فی دوو

مرجع دانلود فایل ,تحقیق , پروژه , پایان نامه , فایل فلش گوشی

فی دوو

مرجع دانلود فایل ,تحقیق , پروژه , پایان نامه , فایل فلش گوشی

دانلود مقاله تجزیه و تحلیل 4 نرم افزار مخرب (ویروس- تروجان )

اختصاصی از فی دوو دانلود مقاله تجزیه و تحلیل 4 نرم افزار مخرب (ویروس- تروجان ) دانلود با لینک مستقیم و پر سرعت .

 

 

 

فصل یکم- ویروس ها
- 1-1تعریف ویروس
به برنامه‌های رایانه‌ای که به منظور تخریب ویا سوءاستفاده از ساختار یک رایانه نوشته شود،ویروس رایانه‌ای می‌گویند. ویروس رایانه‌ای عبارتی است برای یک برنامه ناخواسته مخرب که می‌تواند روی رایانه‌هامنتشرواجراگردد.
.معمولاًویروس‌هاتوسط برنامه‌نویسان برای مقاصد گوناگون نوشته می‌شوند. اهدافی چون شهرت،انتقام، ایجاد خسارت و یا اهداف اقتصادی می‌توانند باعث ایجاد انگیزه در نوشتن ویروس کامپیوتری شوند. برخی از ویروس‌ها بسیار مخرب هستند و برخی تنها جنبه تبلیغاتی دارند.
علت نامگذاری این برنامه‌ها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروس‌ها در دنیای حقیقی است. ویروس رایانه‌ای را می‌توان برنامه‌ای تعریف نمود که می‌توان خودش را با استفاده از یک میزبان تکثیر نماید. بنابراین تعریف اگر برنامه‌ای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد،نمی‌توان آن را ویروس نامید.
معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند،ویروس‌ها را برنامه‌هایی هوشمندوخطرناک می‌دانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر می‌گردند در حالی که طبق آمار تنها پنج درصد ویروس‌ها دارای آثار تخریبی بوده وبقیه صرفاً تکثیر می‌شوند. بنابراین ویروس‌های رایانه‌ای از جنس برنامه‌های معمولی هستند که توسط ویروس‌نویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک،فایل‌ها و یا کامپیوتر‌های دیگر را آلوده می‌کنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخه‌ای خودش را تولید کرده و به برنامه‌ های دیگر می‌چسباند و به این ترتیب داستان زندگی ویروس آغاز می‌شودوهر یک از برنامه‌ها و یا دیسک‌های حاوی ویروس، پس ازانتقال به کامپیوتر‌های دیگر باعث تکثیر نسخه‌هایی از ویروس وآلوده شدن دیگر فایل‌ها و دیسک‌ها می‌شوند.
بنابراین پس از اندک زمانی در کامپیوتر‌های موجود در یک کشور و یا حتی در سراسر دنیا منتشر می‌شوند.از آنجا که ویروس‌ها به طور مخفیانه عمل می‌کنند، تا زمانی که کشف نشده وامکان پاکسازی آنها فراهم نگردیده باشد، برنامه‌های بسیاری را آلوده می‌کنند و از این رو یافتن سازنده و یا منشأ اصلی ویروس مشکل است.
ویروس‌ها هر روز در اینترنت، بیشتروبیشتر می‌شوند. ولی تعداد شرکت‌های آنتی ویروس ثابت است. پس ما باید برای حفاظت از سیستم خود دست به کار شویم. دراین سلسله مقالات سعی داریم که نحوه مقابله با ویروس‌هاوهمین طور بیوگرافی ویروس‌هاونحوه مقابله با هر ویروس را آموزش بدهیم.
از نظر مردم عادی به برنامه‌ای که در سیستم عامل اختلالات ایجاد کندویروس است ولی باید بدانید که خود ویروس‌ها بنا به کارها و امکاناتی که دارند تقسیم‌بندی می‌شوند.ویروس‌ها مثل سایر برنامه‌ها هستند.کسانیکه ویروس رامی‌نویسندهم ازهمین برنامه‌های عادی برنامه‌نویسی استفاده می‌کند.این برنامه‌ها دقیقاً مثل چاقو می‌ماند که هم می‌شود استفاده درست کرد هم نادرست.
- 2-1تاریخچه ورود ویروس
1949:
Home
برای اولین بار تئوری برنامه‌هایی که خودشان را جایگزین می‌نمایند مطرح گردید.
1981: ویروس‌های Apple 1 , Apple 2 , Apple 3 از اولین ویروس‌هایی بودند که پا به عرصه عمومی نهادند.این ویروس‌ها توسط کمپانی Texas A & M برای جلوگیری از کپی‌های غیر مجاز بازی‌های کامپیوتری نوشته و سپس شایع شدند. این ویروس‌ها ویژه سیستم عامل Apple II بودند.
1983: فرد کوهن (Fred Cohen) زمانی که روی رساله دکترایش کار می‌کرد، رسماً یک ویروس کامپیوتری را چنین تعریف نمود: «یک برنامه کامپیوتری که می‌تواند روی سایر برنامه‌های کامپیوتری از طریق تغییر دادن آنها به روشی (شاید) مانند کپی کردن خودش روی آنها، تأثیر بگذارد».
1986: دو برادر برنامه‌نویس پاکستانی به نام‌های «بسیط» و «امجد» کد قابل اجرای موجود در بوت سکتور یک فلاپی دیسک را با خودشان (که برای آلوده نمودن فلاپی دیسک‌های 360KB نوشته بودند) جایگزین کردند. تمام فلاپی‌های آلوده دارای برچسب «Brain» بودند.بنابراین، این ویروس «Brain» یا «مغز پاکستانی» نام گرفت. همزمان در کشور اتریش برنامه‌نویسی به نام رالف برگر «Ralf Burger» دریافت که یک برنامه می‌تواند از طریق چسباندن خودش به انتهای یک برنامه دیگر تکثیر شود،او با استفاده از این ایده برنامه‌ای به نام Virdem نوشت که پدیده فوق را شبیه‌سازی می‌نمود. پس از آن برگر Virdem را در کنفرانسی به همه معرفی نمود. برگر همچنین کتابی درباره ویروس‌های کامپیوتری نوشت ودرآن سورس ویروس به نام Vienna را چاپ کرد که این مسأله بعداً باعث سوءاستفاده بسیاری از افراد گردید.
1987: یک برنامه‌نویس آلمانی ویروسی به نام Cascade نوشت.این ویروس، اولین ویروسی بود که روش رمز کردن (Encryption) را به کار می‌برد. در این روش بیشتر کد ویروس به غیر از چند بایت از آن به صورت رمز شده در می‌آید و از آن چند بایت بعداً برای رمزگشایی بقیه کد ویروس استفاده می‌شود. در این صورت تشخیص ویروس برای آنتی ویروس‌ها بسیار مشکل‌تر می‌باشد و دیگر رشته تشخیص ویروس (که در آنتی ویروس‌ها به کار می‌رود) به چند بایت محدود نمی‌شود.
بعدها برنامه‌نویسی به نام مارک واشبرن «Mark Washburn» با استفاده از این ایده و سورس ویروس Vienna اولین ویروس هزار چهره (Polymorphic) به نام «1260» را نوشت.
1988: ویروس Jerusalem منتشر شدوبه یکی از شایع‌ترین ویروس‌ها تبدیل گشت.این ویروس درروزهای جمعه‌ای که مصادف با سیزدهم هر ماه بودند فعال می‌شدوضمن آلوده نمودن فایل‌های Com , Exe، هر برنامه‌ای که در آن روز اجرا می‌شد را نیز پاک می‌نمود.
1989: در ماه مارچ مهم‌ترین موضوع ویروسی، خبری بود که حکایت از فعال شدن ویروسی به نام Datacrime در ماه آوریل داشت.اما پس از بررسی سورس کد ویروس معلوم شد که این ویروس در هر تاریخی پس از روز سیزدهم اکتبر فعال شده واقدام به فرمت کردن سیلندر صفر هارد دیسک می‌نماید. بدین ترتیب کاربران تمامی محتوای هارد دیسک‌شان را از دست می‌دهند. ویروس Datacrime به احتمال زیاد در کشور هلند نوشته شده بود ولی آمریکایی‌ها اسم آن را ویروس Columbus Day گذاشتندواعتقاد داشتند که توسط تروریست‌های نروژی نوشته شده است. در این سال این ویروس علیرغم سر و صدای زیادش، خسارت‌های چندانی به بار نیاورد. در این سال همچنین ویروس‌نویسان بلغاری و روسی وارد عرصه ویروس‌نویسی شدند.
1990: مارک واشبرن «Mark Washburn» ابتدا ویروس هزار چهره 1260 و سپس بر همان اساس ویروس‌های V2P1 , V2P2 V2P6 را نوشت وسورس کد آنها را منتشر نمود، هر چند که بعداً ویروس‌نویسان این کدها را به کار نبردند و حتی این ویروس‌ها خطر چندانی هم نداشتند ولی ایده موجود در آنها الهام‌بخش بسیاری از ویروس‌نویسان شد.
از طرف دیگر در بلغارستان ویروس‌نویس ماهری با نام مستعار Dark Avenger چند ویروس خطرناک به نام‌های DarkAvernger- 1800 , Number of the Beast , Nomenklaturaرانوشت. ویروس‌های وی دارای دو ویژگی مهم«آلوده‌سازی سریع» و «صدمه زدن زیرکانه» بودند. Dark Avenger به صورت فعالانه‌ای از طریق آلوده نمودن برنامه‌های Shareware وارسال آنهااقدام به پخش ویروس‌هایش نیز می‌نمود. همچنین در این سال کمپانی Symantec نیز آنتی ویروس Norton را به بازار عرضه نمود.
1991: سر و کله ویروس Tequila از کشور سوئیس پیدا شد. این ویروس، ویروس هزار چهره کامل‌تری بود که پا به عرصه عمومی گذاشت و بسیار شایع شد. پس از آن نوبت انتشار ویروس هزار چهره دیگری به نام Amoeba از کشور مالت رسید. تشخیص ویروس‌های هزارچهره به دلیل اینکه پس از هر بار آلوده‌سازی ظاهرشان را تغییر می‌دهند، برای اسکنرهای ویروس بسیار سخت‌تر می‌باشد.
Dark Avenger هم درانتهای این سال موتور خود تغییر دهنده «MtE» را ابداع کرد که می‌توانست چهار میلیارد شکل مختلف به خود بگیرد و با پیوند زدن آن به هر ویروسی، یک ویروس کاملاً چند شکلی پدید می‌آمد. وی سپس با استفاده از MtE ویروس‌های Dedicated , Commander Bomber را به دو سبک کاملاً متفاوت نوشت.
1992: تعداد ویروس‌ها به هزار و سیصد عدد رسید که در مقایسه با ماه دسامبر سال 1990 چهارصد و بیست درصد افزایش یافته بود. همچنین در این سال پیش‌بینی شد که خطر ناشی از انتشار ویروس «میکلآنژ» پنج میلیون کامپیوتر را تهدید به نابودی خواهد کرد، که البته این رقم در عمل به بیش از ده هزار تا نرسید. علاوه بر اینها ویروس هزار چهره جدیدی با نام Starship پا به میدان نهاد، نرم‌افزارهای تولید ویروس توسط دو ویروس‌نویس با نام‌های مستعار Nowhere Man , Dark Angel نوشته شدندودرانگلستان نیز گروه ویروس‌نویسی ARCV تأسیس شد.
1993-1994: گروه ویروس‌نویسی جدیدی به نام Tridend در کشور هلند فعالیت خود را آغاز نمود و موتور جدیدی به نام TPE را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ویروس‌های، Girafe Cruncher، Bosnia را نوشتند. در آمریکا هم Dark Angel به کمک موتور ابداعی‌اش موسوم به DAME ویروس Trigger را نوشت.
1995: Concept اولین ویروس ماکرو، نوشته شد. این ویروس اسناد نرم‌افزار Microsoft Word را مورد حمله قرار می‌داد.
1996: در استرالیا گروهی از ویروس‌نویسان به نام VLAD اولین ویروس ویژه سیستم عامل ویندوز موسوم به Bonz و همچنین اولین ویروس سیستم عامل لینوکس موسوم به Staog را نوشتند. علاوه بر اینها اولین ویروس ماکروی نرم‌افزار Microsoft Excel به نام Laroux نیز در این سال نوشته شد.
ویروس Strange Brew، اولین ویروسی که فایل‌های جاوا را آلوده می‌کرد، نوشته شد. این ویروس با کپی کردن خودش در میان کد فایل‌های Class و عوض نمودن نقطه شروع اجرای این فایل‌ها با نقطه شروع کد ویروسی اقدام به تغییر دادن فایل‌های Class می‌نمود. همچنین Back Orifice اولین اسب تراوایی که امکان دسترسی از راه دور به سایر سیستم‌ها را در اینترنت فراهم می‌نمود، نوشته شد و کم‌کم مقدمات ظهور ویروس‌های ماکروی نرم‌افزار Microsoft Access نیز فراهم می‌گردید.
1999: ویروس «ملیسا» از طریق اجرا نمودن ماکرویی که در اسناد ضمیمه شده به نامه‌های الکترونیکی موجود بود، صدمه زدن به سیستم‌ها را آغاز نمود. این ویروس همچنین برای گسترش خود از دفترچه آدرس نرم‌افزار Outlook استفاده می‌کرد و ضمیمه‌های آلوده را برای 50 نفر دیگر ارسال می‌نمود. ویروس «ملیسا» سریع‌تر از تمامی ویروس‌های قبلی منتشر گردید. در این سال همچنین ویروس Corner اولین ویروسی که می‌توانست فایل‌های برنامه MS Project را آلوده سازد، نیز نوشته شد. علاوه براین، نوآوری‌های دیگری هم در دنیای ویروس‌نویسان صورت گرفت که از بین آنها می‌توان به نوشته شدن ویروس Tristate که اولین ویروس ماکروی چند برنامه‌ای بود و می‌توانست فایل‌های سه برنامه از برنامه‌های مایکروسافت (ورد، اکسل و پاور پوینت) را آلوده کند و همچنین نوشته شدن کرم Bubbleboy اشاره نمود.
این کرم هم اولین کرمی بود که وقتی کاربر نامه ساده و بدون ضمیمه‌ای را در نرم‌افزار Outlook Express باز و یا آن را پری‌ویو می‌نمود، فعال می‌گردید. حتی بدون اینکه ضمیمه‌ای به همراه نامه باشد، این کرم برای اثبات یک روش جدید نوشته شده بود و بعداً ویروس Kak از این روش بهره گرفت و به صورت گسترده‌ای شایع شد.
2000: ویروس I Love You درست مانند ویروس «ملیسا» به وسیله نرم‌افزار Outlook در سراسر دنیا پخش گردید. اما این ویروس از نوع اسکریپت ویژوال بیسیک بود که به صورت ضمیمه نامه الکترونیکی ارسال می‌شد. ویروس I Love You فایل‌های کاربر را پاک می‌کرد و حتی به برخی از فایل‌های تصویری و موسیقی نیز رحم نمی‌کرد. علاوه بر این، ویروس اسم کاربر و رمز عبور وی را می‌دزدید و برای نویسنده‌اش می‌فرستاد.
در این سال همچنین ویروس‌های Resume (که شبیه ویروس «ملیسا» بود) و Stages (که از روش پسوند دروغین بهره می‌گرفت) نیز ظهور کردند. در ماه ژوئن این سال و در کشور اسپانیا کرم Timofonica از نوع اسکریپت ویژوال بیسیک اولین حمله به سیستم‌های مخابراتی را آغاز نمود و در ماه نوامبر نیز اولین ویروس نوشته شده به زبان PHP ظاهر شد، این ویروس که Pirus نام گرفت، خودش را به فایل‌های PHP , HTML اضافه می‌نمود.
2001: ویروس Anna Kournikova در پوشش تصویر ستاره تنیس، «آنا کورنیکووا» و با روش انتشاری مشابه ویروس‌های «ملیسا» و «I love You» ظاهر شد. در ماه می این سال هم ویروس Home Page به حدود ده هزار نفر از کاربران نرم‌افزار Outlook آسیب رساند. در ماه جولای و آگوست نیز کرمهای CodeRed I ، Code Red II به شبکه‌های کامپیوتری حمله نمودند.
تعداد کامپیوترهای آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سیستم‌ها بالغ بر دو میلیارد دلار برآورد گردید.
حادثه مهم دیگری که در این سال به وقوع پیوست، نوشته شدن ویروس Winux یا Lindose در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابلیت آلوده‌سازی هر دو سیستم عامل ویندوز و لینوکس را با هم داشت.
در این سال همچنین ویروس LogoLogic-A و ویروس PeachyPDF-A (اولین ویروسی که برای پخش شدن از نرم‌افزار کمپانی Adobe ویژه فایل‌های PDF استفاده می‌کرد) نیز پا به عرصه حیات گذاشتند. ولی بدون شک اهمیت هیچ یک از این ویروس‌ها به اندازه کرم Nimda نبود، این کرم که در ماه سپتامبر ظاهر شد، از تکنیک‌های برتر سایر ویروس‌های مهم به صورت همزمان استفاده می‌نمود. بنابراین توانست تا بسیار سریع گسترش یابد.
از ویروس‌های خطرناک و خبرساز دیگر این سال نیز می‌توان به ویروس‌های Sircam , BanTrans اشاره کرد.
2002: ابتدا در ماه ژانویه شاهد ظهور اولین ویروس آلوده کننده فایل‌های با پسوند SWF بودیم که LFM-926 نام داشت. این ویروس یک اسکریپت دیباگ (که می‌توانست یک فایل COM ساخته و به وسیله آن سایر فایل‌های با پسوند SWF را آلوده نماید) رها می‌کرد. پس از آن کرم Donut به عنوان اولین کرمی که به سرویس‌های NET. توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولین کرمی که مختص سرویس‌های NET. بود وارد عرصه شد. این کرم توسط یک دختر جوان بلژیکی با نام مستعار Gigabite و به زبانC# نوشته شد. در ماه می این سال نیز Benjamin ظاهر شد. این ویروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده می‌نمود.
در ماه ژوئن ویروس Perrun برای اثبات فرضیه «امکان آلوده‌سازی فایل‌های تصویری با پسوند JPEG توسط ویروس‌ها»، نوشته شد که این مسأله تا قبل از این غیر ممکن می‌نمود. در این ماه کرم Scalper که وب سرورهای Apache را مورد حمله قرار می‌داد و از آنها برای طغیان شبکه سوء استفاده می‌کرد نیز شناسایی گردید.

-3-1 انواع ویروس
انواع ویروس های رایج را می توان به دسته های زیر تقسیم بندی نمود:
-1-3-1سکتور بوت (boot sector)
سکتور بوت اولین سکتور بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام میشود. با توجه به اینکه در هر بار روشن شدن و بارگذاری، سکتور بوت مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکر بندی کامپیوتر محتوای سکتور بوت هم مجدداً نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.
ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. این ویروس هااز طریق فلاپی هایی که قطاع بوت الوده دارند انتشار می یابند. در صورت آلوده شدن سکتور بوت دیسک سخت کامپیوتر توسط ویروس، هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپیها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. اینگونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانیکه دستگاه آلوده است امکان بوت کردن کامپیوتر از روی دیسک سخت وجود نداشته باشد.
این ویروس ها بعد از نوشتن بر روی متن اصلی بوت سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب علامت گذاری می کند. هنگامی که شما در مرتبه بعدی دستگاه راروشن می کنید، سکتور بوت آلوده شده، مورد استفاده سخت افزار قرار خواهد گرفت و بنابراین ویروس فعال خواهد شد.
پس در صورتیکه کاربر دستگاه را به وسیله یک دیسکت آلوده، (معمولاً دیسک های نرمی که سکتور بوت آلوده دارند) راه اندازی کند، در نهایت دستگاه آلوده به ویروس خواهد شد.

 

- 2-3-1ویروس های ماکرو (کلان دستور)
ویروس های macro از مزایای برنامه نویسی macro سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده و به صورت خودکار اجرا می شوند. این نوع ویروس ها مستقیماً برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Excel یا Wordاستفاده می کنند. در حقیقت ویروس های macro یک برنامه ماکرو است که می تواند از خود کپی ساخته و از فایلی به فایل دیگر گسترش پیدا کند. ویروس های macro از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های الکترونیکی قابل گسترش می باشد.
- 3-3-1ویروس های چند ریخت
این ویروس ها درهر فایل آلوده به شکلی ظاهر می شوند. با توجه به اینکه از الگوریتم های کد گذاری استفاده کرده وردپای خود را پاک می کنند، آشکارسازی و تشخیص اینگونه ویروس ها دشوار است.
-4-3-1ویروس های مخفی
این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضد ویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضد ویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضد ویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد. این ویروس ها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام می دهند.

- 5-3-1ویروس های چند بخشی
رایج ترین انواع این ویروس ها ترکیبی از ویروس های سکتور بوت و ویروس های انگلی می باشند. ترکیب انواع دیگر ویروس ها هم امکان پذیر است.
-6-3-1ویروس های مبتنی بر پست الکترونیکی
ویروس هایی از این نوع از طریق پیام های پست الکترونیکی منتقل می گردند. این نوع ویروس ها بصورت خودکار برای افراد متعدد، پست خواهند شد. گزینش افراد برای ارسال نامه الکترونیکی بر اساس دفترچه آدرس پست الکترونیکی، انجام می گیرد.
در حقیقت آخرین اطلاعات موجود در رابطه با ویروس های کامپیوتری به ویروس های پست الکترونیکی اشاره دارد و در حال حاضر پست الکترونیک بزرگترین منشاه ویروس ها می باشد.
-7-3-1ویروس های دوزیست
اینگونه ویروس ها، ویروس هایی هستند که در دو محیط مختلف از نظر نوع سیستم عامل قادر به زیست و آلوده سازی می باشند. این نوع از ویروس ها در سیستم عامل های معروفی چون ویندوز و خانواده لینوکس بیشتر دیده شده اند و براحتی قادر به مهاجرت از سیستم عامل ویندوز به لینوکس و بلعکس می باشند. نگارندگان ویروسهای کامپیوتری تاکنون نمونه های مختلفی از این کدهای مخرب را که می تواند هر دو سیستم عامل ویندوز و لینوکس را مبتلا سازند، به صورت محدود و کنترل شده منتشر کرده اند.

- 4-1سایر نرم افزار های مخرب
برخی از محققین کرم ها، اسب های تروا ( Trojan Horse )، Spyware ها، Trapdoor ها، Backdoor ها، باکتری ها، Zombie، Rootkit و بمب های منطقی را در دسته ویروس ها قرار نمی دهند ولی واقعیت این است که این برنامه ها هم بسیار خطرناک بوده و می توانند خساراتی جدی به سیستم های کامپیوتری وارد نمایند .
- 1-4-1کرم ها
اولین و مشهورترین ویروس یک Worm می‌باشد که به طور تصادفی در 2 نوامبر 1988 وارد شبکه گردید. طبق ادعای طراح آن هدف از این کار تنها اثبات کردن ضعف سیستم امنیتی کامپیوتر‌ها بوده است. اینترنت در سال 1988 دوران کودکی خود را طی می‌کردو تنها در اختیار معدودی از دانشگاه‌ها، مؤسسات تحقیقاتی دولتی مانند NASA و آزمایشگاه‌های بین‌المللی مانند Los Alamos بود. با وجود اینترنت بسیار محدود آن زمان خبر از کار افتادن این مغزهای کامپیوتر‌ی در MIT , Berkeley و... تمام مردم را شوکه کرد. تنها در مذت چند ساعت بیش از 3000 کامپیوتر در مهم‌ترین مراکز آمریکا از کار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار برآورد گردید.
Wormها زیر مجموعه‌ای از ویروس‌های کامپیوتری می‌باشند که برخلاف دیگر ویروس‌ها از جمله Melissa که خود را به صورت E-Mailبرای کاربران اینترنتی می‌فرستد. سیستم کامپیوتر را سوراخ کرده و به طرف مغز کامپیوتر پیش می‌روند. یکی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده به طوری که قابل ردگیری نمی‌باشند. این Worm‌ها مانند ویروس‌هایی می‌باشند که خود را در اعصاب ستون فقرات پنهان کرده و گاه و بی‌گاه دردهای شدیدی را تولید می‌کنند و اما Worm‌های مفید: در میان انواع Worm‌ها کرم‌های مفیدی نیز طی سالیان متمادی به منظور چک کردن کارآیی سیستم و... مورد استفاده قرار گرفته‌اند.
این Worm‌ها Agent نامیده شده و درون شبکه حرکت کرده اطلاعات منابع مورد استفاده و... را چک و اطلاعاتی در مورد کارکرد شبکه یا حتی محلی را که می‌ توان ارزان‌ترین DVD را خریداری نمود به کاربر اعلام می‌دارند. از تفاوت‌های بارز میان Agent و Worm می‌توان به این مورد اشاره کرد که Agent برخلاف Worm خود را تکثیر نکرده و درون سیستم‌های کاربران نفوذ نمی‌کند.
-1-1-4-1تاریخچه اولین کرم
این Worm که توسط Robert Tappan Morris طراحی شده به RTM مشهور گردید. Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامه‌نویسی کامپیوتر روی آورد. بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امکانات کامپیوتری واینترنتی دانشگاه بهره‌مند شد. وی در اکتبر سال 1988 برنامه‌ای را به منظور پی بردن به نقاط ضعف سیستم‌های اینترنتی و امنیتی کامپیوتر طراحی کرد. نحوه کار این برنامه بدین ترتیب بود که پس از رها شدن آن در اینترنت سریعاًوبدون جلب هیچ گونه توجهی پخش می‌گشت (طبق اظهارات وکیل مدافع موریس).
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق کامپیوتر‌های دانشگاه MIT وارد شبکه کرد. یکی از خصوصیات این ویروس اضافه کردن یک شمارنده به برنامه بود. بدین ترتیب در صورتی که این برنامه حداکثر تا 6 بار یک کپی از خود را در کامپیوتر پیدا می‌کرد، تکثیر نشده ودر هفتمین بار این برنامه پس از تکثیر و نفوذ به کامپیوتر آن را مورد هجوم قرار می‌داد. این برنامه ضمیمه یک اشتباه بسیار مهلک بود!! کامپیوتر‌هایی که در سال 1988 به اینترنت متصل می‌شدند به طور میانگین هر 10 روز یک بار خاموش شده ودوباره راه‌اندازی می‌گشتند. از آنجا که برنامه موریس در کامپیوتر ذخیره نمی‌شد، این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن کامپیوتر برنامه به طور خودکار از میان برود.
با این حال از آنجایی که تمام کامپیوتر‌های متصل به اینترنت به طور همزمان خاموش نمی‌شدند این Worm‌ها می‌توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm‌ها همواره دارای یک تعادل بوده و مشکل خاصی را در کامپیوتر سبب نمی‌شدند. و اما ایراد برنامه موریس دراین بود که این Worm بسیار سریع‌تر از انتظار موریس تکثیر می‌یافت در کمتر از چند ساعت بعد از آزادسازی آن هزاران کامپیوتر در مراکز حساس از کار افتاده و دچار سکته شدند. پنج روز بعداز ازادسازی Wormدر6نوامبرهمه چیز به حالت عادی خود برگشت در 12نوامبر سرانجام E-mailهایی که موریس در آنها طرز خنثی کردن Worm را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی‌سازی Worm آگاهی یافتند.
2-4-1اسبهای تروا (Trojan Horse )
اسب های تروا تظاهر می کنند که کاری خاص را انجام میدهند ولی در عمل برای هدف دیگری ساخته شده اند. به عنوان مثال برنامه ای که وانمود می کند که یک بازی است ولی در واقع اجازه دسترسی از راه دور یک کاربر به کامپیوتر را فراهم می آورد. برنامه های فوق بر خلاف ادعای خود نه تنها عملیات مثبتی را انجام نخواهند داد بلکه باعث بروز آسیب های جدی پس از فراهم نمودن شرایط اجرا می باشند. (بطور مثال ممکن است اطلاعات موجود بر روی هارد دیسک را حذف نمایند). اسب های تروا دارای روشی برای تکثیر خود نمی باشند. اینگونه نرم افزارها اکثرا برای انتشار ویروس یا کرم و یا ایجاد یک Backdoor (در پشتی) بکار می روند. به اینگونه نرم افزارها RAT نیز گفته می شود.
-3-4-1جاسوس افزارها(Spyware)
نرم افزار جاسوسی هر نوع فناوری یا برنامه روی کامپیوتر شماست که اطلاعات را بطور پنهانی جمع آوری میکند. Spyware یک نام کلی برای برنامه هایی است که رفتارهای مشخص انجام می دهند مثل نمایش آگهی های تبلیغاتی، جمع آوری اطلاعات شخصی یا تغییر تنظیمات کامپیوتر شما که معمولا بدون کسب مجوز اجرا می شوند.
در حقیقت جاسوس افزار، نرم افزاری است که اقدام به جمع آوری اطلاعات شخصی بدون آگاهی و یا اجازه کاربران می نماید. اطلاعات جمع آوری شده می توان شامل لیست سایت های مشاهده شده توسط کاربر و یا اطلاعات بمراتب حساس تری نظیر نام و رمز عبور باشد.

-4-4-1درهای پشتی (Backdoor)
برنامه ای است که به یک نفوذگر این امکان را می دهد تا پروسه امنیتی یک سیستم را دور زده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگر قرار دهد. به عبارت دیگر در پشتی راهی ساده و فرعی برای ورود مجدد یه سیستم بدون پیش نیازهای امنیتی میباشد.
Backdoor حضور بلند مدت نفوذگر را بر روی سیستم هدف تضمین می کند.
- 5-4-1باکتری ها (Bacteries )
اینگونه از نرم افراز های مخرب کاری بجز تکثیر خود بصورت نمایی انجام نمی دهند ولی همین عمل می تواند منجر به درگیر شدن همه منابع سیستم (پردازنده، حافظه و فضای دیسک سخت) تا سر حد مرگ شود.
Zombie -6-4-1
نرم افزار های معروف به Zombie در قالب برنامه های رایگان، زیبا و جذاب ولی آلوده در سراسر شبکه اینترنت توزیع می شوند بخشی از کاربران آماتور که آگاهی خاصی از این موضوع ندارند، با اجرای این برنامه ها، ارسال بخشی از بسته های بمباران کننده مثل SYN-Flood را بر عهده می گیرند و بدین نحو بدون اطلاع، با اهداف شوم نفوذگر همسو می شوند.
Rootkits -7-4-1
یک Rootkits، شامل مجموع ای از برنامه هایی است که نفوذگر جهت گریز از کشف و ردیابی در هنگام دسترسی غیر مجاز به کامپیوتر هدف از انها استفاده می کند. Rootkits، عملیاتی کلی مانند جابجایی فایل های اصلی و کتابخانه ای یا نصب ماژول هسته سیستم عامل را انجام می دهد. نفوذگر ابزارRootkit را پس از دسترسی به سیستم هدف در سطح یک کاربر مدیر، بر روی سیستم نصب می کند. این دسترسی می تواند از طریق درهم شکستن کلمه عبور و یا بهره گیری از نقاط آسیب پذیر سیستم صورت گیرد. در ادامه نفوذگر اقدام به جمع آوری User ID های سیستم هدف از طریق ابزار Rootkit می نماید تا به حساب کاربری اصلی مانند حساب کاربری Root یا Administrator دست یابد.
-8-4-1بمب های منطقی
بمب های منطقی برنامه هایی هستند که در زمان هایی از قبل تعیین شده؛ مثلا یک روز خاص؛ اعمالی غیر منتظره انجام می دهند. این برنامه ها فایل های دیگررا آلوده نکرده و خود را گسترش نمی دهند در حقیقت بمب های منطقی یکی از قدیمی ترین انواع نرم افزارهای مخرب محسوب می شوند. این نرم افزار ها شامل یک قطعه کد پنهانی بوده که در داخل یک برنامه مجاز گنجانیده شده است و همانطور که گفته شد این قطعه کد به شرط خاصی فعال می شود و آن می تواند وجود یا عدم وجود فایل خاصی، تاریخ / ساعت مشخصی و یا کاربر خاصی باشد که در صورت فعال شدن معمولا همراه با انجام عملیات تخریبی می باشد. ( مانند تغییر یا حذف فایل ها )
-5-1عملکرد ویروس ها
ویروس ها علاوه بر کار اصلی خود، کارهای فرعی دیگری که در اکثر اوقات از آنها برای جلب توجه کاربر استفاده می شود ( و به این قسمت از برنامه ویروس اکثرا Playload گفته می شود)انجام می دهند در قسمت زیر بعضی از اینگونه فعالیت ها آورده شده است:
-1-5-1پیغام ها
گاهی ویروس ها اقدام به ارسال و نمایش پیغامهای معنی دار و بی معنی به مخاطب خود می کنند که اصولا این پیغام ها اهداف و جهت های خاصی را دنبال می کنند. برای مثال ویروس WM98/jerk اقدام به نمایش پیغام های توهین آمیز به کاربر و قربانی خود می کند.
-2-5-1 شوخی ها
اکثر ویروس ها موضوعی مانند شوخی را سرلوحه کار خود قرار می دهند و در کنار کار اصلی خود قصد شوخی کردن با کاربر خود را نیز دارند. برای مثال ویروس Yankee در ساعت 5 بعد ازظهر اقدام به نمایش و اجرا یک برنامه طنز خاص می نماید.
-3-5-1غیر فعال کردن دسترسی ها
این اقدام از مهمترین و اصلی ترین اقدامات یک ویروس بشمار می آید. البته ویروس هایی هم گزارش شده اند که به هیچ وجه از اقدامات عدم دسترسی در جهت پیش برد اهدافشان استفاده نمی کنند. اما این اقدام می تواند یکی از استانداردترین اهداف یک ویروس بشمار آید. به عنوان مثال ویروس WM97/NightShade در جمعه هایی با تاریخ 13 هر ماه متن های باز شده در دستگاه را توسط کلمه رمزی غیر قابل دسترسی می کند.
- 4-5-1سرقت اطلاعات
سرقت اطلاعات می تواند هدف اصلی یک ویروس سارق به حساب آید. البته نرم افزار های مخربی نیز وجود دارند که در کنار کارهای دیگر خود بر اساس شرایط خاصی مانند تاریخ و ساعت اقدام به سرقت از نوع مالی و اطلاعات می کنند. به عنوان مثال یک نوع اسب تروای LoveLet-A اطلاعات مربوط به کاربر و دستگاه او را به آدرسی در فیلیپین ارسال می کند.
- 5-5-1تخریب اطلاعات
ویروس ها عموما عمل تخریب اطلاعات را به خوبی انجام میدهند و یکی از مهمترین کارهای انها به حساب می آید. البته نوع و اندازه تخریب به نوع ویروس و هدف آن نیز بستگی دارد و عملکرد همه یکسان نمی باشد. بطور مثال ویروس XM/Compatable تغییراتی در اطلاعات صفحه های طراحی شده توسط برنامه Excel بوجود می آورد.
- 6-5-1پاک سازی اطلاعات
عملیات پاک سازی در سطح های مختلف بر روی اطلاعات موجود انجام می شود و ویروسهایی در این زمینه گزارش شده اند که تنها اطلاعات خاص را پاک نموده و برخی تمامی اطلاعات را پاک سازی می کنند.به طور مثال ویروس Michelangelo در روز 6 ماه مارس قسمتی از اطلاعات بر روی دیسک سخت را بازنویسی کرده و از بین می برد.

-7-5-1عدم دسترسی به سخت افزار
نوعی از ویروس ها فوق العاده خطرناک نیز در مجموعه ویروس ها وجود دارند که اقدامات جبران ناپذیری را در زمینه سخت افزار یک سیستم کامپیوتری انجام می دهند. اینگونه ویروس ها در برخی موارد اقدام به سوزاندن قطعات کامپیوتری کرده و در موارد معمولی تخریب اطلاعات برنامه ریزی شده بر روی دستگاه های سخت افزاری را به همراه خواهند داشت. اکثر ویروس هایی که بدین فرم عمل می کنند بر اساس زمان و تاریخ خاصی اقدام به انجام اینگونه تخریب ها می کنند. بطور مثال ویروس CIH یا ( W95/CIH-10xx ) Chernobyl، در روز 26 ماه آوریل اطلاعات بر روی بایوس را بازنویسی کرده و آنها را از بین می برد. بااین کار دستگاه غیر قابل استفاده خواهد شد.
- 6-1راه‌های ویروسی شدن
راه‌های مختلفی برای ورود ویروس‌ها به رایانه شما وجود دارد.مانند فلاپی دیسک‌ها،لوح‌های فشرده،مشاهده وب گاه،دریافت نامه‌های آلوده،اجرای فایل‌های دریافت شده از اینترنت و غیره.بنابراین لازم است که تمامی این موارد به هنگام استفاده مورد کنترل یک نرم‌افزار ضد ویروس قرار گیرد. به بیان دیگر هنگامی که می‌خواهید برنامه‌ای را از روی یک لوح فشرده اجرا کنید و یا نامه‌ای را باز کنید،باید آنها را توسط یک نرم‌افزار ضد ویروس وارسی کنید.
فراموش نکنید که شما همواره مراقب منزل خود هستید و دقت می‌کنید که در منزل و پنجره‌ها هنگام شب یا هنگامی که در منزل نیستید، باز نباشند. به همین ترتیب باید همواره وضعیت قسمت‌های مختلف کامپیوتر خود را کنترل کنید. این که اندازه‌های فایل‌های شما عادی باشد یا نه،این که مثلاً فایل جدیدی به کامپیوتر شما اضافه نشده باشد و بسیاری موارد دیگر که به تدریج می‌توانید آنها را یاد بگیرید.اما یک نرم‌افزار ضد ویروس به سادگی می‌تواند هر موقع که شما اراده کنید تمام سیستم شما را کنترل کند و شما را از عدم وجود ویروس در کامپیوتر مطمئن سازد.

 


فصل دوم-آنالیزویروس ملیسا
2-1-ویروس ملیسا یک خطر جدید
ویروس ملیسا که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود لرزه بر پشت صنعت کامپیوتر انداخت.نگرانی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یابد و وقتی ایمیل باز میشودویروس به افراد کتابچه آدرس قربانی فرستاده می شود.این بدان معنی است که ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.همچنین ملیسا اسناد حساس را نیز میتواند برای افرادیکه در کتابچه آدرس هستند بدون اینکه کاربرمتوجه شود بفرستد.الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلی آلوده به نظر برسد از طرف فردی آمده است که دریافت کننده وی را می شناسد.
ملیسا امتیاز تهدید امنیتی بالقوه ایجاد شده توسط زبان های ماکرورانیز دارد. در این مورد ابزار برنامه نویسی برای برنامه های کاربردی مایکروسافت (VBA ) به برنامه های کاربران امکان اجرا در اسناد رامی دهد. در مورد ملیسا محقق عاملیت بد خیم را در سند استفاده شده به عنوان یک ضمیمه ایمیلی برنامه ریزی کرده است.به این دلیل ویروس ملیسا معرف یک توسعه جدید و بزرگ در تکنولوزی ویروس است.
ویروس های مشابهی می توانند بسیار بد خیم تر از ملیسا باشند این را JEFF Carpenterرهبر تیم پاسخگویی به حوادث در تیم پاسخگویی به موارد اضطراری کامپیوتری در دانشگاه Carnegie mellon میگوید.این می تواند انشعابات شدیدی داشته باشد چون بسیاری از سازمان ها وابسته به ایمیل برای وظائف خود هستند.بدتر از همه این نوع مشکل اجرای فعالیت های اینترنتی را بر هم زده و باعث دهها بیلیون دلار خسارت میگردد.این را MIChael A.vatis مدیر مرکز حفاظت زیر ساخت های ملی (NIPC)می گوید.
2-2-اثرات مخرب ویروس ملیسا
ملیسا در 26مارس جمعه شروع بکار کرد.
اثرات ملیسا
کاربران پیام های ایمیل را با موارد زیر دریافت کردند:
_ یک خط موضوعی که به دنبال نام قربانی قبلی که نام دریافت کننده را در کتابچه آدرس ایمیل دارد و احتمالا وی را می شناسد مطلب زیررا می خواند((یک پیام مهم از...))
یک پیام متنی که می گوید:((این سندی است که شما می خواهید ...آن رابه کس دیگری نشان ندهید))
_یک ضمیمه به نام List.doc با لیست دارای نامهای کاربران وپسوردهای انها در سایت های وب مستهجن که از یک گروه خبری alt.sexگرفته شده است.
چون این پیام بنظر از طرف یک آشنا آمده است دریافت کننده راتشویق به بازکردن ضمیمه میکند.
اگر قربانی از ایمیلOutlook مایکروسافت وWord 97 یا2000Word استفاده کرده باشد دستورالعمل های مایکروویروس پیام وضمیمه آلوده را به 50 تماس در هر کتابچه آدرس ایمیل قربانی می فرستد. چون یک تماس می تواند معرف یک گروه از افراد باشد نه فقط یک فرد این ویروس میتواند به بیش از 50 دریافت کننده در یک لحظه فرستاده شود.این ویروس نرم افزار word را الوده و در ادامه تمام سندهای فعال شده Word را نیز الوده وبه این ترتیب امکان توزیع وگسترش ان فراهم میگرددو همچنین این ویروس باعث بروز تغییرات در تنظیمات سیستم بمنظور تسهیل در ماموریت خود میگردد.ملیسا الگوی normal.dotدرwordرا آلوده میکند که عموما برای ایجاد اسناد استفاده می شود.اسناد جدیدسپس با ملیسا آلوده می شوند.اگر کاربر اسناد آلوده را به صورت ضمیمه ایمیل کند دریافت کننده با outlookمایکروسافت، ویروس را با باز کردن ضمیمه فعال می کند بنابراین کپی هایی از آن اسناد آلوده به اولین 50تماس خود در کتابچه آدرسشان را ارسال می کنند.اگر این سند دارای محتویات حساس باشد باعث ایجاد مشکلات امنیتی خواهد شد.
در صورتیکه کلید رجیستری زیر در کامپیوتری وجودداشته باشد،نشاندهنده آلودگی سیستم به ویروس Melissa است.مقدار رجیستری فوق”by kwyjibo….” است.
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa
با انتشار ملیساسریعااین ویروس شروع به گسترش و بستن سرورهای ایمیل می کند.این به بسیاری از سازمانهای کوچک که ازیک سرور برای ایمیل و دیگر کاربری های مهم خود استفاده میکند صدمه می زند.
2-3-خسارت های فراوان ویروس ملیسا
ملیسا باعث بر هم ریختگی های شدیدی در سازمان های بزرگی مثل Microsoft،US Marine Corps،Honeywell،Intel ،E.I.du pont de Nemours and Co شده است.Shrader از Trend Microمی گوید:ملیسا سریعترین ویروس منتشر شده ای است که من بدون شک تا به حال دیده ام.TippettازICSA تخمین زده است که ملیسا حدود 2/1میلیون کامپیوتر و 53000 سرور را در 7800 شرکت در آمریکای شمالی آلوده کرده است که حداقل 200، PCداردوارزش آن بین 249میلیون و 561 میلیون دلار جهت نصب است. سخنگوی ICSA Barbara Rose می گوید از 300شرکت تحقیق شده هزینه مبارزه با ملیسا 1750دلار بود اگر چه برخی هزینه های بالاتر از 100000دلار رانیز گزارش دادند دراول آوریل آژانس های اجرای قانون از ظن در این مورد جلوگیری کردند.
در آخر هفته ای که ملیسا منتشر شد کاربران ITدرسازمان های آلوده شده شروع به یادگیری در مورد ویروس پرداخته و در بسیاری موارد سرورهای ایمیل خود را خاموش کرده و ویروس را از سیستم های خود حذف کردند برای مثال مجریان تمام ایمیل های با خط موضوعی امضای ملیسا را فیلتر کردند. ضمنا فروشندگان آنتی ویروس شروع به کار کردند. Schrader می گوید: این ویروس ساده ای است راه حل آن نیز ساده است برای ما فقط 20دقیقه، ایجاد یک الگو جهت شناسایی ویروس زمان می برد.
سازمان های دارای سیستم های مدیریت امنیت مرکزی کل شبکه خود را برای پاک شدن ملیسا اسکن کردند دیگر سازمان ها نیز باید دسک تاپ خود را اسکن کنند.
رشد فزاینده زبان های ماکرو این مفهوم را تقویت کرده است که ماکروویروس هارایج تر و خطرناک تر شده است. خصوصا از زمانی که ملیسا منتشر شده است زبان های ماکرو برای جاسازی انواع عاملیت ها در اسناد استفاده می شود. برای مثال کاربران می توانند یک تقویم رادریک گزارش هزینه جا بدهند،بنابراین میتوانند تاریخ های مسافرت را که در سند ثبت شده اند را پیگیری کنند.به این نکته Neil Charneyمدیر تولید ابزاربرنامه نویسی در بر نامه های کاربردی (VBA) مایکرو سافت در word 2000 اشاره می کند. بااین وجود نویسندگان ویروس مثل کسی که ملیسا را نوشته است می تواند از زبان های ماکرو در جاسازی یک عاملیت بدخیم دراسناد استفاده کند. فروشندگان برنامه های کاربردی زبان های ماکرو را برای محصولاتشان پیشنهاد میکنند. VBA ابتدا درسال 1993عرضه شد و در آفیس ماکروسافت که بزرگترین محیط کاربردی است استفاده شد، بنابر این بیشترین استفاده را از زبان ماکرو داشته است .Charney می گوید علیرغم نام آن ماکرو ها برای کارهای بیش از ایجاد ماکروها دروظایف خودکار استفاده شده اند. وی می گوید: VBA می تواند به عنوان یک محیط توسعه باشد برای مثال وی گفت VBA با افزایش طرح هایی که فروشندگان را شامل نمی شود برای بهبود برنامه های کاربردی مایکروسافت استفاده شده است بعلاوه VBAبرای ادغام عاملیت چندین برنامه کاربردی استفاده میشود برای مثالCharney میگوید به جای وارد کردن دستی داده ها از یک پایگاه داده به یک صفحه گسترده استفاده شده است.
Dan Shchraderمدیر تجاری ایمنی در Portal Division at Trend Macroکه یک فروشنده نرم افزار های آنتی ویروس است بر این نظر میباشد که بسیاری از کاربران قوی این قابلیت ها را می خواهند، با این وجود می گوید صنعت کامپیو تر باید مراقب باشد چون زبان های ماکرو میتواند اسناد را تبدیل به برنامه های قابل اجراکند. کاربرانی که سندی را فقط برای خواندن باز میکنند نادانسته یک برنامه جاسازی شده را فعال می کنند که می تواند بد خیم باشد. عموما عاملیت بیشتر منجر به امنیت کمتر می شود.
Roger Thompsonمدیر فنی تحقیقات کدهای بد خیم در انجمن بین المللی امنیتی کامپیوتر که یک مشاوره دهنده امنیتی است می گوید طرح هایی مثل VBAانجام کارهای خوب وبد را آسانتر کرده استSchrader.
می گوید زبان های ماکرو نوعی طرح متداول هستند که از بین نمی روند بنابر این صنعت کامپیوتر باید راهی را برای زندگی ایمنتر با آنها پیدا کند.
2-4-متغیر ها و گونه ها
دو روز پس از انتشار، ویروس نویسان چندین گونه از ملیسا را با نام های Madcow ،Papa ،Syndicate Marauderمنتشر کردند. برای مثال Papaاکسل مایکروسافت را تحت تاثیر قرار می دهد که مثل word،VBAرا پشتیبانی می کند. وقتی یک قربانی از outlook مایکروسافت باز شده در ضمیمه ای برپایه اکسل در یک نوشته ایمیلی استفاده میکند،ویروس یادداشت وضمیمه ای به اولین 60تماس در کتابچه آدرس قربانی ارسال می کند .Roger Thompson مدیر فنی ICSA در تحقیقات کد های بد خیم اشاره می کند که نویسندگان گونه های خود از کد های ملیسا را به چندین گروه خبری مدت کوتاهی پس از انتشار ارسال کرده اند . با این وجود بسیاری از شرکتهای آنتی ویروس منتظر گونه ها بوده و نرم افزارهای بروزی که بتواند آنها را شناسایی کند تولید کرده اند.
2-5-بازداشت فرد مظنون به تولید ملیسا
با انتشار ملیسا در شبکه ها در 26مارس آژانسهای اجرای قانون مثل FBIشروع به جستجوی تولیدکننده ویروس کردند. آنها منبع ویروس را در نیوجرسی رد یابی کردند.
در اول آوریل ،محققین جرم های کامپیوتری با پلیس ایالتی نیوجرسی وبخش امنیت عمومی وقانون David L. Smith 31ساله که یک برنامه نویس است و در نیوجرسی زندگی میکند را بازداشت کردند.

 


شکل،David L.Smith(در مرکز)از دادگاه می خواهد که به دفاعیات وی در ایجاد ویروس ملیسا گوش دهند. وی همراه با وکیل خودEdward F.Borden است. محققین Smith رامتهم به برهم زدن ارتباطات عمومی، توطـیه در برهم زدن ارتباطات عمومی وتلاش برای برهم زدن ارتباطات عمومی با اتهام درجه2وسرقت از سرویس های کامپیوتری وصدمه و فعالیت نامشروع در سیستم های کامپیوتری با اتهام درجه 3کردندووی پس از گذاشتن 100000دلار وثیقه ازاد شد.وکیل Smithاز پرنستون نیوجرسی در دفاع از وی تمام اتهامات را قبول نکرد.
Smithبا حداکثر جریمه 480000دلار و40سال زندان طبق گفته Paul Loriquetسخنگوی دفاتر عمومی وکلای نیوجرسی محکوم شد. با تکمیل تحقیقات دفتر عمومی وکالت به هیات منصفه ایالت دلایلی را می فرستند تا دادگاه در کیفر خواست وی تصمیم بگیرد.
2-6-نتیجه گیری
ملیسا بر این تاکید دارد که سازمان ها باید رمزدار کردن تمام ایمیل ها را متوقف کنند. وقتی پیام ها رمزدار شدند نرم افزار آنتی ویروس محتویات آن را نمی تواند بخواند وبنابراین نمی تواند تعیین کند که آیا دارای ویروس های ایمیلی مثل ملیسا هستند یا نه. مردم نیاز به رضایتمندی بیشتردارند رمز دار کردن تمام ایمیل ها آیا لازم است؟ شاید آنها فقط مهمترین ایمیل ها را رمز دار کنند. البته متخصصین ویروس می گویند کاربران باید مراقب باشند مثلا در استفاده وبروزرسانی نرم افزار های آنتی ویروس.
Carpenterمی گوید: وقتی ایمنی مورد توجه زیاد نشریات قرارمی گیرد من فکر می کنم هنوز افراد زیادی وجود دارند که اولویت لازم را به این موضوع نمی دهند. کاربران میزان مشکل را درک نمی کنند

دانلود با لینک مستقیم


دانلود مقاله تجزیه و تحلیل 4 نرم افزار مخرب (ویروس- تروجان )