حجم عظيم ويروس ها، کرم ها، ايرادات نرم افزارها و تهديدهاي ناشي از آنها، نرم افزارهاي ضدويروس را تبديل به يکي از ابزارهاي لازم براي همه کامپيوترها نموده است. در صورت آلوده شدن يک کامپيوتر به ويروس بسته به نوع آن ممکن است مصايب مختلفي براي سيستم کامپيوتري بوجود آيد که در پاره اي موارد جبران آن ها هزينه هاي زيادي را تحميل مي کند. آسيب هاي بعضي از ويروس ها به گونه اي است که آثار سوء آن ها را به هيچ وجه نمي توان از بين برد. مستقل از نوع ويروسي که بايد با آن مقابله شود نياز به برنامه هاي ضد ويروس همواره وجود دارد و در شرايطي که محصولات ضد ويروس متنوعي توليد شده اند، انتخاب نرم افزار مناسب دغدغه کاربران مي باشد.
اين مقاله ضمن معرفي انواع ويروس ها، نحوه عمل کرد برنامه هاي ضدويروس و انواع ويروس هايي که ضدويروس ها شناسايي و پاکسازي مي کنند را معرفي مي کند. همچنين اطلاعاتي که براي انتخاب ابزار مناسب لازم است بيان شده و تعدادي از برنامه هاي ضد ويروس با هم مقايسه خواهند شد.

ويروس چيست؟

ويروس هاي کامپيوتري برنامه هايي هستند که مشابه ويروس هاي بيولوژيک گسترش يافته و پس از وارد شدن به کامپيوتر اقدامات غيرمنتظره اي را انجام مي دهند. با وجودي که همه ويروس ها خطرناک نيستند، ولي بسياري از آنها با هدف تخريب انواع مشخصي از فايل ها، برنامه هاي کاربردي و يا سيستم هاي عامل نوشته شده اند. ويروس ها هم مشابه همه برنامه هاي ديگر از منابع سيستم مانند حافظه و فضاي ديسک سخت، توان پردازنده مرکزي و ساير منابع بهره مي گيرند و مي توانند اعمال خطرناکي را انجام دهند به عنوان مثال فايل هاي روي ديسک را پاک کرده و يا کل ديسک سخت را فرمت کنند. همچنين يک ويروس مي تواند مجوز دسترسي به دستگاه را از طريق شبکه و بدون احراز هويت فراهم آورد.
براي اولين بار در سال 1984 واژه «ويروس» در اين معنا توسط فرد کوهن در متون آکادميک مورد استفاده قرار گرفت. د‍ر اين مقاله که «آزمايشاتي با ويروس هاي کامپيوتري» نام داشت نويسنده دسته اي خاص از برنامه ها را ويروس ناميده و اين نام گذاري را به ليونارد آدلمن نسبت داده است. البته قبل از اين زمان ويروس ها در متن داستان هاي عملي و تخيلي ظاهر شده بودند.

انواع ويروس

انواع ويروس هاي رايج را مي توان به دسته هاي زير تقسيم بندي نمود:

boot sector

boot sector اولين Sector بر روي فلاپي و يا ديسک سخت کامپيوتر است. در اين قطاع کدهاي اجرايي ذخيره شده اند که فعاليت کامپيوتر با استفاده از آنها انجام مي شود. با توجه به اينکه در هر بار بالا آمدن کامپيوتر Boot sector مورد ارجاع قرار مي گيرد، و با هر بار تغيير پيکربندي کامپيوتر محتواي boot sector هم مجددا نوشته مي شود، لذا اين قطاع مکاني بسيار آسيب پذير در برابر حملات ويروس ها مي باشد.
اين نوع ويروس ها از طريق فلاپي هايي که قطاع boot آلوده دارند انتشار مي يابند. Boot sector ديسک سخت کامپيوتري که آلوده شود توسط ويروس آلوده شده و هر بار که کامپيوتر روشن مي شود، ويروس خود را در حافظه بار کرده و منتظر فرصتي براي آلوده کردن فلاپي ها مي ماند تا بتواند خود را منتشر کرده و دستگاه هاي ديگري را نيز آلوده نمايد. اين گونه ويروس ها مي توانند به گونه اي عمل کنند که تا زماني که دستگاه آلوده است امکان boot کردن کامپيوتر از روي ديسک سخت از بين برود.
اين ويروس ها بعد از نوشتن بر روي متن اصلي boot سعي مي کنند کد اصلي را به قطاعي ديگر بر روي ديسک منتقل کرده و آن قطاع را به عنوان يک قطاع خراب (Bad Sector) علامت گذاري مي کند.

Macro viruses

اين نوع ويروس ها مستقيما برنامه ها را آلوده نمي کنند. هدف اين دسته از ويروس ها فايل هاي توليد شده توسط برنامه هايي است که از زبان هاي برنامه نويسي ماکرويي مانند مستندات Exel يا Word استفاده مي کنند. ويروس هاي ماکرو از طريق ديسک ها، شبکه و يا فايل هاي پيوست شده با نامه هاي الکترونيکي قابل گسترش مي باشد.
ويروس تنها در هنگامي امکان فعال شدن را دارد که فايل آلوده باز شود، در اين صورت ويروس شروع به گسترش خود در کامپيوتر نموده و ساير فايل هاي موجود را نيز آلوده مي نمايد. انتقال اين فايل ها به کامپيوتر هاي ديگر و يا اشتراک فايل بين دستگاه هاي مختلف باعث گسترش آلودگي به اين ويروس ها مي شود.

File infecting viruses

فايل هاي اجرايي (فايل هاي با پسوند .exe و .com) را آلوده نموده و همزمان با اجراي اين برنامه ها خود را در حافظه دستگاه بار نموده و شروع به گسترش خود و آلوده کردن ساير فايل هاي اجرايي سيستم مي نمايند. بعضي از نمونه هاي اين ويروس ها متن مورد نظر خود را به جاي متن فايل اجرايي قرار مي دهند.

ويروس هاي چندريخت Polymorphic

اين ويروس ها در هر فايل آلوده به شکلي ظاهر مي شوند. با توجه به اينکه از الگوريتم هاي کدگذاري استفاده کرده و ردپاي خود را پاک مي کنند، آشکارسازي و تشخيص اين گونه ويروس ها دشوار است.

ويروس هاي مخفي

اين ويروس ها سعي مي کنند خود را از سيستم عامل و نرم افزارهاي ضدويروس مخفي نگه دارند. براي اين کار ويروس در حافظه مقيم شده و حايل دسترسي به سيستم عامل مي شود. در اين صورت ويروس کليه درخواست هايي که نرم افزار ضدويروس به سيستم عامل مي دهد را دريافت مي کند. به اين ترتيب نرم افزارهاي ضدويروس هم فريب خورده و اين تصور به وجود مي آيد که هيچ ويروسي در کامپيوتر وجود ندارد. اين ويروس ها کاربر را هم فريب داده و استفاده از حافظه را به صورت مخفيانه انجام مي دهند.

ويروس هاي چندبخشي

رايج ترين انواع اين ويروس ها ترکيبي از ويروس هاي boot sector و file infecting مي باشد. ترکيب انواع ديگر ويروس ها هم امکان پذير است.

ساير برنامه هاي مختل کننده امنيت

برخي از محققين اسب هاي تروا(Trojan)، کرم ها و بمب هاي منطقي را در دسته ويروس ها قرار نمي دهند ولي واقعيت اين است که اين برنامه ها هم بسيار خطرناک بوده و مي توانند خساراتي جدي به سيستم هاي کامپيوتري وارد نمايند.
اسب هاي تروا تظاهر مي کنند که کاري خاص را انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند، به عنوان مثال برنامه اي که وانمود مي کند که يک بازي است ولي در واقع اجازه دسترسي از راه دور يک کاربر به کامپيوتر را فراهم مي آورد.
کرم ها برنامه هايي هستند که مشابه ويروس ها توان تکثير کردن خود را دارند، ولي برعکس آنها براي گسترش خود نياز به برنامه هايي ديگر ندارند تا آنها را آلوده کرده و تحت عنوان فايل هاي آلوده اقدام به انتقال و آلوده کردن دستگاه هاي ديگر نمايند. کرم ها معمولا از نقاط آسيب پذير برنامه هاي e-mail براي توزيع سريع و وسيع خود استفاده مي نمايند.
بمب هاي منطقي برنامه هايي هستند که در زمان هايي از قبل تعيين شده؛ مثلا يک روز خاص؛ اعمالي غير منتظره انجام مي دهند. اين برنامه ها فايل هاي ديگر را آلوده نکرده و خود را گسترش نمي دهند.
علي رغم تنوع انواع برنامه هاي مخرب، برنامه هاي قوي ضد ويروس مي توانند نسخه هاي مختلف آنها را شناسايي و از بين ببرند. در ادامه اين متن براي سادگي به همه انواع اين برنامه ها عنوان عمومي ويروس اطلاق مي شود.

طرز کار برنامه هاي ضد ويروس

ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه ها اطلاق مي شود که براي محافظت از کامپيوتر ها در برابر ويروس ها استفاده مي شوند. مهم ترين قسمت هر برنامه ضد ويروس موتور اسکن(Scanning engine) آن است. جزييات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه اصلي شناسايي فايل هاي آلوده به ويروس را با استفاده از فايل امضاي ويروس ها بر عهده دارند. فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتا مورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسان ها مي باشد. ضد ويروس متن فايل هاي موجود در کامپيوتر را با نشانه هاي ويروس هاي شناخته شده مقايسه مي نمايد. در بيشتر موارد در صورتي که فايل آلوده باشد برنامه ضدويروس قادر به پاکسازي آن و از بين بردن ويروس است. در مواردي که اين عمل ممکن نيست مکانيزمي براي قرنطينه کردن فايل آلوده وجود دارد و حتي مي توان تنظيمات ضدويروس ها را به گونه اي انجام داد که فايل آلوده حذف شود.
بعضي از برنامه هاي ضد ويروس براي شناسايي ويروس هاي جديدي که هنوز فايل امضاي آنها ارايه نشده از روش هاي جستجوي ابتکاري استفاده مي کنند. به اين ترتيب داده هاي مشکوک در فايل هاي موجود در سيستم و يا فعاليت هاي مشکوک مشابه رفتار ويروس ها (حتي در صورتي که تعريف ويروسي منطبق با آنچه که در فايل مشکوک يافت شده موجود نباشد) علامت گذاري مي شوند. اگر ضد ويروس فعاليت مشکوکي را مشاهده نمايد، برنامه اي که فعاليت مشکوک انجام داده را قرنطينه نموده و به کاربر در مورد آن اعلام خطر مي کند (به عنوان مثال اعلام مي شود که برنامه مشکوک مايل به تغيير Windows Registry مي باشد). دقت اين روش پايين است و در بسياري از مواقع در شناخت فايل هاي مشکوک به ويروس اشتباهاتي رخ مي دهد.
در چنين مواقعي فايل قرنطينه شده براي شرکت هاي سازنده ضد ويروس ها ارسال مي شود که پس از تحقيق و آزمايش آن، در صورتي که واقعا فايل آلوده به ويروس باشد نام، امضاء و مشخصات آن مشخص شده و پادزهر آن ارايه مي گردد. در اين صورت کد مشکوک تبديل به يک ويروس شناخته شده مي شود.

قابليت هاي نرم افزار هاي ضدويروس

سطح محافظت نرم افزار بسته به جديد و بروز بودن آن متغير است. محصولات جديدتر قابليت هاي مانند بروز رساني خودکار، اسکن هاي زمان بندي شده، محافظت از سيستم به صورت ماندگار در حافظه و همچنين امکان يکپارچه شدن با برنامه هاي کاربردي اينترنتي مانند برنامه هاي e-mail و مرورگرهاي وب را دارند. نسخه هاي قديمي تر نرم افزارهاي ضدويروس تنها يک اسکنر بودند که بايد به صورت دستي راه اندازي مي شدند. همه نرم افزار هاي ضدويروس در صورتي که به صورت منظم به روز رساني شده و عمليات اسکن بر روي ديسک هاي سخت، تجهيزات قابل انتقال (مانند فلاپي و Zip disk) انجام شود مي توانند دستگاه کامپيوتر را در برابر ويروس ها مقاوم کنند. در واقع نقطه برتري محصولات جديد ضد ويروس در قابليت هاي آنها براي محافظت از سيستم در مواقعي است که کاربر دانش و يا دقت لازم براي به کارگيري آن را ندارد.
حداقل توقعي که از يک برنامه ضد ويروس خوب مي توان داشت اين است که در برابر ويروس هاي boot-sector، ماکرو، اسب هاي تروا و فايل هاي اجرايي آلوده به ويروس و کرم اقدامات محافظتي لازم را به عمل آورد. از محصولات جديدتر مي توان انتظار محافظت در برابر صفحات وب، اسکريپت ها، کنترل هاي ActiveX و اپلت هاي جاواي خطرناک، همچنين کرم هاي e-mail را داشت.

بيچاره ويروس‌ها!

چه چيزي ويروس نيست؟!
بدليل سوء شهرتي که ويروسهاي کامپيوتري کسب کرده‌اند، به آساني هر مشکل کامپيوتري بر گردن ويروسها انداخته مي‌شود. در اين مقاله در ابتدا به بعضي موارد و مشکلات که ممکن است دليلي بغير از ويروس داشته باشند، اشاره مي‌شود:
مشکلات سخت‌افزاري: ويروسي وجود ندارد که بتوانند به بعضي از قطعات سخت‌افزاري مانند چيپ‌ها، بردها و مونيتور آسيب برساند.
صداي بوق در هنگام راه‌اندازي کامپيوتر بدون تصوير: اين حالت معمولا بدليل يک مشکل سخت‌افزاري در هنگام روند بوت رخ مي‌دهد. به مستندات کامپيوتر خود براي فهميدن معني انواع بوقها در هنگام بوت مراجعه کنيد.
کامپيوتر کل 640 کيلوبايت اول از حافظه را نشان نمي‌دهد. اين مي‌تواند نشانه ويروس باشد، اما قطعي نيست. بعضي از درايورهاي سخت‌افزار مانند مونيتور يا کارت SCSI ممکن است بخشي از اين قسمت از حافظه را استفاده کنند. به سازنده يا فروشنده کامپيوتر خود مراجعه کنيد تا دليل اين امر را بفهميد.
دو برنامه ضدويروس نصب‌شده داريد و يکي از اين دو، ويروسي را گزارش مي‌کند: در حاليکه که اين مي‌تواند نشانه ويروس باشد اما ممکن است امضا يا اثر يکي از اين ضدويروسها در حافظه باشد که توسط ديگري به صورت ويروس تشخيص داده شده است.
در حال استفاده از Microsoft Word هستيد که Word به شما گزارش وجود يک ماکرو در يک فايل را مي‌دهد. به اين معني نيست که ماکرو ويروس است.
يک فايل يا سند خاص را نمي‌توانيد باز کنيد: اين الزاما نشانه وجود ويروس نيست. امتحان کنيد که آيا مي‌توان فايل ديگر يا نسخه پشتيبان همين فايل را باز کرد. اگر بقيه باز مي‌شوند، امکان خراب بودن فايل اوليه وجود دارد.
برچسب روي هارد تغيير کرده‌است. هر ديسک اجازه داشتن يک برچسب را دارد. مي‌توانيد توسط DOS يا Windows به يک ديسک برچسبي اختصاص دهيد.
هنگام اجراي ScanDisk ، آنتي‌ويروس نورتون يک فعاليت شبه‌ويروسي را گزارش مي‌کند. دو راه حل در پيش‌رو داريد:
Auto-Protect نورتون را موقتا غيرفعال کنيد و ScanDisk را اجرا کنيد.
Optionهاي ScanDisk را در هنگام اجرا تغيير دهيد.
در حقيقت، موارد فوق تنها چند مورد از تصورات اشتباه در مورد ويروس‌هاست.

تصورات غلط

در مورد تصورات غلطي که در مورد ويروسها وجود دارد، داستانها و اتفاقات جالبي وجود دارد. جالب اينجاست که افراد زيادي نيز هستند که با اينکه اطلاعات زياد و يا صحيحي راجع به ويروسها ندارند، ولي خود به گونه ديگري فکر مي‌کنند و به اين ترتيب به خود اجازه اظهار نظر در اين مورد را مي‌دهند. اين افراد دچار سندرمي به نام False Authority يا اعتبار کاذب هستند.
ولفگانگ استيلر که بعنوان يک متخصص ويروس بصورت بين‌المللي مطرح است، و نويسنده برنامه ضدويروس Integrity Master است مي‌گويد: “امروزه خبرگان امنيت کامپيوتر – افرادي که لايق اين عنوان هستند- تمايل به داشتن يک زمينه خوب از نحوه عمل ويروسها دارند و مي‌توانند نصايح خوبي در اين زمينه ارايه دهند. “ اما هنگامي که از وي درباره صاحب‌نظران ويروس پرسيده مي‌شود، او کلمات خود را بدقت و با احتياط کامل انتخاب مي‌کند.
استيلر مي‌گويد “ اين افراد نسبت به مردم عادي درک بيشتري از ويروس‌ها دارند.” او اضافه مي‌کند: “ بعضي ادعا مي‌کنند که اين افراد بدرستي ويروسها را مي‌شناسند، اما تعدادي را ديده‌ام که هيچي نمي‌دانند يا حتي بدتر، دچار تصور غلطي از ويروس هستند. با توجه به اين نکته که آنان متخصصان امنيت کامپيوتر هستند، تصورات غلطشان بار منفي بيشتري نسبت به مردم عادي دارد. گفتار و نظرهاي اشتباه، زماني که از زبان اين افراد شنيده مي‌شوند، نتايج زيانبارتري دارند. ”
افرادي که عناوين شغلي مرتبطي نيز ندارند، گاهي دچار سندرم اعتبار کاذب هستند. براي مثال يک کاربر که به ويروس برمي‌خورد، ممکن است براي فهميدن نحوه مقابله با آن به هرکسي مراجعه کند. در چنين شرايط شخص پاسخگو ممکن است تا درجه متخصص رسمي ويروس نيز ارتقاء يابد!!
دونتمن مي‌گويد” شغل يک ويراستار مجله کامپيوتر ايجاب مي‌کند که وي در مورد خيلي چيزها مقدار کمي بداند. او گستره وسيعي از دانش با عمق کم در اختيار دارد، مگر در چند مورد خاص!”
او اضافه ميکند “ گزارشگران و ويراستاران صنعت کامپيوتر مي‌توانند بخويي صحبت‌کنند و بنويسند. اگر شما بتوانيد در مورد يک موضوع، حتي اگر در مورد آن چيزي ندانيد، تعابير خوبي بيان کنيد، شانس خود را براي اين که متخصص در آن زمينه شناخته شويد بالا برده‌ايد، مخصوصا توسط افرادي که در مورد آن موضوع هيچ‌چيز نمي‌دانند. ”
سندرم اعتبار کاذب دو ميل مهم را در فرد برمي‌انگيزد. اول اينکه فرد واقعا دوست دارد که به ديگران کمک کند؛ و ديگر اينکه دوست دارد بر کامپيوتر احساس کنترل داشته باشد. و اين دو گرايش باعث تاثيرپذيري فرد در مقابل اين سندرم مي‌شود.
مارچلو، يک کاربر معمولي که يک ايميل دروغين دريافت کرد، پيامي روي CompuServe فرستاد و به کاربران هشدار داد که هر پيامي که در عنوانش عبارت “Good Times” را دارد، باز نکنند (مبادا که به چيني ويروسي آلوده شوند). بطرز مضحکي مارچلو از عبارت “Good Times” در عنوان پيام هشدارهنده خود استفاده کرده بود!!!
يک متخصص ويروس به شوخي يک پيام براي مارچلو فرستاد و به او گفت که آلوده کردن کامپيوتر ديگران با ويروس Good Times را متوقف کند. مارچلو وقتي از جزييات نامه دروغين مطلع شد، پاسخ داد “ از کمک شما متشکرم. متاسفم، من گول خورده بودم. اما بهرحال من نگران کامپيوتر و شغلم بودم”

نتيجه گيري

هدف از اين مقاله تغيير عقايد شما درباره افسانه‌هايي که در مورد ويروس‌ها شنيده‌ايد، نيست. بلکه از شما مي‌خواهيم پرسشهاي خود را از افرادي بپرسيد که در زمينه ويروسهاي کامپيوتر صاحب تخصص و آگاهي هستند. به اين ترتيب مي‌توان از “کوري عصاکش کور دگر شود” جلوگيري کرد و از تعداد افرادي که تمام خرافه‌ها راجع به ويروسها را باور دارند، کاست.

بطور خلاصه

بيشتر افراد دانش و تخصص بسيار کمي در زمينه ويروسهاي کامپيوتري دارند.
افراد با دانش کم اغلب به سندرم اعتبار کاذب دچار مي‌شوند.
سندرم اعتبار کاذب معمولا به شيوع ترس و خرافات در مورد ويروسهاي کامپيوتر مي‌انجامد.
دوتمن به بهترين نحو جمع‌بندي مي‌کند: “ اگر انسانها احتياط بيشتري در مورد اينکه به چه کسي و چگونه و تا چه حدي اعتماد کنند، بخرج ميدادند، ما بعنوان انجمن متخصصان بيشتر مي‌دانستيم و بهتر شناخته مي‌شديم. بنابراني مسيرهاي کمتري به سمت اطلاعات بد يا غيرموثق پديد مي‌آمد.
منبع:http://www.academist.ir
/س