images/sample/slideshow/logo-loading.png

تالار گفتمان

سوالات خود را جست و جو کنید و اگر جوابی نیافتید، با ایجاد یک بحث جدید، از دیگران راهنمایی بگیرید
ويروسهاي كامپيوتري و روش انتقال آنها
گردآورنده : زهرا عباسی
استاد مربوطه : مهندس رادمنش

چكيده
با توجه به گستردگي و اهميت محيط هاي اطلاع رساني شناخت ويروسهاي كامپيوتري در جمهوري اسلامي ايران لازم است تا پشتيباني اين سيستمها در حال و آينده مشخص باشد. اين ويروس معمولا زماني انتقال مي يابد كه يك فلاپي آلوده در درايو باقي بماند و سيستم با آن راه اندازي شود. ويروس از بوت سكتور فلاپي آلوده خوانده شده و در ركورد راه اندازي اصلي هارد ديسك نوشته ميشود. هنگامي كه سيستم شما از طريق هارد ديسك راه اندازي ميشود، بوت سكتوراصلي اولين محلي است كه خوانده ميشود. بدين ترتيب هر زمان كه كامپيوتر راه اندازي ميشود، ويروس در حافظه سيستم بارگذاري ميشود.
ويروسهاي كامپيوتري

انواع ويروسها:
ويروسهاي كامپيوتري به چهار دسته كلي تقسيم ميشوند: ويروسهاي فايل يا برنامه، ويروسهاي ماكرو، ويروسهاي چند بخشي(multipartite)، ويروسهاي بوت سكتور.
ويروسهاي بوت سكتور:
اين ويروس معمولا زماني انتقال مي يابد كه يك فلاپي آلوده در درايو باقي بماند و سيستم با آن راه اندازي شود. ويروس از بوت سكتور فلاپي آلوده خوانده شده و در ركورد راه اندازي اصلي هارد ديسك نوشته ميشود. هنگامي كه سيستم شما از طريق هارد ديسك راه اندازي ميشود، بوت سكتوراصلي اولين محلي است كه خوانده ميشود. بدين ترتيب هر زمان كه كامپيوتر راه اندازي ميشود،ويروس در حافظه سيستم بارگذاري ميشود.
ويروسهاي فايل يا برنامه:
قطعاتي از كدهاي ويروسي هستندكه خود را به برنامه هاي اجرايي متصل ميكنند ودر زمان اجراي برنامه آلوده،ويروس به حافظه سيستم شما منتقل شده ودرموقعيتي ديگر تكثير ميشود.
ويروسهاي ماكرو:
شايعترين ويروسهاي كنوني، ويروسهاي ماكرو هستند. اين ويروس، فايلهاي برنامه هاي كاربردي از قبيل Word مايكروسافت يا Excel را كه از زبان ماكرو استفاده ميكنند آلوده مينمايد.اين نوع ويروس در فايل مثل يك ماكرو به نظر ميرسد و در هنگامي كه فايل باز ميشود، ميتواند دستوراتي كه توسط زبان ماكروي برنامه كاربردي قابل فهم است را اجرا كند.
ويروسهاي چند بخشي:
اين ويروسها به طور همزمان خصوصيات ويروسهاي بوت سكتور وفايل رادارند. اين ويروسها ميتوانندازطريق بوت سكتورشروع به فعاليت و در برنامه هاي كاربردي پخش شوند و يا برعكس از برنامه هاي كاربردي شروع به فعاليت و دربوت سكتور گسترش يابند.

چگونگي آلوده شدن داده ها:
تقريبا ويروس برروي هر نوع فايلي ميتواند نوشته شود. بنابراين به هنگام نصب يك نرم- افزار بايد به اين نكته توجه كنيم. گاهي اوقات گونه هاي مختلف ويروسهاي شناخته شده روي نرم افزارهايي كه از طريق كپي غير مجاز تهيه شده اند وجود دارد.
دو راه اصلي انتقال ويروس از طريق اضافه كردن فايلها به سيستم از طريق فلاپي ديسك يا رسانه هاي قابل حمل مانند ديسكهاي(zip) يا از طريق بارگذاري نرم افزار از طريق اينترنت يا تابلو اعلانات خصوصي است.امكان دريافت ويروس از طريق پست الكترونيكي نيز وجود دارد ولي اگر نامه كاملامتني(plain text) باشد، ويروس انتقال پيدا نميكند.
باور عمومي در مورد ويروسها اين است كه سيستم تنها از طريق فايلهاي اجرايي يا فايلهاي برنامه و نه فايلهاي صرفا داده اي آلوده ميشوند. همچنين ممكن است كه فكر كنيم كه آلودگي، تا زمانيكه برنامه ويروسي اجرا نشده، انتشار پيدا نميكند، كه با ظهور ويروسهاي ماكرو اين تصور نيز كمرنگ ميشود. اين ويروسها ميتوانند درون هر سند متعلق به برنامه هاي كاربردي كه از زبان ماكرو استفاده ميكنند، وجود داشته باشند. مانند ويروس Concept كه از طريق اسناد word مايكروسافت انتشار مي يابد. بدين ترتيب اگركاربر نسخه سالمي از word مايكروسافت را داشته باشد به سادگي با باز كردن يك سند word آلوده، برنامه خود را آلوده ميكند.

. چگونگي تشخيص آلودگي به ويروس
بعضي از نشانه هايي كه بيانگر ويروسي بودن سيستم هستند عبارتند از:
1. وجود تصاوير يا پيامهاي غيرطبيعي روي مانيتور.
2. پخش تصادفي صداها يا تصاوير غيرطبيعي
3. تغيير نام يك هارد ديسك يا سيستم
4. كمتربودن حافظه در دسترس سيستم از آنچه بايد بطور طبيعي باشد.
5. مفقود شدن اتفاقي برنامه ها يا فايلها
6. ايجاد برنامه ها يا فايلهاي ناشناخته
7 .آسيب ديدن تصادفي بعضي از فايلها يا عملكرد نامناسب آنها.
چگونه از سيستم خود محافظت محافظت كنيم؟
1. پيغامهاي پستي غريبه ها و يا پيوستهايي را كه در انتظارشان نيستيد را باز نكنيد،به ويژه پيوستهايي را كه داراي پسوند Exe هستند.
2. از فايـــل هاي مهم، بر روي فلاپي، درايوهاي Zip ويا ديـگر وسايل ذخيره سازي براساس بر اساس يك برنامه منظم نسخه هاي پشتيبان تهيه كنيد،بدين ترتيب قادر خواهيد بود درصورت از بين رفتن اطلاعات آنها را بازيابي كنيد.
3. جديدترين نرم افزارهاي ضد ويروس را بر روي دستگــاه خود نصب كنيد. ازجمله اين نرم افـزارها مي توان به : Norton Anti-VIRUS 2000 يا Virex for Macs و همچـنين McAfee Virus Scan For Windows اشــاره كرد.

انواع پيوستهاي ويروس كه مي توانند خطرناك باشند
1.كرم موريس(Msoris worm):
ماه نوامبر سال 1990: به شدت تكثير شد و ترافيك آرپانت پنتاگـون را مختل كرد.
2.ميكلا نژ(Michelangeo):
ماه مارس سال 1991: در روز تولـد هنــرمند معروف، ميكـــلا نژ تهاجم خود را اغاز كـــرد و اطلاعات هارد ديسك بسياري از دستگاهها را در سراسر دنيا از بين برد.
3. ويروس چرنوبيل(Chemobyl):
ماه اوريل سال 1999: اين ويروس در سالگــرد فاجعه اتمي چرنوبيل به وقوع پيوست. اين ويروس، تراشه هايي را كـه بصورت نرم افزاري قابل برنامه ريزي بودند، در هزاران كــامپيوتري كه سيستم عامل ويندوز بود، خراب كرد.
4. اكسپلور زيپ(Explore.zip):
ماه ژوئن سال 1999:هارد ديسك هاي كــــامپيوترهاي شخصي را پاك كرده و سپس خود را به صورتE.mailبه كامپيوترهاي ديگرمي فرستاد و آنها را هم آلوده مي كرد.

انواع ويروس
1. Antichrist : فايلها را به اندازه 1108 بايت افزايش مي دهد و ويروس شامل متن *.ZIP مي باشد. هر زماني كه فايلي آلوده ميشود اين ويروس اولين فايل موجود در زير فهرست را حذف مي كند.
2.Migram- Cemetery(smark) : هر دو فايل EXE و COM هنگام راه اندازي و اجرا آلوده ميشوند و اندازه شان 1421 بايت افزايش مي يابد . اين ويروس ازآلـــــــوده كــــــردن فايــــل هايــــــي به نام ND. مثل COMMAND.COM پرهيز ميكند. ويروس شامل كلمه CEMETERY بوده و در ساعت 4 بعد از ظهر يك نمايش را فعال ميكند. در ساعتهـاي بعد از 4و5 بعد از ظهر ، اگر 1 ورودي درگـــاه سري باشد، PC دوباره راه اندازي ميشود.
3. MIGRAM- SMARK : هر دو فايل EXE وCOM را هنگام اجرا و راه اندازي آلوده كرده واندازه اين فايلها را به اندازه 1935 بايت افزايش ميد هد.

10 ويروس شايع در شش ماه اول سال 2001
در شش ماه اول سال 2001 ميلادي تعداد قابل توجهي از برنامه هـــاي مخرب كامپيوتري توسط شبكه اينترنت در دنيا منتشـر شده اند كه رايج ترين آنها كرمهاي اينترنتي محسوب ميشوند.
به گفته كارشناسان آمار به دست آمده از ضريب انتشار ويروسها نشانگر آن است كه w32/Disemboewler گسترده ترين كرم منتشردر شش ماه گذشته بوده است. اين كرم اينترنتي كه با نام Magister نيـــــز شناخته ميشود فايلهايــــي با پسوند .EXE و .SCR را در هاردديسك وگردونه هاي شبكه آلوده مي كند. ويروسهايـــي كه نام آنها با آغاز ميشود براي سيستمهاي عامل ويندوز32 بيتي نوشته شده اند. همچنين كارشناسان بر اساس اطلا عات رسيده از طرف بيش از چهل كشور دنيا I-worm/MTX را دومين ويروس از لحاظ ميزان گسترش در دنيا معرفي كرده است. اين برنامه مخرب در بر دارنده يك ويروس،يك كرم ويك اسب تراوا در درون خود ميباشد. نام كرمهاي اينترنتي و پست الكترونيكي با I-worm شروع ميشود.
كرم w32/Hybris رتبه سوم را در جدول رايج ترين ويروسهاي نيمه اول سال 2001 اشغال كرده است. به عنوان بارزترين خصيصه اين كرم اينترنتي ميتوان به قابليت به روز آوري خودكار آن اشاره كرد. ويروس مزبور كه اندازه آن براساس سيستم عامل آلوده شده تغيير پيدا ميكند به چند زبان مختلف براي قربانيان مشخصي مدلهاي مورد نياز براي ارتقاء خود را بطور اتوماتيك منتقل ميكند. ويروسw32/ Navidad.B به عنوان چهارمين ويروس كثيرالانتشاردر بين كاربران اينترنت شناخته شده است .اين كرم با مقيم شدن در حافظه كامپيوتر آلوده، يك تصوير چشم به نوار تكاليف ويندوز اضافه ميكند. بعد از اين ويروس كرم Pretty Park كه از طريق كانالهاي(گپ اينترنتي) منتشر شده و اسمي رمز كاربران را به سرقت ميبرد، رتبه پنجم اين جدول را به خود اختصاص داده است.
كرم w32/Funlove.4069 با آلوده كردن فايلهاي .EXE (اجرايي)، .OCX(كنترلهاي اكتيو ايكس) و.SCR (محافظ صفحه نمايش در ويندوزهاي) 98/95 و ويندوز ان.تي كليه سيستمهاي شبكه را در مدت كوتاهي آلوده ميسازد. آلودگي توسط اين كرم به كرات توسط مديران شبگه هاي كامپيوتري ايران نيز گزارش شده است.تمام راههاي انتقال اطلا عات اعم ديسكت،سي دي، شبكه، اينترنت، اف.تي.پي و فايلهاي پيوست نامه هاي الكترونيكي ميتوانند به اين كرم آلوده شوند.
رتبه بعدي رده بندي مزبور به كرم JS/KAK.worm تعلق دارد. اين كرم كه براي انتشار خود از يك حفره امنيتي در برنامهOutlook Express استفاده ميكند به صورت امضاء نامه هاي الكترونيكي خود را در درون نامه هاي مزبور جاي ميدهد. ويروسهايي كه با نام JS/ شروع ميشود، ويروسهايي هستند كه كد آنها با جاوااسكريپت نوشته شده است.
رتبه هاي هشتم تا دهم آمار اخير را ويروسهاي نوشته شده به زبان ويژوال بيسيك تشكيل ميدهند. VBS/valentin براي انتشار خود از Out look express استفاده ميكند.اين كرم كه خود را در طرح زمينه نامه هاي Out look مخفي ميسازد،فايلهايي با پسوند HTM,ASP,VBS,HTT، HTML. را هدف قرار ميدهد. در صورتيكه مجموع ارقام ماه و روز سيستم مساوي عدد 13 شود اين كرم فايلهاي با پسوند EXE وDLL را جستجو كرده و حذف ميكند. كرم VBS/VALEMTIN كه حائز رتبه نهم آمار مزبور شده است، نيز به صورت كد HTML درون امضاء نامه هاي الكترونيك جاي گرفته و يك نسخه از خود را به تمامي آدرسهاي پست الكترونيك موجود در كامپيوتر ارسال ميكند. اين كرم همچنين با ايجاد شماره تلفنهاي تصادفي پيامهاي كوتاه نوشتاري به دارندگان تلفنهاي همراه ارسال ميكند. دهمين رتبه ويروسهاي رايج در شش ماهه اول سال 2001 ميلادي به ويروسVBS.Homepage.B@mm تعلق دارد. اين كرم نيز خود را به همه آدرسهايالكترونيكي، كه در برنامه مباشر پست الكترونيكي سيستم آلوده پيدا ميكند ارسال كرده و از مشخصات آن باز كرددن مرورگر اينترنت در صفحات وب مربوط به دولت اروگوئه است.

ويروس Nimda.E (گونه جديد ويروس Nimda)
روش تخريب وسرايت:
يـــك كــارشناس ضدويروس اعلام كـرد كه گونه جديد كرم نيمدا به تدريج از منطقه آسياي شرقي، در حال انتشار است. ايـــن ويروس نسبتاً جديد يك نسخه كاملــتر، از سلف خود Nimda.A ميباشد. اين ويروس به همان شيوه ويروس Nimda اصلي منتشر مي شود اما با ايــن تفاوت كه فايلهاي آن مشابه فايلهاي ويندوز موجود تغيير نام داده مي شود.
آنتوني كو، مدير فني شركت Trend Micro كه يك شركت تهيه كننده نرم افزارهاي ضد ويروس است، اعلام كرد : (( اولــين گزارش دريافتي در مورد اين ويروس، از كــــره جنوبي وكمــي بعد از آن ،از آمريكا و استراليا دريافت شد.)) تا كنون بيش از 37000 مورد آلودگـــــي به اين ويروس گزارش شده است. شركت Trend Micro ،با استفاده از خطوط پشتيباني خود در آسيا و ويــروس ياب ON-LINE و رايـگان خود، اين كرم را از لحاظ رتبه بندي، دومين ويروس آلــوده كننده فعال در سطح منطقه اعلام كرد.
به هر حال از آنجايي كه اين ويروس، در شمار 10 ويروس آلوده كننده در ساير مناطق دنيا قــرار ندارد، ميتوان مطمئن شد كه اين ويروس هنوز به طور كامل منتشر نشده است . به عقيده كــارشناسان اگـر مردم همان مقدار احتياطي را كه در مورد گونه هاي قبلي به خرج داده اند، در اين مورد نيز رعايت كنند قطعاً با مشكلي مواجه نخواهند شد.
گزارشهاي ارسالي حاكي از اين امر است كه، تنها كامپيـوترهايــــي در معرض آلودگي به اين ويروس قرار دارندكه قبلاً نشبت به كرم قبلي كه حدود 190000 ميزبان را آلــوده كرد ، ايمن نشده اند. اين كرم همانند مادرش(Nimda)، مي تواند كــامپيوترهاي شخصي وسرورها را به چهار روش آلوده كند :
1. از طريق پيوست يك پست الكترونيكي
2.نفوذ در سرورهاي آسيب پذيري كه نرم افزار IIS مايكروسافت را اجرا مي كنند.
3. از طريق هارد ديسكهاي به اشتراك گذاشته شده.
4.با فريب دادن مرورگرها براي انتقال كرمها از سرورهاي آلوده .
به نظر مي رسد كه تاكنون ، روش اول(پـسـت الكترونيكــي) موثرترين روش در انتقال اين ويروس جديد بوده است.
Nimda , Nimda.E آدرسهاي پست الكترونيكـي را از برنامه هاي پست الكترونيكي گرد آوري مي كنند كه از رابط هاي MAPI(رابط نـرم افزارهاي پيام رساني) شامل outlook مايكروسافت و outlook express پـشـتـيـبـانـي مـي كنند، Nimda.E براي ارسال پيغامها، جهت پر كردن فيلدهاي فرستنده (sender) و گيرنده ( recepient) ، از اين آدرســـهاي پست الكترونيك استفاده ميكند.
آدرس صفحات وبي كه در پوشه cache مرورگـــر، ذخيره ميشوند نيز، مورد استفاده اين كرم نيز قرار مي گيرد. نامه هايي كه از كامپيوتر آلوده ارســال مــي شوند،از طريق افرادي كه آدرســـهاي آنها توسط nimda كشف شده اند فرستاده ميـشود. فايلهايــي كــه اين ويروس براي آلوده كردن كامپيوترها، از آنها استفاده ميكند، با اسامــي ديگري نام گـذاري مي شوند. مثلاً فايلي كه براي آلــــوده كردن هاردديسكهاي به اشتراك گذاشته شده در شبكه به كار مي رود،((Crss.exe))نام دارد، در حاليكه كرم اصلي براي اين منظور از فايل((mmr.exe)) استفاده ميكرد.
اين كـــرم زماني كـه از طريق پست الــكـترونيكــي منتشر ميشود از نام (Sample.exe) استفاده ميكند،درحاليكه نام اصلي آن (readme.exe ) است.
نهايتاً اينكه فايلي كه بر روي سرور آلوده قرار ميگيرد،((httpodbc.dll)) نام دارد، در حالي كه كـرم اصلي نامش را از فايل ((admin.dll)) گرفته است .( توجه داشته باشيد كه Nimda معكـــــوس كلمه admin اختصار كلمات System administrator به معني مدير شبكه است.)

ويروس MIGRAM
نوع ويروس : ويروس فايلي مقيم در حافظه
روش تخريب وسرايت:
اين ويروس فايلهاي EXE و com را هنــگام اجرا يا باز كردن آلـــوده مي كـــــند و اندازه فايلـــها را به انــــدازه 1219 تا 1221 بايت افزايش ميدهد. يادآوري اين نكته ضروري است كه اين ويروس فقط فايلهايــي را كه اندازه آنها بين 1221 و75000 بايت است، آلوده ميكند.
ويروس شامل متن MIGRAM VIRUS 1.0 (C) 1993 IVLميباشد. در صورتي كه يك فايل COM اجرا شود، اولـــين ZIP فايل موجــود در فهرست، حذف ميشود. در صورت اجراي يك فايل EXE در روز شنبه ، تراكــــهاي صفر تا پنج از ابزار فيزيكي 2 فرمت مي شوند و پيغام فوق نمايش داده مي شود. ابـــزار فيزيكي 2 ، سومين ، درايو فلاپي ديسك ميباشد.ويروس عضو خانواده Swami مي باشد.

ويروس NATAS
نوع ويروس: چند گانه
روش تخريب وسرايت:
فايلهاي COM و EXE را اجرا وبستن آلوده ميكند (به عنوان مثال، هنگامي كه فايل را كپي مي كنيد، هم مبداء و هم مقصد آلوده ميشوند.) فايلهاي COM بزرگتر از60662 و كوچكتر از 100 بايت و فايلهاي EXE بزرگتر از 938040 آلوده نمي شوند. ويروس همچنين سكتور راه اندازي فلاپي ديسكها و سكتور بخش بندي را آلوده ميكند.
سكتور بخش بندي هاردديسك، هنگام اجراي يك برنامه آلوده يا هنگام راه اندازي از طريق يك فلاپي ديسك آلوده ، آلوده خواهند شد.همچنين فلاپي ديسكها هنگام خوانده شدن آلوده مي شوند.(به عنوان مثال داخل فرمانهاي DIR يا COPY ). اين ويروس اندازه فايل را 4744 افزايش ميدهد. هنگامي كه برنامه آلوده اجرا ميشود يا هنگام راه اندازي از يك فلاپي ديسك آلوده، اين ويروس در حافظه مقيم شده و سكتور بخشبندي را آلوده ميكند. ويروس، سكتور بخش بندي اصلي را تغيير محل نمي دهد. ويروس كد اجراي بخش بندي را خراب كرده 41 بايت را تغيير داده ولي جدول بخشبندي را تغييري نميدهد. كد اضافي ويروس در 9 سكتور انتهايي اولين تراك به استثناي آخرين سكتور، ذخيره ميشود.
اين ويروس سكتور راه اندازي فلاپي ديسكهاي موجود در كامپيوتر را آلوده ميكند ولي سكتور راه انداز اصلي را جابجا نميكند. ويروس سكتور راه انداز را خراب كرده و 41 بايت را تغيير ميدهد.كد اضافي ويروس در 9 سكتور انتهايي ديسك ذخيره شده و BPB براي اطمينان از اينكه سكتورها توسط داده ها بازنويسي نشده اند، بسته ميشود. فايلهاي آلوده شده توسط اين ويروس بصورت متغيير كدگذاري شده و چند شكلي هستند.
اين ويروس هنگام مقيم شدن در حافظه، خودش را پنهان ميسازد. اگر سكتور بخشبندي آزمايش شود. سكتور بخشبندي اصلي هنگام مقيم بودن ويروس، نمايش داده ميشود.ويروس كد اضافي موجود در انتهاي اولين تراك را پنهان نميسازد. برخلاف بيشتر ويروسهاي كاملاً پنهان اين ويروس ميتواند فايلهاي پشتيبان (PCBACKUP,BACKUP)، آرشيوي (LHARK,PKZIP)، و فايلهاي آلوده ناشي از مودم (ZMODEM,XMODEM, …) را آلوده كرده و انتقال دهد. همچنين اين ويروس، گزارشات خطاي سيستم را توسط فايل CHKDSK نمايش نميدهد و افزايش اندازه فايل را نيز پنهان ميسازد.
هنگامي كه PC از طريق يك هاردديسك آلوده راه اندازي ميشود، يك تقريب 1 به 512 وجود دارد كه ويروس فعال شده و تمام هاردديسكهاي سيستم را فرمت كرده و داده هاي روي آنها را از بين ببرد.ويروس همچنين هنگام اشكال زدايي نيز فعال ميشود. رشته زير در داخل اين ويروس كدگذاري شده است.
Natas BACK and MODEM
نويسنده ويروس كسي است كه SatanBuy را نوشته است.
تذكر مهم :
به دليل اينكه ويروس خودش را مخفي ميكند، پاك كردن كل سيستم ازآلودگي مهم ميباشد،حتي ديسكهاي write_protect شده DOS و تمام نرم افزارهاي موجود روي ديسك نيز بايد ويروس يابي شوند. اگر يك برنامه آلوده اجرا شود، تمام سيستم آلوده شده و ويروس در حافظه مقيم ميشود، لذا شناسايي آن براي ويروس ياب كار مشكلي خواهد بود، زيرا ممكن است خود برنامه ويروس ياب نيز آلوده شده باشد. به همين دليل دكتر سالمون ميكند كه برنامه هاي Anti-Virus Tollkit از طريق فلاپي ديسك write_protect شده اصلي اجرا شود تا ويروس حذف شود. اين ويروس از طريق FIND VIRUS ،در حافظه پيدا ميشود.

ويروس LOVE BUG
تاريخ كشف:2000/5/11
روش تخريب وسرايت:
اين ويروس همانند بسياري ديگر از ويروسها از طريق E.mail گسترش يافت پيغام
اين E.MAIL ،ILOVEYOU است كه فايلي به نام
LOVE-LETTER-FOR-YOU.TXT.VBS
ضميمه آن بود. اين ويروس توانست كــــامپيوترهارا همانند يك حلقه دومينومورد حمله قراردهد. اين ويروس جديد و مرگبار بدون هيچگونه علامت و نشانه اي با سرعت نور جهان را در نورديد و ارتباطات جهانـي را مختل كرد وموجب توقف فعاليتهاي تجاري شد، فقط به اين دليل كه حاوي پيام جذاب وجالب نظير:
ّ آه،فقط نگاهي به من بيانداز، من حاوي يك پيغام شور انگــيز از يك عاشق بيقرارم ّ كارشناسان بلافاصله به وي لقب LOVEBUG را دادند. اما اين پيام عاشقانه در واقع يـك ويروس مخرب بود. در اولــين نمايش قدرت با توجه به اينكه اين يك ويروس 24 ساعته است، توانست دههـا ميليون كامپيوتررا مورد حمله قرار دهدوچيزي در حدود10 ميليارد دلار كار انجام شده را مورد تخريب قرار دهد.
اين ويروس با هرمعياري مخربترين و مضرترين ويروس است وآنچه اين ويروس را وحشتناكـــتر ميكند،مسئله سرعت انتقال آن است كه ميتواند در عرض دو ساعت موجب آلوده شدن كـامپيوتر هاي سراسر دنيا بشود كه اين زمان براي ويروس مليسا 6 ساعت بود.
تيم هاي كارشناسـي با توجه به شواهد و قرائن، محل انتشار اين ويروس را كشور فيليپين مي دانند. جسـتجوي آثار اين ويروس نشان داد كه در ايــن ويروس نام barok نهفته است كه نام اسب تراوا بوده است واين شبيه يكي از برنامه هاي كشف كلـــــــمه عبور است كه توسط يك خرابكــار فيليپيني نوشته شده است.شفافيت اين كلــمه باعث شده است كه كارشناسان معتقد باشند كه اين كلمه براي فريب دادن وپيدا نكردن ردپا دركد ويروس قرار داده شده است.آنچه كه كار بررسي و جستجو را مشكلتر و پيچيده تركرده پيدا است، شدن نسخه هــــاي جديدي از ويروس اصلي بود كه مي توانست كار خود نويسنده ويروس lovebug و يا ديگران باشد.
نظير يك آنفلونزاي واقعــي در آسيا، اين ويروس ابتدا در هنگ كنگ ظاهــر شد و سپس از اين محل با حركــت خورشيد به طرف غرب به آرامي در حسابهاي E.MAIL بسياري از شركتها رخنه كرد تا كاربران بي خبــــر از همه جا، برآن كليك كرده و آنرا بگــشايند. اين ويروس خسارات زيادي را در تمام جهان بوجود آورد ، در بلژيـــك باجه هاي كامپيوتري پرداخت پول نقد از كار افتادندومردم سرگردان و بدون پول ماندند. در پاريس و بسياري از شهر هاي مهم اروپايي صاحبـان مشاغل همه خدمات E.MAIL خود را روي مشتركين بستند و حدود 70 درصد كامپيوترها در آلمان،هلند وسوئد با مشكل مواجه شدند.
كمپانيهاي صدمه ديده عبارتنـد از: فورد زيمنس، سيليـــكان گرافيكيس وشركت سرمايه گذار فيدليتي. حتي شركت مايكروسافت كه نرم افزار آن هدف ويژه اين ويروس بوده، از ضربات اين ويروس در امان نبوده و مجبور به توقف خدمات E.MAIL در مركز خود در ردموند و واشنگتن شد. چگونگي عملكرد ويروس بدين صورت است كه وقتي شما كليــك كرده و پيوست مخرب نامه را باز مي كنيد، كــــد مخرب ويروس فعال ميشودوويروس،يا اطلاعات فايلها را پاك ميكند،يا آنها را انتقال ميدهد.
اين ويروس بصورت تصاوير ديجيتالي يا موسيقي با پسوندهاي .JPGو MP3 . و مـانند يـك ويروس طبيـعي نسخه اي از خود را در إطــلاعات فايل ها جايگزين ميــكند و سپس در صورت يافتـن بــرنامه -outlook express، به كتابچه آدرس آن حمله كرده و بـراي تمـام كساني كه در ليست قراردارند، نسخه اي از خود را ارسال مي كند.در حقيقت حركت دو مرحله اي ويروس از آن نه فقط يك ويروس بلـكه يـك كــرم تمام عيار مي سازد.
در حقيقت lovebug يك ويروس است براي اينــكه از هارد كامپيوتر ميزبان متولد شده و تكثير ميشود و يك كرم محسوب مي شود زيرا كه روي شبكه هم تكثير مي گردد.
  1. زهرا عباسی
  2. نرم افزار های امنیتی و آنتی ویروس ها
  3. یکشنبه, 31 خرداد 1394
  4.  اشتراک
هنوز نظری قرار داده نشده است
پاسخ صحیح Pending Moderation
1
رای
لغو
مرسی خوب بود
هنوز نظری قرار داده نشده است
  • صفحه :
  • 1


پاسخی ارسال نشده است
همچنین این پست قفل است و امکان ارسال نیز وجود ندارد
ham
javidan
faranovin2
nabisa
nbt.p
pol
tat
ayande
 
 
Top
آیا به تازگی با مجموعه اِپرا آشنا شده اید؟ آیا تمایل دارید اطلاعات بیشتری از ما داشته باشید؟ More details…