فصل یکم- ویروس ها
- 1-1تعریف ویروس
به برنامههای رایانهای که به منظور تخریب ویا سوءاستفاده از ساختار یک رایانه نوشته شود،ویروس رایانهای میگویند. ویروس رایانهای عبارتی است برای یک برنامه ناخواسته مخرب که میتواند روی رایانههامنتشرواجراگردد.
.معمولاًویروسهاتوسط برنامهنویسان برای مقاصد گوناگون نوشته میشوند. اهدافی چون شهرت،انتقام، ایجاد خسارت و یا اهداف اقتصادی میتوانند باعث ایجاد انگیزه در نوشتن ویروس کامپیوتری شوند. برخی از ویروسها بسیار مخرب هستند و برخی تنها جنبه تبلیغاتی دارند.
علت نامگذاری این برنامهها به ویروس به دلیل شباهت نحوه فعالیت آنها با ویروسها در دنیای حقیقی است. ویروس رایانهای را میتوان برنامهای تعریف نمود که میتوان خودش را با استفاده از یک میزبان تکثیر نماید. بنابراین تعریف اگر برنامهای وجود داشته باشد که دارای آثار تخریبی باشد ولی امکان تکثیر نداشته باشد،نمیتوان آن را ویروس نامید.
معمولاً کاربران کامپیوتر به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند،ویروسها را برنامههایی هوشمندوخطرناک میدانند که خود به خود اجرا و تکثیر شده و آثار تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر میگردند در حالی که طبق آمار تنها پنج درصد ویروسها دارای آثار تخریبی بوده وبقیه صرفاً تکثیر میشوند. بنابراین ویروسهای رایانهای از جنس برنامههای معمولی هستند که توسط ویروسنویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک،فایلها و یا کامپیوترهای دیگر را آلوده میکنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی از نسخهای خودش را تولید کرده و به برنامه های دیگر میچسباند و به این ترتیب داستان زندگی ویروس آغاز میشودوهر یک از برنامهها و یا دیسکهای حاوی ویروس، پس ازانتقال به کامپیوترهای دیگر باعث تکثیر نسخههایی از ویروس وآلوده شدن دیگر فایلها و دیسکها میشوند.
بنابراین پس از اندک زمانی در کامپیوترهای موجود در یک کشور و یا حتی در سراسر دنیا منتشر میشوند.از آنجا که ویروسها به طور مخفیانه عمل میکنند، تا زمانی که کشف نشده وامکان پاکسازی آنها فراهم نگردیده باشد، برنامههای بسیاری را آلوده میکنند و از این رو یافتن سازنده و یا منشأ اصلی ویروس مشکل است.
ویروسها هر روز در اینترنت، بیشتروبیشتر میشوند. ولی تعداد شرکتهای آنتی ویروس ثابت است. پس ما باید برای حفاظت از سیستم خود دست به کار شویم. دراین سلسله مقالات سعی داریم که نحوه مقابله با ویروسهاوهمین طور بیوگرافی ویروسهاونحوه مقابله با هر ویروس را آموزش بدهیم.
از نظر مردم عادی به برنامهای که در سیستم عامل اختلالات ایجاد کندویروس است ولی باید بدانید که خود ویروسها بنا به کارها و امکاناتی که دارند تقسیمبندی میشوند.ویروسها مثل سایر برنامهها هستند.کسانیکه ویروس رامینویسندهم ازهمین برنامههای عادی برنامهنویسی استفاده میکند.این برنامهها دقیقاً مثل چاقو میماند که هم میشود استفاده درست کرد هم نادرست.
- 2-1تاریخچه ورود ویروس
1949:
Home
برای اولین بار تئوری برنامههایی که خودشان را جایگزین مینمایند مطرح گردید.
1981: ویروسهای Apple 1 , Apple 2 , Apple 3 از اولین ویروسهایی بودند که پا به عرصه عمومی نهادند.این ویروسها توسط کمپانی Texas A & M برای جلوگیری از کپیهای غیر مجاز بازیهای کامپیوتری نوشته و سپس شایع شدند. این ویروسها ویژه سیستم عامل Apple II بودند.
1983: فرد کوهن (Fred Cohen) زمانی که روی رساله دکترایش کار میکرد، رسماً یک ویروس کامپیوتری را چنین تعریف نمود: «یک برنامه کامپیوتری که میتواند روی سایر برنامههای کامپیوتری از طریق تغییر دادن آنها به روشی (شاید) مانند کپی کردن خودش روی آنها، تأثیر بگذارد».
1986: دو برادر برنامهنویس پاکستانی به نامهای «بسیط» و «امجد» کد قابل اجرای موجود در بوت سکتور یک فلاپی دیسک را با خودشان (که برای آلوده نمودن فلاپی دیسکهای 360KB نوشته بودند) جایگزین کردند. تمام فلاپیهای آلوده دارای برچسب «Brain» بودند.بنابراین، این ویروس «Brain» یا «مغز پاکستانی» نام گرفت. همزمان در کشور اتریش برنامهنویسی به نام رالف برگر «Ralf Burger» دریافت که یک برنامه میتواند از طریق چسباندن خودش به انتهای یک برنامه دیگر تکثیر شود،او با استفاده از این ایده برنامهای به نام Virdem نوشت که پدیده فوق را شبیهسازی مینمود. پس از آن برگر Virdem را در کنفرانسی به همه معرفی نمود. برگر همچنین کتابی درباره ویروسهای کامپیوتری نوشت ودرآن سورس ویروس به نام Vienna را چاپ کرد که این مسأله بعداً باعث سوءاستفاده بسیاری از افراد گردید.
1987: یک برنامهنویس آلمانی ویروسی به نام Cascade نوشت.این ویروس، اولین ویروسی بود که روش رمز کردن (Encryption) را به کار میبرد. در این روش بیشتر کد ویروس به غیر از چند بایت از آن به صورت رمز شده در میآید و از آن چند بایت بعداً برای رمزگشایی بقیه کد ویروس استفاده میشود. در این صورت تشخیص ویروس برای آنتی ویروسها بسیار مشکلتر میباشد و دیگر رشته تشخیص ویروس (که در آنتی ویروسها به کار میرود) به چند بایت محدود نمیشود.
بعدها برنامهنویسی به نام مارک واشبرن «Mark Washburn» با استفاده از این ایده و سورس ویروس Vienna اولین ویروس هزار چهره (Polymorphic) به نام «1260» را نوشت.
1988: ویروس Jerusalem منتشر شدوبه یکی از شایعترین ویروسها تبدیل گشت.این ویروس درروزهای جمعهای که مصادف با سیزدهم هر ماه بودند فعال میشدوضمن آلوده نمودن فایلهای Com , Exe، هر برنامهای که در آن روز اجرا میشد را نیز پاک مینمود.
1989: در ماه مارچ مهمترین موضوع ویروسی، خبری بود که حکایت از فعال شدن ویروسی به نام Datacrime در ماه آوریل داشت.اما پس از بررسی سورس کد ویروس معلوم شد که این ویروس در هر تاریخی پس از روز سیزدهم اکتبر فعال شده واقدام به فرمت کردن سیلندر صفر هارد دیسک مینماید. بدین ترتیب کاربران تمامی محتوای هارد دیسکشان را از دست میدهند. ویروس Datacrime به احتمال زیاد در کشور هلند نوشته شده بود ولی آمریکاییها اسم آن را ویروس Columbus Day گذاشتندواعتقاد داشتند که توسط تروریستهای نروژی نوشته شده است. در این سال این ویروس علیرغم سر و صدای زیادش، خسارتهای چندانی به بار نیاورد. در این سال همچنین ویروسنویسان بلغاری و روسی وارد عرصه ویروسنویسی شدند.
1990: مارک واشبرن «Mark Washburn» ابتدا ویروس هزار چهره 1260 و سپس بر همان اساس ویروسهای V2P1 , V2P2 V2P6 را نوشت وسورس کد آنها را منتشر نمود، هر چند که بعداً ویروسنویسان این کدها را به کار نبردند و حتی این ویروسها خطر چندانی هم نداشتند ولی ایده موجود در آنها الهامبخش بسیاری از ویروسنویسان شد.
از طرف دیگر در بلغارستان ویروسنویس ماهری با نام مستعار Dark Avenger چند ویروس خطرناک به نامهای DarkAvernger- 1800 , Number of the Beast , Nomenklaturaرانوشت. ویروسهای وی دارای دو ویژگی مهم«آلودهسازی سریع» و «صدمه زدن زیرکانه» بودند. Dark Avenger به صورت فعالانهای از طریق آلوده نمودن برنامههای Shareware وارسال آنهااقدام به پخش ویروسهایش نیز مینمود. همچنین در این سال کمپانی Symantec نیز آنتی ویروس Norton را به بازار عرضه نمود.
1991: سر و کله ویروس Tequila از کشور سوئیس پیدا شد. این ویروس، ویروس هزار چهره کاملتری بود که پا به عرصه عمومی گذاشت و بسیار شایع شد. پس از آن نوبت انتشار ویروس هزار چهره دیگری به نام Amoeba از کشور مالت رسید. تشخیص ویروسهای هزارچهره به دلیل اینکه پس از هر بار آلودهسازی ظاهرشان را تغییر میدهند، برای اسکنرهای ویروس بسیار سختتر میباشد.
Dark Avenger هم درانتهای این سال موتور خود تغییر دهنده «MtE» را ابداع کرد که میتوانست چهار میلیارد شکل مختلف به خود بگیرد و با پیوند زدن آن به هر ویروسی، یک ویروس کاملاً چند شکلی پدید میآمد. وی سپس با استفاده از MtE ویروسهای Dedicated , Commander Bomber را به دو سبک کاملاً متفاوت نوشت.
1992: تعداد ویروسها به هزار و سیصد عدد رسید که در مقایسه با ماه دسامبر سال 1990 چهارصد و بیست درصد افزایش یافته بود. همچنین در این سال پیشبینی شد که خطر ناشی از انتشار ویروس «میکلآنژ» پنج میلیون کامپیوتر را تهدید به نابودی خواهد کرد، که البته این رقم در عمل به بیش از ده هزار تا نرسید. علاوه بر اینها ویروس هزار چهره جدیدی با نام Starship پا به میدان نهاد، نرمافزارهای تولید ویروس توسط دو ویروسنویس با نامهای مستعار Nowhere Man , Dark Angel نوشته شدندودرانگلستان نیز گروه ویروسنویسی ARCV تأسیس شد.
1993-1994: گروه ویروسنویسی جدیدی به نام Tridend در کشور هلند فعالیت خود را آغاز نمود و موتور جدیدی به نام TPE را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ویروسهای، Girafe Cruncher، Bosnia را نوشتند. در آمریکا هم Dark Angel به کمک موتور ابداعیاش موسوم به DAME ویروس Trigger را نوشت.
1995: Concept اولین ویروس ماکرو، نوشته شد. این ویروس اسناد نرمافزار Microsoft Word را مورد حمله قرار میداد.
1996: در استرالیا گروهی از ویروسنویسان به نام VLAD اولین ویروس ویژه سیستم عامل ویندوز موسوم به Bonz و همچنین اولین ویروس سیستم عامل لینوکس موسوم به Staog را نوشتند. علاوه بر اینها اولین ویروس ماکروی نرمافزار Microsoft Excel به نام Laroux نیز در این سال نوشته شد.
ویروس Strange Brew، اولین ویروسی که فایلهای جاوا را آلوده میکرد، نوشته شد. این ویروس با کپی کردن خودش در میان کد فایلهای Class و عوض نمودن نقطه شروع اجرای این فایلها با نقطه شروع کد ویروسی اقدام به تغییر دادن فایلهای Class مینمود. همچنین Back Orifice اولین اسب تراوایی که امکان دسترسی از راه دور به سایر سیستمها را در اینترنت فراهم مینمود، نوشته شد و کمکم مقدمات ظهور ویروسهای ماکروی نرمافزار Microsoft Access نیز فراهم میگردید.
1999: ویروس «ملیسا» از طریق اجرا نمودن ماکرویی که در اسناد ضمیمه شده به نامههای الکترونیکی موجود بود، صدمه زدن به سیستمها را آغاز نمود. این ویروس همچنین برای گسترش خود از دفترچه آدرس نرمافزار Outlook استفاده میکرد و ضمیمههای آلوده را برای 50 نفر دیگر ارسال مینمود. ویروس «ملیسا» سریعتر از تمامی ویروسهای قبلی منتشر گردید. در این سال همچنین ویروس Corner اولین ویروسی که میتوانست فایلهای برنامه MS Project را آلوده سازد، نیز نوشته شد. علاوه براین، نوآوریهای دیگری هم در دنیای ویروسنویسان صورت گرفت که از بین آنها میتوان به نوشته شدن ویروس Tristate که اولین ویروس ماکروی چند برنامهای بود و میتوانست فایلهای سه برنامه از برنامههای مایکروسافت (ورد، اکسل و پاور پوینت) را آلوده کند و همچنین نوشته شدن کرم Bubbleboy اشاره نمود.
این کرم هم اولین کرمی بود که وقتی کاربر نامه ساده و بدون ضمیمهای را در نرمافزار Outlook Express باز و یا آن را پریویو مینمود، فعال میگردید. حتی بدون اینکه ضمیمهای به همراه نامه باشد، این کرم برای اثبات یک روش جدید نوشته شده بود و بعداً ویروس Kak از این روش بهره گرفت و به صورت گستردهای شایع شد.
2000: ویروس I Love You درست مانند ویروس «ملیسا» به وسیله نرمافزار Outlook در سراسر دنیا پخش گردید. اما این ویروس از نوع اسکریپت ویژوال بیسیک بود که به صورت ضمیمه نامه الکترونیکی ارسال میشد. ویروس I Love You فایلهای کاربر را پاک میکرد و حتی به برخی از فایلهای تصویری و موسیقی نیز رحم نمیکرد. علاوه بر این، ویروس اسم کاربر و رمز عبور وی را میدزدید و برای نویسندهاش میفرستاد.
در این سال همچنین ویروسهای Resume (که شبیه ویروس «ملیسا» بود) و Stages (که از روش پسوند دروغین بهره میگرفت) نیز ظهور کردند. در ماه ژوئن این سال و در کشور اسپانیا کرم Timofonica از نوع اسکریپت ویژوال بیسیک اولین حمله به سیستمهای مخابراتی را آغاز نمود و در ماه نوامبر نیز اولین ویروس نوشته شده به زبان PHP ظاهر شد، این ویروس که Pirus نام گرفت، خودش را به فایلهای PHP , HTML اضافه مینمود.
2001: ویروس Anna Kournikova در پوشش تصویر ستاره تنیس، «آنا کورنیکووا» و با روش انتشاری مشابه ویروسهای «ملیسا» و «I love You» ظاهر شد. در ماه می این سال هم ویروس Home Page به حدود ده هزار نفر از کاربران نرمافزار Outlook آسیب رساند. در ماه جولای و آگوست نیز کرمهای CodeRed I ، Code Red II به شبکههای کامپیوتری حمله نمودند.
تعداد کامپیوترهای آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سیستمها بالغ بر دو میلیارد دلار برآورد گردید.
حادثه مهم دیگری که در این سال به وقوع پیوست، نوشته شدن ویروس Winux یا Lindose در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابلیت آلودهسازی هر دو سیستم عامل ویندوز و لینوکس را با هم داشت.
در این سال همچنین ویروس LogoLogic-A و ویروس PeachyPDF-A (اولین ویروسی که برای پخش شدن از نرمافزار کمپانی Adobe ویژه فایلهای PDF استفاده میکرد) نیز پا به عرصه حیات گذاشتند. ولی بدون شک اهمیت هیچ یک از این ویروسها به اندازه کرم Nimda نبود، این کرم که در ماه سپتامبر ظاهر شد، از تکنیکهای برتر سایر ویروسهای مهم به صورت همزمان استفاده مینمود. بنابراین توانست تا بسیار سریع گسترش یابد.
از ویروسهای خطرناک و خبرساز دیگر این سال نیز میتوان به ویروسهای Sircam , BanTrans اشاره کرد.
2002: ابتدا در ماه ژانویه شاهد ظهور اولین ویروس آلوده کننده فایلهای با پسوند SWF بودیم که LFM-926 نام داشت. این ویروس یک اسکریپت دیباگ (که میتوانست یک فایل COM ساخته و به وسیله آن سایر فایلهای با پسوند SWF را آلوده نماید) رها میکرد. پس از آن کرم Donut به عنوان اولین کرمی که به سرویسهای NET. توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولین کرمی که مختص سرویسهای NET. بود وارد عرصه شد. این کرم توسط یک دختر جوان بلژیکی با نام مستعار Gigabite و به زبانC# نوشته شد. در ماه می این سال نیز Benjamin ظاهر شد. این ویروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده مینمود.
در ماه ژوئن ویروس Perrun برای اثبات فرضیه «امکان آلودهسازی فایلهای تصویری با پسوند JPEG توسط ویروسها»، نوشته شد که این مسأله تا قبل از این غیر ممکن مینمود. در این ماه کرم Scalper که وب سرورهای Apache را مورد حمله قرار میداد و از آنها برای طغیان شبکه سوء استفاده میکرد نیز شناسایی گردید.
-3-1 انواع ویروس
انواع ویروس های رایج را می توان به دسته های زیر تقسیم بندی نمود:
-1-3-1سکتور بوت (boot sector)
سکتور بوت اولین سکتور بر روی فلاپی و یا دیسک سخت کامپیوتر است. در این قطاع کدهای اجرایی ذخیره شده اند که فعالیت کامپیوتر با استفاده از آنها انجام میشود. با توجه به اینکه در هر بار روشن شدن و بارگذاری، سکتور بوت مورد ارجاع قرار می گیرد، و با هر بار تغییر پیکر بندی کامپیوتر محتوای سکتور بوت هم مجدداً نوشته می شود، لذا این قطاع مکانی بسیار آسیب پذیر در برابر حملات ویروس ها می باشد.
ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. این ویروس هااز طریق فلاپی هایی که قطاع بوت الوده دارند انتشار می یابند. در صورت آلوده شدن سکتور بوت دیسک سخت کامپیوتر توسط ویروس، هر بار که کامپیوتر روشن می شود، ویروس خود را در حافظه بار کرده و منتظر فرصتی برای آلوده کردن فلاپیها می ماند تا بتواند خود را منتشر کرده و دستگاه های دیگری را نیز آلوده نماید. اینگونه ویروس ها می توانند به گونه ای عمل کنند که تا زمانیکه دستگاه آلوده است امکان بوت کردن کامپیوتر از روی دیسک سخت وجود نداشته باشد.
این ویروس ها بعد از نوشتن بر روی متن اصلی بوت سعی می کنند کد اصلی را به قطاعی دیگر بر روی دیسک منتقل کرده و آن قطاع را به عنوان یک قطاع خراب علامت گذاری می کند. هنگامی که شما در مرتبه بعدی دستگاه راروشن می کنید، سکتور بوت آلوده شده، مورد استفاده سخت افزار قرار خواهد گرفت و بنابراین ویروس فعال خواهد شد.
پس در صورتیکه کاربر دستگاه را به وسیله یک دیسکت آلوده، (معمولاً دیسک های نرمی که سکتور بوت آلوده دارند) راه اندازی کند، در نهایت دستگاه آلوده به ویروس خواهد شد.
- 2-3-1ویروس های ماکرو (کلان دستور)
ویروس های macro از مزایای برنامه نویسی macro سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده و به صورت خودکار اجرا می شوند. این نوع ویروس ها مستقیماً برنامه ها را آلوده نمی کنند. هدف این دسته از ویروس ها فایل های تولید شده توسط برنامه هایی است که از زبان های برنامه نویسی ماکرویی مانند مستندات Excel یا Wordاستفاده می کنند. در حقیقت ویروس های macro یک برنامه ماکرو است که می تواند از خود کپی ساخته و از فایلی به فایل دیگر گسترش پیدا کند. ویروس های macro از طریق دیسک ها، شبکه و یا فایل های پیوست شده با نامه های الکترونیکی قابل گسترش می باشد.
- 3-3-1ویروس های چند ریخت
این ویروس ها درهر فایل آلوده به شکلی ظاهر می شوند. با توجه به اینکه از الگوریتم های کد گذاری استفاده کرده وردپای خود را پاک می کنند، آشکارسازی و تشخیص اینگونه ویروس ها دشوار است.
-4-3-1ویروس های مخفی
این ویروس ها سعی می کنند خود را از سیستم عامل و نرم افزارهای ضد ویروس مخفی نگه دارند. برای این کار ویروس در حافظه مقیم شده و حائل دسترسی به سیستم عامل می شود. در این صورت ویروس کلیه درخواست هایی که نرم افزار ضد ویروس به سیستم عامل می دهد را دریافت می کند. به این ترتیب نرم افزارهای ضد ویروس هم فریب خورده و این تصور به وجود می آید که هیچ ویروسی در کامپیوتر وجود ندارد. این ویروس ها کاربر را هم فریب داده و استفاده از حافظه را به صورت مخفیانه انجام می دهند.
- 5-3-1ویروس های چند بخشی
رایج ترین انواع این ویروس ها ترکیبی از ویروس های سکتور بوت و ویروس های انگلی می باشند. ترکیب انواع دیگر ویروس ها هم امکان پذیر است.
-6-3-1ویروس های مبتنی بر پست الکترونیکی
ویروس هایی از این نوع از طریق پیام های پست الکترونیکی منتقل می گردند. این نوع ویروس ها بصورت خودکار برای افراد متعدد، پست خواهند شد. گزینش افراد برای ارسال نامه الکترونیکی بر اساس دفترچه آدرس پست الکترونیکی، انجام می گیرد.
در حقیقت آخرین اطلاعات موجود در رابطه با ویروس های کامپیوتری به ویروس های پست الکترونیکی اشاره دارد و در حال حاضر پست الکترونیک بزرگترین منشاه ویروس ها می باشد.
-7-3-1ویروس های دوزیست
اینگونه ویروس ها، ویروس هایی هستند که در دو محیط مختلف از نظر نوع سیستم عامل قادر به زیست و آلوده سازی می باشند. این نوع از ویروس ها در سیستم عامل های معروفی چون ویندوز و خانواده لینوکس بیشتر دیده شده اند و براحتی قادر به مهاجرت از سیستم عامل ویندوز به لینوکس و بلعکس می باشند. نگارندگان ویروسهای کامپیوتری تاکنون نمونه های مختلفی از این کدهای مخرب را که می تواند هر دو سیستم عامل ویندوز و لینوکس را مبتلا سازند، به صورت محدود و کنترل شده منتشر کرده اند.
- 4-1سایر نرم افزار های مخرب
برخی از محققین کرم ها، اسب های تروا ( Trojan Horse )، Spyware ها، Trapdoor ها، Backdoor ها، باکتری ها، Zombie، Rootkit و بمب های منطقی را در دسته ویروس ها قرار نمی دهند ولی واقعیت این است که این برنامه ها هم بسیار خطرناک بوده و می توانند خساراتی جدی به سیستم های کامپیوتری وارد نمایند .
- 1-4-1کرم ها
اولین و مشهورترین ویروس یک Worm میباشد که به طور تصادفی در 2 نوامبر 1988 وارد شبکه گردید. طبق ادعای طراح آن هدف از این کار تنها اثبات کردن ضعف سیستم امنیتی کامپیوترها بوده است. اینترنت در سال 1988 دوران کودکی خود را طی میکردو تنها در اختیار معدودی از دانشگاهها، مؤسسات تحقیقاتی دولتی مانند NASA و آزمایشگاههای بینالمللی مانند Los Alamos بود. با وجود اینترنت بسیار محدود آن زمان خبر از کار افتادن این مغزهای کامپیوتری در MIT , Berkeley و... تمام مردم را شوکه کرد. تنها در مذت چند ساعت بیش از 3000 کامپیوتر در مهمترین مراکز آمریکا از کار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار برآورد گردید.
Wormها زیر مجموعهای از ویروسهای کامپیوتری میباشند که برخلاف دیگر ویروسها از جمله Melissa که خود را به صورت E-Mailبرای کاربران اینترنتی میفرستد. سیستم کامپیوتر را سوراخ کرده و به طرف مغز کامپیوتر پیش میروند. یکی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده به طوری که قابل ردگیری نمیباشند. این Wormها مانند ویروسهایی میباشند که خود را در اعصاب ستون فقرات پنهان کرده و گاه و بیگاه دردهای شدیدی را تولید میکنند و اما Wormهای مفید: در میان انواع Wormها کرمهای مفیدی نیز طی سالیان متمادی به منظور چک کردن کارآیی سیستم و... مورد استفاده قرار گرفتهاند.
این Wormها Agent نامیده شده و درون شبکه حرکت کرده اطلاعات منابع مورد استفاده و... را چک و اطلاعاتی در مورد کارکرد شبکه یا حتی محلی را که می توان ارزانترین DVD را خریداری نمود به کاربر اعلام میدارند. از تفاوتهای بارز میان Agent و Worm میتوان به این مورد اشاره کرد که Agent برخلاف Worm خود را تکثیر نکرده و درون سیستمهای کاربران نفوذ نمیکند.
-1-1-4-1تاریخچه اولین کرم
این Worm که توسط Robert Tappan Morris طراحی شده به RTM مشهور گردید. Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامهنویسی کامپیوتر روی آورد. بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امکانات کامپیوتری واینترنتی دانشگاه بهرهمند شد. وی در اکتبر سال 1988 برنامهای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی کامپیوتر طراحی کرد. نحوه کار این برنامه بدین ترتیب بود که پس از رها شدن آن در اینترنت سریعاًوبدون جلب هیچ گونه توجهی پخش میگشت (طبق اظهارات وکیل مدافع موریس).
موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق کامپیوترهای دانشگاه MIT وارد شبکه کرد. یکی از خصوصیات این ویروس اضافه کردن یک شمارنده به برنامه بود. بدین ترتیب در صورتی که این برنامه حداکثر تا 6 بار یک کپی از خود را در کامپیوتر پیدا میکرد، تکثیر نشده ودر هفتمین بار این برنامه پس از تکثیر و نفوذ به کامپیوتر آن را مورد هجوم قرار میداد. این برنامه ضمیمه یک اشتباه بسیار مهلک بود!! کامپیوترهایی که در سال 1988 به اینترنت متصل میشدند به طور میانگین هر 10 روز یک بار خاموش شده ودوباره راهاندازی میگشتند. از آنجا که برنامه موریس در کامپیوتر ذخیره نمیشد، این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن کامپیوتر برنامه به طور خودکار از میان برود.
با این حال از آنجایی که تمام کامپیوترهای متصل به اینترنت به طور همزمان خاموش نمیشدند این Wormها میتوانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Wormها همواره دارای یک تعادل بوده و مشکل خاصی را در کامپیوتر سبب نمیشدند. و اما ایراد برنامه موریس دراین بود که این Worm بسیار سریعتر از انتظار موریس تکثیر مییافت در کمتر از چند ساعت بعد از آزادسازی آن هزاران کامپیوتر در مراکز حساس از کار افتاده و دچار سکته شدند. پنج روز بعداز ازادسازی Wormدر6نوامبرهمه چیز به حالت عادی خود برگشت در 12نوامبر سرانجام E-mailهایی که موریس در آنها طرز خنثی کردن Worm را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثیسازی Worm آگاهی یافتند.
2-4-1اسبهای تروا (Trojan Horse )
اسب های تروا تظاهر می کنند که کاری خاص را انجام میدهند ولی در عمل برای هدف دیگری ساخته شده اند. به عنوان مثال برنامه ای که وانمود می کند که یک بازی است ولی در واقع اجازه دسترسی از راه دور یک کاربر به کامپیوتر را فراهم می آورد. برنامه های فوق بر خلاف ادعای خود نه تنها عملیات مثبتی را انجام نخواهند داد بلکه باعث بروز آسیب های جدی پس از فراهم نمودن شرایط اجرا می باشند. (بطور مثال ممکن است اطلاعات موجود بر روی هارد دیسک را حذف نمایند). اسب های تروا دارای روشی برای تکثیر خود نمی باشند. اینگونه نرم افزارها اکثرا برای انتشار ویروس یا کرم و یا ایجاد یک Backdoor (در پشتی) بکار می روند. به اینگونه نرم افزارها RAT نیز گفته می شود.
-3-4-1جاسوس افزارها(Spyware)
نرم افزار جاسوسی هر نوع فناوری یا برنامه روی کامپیوتر شماست که اطلاعات را بطور پنهانی جمع آوری میکند. Spyware یک نام کلی برای برنامه هایی است که رفتارهای مشخص انجام می دهند مثل نمایش آگهی های تبلیغاتی، جمع آوری اطلاعات شخصی یا تغییر تنظیمات کامپیوتر شما که معمولا بدون کسب مجوز اجرا می شوند.
در حقیقت جاسوس افزار، نرم افزاری است که اقدام به جمع آوری اطلاعات شخصی بدون آگاهی و یا اجازه کاربران می نماید. اطلاعات جمع آوری شده می توان شامل لیست سایت های مشاهده شده توسط کاربر و یا اطلاعات بمراتب حساس تری نظیر نام و رمز عبور باشد.
-4-4-1درهای پشتی (Backdoor)
برنامه ای است که به یک نفوذگر این امکان را می دهد تا پروسه امنیتی یک سیستم را دور زده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگر قرار دهد. به عبارت دیگر در پشتی راهی ساده و فرعی برای ورود مجدد یه سیستم بدون پیش نیازهای امنیتی میباشد.
Backdoor حضور بلند مدت نفوذگر را بر روی سیستم هدف تضمین می کند.
- 5-4-1باکتری ها (Bacteries )
اینگونه از نرم افراز های مخرب کاری بجز تکثیر خود بصورت نمایی انجام نمی دهند ولی همین عمل می تواند منجر به درگیر شدن همه منابع سیستم (پردازنده، حافظه و فضای دیسک سخت) تا سر حد مرگ شود.
Zombie -6-4-1
نرم افزار های معروف به Zombie در قالب برنامه های رایگان، زیبا و جذاب ولی آلوده در سراسر شبکه اینترنت توزیع می شوند بخشی از کاربران آماتور که آگاهی خاصی از این موضوع ندارند، با اجرای این برنامه ها، ارسال بخشی از بسته های بمباران کننده مثل SYN-Flood را بر عهده می گیرند و بدین نحو بدون اطلاع، با اهداف شوم نفوذگر همسو می شوند.
Rootkits -7-4-1
یک Rootkits، شامل مجموع ای از برنامه هایی است که نفوذگر جهت گریز از کشف و ردیابی در هنگام دسترسی غیر مجاز به کامپیوتر هدف از انها استفاده می کند. Rootkits، عملیاتی کلی مانند جابجایی فایل های اصلی و کتابخانه ای یا نصب ماژول هسته سیستم عامل را انجام می دهد. نفوذگر ابزارRootkit را پس از دسترسی به سیستم هدف در سطح یک کاربر مدیر، بر روی سیستم نصب می کند. این دسترسی می تواند از طریق درهم شکستن کلمه عبور و یا بهره گیری از نقاط آسیب پذیر سیستم صورت گیرد. در ادامه نفوذگر اقدام به جمع آوری User ID های سیستم هدف از طریق ابزار Rootkit می نماید تا به حساب کاربری اصلی مانند حساب کاربری Root یا Administrator دست یابد.
-8-4-1بمب های منطقی
بمب های منطقی برنامه هایی هستند که در زمان هایی از قبل تعیین شده؛ مثلا یک روز خاص؛ اعمالی غیر منتظره انجام می دهند. این برنامه ها فایل های دیگررا آلوده نکرده و خود را گسترش نمی دهند در حقیقت بمب های منطقی یکی از قدیمی ترین انواع نرم افزارهای مخرب محسوب می شوند. این نرم افزار ها شامل یک قطعه کد پنهانی بوده که در داخل یک برنامه مجاز گنجانیده شده است و همانطور که گفته شد این قطعه کد به شرط خاصی فعال می شود و آن می تواند وجود یا عدم وجود فایل خاصی، تاریخ / ساعت مشخصی و یا کاربر خاصی باشد که در صورت فعال شدن معمولا همراه با انجام عملیات تخریبی می باشد. ( مانند تغییر یا حذف فایل ها )
-5-1عملکرد ویروس ها
ویروس ها علاوه بر کار اصلی خود، کارهای فرعی دیگری که در اکثر اوقات از آنها برای جلب توجه کاربر استفاده می شود ( و به این قسمت از برنامه ویروس اکثرا Playload گفته می شود)انجام می دهند در قسمت زیر بعضی از اینگونه فعالیت ها آورده شده است:
-1-5-1پیغام ها
گاهی ویروس ها اقدام به ارسال و نمایش پیغامهای معنی دار و بی معنی به مخاطب خود می کنند که اصولا این پیغام ها اهداف و جهت های خاصی را دنبال می کنند. برای مثال ویروس WM98/jerk اقدام به نمایش پیغام های توهین آمیز به کاربر و قربانی خود می کند.
-2-5-1 شوخی ها
اکثر ویروس ها موضوعی مانند شوخی را سرلوحه کار خود قرار می دهند و در کنار کار اصلی خود قصد شوخی کردن با کاربر خود را نیز دارند. برای مثال ویروس Yankee در ساعت 5 بعد ازظهر اقدام به نمایش و اجرا یک برنامه طنز خاص می نماید.
-3-5-1غیر فعال کردن دسترسی ها
این اقدام از مهمترین و اصلی ترین اقدامات یک ویروس بشمار می آید. البته ویروس هایی هم گزارش شده اند که به هیچ وجه از اقدامات عدم دسترسی در جهت پیش برد اهدافشان استفاده نمی کنند. اما این اقدام می تواند یکی از استانداردترین اهداف یک ویروس بشمار آید. به عنوان مثال ویروس WM97/NightShade در جمعه هایی با تاریخ 13 هر ماه متن های باز شده در دستگاه را توسط کلمه رمزی غیر قابل دسترسی می کند.
- 4-5-1سرقت اطلاعات
سرقت اطلاعات می تواند هدف اصلی یک ویروس سارق به حساب آید. البته نرم افزار های مخربی نیز وجود دارند که در کنار کارهای دیگر خود بر اساس شرایط خاصی مانند تاریخ و ساعت اقدام به سرقت از نوع مالی و اطلاعات می کنند. به عنوان مثال یک نوع اسب تروای LoveLet-A اطلاعات مربوط به کاربر و دستگاه او را به آدرسی در فیلیپین ارسال می کند.
- 5-5-1تخریب اطلاعات
ویروس ها عموما عمل تخریب اطلاعات را به خوبی انجام میدهند و یکی از مهمترین کارهای انها به حساب می آید. البته نوع و اندازه تخریب به نوع ویروس و هدف آن نیز بستگی دارد و عملکرد همه یکسان نمی باشد. بطور مثال ویروس XM/Compatable تغییراتی در اطلاعات صفحه های طراحی شده توسط برنامه Excel بوجود می آورد.
- 6-5-1پاک سازی اطلاعات
عملیات پاک سازی در سطح های مختلف بر روی اطلاعات موجود انجام می شود و ویروسهایی در این زمینه گزارش شده اند که تنها اطلاعات خاص را پاک نموده و برخی تمامی اطلاعات را پاک سازی می کنند.به طور مثال ویروس Michelangelo در روز 6 ماه مارس قسمتی از اطلاعات بر روی دیسک سخت را بازنویسی کرده و از بین می برد.
-7-5-1عدم دسترسی به سخت افزار
نوعی از ویروس ها فوق العاده خطرناک نیز در مجموعه ویروس ها وجود دارند که اقدامات جبران ناپذیری را در زمینه سخت افزار یک سیستم کامپیوتری انجام می دهند. اینگونه ویروس ها در برخی موارد اقدام به سوزاندن قطعات کامپیوتری کرده و در موارد معمولی تخریب اطلاعات برنامه ریزی شده بر روی دستگاه های سخت افزاری را به همراه خواهند داشت. اکثر ویروس هایی که بدین فرم عمل می کنند بر اساس زمان و تاریخ خاصی اقدام به انجام اینگونه تخریب ها می کنند. بطور مثال ویروس CIH یا ( W95/CIH-10xx ) Chernobyl، در روز 26 ماه آوریل اطلاعات بر روی بایوس را بازنویسی کرده و آنها را از بین می برد. بااین کار دستگاه غیر قابل استفاده خواهد شد.
- 6-1راههای ویروسی شدن
راههای مختلفی برای ورود ویروسها به رایانه شما وجود دارد.مانند فلاپی دیسکها،لوحهای فشرده،مشاهده وب گاه،دریافت نامههای آلوده،اجرای فایلهای دریافت شده از اینترنت و غیره.بنابراین لازم است که تمامی این موارد به هنگام استفاده مورد کنترل یک نرمافزار ضد ویروس قرار گیرد. به بیان دیگر هنگامی که میخواهید برنامهای را از روی یک لوح فشرده اجرا کنید و یا نامهای را باز کنید،باید آنها را توسط یک نرمافزار ضد ویروس وارسی کنید.
فراموش نکنید که شما همواره مراقب منزل خود هستید و دقت میکنید که در منزل و پنجرهها هنگام شب یا هنگامی که در منزل نیستید، باز نباشند. به همین ترتیب باید همواره وضعیت قسمتهای مختلف کامپیوتر خود را کنترل کنید. این که اندازههای فایلهای شما عادی باشد یا نه،این که مثلاً فایل جدیدی به کامپیوتر شما اضافه نشده باشد و بسیاری موارد دیگر که به تدریج میتوانید آنها را یاد بگیرید.اما یک نرمافزار ضد ویروس به سادگی میتواند هر موقع که شما اراده کنید تمام سیستم شما را کنترل کند و شما را از عدم وجود ویروس در کامپیوتر مطمئن سازد.
فصل دوم-آنالیزویروس ملیسا
2-1-ویروس ملیسا یک خطر جدید
ویروس ملیسا که از طریق شبکه های کامپیوتری با سرعت حیرت آوری در اواخر مارس پخش شده بود لرزه بر پشت صنعت کامپیوتر انداخت.نگرانی این بود که ملیسا به سرعت از طریق ضمایم ایمیل آلوده گسترش می یابد و وقتی ایمیل باز میشودویروس به افراد کتابچه آدرس قربانی فرستاده می شود.این بدان معنی است که ملیسا پیش از اینکه متوقف شود بسیار سریع در دنیا پخش شده و سرورهای ایمیل را در هم می شکند.همچنین ملیسا اسناد حساس را نیز میتواند برای افرادیکه در کتابچه آدرس هستند بدون اینکه کاربرمتوجه شود بفرستد.الگوی ملیسا موذیانه است چون این ویروس طوری عمل می کند که ضمائم ایمیلی آلوده به نظر برسد از طرف فردی آمده است که دریافت کننده وی را می شناسد.
ملیسا امتیاز تهدید امنیتی بالقوه ایجاد شده توسط زبان های ماکرورانیز دارد. در این مورد ابزار برنامه نویسی برای برنامه های کاربردی مایکروسافت (VBA ) به برنامه های کاربران امکان اجرا در اسناد رامی دهد. در مورد ملیسا محقق عاملیت بد خیم را در سند استفاده شده به عنوان یک ضمیمه ایمیلی برنامه ریزی کرده است.به این دلیل ویروس ملیسا معرف یک توسعه جدید و بزرگ در تکنولوزی ویروس است.
ویروس های مشابهی می توانند بسیار بد خیم تر از ملیسا باشند این را JEFF Carpenterرهبر تیم پاسخگویی به حوادث در تیم پاسخگویی به موارد اضطراری کامپیوتری در دانشگاه Carnegie mellon میگوید.این می تواند انشعابات شدیدی داشته باشد چون بسیاری از سازمان ها وابسته به ایمیل برای وظائف خود هستند.بدتر از همه این نوع مشکل اجرای فعالیت های اینترنتی را بر هم زده و باعث دهها بیلیون دلار خسارت میگردد.این را MIChael A.vatis مدیر مرکز حفاظت زیر ساخت های ملی (NIPC)می گوید.
2-2-اثرات مخرب ویروس ملیسا
ملیسا در 26مارس جمعه شروع بکار کرد.
اثرات ملیسا
کاربران پیام های ایمیل را با موارد زیر دریافت کردند:
_ یک خط موضوعی که به دنبال نام قربانی قبلی که نام دریافت کننده را در کتابچه آدرس ایمیل دارد و احتمالا وی را می شناسد مطلب زیررا می خواند((یک پیام مهم از...))
یک پیام متنی که می گوید:((این سندی است که شما می خواهید ...آن رابه کس دیگری نشان ندهید))
_یک ضمیمه به نام List.doc با لیست دارای نامهای کاربران وپسوردهای انها در سایت های وب مستهجن که از یک گروه خبری alt.sexگرفته شده است.
چون این پیام بنظر از طرف یک آشنا آمده است دریافت کننده راتشویق به بازکردن ضمیمه میکند.
اگر قربانی از ایمیلOutlook مایکروسافت وWord 97 یا2000Word استفاده کرده باشد دستورالعمل های مایکروویروس پیام وضمیمه آلوده را به 50 تماس در هر کتابچه آدرس ایمیل قربانی می فرستد. چون یک تماس می تواند معرف یک گروه از افراد باشد نه فقط یک فرد این ویروس میتواند به بیش از 50 دریافت کننده در یک لحظه فرستاده شود.این ویروس نرم افزار word را الوده و در ادامه تمام سندهای فعال شده Word را نیز الوده وبه این ترتیب امکان توزیع وگسترش ان فراهم میگرددو همچنین این ویروس باعث بروز تغییرات در تنظیمات سیستم بمنظور تسهیل در ماموریت خود میگردد.ملیسا الگوی normal.dotدرwordرا آلوده میکند که عموما برای ایجاد اسناد استفاده می شود.اسناد جدیدسپس با ملیسا آلوده می شوند.اگر کاربر اسناد آلوده را به صورت ضمیمه ایمیل کند دریافت کننده با outlookمایکروسافت، ویروس را با باز کردن ضمیمه فعال می کند بنابراین کپی هایی از آن اسناد آلوده به اولین 50تماس خود در کتابچه آدرسشان را ارسال می کنند.اگر این سند دارای محتویات حساس باشد باعث ایجاد مشکلات امنیتی خواهد شد.
در صورتیکه کلید رجیستری زیر در کامپیوتری وجودداشته باشد،نشاندهنده آلودگی سیستم به ویروس Melissa است.مقدار رجیستری فوق”by kwyjibo….” است.
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa
با انتشار ملیساسریعااین ویروس شروع به گسترش و بستن سرورهای ایمیل می کند.این به بسیاری از سازمانهای کوچک که ازیک سرور برای ایمیل و دیگر کاربری های مهم خود استفاده میکند صدمه می زند.
2-3-خسارت های فراوان ویروس ملیسا
ملیسا باعث بر هم ریختگی های شدیدی در سازمان های بزرگی مثل Microsoft،US Marine Corps،Honeywell،Intel ،E.I.du pont de Nemours and Co شده است.Shrader از Trend Microمی گوید:ملیسا سریعترین ویروس منتشر شده ای است که من بدون شک تا به حال دیده ام.TippettازICSA تخمین زده است که ملیسا حدود 2/1میلیون کامپیوتر و 53000 سرور را در 7800 شرکت در آمریکای شمالی آلوده کرده است که حداقل 200، PCداردوارزش آن بین 249میلیون و 561 میلیون دلار جهت نصب است. سخنگوی ICSA Barbara Rose می گوید از 300شرکت تحقیق شده هزینه مبارزه با ملیسا 1750دلار بود اگر چه برخی هزینه های بالاتر از 100000دلار رانیز گزارش دادند دراول آوریل آژانس های اجرای قانون از ظن در این مورد جلوگیری کردند.
در آخر هفته ای که ملیسا منتشر شد کاربران ITدرسازمان های آلوده شده شروع به یادگیری در مورد ویروس پرداخته و در بسیاری موارد سرورهای ایمیل خود را خاموش کرده و ویروس را از سیستم های خود حذف کردند برای مثال مجریان تمام ایمیل های با خط موضوعی امضای ملیسا را فیلتر کردند. ضمنا فروشندگان آنتی ویروس شروع به کار کردند. Schrader می گوید: این ویروس ساده ای است راه حل آن نیز ساده است برای ما فقط 20دقیقه، ایجاد یک الگو جهت شناسایی ویروس زمان می برد.
سازمان های دارای سیستم های مدیریت امنیت مرکزی کل شبکه خود را برای پاک شدن ملیسا اسکن کردند دیگر سازمان ها نیز باید دسک تاپ خود را اسکن کنند.
رشد فزاینده زبان های ماکرو این مفهوم را تقویت کرده است که ماکروویروس هارایج تر و خطرناک تر شده است. خصوصا از زمانی که ملیسا منتشر شده است زبان های ماکرو برای جاسازی انواع عاملیت ها در اسناد استفاده می شود. برای مثال کاربران می توانند یک تقویم رادریک گزارش هزینه جا بدهند،بنابراین میتوانند تاریخ های مسافرت را که در سند ثبت شده اند را پیگیری کنند.به این نکته Neil Charneyمدیر تولید ابزاربرنامه نویسی در بر نامه های کاربردی (VBA) مایکرو سافت در word 2000 اشاره می کند. بااین وجود نویسندگان ویروس مثل کسی که ملیسا را نوشته است می تواند از زبان های ماکرو در جاسازی یک عاملیت بدخیم دراسناد استفاده کند. فروشندگان برنامه های کاربردی زبان های ماکرو را برای محصولاتشان پیشنهاد میکنند. VBA ابتدا درسال 1993عرضه شد و در آفیس ماکروسافت که بزرگترین محیط کاربردی است استفاده شد، بنابر این بیشترین استفاده را از زبان ماکرو داشته است .Charney می گوید علیرغم نام آن ماکرو ها برای کارهای بیش از ایجاد ماکروها دروظایف خودکار استفاده شده اند. وی می گوید: VBA می تواند به عنوان یک محیط توسعه باشد برای مثال وی گفت VBA با افزایش طرح هایی که فروشندگان را شامل نمی شود برای بهبود برنامه های کاربردی مایکروسافت استفاده شده است بعلاوه VBAبرای ادغام عاملیت چندین برنامه کاربردی استفاده میشود برای مثالCharney میگوید به جای وارد کردن دستی داده ها از یک پایگاه داده به یک صفحه گسترده استفاده شده است.
Dan Shchraderمدیر تجاری ایمنی در Portal Division at Trend Macroکه یک فروشنده نرم افزار های آنتی ویروس است بر این نظر میباشد که بسیاری از کاربران قوی این قابلیت ها را می خواهند، با این وجود می گوید صنعت کامپیو تر باید مراقب باشد چون زبان های ماکرو میتواند اسناد را تبدیل به برنامه های قابل اجراکند. کاربرانی که سندی را فقط برای خواندن باز میکنند نادانسته یک برنامه جاسازی شده را فعال می کنند که می تواند بد خیم باشد. عموما عاملیت بیشتر منجر به امنیت کمتر می شود.
Roger Thompsonمدیر فنی تحقیقات کدهای بد خیم در انجمن بین المللی امنیتی کامپیوتر که یک مشاوره دهنده امنیتی است می گوید طرح هایی مثل VBAانجام کارهای خوب وبد را آسانتر کرده استSchrader.
می گوید زبان های ماکرو نوعی طرح متداول هستند که از بین نمی روند بنابر این صنعت کامپیوتر باید راهی را برای زندگی ایمنتر با آنها پیدا کند.
2-4-متغیر ها و گونه ها
دو روز پس از انتشار، ویروس نویسان چندین گونه از ملیسا را با نام های Madcow ،Papa ،Syndicate Marauderمنتشر کردند. برای مثال Papaاکسل مایکروسافت را تحت تاثیر قرار می دهد که مثل word،VBAرا پشتیبانی می کند. وقتی یک قربانی از outlook مایکروسافت باز شده در ضمیمه ای برپایه اکسل در یک نوشته ایمیلی استفاده میکند،ویروس یادداشت وضمیمه ای به اولین 60تماس در کتابچه آدرس قربانی ارسال می کند .Roger Thompson مدیر فنی ICSA در تحقیقات کد های بد خیم اشاره می کند که نویسندگان گونه های خود از کد های ملیسا را به چندین گروه خبری مدت کوتاهی پس از انتشار ارسال کرده اند . با این وجود بسیاری از شرکتهای آنتی ویروس منتظر گونه ها بوده و نرم افزارهای بروزی که بتواند آنها را شناسایی کند تولید کرده اند.
2-5-بازداشت فرد مظنون به تولید ملیسا
با انتشار ملیسا در شبکه ها در 26مارس آژانسهای اجرای قانون مثل FBIشروع به جستجوی تولیدکننده ویروس کردند. آنها منبع ویروس را در نیوجرسی رد یابی کردند.
در اول آوریل ،محققین جرم های کامپیوتری با پلیس ایالتی نیوجرسی وبخش امنیت عمومی وقانون David L. Smith 31ساله که یک برنامه نویس است و در نیوجرسی زندگی میکند را بازداشت کردند.
شکل،David L.Smith(در مرکز)از دادگاه می خواهد که به دفاعیات وی در ایجاد ویروس ملیسا گوش دهند. وی همراه با وکیل خودEdward F.Borden است. محققین Smith رامتهم به برهم زدن ارتباطات عمومی، توطـیه در برهم زدن ارتباطات عمومی وتلاش برای برهم زدن ارتباطات عمومی با اتهام درجه2وسرقت از سرویس های کامپیوتری وصدمه و فعالیت نامشروع در سیستم های کامپیوتری با اتهام درجه 3کردندووی پس از گذاشتن 100000دلار وثیقه ازاد شد.وکیل Smithاز پرنستون نیوجرسی در دفاع از وی تمام اتهامات را قبول نکرد.
Smithبا حداکثر جریمه 480000دلار و40سال زندان طبق گفته Paul Loriquetسخنگوی دفاتر عمومی وکلای نیوجرسی محکوم شد. با تکمیل تحقیقات دفتر عمومی وکالت به هیات منصفه ایالت دلایلی را می فرستند تا دادگاه در کیفر خواست وی تصمیم بگیرد.
2-6-نتیجه گیری
ملیسا بر این تاکید دارد که سازمان ها باید رمزدار کردن تمام ایمیل ها را متوقف کنند. وقتی پیام ها رمزدار شدند نرم افزار آنتی ویروس محتویات آن را نمی تواند بخواند وبنابراین نمی تواند تعیین کند که آیا دارای ویروس های ایمیلی مثل ملیسا هستند یا نه. مردم نیاز به رضایتمندی بیشتردارند رمز دار کردن تمام ایمیل ها آیا لازم است؟ شاید آنها فقط مهمترین ایمیل ها را رمز دار کنند. البته متخصصین ویروس می گویند کاربران باید مراقب باشند مثلا در استفاده وبروزرسانی نرم افزار های آنتی ویروس.
Carpenterمی گوید: وقتی ایمنی مورد توجه زیاد نشریات قرارمی گیرد من فکر می کنم هنوز افراد زیادی وجود دارند که اولویت لازم را به این موضوع نمی دهند. کاربران میزان مشکل را درک نمی کنند
دانلود مقاله تجزیه و تحلیل 4 نرم افزار مخرب (ویروس- تروجان )