مقاله آشنایی با انواع ویروس و هكرها (IT)
دسته بندي :
فنی و مهندسی »
کامپیوتر و IT
مقاله آشنايي با انواع ويروس و هكرها (IT) در 38 صفحه ورد قابل ويرايش
مقدمه
عليرغم آنكه برخي از كارشناسان امنيتي همواره به كاربران در ارتباط با ظهور يك ابر ويروس اين شركتها صورت مي گيرد و برخي از سوي شركتهاي امنيتي بوده و تنها به منظور افزايش فروش نرمافزارهاي ويروس اين شركتها صورت ميگيرد برخي از كارشناسان IT معتقدند هيچگاه نميتوان ماهيت و ميزان مخرب بودن ويروس كه قرار است در آينده ظهور كند را تعيين كرد. اين كارشناسان معتقدند وجود نويسندگان ويروسها و كرمهاي رايانهاي بخشي انكارناپذيري از ضعف IT بوده و اين افراد نقاط ضعفي براي سو استفاده در سيستم عاملهاي ميكروسافت خواهند يافت بنابراين ايجاد هراس بيمورد در ميان كاربران اينترنت در دنيا خيلي ضروري و معقول به نظر ميرسد اما تمامي اين نظرات دليلي نميشود خطر وجود ويروسها را ناديده گرفت.
چكيده:
وابستگي ما به سيستمهاي كامپيوتري بهم مرتبط خصوصاً اينترنت، بسرعت در حال افزايش بوده و حتي اختلال اندك توسط ويروسها و كرمها ميتواند پيامدهاي ناگواري را بدنبال داشتهباشد. راه حلهاي واكنشي استفاده شده براي مقابله با كرمها و ويروسها به تنهائي كفايت نخواهد كرد. افزايش قدرت داشتهباشند. با دنبالنمودن راهحلهاي موجود ميتوان سطح مناسبي از حفاظت در مقابل تهديدات را ايجاد نمود. بمنظور ارتقاء و بهبود وضعيت موجود، مديران سيستم، ارائهدهندگان تكنولوژي و تصميمگيرندگان ميتوانند با رعايت و پيگيري برخي اصول اوليه، زمينه برخورد با كرمها و يا ويروسها را از ابعاد متفاوت فراهم نمايند. تغيير در طراحي نرمافزارها، روشهاي پيادهسازي، افزايش تعداد مديران سيستم آموزش ديده، بهبود سطح آگاهي كاربران، افزايش تحقيقات در رابطه با سيستمهاي ايمن و پايدار، طراحي و پيادهسازي دورههاي آموزشي در رابطه يا كامپيوتر و امنيت شبكه، نمونههائي در اين زمينه بوده كه ميتواند دستاوردهاي مثبتي را در ارتباط با امنيت اطلاعات براي تمامي شهروندان اينترنت بدنبال داشته باشد حركات مثبت هريك از شهروندان اينترنت (حقوقي و يا حقيقي) در خصوص پايبندي به اصول امنيتي، تاثيري مثبت در ايمنسازي سرمايههاي اطلاعاتي را بدنبال خواهد داشت.
كلمات كليدي:
سوبيگ، گرم، Morris، Code Red، Patch، …
كرمها (worrms)
كرم يك برنامه كامپيوتري است كه قابليت تكثير خود از ماشين به ماشين ديگر را داراست شبكههاي رايانهاي بهتر مناسب براي حركت كرمها و آلودهنمودن ساير ماشينهاي موجود در شبكه را فراهم ميآورند با استفاده از شبكههاي كامپيوتري كرمها قادر به تكثير باور نكردني خود در اسرع زمان ميباشند.
برنامه كرم برنامة ميزبان ندارد كرمها بدون استفاده از يك برنامه حامل به تمامي سطوح سيستم كامپيوتري خزيده و نفوذ ميكنند.
كرمها برنامههايي هستند كه بدون آنكه برنامههاي ديگر را آلوده كنند تكثير ميشوند بعضي از كرمها از طريق كپي كردن خود از ديسكي به ديسك ديگر گسترش مييابند. آنها به دنبال نوعهاي خاصي از فايلها در ديسكها و سرويسدهندهها ميگردد و درصدد آسيب يا نابودي آنها بر ميآيند. مثلاً ميتوان به پاككردن registry توسط آنها اشاره كرد بعضي كرمها در حافظه تكثير ميشوند و هزاران كپي از خود به وجود ميآوند و همه آنها به طر همزمان شروع فعاليت ميكنند كه موجب پايين آمدن سرعت سيستم ميشوند. تكثير يك كرم علاوه بر ايجاد مشكل اشباع حافظه و هارديسك ميتواند به دليل تكثير مداوم پهناي باند سيستم را بلوكه كرده ويا زده آن را به حداقل ممكن كاهش دارد.
كرمها در زمان تكثير ميزان قابل ملاحظهاي سرعت ترافيك اطلاعاتي بر روي اينترنت را كند نموده هر نسخه از كرم فوق پيمايش اينترنت بمنظور يافتن سرويسدهندگان ويندوز Nt و يا 2000 را آغاز ميكرد. هر زمان كه يك سرويسدهنده ناامن سرويسدهندهآي كه بر روي آن آخرين نرمافزارهاي امنيتي مايكروسافت نصب شده بودند پيدا گرديد كرم نسخهاي از خود را بر روي سرويسدهنده تكثير ميكرد. نسخة جديد در ادامه عمليات پيمايش براي يافتن ساير سرويسدهندگان را آغاز مينمايد.
با توجه به تعداد سرويسدهندگان ناامن يك كرم قادر به ايجاد صدها و هزاران نسخه از خود است ويروسها برنامههاي مخربي هستند كه خود را در فايلها و برنامههاي ديگر كپي مي كنند و به اين ترتيب تمامي دستگاه را آلوده ميسازند و همچنين ويروسهاي برنامه هستند يعني براي اينكه به هدفشان برسند بايد اجرا شوند در نتيجه ويروس تا قبل از اجرا شدن خطري ندارد برخلاف ويروس يك كرم نيازي ندارد كه ساير برنامههاي موجود در كامپيوتر را آلوده كند او كپي خود را معمولاً از طريق e-mail منتشر ميكند به اين صورت كه به سراغ دفترچه نشاني e-mailهاي شما address book ميرود و يك نسخه را از خود را به تمامي نشانيهاي موجود ارسال ميكند جالب است بدانيد معمولاً اين برنامههاي آلوده از طرف شما براي دوستانتان ارسال ميشود گيرنده هم كه شما را ميشناسد با اطمينان كامل نامه را باز ميكند و همان بلايي كه سر رايانه شما آمده است سر دستگاه او نيز ميآيد به اين ترتيب كرمها با سرعتي باورنكردني در سراسر دنيا منتشر ميشوند و علاوه بر آلوده كردن كامپيوترها ترافيك بالايي را در شبكه ايجاد ميكنند. بيشتر اوقات e-mailهاي حاوي كرم يك فايل الحاقي آلوده دارند كه به محض بازشدن e-mail فعال ميشود. گاهي نيز e-mail بدون فايل الحاقي است و تنها شما را به ديدن يك سايت دعوت ميكند مشاهده سايت همان و آلودهشدن رايانه همان با تمامي اين اتفاقات در پشت پرده و بدون اطلاعات شما انجام ميشود و سادهتر از آنچه تصور كنيد كرم به درون رايانه آن ميخزد. برخي از كرمها مثل klct برنامههاي ضدويروس anti-virus رايانه را از كار مياندازند شما متوجه حضور كرم نميشويد كرم klct بدين صورت عمل ميكند كه خود را از يك ماشين آلوده كننده توسط پست الكترونيكي و يا آدرس حقيقي نبوده و توسط كرم نوشته شدهاست.
همچنين ميتوان به كرم bagbear اشاره كرد كه در اكتبر 2002 توليد و گسترش يافته است روش انتشار اين كرم از طريق e-mail و نيز منابع به اشتراك گذاشته شده در شبكه ميتواند موضوع نامههاي الكترونيكي فرستاده شده كلمات عادي و روزمره مانند badnews يك جز به member ship confir mation تأييد عضويت يا هديه شما ميباشد از جمله كارهايي كه اين كرم انجام ميدهد ميتوان به موارد زير اشاره كرد:
1- تلاش در خاتمه دادن به فعاليت آنتيويروسها و ديوارههاي آتش fire wall ميباشد.
2- اين كرم همچنين قادر است كه چاپگرهاي به اشتراك گذاشته شده در شبكه را به چاپ اطلاعات غلط و يا اطلاعاتي كه مورد نياز نيستند وادار كند.
3- ضبط تمامي دكمههايي كه كاربر روي صفحه كليد خود فشار ميدهد براي استفاده نفوذگرها Hackers
4- فراهم آوردن امكان اجراي فرامين يك هكر از راه دور صادر ميكند. از جمله خطرناكترين كرمها ميتوان به كرم بلستر اشاره كرد علائم و خرابيهاي خود را به باز شدن يك پنجره در صفحه ويندوز شروع يك تايمر به مدت زمان يك دقيقه نشان ميدهد پس از يك دقيقه سيستم دوباره دوباره راهاندازي ميشود و اين تا رفع كامل ويروس ادامه خواهد داشت.
يك كرم ميتواند همه محتويات قسمتي از حافظه را صفر كرده و باعث از كاراندازي سيستم گردد براي مثال تكنيك به كار برده شده در ويروس چرنوبيل كه حافظه CMOS را صفر ميكند خود يك كرم خزنده است مثال ديگر ميتوان فرمولهاي كدكننده استفاده شده در كرمها را نام برد كه كد دادههاي تايپشده در يك فايل txt را تغيير داده و باعث تخريب اطلاعات تايپ شده ميشود.
كرم شبيه به ويروس است درواقع كرمها هميشه با ويروس اشتباه ميشود. تفاوت در زندگي و تأثير او روي كامپيوتر است حاصل كار هر دوي آنها شبيه است هر دو ميتوانند حذف و دستكاري كنند اما يك كرم بالقوه خطرناكتر از ويروس است.
يكي ديگر از خطرناكترين كرمها معروف به MIT در سال 1988 گسترش يافت و سازندة آن يك دانشآموز 23 ساله بود اين كرم در شبكه نفوذ ميكرد و به فايلهايي كه شامل كلمهعبور بودند صدمه ميزد. پس از مدتي كلمات عبور را كرك ميكرد و از آنها براي راهيابي به كامپيوتر ديگر استفاده ميكرد كل سيستم را خاموش ميكرد. سيستمهاي هزاران دانشآموز ديگر در روز هنگ ميكرد و از ده دلار تا صد دلار به هر كامپيوتر صدمه ميزد.
- ويروسهاي نرمافزاري:
اين ويروسهاي فايلهاي اجرايي را آلوده ميكنند با اجراي فايلهاي آلوده ويروس فعالشده و باعث افزايش حجم يكي از راههاي تشخيص ويروس ميگردد. اما ويرسهاي جديدتر به فايلهاي آلوده حمله نميكنند و بنابراين افزايش زياد فايلها نميگردند.
3- ويروسهاي مقيم در حافظه:
ويروسهاي مقيم در حافظة موقت كامپيوتر بار ميشوند و كنترل سيستم را بدست ميگيرند آنها برايندهاي ورودي و خروجي را ترجمه فايلها و … را تحت كنترل دارند و مورد تاثير اعمال خود قرار ميدهند.
4- ويروسهاي نسل جديد:
ويروسهاي نسل جديد به گونهآي طراحي شدهاند كه قابل شناسايي و نابودي توسط ويروسيابها نباشند.
خسارات ناشي از ويروسها:
خسارات نرمافزاري:
بهم ريختن و يا پاك شدن دادههاي موجود در فايلهاي از بين بردن ارتباط بين فايلها در اجراي فايلها به هم ريختن قطاع بوت و سكتور افزايش حجم فايلها و كپي كردن آنها در محلهاي ديگر تغيير كدها كامپيوتري نمايش اطلاعات به صورتهاي ديگر
خسارات سخت افزاري:
در اين سري حملات ويروسها اگر سيستم قادر به هدايت و كنترل قطعات نباشد براي ويروس بسيار ساده است آنها را از كار بياندازد اگر فرمان خواندن يك شياري كه وجود نداشته باشد را به ديسكخواه بدهي هد ديسك خواه به ديواره ديسك برخورد ميكند و از بين ميرود. همچنين اگر به ورودي بيتهاي ايسي cpu ولتاژ اضافي وارد كنيد بايد براي هميشه با اين قطعه خود كه در واقع قلب كامپيوتر شما است خداحافظي كنيد.
مراحل زندگي ويروسهاي:
1- مرحله خوابيده و بيحركت Dormancy phase
اين نوع مرحله بستگي به نوع ويروس و مدت زماني انتقال ويروس احتياج دارد.
2- مرحله انتشار propagation phase
در اين مرحله آلودهسازي سيستم توسط ويروس انجام ميپذيرد.
3- مرحله فعال شدن Triggering phase
در اثر يك تنظيم قبلي توسط ويروسنويس فعال ميشود.
4- مرحله صدمه Damaging phase
اين نوع مرحله بستگي به وظيفه ويروس دارد كه در بخش خسارات توضيح دادهشد.
تهديدهاي آتي:
اما تهديدهاي آينده تركيبي از ويروسها اسبهاي تروا و كرمهايي است كه از مسيرهاي چندگانه و متنوع براي آلودهكردن سيستمها استفاده ميكنند.
بنابراين يك كرم ميتواند بطور طبيعي طبيعي يك اسبتروا روي سيستم قرباني اجرا كند واين در حالي صورت ميگيرد كه يك اسب تروا در خود يك ويروس را دارد.
حملههاي ويروسي استفاده از اپليكيشنهايي نظير مرورگر (Internet Explorer) IE مايكروسافت و (Internet IIS Information Server) مايكروسافت را در رئوس كاري خود قرار ميدهند كه در كنار P2P گزينهاي اينترنتي كه در آن دو يا چندين كامپيوتر بدون استفاده از يك سرويسدهندة مركزي به يكديگر متصل شده و فايلها را به اشتراك ميگذارند. و برنامهاي پيامرسان به عنوان شيوعكننده ويروس در اولويت كاري قرار ميگيرد برخلاف ويروسهايي نظير مليسا در سال 1999 ويروساهاي كنوني هستههاي را نشانه ميگيرند و همه چيز را بر هم ميزنند در سپتامبر سال 2003 دكتر گرهارد اشليك مدير شركت امنيت سيستمها در Qualy در كنگره گرفت:
حمله به شبكهها چه در تعداد و چه مهارت روبه توسعه و ترقي است و حملات جديد قدرت آلودگي به مراتب بيشتري نسبت به پاسخگويي بموقع دارند.
عين اين مطلب را زمان ظهور كرم اسلام (Aka sopphire) ديديم سرعت گسترش آن شبيه داستانهاي تخيلي بود در اولين دقيقه تعداد سيستمهاي آلوده 2 برابر و اندازه نيز هر 5/8 ثانيه دو برابر ميشد.
اين كرم با پنجاهو پنج اسكن (Scan) در هر ثانيه تقريباً پس از هر 3 دقيقه فول اسكين ميشود و اين داستان حيرتآور مثل شوك تمام كارشناسان را ميخكوب كرد.
از آنجا كه شبكهها پهناي باند كافي نداشته خود به خود سرعت اسكن پايين ميآمد مطابق گزارشها بيشتر سيستمهاي آسيبپذير در همان 10 دقيقه اول شيوع ويروس آلوده شوند.
اما متغيرهاي تعريف شده در سوبيگ (so big) يك ماموريت مخفي را در خود جاي داده بود ويليام هانكوك قائم مقام and cable wireless در اينباره گفت: سوبيگ نسخة E اولين كرمي است كه تكنيك پچيده هكري را در خود پيچانده و كنار مهنوسي اسپم (spom) راهي سيستمها شدهاست سوبيگ با يك ضميمه داخل e-mail قابل شيوع و انتقال است يا با بازشدن آن يك كپي از ويروس مورد نظر به وسيلة رايانه حملهكننده ناشي باز شده ارسال ميشود و همهجا را آلوده ميكند.
در ابتدا اين چنين به نظر ميرسد كه ويروس مقصد ملاقات با يك سايت مستجهن را دارد اما فوراً ويروس اسب ترواي خود را با عنوان La la داخل سيستم قرباني مياندازد و سپس كرم سوبيگ را پاك ميكند.
ما فكر ميكنيم كرم پاك شده است البته درست هم ميگوئيم اما اسب ترواي LaLa اجازه hijack (سرقت) شدن سيستم را فراهم ميسازد و ماشين آلودهشده را آماده ميكند تا صدها و هزاران spom (هرزنامه) وارد آن شود.
به علاوه پنجمين متغير تعريف شده سوبيگ نسخه E ماشين smip (پروتكل Tcp/Ip براي ارسال پيغامهايي از يك كامپيوتر به كامپيوتر روي شبكه اين پروتكل در شبكه اينترنت برا عبور پيغام e-mail بكار مي رود) است كه به طور خودكار نسخههاي قبلي ويروس را به روز (update) ميكند و اجازه آلودگي بيشتر را فراهم ميسازد. اما نسخة F4 متغير و فاكتور از پيش تعريف شده را با خود يدك ميكشد. با مراجعه به فاكتور پيش برنامهنويسي و زمان ترمينال خود كاراكتري زمان پيش از نسخة جديد ويروس بين 7 تا مثبت 35 روز است به همين خاطر سوبيگ نسخة E در حال نوشتن بوده و سر و كلهاش پيدا ميشود.