• پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است

ويروس

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروس Nimda چگونه خود را تکثير کرد؟
دوشنبه,15 دي 1382
نقل از: پرشين هك

اين ويروس با استفاده از مشکلي که در Header فايلهاي EML بود خود را تکثير کرد در زير ما به برسي اين مشکل خواهيم پرداخت . اگر شما با زبان HTML آشنائي داشته باشيد حتمآ از iframe استفاده کرده ايد اين وييروس اين با استفاده از اين TAG به صورت زير

HTML:
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0> 
</iframe >

وبا استفاده از کد زير براي قسمت Attachment فايل EML

کد:
Content-Type: audio/x-wav; 
name="readme.exe" 
Content-Transfer-Encoding: base64 
Content-ID: <EA4DMGBP9p>



خود را تکثير کرد در زِير اين قسمت فايل اجرائي قرار داشته که با نام readme.exe بود اشکال اين بود که فايلهائي که از نوع audio/x-wav با شند به صورت خود کار اجرا مي شود تگ IFRAME نِز بدون اينکه سوالي از کاربر بکند فايل را Download کرد و اجرار مي کرد بدون اين که ببنيد آيا فايل واقعآ Audio است يا خير .
لازم به ذکر است که اين مشکل در حال حاضر از بين رفته و با استفاده از Patch ويا نصب Service Packet3 مي توانيد از اين مشکل رهائي بابيد.

براي نوشتن اينگونه ويروس شما لازم است که يک فايل EML ساخته و فايل ويروس خود را به فايل الحاق کرده و کد اول را در بدنه فايل EML و کد دوم را در قسمتي که نام فايل الحاقي شما وجود دارد باز نويسي کند.
 

black_jack_of_black_city

Registered User
تاریخ عضویت
19 سپتامبر 2003
نوشته‌ها
1,506
لایک‌ها
73
سن
44
محل سکونت
با قلبی شکسته در انتظار مرگ گوشه ای نشستم . به آرز
بابا بيچاره شدم رفت نامرد 3 بار منو گرفته بود
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ايمني داده‌ها (آنتي‌ويروس‌هاي كامپيوتري)


Alladin Knowledge Systems
http://www.nai.com/
Dr.Solomons
http://www.drsolomons.com/
آنتي ويروسهاي مجاني http://www.nai.com/
دايره المعارف ويروسها http://www.avpve.com/
Data Fellows Crop
http://www.datafellows.com/
انستيتو EICAR http://www.eicar.com/
شركت نورمن http://www.norman.com/
آخرين اطلاعات ويروسهاي كامپيوتري http://www.wildlist.org/
شركت Symantec http://www.symantec.com/
شناسايي ويروسها http://www.virusbtn.com/
شركت Trend Micro http://www.antivirus.com/
Central Command Inc.
http://www.avP.com/
شركت نرم افزاري Proland http://www.pspi.com/
توليدكننده نرم افزارهاي كامپيوتري http://www.commandcom.com/
كسب آخرين اطلاعات ويروسهاي كامپيوتري IBM http://www.av.ibm.com
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
نوزاد NMIDA متولد شد

يك كارشناس ضد ويروس اعلام كرد كه گونه جديد كرم Nimda به تدريج از منطقه آسياي شرقي در حال انتشار است . اين گونه جديد كه Nmida . E ناميده مي شود . به همان شيوه كرم Nimda اصلي منتشر مي شود اما فايل هاي آن مشابه فايل هاي ويندوز موجود تغيير نام داده مي شوند .

ويندوز موجود تغيير نام داده مي شود .

آنتوني كو مدير فني شركت Trend Micro كه يك شركت تهيه نرم افزار هاي ضد ويروس است . اعلام كرد :

اولين گزارش دريافتي در مورد اين كرم از كره جنوبي و كمي بعد از آن از آمريكا و استرليا دريافت شد. تا كنون بيش از 2700 مورد از آلودگي گزارش شده است شركت Trend Micro . با استفاده از خطوط پشتيباني خود در آسيا و ويروس ياب On-Line و رايگان خود اين كرم را از لحاظ رتبه بندي دومين ويروس آلوده كننده فعال در منطقه اعلام كرد.

به هر حال از آنجايي كه Nmida . E در شماره ده ويروس عمده آلوده كننده در ساير مناطق دنيا قرار ندارد . مي توان مطمئن شد كه هنوز اين كرم به صورت گسترده انتشار نيافته است .

وينسنت گولوتو مدير تحقيقات يك تيم ضد ويروس . گفت :

من فكر نمي كنم كه اين ويروس خيلي مخرب باشد . اگر مردم همان ميزان احتياطي را كه در مورد گونه هاي قبلي به خرج مي دادند . در اين مورد نيز رعايت كنند با مشكلي روبرو نخواهد شد.

گزارشهاي ارسالي حاكي از اين امر است كه تنها كامپيوتر هايي در معرض آلودگي به اين ويروس قرار دارند كه قبلا نسبت به كرم قبلي كه حدود 160 هزار ميزبان را آلوده كرده . ايمن نشده اند .اين كرم همانند مادرش (NMIDA) مي تواند كامپيوتر هاي شخصي و سرورها را به 4 روش آلوده كند:
از طريق يك پيوست پست الكترونيكي


نفوذ در سرور ها ي آسيب پذير كه نرم افزار IIS مايكروسافت را اجرا مي كنند

از طريق هارد ديسك هاي به اشتراك گذاشته شده

با فريب دادن مرورگرها براي انتقال كرمها از سرور هاي آلوده

به نظر مي آيد كه تا كنون روش اول (پست الكترونيكي) موثرترين روش در گسترش آلودگي اين كرم جديد بوده است . Nmida , Nmida .E آدرس هاي پست الكترونيكي را از رابطه هاي MAPI (رابطه نرم افزار هاي پيام رسان) شامل Outlook مايكروسافت و Outlook Express پشتيباني مي كنند . Nimda .E براي ارسال پيغامها جهت پر كردن فيلد هاي فرستنده (SENDER) و گيرنده (RECIPIENT) از اين آدرس هاي پست الكترونيك استفاده مي كند .

آدرس صفحات وبي كه در پوشه Cache مرورگر ذخيره مي شوند نيز مورد استفاده اين كرم قرار مي گيرند نامه هايي كه از كامپيوتر هاي آلوده ارسال مي شوند از طريق افرادي كه آدرسهاي آنها توسط Nmida كشف شده اند . فرستاده مي شود

فايل هايي كه Namida . E براي آلوده كردن كامپيوترها . استفاده مي كند با اسامي ديگري نام گذاري مي شوند . مثلا فايلي كه براي آلوده كردن هارد ديسك هاي به اشتراك گذاشته شده در شبكه به كار مي رود " Crss.exe " نام دارد . در حالي كه كرم اصلي (nmida) براي اين منظور از فايل “ mmr.exe” استفاده مي كرد. اين كرم زماني كه از طريق پست الكترونيكي منتشر ميشود از نام “Sample.exe” استفاده مي كند در حالي كه نام اصلي آن “redme.exe” است .

نهايتا اينكه فايلي كه بر روي سرور آلوده قرار مي گيرد . “ httpodbc.dll” نام دارد . در حالي كه كرم اصلي NMIDA نامش را از فايل “admin.dll” گرفته است .( توجه داشته باشيد كه nmida معكوس كلمه admin اختصار كلمات System Administrator به معني مدير شبكه است .
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
مقدمه اي بر ويروسهاي كامپيوتري
پيش از يك دههً قبل فردى به نام " فرد كوهن " اولين ويروس كامپيوترى را بعنوان يك پروژه دانشجويى نوشت كه قادر
بود خود را بصورت انگل وار تكثير كرده ، به برنامه هاى ديگر بچسباند و تغييراتى را در آنها بوجود آورد. علت نام گذارى ويروس بر روى اينگونه برنامه ها ، تشابه بسيار زياد آنها با ويروسهاى بيولوژيكى است زيرا ويروسهاى كامپيوترى نيز مانند ويروسهاى بيولوژيكى بطور ناگهانى تكثير مىشوند و در حالى كه ممكن است بر روى يك ديسك وجود داشته باشند تا زمانى كه شرايط مناسب نباشد فعال نخواهند شد .

براى كاربران معمولى ممكن است حداكثر ضرر ناشى از يك ويروس خطرناك ، نابود شدن اطلاعات و برنامه هاى مهم موجود بر روى كامپيوتر شان باشد ، اما ضرر و زيان ناشى از ويروس هاى مخرب بر روى شبكه هاى ارتباطى مراكز تجارى و اقتصادى ممكن است موجب تغيير و يا حذف اطلاعات مالى شركت ها و اشخاص گردد و خسارات مالى ، اقتصادى و تجارى سنگين و جبران ناپذيرى را در پى داشته باشد و يا حتى تاثير ويروس در سيستم هاى كامپيوترى يك پايگاه نظامى هسته اى ممكن است منجر به خطر افتادن حيات انسانها و كره زمين گردد .

بنابراين با عنايت به خطرات نامحدود و جبران ناپذير ويروس هاى كامپيوترى كه هر روز بطور سرطان گونه توليد مىگردند متخصيصن علوم كامپيوترى بر آن شدند تا برنامه هايى را براى نابودى ، پاكسازى و يا پيشگيرى از شيوع اينگونه ويروسها تهيه كنند . اگر چه تاكنون برنامه هاى زيادى براى اين منظور طراحى و توليد شده است ولى اينگونه از برنامه ها الزاماً بايد متناسب با توليد و اشاعه ويروسهاى جديد ، اصلاح و دوباره سازى گردند .

ويروسهاى كامپيوترى برنامه هاى نرم افزارى كوچكى هستند كه به يك برنامه اجرايى يا نواحى سيستمى ديسك متصل شده و همراه آن اجرا مىشوند لذا ويروس كامپيوترى از جنس برنامه هاى معمولى كامپيوتر است كه توسط برنامه نويسان نوشته شده ، به طور ناگهانى توسط يك فايل اجرايى يا جاگرفتن در ناحيه سيستمى ديسك به كامپيوترديگر مستقل مىشود و پس از اجراى فايل آلوده به ويروس و يا دسترسى به يك ديسك آلوده توسط كاربر ، ويروس بطور مخفى در حافظه قرار مىگيرد و با اجراى يك برنامه غير آلوده ، با توليد نسخه اى از خود، آن را آلوده مىكند و اين روند در موقع انتقال و جابجايى اطلاعات بين كامپيوترها و اجراى برنامه ها تكرار مي شود و پس از گذشت زمان كوتاهى كامپيوترهاى موجود در يك اتاق ، اداره ، كشور و يا حتى در سراسر جهان آلوده به ويروس مىگردند و از آنجا ويروس هابطور مخفيانه عمل مىكنند ، تا وقتى كه كشف و پاكسازى نگردند ، برنامه ها و كامپيوتر هاى زيادى را آلوده مىكنند وبنابراين پيدا كردن سازنده اصلي آن تقريباً غير ممكن است.

ويروسهاى اينترنتى از اين گروه از ويروسها هستند كه باعث خرابىهاى زيادى در سيستمهاى كامپيوترى جهان شده اند .

ويروسهاى اينترنتى

به احتمال بسيار،همگى ما درباره ويروس love كه به صورت پست الكترونيك خود را براى كاربرد هاى اينترنت ارسال مى كرد، چيزهايى شنيده ايم. اين ويروس پس از مورد حمله قرار دادن يك كامپيوتر، با دستبرد به دفتر آدرس ها (adress book) در برنامه ارسال و دريافت پست الكترونيك out look، با استفاده از

آدرسهاى فهرست شده درآن، خود را منتشر مى كرد. سال گذشته نيز همين روش توسط ويروس وحشتناك مليسا(Melissa) مورد استفاده قرار مى گيرد و تا كنون ويروس هاى كوچكترى نيز مانند pretty park به اين شيوه خود را پراكنده اند.چنين به نظر مى رسد كه پست الكترونيك به عنوان شيوه موثر ارتباط در دنياى اينترنت، بهترين بستر براى انتشار بعضى از ويروس ها تبديل شده است.

در خبرها شنيده شده است كه نويسنده ويروس love دستگير شد. اما پس از دستگيرى اين شخص در اين مدت كوتاه با كمال تعجب شاهد انتشار ويروس ديگرى هستيم كه طرز رفتارى بسيار مشابه پدر خوانده خود يعنى ويروس love دارد. به گفته متخصصان مركز تحقيقات ويروس شناسى سيمانتيك اين ويروس حتى از ويروس love مخرب تر است. اين ويروس كه به new love شهرت يافته ، در نخستين دو روز فعاليت خود هزاران كامپيوتر را در سر تاسر جهان آ لوده كرد. شناسايى اين ويروس از آنجا كه هر بار از طريق نامه اى با عنوان (subject) متفاوت خود را ارسا ل مى كند بسيار دشوارتر است. اما خوشبختانه مجموع خسارت آن به پاى ويروس love نرسيده. چرا كه با آ مادگى ذهنى كه ويروس love ايجاد كرده بود، بسيارى از شركتهاى بزرگ چند ميليتى در نخستين اقدام توانستند از پذيرش نامه هاى آلوده جلوگيرى كنند ودر اصطلاح كامپيوترى آن را blick كنند.

اين ويروس مخرب علاوه بر از بين بردن فايلهاى ذخيره شده در كامپيوتر ، باعث از كار افتادن سيستم عامل كامپيوتر نيز ميشود. اين ويروس هرچند از نظر فنى پيچيده ترازويروس love است اما فاقدهرگونه محرك خاصى است. ويروس love از يك پيام تحريك كننده (I love you) در خط عنوان خود بر خوردار است ويك پيام عاشقانه به نام (love letter) به آن پيوسته است. اين ويروس حدود ده بيليون دلار خسارت به جا گذاشت. اما ويروس new love فاقد چنين عبارت هايى است وهر بار با يك نام متفات خود را به نامه اى پيوست وارسال مى كند. تنها قسمت مشابه در نامه هاى حاوى اين ويروس ، پسوند سه حرفى فايل پيوست شده به آن يعنى " .vbs" است .

ويروس love نه تنها از طريق برنامه Microsoft outlook دريافت مى شود. در بسته Microsoft office به همراه چندين برنامه مفيد ديگر مانند word ، excel ، access، .... نيز دريافت شده است
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروس كامپيوتري چيست؟

ويروس كامپيوتر برنامه‌اي است كه مي‌تواند نسخه‌هاي قابل اجرايي از خود را در برنامه‌هاي ديگر قرار دهد. هر برنامه آلوده مي‌تواند به نوبه خود نسخه‌هاي ديگري از ويروس را در برنامه‌هاي ديگر قرار دهد. برنامه‌اي را بايد برنامه ويروس ناميد كه همگي ويژگيهاي زير را داشته باشد:
1) تغيير دادن نرم افزارهايي كه به برنامه ويروس متعلق نيستند با چسباندن قسمتهايي از برنامه ويروس به اين برنامه‌هاي ديگر
2) قابليت انجام تغيير در بعضي از برنامه‌ها.
3) قابليت تشخيص اينكه يك برنامه قبلاً تغيير داده شده است يا خير.
4) قابليت جلوگيري از تغيير بيشتر يك برنامه در صورتي كه معلوم شود قبلاً توسط ويروس تغيير داده شده است.
5) نرم افزارهاي تغيير داده شده ويژگيهاي 1 الي 4 را به خود مي‌گيرند. اگر برنامه‌اي فاقد يك يا چند خاصيت از خواص فوق باشد، آنرا نمي‌توان به طور قاطع ويروس تلقي كرد
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
آشنايي با انواع مختلف برنامه‌هاي مخرب

E-mail virus

ويروسهايي كه از طريق E-mail وارد سيستم مي‌شوند معمولاً به صورت مخفيانه درون يك فايل ضميمه شده كه مي‌تواند در قالب يك صفحه با فرمت HTML و يا يك فايل قابل اجراي برنامه‌اي (يك فايل كد شده قابل اجرا) و يا يك word document باشد كه با باز كردن آنها فعال مي‌شوند.

شما فقط با خواندن يك متن سادة پيغام يك e-mail و يا استفاده از netpost ويروسي دريافت نخواهيد كرد. بلكه چيزي كه بايد مراقب آن بود پيغامهاي رمز شدة حاوي كدهاي اجرائي قرار داده شده درآنها و يا پيغامي كه حاوي فايل اجرائي ضميمه شده (يك فايل برنامه‌اي كد شده و يا يك word document كه حاوي ماكروهايي باشد) است. از اين رو براي به كار افتادن يك ويروس و يا يك برنامه اسب تروا كامپيوتر مجبور است بعضي كدها را اجرا نمايد كه اين كد مي‌تواند يك برنامه ضميمه شده به يك e-mail و يا يك word document دانلود شده از اينترنت و يا حتي مواردی از روي يك فلاپي ديسك باشد
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
Marco virus

اين نوع ويروسها معمولاً در داخل فايلهايي كه حاوي صفحات متني (word document) نظير فايلهاي برنامه‌هاي Ms office مانند microsoft word و Excel هستند به شكل ماكرو قرار دارند.
توضيح ماكرو: نرم افزارهايي مانند microsoft word و Excel اين توانايي را به كاربر مي‌دهند كه در صفحه متن خود ماكرويي را ايجاد نموده كه اين ماكرو مي‌تواند حاوي يكسري دستور العملها، عمليات‌ها و يا keystrok ها باشد كه تماماً توسط خود كاربر تعيين مي‌شوند.
ماكرو ويروسها معمولاً طوري تنظيم شده‌اند كه خود را به راحتي در همه صفحات متني ساخته شده با همان نرم افزار (Excel , ms word) جاي مي‌‌دهند.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
اسب تروآ:

سابقه انگيزة اين نوع برنامه حداقل به اندازه خود اسب تروآي اصلي است. عملكرد اين نوع برنامه‌ها هم ساده و هم خطرناك است.
در حاليكه كاربر با تصاوير گرافيكي زيبا و شايد همراه با موسيقي مسحور گردانده شده است، برنامه بدون متوجه شدن كاربر عمليات مخرب خود را انجام مي‌دهد.
براي مثال شما به خيال خودتان يك بازي جديد و مهيجي را از اينترنت Download كرده‌ايد ولي وقتي آنرا اجرا مي‌كنيد متوجه خواهيد شد نه تنها بازي‌اي در كار نيست بلكه ناگهان متوجه خواهيد شد تمام فايلهاي روي هارد ديسك شما پاك شده و يا به طور كلي فرمت گرديده است.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
كرمها (worm)

برنامه كرم برنامه‌اي است كه با كپي كردن خود توليد مثل مي‌كند. تفاوت اساسي ميان كرم و ويروس اين است كه كرمها براي توليد مثل نياز به برنامة ميزبان ندارند. كرمها بدون استفاده از يك برنامة حامل به تمامي سطوح سيستم كامپيوتري «خزيده» و نفوذ مي‌كنند.
کرم ها برنامه هايي هستند كه بدون آنكه برنامه هاي ديگر را آلوده كنند، تكثير مي يابند. بعضي از كرم ها از طريق كپي كردن خود از دسيكي به ديسك ديگر گسترش مي يابند. آنها به دنبال نوع هاي خاصي از فايل ها در ديسك ها و سرويس دهنده ها2 مي گردند و در صدد آسيب يا نابودي آنها بر مي آيند. مثلاً مي توان به پاك كردن Registry توسط آنها اشاره كرد. بعضي كرم ها در حافظه تكثير مي شوند و هزاران كپي از خود را به وجود مي آورد و همه آنها به طور همزمان، شروع به فعاليت مي كنند كه موجب پايين آمدن سرعت سيستم مي شوند. نوع هاي مختلفي از كرم وجود دارد كه اينجا نمي توان به همه آنها پرداخت.
كرم ها نيز مانند اسب هاي تراوا ويروس نيستند ، بنابراين بايد آنها را از كامپيوتر پاك كرد.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروسهاي بوت سكتور و پارتيشن

Boot sector بخشي از هر ديسك سخت و فلاپي ديسك است كه هنگامي كه سيستم از روي آنها راه‌اندازي مي‌شود به وسيله كامپيوتر خوانده مي‌شود. Boot Sector يك ديسك سيستم شامل كدي است كه براي بار كردن فايلهاي سيستم ضروري است. ديسكهايي كه شامل داده هستند و غير سيستم مي‌باشند. حاوي كدي هستند كه براي نمايش پيغامي مبني بر اينكه كامپيوتر نمي‌تواند به وسيله آن راه‌اندازي شود، لازم است.
سكتور پارتيشن اولين بخشي از يك ديسك سخت است كه بعد از راه‌اندازي سيستم خوانده مي‌شود. اين سكتور شامل اطلاعاتي دربارة ديسك از قبيل تعداد سكتورها در هر پارتيشن و موقعيت همه پارتيشن‌ها مي‌باشد.
سكتور پارتيشن، همچنين ركورد اصلي راه‌اندازي يا Master Boot Record -MBR نيز ناميده مي‌شود.
بسياري ازكامپيوترها طوري پيكربندي شده‌‌اند كه ابتدا از روي درايو: A راه‌اندازي شوند. (اين قسمت در بخش Setup سيستم قابل تغيير و دسترسي است) اگر بوت سكتور يك فلاپي ديسك آلوده باشد، وقتي كه قصد داريد سيستم را از روي آن راه‌اندازي كنيد، ويروس نيز اجرا مي‌شود و ديسك سخت را آلوده مي‌كند.
اگر حتي ديسك شما حاوي فايلهاي سيستمي نباشد ولي‌ آلوده به يك ويروس بوت سكتوري باشد اگر اشتباهاً ديسكت را درون فلاپي درايو قرار دهيد و كامپيوتر را دوباره‌ راه‌اندازي كنيد پيغام زير مشاهده مي‌شود ولي ويروس بوت سكتوري پيش از اين اجرا شده است و ممكن است كامپيوتر شما را نيز آلوده كرده باشد.
Non-system disk or disk error
Replace and press any key when ready​

كامپيوترهاي بر پايه Intel در برابر ويروسهاي Boot Sector و Partition Table آسيب پذير هستند.
اينگونه ويروسها مي‌توانند هر كامپيوتري را صرف نظر از نوع سيستم عامل آن تا وقتي كه ويروس قبل از بالا آمدن سيستم اجرا گردد، آلوده كنند.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
HOAX (گول زنك‌ها)

اين نوع ويروسها امروزه بازار داغي را دارند، پيغامهاي فريب آميزي كه كاربران اينترنت را گول زده و به كام خود مي‌كشد. به ويژه وقتي كه كاربر بيچاره كمي هم احساسي باشد. اين نوع ويروسها معمولاً به همراه يك نامه ضميمه شده از طريق پست الكترونيك وارد سيستم مي‌شوند. متن نامه مسلماً متن مشخصي نمي‌باشد و تا حدودي بستگي به روحيات شخصي نويسنده ويروس دارد، گاهي ممكن است تهديد آميز و يا بالعكس محبت آميز و يا مي‌تواند هشداري مبني بر شيوع يك ويروس جديد در اينترنت و يا درخواستي در قبال يك مبلغ قابل توجه و يا هر چيزي ديگري كه انسان را وسوسه كرده تا دست به عملي بزند را شامل شود. البته ناگفته نماند كه همه اين نامه‌ها اصل نمي‌باشند يعني ممكن است پيغام شخص سازنده ويروس نباشد بلكه يك پيغام ويرايش شده و يا به طور كلي تغيير داده شده توسط يك كاربر معمولي و يا شخص ديگري باشد كه قبلا اين نامه‌ها را دريافت كرده و بدينوسيله ويروس را با پيغامي كاملاً جديد مجدداً ارسال مي‌كند.
نحوه تغيير پيغام و ارسال مجدد آن بسيار ساده است و همين امر باعث گسترش سريع Hoax‌ها شده،‌ با يك دستور Forward مي‌توان ويروس و متن تغيير داده شده را براي شخص ديگري ارسال كرد. اما خود ويروس چه شكلي دارد؟ ويروسي كه در پشت اين پيغامهاي فريب آميز مخفي شده مي‌تواند به صورت يك بمب منطقي و يا يك اسب تروا باشد و يا شايد يكي از فايلهاي سيستمي ويندوز ما، شيوه‌اي كه ويروس Magistre-A از آن استفاده مي‌كند و خود را منتشر مي‌كند
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروسهاي چند جزئي Multipartite virus

بعضي از ويروسها، تركيبي از تكنيكها را براي انتشار استفاده مي‌كنند و فايلهاي اجرائي، بوت سكتور و پارتيشن را آلوده مي‌كنند. اينگونه ويروسها معمولاً تحت windows 9Xيا Win.Nt انتشار نمي‌يابند
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروسهاى فايل (File Viruses)

اين دسته از ويروسها فايلهاى باينرى را آلوده مىسازند (فايلهاى اجرايى و كتابخانه اى پويا). ويروسهاى مذكور معمولا داراى پسوند هاى "sys، com، exe، يا dll " مىباشند.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
ويروسهاى ماكرو (Macro Viruses):

ويروسهاى ماكرو فايلهاى اسنادى استفاده شده توسط "Ms Office" و ساير برنامه ها را آلوده ساخته دستورات ماكرو را پشتيبانى مىكنند (معمولا به زبان ويژوال بيسيك نوشته مىشوند).
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
تاريخچه ويروسهاى كامپيوتري
1949:
HOME
برای اولين بار تئوری برنامه هايی که خودشان را جايگزين می نمايند مطرح گرديد.

1981:
ويروسهای Apple 1, Apple 2, Apple 3 از اولين ويروسهايی بودند که پا به عرصه عمومی نهادند. اين ويروسها توسط کمپانی Texas A&M برای جلوگيری از کپی های غير مجاز بازيهای کامپيوتری نوشته و سپس شايع شدند. اين ويروسها ويژه سيستم عامل Apple II بودند.

1983:
فرد کوهن (Fred Cohen) زمانيکه بر روی رساله دکترايش کار می کرد رسما يک ويروس کامپيوتری را چنين تعريف نمود:
"يک برنامه کامپيوتری که می تواند روی ساير برنامه های کامپيوتری از طريق تغيير دادن آنها به روشی (شايد) مانند کپی کردن خودش بر روی آنها، تاثير بگذارد."

1986:
دو برادر برنامه نويس پاکستانی به نامهای "بسيط" و "امجد" کد قابل اجرای موجود در بوت سکتور يک فلاپی ديسک را با کد خودشان (که برای آلوده نمودن فلاپی ديسکهای 360KB نوشته بودند) جايگزين کردند. تمام فلاپی های آلوده دارای برچسب " Brain© " بودند. بنابراين، اين ويروس " Brain" يا "مغز پاکستانی" نام گرفت.
همزمان در کشور اتريش برنامه نويسی به نام رالف برگر "Ralf Burger" دريافت که يک برنامه می تواند از طريق چسباندن خودش به انتهای يک برنامه ديگر تکثير شود، او با استفاده از اين ايده برنامه ای به نام "Virdem" نوشت که پديده فوق را شبيه سازی می نمود. پس از آن برگر "Virdem" را در کنفرانسی به همه معرفی نمود.
برگر همچنين کتابی درباره ويروسهای کامپيوتری نوشت و در آن سورس ويروسی به نام "Vienna" را چاپ کرد که اين مساله بعدا باعث سو ء استفاده بسياری از افراد گرديد.
1987:
يک برنامه نويس آلمانی ويروسی به نام "Cascade" نوشت. اين ويروس، اولين ويروسی بود که روش رمز کردن (Encryption) را به کار می برد. در اين روش بيشتر کد ويروس به غير از چند بايت از آن به صورت رمز شده در می آيد و از آن چند بايت بعدآ برای رمز گشايی بقيه کد ويروس استفاده می شود. در اين صورت تشخيص ويروس برای آنتی ويروسها بسيار مشکلتر می باشد و ديگر رشته تشخيص ويروس (که در آنتی ويروسها به کار می رود) به چند بايت محدود نمی شود.
بعدها برنامه نويسی به نام مارک واشبرن "Mark Washburn" با استفاده از اين ايده و سورس ويروس "Vienna" اولين ويروس هزار چهره (Polymorphic) به نام "1260" را نوشت.

1988:
ويروس "Jerusalem" منتشر شد و به يکی از شايع ترين ويروسها تبديل گشت. اين ويروس در روزهای جمعه ای که مصادف با سيزدهم هر ماه بودند فعال می شد و ضمن آلوده نمودن فايلهای Com و Exe، هر برنامه ای که در آن روز اجرا می شد را نيز پاک می نمود.

1989:
در ماه مارچ مهمترين موضوع ويروسی، خبری بود که حکايت از فعال شدن ويروسی به نام "Datacrime" در ماه آوريل داشت. اما پس از بررسی سورس کد ويروس معلوم شد که اين ويروس در هر تاريخی پس از روز سيزدهم اکتبر فعال شده و اقدام به فورمت کردن سيلندر صفر هارد ديسک که محل استقرار جدول FAT است، می نمايد. بدين ترتيب کاربران تمامی محتوای هارد ديسک شان را از دست می دهند. ويروس "Datacrime" به احتمال زياد در کشور هلند نوشته شده بود ولی آمريکايی ها اسم آنرا ويروس "Columbus Day" گذاشتند و اعتقاد داشتند که توسط تروريستهای نروژی نوشته شده است. اما اين ويروس علی رغم سر و صدای زيادش، خسارتهای چندانی به بار نياورد. در اين سال همچنين ويروس نويسان بلغاری و روسی وارد عرصه ويروس نويسی شدند.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
1990:
مارک واشبرن "Mark Washburn" ابتدا ويروس هزار چهره "1260" و سپس بر همان اساس ويروسهای "V2P1"، "V2P2" و "V2P6"را نوشت و سورس کد آنها را منتشر نمود، هر چند که بعدا ويروس نويسان اين کد ها را به کار نبردند و حتی اين ويروسها خطر چندانی هم نداشتند ولی ايده موجود در آنها الهام بخش بسياری از ويروس نويسان شد.
از طرف ديگر در بلغارستان ويروس نويس ماهری با نام مستعار "Dark Avenger" چند ويروس خطرناک به نام های
"Dark Avenger-1800"، "Number of the Beast" و "Nomenklatura" را نوشت. ويروسهای وی دارای دو ويژگی مهم "آلوده سازی سريع" و "صدمه زدن زيرکانه" بودند. "Dark Avenger" بصورت فعالانه ای از طريق آلوده نمودن برنامه های Shareware و ارسال آنها به BBS ها اقدام به پخش ويروسهايش نيز می نمود. در اين سال برای اولين بار در بلغارستانBBS هايی برای داد و ستد ويروسها به وجود آمد، همچنين در اين سال کمپانی Symantec نيز آنتی ويروس Norton را به بازار عرضه نمود.

1991:
سر و کله ويروس "Tequila" از کشور سوئيس پيدا شد. اين ويروس، ويروس هزار چهره کاملتری بود که پا به عرصه عمومی گذاشت و بسيار شايع شد. پس از آن نوبت انتشار ويروس هزار چهره ديگری به نام "Amoeba" از کشور مالت رسيد. تشخيص ويروسهای هزار چهره به دليل اينکه پس از هر بار آلوده سازی ظاهرشان را تغيير می دهند، برای اسکنرهای ويروس بسيار سخت تر می باشد.
"Dark Avenger" هم در انتهای اين سال موتور خود تغيير دهنده "MtE" را ابداع کرد که می توانست چهار ميليارد شکل مختلف به خود بگيرد و با پيوند زدن آن به هر ويروسی، يک ويروس کاملا چند شکلی پديد می آمد. وی سپس با استفاده از MtE ويروسهای "Dedicated" و "Commander Bomber" را به دو سبک کاملا متفاوت نوشت.



1992:
تعداد ويروسها به هزار و سيصد عدد رسيد که در مقايسه با ماه دسامبر سال 1990 چهارصد و بيست درصد افزايش يافته بود. همچنين در اين سال پيش بينی شد که خطر ناشی از انتشار ويروس "ميکل آنژ" پنج ميليون کامپيوتر را تهديد به نابودی خواهد کرد، که البته اين رقم در عمل به بيش از ده هزار تا نرسيد. علاوه بر اينها ويروس هزار چهره جديدی با نام "Starship" پا به ميدان نهاد، نرم افزارهای توليد ويروس توسط دو ويروس نويس با نامهای مستعار "Nowhere Man" و "Dark Angel" نوشته شدند و در انگلستان نيز گروه ويروس نويسی "ARCV" تأسيس شد.

:1993 - 1994
گروه ويروس نويسی جديدی به نام "Tridend" در کشور هلند فعاليت خود را آغاز نمود و موتور جديدی به نام "TPE" را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ويروسهای "Girafe"، "Cruncher" و "Bosnia" را نوشتند. در آمريکا هم "Dark Angel" به کمک موتور ابداعی اش موسوم به "DAME" ويروس "Trigger" رانوشت.

:1995
"Concept" اولين ويروس ماکرو، نوشته شد. اين ويروس اسناد نرم افزار Microsoft Word را مورد حمله قرار می داد.

1996:
در استراليا گروهی از ويروس نويسان به نام "VLAD" اولين ويروس ويژه سيستم عامل ويندوز موسوم به "Boza" و همچنين اولين ويروس سيستم عامل لينوکس موسوم به "Staog" را نوشتند. علاوه بر اينها اولين ويروس ماکروی نرم افزار Microsoft Excel به نام "Laroux" نيز در اين سال نوشته شد.



1998:
ويروس "Strange Brew"، اولين ويروسی که فايل های جاوا را آلوده می کرد، نوشته شد. اين ويروس با کپی کردن خودش در ميان کد فايل های Class و عوض نمودن نقطه شروع اجرای اين فايلها با نقطه شروع کد ويروسی اقدام به تغيير دادن فايلهای Class می نمود. همچنين "Back Orifice" اولين اسب تروايی که امکان دسترسی از راه دور به ساير سيستمها را در اينترنت فراهم می نمود، نوشته شد و کم کم مقدمات ظهور ويروسهای ماکروی نرم افزار Microsoft Access نيز فراهم می گرديد.
 

خوبی کن

کاربر تازه وارد
تاریخ عضویت
2 نوامبر 2003
نوشته‌ها
1,285
لایک‌ها
13
1999:
ويروس "مليسا" از طريق اجرا نمودن ماکرويی که در اسناد ضميمه شده به نامه های الکترونيکی موجود بود، صدمه زدن به سيستمها را آغاز نمود. اين ويروس همچنين برای گسترش خود از دفترچه آدرس نرم افزار Outlook استفاده می کرد و ضميمه های آلوده را برای 50 نفر ديگر ارسال می نمود. ويروس "مليسا" سريعتر از تمامی ويروسهای قبلی منتشر گرديد. در اين سال همچنين ويروس "Corner" اولين ويروسی که می توانست فايلهای برنامه MS Project را آلوده سازد، نيز نوشته شد. علاوه بر اين، نوآوری های ديگری هم در دنيای ويروس نويسان صورت گرفت که از بين آنها می توان به نوشته شدن ويروس "Tristate" که اولين ويروس ماکروی چند برنامه ای بود و می توانست فايلهای سه برنامه از برنامه های مايکروسافت (ورد، اکسل و پاور پوينت) را آلوده کند و همچنين نوشته شدن کرم "Bubbleboy" اشاره نمود. اين کرم هم اولين کرمی بود که وقتی کاربر نامه ساده و بدون ضميمه ای را در نرم افزار Outlook Express باز و يا آنرا پری ويو می نمود، فعال می گرديد. حتی بدون اينکه ضميمه ای به همراه نامه باشد، اين کرم برای اثبات يک روش جديد نوشته شده بود و بعدآ ويروس "Kak" از اين روش بهره گرفت و به صورت گسترده ای شايع شد.

2000:
ويروس "I Love You" درست مانند ويروس "مليسا" بوسيله نرم افزار Outlook در سراسر دنيا پخش گرديد. اما اين ويروس از نوع اسکريپت ويژوال بيسيک بود که به صورت ضميمه نامه الکترونيکی ارسال می شد.
ويروس "I Love You" فايلهای کاربر را پاک می کرد و حتی به برخی از فايلهای تصويری و موسيقی نيز رحم نمی کرد.
علاوه بر اين، ويروس اسم کاربر و رمز عبور وی را می دزديد و برای نويسنده اش می فرستاد.
در اين سال همچنين ويروسهای "Resume" (که شبيه ويروس "مليسا" بود) و "Stages" (که از روش پسوند دروغين بهره می گرفت) نيز ظهور کردند. در ماه ژوئن اين سال و در کشور اسپانيا کرم "Timofonica" از نوع اسکريپت ويژوال بيسيک اولين حمله به سيستمهای مخابراتی را آغاز نمود و در ماه نوامبر نيز اولين ويروس نوشته شده به زبان PHP ظاهر شد، اين ويروس که "Pirus" نام گرفت خودش را به فايلهای PHP و HTML اضافه می نمود.



2001:
ويروس "Anna Kournikova" در پوشش تصوير ستاره تنيس، "آنا کورنيکووا"و با روش انتشاری مشابه ويروسهای "مليسا" و "I Love You" ظاهر شد. در ماه می اين سال هم ويروس "Home Page" به حدود ده هزار نفر از کاربران نرم افزارOutlook آسيب رساند. در ماه جولای و آگوست نيز کرمهای "Code Red I" و "Code Red II" به شبکه های کامپيوتری حمله نمودند.
تعداد کامپيوتر های آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سيستمها بالغ بر دو ميليارد دلار برآورد گرديد.
حادثه مهم ديگری که در اين سال به وقوع پيوست نوشته شدن ويروس "Winux" يا "Lindose" در کشور جمهوری چک توسط Benny از اعضای گروه 29A بود که قابليت آلوده سازی هر دو سيستم عامل ويندوز و لينوکس را با هم داشت.
در اين سال همچنين ويروس "LogoLogic-A" (اولين کرم اسکريپتی اپل) و ويروس "PeachyPDF-A" (اولين ويروسی که برای پخش شدن از نرم افزار کمپانی Adobe ويژه فايلهای PDF استفاده می کرد) نيز پا به عرصه حيات گذاشتند ولی بدون شک اهميت هيچيک از اين ويروسها به اندازه کرم "Nimda" نبود، اين کرم که در ماه سپتامبر ظاهر شد از تکنيکهای برتر ساير ويروسهای مهم به صورت همزمان استفاده می نمود بنابراين توانست تا بسيار سريع گسترش يابد.
از ويروسهای خطرناک و خبرساز ديگر اين سال نيز می توان به ويروسهای "Sircam" و "BadTrans" اشاره کرد.

2002:
ابتدا در ماه ژانويه شاهد ظهور اولين ويروس آلوده کننده فايلهای با پسوند SWF بوديم که "LFM-926" نام داشت.
اين ويروس يک اسکريپت ديباگ (که می توانست يک فايل COM ساخته و بوسيله آن ساير فايلهای با پسوند SWF را آلوده نمايد) رها می کرد. پس از آن کرم "Donut" به عنوان اولين کرمی که به سرويسهای .NET توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولين کرمی که مختص سرويسهای .NET بود وارد عرصه شد اين کرم توسط يک دختر جوان بلژيکی با نام مستعار Gigabite و به زبان #C نوشته شد. در ماه می اين سال نيز "Benjamin" ظاهر شد اين ويروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده می نمود.
در ماه ژوئن ويروس "Perrun" برای اثبات فرضيه "امکان آلوده سازی فايلهای تصويری با پسوند JPEG توسط ويروسها" ، نوشته شد که اين مسئله تا قبل از اين غير ممکن می نمود. در اين ماه کرم "Scalper" که وب سرورهای Apache را مورد حمله قرار می داد و از آنها برای طغيان شبکه سو استفاده می کرد نيز شناسايی گرديد.
 
بالا