مرکز فناوری اطلاعات دانشگاه رازی مسعود مردان نیا

ويروس های کامپیوتری و راههای شناسايي و مقابله با آنها Computer Viruses & Methods of Detection

مقدمه امروزه مسئله ويروسهاي رايانه اي به يک معضل بسيارجدي تبديل شده است. براي يک کاربر PC ممکن است حداکثر ضرر ناشي از يک ويروس مخرب،ازبين رفتن اطلاعات وبرنامه هاي مهم موجود روي سامانه اش باشد در حاليکه وجود يک ويروس در سامانه هاي رايانه اي يک پايگاه نظامي هسته اي مي تواند وجود بشريت و حيات کره زمين را تهديد کند. رشد سرطان گونه ويروس ها متخصصين را بر آن داشت که برنامه هايي براي نابودي ويروس ها بسازند.

اولين ويروس اولين ويروس رايانه اي توسط ”کوهن“ ساخته شد. کوهن صرفا به عنوان يک پروژه دانشجويي ، برنامه اي را نوشت که مي توانست خود را تکثير کرده و انگل وار به ديگر برنامه ها متصل شود ونوعي تغيير درآنها به وجود آورد. علت نامگذاري ”ويروس“ بر روي اينگونه برنامه ها ، تشابه زياد آنها با ويروس هاي بيولوژيکي بود.

ويروس رايانه اي چيست؟ ويروسهاي رايانه اي برنامه هايي هستند که مي توانند تکثيرشوند و با اتصال به يک برنامه اجرايي و يا نواحي سامانه اي ديسک،همراه آنها اجرا گردند. ويروس ها مي توانند کد خود را در قسمتهاي مختلف رايانه مثل هاردديسک يا فلاپي کپي کنند ويا خود را درون حافظه بارگذاري کنند، اين درحالي است که کاربرازوجود ويروس واعمالي که انجام مي دهد کاملا بي اطلاع است.

خطراتی که ما با آن مواجه هستيم 1- برنامه های مخرب ویروسها- Worms ( توجه به حفره ( 2- حمله نفوذ گران و سارقان 3- حملات Dos و DDos 4- مشکل شبکه های بی سیم ( Wireless ) 5-برنامه جاسوسی ( Spywarc ) و تروجان ها- روت کیت 6- هرز نامه SPAM و ...

دلايل وجود اين حوادث 1- نداشتن نرم افزار قانونی و عدم توجه به کپی رایت در سازمانها و شرکتها 2- حفره های نرم افزاری و عدم به روز کردن نرم افزار خارجی ( ایرانی ) 3- عدم دقت در تنظیمات امنیتی برنامه- سیستم عامل- سرور- شبکه- روتر و ... 4-نداشتن مشاوران امنیت اطلاعات در کنار متخصصان IT 5- عدم توجه به امنیت در فرایند مکانیزاسیون سازمان و . . .

)Cert موسسه ( ICT نمودار وضعيت

CERT

خانه ويروس ويروس هم مانند هر برنامه رايانه اي نياز به محلي براي ذخيره خود دارد.منتهي اين محل بايد به گونه اي باشد که ويروس ها را به وصول اهداف خود نزديک تر کند. فايل هاي اجرايي : که معمولا با پسوندهاي .dll,.ovl,.bin,.sys,.com,.exe,.sc وجوددارند. قطاع راه انداز(Boot Sector) : واحد راه اندازي سامانه عامل است ودر قطاع شماره صفر ديسک سخت قرار دارد. جدول بخش بندي ديسک (Partition Table) : شامل اطلاعات تقسيم بندي ديسک سخت است و در قطاع شماره صفر ديسک سخت قرار دارد.

عملکرد ويروس ها ايجاد تاخير يا وقفه در حين عمليات سامانه اعم از اجراي برنامه ها و يا راه اندازي رايانه تخريب يا حذف برنامه ها و اطلاعات بخش هاي مختلف ديسک ها و يا حتي فرمت کردن ديسک ها اشغال حافظه و تکثير در حافظه به نحوي که در حافظه جايي براي اجراي ديگر بر نامه ها نمي ماند و يا باعث اختلال در کار برنامه هاي موجود در حافظه مي شود. اشغال فضاي ديسک

علائم ويروسي شدن سامانه فايلهاي exe وcom رشد مي کنند و حجمشان زياد مي شود سامانه يک ويروس الصاقي دارد. برنامه هايي که اجرايشان مي کنيم بدرستي اجرا نمي شوند و با چند پيغام خطا از ادامه کار باز مي مانند. تغييرات مشکوک در پوشه ها. کاهش درحافظه سامانه يک ويروس TSR در سامانه شما زندگي مي کند. پيغامهاي خطاي مشکوک. پايين آمدن سرعت در عمليات سامانه.

انواع ويروس ها ويروس هاي فايلي (File Viruses): اين ويروس ها معمولا فايل هاي اجرايي را آلوده مي کنند.فايل هاي آلوده به اين نوع ويروس ها اغلب داراي پسوند .comيا .exe هستند. ويروس هاي ماکرو(Macro Viruses): اين ويروس ها فايل هاي برنامه هايي را که داراي زبان ماکرو هستند(مانندWord MS وMS Excel و...) آلوده مي کنند. ويروس هاي بوت سکتور(Boot Sector Viruses) : اين گونه ويروس ها قطاع راه انداز ديسک سخت يا جدول بخش بندي ديسکهاي سخت را آلوده مي کنند.

ويروسهاي اسکريپتي(Script Viruses) : اين ويروسها که اسکريپتهاي نوشته شده به زبان ويژوال بيسيک يا جاوا مي باشند ، تنها در رايانه هايي که برروي آنها Internet Explorer نصب شده باشد و توانايي اجراي Script ها را داشته باشند ، اجرا مي شوند و فايلهاي با پسوند html,htm,vbs,js,htt,.asp را آلوده مي کنند. ويروسها ممکن است در يک يا چند دسته ازدسته هاي زير قرار بگيرند: ويروسهاي مقيم در حافظه(Memory Resident Viruses) : اينگونه ويروسها با مقيم شدن در حافظه،هنگام دسترسي به فايل هاي ديگر آنها را آلوده مي کنند.

ويروسهاي کد شده (Encrypting Viruses) : اين ويروسها پس از هربارآلوده سازي، با استفاده از شيوه هاي خود رمزي شکل ظاهري خود را تغيير مي دهند. ويروسهاي مخفي (Stealth Viruses): اين ويروسها به روشهاي مختلف ردپاي خويش را پاک مي کنند و خود را از سامانه عامل و نرم افزار هاي ضد ويروس مخفي نگه مي دارند.آنها درحافظه مقيم شده ودر اين صورت کليه درخواست هايي که نرم افزار ضد ويروس به سامانه عامل مي دهد را دريافت مي کنند وبه اين ترتيب ضد ويروس را هم فريب مي دهند.

اسب هاي تروا(Trojan) : تظاهر مي کنند کارخاصي را انجام مي دهند ولي در عمل براي هدف ديگري ساخته شده اند. بمب هاي منطقي(Logic Bomb): برنامه هايي هستند که در زمانهاي از قبل تعيين شده، مثلا يک روز خاص ، اعمالي غير منتظره انجام مي دهند. اين برنامه ها بر خلاف ويروس ، فايل هاي ديگر راآلوده نکرده و خود را گسترش نمي دهند. کرم ها(Worms) :برنامه هايي هستند که مشابه ويروس توان تکثير کردن خود را دارند، ولي برعکس آنها براي گسترش خود نياز به برنا مه هاي ديگر ندارند.کرم ها معمولا از نقاط آسيب پذير برنا مه هاي E-Mail براي توزيع وسيع خود استفاده مي کنند مثل کرم mydoom يا I LOVE YOU.

ويروسهاي چند ريخت(Polymorphic Viruses) : اين ويروسها در هرفايل آلوده به شکلي ظاهر مي شوند و از الگوريتم هاي کدگذاري استفاده مي کنند ورد پاي خود را پاک ميکنند. گول زنک ها (HOAX): اين نوع از ويروس ها در قالب پيامهاي فريب آميزي ،کاربران اينترنت راگول زده و به کام خود مي کشد.آنها معمولا به همراه يک نامه ضميمه شده ازطريق پست الکترونيک وارد سامانه مي شوند . پيغام ها مي توانند مضموني تهديد آميز يا محبت آميز داشته باشند.تغيير پيام و يا ارسال آن بسيار ساده بوده و با دستور Forward امکان پذير است. ويروسي که پشت اين پيغام ها مخفي شده مي تواند يک بمب منطقي، يک اسب تروا و يا يکي از فايل هاي سامانه اي ويندوز باشد.

نرم افزار ضد ويروس چيست؟ ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه هااطلاق مي شود که براي محافظت از رايانه ها در برابر ويروس ها استفاده مي شوند.مهمترين قسمت هر برنامه ضد ويروس موتور اسکن (Scanning Engine) آن است.جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه شناسايي فايل هاي آلوده به ويروس را به عهده دارند ودربيشترموارد در صورتي که فايل آلوده باشد ضد ويروس قادربه پاکسازي و از بين بردن آن است.

انواع نرم افزارآنتي ويروس دونوع از نرم افزارهاي آنتي ويروس عبارتند از: نرم افزار Monitoring : نرم افزار نظارت متفاوت از نرم افزارscanning است. اين نرم افزار خسارتهاي ناشي از فعاليتهاي ويروسي غير قانوني مثل overwrite کردن فايلهاي رايانه يا دوباره فرمت کردن hard drive رايانه را تشخيص مي دهد و کشف مي کند. نرم افزار : Scanningنرم افزار پويش گرمي تواند ويژگي هاي کدهاي ويروس رايانه اي را شناسايي کند و درفايلهاي رايانه به دنبال آن جستجو کند. بيشتر نرم افزارهاي ضد ويروسي از اسکنرهاي On-demand وOn-access استفاده مي کنند. اسکنرهاي On-demand : زماني که کاربر آنها را فعال کند اقدام مي کنند . اسکنرهاي On-access : به طورمداوم به دنبال ويروس روي رايانه نظارت دارند،اما فعاليتهاي آنها براي کاربر قابل مشاهده نيستند و هميشه در پشت صحنه قرار دارند.

روشهاي شناسايي ويروسها نرم افزارهاي آنتي ويروس عموما از دو تکنيک براي تشخيص ويروسها استفاده مي کنند: 1. استفاده از فايل امضاي ويروس : اين تکنيک توانايي شناسايي ويروسهايي را دارد که شرکتهاي آنتي ويروس تا کنون براي آنها امضا يا Signature توليد کرده اند. در اين روش ضد ويروس متن فايلهاي موجود دررايانه را هنگامي که سامانه عامل آنها را بازمي کنديامي بندد ياارسال ميکند امتحان مي کند و آن را به فايل امضاي ويروس که نويسندگان آنتي ويروس تشخيص داده اندارجاع مي دهد. فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتامورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسانها مي باشد.

روشهاي شناسايي ويروسها اگر يک تکه کد در فايلي با ويروس موجود در فايل امضاي ويروس مطابقت داشت نرم افزار ضد ويروس يکي از کارهاي زير را انجام مي دهد: سعي مي کند تا فايل را توسط از بين بردن ويروس به تنهايي تعمير کند. قرنطينه کردن فايل(فايل قابل دسترسي توسط برنامه هاي ديگر نباشدو ويروس آن نمي تواند گسترش يابد.) فايل ويروسي و آلوده را پاک کند. دراين تکنيک ، فايل امضاي ويروس يا همان پايگاه داده ويروسهاي شناخته شده ، بايد به طور متناوب update شودتا آخرين اطلاعات را راجع به آخرين ويروسها به دست آورد. کاربران وقتي ويروسهاي جديد(ناشناخته) راتشخيص دادند، مي توانندفايل هاي آلوده را به نويسندگان آنتي ويروس ارسال کنند.

روشهاي شناسايي ويروسها 2. استفاده از الگوريتم اکتشافي (Heuristic Analyzer): وقتي تعداد کدهاي مخرب به بيش از هزاران مورد رسيد و کمپانيهاي ضدويروس ديدند که نمي توانند براي هر ويروس، يک امضاي جداگانه تهيه کنند، به فکر اين روش افتادند. اين تکنيک براي کشف ويروسهاي ناشناخته که فايل امضاي آنها وجود ندارد به کار مي رود. دراين تکنيک از روش زير استفاده مي شود:

روشهاي شناسايي ويروسها Dynamic Heuristic analysis : شبيه سازي کد– به اين معني که فايل در يک محيط محافظت شده در داخل ماشين مجازي شروع به اجرا مي کند سپس به برنامه آنتي ويروس اجازه مي دهد تا رفتار يک فايل مشکوک را به هنگام اجرا شبيه سازي کند در حالي که کد مشکوک اصلي ازماشين واقعي کاملامجزا شده است.وبعدبرفعاليتهاي ويروسي مثل تکرار کد ، دوباره نويسي فايل ، و تلاش براي پنهان سازي فايلهاي مشکوک نظارت مي کند. هرگاه يک يابيشتر از آن فعاليتهاي شبه ويروس را پيدا کرد، فايل مشکوک علامت گذاري مي شود و به کاربر اطلاع داده مي شود. مثلا اگر برنامه اي از رمزخود تصحيح کننده استفاده کرده ويروس به شمارمي آيد. اين تکنيک حفاظت بيشتري را در مقابل ويروسهاي جديد تجاري که هنوز وارد پايگاه داده نشانه هاي ويروسي نشدند ،به وجود مي آورد.

روشهاي شناسايي ويروسها بعضي از آنتي ويروسها از روشهاي ديگر اکتشافي استفاده مي کنند : 1. Instruction Prevention System(IPS) : اين روش متکي بر بستن آسيب پذيرهاي يک سامانه است که در واقع قبل از آنکه يک کد مخرب حمله خودش را آغاز کند، راه ورود و تخريبش را مي بندد. يک فنّاوری خوب عليه هکرها و ويروسها و کرمهاي bodiless . براي ديگر کدهاي مخرب مثل کرمهاي ايميل ، ويروسهاي عادي و تروجان ها موثر نيست.

روشهاي شناسايي ويروسها 2. Behavior Blockers : محدود کننده رفتارها .تقريبا حدود 13 سال پيش به وجود آمدند و مورد توجه قرار نگرفته اند!! اما در سالهاي اخير با پخش شدن سريع کدهاي مخرب اين روش هم رونق پيدا کرده است . اين روش به رفتارهاي مشخص و واضح کرمها و ويروسها توجه ميکند ودر صورت کشف چنين رفتاري اجازه انجام شدن آن را نمي دهد. Prehistoric behavior blockers : در واقع همان behavior blocker هاي قديمي.کار اين نوع که اولين نسل بودند خيلي ساده بود: رفتارهاي اتفاقي را به کاربر هشدار مي داد و به او اختيار انجام يا توقف آن را مي داد.

روشهاي شناسايي ويروسها behavior blockers for vba programs : اين نوع سپر دفاعي هم از کاربر دستور مي گرفت و همين کار را انجام مي داد چون خودش نمي توانست بفهمد چه رفتاري مخرب وچه رفتاري نيست. ولي اين بلوکرها قدرت تشخيص در مخرب بودن را نسبت به نوع اوليه بيشتر داشتند. Second generation behavior blockers : در اين روش که نسل بعدي بلوکرها است، به جاي بلوک کردن تک تک رفتارها ؛ يک رشته از رفتار آناليز و بلوکه مي شود و به اين صورت اخطارهايي که به کاربر داده مي شود به طور چشم گيري کاهش مي يابد. نرخ شناسايي اين روش زياد است . (بيش از %60)

روشهاي شناسايي ويروسها به روز آوری هاي منظم احتياج ندارد. از منابع سامانه به ميزان خيلي کم استفاده مي کند. کاربر را در تصميم گيري براي متوقف ساختن يک کد مخرب درگير مي کند. 3. Policy based security : اين روش هم يکي از روشهاي موثر در جلوگيري از اجراي کد هاي مخرب از طريق تعريف Policy براي منابع به شمار مي رود.شرکت هاي زيادي از اين راهبرد براي جلوگيري از طيف وسيعي از آلودگي ها استفاده مي کنند. يک طراحي خوب مي تواند از حمله هاي بسياري از هکرها وکدهاي مخرب جلوگيري کند.

روشهاي شناسايي ويروسها 4. روش Check Summing: ازمحاسبات رياضي استفاده مي کند تا وضعيت برنامه هاي اجرايي راقبل و بعد از آنکه آنها اجرا شوند مقايسه کند.اگر مجموع (checksum) تغيير نکند، بنابراين سامانه آلوده نشده است.اين روش مي تواند آلودگي را فقط بعد از زماني که ويروس سامانه را آلوده کرده کشف کند. از آنجا که اين فنّاوری منسوخ و کهنه شده و بعضي از ويروسها مي توانند از آن فرار کنند ، امروزه اين روش به ندرت استفاده مي شود. هميشه ترکيبي از چند روش يکي از راهکار هاي اساسي خواهد بود

نرم افزارهاي ضد ويروس چگونه ويروسهاي جديد را به دست مي آورند ؟ 1. رباتهاي مخصوص اين کار ؛ مانند ربات ”سارا “ متعلق به شرکت Symantec . 2. استخدام Virus Researcher ها و يافتن کدهاي مخرب جديد به طور دستي. 3. ارسال کدهاي مخرب جديد توسط کاربران از طريق ايميل يا سامانه هاي تعبيه شده درون نرم افزار. 4. رايانه هايي در سراسر اينتر نت که وظيفه جمع آوري کدهاي مخرب را دارند.اين سامانه ها با ربات هايي که ترافيک را کنترل مي کنند فرق دارند و هميشه در پايين ترين سطح امنيتي و بال ترين شانس آسيب پذيري قرار دارند. 5. اسکنر هايي که کاربرا ن فايلها يشان را براي تشخيص آلودگي به آنها آپلود مي کنند، مانند اسکنرهاي jotti,virus total . 6. تبادل فايلهاي آلوده بين کمپاني هاي ضد ويروس.

منابع 1.www.en.wikipedia.org The free ensyclopedia 2.www.academist.ir 3.www.ircert.com 4.www.developercenter.ir 5.www.grisoft.com 6.www.mehranco.com 7.http://forum.irvirus.com 8.http://forum.p30world.com 9.Encarta Refrence library 2004 The free ensyclopedia 10.کتاب ويروسهاي رايانه اي و بيماري فنّاوری -نويسنده : رالف بورگر - مترجم : امير صادقي

THE END با تشکر از توجه شما