ازMS Word 97 به بعد با بازکردن فایل حاوی ویروس پیامی نشان داده می شود .علاوه بر این بهتر است کلیه ی فایل های Word را که در قالب email از اینترنت دریافت می شود یا به صورت ذخیره شده روی دیسک تحویل می گیرید ، با استفاده از نرم افزارهای ویروس کش مورد بررسی قرار دهید .
علاوه بر این در نگارش جدید VBA ، مکانیزمی امنیتی در نظر گرفته شده است که با استفاذه از آن می توان کلیه ماکروهای ویروسی را بی اثر ساخت . زبان VBA در زبان های درونی بسیاری از برنامه ها نظیر AutoCAD,Photoshop,Chameleon کاربرد دارد . در صورت نیاز به کسب اطلاعات بیشتر در رابطه با ویروس های ماکرویی به آدرس زیر مراجعه کنید .
ویروس WordMacro/Concept که با عنوان Word Prank Macro یا www6 Macro نیزشناخته می شود ، ماکرویی است که با زبان ماکرو MS Word 6.0 نوشته شده است . این ویروس از چند ماکرو به نام های Payload,FilesaveAs,AutoOpen,AAAZFS,AAAZAO تشکیل شده است . این ویروس سعی می کند صفحه عمومی Word یعنی فایل normal.dot را آلوده کند .اگردر حین آلوده سازی normal.dot ، وجود ماکروهای Payload یا File Save As در صفحه تایید شود ،ویروس فرض را بر این می گذارد که صفحه ی آلوده شده و از ادامه کار دست می کشد . پس از آلوده شدن صفحه ، کلید فایل هایی که توسط گزینه ی Save As ذخیره می شوند ، آلوده خواهند شد . با انتخاب گزینه ی Tools>Macro می توانید به وجود این این ویروس پی ببرید . اگر در لیست ماکروها نام AAAZFS مشاهده شود ، ویروس concept احتمالا سیستم شما را آلوده کرده است (شکل 11-14).
با ایجاد ماکروهایی به نام Payload که حاوی هیچ نوع دستوری نباشد می توانید از آلوده شدن سیستم خود جلوگیری کنید . این ماکرو روی ویروسی بازنویسی خواهد شد ، و ویروس تصور می کند یک بار سیستم را آلوده کرده است و از ادامه کار صرف نظر می کند .ایجاد ماکروpayload راه حلی موقتی است. شاید شخصی دیگر بدون اهمیت دادن به این که آیا فایل normal.dot حاوی ماکروهای FileSaveAs یا Payload است با استفاده از بدنه ی Concept ویروسی دیگر طراحی کند . از دیگر ویروس های ماکرویی مشهور عبارتند از WordMacro/Nuclear, WordMacro/DMDA, WordMacro/Hot, WordMacro/Colors, WordMacro/Bandung,WordMacro/Atom و WordMacro/Wzzu,.
در حال حاضر، رشد این دسته از ویروس ها نسبت به سایر ویروس ها بسیار چشمگیر است . این ویروس ها علاوه بر کامپیوتر های شخصی روی هر شبکه ای قابل رشد و توسعه می باشند . بزرگترین خطر ویروس های ماکرویی عدم وابستگی آن ها به سخت افزار و سیستم عامل می باشد . علاوه بر این،ویروس ماکرویی به فایل های اجرایی کاری ندارد بلکه مستقیما به داده ها حمله می کند .
تنوع و گونه های ویروس ماکرویی به شدت در حال افزایش هستند.در اکتبر سال 1996 تنها 100 ویروس ثبت شده از این نوع شناسایی شدند.
در ماه مه 1997 تعداد آن ها به 700 عدد رسید و اکنون این رقم اصلا قابل مقایسه با قبل نیست .این ویروس ها با یک زبان داخلی (1) و در درون برنامه های کاربردی نوشته می شوند . نمونه هایی از این برنامه عبارتند از :برنامه های حروفچینی ،صفحه ی گسترده و گرافیکی نویسندگان ویروس برای آلوده سازی فایل هایی که توسط این نوع برنامه ها ایجاد می شوند ،ماکروها را طراحی می کنند .بدین ترتیب با مبادله ی فایل های آلوده ی دیگر کامپیوتر ها نیز آلوده خواهند شد .اکثر اوقات ،ماکروها طوری فایل ها را پاک می کنند که غیر قابل بازگشت باشد.هر سیستمی که قادر به خواندن این نوع فایل های آلوده باشد مورد تهاجم این ویروس خواهد بود (شکل14-10). زبان داخلی برنامه ها ، غالبا از قدرت های زیادی برخوردار است و می تواند اعمالی نظیر حذف و تغییر نام فایل ها و شاخه ها را انجام دهد.همچنین می تواند محتویات یک فایل را عوض کند . بسیاری از ویروس های ماکرویی با استفاده از Word basic و Visual Basic for Application (2) نوشته می شوند . یک ویروس ماکرویی نوشته شده در VBA قادر به آلوده سازی یک فایل Excle یک پایگاه داده Access با یک طرح PowerPoint می باشد .
یک ویروس ماکرویی باید روی گزینه های save ،New و saveAse از منوی File باز نویسی شوند تا عملکردشان تضمین گردد.
انسان ويروس ها را ايجاد می نمايند. برنامه نويس مجبور به نوشتن کد لازم ، تست آن به منظور اطمينان از انتشار مناسب آن و در نهايت رها سازی و توزيع ويروس است . برنامه نويس همچنين می بايست نحوه حملات مخرب را نيز طراحی و پياده سازی نمايد ( تبين و پياده سازی سياست حملات مخرب). چرا انسان ها دست به چنين اقداماتی زده و خالق ويروس های کامپيوتری می گردند؟
در رابطه با سوال فوق ، حداقل سه دليل وجود دارد :
· دليل اول : اولين دليل مربوط به دلايل روانی با گرايش مخرب در وجود اين نوع افراد است . دليل فوق صرفا" به دنيای کامپيوتر برنمی گردد. مثلا" فردی بدون دليل ، شيشه اتومبيل فرد ديگری را شکسته تا اقدام به سرقت نمايد، نوشتن و پاشينن رنگ بر روی ساختمانها ، ايجاد حريق تعمدی در يک جنگل زيبا ، نمونه هائی در ساير زمينه ها بوده که بشريت به آن مبتلا است .برای برخی از افراد انجام عمليات فوق ، نوعی هيجان ايجاد می کند. در صورتی که اين نوع اشخاص دارای توانائی لازم در رابطه با نوشتن برنامه های کامپيوتری باشند ، توان و پتانسيل خود را صرف ايجاد ويروس های مخرب خواهند کرد.
· دليل دوم : دليل دوم به هيجانات ناشی از مشاهده اعمال نادرست برمی گردد. تعدادی از افراد دارای يک شيفتگی خاص به منظور مشاهده حوادثی نظير انفجار و تصادفات می باشند. قطعا" در مجاورت منزل شما به افرادی برخورد می نمايد که عاشق يادگيری نحوه استفاده از باروت ( و يا ترقه ) بوده و اين روند ادامه داشته و همزمان با افزايش سن اين افراد آنها تمايل به ايجاد بمب های بزرگتر را پيدا می نمايند. فرآيند فوق تا زمانيکه فرد مورد نظر خسته شده و يا به خود آسيبی برساند ، ادامه خواهد يافت . ايجاد يک ويروس کامپيوتری که بسرعت تکثير گردد مشابه موارد فوق است . افراديکه ويروس های کامپيوتری را ايجاد می نمايند ، بمبی درون کامپيوتر را ايجاد کرده اند و بموازات افزايش کامپيوترهای آلوده ، صدای انفجار بيشتری بگوش فرا خواهد رسيد.
· دليل سوم : دليل سوم به حس خود بزرگ جلوه دادن و هيجانات ناشی از آن برمی گردد. ( نظير صعود به قله اورست ) اورست موجود است و هر فرد می تواند مدعی صعود به آن گردد. در صورتی که برنامه نويسی يک حفره امنيتی موجود در يک سيستم را مشاهده و امکان سوءاستفاده از آن وجود داشته باشد ، سريعا" بدنبال سوءاستفاده از وضعيت فوق (قبل از اينکه سايرين اقدام به ناکام نمودن وی را در اين زمينه داشته باشند) ، بر خواهند آمد.
متاسفانه اکثر ايجاد کنندگان ويروس های کامپيوتری فراموش کرده اند که آنها باعث ايجاد خرابی واقعی برای افراد واقعی هستند ( هيچ چيز در خيال و رويا نمی باشد ) حذف تمام اطلاعات موجود بر روی هارد ديسک اشخاص ، يک خرابکاری واقعی و نه خيالی! است .صرف زمان زياد در يک شرکت بزرگ برای برطرف نمودن فايل های آلوده به ويروس يک خرابکاری واقعی و نه خيالی ! است. حتی ارسال يک پيام ساده و بی محتوا نيز بدليل تلف شدن زمان ، يک نوع خرابکاری است . خوشبختانه قانون در اين زمينه سکوت نکرده و در اين راستا قوانين لازم تصويب و مجازات های سنگين برای افراديکه ويروس های کامپيوتری را ايجاد می نمايند ، پيش بينی شده است .
پيشگيری از ويروس
با رعايت چندين نکته ساده می توان يک پوشش مناسب ايمنی در مقابل ويروس های کامپيوتری را ايجاد کرد :
· از سيستم های عامل ايمن و مطمئن نظير : يونيکس و ويندوز NT استفاده تا پوشش حفاظتی مناسبی در مقابل ويروس های سنتی ( نقطه مقابل ويروس های پست الکترونيکی ) ايجاد گردد.
· در صورتی که از سيستم های عامل غير مطمئن و ايمن استفاده می گردد ، سيستم خود را مسلح به يک نرم افزار حفاظتی در رابطه با ويروس ها ، نمائيد.
· از نرم افزارهائی که توسط منابع غير مطمئن توزيع و ارائه می گردند ، اجتناب و نرم افزارهای مربوطه را از منابع مطمئن تهيه و نصب نمائيد. در ضمن امکان بوت شدن از طريق فلاپی ديسک را با استفاده از برنامه BIOS ، غير فعال کرده تا بدين طريق امکان آلوده شدن ويروس از طريق يک ديسکت که بصورت تصادفی در درايو مربوطه قرار گرفته شده است ، اجتناب شود.
· امکان "حفاظت ماکرو در مقابل ويروس " را در تمام برنامه های مايکروسافت فعال نموده و هرگز امکان اجرای ماکروهای موجود در يک سند را تا حصول اطمينان از عملکرد واقعی آنها ندهيد.
· هرگز بر روی ضمائمی که بهمراه يک پيام پست الکترونيکی ارسال شده و شامل کدهای اجرائی می باشند ، کليک ننمائيد. ضمائمی که دارای انشعاب DOC ( فايل های word) ، انشعاب XLS( صفحه گسترده ) ، تصاوير( فايل های با انشعاب GIF و يا JPG و .) بوده ، صرفا" شامل اطلاعات بوده و خطرناک نخواهند بود ( در رابطه با فايل های word و Execl به مسئله ماکرو و ويروس های مربوطه دقت گردد ) . فايل های با انشعاب EXE,COM و يا VBS اجرائی بوده و در صورت آلوده بودن به ويروس ، با اجرای آنان بر روی سيستم خود زمينه فعال شدن آنها فرام خواهد شد. بنابراين لازم است از اجرای هرگونه فايل اجرائی که بهمراه پست الکترونيکی برای شما ارسال می گردد ( خصوصا" موارديکه آدرس فرستنده برای شما گمنام و ناشناخنه اس ) ، صرفنظر نمائيد
با تحقق اصول فوق ، يک پوشش ايمنی مناسب در رابطه با ويروس های کامپيوتری بوجود می آيد.
ويروس های پست الکترونيکی
آخرين اطلاعات موجود در رابطه با ويروس های کامپيوتری به " ويروس پست الکترونيکی " اشاره دارد. عملکرد ويروس "مليزا " در سال 1999 بسيار ديدنی بود. ويروس فوق از طريق مستندات ( سندها ) از نوع Word شرکت مايکروسافت ، گسترش و توسط پست الکترونيکی ارسال و توزيع می گرديد. عملکرد ويروس فوق بشکل زير بود :
فردی اقدام به ايجاد يک ويروس کرده ، آن را بعنوان يک سند Word برای " گروه های خبری اينترنت " ، ارسال می کرد. در ادامه هر فرد ديگری که فايل فوق را اخذ و آن را بر روی سيستم خود فعال می کرد ، زمينه اجراء و فعال شدن ويروس را هم فراهم می کرد. ويروس در ادامه ، سند ( بهمراه خود ويروس ) را از طريق يک پيام پست الکترونيکی برای اولين پنجاه نفر موجود در دفترچه آدرس ، ارسال می کرد. پيام الکترونيکی شامل يک متن دوستانه بهمراه نام شخص بود، بنابراين گيرنده بدون هيچگونه نگرانی اقدام به بازنمودن نامه می کرد. در ادمه ويروس ، پنجاه پيام جديد را از کامپيوتر گيرنده پيام ، ارسال می کرد. ويروس مليزا ، سريعترين ويروس از بعد گسترش تاکنون بوده است . همانگونه که در ابتدا اشاره گرديد ، عملکرد و سرعت باورنکردنی گسترش ويروس فوق باعث گرديد که تعدادی از شرکت های بزرگ ، سيستم های پست الکترونيکی خود را غيرفعال نمايند.
عملکرد ويروس ILOVEYOU ، که در سال 2000 مطرح گرديد ، بمراتب ساده تر از ويروس مليزا بود. ويروس فوق شامل کد محدودی بود که بعنوان يک Attachment ( ضميمه ) به يک پيام پست الکترونيکی متصل می شد. افراديکه پيام را دريافت می کردند با فعال نمودن ضميمه ، امکان اجرای ويروس را فراهم می کردند. کد ارسال شده در ادامه نسخه هائی از خود را تکثير و برای افراديکه نام آنها در دفترچه آدرس بود، ارسال می کرد. ويروس مليزا از قابليت های برنامه نويسی توسط VBA)Visual Basic for Application) که در Ms Word وجود دارد ، استفاده می کرد. VBA يک زبان برنامه نويسی کامل بوده که امکانات متعددی نظير : تغيير محتويات فايل ها و يا ارسال پيام های پست الکترونيکی را فراهم می آورد. VBA دارای يک امکان مفيد و در عين حال خطرناک با نام " اجرای خودکار " است . يک برنامه نويس قادر به درج يک برنامه درون يک سند بوده و بلافاصله پس از باز نمودن سند ، شرايط اجرای کدهای فوق فراهم خواهد شد. ويروس مليزا بدين طريق برنامه نويسی شده بود. هر شخص که سند آلوده به ويروس مليزا را فعال می نمود ، بلافاصله زمينه فعال شدن ويروس نيز فراهم می گرديد. ويروس فوق قادر به ارسال 50 پيام پست الکترونيکی بوده و در ادامه يک فايل مرکزی با نام NORMAL.DOT را آلوده تا هر فايل ديگری که در آينده ذخيره می گردد ، نيز شامل ويروس گردد.
برنامه های مايکروسافت دارای يک ويژگی خاص با نام " حفاظت ماکروها در مقابل ويروس " بوده که از فايل ها و مستندات مربوطه را در مقابل ويروس حفاظت می نمايد. زمانيکه ويژگی فوق فعال گردد ، امکان " اجرای خودکار " ، غيرفعال می گردد. در چنين حالتی در صورتی که يک سند سعی در اجرای خودکار کدهای ويروسی نمايد ، يک پيام هشداردهنده برروی نمايشگر ظاهر می گردد. متاسفانه ، اکثر کاربران دارای شناخت لازم و مناسب از ماکروها و ماکروهای ويروسی نبوده و بمحض مشاهد پيام هشداردهنده ، از آن چشم پوشی و صرفنظر می نمايند. در چنين مواردی ، ويروس با خيال آسوده اجراء خواهد شد. برخی ديگر از کاربران امکان حفاظتی فوق را غير فعال نموده و ناآگاهانه در توزيع و گسترش ويروس های کامپيوتری نظير مليزا ، سهيم می گردند.
نحوه تکثير به چه صورت است ؟
ويروس های اوليه ، کدهائی محدود بوده که به يک برنامه متداول نظير يک بازی کامپيوتری و يا يک واژه پرداز ، الحاق می گرديدند. کاربری ، يک بازی کامپيوتری آلوده را از يک BBS اخذ و آن را اجراء می نمايد. .ويروس ، بخش کوچکی از نرم افزار بوده که به يک برنامه بزرگ متصل می گردد. ويروس های فوق بگونه ای طراحی شده بودند که در زمان اجرای برنامه اصلی ، بعلت فراهم شدن شرايط مساعد ، اجراء می گرديدند. ويروس خود را بدرون حافظه منتقل و در ادامه بدنبال يافتن ساير برنامه های اجرائی موجود بر روی ديسک ، بود. در صورتی که اين نوع برنامه ها ، پيدا می گرديدند ، کدهای مربوط به ويروس به برنامه اضافه می گرديدند. در ادامه ويروس ، برنامه واقعی را فعال می کرد. کاربران از فعال شدن و اجرای ويروس آگاه نشده و در اين راستا روش های خاصی نيز وجود نداشت. متاسفانه ويروس، نسخه ای از خود را تکثير و بدين ترتيب دو برنامه آلوده می گرديدند. در آينده با توجه به فراهم شدن شرايط لازم ، هر يک از برنامه های فوق ساير برنامه ها را آلوده کرده و اين روند تکراری ادامه می يابد.
در صورتی که يکی از برنامه های آلوده از طريق ديسکت به شخص ديگری داده شود و يا فايل آلوده برای يک BBS ارسال تا بر روی سرويس دهنده قرار گيرد ، امکان آلوده شدن ساير برنامه ها نيز فراهم خواهد شد. فرآيند فوق نحوه تکثير يک ويروس کامپيوتری را نشان می دهد. تکثير و گسترش از مهمترين ويژگی های يک ويروس کامپيوتری بوده و در صورت عدم امکان فوق ، عملا" موانع جدی در تکثير ويروس های کامپيوتری بوجود آمده و برخورد با اين نوع برنامه با توجه به ماهيت محدود ميدان عملياتی ، کار پيچيده ای نخواهد بود. يکی ديگر از ويژگی های مهم ويروس های کامپيوتری ، قابليت حملات مخرب آنان به منظور آسيب رساندن به اطلاعات است . مرحله انجام حملات مخرب عموما" توسط نوع خاصی چاشنی ( نظير ماشه اسلحه ) صورت می پذيرد. نوع حملات متنوع بوده و از نمايش يک پيام ساده تا پاک نمودن تمام اطلاعات موجود را می تواند شامل گردد. ماشه فعال شدن ويروس می تواند بر اساس يک تاريخ خاص و يا تعداد نسخه های تکثير شده از يک ويروس باشد . مثلا" يک ويروس می تواند در تاريخ خاصی فعال و يا پس از ايجاد يکصد نسخه از خود ، فعال و حملات مخرب را آغاز نمايد.
ايجاد کنندگان ويروس های کامپيوتری افرادی آگاه و با تجربه بوده و همواره از آخرين حقه های موجود استفاده می نمايند. يکی از حقه های مهم در اين خصوص ، قابليت استقرار در حافظه و استمرار وضعيت اجرای خود در حاشيه می باشد ( ماداميکه سيستم روشن است). بدين ترتيب امکان تکثير اين نوع ويروس ها با شرايط مطلوبتری فراهم می گردد. يکی ديگر از حقه های موجود ، قابليت آلوده کردن " بوت سکتور " فلاپی ديسک ها و هارد ديسک ها ، می باشد. بوت سکتور شامل يک برنامه کوچک به منظور استقرار بخش اوليه يک سيستم عامل در حافظه است . با استقرار ويروس های کامپيوتری در بوت سکتور ، اجراء شدن آنها تضمين خواهد شد. ( شرايط مناسب برای اجرای آنها بوجود می آيد). بدين ترتيب يک ويروس بلافاصله در حافظه مستقر و تا زمانيکه سيستم روشن باشد به حضور مخرب خود در حافظه ادامه خواهند داد. ويروس های بوت سکتور قادر به آلوده نمودن ساير بوت سکتورهای فلاپی ديسک های سالمی که دردرايو ماشين قرار خواهند گرفت ، نيز می باشد. در مکان هائی که کامپيوتر بصورت مشترک بين افراد استفاده می گردد ( نظير دانشگاه ها ) ، بهترين شرايط برای تکثير ويروس های کامپيوتری بوجود خواهد آمد ( نظير يک آتش سوزی بزرگ بوده که بسرعت همه چيز را نابود خواهد کرد ).
ويروس های قابل اجراء و بوت سکتور در حال حاضر تهديدی جدی تلقی نمی گردند. مهمترين علت در صحت ادعای فوق ، حجيم شدن ظرفيت برنامه های کامپيوتری است . امروزه اغلب برنامه های کامپيوتری بر روی ديسک های فشرده (CD) ذخيره و در اختيار متقاضيان قرار می گيرند. اطلاعات ذخيره شده بر روی ديسک های فشرده ، غير قابل تغيير بوده و تقريبا" آلودگی اطلاعاتی بر روی آنان غيرممکن است . استفاده از فلاپی ديسک برای توزيع و استفاده برنامه های کامپيوتری نظير آنچه که در اواسط 1980 استفاده می گرديد ، عموميت ندارد. و اين خود می تواند عاملی موثر در عدم گسترش سريع ويروس های اجرائی و خصوصا" ويروس های بوت سکتوری باشد.
در حال حاضر امکان وجود ويروس های اجرائی و يا بوت سکتور ، همچنان نيز وجود داشته و صرفا" امکان گسترش سريع آنها سلب شده است . محيط های مبتنی بر فلاپی ديسک ها ، برنامه های کوچک و ضعف موجود در برخی از سيستم های عامل ، حضور ملموس اين نوع ويروس های کامپيوتری را در دهه 80 ميسر و توجيه پذير کرده بود.
درباره این سایت