روش فهمیدن ویروسی شدن کامپیوتر+شناسایی ویروس ها

روش فهمیدن ویروسی شدن کامپیوتر

موقعی که شما وارد My Computer می شوید و روی درایو های ان راست کلیک می کنید و در این هنگام یک گزینه با یک زبان نامفهوم را می بینید .

یا اینکه وقتی روی درایوهایتان دوبار کلیک می کنید محتوای درایوهای شما در یک صفحه جدید باز می شود .

یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file

یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .
یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت های بعد گفته شده است .

همچنین این ویروس باعث از بین رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزینه های Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنید با ok کردن پنجره این گزینه کار نخواهند کرد و دوباره به حالت اولیه باز خواهند گشت .
همچنین این ویروس باعث غیر فعال شدن Task Manageو Registry Editor خواهد شد .

اگر شما روی گزینه command prompt یا cmd نیز کلیک کنید یا باز نخواهد شد و پیغام زیر را خواهد داد یا اینکه به سرعت باز و بسته خواهد شد .the command prompt has been disabled by your administrator

راههای ورود این ویروس از طریق قطعاتی خواهد بود که از طریق usb با سیستم شما ارتباط دارند . قطعاتی مانند فلش مموری ها ( کولدیسک ) ، موبایل ها ، رم ریدر ها و ...
 

نحوه از ببن بردن ویروس autorun.inf

مواقعی که شما وسایلی مانند USB, flash drive را به کامپیوتر وصل می کنید ویروس اتوران وارد سیستم شما می شود . به دلیل این که ویروس autorun.inf به صورت hidden و سیستمی می باشد به همین دلیل اکثر انتی ویروس ها قادر به شناسایی و از بین بردن این ویروس نیستند .

خوشبختانه نسخه های جدید انتی ویروس های NOD32 و کسپراسکای این ویروس را تشخیص داده و به راحتی ان را از بین می برند . کافی است شما یکی از این دو انتی ویروس را روی سیستم نصب کرده و ان را به طور کامل اپدیت کنید و سپس سیستم را به طور کامل ویروس یابی کنید .
 
پس شرط از بین بردن این ویروس توسط انتی ویروس ها اپدیت کردن کامل انهاست . از بین این دو انتی ویروس در حال حاضر NOD32 عمل کرد بهتری دارد .
روشهای دستی برای از بین بردن این ویروس
این روشها هم برای فلش مموری ها و هم برای درایوها صادق می باشد .
 

روش اول :

برای از بین بردن این ویروس شما نباید به هیچ عنوان روی درایو یا فولدری دابل کلیک کنید . چون این ویروس با دابل کلیک کردن روی درایو ها فعال می شود .

پس اولین کار این است که شما وقتی سیستم را روشن کردید به هیچ عنوان روی درایوی دابل کلیک نکنید .

قبل از انجام مراحل زیر شما باید حتما با یکی از انتی ویروسهای NOD32 یا کسپراسکای و Avast سیستم را به طور کامل ویروس یابی کرده باشید . تا ابتدا ویروسهای احتمالی از سیستم شما پاکسازی شود .

دلیل این که چرا باید قبل از پاکسازی ویروس اتوران به طور دستی باید از انتی ویروس های گفته شده استفاده کرد را در روش دوم توضیح داده شده است .

ابتدا فلش مموری را به کامپیوتر وصل کنید . و سپس منتظر بمانید تا درایو مربوط به ان در my computer ظاهر شود . بعد از ظاهر شدن درایو مربوط به فلش مموری دیگر روی هیچ یک ازدرایو های کامپیوتر و حتی فلش مموری دابل کلیک نکنید .

 حالا مراحل زیر را ابتدا انجام دهید .

ابتدا وارد My Computer شوید .

بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید

راهنمایی : اگر Folder Options شما وجود ندارد و ممکن است پاک شده باشد در زیر برنامه هایی برای برگرداندن ان معرفی کرده ام .

در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .

کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید . حالا ok کنید
از این به بعد تا پاک سازی کامل این ویروس از داخل درایو ها روی هیچ کدام از درایو ها نباید دابل کلیک کرد بلکه باید با راست کلیک روی درایو و زدن open وارد درایو شوید .

(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)

ابتدا با راست کلیک روی درایو C و زدن OPEN وارد ان شوید و فایلی به نام autorun.inf را از داخل درایو هایتان پاک کنید . سپس با راست کلیک و زدن open وارد درایو های دیگر شوید و همچین فایلی را از داخل همه درایو ها پیدا کرده و پاک کنید .

بعد از این که شما همه فایلهای autorun.inf را از داخل همه درایو ها پاک کردید باید بلافاصله بدون انجام هیچ کار اضافی ( حتی نباید جایی کلیک کنید ) سیستم را Reset کنید .
حتما باید سیستم بلافاصله ریست شود .

فرض می کنیم فلش مموری یا RAM مربوط به موبایل شما نیز به این ویروس مبتلا شده باشد
شما باید فلش مموری یا موبایل خودتون را به کامپیوتر متصل کنید و بعد از دیدن درایو مربوط به ان با راست کلیک و زدن open وارد ان شوید و فایلی به نام autorun.inf را از داخل ان پاک کنید و همین طور که فلش مموری یا موبایل شما به کامپیوتر متصل است سیستم را Reset کنید .

این اموزش مربوط به ویروس autorun.inf بود . اما همیشه این ویروس به تنهایی در درایو های شما قرار نمی گیرد بلکه ممکن است همراه خود چندین فایل exe نیز داشته باشد که اگر شما کامل مقاله را مطالعه فرمایید اسم انها گفته شده است که شما در حین پاک کردن ویروس autorun.inf باید انها را نیز همراه این ویروس از داخل درایو ها پاک کنید .

 روش دوم :

برای این که متوجه شوید کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه ، باید ابتدا فایلهای مخفی و سوپرهایدن را قابل روئیت کنید .

چون این ویروس به صورت مخفی و سیستمی می باشد .

برای این که فایلهای مخفی را بتوانید ببینید از روش اول برای از بین بردن autorun.inf استفاده کنید . اما گاهی اوقات به دلیل دچار شدن به یک ویروس دیگر شما قادر به دیدن فایلهای مخفی نیستید .

برای این کار کافی است مسیر زیر را دنبال کنید .
Start->Run->cmd.exe

سپس در محیط cmd به root درایو ها رفته ( برای رفتن به ریشه یک درایو باید از دستور cd\ استفاده کنید ) و عبارت dir /ah را تایپ کنید با این کار تمامی فایلهای و فایلهای مخفی درایو به شما نشان داده خواهد شد . که شما با این روش می تونید ببینید که ایا کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه .

یک روش برای از بین بردن ویروس autorun.inf استفاده از همین محیط cmd می باشد . که شما باید با استفاده از دستورات داس به root درایو ها رفته و با استفاده از دستور del /a/f autorun.inf این ویروس را از تمامی درایو ها خود پاک کنید . توجه کنید که ابتدا باید درایو c را پاک کرده و بعد بقیه درایو ها را پاک کنید . بعد از این کار بلافاصله کامپیوتر را ریستارت کنید .

گاهی اوقات بعد از این که شما به طور دستی اقدام به پاکسازی ویروس اتوران می کنید بعد از چند ثانیه این ویروس دوباره سر جای خود برمی گردد .

این مشکل به این دلیل است که جدیدا ویروس اتوران پیشرفت زیادی کرده و به تنهایی فقط شامل یک فایل notpad به اسم autorun.inf نیست بلکه همراه این فایل چند فایل exe نیز وجود دارد که به این فایل ضمیمه شده اند که نشان از پشرفت این ویروس داشته است .

چند تا از فایلهای exe که اخیرا همراه این ویروس در درایو ها ایجاد می شود و مانع از پاکسازی ویروس اتوران به طور دستی می شود فایلهایی به اسم 3o.exe و sxs.exe و semo2x.exe و system.exe و m88coaim.exe می باشد .

متاسفانه فایل های exe را نمی توان به طور دستی پاک کرد به خاطر این که بعد از پاک شدن سریعا در عرض چند ثاینه یک جایگزین برای خود درست می کنند .

پس برای این که بتوانید به راحتی و به طور دستی ویروس اتوران را پاک کنید باید ابتدا فایهای exe ضمیمه ان را از بین ببریم برای این کار من انتی ویروس Avast را پیشنهاد می کنم که قادر به از بین بردن برنامه های exe ضمیمه شده به ویروس اتوران است مخصوصا فایل 3o.exe . بعد از ان شما به راحتی می توانید به طور دستی فایل autorun.inf را از درایوها پاک کنید .

پس شرط از بین بردن ویروس اتوران به طور دستی این است که شما قبل از ان با انتی ویروس Avast سیستم را به طور کامل ویروس یابی کنید تا برنامه های exe همراه ویروس اتوران از بین بروند .

روش سوم :

این روش شاید دیگر به این راحتی ها جواب ندهد به این دلیل که ویروس اتوران پیشرفت کرده و دیگر به تنهایی فقط شامل یه فایل notpad نیست بلکه همراه خود چندین فایل exe نیز دارد . اما گفتن این روش هم خالی از لطف نیست .

یک روش هم برای از بین بردن ویروس اتوران این است که برنامه notpad را باز کنید و دستور زیر را در ان کپی کنید و سپس با نام و پسوند autorun.inf ذخیره کنید .

کد:
[AutoRun]
open=explorer.exep

سپس به مسیر tools->folder options->view رفته و تیک گزینه hide extensions for known file types را بردارید تا پسوند فایلهای نیز نمایان شود .

سپس فایلهای مخفی و سوپرهایدن را قابل روئیت کنید و فایل autorun.inf خود را در همه درایو ها کپی کنید با این کار اگر فایل اتوارن دیگری در درایو شما باشد اخطاری مبنی بر جایگزین کردن فایل به شما داده خواهد شد که شما با زدن گزینه yes پیغام را تائید کنید .
این کار را برای تمام درایو ها انجام دهید . با این کار فایل اتوران شما جایگزین ویروس اتوران خواهد شد .
همان طور که گفتم شاید این روش دیگر جواب ندهد .

انواع ویروسها

ویروس های سکتور بوت (سکتور از بخش بندی های فضای بر روی دیسک ها می باشد) .

ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. آنها از طریق تغییر دادن سکتور بوت –قسمتی از سخت افزاری از دیسک که در آن برنامه ای قرار می گیرد که باعث شروع به کار کامپیوتر شما می شود –گسترش می یابند.

هنگامی که شما کامپیوتر را روشن می کنید، سخت افزار به دنبال برنامه سکتور بوت –که معمولابرروی دیسک سخت است، ولی می تواند بر روی فلاپی یا سی دی هم باشد – می گردد تا آن را اجرا کند. این برنامه با اجرا شدن، وقفه سیستم عامل را در حافظه بار گذاری می کند. (Load)

یک ویروس سکتور بوت، نسخه اصلی برنامه سکتور بوت را با نسخه ای تغییر یافته ومربوط به خود جایگزین کرده ونسخه اصلی را معمولا در جایی دیگر روی دیسک سخت پنهان می کند. هنگامی که شما در مرتبه بعدی دستگاه را روشن می کنید، سکتور بوت آلوده شده، مورد استفاده از سخت افزار قرار خواهد گرفت وبنابراین ویروس فعال خواهد شد.

پس در صورتیکه شما دستگاه را به وسیله یک دیسکت آلوده- معمولا دیسک های نرمی که سکتور بوت آلوده دارند- راه اندازی کنید، در نهایت آلوده به ویروس خواهید شد.

بسیاری از ویروس ها ی سکتور بوت در حال حاضر دیگر جزءویروس های کهنه وقدیمی محسوب می شوند. آنهایی که برای دستگاههای تحت سیستم عامل DOSنوشته شده بودند، معمولا نمی توانند از طریق سیستم عامل ها ی ویندوز 95، 98، ME، NT، 2000وXP بودند، گسترش یابند، گرچه ممکن است گاهی اوقات این سیستم عامل هارا از راه اندازی صحیح متوقف کنند.

معرفی ویروس هایی از این نوع :

ویروس Form:ویروسی است که پس از 10سال بعد از اولین مشاهده، هنوز هم:ویروس رایج است.

نسخه اصلی آن در روز 18هر ماه، فعال شده وهنگامی که هر دکمه ای بر روی صفحه کلید فشرده شود، باعث ایجاد یک کلیک می شود.

ویروس Parity Boot: ویروسی است که به طور تصادفی پیغام PARITY CHECKویروس نمایش داده وسیستم عامل را قفل می کند. این پیغام مانند پیغام واقعی است که به هنگام ایجاد خطا در حافظه کامپیوتر نمایش داده می شود.

ویروس های انگلی :

ویروس های انگلی که با نام ویروس های فایل هم شناخته می شوند، خود را به برنامه ها یا همان فایل های قابل اجرا پیوند می زنند.

هنگامی که شما اجرای برنامه آلوده شده توسط ویروسی را آغاز می کنید، در ابتدا ویروس اجرا خواهد شد. سپس ویرو س ها برای مخفی نگاه داشتن حضور خود، برنامه اصلی را اجرا می کند. سیستم عامل دستگاه که ویروس را بخشی از برنامه اجرا شده توسط شما می داند، به آن مجوزهای اجرا را می دهد. این مجوز ها به ویروس اجازه می دهند تا از خود کپی بسازد، خود را در حافظه کامپیوتر قرار داده وبدنه خود را آزاد کند.

ویروس های انگلی در تاریخچه ویروس ها از نخستین انواع آنها می باشند، اما در حال حاضر نیز از تهدیدات واقعی به شمار می روند. شبکه اینترنت که گسترش برنامه ها را ساده تر کرده، به ویروس ها نیز فرصتی جدیدی برای گسترش داده است.

معرفی ویروس هایی از این نوع :

ویروس Jerusalem:در جمعه های با تاریخ 13هرماه، تمام برنامه های اجرا شده در کامپیوتر را پاک می کند.

ویروس CIHیا همان Chernoby:در روز 26 از ماههای مشخصی، اطلاعات چیپ :بایوس را بازنویسی کرده واز بین می برد. با این کار کامپیوتر غیر قابل استفاده می شود. این ویروس همچنین اطلاعات دیسک سخت را نیز بازنویسی می کنند.

ویروس Remote Explorer:ویروس Remote Explorer) ) WNT/RemExpفایل اجرایی ویندوز NTرا آلوده می کند. این ویروس اولین ویروسی بود که توانست خود را به عنوان یک سرویس –برنامه هایی که در ویندوز NTحتی در زمان هایی که کسی Log inنکرده، اجرا می شوند، در ویندوز NTاجرا کند.

 ویروس های ماکرو (کلان دستور) :

ویروس های ماکرو که از مزایای برنامه نویسی ماکرو سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده وبه صورت خودکار اجرا می شوند.

بسیاری از برنامه ها مانند برامه های واژه پرداز یا تهیه کننده صفحه گسترده از خاصیت برنامه نویسی ماکرو استفاده می کنند.

ویروس ماکرو، یک برنامه ماکرو اس ت که می تواند از خود کپی ساخته واز فایلی به فایل دیگر گسترش پیدا کند. در صورتیکه شما فایلی را باز کنید که حامل ویروسی ازنوع همه چیز ماکرو است، در اینصورت ویروس خود را در فایل های آغازین اجرای آن برنامه کپی می کند واین زمان است که کامپیوتر آلوده شده است.

زمانی که شما در مرحله بعد فایلی را باز می کنید از همان برنامه استفاده می کند، ویروس، آن فایل را هم آلوده کرد. در صورتیکه کامپیوتر شما در یک شبکه باشد، این آلودگی به سرعت گسترش پیدا می کند ودلیل آن هم این است که هنگامی که شما فایلی آلوده را برای فرد دیگری می فرستید، اوهم با باز کردن فایل آلوده خواهد شد.

یک ماکروی مخرب همچنین می تواند باعث بوجود آمدن تغییرات در اسناد یا تنظیمات شما شود.

ویروس های ماکرو می توانند فایل هایی که در بیشتر ادارات مورد استفاده قرار می گیرند را آلوده کنند وهمچنین بعضی از آنها می توانند چندین نوع متفاوت از فایل ها مانند فایل های برنامه های Wordیا Excelرا تحت تاثیر قرار دهند. همچنین آنها می توانند به تمام فایل هایی که توسط برنامه میزبان آنها مورد اجرا قرار می گیرد، گسترش پیدا کنند، بالاتر از همه اینکه آنها می توانند براحتی گسترش پیدا کنند، چرا که اسناد بطور مداوم در نامه های الکترونیک و وب سایت ها در حال تبادل هستند.

معرفی ویروس هایی از این نوع:

ویروس WM/Wazzu:فایل های تهیه شده توسط برنامه Wordرا آلوده می سازد. این ویروس بطور تصادفی در بین هر یک تا سه کلمه، عبارتwazzuرا قرار می دهد.

ویروس OF97/Crown-B:فایل های برنامه هایPower pointوExcel، Wordرا آلوده می کند. هنگامی که این ویروس، فایلی از برنامه Wordرا آلوده می سازد، بخش محافظتی ماکرو در سایر برنامه های نرم افزار Officeرا از کار انداخته واز این طریق آنها را تحت تاثیر قرار می دهد.

ویروس های برتر

کدامیک از ویروس ها تا بحال بیشترین موفقیت را داشته اند؟در این قسمت گزیده ای از ویروس هایی آورده می شود که توانسته اند :به دور ترین نقاط انتقال پیدا کنند، بیشترین تعداد کامپیوتر را آلوده کنند، ویا اینکه بیشترین طول عمر را داشته باشند.

 ویروس (VBS/LoveLet-A) Love Bug

 احتمالاویروس Love Bugبهترین ویروس شناخته شده می باشد. این ویروس با تظاهر خود به عنوان یک برنامه عاشقانه وبرانگیختن حس کنجکاوی کاربران، در ساعاتی توانست در نقاط مختلف جهان گسترش پیدا کند.

اولین مشاهده :ماه می از سال 2000

سرچشمه:فلیپین

شهرت :نامه عاشقانه

نوع:کرم اسکریپتی ویژال بیسیک

راه اندازی ویروس :در اولین آلودگی

تاثیرات:نسخه اصلی این ویروس نامه ای با عنوان ( (دوستت دارم) ) با متن ( (در کمال لطف ومهربانی، نامه ای عاشقانه از من به تو، پیوند این نامه شده است، آن را بخوان) ) را برای کاربران می فرستد. باز کردن فایل پیوندی، باعث راه اندازی ویروس خواهد شد. در صورتیکه برنامه Outlookشرکت مایکروسافت نصب شده باشد، ویروس سعی خواهد کرد تا خود را به آدرس تمام افرادی که آدرس آنها در دفترچه آدرس برنامه Outlook وجود دارد، ارسال کند. این ویروس همچنین می تواند خود را در گروههای خبری توزیع کرده، اطلاعات کاربران را مورد سرقت قرار دهد وفایل های بخصوصی را بازنویسی کند.

 ویروسFORM

به خاطر گسترش هشت ساله آن-که هنوز هم ادامه دارد-در Formنام ویروس ونسخه های ابتدایی  DOS لیست 10ویروس برتر آورده شده است. در سیستم عامل ویندوز، این ویروس بسیار مخفی عمل کرده وبه همین خاطر توانسته در ابعادی وسیع گسترش پیدا کند.

اولین مشاهده:سال1991

سرچشمه :سوئیس

نوع:ویروس سکتور بوت

راه اندازی ویروس :در روز 18ماه

تاثیرات:هنگامی که شما هر دکمه ای بر روی صفحه کلید را فشار دهید، این ویروس باعث تولید یک کلیک خواهد شد. می تواند باعث عدم فعالیت کامپیوتر های مبتنی بر سیستم عامل NTشود.

کرم (VBS/Kakworm) Kakworm

این کرم فقط با خواندن نامه آلوده، باعث آلوده شدن دستگاه کاربر می شود.

اولین مشاهده:سال1999

نوع:کرم اسکریپتی ویژوال بیسیک

راه اندازی ویروس :در بیشتر موارد آلودگی، آلودگی با اولین اجرای ویروس شروع شده که این نوع آلودگی بیشترین آلودگی از این ویروس را داشته ودر نوع دیگر، کردنShut Downویروس در روز اول هر ماه فعال می شود که این نوع فعالیت جانبی ویندوز همراه است.

تاثیرات:این کرم در پیامی که از طریق پست الکترونیک در یافت می شود، جاسازی به همراه Outlook Expressیا Outlookشده است. در صورتی که شما از برنامه استفاده می کنید، ممکن است کامپیوترتان به هنگام باز کردن یا Internet Explorer 5راOutlook Expressمشاهده نامه آلوده، ویروسی شود. این ویروس تنظیمات برنامه چنان تغییر می دهد که با هر نامه فرستاده شده از طرف شما، دستورات ویروسی هم به طور اتو ماتیک فرستاده می شوند. در روز اول هر ماه، بعد از ساعات 5بعد از ظهر، ویروس را نمایش داده وسیستم عامل ویندوز را Kro$oft says-Anti-Kagou not today  پیغام خاموش می کند.

ویروس Anticmos

ویروسی بخصوص از نوع ویروس سکتور بوت است. در اواسط دهه 1990شروع به گسترش کرده وبه طور متناوب در لیست 10ویروس برتر قرار گرفته است.

اولین مشاهده:ماه ژانویه از سال 1994

سرچشمه :اولین شناسایی در هنگ کنگ بوده اما عقیده بر آن است که سر چشمه آن کشور چین می باشد.

نوع:ویروس سکتور بوت

راه اندازی ویروس:تصادفی

تاثیرات :سعی در پاک کردن اطلاعات مربوط به درایوهای نصب شده فلاپی ودیسک سخت.

ویروس (WM97/Melissa) Melissa

ملیسا ویروسی از نوع ویروس های پست الکترونیکی بوده واز ظرافت های روانشناختی برای گسترش سریع استفاده می کند. این ویروس اینطور وانمود می کند که از طرف فردی آشنا برای شما آمده وشامل متنی است که شما حتما می خواهید آن را بخوانید. د رنتیجه به همین سادگی ویروس ملیسا سرتاسر دنیا را تنها در یک روز می پیماید.

اولین مشاهده :ماه مارس از سال1999برنامه نویس 31ساله آمریکایی که متنی آلوده، David Smith

سرچشمه :آقای قرار داده (Sex) به ویروس را در گروههای خبری وابسته به گروههای نامشروع جنسی بود.

Wordو2000Wordنوع :ویروس ماکرو مربوط به برنامه های 97

راه اندازی ویروس :در اولین اجرا

تاثیرات:با تهیه یک نامه که در موضوع آن، نام کاربر استفاده کننده از کامپیوتر آورده شده وارسال آن نامه به پنجاه آدرس اول از تمام کتابچه آدر س هایی که در دسترس باشند، خود را گسترش می دهد. نامه فرستاده شده شامل Microsoft Outlookبرنامه فایلی پیوندی است که نسخه ای از متنی آلوده به ویروس را در خود دارد. در صورتیکه در10از روز :زمان وتاریخ باز شدن فایل، دقیق وشماره روز یکی باشند) مثلا ساعت05را به فایل اضافه خواهد کرد. Scrabbleپنجم ماه (، ویروس متنی راجع به بازی)

ویروس New Zealand

بدون شک در اوایل دهه 1990، این ویروس یکی از ویروس های فراگیر بوده است.

اولین مشاهده :اواخر دهه1980

سرچشمه :نیوزلند

شهرت:سنگ شده

نوع:ویروس سکتور بوت

راه اندازی ویروس:در صورتیکه سیستم از طریق فلاپی راه اندازی شود، در هر 8مرتبه، یکبار این ویروس فعال می شود. را نمایش می دهد. این <<کامپیوتر شما در حال حاضر سنگ شده

>>تاثیرات :پیام ویروس نسخه ای از سکتور بوت اصلی را در آخرین سکتور از فهرست ریشه یک دیسکت 360کیلوبایتی قرار می دهد. این کار می تواند به دیسکت های با حجم بیشتر صدمه بزند.

ویروس( WM-Concept ) Concept

Officeکه توانست تصادفا حامل مناسبی مانند نرم افزارهای Concept ویروس شرکت مایکروسافت را بدست آورد، موفقیتی ناگهانی کسب کرد. این ویروس که اولین نوعی بود که به صورت ماکرو) کلان دستور (نوشته شده بود، به یکی از ویروس های فراگیر در کنترل دستگاه را با اجرای ماکروی Conceptسالهای 1996تا1998تبدیل شد. ویروس آن را بصورت خودکار اجرا می کرد، بدست آورده وWordخود که برنامه Auto Openشدن فایلی در برنامه Saveخود که در هر بار FileSaveAs آلودگی را از طریق ماکروی اجرا می شد، انتقال می داد، گونه های مختلفی از این ویروس وجود داردWord.

اولین مشاهده :ماه آگوست از سال1995

نوع:ویروس ماکرو

تاثیرات:هنگامی که شما سندی آلوده را باز می کنید، یک صفحه پیغام با عنوان

That's enough to proveنمایان می شود. این ویروس شامل عبارت Microsoft Wordبوده اما آن را هیچگاه نمایش نمی دهدmy point.

ویروس (W95/CIH-10xx) ChernobyیاCIH

اولین ویروسی بود که توانست به سخت افزار کامپیوتر صدمه وارد کند. به CIH محض اینکه این ویروس اطلاعات بایوس را بازنویسی کند، کامپیوتر دیگر قابل استفاده نخواهد بود مگر آنکه چیپ بایوس آن تعویض شود.

اولین مشاهده:ماه ژوئن از سال 1998

سرچشمه :نوشته شده توسط  Chen Ing –Hauاز تایوان

نوع:ویروسی انگلی که بر روی کامپیوترهای مبتنی بر سیستم عامل ویندوز 95اجرا می شود.

راه اندازی ویروس :در روز 26ماه آوریل. انواع دیگر آن در روز های 26 از ماه ژوئن ویا روز 26هر ماه آزاد می شوند.

تاثیرات :بازنویسی کردن اطلاعات روی بایوس وپس از ان اطلاعات بر روی دیسک سخت.

ویروس Parity Boot

این ویورس برروی سکتور بوت فلاپی ها گسترش می یابد. موفقیت آن مؤید این مطلب است که ویروس های از نوع سکتور بوت –که در دهه 1980واوایل دهه1990فراگیر بوده اند –هنوز هم می توانند پررونق باشند.

نام این ویروس در اکثر گزارش های مربوط به سال 1998قابل مشاهده می باشد.

آلودگی فوق العاده این ویروس مربوط به کشور آلمان می باشد، جایی که توانست خود را از) . طریق دیسکت های توزیع شده به همراه یک مجله منتشر کند) در سال 1994

اولین مشاهده:ماه مارس از سال 1993

سرچشمه :احتمالاکشور آلمان

نوع :ویروس سکتور بوت

راه اندازی ویروس :تصادفی

را نمایش داده وباعث قفل شدن کامپیوترPARITY CHECK

تاثیرات:پیغام می شود. این کار تقلیدی از رخداد یک خطای واقعی حافظه می باشد. در نتیجه اغلب اوقات دستگاه آنها وجود دارد RAM. کاربران تصور می کنند که مشکلی در حافظه

ویروس   Happy99 (W32/Ska- Happy99)

 اولین ویروس شناخته شده ای بود که توانست به سرعت خود را از طریق پست الکترونیک گسترش دهد.

اولین مشاهده :ماه ژانویه از سال1999ویروس نویس فرانسوی به یک گروه خبری ارسال Spanskaسرچشمه :توسط شد.، NT، ME، 98،

نوع :ویروس فایلی که بر روی سیستم عامل ویندوز 95اجرا می شود XP2000. ورا نمایش <<سال 1999مبارک >>تاثیرات :نمایی از یک آتش بازی وسپس پیام را Windowsاز سیستم عاملSystemدر شاخه Wsock32. Dll می دهد. این ویروس فایل چنان تغییر می دهد که بعد از هر نامه ای که فرستاده می شود، پیام دیگری هم که شامل ویروس می باشد ارسال خواهد شد.

 Bandook
منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۵

‏Bandook یک تروجان «در پشتی» بود که ویندوز 2000، ایکس پی، 2003 و ویستا را تحت تاثیر قرار می داد. این تروجان فایروال ویندوز را دور می زد و دسترسی از راه دور مهاجم را به سیستم شما فراهم می کرد. رفتار این تروجان مشابه پسر عموی خود، Beast Trojan بود.

Beast Trojan
منبع احتمالی انتشار: دلفی
سال انتشار: ۲۰۰۲

این کرم مبتنی بر ویندوز به شخص مهاجم کنترل کاملی بر روی کامپیوتر آلوده می داد، از جمله دسترسی به تمام فایل ها با توانایی آپلود، دانلود، اجرا یا حذف فایلها.

 Benjamin
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۲

ویروس « بنجامین » کامپیوترها را از طریق برنامه به اشتراک گذاری فایل Kazaa آلوده می نمود. ویروس به عنوان آهنگی محبوب به منظور فریب کاربران برای دانلود آن معرفی می شد. هنگامی که این ویروس یک بار روی سیستم اجرا می شد، اتصال به اینترنت رایانه میزبان را مسدود و تمام ظرفیت هارد دیسک را پر می کرد.

 CIH aka Chernobyl
منبع احتمالی انتشار: تایوان
سال انتشار: ۱۹۹۸

ویروس «چرنوبیل» باعث آسیب ۸۰ میلیون دلاری به رایانه ها شد. این ویروس رایانه های مجهز به ویندوز 95، 98 و ME را آلوده کرده و می توانست روی فایل های هارد دیسک رونویسی کرده یا از بوت شدن سیستم جلوگیری کند. نام آن برگرفته از یک فاجعه بود: ویروس در همان روزی منتشر شد که سال ها قبل از آن انفجار راکتور هسته ای چرنوبیل در شوروی رخ داد.

  Explorer.zip
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۱۹۹۹

این کرم به قربانیان با حذف فایل های ورد، اکسل و پاورپوینت خسارت دردآوری وارد می کرد. کرم در عین حال روش هوشمندانه ای برای گسترش خود در سراسر وب داشت: Explorer.zip در متن ایمیل ها جستجو کرده و به طور خودکار جواب دارای فایل پیوست آلوده به کرم را در پاسخ به آنها با استفاده از تیتر اصلی ارسال می کرد.

SoBig
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۳

‏SoBig میلیون ها کامپیوتر تحت ویندوز را آلوده کرد. این بدافزار ایمیل هایی به مخاطبین رایانه آلوده شده با عناوینی مانند "پاسخ: برنامه کاربردی درخواستی شما" و "متشکرم" ارسال شده و حاوی متنی بود که گیرنده نامه را به لینک "برای دریافت جزئیات پیوست را بازدید کنید،" هدایت می کرد، که چیزی نبود جز مواجهه با عذاب گرفتاری به بدافزار جدید. هنگامی که با SoBig آلوده می شدید، شما یک فرستنده اسپم به دوستان خود بودید.

 Stuxnet
منبع احتمالی انتشار: ایران
سال انتشار: ۲۰۱۰

کرم «استاکس نت»در میان کارشناسان سبب ایجاد وحشت شد، چرا که ظاهرا توانایی از کار انداختن تاسیسات صنعتی و هسته ای را داشت. شاید بتوان آن را اولین بدافزار با قابلیت تخریب سخت افزاری خارج از کامپیوتر نامید. در همین زمینه کارشناسان امنیت سایبر در مورد یک مسابقه تسلیحاتی جدید هشدار دادند. به نظر می رسد که هدف استاکس نت ایران بوده است.

 Magistr
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۱

کرم Magistr قوی و مخرب بود. این کرم، فایل های ذخیره شده روی هارد دیسک های آلوده را با فایل های خود بازنویسی کرده و سبب نابودی اطلاعات به این شیوه شده و سبب کرش سیستم می گردید. همچنین Magistr در برابر آنتی ویروس ها مقاوم بود و بسیاری تلاش های معمول برای حذف آن را مسدود کرده و بی اثر می نمود.

Sasser
منبع احتمالی انتشار: آلمان
سال انتشار: ۲۰۰۴

«ساسر» توسط سوئن جاشن ایجاد شد که شهرت خود را از برنامه نویسی ویروس Netsky که در در ادامه بدان اشاره می شود بدست آورده بود، با این تفاوت که ساسر دست پخت هکر برای انجام ماموریتی بزرگ و ویرانگر بود. چرا که برآوردها نشان می داد بر اثر این بدافزار ۱۸ میلیون دلار آسیب به صنعت رایانه وارد گردید. آلودگی سبب خساراتی منجمله خاموشی ارتباطات ماهواره ای خبرگزاری های فرانسه و لغو پروازهای Delta Airlines شد و این تنها بخشی از اثرات ویرانگر این بدافزار بود.

 Mariposa
منبع احتمالی انتشار: اسپانیا
سال انتشار: ۲۰۱۰

این ویروس یک botnet یا شبکه ای از سیستم های آلوده شده بود که در بیش از ۱۹۰ کشور گسترش یافته و ۱۲.۷ میلیون رایانه را آلوده کرد. مقامات پلیس که موفق به شکست حلقه آلودگی شدند، اعتقاد دارند این آلودگی ها از اسپانیا نشات گرفته است و هدف آن سرقت شماره کارت اعتباری و اطلاعات بانکی قربانیان بوده است.

 Klez
منبع احتمالی انتشار: روسیه
سال انتشار: ۲۰۰۲

‏Klez رکوردی را که پیش از این در اختیار SirCam بود، شکست و تبدیل به گسترده ترین کرم تا آن زمان در تاریخ رایانه شد. رفتار کرم شبیه کرم قدیمی تر بود، یعنی بازنویسی فایل ها با فایل های آلوده که حجمشان صفر بود. علاوه بر این، Klez تلاش به غیر فعال کردن برنامه آنتی ویروس به منظور زنده نگه داشتن خود می نمود.

SQL Slammer
منبع احتمالی انتشار: بریتانیا
سال انتشار: ۲۰۰۳

بدافزار SQL Slammer سرور ها را هدف قرار داده، و آنها را با قطعات کوچکی از کد که به آدرس های IP تصادفی فرستاده می شد، بمباران می کرد. سرورهای گرفتار شده با ترافیک مصنوعی یا کند شده و سرعت ارائه خدمات به کلاینت های آنها پایین می آمد، یا به کلی از ارائه سرویس ناتوان می گشتند. بخشی از قربانیان مهم شامل سرورهای بانک مرکزی امریکا، خطوط هوایی «قاره ای» (Continental) و شهر سیاتل بود. کرم به طرز حیرت آوری سریع عمل کرده و تنها در عرض ۱۰ دقیقه به ۹۰ درصد از تمام سیستم های آسیب پذیر ممکن گسترش یافت (بیش از ۷۵ هزار کامپیوتر).

 Code Red
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار : ۲۰۰۱

این کرم که خطرناک ترین آلودگی ممکن در زمان خود محسوب می شد، با آلوده کردن رایانه های متعدد و متحد کردن آنها در حمله علیه وب سایت کاخ سفید برای خود نامی هراس انگیز دست و پا کرد. کرم نیازی به فایل اجرایی آلوده نداشت، و از طریق صدها هزار شبکه، که عمدتا متعلق به شرکت ها بود گسترش یافت.

  Storm
منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۷

کرم «طوفان» ۵۰ میلیون رایانه را آلوده کرد. این بدافزار در پیوست یک نامه الکترونیکی با عنوان "۲۳۰ کشته در جریان طوفان در اروپا " پنهان شده بود. هر چند برخی تغییرات در قالب و متن این ایمیل در رایانه های مختلف مشاهده شده، از جمله یک مورد خبر زلزله در چین در زمان برگزاری بازی های المپیک پکن. کرم برای سوء استفاده طراحی شده و در طراحی آن از بروز رفتار غیرعادی در کامپیوتر میزبان غفلت شده بود. این کرم دکمه هایی که کاربر روی صفحه کلید را فشار می داد ثبت کرده و یک پایگاه داده بزرگ از اطلاعات محرمانه به منظور فروش اطلاعات قربانی تولید می کرد. کرم بسیار زیرک بود و بر یک کد تکیه داشت که هر ۳۰ دقیقه تغییر شکل می داد. این ویروس از این نظر که آینده بدافزار های مخرب را ترسیم می کرد و هدفش تبدیل قربانیان به خوراکی آماده برای اسپمرها (فرستندگان هرزنامه) بود، حائز اهمیت است.

 Mydoom
منبع احتمالی انتشار: روسیه
سال انتشار : ۲۰۰۴

‏Mydoom سریعترین کرم گسترش یافته در اینترنت بود که تا آن زمان طراحی شده بود. این کرم توسط یک فرستنده ایمیل های اسپم مأموریت یافته بود که ایمیل های ناخواسته یا اسپم حاوی پیام: "اندی ، من فقط کارم را انجام می دهم، هیچ دلبستگی شخصی در میان نیست. متأسفم!" را برای قربانیان ارسال کند. کرم اجازه کنترل از راه دور سیستم میزبان را به مهاجم می داد. برخی از گونه های حمله به وب سایت های خاصی از جمله مایکروسافت و گروه سازمان همکاری های شانگهای (SCO) انجام گرفت. برخی کارشناسان بر این باورند که کرم همچنین از طریق Kazaa خود را گسترش می دهد.

 Nimda
منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۱

ویروس Nimda یکی از پیچیده ترین بدافزارها در طول تاریخ است، چرا که به پنج روش مختلف خود را تکثیر می نمود. هنگامی که کامپیوتری به این ویروس آلوده می شد، ویروس یک حساب کاربری مدیریتی (Administrator Account) ایجاد کرده و اطلاعات ذخیره شده روی هارد و شبکه را با فایل های بی ارزش خود بازنویسی کرده و از بین می برد. این ویروس هر دو نوع رایانه های شخصی و سرورها را آلوده کرده و برای آلودگی نیازی به اجرای فایل برنامه توسط میزبان نداشت.

Melissa
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۱۹۹۹

این یکی در میان ماکرو ویروس ها نیرومندترین است. «ملیسا» -که نام خود را از یکی از رقاصه های عجیب و غریب از ایالت فلوریدا گرفته بود- در فایل های ایجاد شده توسط ورد، اکسل و اوت لوک نفوذ می کرد. یکی از اولین ویروس هایی بود که از طریق ایمیل گسترش می یافت و به مراتب گستردگی بیشتری نسبت به بقیه این نوع ویروس ها داشت. ملیسا بیش از یک میلیون کامپیوتر را در امریکای شمالی آلوده کرده. از جمله عوامل اصلی در هراس عمومی از فایل های ضمیمه شده در ایمیل ها همین ویروس بود. این ویروس شبکه های شرکت ها و نهادهای دولتی را آلوده کرده و دو دوره را در تاریخ بدافزارها بنیان نهاد: یکی دوره جدید ظهور ویروس ها و دیگری رویکرد جدید صنعت آنتی ویروس های مقابله کننده با بدافزارها.

 I LOVE YOU
منبع احتمالی انتشار: ایالات متحده آمریکا
سال : ۲۰۰۰

در آغاز دهه اول قرن بیست و یکم با تمام بدبینی های پیش زمینه کاربران، ویروس I LOVE YOU میلیون ها کامپیوتر را در یک شب آلوده کرد. این بدافزار یک اسب تروجان روی رایانه قربانی دانلود می کرد که به دنبال رمزعبور و نام های کاربری کاربر گشته، و کارهایی از قبیل بازنویسی و انتقال فایل ها را انجام می داد. ویروس توسط یک دانشجوی فیلیپینی ایجاد شده، از طریق ایمیلی با عنوان بی رحمانه " دوستت دارم" گسترش می یافت. در زمان اوج شیوع سراسری این ویروس ، تخمین زده شد ۱۰ میلیارد دلار به رایانه های خانگی و شرکت ها خسارت وارد شده است. روش های هیجان انگیز و پیچیده ویروس "دوستت دارم" موضوع ده ها پایان نامه دانشجویی و نمایشگاه امنیت رایانه ای در بسیاری از کشورهای جهان شد.

Conficker
منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۹

کرم رایانه ای که به بیش از 200 کشور جهان گسترش یافته و دهها میلیون رایانه و سرور را آلوده کرده و به آنها آسیب رساند، چیزی نیست جز کرم Conficker که لقب زهرآگین ترین کرم تمام دوران را از آن خود کرده است. Conficker تکنیک های مختلف نرم افزارهای مخرب را با هم ترکیب نموده و در اصل نیمه ویروس و نیمه تروجان بود.کرم تلاش می کرد تا از به روز رسانی سیستم ها جلوگیری کرده و به برنامه های ضد تروجان حمله و آنها را غیرفعال کند. Conficker به ویژه در اروپا اثرات ویرانگری از خود بر جای گذارد. از جمله خسارات قابل توجه می توان به وزارت دفاع بریتانیا، نیروی دریایی فرانسه و پلیس نروژ اشاره کرد. انتشار چندین گونه از این کرم باعث شد تا آن یک قدم جلوتر از تلاش ها برای محو آن باشد. این ویروس همچنان به عنوان بی رحم ترین برنامه مخرب موثر در دوران مدرن رایانه باقی مانده است.

ویروس Bronkot. Aوروش های مقابله

این یک ویروس بسیار حرفه ای است واساس طراحی این ویروس با Visual Basic0. 6می باشد. برای اولین بار کمپانی سازنده آنتی ویروس Bit Defenderپادزهر آن را ساخت اما چون روشی خاصی برای نابودی این کرم وجود ندارد، نرم افزار آنتی ویروس نمی تواند این کار را انجام دهد وفقط ویروس را شناسایی می کند. دوستانی که سطح اطلاعات کامپیوتری مبتدی است توصیه می شود که ویندوز خود را عوض کنند وتمام مطالبی که در زیر نوشته شده است را کنار بگذارند. البته توضیحات واضح است وضرری ندارد اگر یک بار امتحان کنید اما کسانی که مدت زیادی است با کامپیوتر آشنایی دارند بهتر می توانند موفق شوند. در ابتدا خوب است کمی راجع به هنر نمایی های این ویروس بدانیم :

کرمی که باعث ایجاد این ویروس می شود Bron Tok. A نام دارد. معروف شده است به پنهان کننده  Folder Options بهتر است بدانید که این تنها کار این کرم نیست  Registry Toolsرا قفل می کند.  Task Manager با Error مواجه می شود واگر هم بر حسب اتفاق اجرا شود توانایی END کردن بسیاری از پروسه ها را ندارد. محتویات My Documentرا پس از اجرا شدن نمایش می دهد، اگر از طریق منوی StartگزینهRunرا فعال کنیم وهر یک از عبارات RegEdit32، RegeditوCMDرا اجرا کنیم سیستم بلافاصه Restart می شود. کلیک بر روی Log off یا Turn off باعث Restart می شود. سرعت سیستم را کاهش داده ومانع اجرای  بعضی نرم افزار ها می شود. این کرم آیکون یک پوشه معمولی را دارد واز طریق فایل inetinfo. Exe در سیستم منتشر می شود.

 ویروسها از نظر محل تأثیر گذاری

ویروس ها مانند سایر برنامه ها نیاز به محلی برای ذخیره خود دارند با این تفاوت که آنها محلی را انتخاب می کنند که برای رسیدن به اهداف شوم خود نزدیک تر ودر دسترس تر باشد. محلهایی که برای جایگیری ویروس ها محبوبیت بیشتری دارند (محل تأثیر گذاری) به شرح زیر می باشند :

v    ویروس های تاثیر گذار روی رکورد راه انداز :

این نوع ویروس ها همان طوری که از نام آنها مشخص است به رکورد راه انداز (RECORD BOOT) سیستم آسیب می رساند واطلاعات این بخش را (از قبیل ظرفیت دیسک تعداد سکتور های آن مقدار بایت های هر سکتور سایز کلاستر ها و. . . . . علاوه بر این اطلاعات در دیسک های راه اندازاین سکتور شامل برنامه ای است که سیستم عامل را در حافظه قرار داده آن را راه اندازی BOOT-می کند) را از بین می برند در نتیجه موقع شروع به کار سیستم برنامه STRAP BOOTکه عملیات راه اندازی را آغاز می کند وجود نداشته ودر نتیجه کامپیوتر راه اندازی نمی شود وپیغام خطایی از طرف سیستم مبنی بر عدم وجود فایل های سیستمی در صفحه نمایش ظاهرمی شود واگر مانع از راه اندازی سیستم نشوند حافظه کامپیوتر را در بدو شروع وراه اندازی آلوده وبه این ترتیب باعث گسترش آلودگی به درایوهای دیگر می شوند مثلا:ویروس "فیلیپ".

 v    ویروس های تاثیر گذار روی پارتیشن تیبل:

پارتیشن تیبل به جدولی گفته می شود در آن نحوه تقسیم بندی هاردیسک (هاردیسک می تواند دارای چند درایو باشد) وظرفیت تک تک پارتیشن های هارددیسک مشخص شده است که در سکتور شماره صفرها رد دیسک قرار دارد. این ویروس ها می توانند از نظر منطقی ظرفیت تک تک پارتیشن ها را به هم ریخته وآنها را کم وزیاد کرده وحتی روی نحوه تقسیم بندی دیسک تاثیر بگذارند در این صورت نمی توان به بعضی از فایل ها در جای خودشان دسترسی پیدا کرد محل نگهداری این جدول در رکورد راه انداز اصلی هر هارد است.

همچنین این گونه ویروس ها با قرار گرفتن در این محل به محض روشن شدن کامپیوتر واجرای یک برنامه آلوده به ویروس همراه آن نرم افزار در حافظه اصلی جای می گیرند وگاهی اوقات تا موقع خاموش شدن کامپیوتر در آنجا باقی مانده وفایل های دیگر را آلوده می کنند.

 v    ویروس های تاثیر گذار روی فایل های اجرایی :

این نوع ویروس ها فایل های اجرایی را آلوده نموده وخود را به فایل های اجرایی اضافه می کنند وبا هر بار اجرای این نوع فایل ها به همراه آنها وارد حافظه شده وفعالیت خود را شروع می کنند. در نتیجه این نوع ویروس ها از نوع ویروس های خیلی خطرناک هستند که بسرعت شیوع پیدا می کنند. بعضی از ویروس های نرم افزاری مثل "2D" هر بار که به فایلی اضافه می شوند یک نسخه ازخود را روی فایل تکثیر می کنند. بدین ترتیب طول فایل اصلی با هر بار اجرا بیشتر می شود که این خود نشانه وجود ویروس روی آن فایل است وبراحتی قابل تشخیص است اما برخی دیگر از ویروس های نرم افزاری  هوشمندانه عمل می کنند یعنی اگر ویروس قبلا به فایلی چسبیده باشد دیگر به آن حمله نمی کند وبدین ترتیب تشخیص وجود ویروس در آن فایل مشکل تر خواهد بود.

 v    ویروس ها تاثیر گذار روی فایل های غیر اجرایی :

گفتیم که ویروس برای اینکه بتواند فعال شود باید خود را به یک فایل اجرایی بچسباند طوریکه با اجرای این نوع فایل ها ویروس نیز فعالیت خود را آغاز کند وقسمتهای مختلف سیستم را مورد حمله قرار دهد وبه ندرت اتفاق افتاده که ویروس روی یک فایل غیر اجرایی مثلا فایلهای متنی یا بانکهای اطلاعاتی جای بگیرد وآنرا آلوده کند. از ویروسهای تاثیر گذار بر روی فایلهای غیر اجرایی میتوان به ویروسهایی اشاره کرد که در انتهای اسناد WORDیاEXCELخود را پنهان میکنند این ویروسها به صورت دستورات نرم افزارهای WORDیاEXCEL هستند که پس از باز شدن سند بصورت خودکار اجرا میشوند.

معمولا آثار مخرب ویروسها برروی فایلهای غیر اجرایی نمایان میشود وکمتر مشاهده شده است که ویروس ها خود را در این فایلها پنهان کنند.

 v    ویروس های سخت افزاری:

عده­ای معتقدند که ویروس­ها نمی­توانند به سخت­افزار آسیب برسانند وتا به امروز، هیچ ویروسی پیدا نشده است که که این کار را انجام دهد. ولی در خلاف انتظار از بین بردن سخت افزار توسط برنامه­های نرم افزاری امکان­پذیر و عملی است. گرچه خسارات سخت افزاری در موارد اندکی توسط ویروسها وجود دارد ولی باید آنها را جدی گرفت. به عنوان مثال کامپیوترهای سری آمیگا از شرکت کمودور، به خاطر نداشتن کنترل در قسمت­های مختلف در مقابل ویروس آسیب پذیرند. در این کامپیوترها می­توان به کمک نرم افزار، موتور دیسک­گردان را از حرکت باز داشت و همزمان فرمان خواندن یک تراک که وجود ندارد، را به هد داد به این ترتیب هد به دیواره­های دیسک­گردان برخورد کرده و می­شکند. نمونه دیگر این است که CPU و Icهای آمیگا از جمله اگنس، دنیس و پائولا از نوع CMOS بوده و در مقابل الکتریسیته حساس هستند. اگر همزمان به تمام ورودیهای بیت یک اعمال می­شود ولتاژ اضافی باعث خرابی ICها می­شود. به کمک یک برنامه کوتاه چند خطی به زبان ماشین می­توان کلیه ثباتهایی که به نام CPU می روند را حاوی بیت یک نمود و CPU را خراب کرد. در رایانه­های شخصی ویروس می­تواند هد خواندن و نوشتن دیسک­گردان را روی یک تراک داخلی، که وجودندارد قرار بدهد. در بعضی از دیسک گردانها، اینکار باعث می­شود که هد، به بستی در داخل دیسک­گردان گیر کند و فقط با باز کردن دیسک گردان و جابه جا کردن هد با دست، مشکل حل می­شود. ویروس می­تواند تراک صفر دیسک را نابود کند در اینصورت، این دیسک دیگر قابل استفاده نیست یا اینکه ویروس بطور مکرر هد را از سیلندر بیرونی به سیلندر داخلی حرکت دهد این امر سبب سایش و نهایتا خرابی دیسک خواهد شد. در اینجا ممکن است مستقیما چیزی تخریب نشود ولی باعث فرسودگی می­شود. برای مثال ویروس AMP2P که روی فایل CAMMAND.COM ویندوز 95 وجود دارد، قادر است تنظیم اصلی کارخانه را تغییر دهد و ویروسی که بتواند اینکار را انجام دهد قادر است به تمام اجزای سیستم دسترسی داشته و آنها را خراب کند. این ویروس معمولا هارد دیسک را دچار تعدادی بد سکتور می کند ویا تراک صفر را از کار می اندازد که با فرمت فیزیکی مجدد نیز دیسک قابل اصلاح نیست. تا چندی قبل ویروس ها فقط فایل­ها را خراب می­کردند که معمولا چاره اینکار آسان بود ولی اکنون ویروس ها به آنچنان توانایی رسیده­اند که قادرند سخت افزار سیستم را مورد هدف قرار دهند که در این صورت خسارات ایجاد شده شدید و جبران آن سنگین است. تازه ممکن است پس ازتعویض قسمت خراب شده، ویروس مجددا آنرا تخریب کند.

ساختار کلی فایل­های COM و EXE تحت : DOS

 ساختار کلی فایل­های اجرایی از نوع COM تحت DOS  : معمولا و نه همیشه اولین دستور از فایل­های اجرایی COM، حاوی یک آدرس پرش (Jump) می باشد که اجرای برنامه را به مکان دیگری از داخل حافظه انتقال می­دهد و سپس دستورات اصلی برنامه از مکان XXXXX در شکل فوق آغاز می­گردد. اما اگر همین آدرس پرش اولیه را بتوانیم طوری تغییر دهیم که به ابتدای برنامه خودمان منتقل شود .می­توان گفت که نصف کار آلوده­سازی را انجام داده­ایم. بصورت کلی جهت انجام این کار ابتدا آدرس پرش اولیه XXXXX را در مکانی از حافظه ذخیره کرده (برای استفاده بعدی) و سپس آدرس شروع برنامه خود را درآن قرار می دهیم. خوب تا اینجا توانسته ایم کنترل اجرایی فایل­های COM را بدست گیریم. سپس کافی است در داخل ویروس عملیات مربوط به یافتن فایل­های اجرایی غیر آلوده، درستکاری آنها و انجام یکسری تخریب ها (چاپ یکسری مطالب جهت ترساندن کاربر معرفی خود) و نهایتا برگشت به آدرس اولیه پرش XXXXX جهت اجرای عادی فایل آلوده شده مراجعه کرده تا برنامه ازاین پس روال عادی اجرایی خود را انجام دهد.

 ساختار کلی فایل­های اجرایی از نوع EXE تحت DOS : ساختار کلی فایل های EXE پیچیده تر است.  تمام فایل­های EXE دارای یک Header یا عنوان بوده که شامل اطلاعات تخصصی فایل اجرایی نظیر مشخصه فایل، اندازه واقعی فایل، آدرس­های Data Segment،Code Segment و..... می­باشد. بنابراین بر خلاف فایل­های COM که اولین دستور از آنها حاوی آدرس شروع برنامه است، در این فایل­ها بایت­های 20 و22 در داخل Header حاوی آدرس شروع برنامه است و چون فایل های EXE از نظر اندازه می­توانند خیلی بزرگتر از COM باشند، این آدرسها شامل SEGMENT:OFFSET است با توجه به توضیح فوق در مورد نحوه آلوده­سازی فایل های COM کافی است آدرس­های X1:X2 را به ابتدای برنامه خود تغییر داده و سپس در پایان کار نیز به محل اولیه X1:X2 باز گردیم. اما این نکته قابل ذکر است که بدلیل پیچیدگی ساختار فایل­های EXE، آلوده­سازی اینگونه فایل­ها از فایل های COM مشکلتر است. دلایل خراب شدن فایل­های اجرایی همانطور که توضیح داده شد، به هنگام آلوده سازی فایل­های اجرایی ممکن است، در محاسبه تغییر آدرس­ها اشتباهاتی صورت گیرد و یا یک فایل اجرایی چندین بار آلوده گردد و در جریان چنین اعمالی نیز امکان دارد سیستم روال اجرایی عادی خود را ازدست داده و داخل یک حلقه بی­نهایت قرار گیرد و یا به مکانی از حافظه پرش کند که هیچگونه دستور العملی وجودندارد و سرانجام باعث HANG کردن یا قفل کردن کامپیوتر می­شود که گاهی اوقات بعضی از ویروس­ها به هنگام آلوده­سازی دچار این مشکل شده و احتمالا با این مسئله برخورد کرده­اید که به هنگام آلوده بودن کامپیوترتان سیستم بدلیل نامشخصی قفل می کند.

 v    ویروس های چند بخشی:

این ویروس ها دارای خصوصیات هر سه دسته از ویروس های بالا هستند یعنی هم بوت سکتور وپارتیشن تیبل را آلوده می کنند وهم فایلهای اجرایی را آلوده می کنند. در حال حاضر بیشتر ویروس از این نوع هستند زیرا هم از طریق دیسک وهم از طریق اینترنت منتشر می شوند.

مثل ویروس "ناتاس"که هم فایل های با پسوند، OVL، EXE، COM، SYSو. . . را آلوده می کند وهم بوت سکتور وپارتیشن تیبل را.

v    ویروس های مقیم در حافظه:

این ویروس ها در حافظه قرار گرفته وکنترل سیستم عامل را در دست می گیرند. آنها روی عملیات ورودی-خروجی فایل  های اجرایی ومفسرهای فرمان و. . . . . اثر گذاشته وباعث اختلال در کار سیستم می شوند.

این ویروس ها با خاموش کردن کامپیوتر از حافظه پاک می شوند ولی اگر منشاء ورود آنها به سیستم از بین نرود با روشن شدن دوباره ممکن است به حافظه وارد شوند.

آیا نوشتن ویروس همیشه نادرست است؟

اکثر ما به این مطلب اذعان داریم که ویروس ها چیزهای بدی هستند، اما آیا این نظر همیشه صحیح است ؟

بسیاری از ویروس ها بی زیان بوده ویا اینکه فقط در حد یک شوخی می باشند. بقیه هم می توانند هشداری برای شکاف های امنیتی نرم افزار های ما باشند. حتی بعضی افراد استدلال می کنند که ویروس ها می توانند مفید باشند، مثلامی توانند باعث شوند تا اشکالات نرم افزاری مورد تصحیح قرار گیرند. متاسفانه با توجه به دلایل زیر نظریه بی زیان بودن ویروس ها را نمی توان با مقوله امنیت جمع کرد.

دلیل اول اینکه ویروس ها بدون رضایت کاربران ودر اغلب اوقات بدون آگاهی آنان تغییراتی را در کامپیوتر های آنها ایجاد می کنند. اینکار صرف نظر از خوب یا بد بودن قصد ویروس، غیر اخلاقی –ودر بسیاری از کشورها غیر قانونی –می باشد. شما حق دخالت وفضولی در کامپیوتر فرد دیگری را ندارید، همانطور که نمی توانید بدون اینکه به کسی بگویی ماشین اورا قرض !بگیرید (حتی اگر قصد شما تعویض روغن موتور ماشین او بوده باشد) .

دلیل دوم آن است که ویروس ها همیشه کاری را که نویسنده آنها می خواسته، انجام نمی دهند. در صورتیکه ویروسی نادرست نوشته شده باشد، می تواند مشکلات ناخواسته ای را ایجاد کند. حتی اگر ویروسی بر روی سیستم عاملی که مورد نظرش بوده، مضر نباشد ممکن است بر روی سیستم عامل ها ویا برنامه های دیگر اثرات تخریبی بالایی داشته ویا اینکه نسخه های بعدی همان برنامه ها را در آینده با مشکل مواجه کند.

چه چیزی ویروس نیست؟!

بدلیل سوء شهرتی که ویروسهای کامپیوتری کسب کرده اند، به آسانی هر مشکل کامپیوتری بر گردن ویروسها انداخته می شود. در این مقاله در ابتدا به بعضی موارد ومشکلات که ممکن است دلیلی بغیر از ویروس داشته باشند، اشاره می شود:

-مشکلات سخت افزاری :ویروسی وجود ندارد که بتوانند به بعضی از قطعات سخت افزاری مانند چیپ ها، بردها ومونیتور آسیب برساند.

-صدای بوق در هنگام راه اندازی کامپیوتر بدون تصویر :این حالت معمولا بدلیل یک مشکل سخت افزاری در هنگام روند بوت رخ می دهد.

-کامپیوتر کل 640کیلو بایت اول از حافظه را نشان نمی دهد. این می تواند نشانه ویروس باشد، اما قطعی نیست. بعضی از درایوهای سخت افزار مانند مونیتور یا کارت  SCSIممکن است بخشی از این قسمت از حافظه را استفاده کنند.

-دو برنامه ضد ویروس نصب شده دارید ویکی از این دو، ویروسی را گزارش می کند :در حالیکه که این می تواند نشانه ویروس باشد اما ممکن است امضا یا اثر یکی از این ضد ویروسها در حافظه باشد که توسط دیگری به صورت ویروس تشخیص داده شده است.

-در حال استفاده از Microsoft Wordهستید که Wordبه شما گزارش وجود یک ماکرو در یک فایل را می دهد. به این معنی نیست که ماکرو ویروس است.

-یک فایل یا سند خاص را نمی توانید باز کنید :این الزاما نشانه وجود ویروس نیست. امتحان کنید که آیا می توان فایل دیگر یا نسخه پشتیبان همین فایل را باز کرد. اگر بقیه باز می شوند، امکان خراب بودن فایل اولیه وجود دارد. بر چسب روی هارد تغییر کرده است. هر دیسک اجازه داشتن یک برچسب را دارد. می توانید توسط DOSیا Windows به یک دیسک برچسبی اختصاص دهید.

-هنگام اجرای ScanDisk، آنتی ویروس نورتون یک فعالیت شبه ویروسی را گزارش می کند. دو راه حل در پیش رو دارید:

oAuto-Protect نورتون را موقتا غیر فعال کنید وScanDiskرا اجرا کنید.

oOptionهای ScanDiskرا در هنگام اجرا تغییر دهید.

خصوصیات ویروس

بر اساس تعاریفی که تا به حال بیان شد برنامه ی ویروس باید دارای خصوصیات زیر باشد:

1-برنامه ی نرم افزاری کوچک ومضری است که روی نوعی وسیله ذخیره ی اطلاعات کامپیوتری قرار می گیرد.

2-بصورت خودکار وبدون دخالت اشخاص اجرا می شود.

3-معمولا مقیم در حافظه هستند وبا اجرای فایل های آلوده به ویروس در حافظه کپی می شوند.

4-نام ویروس ها در فهرست فایل ها ظاهر نمی شود.

5-ویروس ها می توانند خود را در سایر کامپیوتر ها از طریق برنامه های آلودگی کپی کرده وتولید مثل نمایند.

6-ویروسهای کامپیوتری توسط برنامه نویسان تکامل پیدا می کنند یعنی در حال حاضر تکامل آنها وابسته به دخالت برنامه نویسان است.

7-ویروسهای مقیم در حافظه در صورت اجرا یا باز شدن فایل آنها را آلوده میسازند ولی ویروس هایی که دحا فظه مقیم نیستند باید در فهرست جاری یا مسیر های تعریفی در pathبه دنبال فایل های سالم بگردند وآنها را آلوده کنند. بعضی از ویروس ها به دنبال فایل های خاص در مسیر های خاص می گردند ودر صورت وجود فایل خاص آن را آلوده می کنند.

8-بعضی از ویروس ها مانع از اجرای ضد ویروس هایی مانند Scan  می شوند واین در صورتی است که حافظه آلوده به ویروس نباشد. در این صورت برنامه ضد ویروس ظاهرا اجرا می شود ولی ویروس را نمی تواند روی دیسک تشخیص دهد. ویروس های "  ایرانین  "    و  "   وان هاف " از این نوع اند.

9-قسمت های مختلف یک ویروس به هم وابسته اند وبا پاک کردن یک یا همه دستورات ویروس از بین می رود.

10-ویروس ها معمولا تغییرات مختلف در کامپیوتر را تشخیص داده ومی تواند در مقابل آنها عکس العمل نشان دهند.

نام گذاری ویروس ها

نویسندگان ویروس معمولا آثار خود را نامگذاری نمی کنند زیرا اعلام نام موجب کشف سریع ویروس می شود اما گاهی نویسنده ویروس اسم ویروس را هم اسم با نام شخصی که با آن خصومت دارد انتخاب می کند مثل ویروس "عباس کوهکن"یا اینکه نویسنده ویروس برای زنده نگه داشتن یاد کسی اسم او را بر روی ویروس خود می گذارد مثل ویروس " میکل آنژ  ". معمولا نامگذاری ویروس ها توسط دیگران صورت میگیرد به همین دلیل یک ویروس گاهی دارای چندین نام است مثلا ویروس " مهاجم"دارای نام های "پلاستیک 2"و"آنتی کد" است. نامگذاری ویروس ها توسط دیگران معمولا از روی نام اولین محلی که توسط ویروس آلوده شده یا برنامه ای که برای اولین بار حامل آن بوده یا حجم ویروس یا از روی برخی کلمات موجود در پیام ویروس و. . . . انجام می گیرد.

ویروس های"   پینگ پنگ "  "   ماری جوانا  "  "  میکل آنژ   "و "  عباس کوهن " توسط نویسندگان ویرووس نامگذاری شده اند اما ویروس"کارت کریسمس"از روی پیام آن که یک کارت کریسمس است نامگذاری شده ویا علت نامگذاری ویروس "لهای"این بود که اولین کامپیوتر آلوده شده توسط این ویروس در آزمایشگاههای میکرو کامپیوتر دانشگاه"لهای" قرار داشته است ویا ویروس "257" چون اندازه آن 257بایت است به این نام شناخته می شود.

زبان ها برنامه نویسی ویروس

بیشتر ویروس ها به زبان اسمبلی نوشته می شوند زیرا با این زبان میتوان:

-تمام اقدامات امنیتی نرم افزاری در سیستم عامل را خنثی کرد.

-زمان اجرای برنامه ویروس را کم کرد زیرا زمان دستیابی به حافظه جانبی را میتوان به حداقل رساند.

-میتوان اندازه ویروس را کوچک در نظر گرفت.

ولی با این وجود به سایر زبان های برنامه نویسی چون Cپاسکال وحتی بیسیک ویروس نوشته میشود. یک زبان سطح بالا چون Cوپاسکال امکانات بسیار خوبی برای نوشتن ویروس در اختیار ویروس نویس قرار می دهند. ویروس 4625بایتی" اسنتینل" به زبان توربو پاسکال نوشته شده است وبخشهایی از ویروس"5120"به زبان بیسیک نوشته شده است برای همین یکی از بزرگترین ویروسهای شناخته شده است و5120بایت طول دارد. وویروس ایرانی" مهران کامندر" با زبان سطح بالای Cنوشته شده اندازه آن از ویروس های دیگر که به زبان اسمبلی نوشته می شوند بیشتر است.

محل زندگی ویروس ها

ویروس های کامپیوتری نیز همانند هم نام های بیولوژیکی خود باید جایی برای باقی ماندن خود داشته باشند. ویروس ها می توانند در دو جا قرار داشته باشند:روی دیسک وحافظه RAM.

ماندن ویروس داخل RAMموقتی است وتا زمانی ادامه دارد که کامپیوتر روشن باشد ولی ویروس ها می توانند روی دیسک به طور دائم باقی بمانند. اقامت ویروس ها روی دیسک گرچه می تواند دائمی باشد اما ویروس در آنجا قدرت فعالیت ندارد وزنده بودن ویروس در حافظه رم به ظهور می رسد. می توان این طور تصور کرد که ویروس روی دیسک به حالت "کمون" قرار دارند وشرایط تحرک وحیات آنها در حافظه رم است. یعنی چرخه حیات ویروس از حافظه رم به دیسک وبالعکس است.

محل فعالیت ویروس ها

بعضی از ویروس ها بر روی فایل های با پسوند EXEوبعضی از آنها بر روی فایل های با پسوند COMوبرخی دیگر بر روی هر دودسته اثر می گذارند. بنابراین می توان گفت :یکی از محل های وجود ویروس فایل های اجرایی است. پسوند های رایج فایل هایی که توسط ویروس آلوده می شوند عبارتند از :

OVR-APP-XTP-FON-EXE-COM-SYS-BIN-OVL-DLL-SCR-DOC-DOT.

برخی از ویروس ها علاقه خاصی به بوت سکتور وپارتیشن تیبل دارند.

ویروس های بوت سکتور جای بوت سکتور را با برنامه خودشان عوض می کنند. اگرویروس ها به بیش از یک سکتور نیاز داشته باشند سکتور های دیگر ی از دیسک را به کار می برند ودر این صورت در جدول FATآنها را به عنوان "بدسکتور" علامت گذاری می کنند تا از نوشتن روی آنها جلوگیری شود واکثر برنامه های کمکی مثل نورتن نیز نمی توانند محتویات این سکتورهای به ظاهر خراب را نشان دهند. مثلاویروس "فورم"بوت سکتور فلاپی دیسک وهاردیسک را آلوده می کند.

رکورد راه اندازی اصلی در سکتور اول هارددیسک روی تراک صفر قرار دارد وحاوی جدولی است که اندازه وحد هر پارتیشن را در خود جای داده است. ویروس های رکورد راه اندازی اصلی نسخه ای از خودشان را روی رکورد مزبور کپی می کنند وجای رکورد راه انداز اصلی هاردیسک را عوض می کنند. برخی از ویروس ها باقرار گرفتن در بوت سکتور رکورد راه انداز اصلی پس از روشن شدن کامپیوتر به راحتی وبه دلخواه کنترل برنامه های اجرایی را دردست می گیرند. وقتی فایل آلوده به ویروس را اجرا کنید ویروس در حافظه قرار می گیرد ودر آنجا مقیم می شود. پس از آن هر وقت فایل سالمی را اجرا کنید برای اجرا به داخل می رود و ویروس مقیم در حافظه خود را به آن متصل می کند وبالاخره فایل آلوده در دیسک ذخیره می شود. بیشتر ویروس ها مانند برنامه های مقیم در حافظه عمل می کنند. برنامه های مقیم در حافظه پس از اجرا جای خود را در حافظه از دست نمی دهند. ویروس های مقیم در حافظه کنترل سیستم عامل را در دست می گیرند وفرایندهای ورودی –خروجی I\O مترجم های فرمان و. . را تحت کنترل می گیرند. اما بعضی از ویروس ها فقط در حافظه قرار می گیرند ونمی توانند مانند برنامه های مقیم در حافظه عمل می کنند. بعضی تنها از اقامت در حافظه استفاده می کنند. برخی از ویروس ها بر روی برنامه های غیر اجرایی یا دادهای اثر گذاشته وآنها را غیر فعال می کنند. ویروس ها فقط می توانند به فایلهای داده ای صدمه بزننداما نمی توانند آنها را آلوده کنند. در نتیجه فایل های داده ای نیز نمی توانند کامپیوتر را آلوده کنند. از فایل های دادهای می توان فایل هایی با پسوند DAT، DBFو. . . . را نام برد. بعضی از ویروس ها خودشان را فقط یک بار به یک فایل اضافه می کنند، یعنی هر فایل یک بار آلوده می کنند زیرا بیشتر ویروس ها دارای یک علامت مشخصه هستند که باعث می شود فایل های آلوده شده توسط خودشان را تشخیص دهند. این امر آنهارا قادر می سازد تا از کشف شدنشان جلوگیری به عمل آید. زیرا فایل آلوده به ویروس در صورت آلودگی های پی در پی به صورت قابل توجهی بزرگ می شود. برخی از ویروس ها مانند ویروس ایرانی "آریا" هنگام فهرست گرفتن یا جستجوی فایل ها ابتدا کنترل می کند که آیا فایل آلوده شده است یا خیر؟ در صورت آلودگی فایل به جای نمایش اندازه فایل در حالت آلودگی اندازه آن را قبل از آلوده شدن نشان می دهد. بنابراین همیشه نمی توان با فهرست گرفتن از فایل ها ومشاهده آنها پی به آلوده بودن آنهابرد. بعضی از ویروس ها به علت اشکالات در برنامه آنها باهر بار اجرای یک فایل خود را به آن اضافه می کنند وبه این ترتیب حجم فایل آلوده مرتبا افزایش می یابد. مثلا ویروس" اسرائیلی"یا"جمعه سیزدهم"فایل های COMرا فقط یکبار آلوده می کند ولی وقتی یک فایل EXE را آلوده می کندعلامت مشخصه خود را به انتهای فایل آلوده اضافه نمی کند ودر نتیجه پس از آلودگی اولیه هر بار که برنامه اجرا شود این ویروس خود را به فایل اضافه می کند. وبه این ترتیب حجم فایل آلوده مرتبا افزایش می یابد. (که این ویروس ها زود شناسایی می شوند.)

 روشهای ازبین بردن انواع ویروسهای کامپیوتری

روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری در این مقاله قصد دارم راه ها و برنامه هایی را برایتان معرفی کنم که بتوانید از طریق این راه ها گزینه ی Show Hidden Files رو که در قسمتFolder Option هست را اگر از کار افتاده است برطرف کنید .

( یعنی شما تیک Show Hidden Files را میزنید ولی کار نمی کند و وقتی بر می گردید هنوز روی Do Not Show Hidden Files هست ! )

این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاک شدن انها توسط انتی ویروس ها آثارشون باقی مانده .

همچنین راههایی برای از بین بردن انواع ویروس های کامپیوتری که اکثریت انها را انتی ویروس ها تشخیص نمی دهند .