تبیان، دستیار زندگی
این روزها سخت به نظر می رسد كه هفته ای را بدون ویروس های رایانه ای در صدر اخبار رایانه به سر كنیم. شیوع كرم اسلامر روی ایسكوئل و نیز سوبیگ در زمستان سال گذشته و به دنبال آن شبه كرم بلاستر در تابستان -گرافیك وار - حاكی از این...
بازدید :
زمان تقریبی مطالعه :

ویروس ، كرم و اسب تروا از الف تا ی

این روزها سخت به نظر می رسد كه هفته ای را بدون ویروس های رایانه ای در صدر اخبار رایانه به سر كنیم.
شیوع كرم اسلامر روی ایسكوئل و نیز سوبیگ در زمستان سال گذشته و به دنبال آن شبه كرم بلاستر در تابستان -گرافیك وار - حاكی از این نمود است كه چگونه طبیعت این نوع حملات مدام در حال افزایش است.
این داستان همچنین نشانگر آن است كه اگرچه ویروس ها عمری فراتر از 20 سال دارند، اما كاربران رایانه ای هنوز قادر نیستند درباره این موضوع كه برای مقاومت در برابر هر نوع آلودگی به اندازه كافی ایمن هستند، اظهارنظر كنند.
در واقع ، دنیای رایانه هفته ها و ماهها با هشدارهای جدی درباره كشف حفره ها مواجه شده و با آن دست و پنجه نرم می كند، تا این كه ناگهانی دست و پایش زیر چنگال پرمو و ناخن ویروس ها خرد می شود و شركتها و كاربران سراسر دنیا تحت تاثیر آن در اندوه و ترس فرومی روند.
باوجود این كه ویروس كدهایی در خود دارد. كه با نیات ناهنجار و بعضا پلید نوشته شده ، در سال 2003 بسیاری از این موضوع بی خبر بودند كه نسل جدید ویروس ها كه با ویروس نویسان در خدمت سازمان های مافیایی نوشته می شوند، ظهور می كنند و دست به سرقت اطلاعات در سطح وسیع می زنند.
كرم سوبیگ اثبات كرد مثلا ارسال كنندگان اسپم (اسپمرها) پشت سر قضیه هستند، تا با حمله به صندوق پستی الكترونیك كاربران و سرورها اطلاعات كاربر را به سرقت ببرند و بعد میلیاردها هرزنامه و پیام ناخواسته را وارد صندوق ایمیل ها كنند.
سوال اصلی كه امروزه مطرح می شود، تنها این نیست كه من چگونه می توانم خود یا سازمانم را در برابر ویروس ها محافظت كنم ، بلكه سوال این است كه ضربه خوردن و بهبود از آن چه هزینه ای در بر دارد.
در این راستا ریشه یابی ویروس ها كمك خوبی می كند، تا چاره جویی مناسبی برای مقابله با آن اندیشیده شود.

ریشه ویروس ها

شگفت انگیز این كه اولین بحث درباره ویروس های رایانه ای ، به وسیله دانشمندانی انجام شد كه روی برنامه های خود پاسخگو تحقیق و سعی می كردند برای آن مبنایی علمی تهیه كنند.
واژه ویروس رایانه ای همه نوع كدهای بداندیش و مخرب را در بر گرفت ، كه حالا آنها را در 3 فرم ویروس (Virus)، اسب تروا (Trojan) و كرمها (Worms) می شناسیم.
یك ویروس (Virus) برنامه ای است كه بدون رضایت روی سیستم اجرا شده و با نیت آلوده كردن دیگر سیستم ها و رایانه ها بخصوص حمله با كدهای مخرب روی برنامه هایی با پسوند com وexe وc. عمل می كند.
كرمها (Worms) نیز شبیه ویروس هستند، كه به طور خودگردان و خودكار روی شبكه ها و از جمله اینترنت می چرخند و اغلب آنها از طریق ایمیل منتشر می شوند و می توانند با سوءاستفاده از باگ روی برنامه ها شیوع پیدا كنند.
اسب تروا (Trojan) در نهایت پنهان كاری و با چراغ خاموش وارد سیستم می شود. ترواها به صورت خودگردان منتشر نمی شوند. ابتدا به صورت یك برنامه بی ضرر خود را نشان می دهند و از صاحب سیستم اجازه كلیك كردن می گیرند. یك ضمیمه ایمیل ، همراه با یك كرم ، یا دانلود شدن مخفی روی سیستم روشهای ورود تروا به رایانه است.
در سال 1981 اولین ویروس رایانه ای روی مكینتاش اپل با نام Virus1 و بعد 2 و 3 و روی بازی رایانه ای پخش شد; اما اكثر كارشناسان می گویند كه اولین ویروس روی پی سی ها در سال 1986 به وجود آمد.
كاربرد داس و فلاپی دیسك برای حمل ونقل اطلاعات ، ویروس Brain را كه از سوی دو برنامه نویس در پاكستان ابداع شد در سطح وسیع پخش كرد. در ظاهر این ویروس كپی رایت را نمی شكست ، اما وقتی اجرا می شد از طریق فلاپی دیسك به داس دست می یافت و فایلهای اجرایی exe. را آلوده می كرد. در سال poly morphic engine 1992 آمد.
این بخشی از نرم افزار بود كه باعث مخفی شدن ویروس ها می شد، چرا كه ویروس از این برنامه به صورت مصالحه جویانه بهره می برد; مثلا ویروس TPE در یكم دسامبر 1992 از سوی یك هلندی با حجم 3 هزار بایت نوشته شد.
نام مستعار ویروسGirafe بود كه بعدها ویروس بتهوون ، بوسینا وCivilwarvv1 از روی آن ساخته شد. شعاع عملیاتی این ویروس در حد فلاپی دیسك بود، كه فایلcom. را آلوده می كرد و مجددا روی آن می نوشت.
در همین سال ، ویروس های متنوعی مانندpsmpc،G2،IVP كه از نمونه های قبلی كاملا متمایز بودند و در سطحی وسیعتر عمل می كردند نیز آمد.
اواخر سال 1994 سیستم عاملهای ویندوز و اپلیكیشن های مرتبط با آن ، استاندارد و تحت officemacro وVBSو(Visual Basic script) ظاهر شدند و از داس به روی ویندوز پریدند.
فلاپی هاراه انتشار ویروس بودند، اما از سال 1998 اولین نقل و انتقال ویروسی از طریق اینترنت با كرمMorris عملی شد.
متعاقب آن استفاده از شبكه ها و از جمله اینترنت از سوی كاربران منجر به شیوع انفجارآمیز ویروس های رایانه ای شد.
اولین و خطرناك ترین حمله ویروسی را می توان با ویروس Meeisa از سایر داستانها در سال 1991 متمایز كرد. نمونهVBS (وی بی اسكرپیستی ) آن را می توان در كرمI Love You در سال 2000 دید.
بنابراین نام این متعیرها ناشی از حركت انسانی مانند بازكردن ضمیمه ایمیل به صورت تیر خلاص به سیستم شد و بسرعت شیوع یافت.
در سال 2001، دومین نسل حملات ویروسی و رایانه ای را با code Red، نیمدا و swem دیدیم. این كرمها با اینترنت فعال و پخش شدند. ویژگی این نسل استفاده از باگهای برنامه ای برای شیوع خود روی اینترنت و شبكه های محلی بود.
به عنوان مثال ، آتلوك مایكروسافت با هزاران حفره داخل خود تقریبا حركت انسانی را در درجه دوم اهمیت قرار داد و حفره هایش باعث ورود هزاران ویروس و كرم در سطح ویندوز شد.
هدف گیری برای هویت كاربران به صورت خودكار درآمد و بسیاری از كرمها نظیر swem تلاش كردند، تا ابتدا به ساكن فایروال هاو برنامه های ضدویروس را از كار بیندازند.
همه این اتفاقات درون دیگی داغ به نام اینترنت رخ می داد، كه هر بار هم خوردن آن رشد سرسام آور قربانیان و سیستم های آلوده را به همراه داشت...

برای كارشناسان رایانه سال 2002 به اندازه تمام سالهای پشت سر گذاشته شده پرویروس بود.
تقریبا هر ماه هزار ویروس جدید و بعضا در سطح بالای تخریب ، نظام شبكه ای در جهان را به خطر انداخت.
تلاش شركتهای ضدویروس با این پدیده جدید به نحوی ظهور یافت كه با ویروس های مشتق شده از نسخه های اصلی مبارزه خوبی انجام داد و از پس سایر كرمها و ترواها نیز تقریبا سربلند بیرون آمد.
البته این سربلندی همیشه پس از وقوع حادثه و آلوده شدن سیستم ها رخ داد و میلیاردها دلار خسارت به شركتهای كوچك و بزرگ را نادیده گرفت.
شركتهای مطلع تر با به روز كردن سیستم های خود با انواع ضدویروس ها و فایروال ها با تهدیداتی نظیرKlez و Magistr و به مبارزه برخاستند. پیش تر سال 2001 در میان دانشمندانIT به عنوان بدترین سال ویروسی لقب گرفته بود.

اما وقتی سال 2002 و ویروس هایش آمد، تقریبا شوك بزرگی را به همگان وارد كرد و حوادث سال 2001 را از یاد برد و بعد در ژانویه 2003 كارشناسان فنلاندی هشدار دادند كه سال جدید بدترین سال خواهد شد و ترس بزرگی در دل همگان ایجاد كردند.
پیشگویی فنلاندی ها درست از آب درآمد و مطابق گزارش سیمانتك از ژانویه تا ژوئن 2003 بر قرائت بدیمن فنلاندی ها صحه گذاشت. براساس آمار، شركتهای بزرگ و كوچك به طور متوسط در طول یك هفته با 38 حمله هكری و ویروسی دست و پنجه نرم می كنند.
در همین مدت نیز به طور هفتگی 1400 نرم افزار مقتبس از حفره ها و آسیب پذیری های سیستم در اینترنت پخش می شود.
ویروس نویسان و هكرها به دلیل زودتر پیداكردن این حفره ها ویروس و حملات خود را زودتر سامان داده و در نتیجه یك قدم بالاتر از شركتهای ضدویروس موی دماغ كارشناسان امنیت سیستم و راهبران می شوند.
10 ویروس برتر نیز به اهدافی نظیر سرویس های غیرعمومی نظیر مایكروسافت اسكیوئل و FileSharing چه علیه شركتهای كوچك و چه علیه آی.اس.پی های بزرگ حمله می برند. نتیجه این كه حمله به مراكز اصلی شمار و درصد قربانیان را بسیار بالا برده و مثلا با آلوده شدن یك سرور بزرگ تمام كاربران ناخودآگاه ویروسی می شوند.
بنابراین روند ساخت ویروس و ضدویروس مثل اتفاقی همیشگی در دنیای رایانه هرگز از مد نیفتاده و همگان را آزار می دهد.

تهدیدهای آتی

اما تهدیدهای آینده تركیبی از ویروس ها، اسبهای تروا و كرمهایی است كه از مسیرهای چندگانه و متنوع برای آلودن سیستم ها استفاده می كنند.
بنابراین یك كرم می تواند به طور طبیعی یك اسب تروا را روی سیستم قربانی اجرا كند و این در حالی صورت می گیرد كه یك اسب تروا در خود یك ویروس را دارد.
حمله های ویروسی استفاده از اپلیكیشن هایی نظیر مرورگرIE مایكروسافت وIIS مایكروسافت را در رئوس كاری خود قرار می دهند كه در كنار آن P2P و برنامه های پیام رسان به عنوان شیوعكننده ویروس در اولویت كاری قرار می گیرد.
برخلاف ویروس هایی نظیر ملیسا در سال 1999، ویروس های كنونی هسته های اصلی را نشانه می گیرند و همه چیز را برهم می زنند.
در سپتامبر 2003 دكتر گرهارد اشلبك ، مدیر شركت امنیت سیستمها در Qualys در كنگره گفت:حمله به شبكه ها چه در تعداد و چه در مهارت روبه توسعه و ترقی است و حملات جدید قدرت آلودگی به مراقبت بیشتری نسبت به پاسخگویی بموقع دارند.
عین این مطلب را زمان ظهور كرم اسلامر (Aka Sapphire) دیدیم. سرعت گسترش آن شبیه داستان های تخیلی بود. در اولین دقیقه ، تعداد سیستم های آلوده شده 2 برابر و در اندازه نیز هر 5/8 ثانیه دوبرابر می شد.
این كم با 55 میلیون اسكن در هر ثانیه تقریبا پس از هر 3 دقیقه فول اسكن می شد و این داستان حیرت آور مثل شوك تمام كارشناسان را میخكوب كرد.
از آنجا كه شبكه ها پهنای باند كافی نداشتند، خود به خود سرعت اسكن پایین آمد. مطابق گزارش ها بیشتر سیستم های آسیب پذیر در همان 10 دقیقه اول شیوع ویروس ، آلوده شدند.
اما متغیرهای تعریف شده در سوبیگ ، یك ماموریت مخفی را در خود جای داده بود. ویلیام هانكوك ، قائم مقامcable and wireless در این باره گفت: سوبیگ ، نسخهE اولین كرمی است كه تكنیك پیچیده هكری را در خود پیچانده و كنار مهندسی اسپم راهی سیستم ها شده است.
سوبیگ با یك ضمیمه داخل ایمیل قابل شیوع و انتقال است و با بازشدن آن یك كپی از ویروس مورد نظر به وسیله رایانه حمله كننده به نشانی بازشده ارسال می شود و همه جا را آلوده می كند.
در ابتدا این چنین به نظر می رسد كه ویروس قصد ملاقات با یك سایت مستهجن را دارد، اما فورا ویروس اسب تروای خود را با عنوانLaLa داخل سیستم قربانی می اندازد و سپس كرم سوبیگ را پاك می كند.
ما فكر می كنیم كه كرم پاك شده است ، البته درست هم می گوییم ; اما از اسب تروای LaLa اجازه هایجك شدن سیستم را فراهم می سازد و ماشین آلوده شده را آماده می كند تا صدها و هزاران اسپم وارد آن شود.
به علاوه ، پنجمین متغیر تعریف شده برای سوبیگ نسخهE ماشینSMTP است كه به طور خودكار نسخه های قبلی ویروس را به روز می كند و اجازه آلودگی بیشتر را فراهم می سازد; اما سوبیگ نسخهF6 متغیر و فاكتور از پیش تعریف شده را با خود یدك می كشد. با مراجعه به فاكتور پیش برنامه نویسی و زمان ترمینال خودكار كندی زمان پیش از نسخه جدید ویروس بین منفی 7 تا مثبت 35 روز است ، به همین خاطر سوبیگ نسخهG درحال نوشتن بوده و سروكله اش پیدا می شود.
كرم Msblast از امتیاز نقص امنیتی كشف شده در ایكس.پی ،ان.تی 2000 و سرور 2003 بهره برد و آن چنان قوی بود كه دستور حمله DOS به سایت به روزرسانی مایكروسافت را با موفقیت راهبری كرد و دمار از روزگار مایكروسافت درآورد.
قدرت در هم كوبندگی نیز به حدی بود كه قدرت چاره جویی را از مایكروسافت گرفت و در انتها، اشتباه تكثیر از جانب ویروس نویس جان مایكروسافت را نجات داد.
یكی از كاربران می گفت برای در امان ماندن فورا به طرف سایت به روز رسانی مایكروسافت رفت ، اما در حال گذراندن 15 دقیقه نصب پس دستور بود كه یك پیام آمد كه نوشته بود سیستم شما تا 60 ثانیه بعد خاموش می شود و...
بعد ضد ویروسی علیه آن آمد كه واقعا ویروس را پاك می كرد، ولی اسب تروایی نیز روی سیستم پیاده می كرد و كنترل كامل سیستم را در اختیار حمله كننده می گذاشت.
كرم جدید با ایمیلsupport@microsoft.com همراه بود و شكها را بظاهر برطرف می كرد.
هنگامی كه شركتهای امنیت رایانه ای در حال جنگ با ویروس های جدید یا هرگونه حمله ای هستند، اكثر كاربران سر خود را مثل كبك ، زیر برف كرده اند.
تنوع و تعداد تجارت های كوچك ، خطر افزایش انواع كرمها و ویروس ها را مادامی كه سیستم های فایروال نصب نشود، (به دلیل كاهش هزینه ها بالا می برد.
شركتهای بزرگتر به دلیل منافع درازمدت این شرایط را درك كرده اند و برایش راه چاره می یابند. امروزه آنچه با عنوانIT Spend معروف شده ، شامل تمام هزینه هایی است كه یك شركت برای ایمن كردن جان سیستم های خود در برابر هرگونه حمله ای خرج می كند. همین موضوع باعث تولید شغل های معتبر شده و قدرت نیروهای فنی را در ساماندهی امنیت كل شركت بالا برده است.
به روز كردن سیستم ها، نصب پس دستورها و ضدویروس ها، تغییرات لازم روی فایروال پس از نصب و راه اندازی ، چك كردن تمام دسكتاپ های داخل اداره و تحول مداوم در ساختار بانك اطلاعات مورد استفاده شركتها از جمله وظایف مدیران امنیت آی.

تی است كه بدان بها می دهند.
مدیران آگاه با توجه به خسارت هایی كه پس از حملات متحمل می شوند، چاره ای جز هزینه كردن به عنوان علاج واقعه قبل از وقوع ندارند.
در منظر كلی به اقتصاد كلان رایانه ای در سال 2001 ویروس ها 3/7 میلیارد پوند خسارت به سیستم های انگلیسی وارد آوردند.
سال گذشته نیز بانك امریكا 12 هزار ماشین خودپرداز را پس از آلوده شدن به ویروس از كار انداخت و خسارتی سنگین متحمل شد. وقتی شبه كرم بلاستر آمد، تمام ماشین های به روز نشده در كمتر از چند دقیقه اسیر آن شده و خاموش شدند.
پاكسازی چنین ویروس برای هر ماشین حداقل 80 پوند هزینه دربرداشت و این نشانگر آن است كه علاج واقعه پیش از وقوع براستی كم هزینه تر است.
آی.دی.سی پیش بینی كرده میزان پرداختIT Spend تا سال 2007 به رقم 64 میلیارد پوند در سال خواهد رسید و سرمایه گذاری در بخش امنیت سیستم ها بسیار بااهمیت تر از امروز خواهد شد.

ویروس های خوب

Welchi یاNachi كرم خوبی بود كه برای كشتن ویروس های بد و ضدعفونی كردن رایانه از شر ویروس ها ساخته شد.
كرم مذكور 18 آگوست 2003 كشف شد و از همان تكنیك آلودن سیستم از سوی Lovesan بهره گرفت و خود را روی تمام سیستم ها انداخت. این كرم مشكل تمام وب سرورهای حاویIIS نسخه 5 را كه توسط حفره كشف شده Webdav در مارس 2003 آلوده شده بود، حل می كرد و بعد در اول ژانویه 2004 برای همیشه مرد.
داستان ویروس های خوب ، در كنار برنامه های ضد ویروس ادبیات جدیدی از امنیت سیستم های رایانه ای خلق كرده و شاید به عنوان یك استراتژی از سوی سازندگانOS در سطح كلان مورد استفاده قرار گیرد.
برخی شركتهای ضدویروس روش پاك كردن سیستم های داخل شركتهای بزرگ و كوچك را با معماری ویروس های خوب انجام می دهند.
با این تفاسیر، فكر این كه ویروس ها از بین بروند، بسیار ساده انگارانه است ، اما این كه ویروس های خوب بتوانند ویروس های بد را از میان ببرند، بحث دیگری است ، ولی یك نكته را نمی توان فراموش كرد و آن این كه ویروس نویسان همیشه یك قدم جلوتر از بقیه هستند; یعنی تا وقتی حفره های پیدا و پنهان وجود دارد، ویروس نیز وجود خواهد داشت.

علیرضا خراسانی