حجم عظیم ویروس ها، کرم ها، ایرادات نرم افزارها و تهدیدهای ناشی از آنها، نرم افزارهای ضدویروس را تبدیل به یکی از ابزارهای لازم برای همه کامپیوترها نموده است. در صورت آلوده شدن یک کامپیوتر به ویروس بسته به نوع آن ممکن است مصائب مختلفی برای سیستم کامپیوتری بوجود آید که در پاره ای موارد جبران آن ها هزینه های زیادی را تحمیل می کند. آسیب های بعضی از ویروس ها به گونه ای است که آثار سوء آن ها را به هیچ وجه نمی توان از بین برد. مستقل از نوع ویروسی که باید با آن مقابله شود نیاز به برنامه های ضد ویروس همواره وجود دارد و در شرایطی که محصولات ضد ویروس متنوعی تولید شده اند، انتخاب نرم افزار مناسب دغدغه کاربران می باشد.

این مقاله ضمن معرفی انواع ویروس ها، نحوه عمل کرد برنامه های ضدویروس و انواع ویروس هایی که ضدویروس ها شناسایی و پاکسازی می کنند را معرفی می کند. همچنین اطلاعاتی که برای انتخاب ابزار مناسب لازم است بیان شده و تعدادی از برنامه های ضد ویروس با هم مقایسه  خواهند شد.

ویروس چیست؟

ویروس های کامپیوتری برنامه هایی هستند که مشابه ویروس های بیولوژیک گسترش  یافته و پس از وارد شدن به کامپیوتر اقدامات غیرمنتظره ای را انجام می دهند. با وجودی که همه ویروس ها خطرناک نیستند، ولی بسیاری از آنها با هدف تخریب انواع مشخصی از فایل ها، برنامه های کاربردی و یا سیستم های عامل نوشته شده اند.

 ویروس ها هم مشابه همه برنامه های دیگر از منابع سیستم مانند حافظه و فضای دیسک سخت، توان پردازنده مرکزی و سایر منابع بهره می گیرند و می توانند اعمال خطرناکی را انجام دهند به عنوان مثال فایل های روی دیسک را پاک کرده و یا کل دیسک سخت را فرمت کنند. همچنین یک ویروس می تواند مجوز دسترسی به دستگاه را از طریق شبکه و بدون احراز هویت فراهم آورد.

برای اولین بار در سال ۱۹۸۴ واژه «ویروس» در این معنا توسط فرد کوهن در متون آکادمیک مورد استفاده قرار گرفت. د‍ر این مقاله که «آزمایشاتی با ویروس های کامپیوتری» نام داشت نویسنده دسته ای خاص از برنامه ها را ویروس نامیده و این نام گذاری را به لئونارد آدلمن نسبت داده است. البته قبل از این زمان ویروس ها در متن داستان های عملی و تخیلی ظاهر شده  بودند.

انواع ویروس

انواع ویروس های رایج را می توان به دسته های زیر تقسیم بندی نمود:

boot sector :

 boot sector  اولین Sector  بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام می شود. با توجه به اینکه در هر بار بالا آمدن کامپیوتر Boot sector مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکربندی کامپیوتر محتوای boot sector هم مجددا نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.

این نوع ویروس ها از طریق فلاپی هایی که قطاع boot آلوده دارند انتشار می یابند. Boot sector  دیسک سخت کامپیوتری که  آلوده شود توسط ویروس آلوده شده و هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپی ها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. این گونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانی که دستگاه آلوده است امکان boot  کردن کامپیوتر از روی دیسک سخت از بین برود.

این ویروس ها بعد از نوشتن بر روی متن اصلی boot سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب (Bad Sector) علامت گذاری می کند.

Macro viruses:

 این نوع ویروس ها مستقیما برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Exel یا Word استفاده می کنند. ویروس های ماکرو از طریق دیسک ها، شبکه و یا فایل های پیوست  شده با نامه های الکترونیکی قابل گسترش می باشد.

ویروس تنها در هنگامی امکان فعال شدن را دارد که فایل آلوده باز شود، در این صورت ویروس شروع به گسترش خود در کامپیوتر نموده و سایر فایل های موجود را نیز آلوده می نماید. انتقال این فایل ها به کامپیوتر های دیگر و یا اشتراک فایل بین دستگاه های مختلف باعث گسترش آلودگی به این ویروس ها می شود.

File infecting viruses:

 فایل های اجرایی (فایل های با پسوند .exe و .com) را آلوده نموده و همزمان با اجرای این برنامه ها خود را در حافظه دستگاه بار نموده و شروع به گسترش خود و آلوده کردن سایر فایل های اجرایی سیستم می نمایند. بعضی از نمونه های این ویروس ها متن مورد نظر خود را به جای متن فایل اجرایی قرار می دهند.

ویروس های چندریخت(Polymorphic):

این ویروس ها در هر فایل آلوده به شکلی ظاهر می شوند. با توجه به اینکه از الگوریتم های کدگذاری استفاده کرده و ردپای خود را پاک می کنند، آشکارسازی و تشخیص این گونه ویروس ها دشوار است.

ویروس های مخفی:

این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضدویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضدویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضدویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد. این ویروس ها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام  می دهند.

ویروس های چندبخشی

رایج ترین انواع این ویروس ها ترکیبی از ویروس های boot sector  و file infecting  می باشد. ترکیب انواع دیگر ویروس ها هم امکان پذیر است.

سایر برنامه های مختل کننده امنیت

برخی از محققین اسب های تروا(Trojan)، کرم ها و بمب های منطقی را در دسته ویروس ها قرار نمی دهند ولی واقعیت این است که این برنامه ها هم بسیار خطرناک بوده و می توانند خساراتی جدی به سیستم های کامپیوتری وارد نمایند.

اسب های تروا تظاهر می کنند که کاری خاص را انجام می دهند ولی در عمل برای هدف دیگری ساخته شده اند، به عنوان مثال برنامه ای که وانمود می کند که یک بازی است ولی در واقع اجازه دسترسی از راه دور یک کاربر به کامپیوتر را فراهم می آورد.

   کرم ها برنامه هایی هستند که مشابه ویروس ها توان تکثیر کردن خود را دارند، ولی برعکس آنها برای گسترش خود نیاز به برنامه هایی دیگر ندارند تا آنها را آلوده کرده و تحت عنوان فایل های آلوده اقدام به انتقال و آلوده کردن دستگاه های دیگر نمایند. کرم ها معمولا از نقاط آسیب پذیر برنامه های e-mail  برای توزیع سریع و وسیع خود استفاده می نمایند.

   بمب های منطقی برنامه هایی هستند که در زمان هایی از قبل تعیین شده؛ مثلا یک روز خاص؛ اعمالی غیر منتظره انجام می دهند. این برنامه ها فایل های دیگر را آلوده نکرده و خود را گسترش نمی دهند.

علی رغم تنوع انواع برنامه های مخرب، برنامه های قوی ضد ویروس می توانند نسخه های مختلف آنها را شناسایی و از بین ببرند. در ادامه این متن برای سادگی به همه انواع این برنامه ها عنوان عمومی ویروس اطلاق می شود.

در بخش های بعدی نرم افزارهای ضدویروس مورد بررسی قرار خواهند گرفت.

ویروس ها

يك برنامه كامپيوتري است که بمانند ويروسهاي بيولوژيکي توانايي منحصر بفردي بنام تکثير شدن دارد . ويروسها ميتوانند به هر نوع فايلي چسبيده و خود را گسترش دهند. برخي ويروسها علاوه بر قابليت تکثير داراي توانايي مشترک ديگري نيز هستند : اين ويروسها داراي روتيني هستند که ميتواند به فايل شما آسيب برساند و يا اينکه ديسک سخت شما را فرمت کند . ساده ترین نوع ویروس برنامه ای است خود را به میزان بسیار زیاد تکثیر کرده و اینکار را انقدر تکرار میکند تا اینکه حافظه کامپیوتر پر شده و کامپیوتر hang كند .... سالها قبل ویروسها تنها از طریق فلاپی منتشر میشدند اما امروزه با گسترش شبکه اینترنت این شبکه سریعترین راه برای گسترش ویروسها گردیده است.

  بطور کلی ویروسها به چهار گروه تقسیم میشوند و هر ویروس جدیدی نیز که تولید میشود جزو یکی از این گروهها می باشد این چهار گروه عبارتند از :

1) File Virus

2)Boot Virus

3) Macro Virus

4) Multi-Partite

در اکتبر سال 1987 ویروس Brain که در سال 1986 نوشته شده بود کشف گردید .

در این سال ویروس های دیگری? برای اولین بار در دانشگاه های مختلفی از سراسر جهان کشف شدند . در نوامبر آن سال ویروس Lehigh در دانشگاهی به همین نام در آمریکا کشف شد . این ویروس تنها Command.com را آلوده می کرد.

در دسامبر سال 1987 ویروس Jerusalem (اورشلیم) در دانشگاه? Hebrew در کشور اسرائیل پدیدار گشت . این ویروس اولین ویروسی بود که با آلوده کردن فایل ها می خواست که در حافظه دستگاه مقیم شود. همچنین این ویروس اولین ویروسی بود که برنامه هایی را که پسوند هایی به غیر از ?.com و .exe ?را داشتند آلوده می کرد . البته اشکالی که در این ویروس وجود داشت این بود که این ویروس فایل هایی را که یک بار آلوده کرده بود دوباره آلوده می کرد و در واقع توانایی تشخیص اینکه کدام فایل ها قبلا آلوده شده اند را نداشت .

در این سال گزارشهایی از ویروس های دیگر نیز منتشر گشت . ویروس Stoned که اولین ویروسی بود که MBR را آلوده می کرد توسط دانشجویی در دانشگاه? Wellington ?در نیوزلند? و?? همچنین ویروس Vienna در یکی از دبیرستان های اتریش توسط یک دانش آموز نوشته شدند .?

در سال 1987 کتابی منتشر گشت که به بررسی ویروس Vienna پرداخته بود . همچنین در این کتاب سورس هایی از دیگر ویروس ها قرار داده شده بود .

در این سال یک ویروس هم در آفریقای جنوبی نوشته شد که در جمعه سیزدهم ماه ، فایل های کامپیوتر را پاک می کرد

ویروس های کامپیوتری به تعطیلات نمی روند

در سال های گذشته برخی از خطرناک ترین ویروس ها در ماه اوت (اواسط فصل تابستان) منتشر شده اند. با وجود تعطیلات تابستانی و کاهش فعالیت های تجاری، ویروس های کامپیوتری همچنان فعال هستند و کاربران را تهدید می کنند.
به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از لابراتوار آنتی ویروس پاندا (PandaLabs) در طول ماه اوت، زمانی که بسیاری از مردم در حال گذراندن تعطیلات هستند و فعالیت های تجاری و اداری به حداقل می رسد، ویروس نویس ها همچنان به کارشان ادامه می دهند و حتی بدافزار های خطرناک ترشان را در همین ایام رو می کنند.
در سال های اخیر، در ماه اوت شاهد شیوع بدافزار ها یی بوده ایم که باعث وارد آمدن خسارات فراوانی به صنعت IT شده اند. کرم اینترنتی Sircam در ماه اوت سال 2001 منتشر شد. این کرم که در پیغامی با عنوان “ Hi, how are you?” (سلام، احوال شما؟) پنهان بود به سرعت پخش شد، به صورت خودکار خود را برای تمام آدرس های موجود در کامپیوترهای آلوده ارسال و سپس خود را در شبکه های Windows NT کپی کرد. این کرم اطلاعات شخصی کاربر را می دزدید، فضای زیادی از هارد دیسک را اشغال می کردو اطلاعات روی آن را از بین می برد. کرم دیگری نیز با نام CodeRed در همان ماه ظاهر شد که با انتشار در شبکه های کامپیوتری به طور مشخص Index Server 2.0، Indexing Service و Internet Information Server را هدف قرار می داد.
اوت سال 2003 نیز خاطرات بدی برای کاربران اینترنت بر جای گذاشت. در آن ماه بدافزارهای Mimail، Blaster و Sobig.F منتشر شدند. در این میان کرم اینترنتی Blaster (با ارائه نسخه های متفاوتی در همان ماه) بیشترین خسارت را بر جای گذاشت؛ به خصوص روی کامپیوتر هایی که سیستم عامل آنها Windows 2003/XP/2000/NT بود و یک وصله امنیتی خاص را نصب نکرده بودند.
تابستان گذشته هم با وجود بدافزارهایی چون Bagle.AH، Mydoom.N و Bagle.AM تابستان امنی برای کاربران و شرکت ها نبود. از میان آنها , Mydoom.N که با استفاده از جست و جو گر های مطرحی چون گوگل و یاهو، آدرس هایی را برای هدف قرار دادن پیدا می کرد از همه مخرب تر بود. اوت 2004 همجنین شاهد پیدایش اولین ویروس برای سیستم های 64 بیتی بود.
ماه اوت امسال (همین روزها) نیز شاهد پیدایش اولین ویروس برای نسخه آزمایشی یک سیستم عامل بودیم؛ ویروسی که برای نسخه بتای ویندوز ویستا نوشته شد. لوئیس کورونس مدیر PandaLabs در این باره می گوید: "در این ایام که فعالیت های تجاری کاهش می یابد، بسیاری از کاربران هم حفاظت از سیستم هایشان را مانند دوران کاری جدی نمی گیرند و همین جاست که سر و کله ویروس نویسان پیدا می شود. به همین دلیل دنبال کردن تدابیر امنیتی و به روز رسانی نرم افزار های مربوطه همانند قبل و حتی بیشتر، بسیار حیاتی است. 

شايع ترين ويروس ها و كدهاي مخرب كشف شده در ماه نوامبر 2006

فهرست شايع ترين و مهمترين ويروس‌‏ها و كدهاي مخرب رديابي شده در ماه گذشته ميلادي منتشر شد.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا، شركت امنيتي PANDA SOFTWARE، طي گزارشي علاوه بر انتشار اين فهرست، اعلام كرد كه حضور كدهاي مخرب كشف شده براي اولين بار، در فهرست شايع‌‏ترين بدافزارهاي ماه نوامبر، قابل توجه و چشم‌‏گير بوده است.
براي نمونه، كرم رايانه‌‏اي W32/NUWAR كه يك كد بسيار جديد است و براي اولين بار رديابي شده، در مكان چهارمين كد مخرب شايع در جهان،‌ قرار گرفته است. اين كرم از طريق نامه‌‏هاي الكترونيك با موضوع "جنگ جهاني سوم" و يا اخباري از مرگ احتمالي "جرج بوش" و يا "ولادمير پوتين"، منتشر مي‌‏شود.
يك حضور جديد ديگر در فهرست شايع‌‏ترين كدهاي مخرب، به BANBRA.DJM، تعلق دارد كه عضوي از خانواده بزرگ تروژان‌‏هايي كه براي سرقت اطلاعات شخصي و محرمانه كاربران خدمات آنلاين بانك‌‏هاي كشور برزيل طراحي شده‌‏اند.
نمونه جديد ديگري كه مكان دهم فهرست را به خود اختصاص داده، يك تروژان با عنوان SPAMER.T است. كد مخربي براي ورود مخفيانه به رايانه‌‏ها و تبديل آنها به يك پايگاه قدرتمند براي ارسال هرزنامه به رايانه‌‏هاي ديگر كه از روي نمونه‌‏هاي قديمي تر طراحي شده است.
در بين كدهاي مخرب قديمي‌‏تر كه مدت‌‏ها است به عنوان شايع‌‏ترين كدها شناخته مي‌‏شوند، SDBOT.FTP، مانند ماه ميلادي گذشته، مهم‌‏ترين و شايع‌‏ترين ويروس رديابي شده در جهان است.
اين كد توسط گونه‌‏هاي موجود در خانواده كرم رايانه‌‏اي SDBOT و براي دانلود آنها از طريق FTP، مورد استفاده قرار مي‌‏گيرد.
اين كد مخرب با اين كه از ابتداي سال 2006 تا كنون هم چنان صدر نشين فهرست مهم‌‏ترين و مخرب‌‏ترين ويروس‌‏ها بوده، اما از تعداد رايانه‌‏هاي مورد حمله آن در ماه نوامبر تا حدودي كاسته شده است.
A مجدداً خود را به عنوان دومين بدافزار شايع ، معرفي نموده است. اين تروژان كه در ماه اكتبر با سرعت خيره‌‏كننده‌‏اي خود را به عنوان يك بدافزار خطرناك و شايع در فهرست ماهانه پاندا قرار داد، در ماه نوامبر نيز در حدود 1.5 درصد حمله‌‏هاي رايانه‌‏اي جهان را به خود اختصاص داده است.
تروژان ABWIZ.A نيز هم چنان در مكان سوم فهرست نوامبر قرار دارد. اين كد مخرب براي سرقت رمزهاي عبور موجود در رايانه‌‏ها طراحي شده است.
NETSKY.P، كرم رايانه‌‏اي بسيار قديمي كه براي حمله‌‏هاي خود از يك نقطه آسيب پذير مشهور در برنامه INTERNET EXPLORER استفاده مي‌‏كند، با چند پله نزول در جايگاه نهم فهرست قرار گرفته است. كاهش نسبي در فعاليت‌‏هاي تخريبي NETSKY.P و SDBOT.FTP كه هر دو از حفره‌‏هاي امنيتي و نقاط آسيب پذير براي حمله‌‏هاي مخرب استفاده مي‌‏كنند، مي‌‏تواند نشانه‌‏اي از افزايش بروزرساني برنامه‌‏هاي مختلف توسط كاربران رايانه‌‏اي و در نتيجه ترميم حفره‌‏هاي امنيتي باشد.
كاربران رايانه براي اطمينان از امن بودن و در معرض خطرقرار نداشتن سيستم‌‏هاي خود، مي‌‏توانند از برنامه قدرتمند و رايگان ACTIVSCANبراي بررسي و ويروس يابي رايانه هايشان استفاده كنند. اين برنامه قادر است حتي كدهاي مخرب ناشناخته و بسيار جديد را كه به طور مخفيانه در سيستم حضور دارند، رديابي و كشف نمايد.

ویروس های کامپیوتری،چگونه فایل ها را آلوده می کنند؟

همانطوری که خداوند،ویروس ها را از جنس خود انسان و موجودات زنده آفرید،ویروس های کامپیوتری هم از چیزی که در خود کامپیوتر وجود دارد ساخته می شود.در واقع اگر بخواهیم ویروس های کامپیوتری را تعریف کنیم می گوییم: "ویروس های کامپیوتری،نرم افزار های بسیار کوچکی هستند که کارهای مخربی انجام می دهند و این کار هایشان طوری است که ما به آن ها لقب ویروس را داده ایم ".حال می خواهیم بگوییم که همان طور که ویروس های بیولوژیکی سلول ها را آلوده می کنند و ویروس های بیولوژیکی از سلول،بسیار کوچک ترند،به همین خاطر به این نرم افزار های کوچک که از فایل هایی که آن ها را آلوده می کنند،کوچک ترند،لقب ویروس را داده ایم.نرم افزار ها، همان فایل ها یا سلول ها هستند و ویروس های کامپیوتری مانند ویروس های انسانی،نرم افزار ها یا فایل های کوچکتری هستند.
شاید با این مطالب،خیلی کم در یافته باشیم که ویروس چیست.همان جوری که ویروس بیولوژیکی وارد سلول ها می شود و ماده ی وراثتی را وارد سلول می کند،ویروس کامپیوتری هم یک نسخه از خود را وارد فایل ها می کند.به فایلی که یک نسخه از ویروس کامپیوتری در ساختار خود دارد را فایل آلوده می گوییم.اگر کمی در این نوشته ها تفکر کنیم،می فهمیم که ساخت یک ویروس کامپیوتری که یک نسخه از خود را مانند ویروس انسانی که ماده ی وراثتی را وارد سلول ها میکند،وارد فایل ها میکند،کار ساده ای نیست.در ضمن،گلبول های سفید یا آنتی ویروس ها،مانع از این کار می شوند ولی ویروس های قوی،بر آنتی ویروس ها هم(گلبول های سفید) غلبه می کنند.
خوب هم اکنون شاید برای شما این سوال که چگونه ویروس های کامپیوتری،یک کپی از خود را وارد یک فایل می کنند،پیش آمده باشد.
هر نرم افزاری که ساخته یا نوشته می شود،دارای کد هاییست که این کدها برای کامپیوتر،به صورت صفر و یک هستند.حال ویروس که می خواهد فایلی را آلوده کند،آن فایل را ویرایش می کند.ویروس،کدهای خود را بدست می آورد و کدهای خود را وارد فایل می کند.به این صورت یک فایل آلود می شود.اگر وارد بحث تخصصی تر آن بشویم،می گوییم که ویروس ها،هر نوع فایلی را آلوده نمی کنند و فقط فایل هایی که قابلیت اجرا شدن به صورت مستقیم یا غیر مستقیم(توسط برنامه ای دیگر،فایل باز شود)را آلوده می کنند.برای همین،ویروسی که قابلیت تشخیص فایل ها از یکدیگر را دارد،موفق تر است و مانند اینکه ویروس فلج اطفال،فقط به سلول های نخاع حمله می کند.در ضمن نحوه ی آلوده کردنشان تفاوت دارد.بعضی از آن ها کد های فایل ها را تماما" پاک می کنند و کد های خود را جایگزین می کنند که در این صورت فایل آلوده شده،قابل درمان توسط آنتی ویروس ها نیست و فایل به طور کامل از بین رفته و به ویروس تبدیل شده است اما شکل ظاهریش باقی می ماند ولی بعضی ها کد های فایل آلوده شده را از بین نمی برند،بلکه کدهای خودشان را کنار کدهای فایل می گذارند.اما در هر دو صورت،هنگامی که فایل در هر کامپیوتری اجرا شد،انگار ویروس اجرا شده است و این یکی از علت هایی است که ویروس نویسان،فایل ها را آلوده می کنند که هم نرم افزاری که ساخته اند ویروس نام گیرد و هم ویروسشان منتشر شود.

Yusufali اولين ويروس بومي ايراني

شنبه، ۲۸ آبانماه ۱۳۸۴

ايتنا - اين ويروس با بررسي كلماتي مانند Sex از باز كردن فايل‌ها يا سايت‌هايي در اين زمينه جلوگيري مي‌نمايد، اين در حالي است كه در بسياري از سايت‌هاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايت‌ها نيستند.

بررسي ويروس Yusufali.B
نيما مجيدي
Nima_Majidi(at)hat-squad.com
Hat-Squad گروه تحقيقات امنيتي
«...و در آينده‌اي نزديك زياد دور از ذهن نيست كه ويروس‌هاي محلي توسط برنامه‌نويسان ايراني توليد شوند و به علت ويژگي‌هايي مانند استفاده از زبان فارسي و اطلاعات موجود از فرهنگ ايراني، رايانه‌هاي هزاران كاربر ايراني را در سرار جهان آلوده سازند و ضربه‌هاي غيرقابل جبراني را به اطلاعات فارسي وارد كنند...»
(ايتنا - روزنامه ايران - پنجشنبه 21 خردادماه 1383)

پاراگراف بالا قسمتي از مقاله‌اي است كه به عنوان «Cycle اولين كرم رايانه‌اي ايراني» حدود يك سال پيش توسط اينجانب به رشته تحرير در آمد. اين ويروس با دنبال كردن اهداف سياسي توانست نظر كارشناسان خارج از ايران را به خود جلب نمايد. پس از گذشت روزها از انتشار آن هيچ خبري از بازتاب گسترش ويروس Cycle در داخل كشور نشد. پيشگويي من بار ديگر به حقيقت پيوست با گذشت زمان شاهد انتشار اولين ويروس بومي در كشور هستيم. و حال پس از گذشت يك سال، شاهد انتشار اولين ويروس بومي ايراني هستيم. اين ويروس با نام Yusufali در ميان كارشناسان امنيت مشهور گرديده و از ورود كاربران به سايت‌هاي غيراخلاقي جلوگيري مي‌نمايد. البته اين قسمتي از داستان است كه توسط سايت‌هاي خبري ايراني منتشر گرديده است و با وجود استفاده شدن از زبان فارسي در ساختار اين برنامه مخرب، هيچ يك از سايت‌هاي خبري در داخل كشور به بومي بودن اين ويروس، اشاره‌اي نكرده و تنها به ترجمه خبر از سايت‌هاي خارجي قناعت كرده‌اند، گرچه به سايت‌هاي خبري نمي‌توان خرده گرفت.

زمان در ادامه به بسياري نشان خواهد داد كه بي‌توجهي به مسائلي از اين دست، به بهاي گراني تمام خواهد شد. امروزه در دنياي امنيت، كوتاه بودن زمان بررسي حوادث و هشداردهي به كاربران به عنوان اصل اول براي پيشگيري مورد توجه قرار مي‌گيرد. علت آن نيز برنامه‌ريزهاي درازمدت و سازماندهي تيم‌هاي فعالي است كه در جهان غرب با صرف هزينه‌هاي دولتي و بخش خصوصي روز به روز ديوار محكم‌تري را در مقابل حملات ويروس‌نويسان و نفوذگران پديد مي‌آورند. كشورهاي پيشرو در صنعت IT پذيرفته‌اند كه قدم برداشتن در راه تامين امنيت فضاي تبادل اطلاعات، به يك كنفرانس دانشجويي و چاپ كردن تعدادي مقاله و راه‌اندازي يك وب سايت خلاصه نمي‌شود، بلكه نياز اصلي آن به نيروهاي متخصصي است كه قادر باشند خود را با حملات و تكنيك‌هاي جديد آشنا سازند و در مقابل آنها به ارائه راه حل بپردازند. گرچه معلوم نيست اندك نيروي محدودي كه در ايران در حال فعاليت در زمينه امنيت اطلاعات هستند نيز تا به كي صبر را پيشه كنند و حرفه اصلي خود را فداي ندانم‌كاري‌هاي مسئولين نمايند. بسياري كه از ايران رفته‌اند و احتمالا بازماندگان ديگر نيز راهي جز رفتن به جايي كه بهاي فعاليت آنها را بدانند نمي‌يابند.

اين بار نيز ويروس Yusufali با ظاهر ساختن آيه‌اي از قرآن مجيد بر روي كامپيوترهاي آلوده شده، توانست نظر كارشناسان خارج از ايران را بار ديگر به خود جلب نمايد و با عنوان يك ويروس عربي شناخته شود، گر چه متن فارسي نيز در مقابل كاربران ظاهر مي‌گشت كه متاسفانه به علت نزديك بودن ظاهري كلمات فارسي و عربي كارشناسان خارجي قادر به تشخيص آن نشده‌اند. اين ويروس با بررسي كلماتي مانند Sex از باز كردن فايل‌ها يا سايت‌هايي در اين زمينه جلوگيري مي‌نمايد، اين در حالي است كه در بسياري از سايت‌هاي پزشكي نيز از اين كلمات استفاده شده است و كاربران آلوده به اين ويروس قادر به استفاده از اطلاعات مفيد اين سايت‌ها نيستند. بازتاب خبري اين ويروس در خارج از ايران، حرف‌ها و حديث‌هاي زيادي را به دنبال داشته است. گروهي آن را فعاليت تروريستي ناميده‌اند، و گروهي ديگر، انتشار ويروس را در جهت ترويج مسائل ديني، كاري اشتباه دانسته‌اند. در جايي خبرنگار گاردين از يكي از متخصصين امنيت مي‌پرسد كه معني كلمه jeggar كه در ساختار اين ويروس از آن استفاده شده است چيست!؟ و متخصص جوابي را براي بيان كردن نمي‌يابد. گرچه تمام كاربران ايراني در داخل كشور به زبان بيان اين كلمه آشنايي كامل دارند.

در ادامه به بررسي نسخه جديد اين ويروس مي‌پردازيم كه در داخل ايران رواج يافته است.

بررسي روش شروع به كار خودكار ويروس(StartUp Method):
در قدم اول پس از اجراي برنامه Documents.exe توسط كاربر يك نسخه از فايل برنامه ويروس به نام Systemdll.exe در زير پوشه System32 كپي مي‌شود. ويروس با اضافه ساختن كليدهاي زير به رجيستري قادر است تا پس از هر بار بوت شدن، خود را فعال سازد اين كليدها عبارتند از:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun”LoadService”=””

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun”System4224411”=”system32systemdll.exe”

نكته : كليد اول به علت اشتباه برنامه‌نويس ويروس با هيچ مقداري پر نمي‌شود.

بررسي عملكردهاي منفي ويروس(Virus Payloads):
اين ويروس در قدم بعد به جست‌وجوي فايلي به نام Systask.exe در پوشه System32 مي‌پردازد. در صورتي كه اين فايل موجود بوده و فعال نباشد، آن را از پوشهSystem32 حذف مي‌نمايد، هدف از انجام اين عمل مشخص نيست.
همچنين اين ويروس پس از اجرا شدن به بررسي مقادير كليدهاي زير از رجيستري مي‌پردازد:

[HKEY_LOCAL_MACHINESystemCurrentControlSet
ControlTerminal Server”TSAppCompat”]

مقدار عددي اين كليد، وضعيت نوع فعاليت سرويس Terminal Server را مشخص مي‌سازد كه در كدام يك از حالاتApplication يا Remote Administrators قرار دارد.

[HKEY_LOCAL_MACHINESystemCurrentControlSet
ControlTerminal Server”TSUserEnabled”]

مقدار اين كليد در مورد وضيت گروه كاربري است كه اجازه استفاده از سرويس راه دور Terminal Server را دارا مي‌باشد.

نكته: با تغيير مقادير عددي اين كليدها مي‌توان حالت يا حتي نوع سطح دسترسي كاربران به سرويس Terminal Server كه براي مديريت ويندوز از راه دور استفاده مي‌شود را تغيير داد اما به نظر مي‌رسد بار ديگر به علت اشتباه در برنامه‌نويسي اين ويروس، تنها اين مقادير مورد بازبيني قرار مي‌گيرند و تغييري در آنها ايجاد نمي‌شود.

پس از فعال شدن ويروس بر روي ماشين كاربر، اين برنامه به بررسي فعاليت‌هاي كاربر مي‌پردازد و Title Bar تمام پنجره‌هاي فعال را مورد بررسي قرار مي دهد تا در صورت مشاهده كلمات حساس كه به برنامه معرفي شده است، از خود وا كنش نشان دهد اين كلمات عبارتند از :

Sex, Teen, xx, Phallus, Jeggar, Priapus, Phallic, Penis, Exhibitionism

در صورتي كه هر يك از اين كلمات در قسمت Title Bar يك پنجره فعال موجود باشند، پنجره مورد نظر در مدت چند ثانيه به حال Minimize در آمده و سه جعبه براي كاربر به نمايش درمي‌آيد:

اين جعبه از نوع پنجره اخطار است و عدد 7 مانند يك شمارنده مي‌باشد كه تعداد فعاليت اين ويروس را بيان مي‌كند، در ادامه به بررسي دقيق‌تر آن خواهيم پرداخت. پس از كليلك كردن بر روي دكمه ok پنجره بعد باز مي‌شود كه مربوط به نمايش ساعت فعلي سيستم است:

در صورتي كه كاربر نشانه گر Mouse خود را بر روي اين پنجره به حركت در بياورد، پنجره بعدي ظاهر مي‌شود:

در اين پنجره، كاربر قادر نيست تا نشانه‌گر Mouse خود را از محيط قرمز رنگ خارج سازد و در صورت فشار دادن هر يك از سه دكمه، از ويندوز خارج مي‌شود و به اصطلاح فني، از سيستم عامل ويندوز Logoff مي‌شود.

نكته: هر يك از اين سه كليد عمل Log Off را انجام مي‌دهند كه به نظر مي‌رسد باز برنامه‌نويس اين ويروس، اشتباهي را در كدنويسي مرتكب شده است. همچنين صفحه كليد، فعاليت طبيعي خود را دنبال مي‌كند و مي‌توان با باز كردن Task Managerبه فعاليت اين برنامه پايان داد و برنامه ويروس را از ليست پردازش هاي موجود End Task نمود.

شمارشگر :
پس از شروع فعاليت منفي ويروس و بعد از اولين نمايش پنجره اخطار، برنامه ويروس، كليدي را در رجيستري ايجاد مي‌نمايد تا از آن به عنوان يك شمارشگر ساده استفاده نمايد. آدرس كليد شمارشگر در رجيستري:

[HKEY__CURRENT_USERSoftwareVB and VBA Program Settings
sexingsex”tedad”=”1”]

پس از مقداردهي اوليه در هر مرتبه باز شدن پنجره اخطار، مقدار اين شمارشگر از كليد مورد نظر خوانده شده و در انتهاي پيام جعبه اخطار به كاربر نشان داده مي‌شود. سپس يك عدد به آن اضافه شده و در كليد Tedad ذخيره مي‌شود.

نكته : با انجام عمليات مهندسي معكوس بر روي فايل باينري ويروس مشاهده شد كه برنامه‌نويس، هدفي خاصي را از ايجاد اين شمارشگر دنبال مي‌كرده است. در واقع اين شمارشگر به عنوان متغيري از يك شرط است تا با رسيدن به عدد مورد نظر، ويروس عمليات مخربي را آغاز نمايد. كه اين قسمت نيز به علت نامعلوم درست طراحي نشده است.

روش گسترش ويروس(Spreading Method):
اين ويروس از روش‌هاي امروزي براي گسترش خود مانند ويروس‌هاي Blaster از طريق سوءاستفاده كردن از يك ضعف امنيتي شناخته شده و يا Mydoom به طريق ارسال ضميمه نامه‌هاي پستي آلوده استفاده نمي‌كند، بلكه روش سنتي يعني استفاده از ديسك‌هاي فلاپي را براي توزيع خود برگزيده است.
برنامه فعال ويروس در حافظه منتظر مي‌ماند تا در نام يكي از پنجره‌هاي باز شده عبارات حساس زير را بيايد:

Format 3.5 Floppy (A:)
Formating 3.5 Floppy (A:)
Floppy
A:

سپس در صورت استفاده كاربر از درايو فلاپي، ويروس يك نسخه از فايل خود را به نام Documents.exe

در درايو A: بر روي فلاپي ديسك كپي كرده و همچنين يك پوشه مخفي به اسم Documents در همين درايو ايجاد مي‌نمايد. شكل ICON اين فايل اجرايي به صورت يك پوشه است كه كه كاربر را ترغيب به باز كردن اين برنامه و در نتيجه اجراي فايل آلوده مي‌كند. پس از اجراي برنامه Documents.exe، ويروس پوشه مخفي را براي كاربر به نمايش درمي‌آورد تا كاربر متوجه اجراي برنامه آلوده نشود و نوار Address در پنجره فلاپي درايو به صورت زير درمي‌آيد:

A:Documents

نكته : چهار جمله حساس بيان شده به غير از كلمه Floppy، در ويندوز تنها به عنوان اسم پنجره فلاپي درايو مورد استفاده قرار مي‌گيرند. در نتيجه، اين ويروس با اين روش متوجه مي‌شود در چه زماني كاربر از فلاپي استفاده مي‌كند تا در موقع موردنظر، فلاپي ديسك را آلوده سازد. همچنين كلمه Formtaing داراي غلط املايي است و درست آن كلمه Formatting مي‌باشد، كه اين نيز جزو اشتباهات ويروس‌نويس محسوب مي‌شود.
روش پاك‌سازي ويروس:
1 – در ابتدا Task Manager را با فشار دادن همزمان كليدهاي Ctrl+shift+Esc باز كرده سپس به قسمت Process رفته و از آنجا فايل‌هاي Documents.exe و Systemdll.exe را End Task نماييد.
2 – به قست Start و Run رفته و برنامه Regedit را صدا بزنيد. پس از باز شده برنامه به آدرس:

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun

برويد و سپس كليدهاي System4224411 و LoadService را پاك نماييد.
3- به پوشه ويندوز و از آنجا به پوشه System32 برويد، سپس فايل System32.exe را جست‌وجو كنيد و آن را پاك نماييد.

رديابي:
علمي كه امروزه به عنوان Forensics مشهور گشته، متخصصين جرايم رايانه‌اي را قادر مي‌سازد تا با بررسي شواهد بدست آمده از فايل آلوده، و رديابي اطلاعات از نقطه گسترش ويروس، برنامه‌نويسان كدهاي مخرب را شناسايي كنند. اشاره به تكنيك‌هاي خاص Forensics از حوصله اين مقاله خارج است از اين رو تنها به بررسي قسمتي از اطلاعات بدست امده از فايل Ducuments.exe مي‌پردازيم.

اين اطلاعات به ما نشان مي‌دهند كه به طور فيزيكي، سورس ويروس در پوشه‌اي به نام virus بر روي Desktop شخص كاربري به نام محمد قرار داشته است. همچنين اين ويروس بوسيله زبان برنامه‌نويسي MS Visual Basic 6 توليد شده است. برنامه Visual Basic نيز بر روي سيستم ويروس‌نويس(محمد) در درايو E و تحت پوشه VB98 نصب شده است. اين ويروس براي اولين بار در خارج از كشور در اوايل سپتامبر 2005 مشاهده شده است و در ايران نيز در ماه هاي خرداد و تير 84 مشاهده شده است.گرچه هنوز زمان دقيقي از انتشار آن در دست نيست.