن فایل سالم می شود. فایل SULFNBK.EXE آلوده در شاخه Command ویندوز 98 ساكن شده و چون به همان شکل و سایز می‌باشد به همین منظور كاربر متوجه حضور یك ویروس جدید در سیستم خود نخواهد شد ، اینجاست كه فریب خورده، ویروس خطرناك Magistre-A كه در هسته این فایل وجود دارد در اول ماه ژوین فعال شده و سازنده خود را به مقصودش می‌رساند. نسخه‌ای دیگر از این ویروس را می‌توان یافت كه در 25 ماه می فعال می شود. تفاوتی كه این ویروس نسخه قبلی خود دارد آنست كه روی فایل SULFNBK.EXE آلوده در درایو C ساكن می‌شود. لازم به ذكر است این ویروس در سیستم عامل ویندوز 98فعال شده و حوزه فعالیتش در درایو C می‌باشد.
تشخیص اینكه فایل SULFNBK.EXE واقعاً آلوده است یا خیر دشوار می باشد . البته شاید بعد از ماه ژوئن 2002 از طریق ویروس یابهای جدید مانند Norton Mcafee بتوان آنها را تشخیص داد ، اما در صورت در سترس نبودن ویروس یابهای مذکور ، حداقل می توان SULFNBK.EXE را چه آلوده و چه غیر آلوده پاک کرد ، البته از آنجایی كه فایل SULFNBK.EXE یك فایل سیستمی ویندوز به شمار می‌رود ممكن است پاك كردن آن به سیستم عامل لطمه وارد كند، از اینرو بد نیست قبل از پاك كردن، نسخه‌ای از آن را بر روی یك فلاپی كپی كرده و نگه داریم. حقیقت آنست كه كمتر كسی ریسک می کند و این قبیل فایلها را اجرا می کند .
پیغامی كه ضمیمه این فایل ارسال می‌شود نیز در چندین نسخه وجود دارد. همانطور كه قبلا ذکر شد نسخه ی اصل پیغام به زبان پرتغالی است اما ترجمه ی انگلیسی و اسپانیولی آن میز یافت شده است .
به هرحال هر ویروس چه از نوع HOAX باشد و چه از انواع دیگر، مدتی چه طولانی و چه کوتاه روی بورس است و معمولاً لطمه‌های جبران ناپذیر خود را در همان بدو تولد به جای گذاشته و بعد از مدتی مهار می‌شود . نكته ی قابل توجه اینست كه با داشتن خداقل آشنایی از این ویروسها در همان شروع کار به راحتی می‌توان با نسخه‌های جدیدتر آن ویروس و یا ویروسهای مشابه مبارزه كرد.

CELLSAVER یك اسب تروا

a.k.a CellSaver- Celcom Screen Saver نیر ویروسی از نوع HOAX می‌باشد و علیرغم مدت زیادی که از اولین انتشار آن می گذرد کاربران زیادی را دچار مشکل ساخته است . این ویروس برای کاربران اینترنت ارسال شده است . نسخه نخست آن در سال 1998 و نسخه جدیدتر آن كمی بعد در آوریل 1999 به همراه یك پیغام دروغین منتشر شد.
هرگاه نامه‌ای با عنوان CELLSAVER.EXE به همراه فایلی با همین نام دریافت كردید سریعا آنرا پاك کرده و از Forward كردن برای شخصی دیگر بپرهیزبد ،اینكار هیچ گونه لذتی نداشته ، فقط به انتشار و بقای بیشتر آن كمك می کند .
این فایل یك اسب تروا كامل می‌باشد ، یك فایل Screen Saver زیبا برای ویندوز که به محض اجرا شدن هر كسی را مجذوب و مسحور می‌گرداند.
احتیاط كنید! CELLSAVER.EXE به محض اجرا شدن ، یك گوشی تلفن بی‌سیم Nokia را بصورت یک Screen Saver بر روی صفحه نمایش نشان می دهد . در صفحه نمایش این گوشی، می توان زمان و پیغامهارا دید. بعد از یكبار اجرا شدن، ویروس فعال شده و شما خیلی زود متوجه خواهید شد كه سیستم بسیار كند عمل کرده ، قادر به بوت شدن نخواهد بود و اطلاعات رود هارد دیسك نیز پاكسازی می‌شوند .در نتیجه مجبور به نصب مجددكلیه برنامه‌ها خواهید بود.
در آخر باز هم یادآور می‌شویم كه هرگز نامه های دریافتی كه كمی ناشناخته و مشكوك به نظر می‌رسند را باز نكنید.

ویروسهای چند جزئی Multipartite virus

بعضی از ویروسها، تركیبی از تكنیكها را برای انتشار استفاده کرده ، فایلهای اجرائی، بوت سكتور و پارتیشن را آلوده می سازند. اینگونه ویروسها معمولاً تحت windows 98یا Win.Nt انتشار نمی‌یابند. 

   


نوشته شده توسط : jybenz jybenz

 

نمایش لینکهای شما در لینک من