مرکز دانلود خلاصه کتاب و جزوات دانشگاهی

ويروس چيست؟

ويروس به برنامه هاي مخرب کوچکي گفته مي شود که مخفيانه به کامپيوتر ما انتقال يابد. نام ويروس به اين علت روي اينگونه از برنامه ها گذاشته شده است که عملکردي مشابة ويروس هاي بيولوژيک دارند. يک ويروس بيولوژيک از طرق مختلفي ممکن است وارد بدن انسان شود و ممکن است تا مدت زيادي به فعاليت مخفيانه در بدن بپردازد و پس از مدتي علائم وجود ويروس مشخص شود. يک ويروس کامپيوتري نيز از طرق مختلفي ممکن است وارد کامپيوتر ايجاد نمايد. ويروس کامپيوتري مي توانند به اطلاعات و برنامه هاي موجود در کامپيوتر آسيب رسانده و آنها را از بين ببرند.

ويروس هاي کامپيوتري توسط برنامه نويسان مجرب جهت آسيب رساندن به شرکتهاي رقيب نرم افزاري، مختل کردن شبکه هاي کامپيوتري يا ساير مقاصد مشابه نوشته مي شوند و همراه برنامه هاي قفل شکسته، برنامه هاي رايگان، اينترنت و غيره به کامپيوترهاي ديگر انتقال مي يابند.

 

آشنايي با نحوة تشخيص ويروسي شدن سيستم

ارائه روش دقيق و مشخصي براي تشخيص ويروسي بودن کامپيوتر امکان پذير نيست اما از آنجايي که همة ويروس ها درصدد ايجاد مزاحمت و اختلال در کار کامپيوتر هستند و عملکرد همة آنها منفي مي باشد، لذا مي توان از روي عملکرد آنها و عوارض ناشي از عملکرد آنها، ويروسي شدن سيستم را تشخيص داد. عملکرد ويروسها را که در واقع راههايي جهت تشخيص ويروسي شدن سيستم مي باشند مي توان بشرح زير دسته بندي کرد:

ü ايجاد تاخير، وقفه يا اختلال در عمليات راه اندازي کامپيوتر يا اجراي برنامه ها و فايلهاي اجرايي.

ü تخريب يا حذف اطلاعات و برنامه ها و يا حتي فرمت کردن ديسک ها.

ü اشغال حافظه و تکثير در حافظه بطوري که جايي براي اجراي برنامه هاي ديگر وجود نداشته باشد.

مزاحمت ها و اختلال هاي فوق ممکن است به محض فعال شدن ويروس انجام شوند.

 

آشنايي با راههاي پيشگيري و مبارزه

در علوم پزشکي معروف است که پيشگيري آسانتر از درمان است در خصوص ويروس هاي کامپيوتري نيز همين جمله کاملاً مصداق دارد، بطور کلي راههاي اصلي مقابله و مبارزه با ويروس ها به دو دستة زير تقسيم مي شوند:

ü شناسايي ويروس ها و جلوگيري از ورود آنها به کامپيوتر (پيشگيري)

ü از بين بردن ويروس هاي وارد شده به کامپيوتر و در صورت لزوم به وضعيت عادي بر گرداندن وضعيت سيستم (درمان).

 

همانطوري که مي دانيد همه روزه ويروس هاي جديد با ساختار و عملکردهاي مختلف توسط ويروس نويسان ساخته مي شوند که شناسايي ساختار و عملکرد آنها جهت تهية برنامه هاي ضد ويروس مناسب آنها، مستلزم صرف هزينه و وقت نسبتاً زيادي است، لذا تهية ضد ويروس مناسب هر ويروس، براحتي امکان پذير نيست و هيچ شرکت توليد کنندة برنامه هاي ضدويروس، نمي تواند ادعا نمايد که قادر به شناسايي و از بين بردن تمام ويروس ها مي باشند و تا زماني که ضدويروس يک ويروس جديد طراحي مي گردد ممکن است کامپيوترهاي زيادي آلوده و دچار اختلال گردند.

 

براي رفع اين مشکل توجه به دو نکته غيرقابل اجتناب زير ضروري است:

ü ويروس ها هنگام ورود به سيستم بناچار بايد روي حافظه، برنامه و يا ناحية سيستمي ديسک قرار گيرند لذا معمولاً در سيستم يک حالت نوشتن اطلاعات بوجود مي آيد که اين عمل تا حدودي قابل کنترل است. مثلاً باWrite Protected کردن فلاپي ديسک يا Read Only کردن پارتيشن هاي ديسک مي توان از نوشتن جلوگيري کرد. (پيشگيري)

ü وقتي ويروسي بر روي ناحية سيستمي ديسک يا بر روي فايل برنامه مي نشيند، اندازه، تاريخ يا بعضي ديگر از مشخصات فايل اجرايي را تغيير مي دهد. لذا مي توان با تهيةBackup هاي مرتب و مقايسه مشخصات فايلهاي اجرايي و برنامه ها با نسخه هاي قبلي آنها از وجود احتمالي ويروس آگاهي پيدا کرد.

بعضي از راههاي عملي جلوگيري از ويروسي شدن سيستم عبارتند از:

ü حتي المقدور از اتصال به کامپيوترها وشبکه هايي که از عدم ويروسي بودن آنها اطمينان نداريد بپرهيزيد.

ü هرگز از فلاپي ديسک هايي که از عدم ويروسي بودن آنها اطمينان نداريد استفاده نکنيد.

ü روي سيستم خود حتماً برنامه هاي ضدويروسي که قابليت مقيم شدن در حافظه را دارند قرار دهيد.

ü تنظيمات مربوط به کنترل ويروس را در Setup سيستم خود انجام دهيد.

روش هاي انتقال ويروس به کامپيوتر

ويروس هاي کامپيوتري ممکن است از راههاي زير به کامپيوتر انتقال يابند.

1- انتقال ويروس از طريق ديسکت يا سي دي آلوده به ويروس

بعضي از ويروس ها با چسبيدن به انتهاي فايل هاي اجرايي (با پسوندEXE وCOM ) يا با قرار گرفتن روي سکتور ديسکت خود را به روي کامپيوتر منتقل مي کنند. با اجراي فايل هاي آلوده يا با قرار دادن ديسکت آلوده در کامپيوتر و استفاده از آن، ويروس به کامپيوتر منتقل شده و فعاليت خود را آغاز مي کند.

 

2- انتقال ويروس از طريق شبکة محلي (LAN)

هرگاه يکي از کامپيوترهاي شبکه محلي بخصوص کامپيوترServer به ويروس آلوده باشد، ممکن است ويروس از طريق شبکه همة کامپيوترها را آلوده نمايد. بعضي از ويروس ها مخصوص شبکه هستند و ابتدا کامپيوتر سرور را آلوده مي کنند و سپس توسط کامپيوتر سرور، کليه کامپيوترهاي شبکه را آلوده مي سازند.

 

3- انتقال ويروس از طريق اينترنت

با گسترش استفاده از اينترنت، ويروس هاي اينترنتي به عنوان نسل جديدي از ويروس ها مطرح شدند. ويروس هاي اينترنتي بسيار سريعتر از ويروس هاي ديگر در سطح دنيا انتشار مي يابند، به صورتي که ظرف چند روز ميليونها کامپيوتر در سراسر دنيا به يک ويروس آلوده مي شوند. اين نوع ويروس ها ممکن است از طريقE-mail ، قطعات نرم افزاري مانندActivex ها و يا از طريق صفحات وب و ....به کامپيوتر منتقل شوند.

 

ويروس هاي اينترنتي

ويروس هاي اينترنتي به آن دسته از ويروس هاي کامپيوتري اطلاق مي شود که از طريق اينترنت تکثير يافته و منتقل مي شوند. اين ويروس ها از طرق زير وارد کامپيوتر مي شوند:

1- انتقال از طريق نامه هاي الکترونيکي (E-mail )

همانطور که مي دانيم، به همراه نامه هاي الکترونيکي مي توان فايل هايي را به صورت ضميمه ارسال نمود. اين فايل هاي ضميمه ممکن است حاوي ويروس باشند. متأسفانه نامه هاي الکترونيکي بدون ضميمه نيز مي تواند حاوي ويروس باشد. به علت ضعف هاي امنيتي نرم افزارOutlook Express ممکن است نامه هاي بدون ضميمه نيز مخرب باشند. لازم به توضيح است که ضعف هاي امنيتي 6.0 Outlook Express نسبت به نسخهاي قبلي بسيار کمتر است اما همواره اين خطر وجود داردکه ضعفهاي امنيتي جديدي توسط ويروس نويسان کشف شوند و از طريق همين ضعفها ويروس هاي جديدي ايجاد شوند. لازم به توضيح است که اکثر ويروس هاي اينترنتي از طريق نامه هاي الکترونيکي منتشر مي شوند. اين ويروس ها معمولاً روش مشابه اي در انتشار دارند. ابتدا اين ويروس ها توسط نامه به کامپيوتر افراد انتقال مي يابند. سپس به محض باز شدن نامه يک نسخه از اين نامه به تمام آدرس هاي موجود در کتابچه آدرس ها (Addresses Book ) ارسال مي شود. يعني به محض اينکه کامپيوتر ما ويروسي شد، کامپيوتر تمام دوستان ما نيز آلوده خواهد شد و به همين ترتيب ويروس به صورت وسيعي منتشر مي شود. در نرم افزارOutlook Express نسخه 6 اين ضعف امنيتي رفع شده است.Outlook Express 6.0 اجازة ارسال نامه توسط برنامه هاي ديگر و اجازه استفاده برنامه هاي ديگر از کتابچه آدرس ها را نمي دهد، پس ويروس ها نمي توانند به طور وسيع منتشر شوند و فقط کامپيوترهاي محدودي را آلوده مي کنند.

از معروفترين و خطرناکترين ويروس هاي اينترنتي که از طريق نامه هاي الکترونيکي انتقال مي يابد، مي توان به ويروسNIMDA اشاره کرد. اين ويروس در عرض چند روز ميليونها کامپيوتر را در سراسر دنيا آلوده کرد و متأسفانه هنوز هم مواردي از آلودگي به اين ويروس مشاهده مي شود. با عملکرد اين ويروس و نحوه پاک کردن آن در ادامه خواهيم داشت.

 

انتقال از طريق Activex ها

بعضي از سايتهاي اينترنتي براي قدرت بخشيدن و استفاده از امکانات خاص در صفحات وب ازActivex ها استفاده مي کنند.Activex يک قطعه نرم افزاري کوچک است که قابليتهاي زيادي را به صفحات وب مي دهد به طوري که مي توان گفت به کمک Activex ها هر نوع قابليتي را مي توان به صفحات وب اضافه نمود. در واقعActivex ها دنياي وب را متحول نموده اند. اما Activex ها يک ضعف امنيتي بسيار مهم دارند. يکActivex به راحتي مي تواند به هاردديسک دستگاه شما دسترسي داشته باشد. ويروس نويسان از اين امکان براي از بين بردن اطلاعات هاردديسک و يا انتشار ويروس استفاده مي کنند. براي اينکه کاربران از صحت عملکرد و بي خطر بودنActivex ها اطمينان حاصل کنند، شرکتهاي تأييد کننده اي نظيرVeriSing بوجود آمدند که عملکردActivex ها را مورد بررسي قرار مي دهند و پس از اطمينان از بي خطر بودن آن، يک امضاي ديجيتالي مخصوص به آنActivex اختصاص مي دهند. هنگامي که مرورگرIE بخواهد يک Activex جديد را روي دستگاه نصب کند، پنجرة هشدار دهندة امنيتي ظاهر مي شود که مشخصاتActivex و شرکتهاي تأييد کنندة اينActivex را معرفي مي کند و اجازة نصبActivex را از کاربر مي گيرد. اگر اين Activex از شرکتهاي معتبري نظيرVeriSing اعتبار (authenticity ) گرفته بود مي توان با اطمينان اجازة نصب آن را داد.

 

نرم افزارهاي ضد ويروس( Antivirus )

يکي از روشهاي جلوگيري از انتقال ويروس به کامپيوتر و حذف ويروسها از کامپيوتر استفاده از نرم افزارهاي ضدويروس است. نرم افزارهاي ضد ويروس نرم افزارهايي هستند که فايلهاي آلوده به ويروس را شناسايي کرده و ويروس را از روي کامپيوتر حذف مي کنند. از معروفترين و متداولترين نرم افزارهاي ضدويروس مي توان به آنتي ويروس هاي زير اشاره کرد:

• MCAfee Virus Scan
• Norton Antivirus
• Panda Antivirus
• PC Cillin

 

نرم افزارهاي ضدويروسMCAfee

با ادغام دو شرکت Dr Solomons Software (توليد کننده نرم افزارهاي ضدويروسToolkit ) و شرکتNetwork Associates (توليد کننده نرم افزارهاي ضدويروس MCAfee) نسل جديدي از نرم افزارهاي پيشرفته ضدويروس به بازار عرضه شد. در واقع ضدويروس MCAfee ترکيبي از قدرت شناسايي و پاکسازيToolkit و راحتي استفاده MCAfeeاست. هم اکنون ضدويروس MCAfee بيش از 70 ميليون کاربر در سطح دنيا دارد و در حدود 56% بازار نرم افزارهاي ضدويروس در اختيار اين ضدويروس است. از مهمترين مزاياي اين ضدويروس، به روز رساني ساده و سريع آن است. با پيدايش يک ويروس جديد، بلافاصله در سايت

http:/www. mcafee.com فايل Dat مخصوص آن قرار داده مي شود که با افزودن اين فايل به نرم افزار، به راحتي ويروس جديد شناسايي و حذف مي شود. از مزاياي ديگر اين نرم افزار پشتيباني آن در ايران است. شرکت شبکه گستر به عنوان نماينده رسمي Network Associatesفروش، خدمات و پشتيباني اين نرم افزار را در ايران انجام مي دهد.

نرم افزار ضدويروسNorton

اين نرم افزار توسط شرکتSymantec طراحي شده است و در حدود 28% بازار نرم افزارهاي ضدويروس در اختيار اين نرم افزار است و بيش از 35 ميليون کاربر در سطح دنيا دارد. از مهمترين مزاياي اين ضدويروس، به روز رساني ساده و سريع آن توسط سايتhttp://www.symantec.com است.

 

 

 

 

 

نصب ضدويروسMCAfee

در اين قسمت با نصب ضدويروس MCAfee آشنا مي شويم.

ü ابتدا سي دي نصب MCAfee را درون درايو قرار مي دهيم و برنامه Setup را اجرا مي کنيم. برنامه نصب ضدويروس MCAfeeمطابق شکل زير ظاهر مي شود. دکمه Next را کليک مي کنيم.

 

ü جهت استفاده از نرم افزار و رعايت قانون کپي رايت و حقوق توليد کننده نرم افزار، مي بايد آن نرم افزار را از شرکت مربوطه خريداري نمود. در اين پنجره قوانين استفاده از نرم افزار و مجوز آن مشاهده مي شود.

I agree را جهت موافقت انتخاب کرده و سپس دکمه Next را کليک مي کنيم.

ü در پنجره ظاهر شده گزينه Typical Instakkation را جهت نصب استاندارد ضدويروس MCAfeeانتخاب مي کنيم. در صورتي که بخواهيم نصب را به حالت سفارشي انجام دهيم مي توانيمCustom را انتخاب کنيم. دکمه Nextرا کليک مي کنيم.

 

 

ü در پنجره ظاهر شده دکمه Install را کليک مي کنيم.

ü پس از کليک کردن دکمه Install، برنامه نصب عمليات کپي و نصب فايل ها را انجام مي دهد. سپس پنجره پيکربندي (Configuration )ظاهر مي شود.

ü در صورتي که بخواهيم پيکربندي و تنظيمات ضدويروس را به دلخواه خود انجام دهيم، دکمه Configure را کليک مي کنيم. اما از آنجايي که پيکربندي پيش فرض اين ضدويروس پيکربندي مناسبي است، دکمه Skip Config را براي گذر از مرحله پيکربندي کليک مي کنيم.

 

ü در پنجره ظاهر شده، دکمهFinish را جهت اتمام عمليات نصب کليک مي کنيم. برنامه نصب کامپيوتر را مجدداً راه اندازي کرده و پس از راه اندازي ضدويروس به صورت اتوماتيک در حافظه قرار مي گيرد و به محض اجرا يا دسترسي به فايلهاي ويروسي، ضدويروس فعال شده و از فعاليت ويروس جلوگيري مي کند.

 

 

استفاده از ضدويروسMCAfee

هرگاه بخواهيم بررسي کنيم که آيا فايلي روي دستگاه ما به ويروس آلوده شده است يا خير، مي توانيم بوسيله Scan کردن هارد دستگاه توسط برنامه MCAfee فايلهاي آلوده به ويروس را شناسايي و حذف کنيم. براي اين کار اعمال زير را انجام مي دهيم:

ü روي آيکونMCAfee Virus Scan Central که روي محيط کار قرار دارد کليک مي کنيم تا ضدويروسMCAfee اجرا شود.

ü سپس روي دکمهScan کليک مي کنيم.

 

 

 

 

 

 

ü در پنجره ظاهر شده و در قسمتWhere& What پوشه يا درايوي را که مي خواهيم مورد بررسي قرار دهيم، انتخاب مي کنيم. سپس دکمه Scan Now را کليک مي کنيم.

 

 

 

 

ü نرم افزار MCAfee پوشه يا درايو انتخاب شده را مورد بررسي قرار مي دهد و در صورت يافتن فايلهاي ويروسي، آنها را حذف مي کند. با توجه به نوع ويروس ممکن است فايلهاي آلوده را بتوان تميز (Clean ) نمود و يا اينکه مجبور به حذف کامل فايل باشيم.

 

 

 

 

 

ويروس NIMDA

ويروسNIMDA يکي از قويترين و سريع ترين ويروس هاي اينترنتي در نحوه انتشار محسوب مي شود.

نام و منشأ ويروس

چندين فرضيه درباره نام و منشأ اين ويروس مطرح شده است. عده اي اين ويروس را با وقايع تروريستي و انفجارهاي نيويورک و واشنگتن مرتبط مي دانند زيرا اين ويروس يک هفته پس از اين وقايع ظاهر شده است. گروه ديگري نيز به عبارتي که در داخل برنامه ويروس درج شده است ( V.5, R.P.China ( CV) Concept Virus) اشاره کرده و منشأ ويروس را از کشور چين مي دانند. دربارة نام ويروس نيز نظرات مختلفي وجود دارد. از جمله اينکه کلمهNIMDA برعکس کلمه ADMIN است و يا عده ديگرNIMDA را هم نام شرکت پيمانکار اصلي وزارت دفاع رژيم اشغالگر اسرائيل مي دانند.

 

مشخصات ويروس

ويروسNIMDA را مي توان يک «سوپر ويروس» ناميد. زيرا امکانات و قابليتهاي چندين ويروس را در خود جاي داده است. اين ويروس قادر است از سه روش متفاوت براي انتشار خود استفاده کند. همچنين مي تواند کامپيوترهاي شخصي (PC ) و سرويس دهنده (Server ) ها را به طور همزمان آلوده کند.

به دليل استفاده ويروس از چندين روش مختلف براي آلوده کردن، سرعت انتشار آن بسيار زياد بوده و حتي قابل مقايسه با ويروسهاي سريع الانتشار مانندCode Red وSirCam نيست.

خوشبختانه اين ويروس اثرات تخريبي شديد (مانند حذف يا تغيير محتواي فايل) نداشته و عمده هدف ويروس، انتشار و پخش شدن است. البته فعاليت ويروس باعث ايجاد مزاحمتهايي براي کاربران عادي و مسئولين شبکه مي شود. از جمله ايجاد فايلهاي آلوده متعدد تا حد پرشدن ظرفيت ديسک و يا افزايش ترافيک خطوط اينترنت تا حد توقف کامل ارتباطات شبکه هاي ارتباطي از اثرات اين ويروس است.

 

نحوة پاک کردن ويروس

براي پاک کردن ويروسNIMDA اولاً نياز به يک نرم افزار ضدويروس نظيرMCAfee يا نرم افزار ضدويروس خاص ويروسNIMDA است. ثانياً بايد جلوي آلوده شدن مجدد سيستم ها را گرفت.

براي جلوگيري از آلوده شدن مجدد موارد زير را بايد انجام دهيد:

1- اگر ازIE نسخه5.1 يا 5.5 استفاده مي کنيد، توصيه مي شود کهPatch مايکروسافت را با نام

Incorrect MIME Header Cause IE To Execute E-mail Attachment را از آدرس زير دريافت و اجرا نماييد:

http://www.microsoft.com/technet/treeview/default.asp?Url=/technet/security/bulletin

 

کاربراني که ازIE نسخه 6 استفاده مي کنند نيازي به دريافت اين Patch ندارند.

2- به تمام سرپرست هاي شبکه ( Win NT, Win 2000 )که از نرم افزارIIS استفاده مي کنند و سايت وب دارند، توصيه مي شود که 2 فايلPatch مايکروسافت به نامهايCumulativ Patch for IIS و Web Server Folder Traversal را از آدرس هاي زير دريافت و اجرا نمايند:

http://www.microsoft.com/technet/treeview/default.asp?Url=/technet/security/bulletin/Ms01-044.asp

http://www.microsoft.com/technet/security/bulletin/Ms00-78.asp

 

بايد توجه داشته باشيد که در هنگام اجراي فايلهايPatch فوق، تمام برنامه هاي کاربردي ديگر را بايد ببنديد و ارتباط با اينترنت را قطع کنيد.

 

ويروسCode Redو ويروسCode Red II

ويروس Code Red در تيرماه سال 80 در اينترنت به صورت وسيعي گسترش يافت. ويروسCode Red اصلي از نوع چيني بود ولي بعد از آن نوع آمريکايي و خطرناکتر آن نيز با نام Code Red IIانتشار يافت. هر دو ويروس از نقطه ضعفي که در نرم افزارIIS مايکروسافت وجود داشت، استفاده مي کردند. ولي Code Red II علاوه بر آن يک راه نفوذ مخفي نيز بر روي کامپيوترهاي آلوده ايجاد مي کرد که افراد بيگانه را قادر مي ساخت به طور مستقيم و از راه دور به اين کامپيوترها دسترسي پيدا کنند. ويروسCode Redتنها سيستم عامل هايWindows XP ،

2000Windows و Windows NT از نوع سرور که نرم افزارIIS بر روي آنها نصب شده است را آلوده مي کند و در نتيجه کامپيوترهاي شخصي و ايستگاههاي کاري از صدمات اين ويروس در امان هستند.

تنها راه مقابله و محافظت در برابر ويروسCode Red وCode Red II استفاده ازPatch ويژه اي است که شرکت مايکروسافت ارائه کرده است. اگر سرويس دهنده هاي اينترنتWin NT ، Win XP و يا Win 2000 داريد که نرم افزارIIS بر روي آنها نصب است، عمليات زير را انجام دهيد:

ü Patch مايکروسافت را از طريق اينترنت از آدرس زير دريافت کنيد.

http://www.microsoft.com/technet/itsolutions/security/topics/Codealrt.asp

ü سرويس دهنده را از اينترنت قطع کنيد و مجدداً راه اندازي کنيد تا اگر ويروس فعال است از حافظه خارج شود.

ü Patch را اجرا کنيد.

ü سرويس دهنده را مجدداً راه اندازي کرده و به اينترنت متصل کنيد.

http://daneshjooqom.4kia.ir/