IRCERT - ويروس و ضدويروس

صفحه اول > مقالات

ويروس و ضدويروس

حجم عظيم ويروس ها، کرم ها، ايرادات نرم افزارها و تهديدهاي ناشي از آنها، نرم افزارهاي ضدويروس را تبديل به يکي از ابزارهاي لازم براي همه کامپيوترها نموده است. در صورت آلوده شدن يک کامپيوتر به ويروس بسته به نوع آن ممکن است مصائب مختلفي براي سيستم کامپيوتري بوجود آيد که در پاره اي موارد جبران آن ها هزينه هاي زيادي را تحميل مي کند. آسيب هاي بعضي از ويروس ها به گونه اي است که آثار سوء آن ها را به هيچ وجه نمي توان از بين برد. مستقل از نوع ويروسي که بايد با آن مقابله شود نياز به برنامه هاي ضد ويروس همواره وجود دارد و در شرايطي که محصولات ضد ويروس متنوعي توليد شده اند، انتخاب نرم افزار مناسب دغدغه کاربران مي باشد.

اين مقاله ضمن معرفي انواع ويروس ها، نحوه عمل کرد برنامه هاي ضدويروس و انواع ويروس هايي که ضدويروس ها شناسايي و پاکسازي مي کنند را معرفي مي کند. همچنين اطلاعاتي که براي انتخاب ابزار مناسب لازم است بيان شده و تعدادي از برنامه هاي ضد ويروس با هم مقايسه خواهند شد.

ويروس چيست؟

ويروس هاي کامپيوتري برنامه هايي هستند که مشابه ويروس هاي بيولوژيک گسترش يافته و پس از وارد شدن به کامپيوتر اقدامات غيرمنتظره اي را انجام مي دهند. با وجودي که همه ويروس ها خطرناک نيستند، ولي بسياري از آنها با هدف تخريب انواع مشخصي از فايل ها، برنامه هاي کاربردي و يا سيستم هاي عامل نوشته شده اند.

ويروس ها هم مشابه همه برنامه هاي ديگر از منابع سيستم مانند حافظه و فضاي ديسک سخت، توان پردازنده مرکزي و ساير منابع بهره مي گيرند و مي توانند اعمال خطرناکي را انجام دهند به عنوان مثال فايل هاي روي ديسک را پاک کرده و يا کل ديسک سخت را فرمت کنند. همچنين يک ويروس مي تواند مجوز دسترسي به دستگاه را از طريق شبکه و بدون احراز هويت فراهم آورد.

براي اولين بار در سال ۱۹۸۴ واژه «ويروس» در اين معنا توسط فرد کوهن در متون آکادميک مورد استفاده قرار گرفت. د‍ر اين مقاله که «آزمايشاتي با ويروس هاي کامپيوتري» نام داشت نويسنده دسته اي خاص از برنامه ها را ويروس ناميده و اين نام گذاري را به لئونارد آدلمن نسبت داده است. البته قبل از اين زمان ويروس ها در متن داستان هاي عملي و تخيلي ظاهر شده بودند.

انواع ويروس

انواع ويروس هاي رايج را مي توان به دسته هاي زير تقسيم بندي نمود:

boot sector :

boot sector اولين Sector بر روي فلاپي و يا ديسک سخت کامپيوتر است. در اين قطاع کدهاي اجرايي ذخيره شده اند که فعاليت کامپيوتر با استفاده از آنها انجام مي شود. با توجه به اينکه در هر بار بالا آمدن کامپيوتر Boot sector مورد ارجاع قرار مي گيرد، و با هر بار تغيير پيکربندي کامپيوتر محتواي boot sector هم مجددا نوشته مي شود، لذا اين قطاع مکاني بسيار آسيب پذير در برابر حملات ويروس ها مي باشد.

اين نوع ويروس ها از طريق فلاپي هايي که قطاع boot آلوده دارند انتشار مي يابند. Boot sector ديسک سخت کامپيوتري که آلوده شود توسط ويروس آلوده شده و هر بار که کامپيوتر روشن مي شود، ويروس خود را در حافظه بار کرده و منتظر فرصتي براي آلوده کردن فلاپي ها مي ماند تا بتواند خود را منتشر کرده و دستگاه هاي ديگري را نيز آلوده نمايد. اين گونه ويروس ها مي توانند به گونه اي عمل کنند که تا زماني که دستگاه آلوده است امکان boot کردن کامپيوتر از روي ديسک سخت از بين برود.

اين ويروس ها بعد از نوشتن بر روي متن اصلي boot سعي مي کنند کد اصلي را به قطاعي ديگر بر روي ديسک منتقل کرده و آن قطاع را به عنوان يک قطاع خراب (Bad Sector) علامت گذاري مي کند.

Macro viruses:

اين نوع ويروس ها مستقيما برنامه ها را آلوده نمي کنند. هدف اين دسته از ويروس ها فايل هاي توليد شده توسط برنامه هايي است که از زبان هاي برنامه نويسي ماکرويي مانند مستندات Exel يا Word استفاده مي کنند. ويروس هاي ماکرو از طريق ديسک ها، شبکه و يا فايل هاي پيوست شده با نامه هاي الکترونيکي قابل گسترش مي باشد.

ويروس تنها در هنگامي امکان فعال شدن را دارد که فايل آلوده باز شود، در اين صورت ويروس شروع به گسترش خود در کامپيوتر نموده و ساير فايل هاي موجود را نيز آلوده مي نمايد. انتقال اين فايل ها به کامپيوتر هاي ديگر و يا اشتراک فايل بين دستگاه هاي مختلف باعث گسترش آلودگي به اين ويروس ها مي شود.

File infecting viruses:

فايل هاي اجرايي (فايل هاي با پسوند .exe و .com) را آلوده نموده و همزمان با اجراي اين برنامه ها خود را در حافظه دستگاه بار نموده و شروع به گسترش خود و آلوده کردن ساير فايل هاي اجرايي سيستم مي نمايند. بعضي از نمونه هاي اين ويروس ها متن مورد نظر خود را به جاي متن فايل اجرايي قرار مي دهند.

ويروس هاي چندريخت(Polymorphic):

اين ويروس ها در هر فايل آلوده به شکلي ظاهر مي شوند. با توجه به اينکه از الگوريتم هاي کدگذاري استفاده کرده و ردپاي خود را پاک مي کنند، آشکارسازي و تشخيص اين گونه ويروس ها دشوار است.

ويروس هاي مخفي:

اين ويروس ها سعي مي کنند خود را از سيستم عامل و نرم افزارهاي ضدويروس مخفي نگه دارند. براي اين کار ويروس در حافظه مقيم شده و حائل دسترسي به سيستم عامل مي شود. در اين صورت ويروس کليه درخواست هايي که نرم افزار ضدويروس به سيستم عامل مي دهد را دريافت مي کند. به اين ترتيب نرم افزارهاي ضدويروس هم فريب خورده و اين تصور به وجود مي آيد که هيچ ويروسي در کامپيوتر وجود ندارد. اين ويروس ها کاربر را هم فريب داده و استفاده از حافظه را به صورت مخفيانه انجام مي دهند.

ويروس هاي چندبخشي

رايج ترين انواع اين ويروس ها ترکيبي از ويروس هاي boot sector و file infecting مي باشد. ترکيب انواع ديگر ويروس ها هم امکان پذير است.

ساير برنامه هاي مختل کننده امنيت

برخي از محققين اسب هاي تروا(Trojan)، کرم ها و بمب هاي منطقي را در دسته ويروس ها قرار نمي دهند ولي واقعيت اين است که اين برنامه ها هم بسيار خطرناک بوده و مي توانند خساراتي جدي به سيستم هاي کامپيوتري وارد نمايند.

اسب هاي تروا تظاهر مي کنند که کاري خاص را انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند، به عنوان مثال برنامه اي که وانمود مي کند که يک بازي است ولي در واقع اجازه دسترسي از راه دور يک کاربر به کامپيوتر را فراهم مي آورد.

کرم ها برنامه هايي هستند که مشابه ويروس ها توان تکثير کردن خود را دارند، ولي برعکس آنها براي گسترش خود نياز به برنامه هايي ديگر ندارند تا آنها را آلوده کرده و تحت عنوان فايل هاي آلوده اقدام به انتقال و آلوده کردن دستگاه هاي ديگر نمايند. کرم ها معمولا از نقاط آسيب پذير برنامه هاي e-mail براي توزيع سريع و وسيع خود استفاده مي نمايند.

بمب هاي منطقي برنامه هايي هستند که در زمان هايي از قبل تعيين شده؛ مثلا يک روز خاص؛ اعمالي غير منتظره انجام مي دهند. اين برنامه ها فايل هاي ديگر را آلوده نکرده و خود را گسترش نمي دهند.

علي رغم تنوع انواع برنامه هاي مخرب، برنامه هاي قوي ضد ويروس مي توانند نسخه هاي مختلف آنها را شناسايي و از بين ببرند. در ادامه اين متن براي سادگي به همه انواع اين برنامه ها عنوان عمومي ويروس اطلاق مي شود.

در بخش هاي بعدي نرم افزارهاي ضدويروس مورد بررسي قرار خواهند گرفت.