ویروس و علائم آن در یک نگاه

گاهی اوقات احساس می شود که برنامه های کامپیوتر درست اجرا نمی شود،  

سیستم بی دلیل دچار وقفه است و یا مشاهده تغییراتی در سیتم که باعث نگرانی شما در مورد سلامتی سیستم می شود . از بین دلایل مختلف این امر یکی وجود ویروس است که از نشانه های وجود آن در سیستم می توان به موارد زیر اشاره کرد :

1- انجماد بی دلیل

2- پر شدن بی دلیل

3- RAM روشن ماندن هارد در زمان استفاده نشدن

4- تغییر تاریخ فایل های اجرایی مهم و با پسوند COM و EXE

5- حضور فایل های بیگانه

6- از بین رفتن بخش هایی از برنامه های موجود در سیستم و گاهی کل آنها

 طبقه بندی از ویروسها :

1- خود ویروس که با پسوند های اجرایی و کاهاً حالت ضمیمه به غیر اجرایی ها به محض ورود مشغول انجام دستورات داده شده می گردد.

2-  کرم ها که با پر کردن رم و ایجاد حفره در سیستم ایجاد اختلال می کنند.

3- اسب های تروا که معمولا در باکسهای برنامه به صورت نهفته وجود دارند و منتظر اجرا هستند و به همین علت به آنها اسب تروا میگویند.( حتما داستان جنگ اساطیری روم را شنیده اید که سربازان رومی با مخفی شدن در اسب تروا توانستند

به داخل شهر یونانی ها وارد شوند و جنگ را به نفع خود تمام کنند.عملکرد این ویروس عیناً همانند همین اسب و سربازان است. بدین ترتیب که اسب باکس یا جعبه برنامه است و به جای سربازان ویروس مخفی شده است.)

4- بمبها :

1-4- بمب منطقی : این بمب به عملکرد خاصی حساس است . مانند استارت ویندوز یا اجرای یک برنامه

2-4- بمب زمانی : همانطور که از نامش پیداست در زمان خاصی عمل می کند. مانند چرنویل که در سالروز واقعه چرنویل روسیه عمل میکند.

3-4- بمب خوشه ای : این بمب در یونیکس استفاده می شود

فرق بین ویروس، تراجان و کرم چیست؟

اساسا تمامی این موارد تحت گروه کلی ویروس ها قرارمی گیرند. با این حال تفاوت های کمی هم بین این سه مورد وجود دارد. ویروس – یک ویروس از لحاظ فنی(باچسبیدن یا وارد شدن به فایل ) فایل دیگری را آلودهمی کند. آنها معمولا فایل های برنامه یا مدارک Msoffice  آلوده می کنند. از این طریق آنها تکثیر میشوند و خسارت وارد می کنند. ویروس ها بر خلاف کرم به تنهایی عمل نمی کنند.

کرم- کرم ها تقریبا با ویروس واقعی یکی هستند. به جز اینکه کرم ها میتوانند به تنهایی به فعالیت خود ادامه دهند و به طور

کلی سایر فایل ها را نیز آلوده نمی کنند (ولی جایگزین فایل می شوند). کرم ها معمولا با استفاده ازایمیل، شبکه، دیسک یا .... خود را کپی می کنند. باید گفت که کرم ها خیلی شبیه ویروس ها هستندو خسارت های مشابهی را نیز به وجود می آورند.

اسبهای تروا- این برنامه خودش را تکثیر نمی کند اما به کامپیوترکاربرآسیب می رساند. در این برنامه کاربران هستند که باعث انتشار و اجرای اسب های تروا می شوند.اسب های تروا خود را ایمیل نمی کنند. اسب های تروا شبیه یک برنامه بی ضرر چون محافظ صفحه نمایش هستند و به این طریق منتشر می شوند.

چگونه ازشر ویروسهای کامپیوتری خلاص شویم ؟

ویروس کامپیوتری یک برنامه کامپیوتری است که توسط یک نویسنده بد خواه و مزاحم نوشته می شود.آنها توسط کپی کردن خودشان پخش می شوند و سپس به کامپیوترهای دیگر نفوذ می کنند.

به گزارش بخش خبر شبکه فن آوری اطلاعات ایران ، از epolice، در حال حاضر 53 هزار نوع ویروس رایانه ای وجود دارد.

یک ویروس کامپیوتری هر کاری می تواند انجام دهد از پاک کردن پیام های کوتاه رایانه ای تا پاک کردن فایلهای کلیدی به نحوی که کامپیوتر را از کار بیاندازد.

ویروس " Iloveyou" بیش از 45 میلیون کامپیوتر را آلوده کرد و 7 تریلیون پوند در سراسر دنیا خسارت وارد کرد.با این حال چگونه می توان از شر ویروس های رایانه ای خلاص شد؟

ویروس کامپیوتری تا زمانی که ای میل آلوده باز نشود هیچ خطر ندارد.هر گونه میلی را که فکر می کنید آلوده است را حذف کنید و فولدر آیتمهای حذف شده را خالی کنید. هیچ attachment ناخواسته ای را چنانچه مطمئن نیستید حتی اگر یک ویروس اسکنر دارید باز نکنید. قبل از باز کردن هر attachment ابتدا متن میل خود را با دقت بخوانید مفاد پیام های دریافتی را که احساس می کنید ناشناخته هستند را به خوبی چک کنید. هرگز attachment های ناشناخته را که از امنیت آنها مطمئن نیستید برای دوستان خود forward نکنید.

مراقب hoaxها ، شبه ویروس های رایانه ای یا حقه های رایانه ای که حاوی یک پیام ویروسی دروغین تحت عنوان " مخرب ترین ویروس رایانه ای که تاکنون وجود دارد" هستند اما ویروس محسوب نمی شوند باشید. ایمیل " new virus" را بدون چک کردن کامل آن ارسال نکنید.

برای مطلع شدن از لیست hoaxهای موجود می توانید از سایت vmyths.com دیدن کنید.

ای میلی را که احتمال می دهید آلوده است را برای کمپانی های ضد ویروس ارسال کنید ( شما بایستی یک کپی از نرم افزارهای ویروسی آنها را داشته باشید). آنها به شما می گویند این میل ویروس هست یا نیست.میل های ناشناخته را به هیچ کس دیگر به جز کمپانیهای ضد ویروس نفرستید.سیستم فیلترینگ میل احتمالا آنرا به هر صورت که شده حذف می کند. مطمئنا شما backup اخیر مهمترین کارهای خود را دارید ، هرگز فلاپی دیسک    backup را چنانچه احتمال می دهید کامپیوتر شما آلوده به ویروس است را در کامپیوترتان جا نگذارید زیرا backup شما هم به ویروس آلوده می شود. چنانچه احتمال می دهید کالمپیوتر شما به ویروس آلوده است حتما یک ویروس اسکنر نصب کنید.

هزاران نوع متنوع از ویروس ها وجود دارند که هر کدام به طرز خاصی عمل می کنند، مراقب آنها باشید و کامپیوتر خود را به روز آمد ترین برنامه های ضد ویروس مجهز کنید.

آشنایی با چند  ویروس :

1- W32/Rbot-UU

 توسط: www.IRVirus.com - سید آرش حسینیان

 نام  W32/Rbot-UU:

 نام مستعار:  Backdoor.Win32.Rbot.gen و W32/Sdbot.worm.gen.j

 طریقه پخش: اشتراکات شبکه

 سیستم عامل هدف: ویندوز

 وظایف :

1-  دسترسی دیگران به منابع سیستم

2- دانلود کد های خود از اینترنت

3- کم کردن قدرت امنیت سیستم

4- نصب خود بر روی رجیستری

5- استفاده از سیستم آسیب پذیری

تشریح :

این کرم حاوی کد های تروجان مانندی است که از طریق کانال های IRC اجازه نفوذ به هکر می دهد . این سرویس در پشت پردازش ها اجرا می شود به دور از چشم کاربر همچنین این کرم خود را در داخل شاخه سیستم ویندوز به نام فایل   USBHARDWARE32C.EXE        کپی می کند . و این شاخه ها را برای اجرا مجدد خود می سازد :

      HKLMSoftwareMicrosoftWindowsCurrentVersionRun

      HKLMSoftwareMicrosoftWindowsCurrentVersionRun Services

      HKCUSoftwareMicrosoftWindowsCurrentVersionRun

    همچنین این مقدار ها را تغییر می دهد :

      "HKLMSOFTWAREMicrosoftOleEnableDCOM = "N

      "HKLMSYSTEMCurrentControlSetControlLsa estrict anonymous = "1

1-  Whiter.F

کلیه اطلاعات هارد دیسک شما را پاک می‌کند

لابراتوار پاندا یک تروجان جدید به نام Whiter.F را شناسائی کرد. این تروجان کلیه فایل‌های موسیقی که به طور غیرقانونی بر روی کامپیوتر کپی شده‌اند را از روی هارد دیسک پاک می‌کند. به نظر می‌رسد نویسندگان کدهای آلوده این بار وارد یک جنگ اینترنتی با سارقین

فایل‌های موسیقی شده‌اند.بعد از کرم اینترنتی Nopir که با هدف پاک کردن  فایل‌هایی با پسوند MP3 و COM منتشر شده بود، این تروجان با نام Whiter.F  دومین بدافزاری است که در این مبارزه شرکت کرده است. این بدافزار جدید نیز مانند اکثر تروجان‌ها به خودی خود منتشر نمی‌شود بلکه از طریق فلاپی دیسک، CD-ROMs ، ضمیمه یک ایمیل، دانلود اینترنتی ، FTP، IRC   channels، شبکه‌های P2P و سایر روش‌های سنتی شیوع می‌یابد. نحوه عملکرد این تروجان به این صورت است که به محض نصب شدن بر روی کامپیوتر ...

یک فایل text با نام WXP در دایرکتوری اصلی ویندوز ایجاد می‌کند. این فایل دارای پیغام زیر است:

  You did a piracy, you deserve it شما یک دزدی اینترنتی انجام داده‌اید، پس سزاوار این عمل هستید

)این پیغام شبیه پیغامی است که کرم اینترنتی Nopir نیز پس از آلوده کردن کامپیوتر به کاربر می‌داد.(

کار بعدی این تروجان این است که کلیه فایل‌های هارد دیسک را پاک کرده و فایل  WXPکه خودش روی سیستم ایجاد کرده را جایگزین کلیه فایل‌های هارد دیسک می‌کند. حتی اگر کاربر تلاش کند اطلاعات درایو هارد خود را با کمک نرم‌افزارهای خاصی بازیابی کند، فایل‌های بازیابی شده نیز همان فایلی هستند که این تروجان ایجاد کرده است . به همین دلیل آنتی‌ویروس پاندا این تروجان را بسیار خطرناک اعلام کرده است و به کاربران توصیه می‌کند فورا نرم‌افزار آنتی ویروس خود را بروز کنند.

برای اطلاعات بیشتر و پاکسازی رایگان سیستم خود می‌توانید به سایت :

  www.mec-security.com  یا   www.pandasoftware.com  

3-                               W32.HLLW.Southghost

حجم:۴۳کیلوبایت

نوع:از نوع کرم

کد این ویروس به زبانVisual Basicنوشته شده است و می تواند تمام نسخه های ویندوز۹۵به بعد را آلوده کند. ویروس Southghost از نظر سرعت عملکرد در طبقه ویروسهای ابتدائی قراردارد ولی از نظر آسیب رسانی و تخریب فایل ها ویروس متوسطی است.نحوه سرایت:

ویروسSouthghost از طریق ایمیل و فایل های به اشتراک گذاشته شده در شبکه داخلی سرایت می کند.ایمیل آلوده به ویروس دارای مشخصات زیر می باشد:

      From:lindaflorcita_22@hotm ail.com

          To:mail@ hotmail.com 

      Subject: Espero que te llege a tiempo

        Attach: BuenasNuevas.doc.pif

                  :Mail Note

      Hola,no sabes cuantas buenas y malas noticias te tengo que dar,al ser

      tantas la escribo en un documento,que esta adjunto

عملکرد ویروس:

  -۱ابتدا سه پوشه می سازد:

      C:kazaA My Shared Folder

      .....

   -۲فایل هایی را پاک می کند:

      C:WindowsScanergw.exe

      C:WindowsRegeditexe

      ......

3- ویروس خودش را با نام های مختلف (حدود ۷۵ فایل) کپی می کند:

       System% Regsrv32.com%

       Windows% System.com%

       Windows% Regeditexe%

      C: KazaA My

      A: INSTAL.EXE

      A: SETUP.EXE

      D: GHoST.exe

      E: WIN98SEINSTALAREXE

      ........

4- برای اینکه ویروس بتواند با هر بار فعال شدن ویندوز فعال شود تغییراتی در

رجستری ویندوز اعمال می کند:

      HKEY_ LOCAL_ MACHINESOTWEARMicrosoftWindowsCurrentVersion

      RunService"REGEDIT"="%System%Regsrv32. com

5- متن زیر را به System.In اضافه می کند:

      shell=explorer. exe  system. com

      SCREENSAVE.EXE=C:WindowsSystemTexto 3D.scr

6- ویروس برای انتشار خود ازMSN Messenger استفاده میکند و  تمام User های موجود در لیست کاربر را آلوده به ویروس می کند(برای آنان ایمیل آلوده ارسال می کند)

4-  Js/Fela

Js/Fela  کرمی است که به  آهستگی در ایمیل ها پخش می شود . و  به کار افتادن آن از طریق ایمیل هایی با غالب HTML صورت می گیرد. همین طور برای مخفی کردن خود و برای آنالیز عمقی بیشتر دارای چند لایه است . این کرم ابتدا از آسیا و اروپا رشد پیدا کرد و پخش شد و وجود آن  اولین بار در این مناطق گزارش شد .

  Felaدر هنگامی که میل آلوده باز می شود فعال می گردد . در این نقطه کرم خود را به سایت Spain متصل کرده و بصورت مخفی کدی را که در JavaScript  موجود در سایت وجود دارد  دانلود می کند  . این کد JS  اسکریپت دیگری در VBS را اجرا می کند  . این کد بدنه کرم است که از طریق  VBS تغییراتی در Internet Explorer می دهد. مثلاً URL های که در آدرس بار Internet Explorer تایپ می شوند بدون پروتکل مخصوص پیشوندی   (HTTP://)حساب می کند و این یکی از دستورات این کرم است که به سبب آن  سیستم دوباره آلوده خواهد شد .

کرم تلاش می کند تا دکمه هایی با نام های Search , AntiVirus , Pills ,  Securityرا به اینترنت اکسپلورر که اضافه کند. اگر هر کدام از این  دکمه ها را فشار دهید دوباره به کرم آلوده می شوید .کرم دو فایل را در شاخه ویندوز کپی می کند( C**** و C****.HTM ) و به جای *  تاریخ جاری را قرار می دهد. اولین فایل برای لود از رجیستری ساخته شده است و دومین فایل شامل امضا واقعی است که  توسط خود کرم استفاده می شود .