ويروس چيست؟
يک ويروس يک برنامه کوچک و انجام پذير است که قابليت آنرا دارد که کد خود را در قسمتهای مختلف يک کامپيوتر مثل هارد ديسک يا فلاپی کپی کند يا به فايلهای اجرائی بچسباند. اين در حالی است که کاربر از وجود ويروس و اعمالی که انجام میدهد کاملا بیاطلاع است و هنگامی متوجه میشود که سيستم يا بايد Format شود و يا سرعت سيستم به شدت پايين آمده است.
هر ويروس خصوصياتی مخصوص به خود دارد. ويروسها راههای متفاوتی برای آلوده کردن سيستمها دارند که همين خصوصيت آنها را از ديگر ويروسها متمايز میکند. در زير طريقه جدا کردن ويروسها را از همديگر شرح میدهم:
الف) حجم: يک ويروس میتواند کوچکتر يا در حدود ۶۶ بايت باشد يا بزرگتر يا در حدود ۴۰۹۶ بايت باشد. در مقايسه با نرمافزارها يک ويروس بايد خيلی کوچک باشد.
ب) روش آلوده سازی: يک ويروس میتواند با روشهای متفاوتی برنامه ميزبان را آلوده کند. در زير سه روش که بيشتر مورد استفاده است شرح داده میشود:
ب(۱) overwriteکردن: زمانيکه يک ويروس با اين روش برنامهای را آلوده میکند، بسادگی يک کپی از کد خود را در بالای کد برنامه ميزبان مینويسد اين روش خيلی ساده بوده و در ويروسهای اوليه بکار گرفته میشد. در اين روش فايل ميزبان به احتمال زياد خراب میشود و از کاربر از ديسک پشتيبان فايل را فراخوانی میکند. در اين روش تاريخ تغييرات فايل عوض میشود اما حجم همانطور باقی میماند در اين روش توابعی که برنامه بايد انجام دهد زياد میشود و سرعت اجرای برنامه اصلی (اگر خراب نشده باشد) کاهش پيدا میکند.
ب(۲) الصاق کردن: اين روش کمی پيچيدهتر است. ويروس خود را به انتهای فايل ميزبان الصاق میکند و سرخط برنامه را اصلاح میکند در هنگام اجرای برنامه، برنامه ابتدا به قسمتی که کد ويروس قرار دارد رفته، دستورات ويروس را اجرا کرده و بعد برگشته و به اجرای برنامه ميزبان میپردازد. در نظر کاربر برنامه به صورت نرمال اجرا میشود اما ايراد اين روش اين است که حجم فايل افزايش میيابد. بعضی از ويروسهای الصاقی تشخيص نمیدهند که فايل قبلا ويروسی شده است يا نه و دوباره و چندباره فايل را آلوده میکنند و اين باعث میشود که حجم فايل رشد قابل ملاحظهای کرده و در انتها فايل ديگر غيرقابل استفاده میشود.
ب(۳) آلوده کنندههای ديسک: ويروسهای ديگر رکورد بوت (بوت سکتور) ديسک يا جدول پارتيشن را آلوده میکنند. اين رکورد قسمتی از ديسک است که هنگام راهاندازی سيستم بصورت اتوماتيک خوانده میشود اين يعنی بعد از راهاندازی سيستم ويروس در حافظه قرار میگيرد!
ج) (terminated and stay resident) يا TSR: يک ويروس که ممکن است مقيم در حافظه باشد يا با اجرای يک برنامه خاص در حافظه بار شود. هنگامی که ويروس مقيم در حافظه شد هر زمان و هر فايلی را که بخواهد آلوده میکند. تمام ويروسهائی که جدول پارتيشن يا بوت سکتور را آلوده میکنند جزو TSRها هستند.
د) مخفیشدن: بعضی از ويروسهای TSR از تکنيکی ماهرانه استفاده میکنند چنانچه هيچ کار سيستم عجيب به نظر نمیرسد گويا اصلا ويروسی در سيستم نيست! موقعی که کاربر يک ليست از پوشهها میگيرد ويروس از خوانده شدن صحيح ديسک جلوگيری میکند انگار نه انگار که چيزی در سيستم تغيير کرده چون يک کپی از محتويات ديسک را قبل از آلوده شدن به کاربر نشان میدهد. به همين دليل پيدا کردن ويروسهائی که مقيم در حافظه شدهاند تقريبا غيرممکن است.
ويروسهايی که بوت سکتور را آلوده میکنند ممکن است مخفی شونده باشند. تنها راه مطمئن برای شناسائی اين ويروسها اين است که ابتدا سيستم را با يک فلاپی (که از ويروسی نبودن آن مطمئن هستيم و در حالت محافظت شده از نوشتن است) بالا آورده و ديسک سخت را ويروسکشی کنيم.
هـ) نحوه فعال شدن و نتايج: ديگر ناحيه برای سوا کردن ويروسها از همديگر نحوه فعال شدن، نتايج آن و نحوه غيرفعال شدن آنهاست. بعضی از آنها در تاريخ معينی فعال میشوند. بعضی ديگر با اجرا شدن برنامهای خاص اجرا میشوند و بعضی ديگر هنگامی خود را نمايان میکنند که ديگر فايلی برای آلوده کردن نمیيابند (يعنی همه فايلها آلوده شدهاند!)
هر وقت که يک ويروس فعال میشود فعاليتهايی را که برايش معين شده است انجام میدهد که اينها را نتايج فعال شدن میناميم. نتيجهای که ممکن است ساده و بیضرر باشد مانند نشان دادن يک پيغام يا بدانديشانه باشد و هارد سيستم را تبديل به يک آشغالدونی بکند. بديهی است که هرکس میخواهد قبل از اينکه ويروس فعال شود آن را بيابند.
- از چه راههائی ممکن است سيستم ويروسی شود؟
مثل ويروس ايدز چرنديات زيادی در مورد ويروسهای کامپيوتری وجود دارد که میگويند کدام ويروس میتواند سيستم شما را آلوده کند. طوری ما را از آنها میترسانند که با فهميدن ويروسی شدن سيستم حالمون خراب میشود.
سيستم زمانی ويروسی میشود که شما يک فايل اجرائی را که ويروسی شده است اجرا میکنيد يا قصد بوت کردن از روی يک ديسک آلوده میکنيد. سيستم شما با نگاه کردن به يک فايل ويروسی، ويروسی نمیشود مگر اينکه سيستمعامل خود را طوری تنظيم کنيد که اعمالی خاص را هنگام ديدن فايلهای خاص انجام دهد مثلا windows script host اجرای ويروسهای vbs. را ساده میکند. يک ويروس فقط فايلهائی را میتواند ويروسی کند که قابليت اجرا شدن داشته باشند يا سيستم عامل اجازه اجرا خودکار به آن فايل خاص دهد مانند .scr. bin . drv . sys . ovl . com . exe. و ... و جدول پارتيشن و بوت رکورد فلاپی يا ديسک سخت.
اشاره کردم که قصد کنيد از روی يک فلاپی آلوده سيستم را بوت کنيد. حتی زمانيکه شما اين اقدام به اين کار میکنيد و سيستم پيغام میدهد که فلاپی قابليت بوت کردن ندارد و شما آنرا درآورده و از هارد سيستم را بوت میکنيد بازهم سيستم ويروسی میشود. اين خيلی مهم است يعنی لازم نيست که شما با موفقيت از روی يک فلاپی آلوده بوت کنيد تا ويروس فعال شود. اولين کاری که ويروس انجام میدهد آلوده کردن درايو :c است. بعد که يک ديسک در فلاپی میگذاريد آنرا نيز آلوده میکند. به همين دليل است که نبايد هيچ ديسکی در فلاپی باقی بماند و چرا بايد فلاپی ها را در مقابل نوشته شدن محافظت کنيم.
و اما جمعبندی مطالب بالا:
ا
لف) سيستم زمانی ويروسی میشود که شما يک فايل اجرائی را اجرا میکنيد. هر چند ممکن است آن فايل اجرا نشود اما مطمئن باشيد ويروس اجرا میشود.
ب) سيستم زمانی ويروسی میشود که شما اقدام به بوت کردن از روی يک ديسک آلوده میکنيد هر چند بوت کردن با موفقيت انجام نشود.
ج) بوت سرد میتواند ويروس را از حافظه بيرون اندازد اما بوت گرم نه، پس زمانی که میخواهيد سيستم را ریبوت و سپس ويروسکشی کنيد با دکمه power اين کار را انجام دهيد نه با سه کليد Ctrl+Alt+Del.
د) سيستم شما به صرف اينکه شما به يک ديسک يا برنامه آلوده نگاه میکنيد ويروسی نمیشود .
هـ) سيستم شما با يک فايل داده مثل txt. هيچوقت آلوده نمیشود مگر اينکه برنامههای ديگر يک فايل اجرائی را به اين نام تغيير نام داده باشند که اين هم وقتگير است و زياد مورد توجه ويروسنويسها نيست. در ضمن سيستم را طوری تنظيم کنید که پسوند تمام فايلها را نشان دهد شايد متوجه شوید که فايل ويروس چنين است pic1.jpg.exe و تمام فايلهای اجرائی جديد را قبل از اجرا با نرمافزارتان چک کنيد و هيچوقت يک ديسکت را در فلاپی ديسک باقی نگذاريد.
- با چه علائمی میتوان فهميد سيستم ويروسی شده است؟
بعضی چيزها و علائم هستند که از روی آنها میتوان فهميد سيستم ويروسی شده است حتی با وجود اينکه نرمافزار ضد ويروس سيستم را سالم میداند باز هم به آن اعتماد ۱۰۰٪ نکنيد خيلی از ويروسها حتی اين نرمافزارها را نيز اسير خود میکنند. و اما علائم از اين قرارند:
الف) فايلهای exe و com رشد میکنند و حجمشان زياد میشود پس سيستم يک ويروس الصاقی دارد.
ب) برنامههايی که اجرايشان میکنيم بدرستی اجرا نمیشوند و با چند پيغام خطا که برای ما تازگی دارند از ادامه کار باز میماند. اين علامت يک ويروس overwrite است بعضی از پيغامهای خطای معمول چنين است "unknown command" يا "حجم برنامه زياد است و در حافظه جای نمیگيرد" و يا پيغامهای شبيه اينها، اينها بايد شما را نسبت به سيستم مشکوک کند.
ج) تغييرات مشکوک در پوشهها. اگر شما برنامه را اجرا میکنيد و متوجه میشويد شما به يک پوشه ديگر انتقال يافتهايد يعنی يک ويروس شروع به شکار فايلها در پوشه برنامه شما کرده است.
د) کاهش در حافظه سيستم. شما بايد بدانيد معمولا چقدر فضای آزاد در حافظه سيستم داريد، اگر اين عدد کاهش پيدا کند پس يک ويروس TSR در سيستمتان زندگی میکند! اما اين هميشه کارگر نيت چون بعضی از ويروسها مقدار زيادی از حافظه را اشغال نمیکنند.
هـ) پيغامهای خطای مشکوک CHKDSK. ويروسهای نهان باعث میشوند شما پيغام خطای CHKDSK بگيريد زيرا آنها اطلاعات CHKDSK را تغيير میدهند. اگر شما در اين وضعيت CHKDSK /f کنيد خطر بزرگی ساختمان پوشههايتان را تهديد میکند در صورتی که در وضعيت عادی چنين خطری وجود ندارد.
و) پائين آمدن سرعت در عمليات سيستم. در اين حالت مدت زمان اجرای برنامهها افزايش میيابد.
- چگونه میتوان از سيستم خود در برابر ويروسها محافظت کرد؟
الف) در فاصله زمانی معين از فايلهای حساس خود back up بگيريد.
ب) خيلی از برنامهها مثل NU میتوانند برايتان يک ديسک نجات تهيه کنند تا در موارد حساس از آن استفاده کنيد اين ديسک را تهيه کرده، write protect کرده و در يک جای امن نگهداری کنيد. در آن ديسک يا يک ديسک ديگر يک ويروسکش کم حجم را ذخيره کنيد.
ج) اطلاعات خود را در مورد ويروسها افزايش دهيد و بيشتر با آنها و اعملشان آشنا شويد هيچ برنامه ضدويروسی به اندازه انسان هوشمند نيست.
د) از برنامههای قوی ضدويروس استفاده کنيد (از هيچ چيز که بهترند). اما هميشه به آنها اعتماد نکنيد!
چگونگی ویروس سازی با برنامه های آماده:
در سالهای گذشته ویروسها با اسمبلی نوشته می شدند. آنها فضای کمتری اشغال می کردند و در بوت سکتور فلاپیها جا خوش می کردند. خودشان را به فایلها الصاق می کردند بدون اینکه کاربر متوجه شود. از شیوه های نهان کاری استفاده می کردند و از راههای فرعیه سیستم عامل به هارد سیستم دسترسی می یافتند. هیچوقت ویروسی نویسی را کاری سخت ندانید به همان شدت آنرا سهل نیز نشمارید. دقت کنید که گفتم ویروس نویسی و نگفتم ویروس سازی چون ویروس سازی کاری سهل است. ویروس نویسی هم زیاد سخت نیست چون می توان در محیط Dos و با اطلاعاتی در مورد فايلهای bat. شروع به ويروس نويسی کرد. اما (به نظر من) ويروسهائی که با زبان C نوشته میشوند جالبتر، دوستداشتنیتر و باهوشترند. يادگيری زبان C را حتما شروع کنيد چون انشاالله اواخر ارديبهشت يا اوايل خرداد با هم يک ويروس خواهيم نوشت. با برنامههای آماده حالا هر کاربری قادر است شروع به ويروس سازی کند، اما به نظر من حيف است ويروسی بسازيم و از کدهای آن سر در نياوريم. در اينجا ويروسسازی با برنامه Vbswg 2 را که سادهتر از نصب کردن يک برنامه است، شرح میدم. در ادامه چند رنامه قوی ديگر را نيز برايتان نام میبرم (ولی شرحی در مورد قابليتهايشان نمیدم و شناختن کارکرد آنها به عهده خودتان میباشد).
۱ ـ برنامه را اجرا کنيد.
۲ ـ فرم را پر کنيد: يک نام جالب برای ويروستان انتخاب کنيد، اسم مستعار خود را بنويسيد. يک نام برای فايل backup ويروستان انتخاب کنيد. پسوند ويروس را انتخاب و محلی را که ويروس بايد خود را آنجا کپی کند معين کنيد.
۳ ـ در قسمت Email يک تيک بزنيد و معين کنيد که ويروس خود را چگونه در ايميل قرار دهد، موضوع نامهای را که از طرف قربانی به دوستانش فرستاده میشود را به همراه متن نامه تایپ کنيد.
۴ ـ حال در قسمت payload کارهائی را که میخواهيد ويروستان انجام دهد معين کنيد و در ضمن زمانی را که ويروس بايد در آن زمان معين فعال شود معين کنيد و Done را بزنيد.
۵ ـ حال "Create Virus" يا "Generate" را بزنيد.
۶ ـ فايل را ذخيره کنيد.
۷ ـ آنرا اجرا کنيد تا کارکردن آنرا ببينيد.
اين برنامه يک ويروس از نوع اسکریپت Visul Basic میسازد و روی کامپيوترهائی که از ويندوز و outlook استفاده میکنند کارگر است. همانند ويروس "I Love You" يا "Ana Kournikova".
خوب حالا چند برنامه ديگر برايتان نام میبرم که تقريبا کارکردن با اکثر آنها مثل همين برنامه است:
1 - DW97Mvck 2 - SSIWG 3 - VBS.Alamar 4 - THCK 5 - THCK2000
6 - VC2000 7 - BW 8 - MKTROJAN 9 - PS-MPC 10 - M-GEN ,...
شبه ويروس Blaster بسازيد.
ويندوز فقط آنچه كه به ظاهر مي بينيد نيست و اگر با امكانات آن به نحو احسنت آشنا باشيد مي توانيد با تركيب اين امكانات با هم ، حالات و امكانات جديدي به وجود آوريد. بعضي مواقع از امكانات و اطلاعات براي مقاصد شيطاني و به اصطلاح حال گيري ! مي توان استفاده كرد. يكي از اين موارد استفاده از امكانات ويندوز براي راه اندازي مجدد و يا خاموش كردن ويندوز در زمان تعيين شده بدون دخالت مستقيم كاربر مي باشد. آموزش اين مورد دو نوع كاربرد خواهد داشت. يكي افزايش سطح آگاهي كاربران و ...
ديگري حال گيري از بعضي از افراد ( كه بعضي مواقع واقعا واجب مي شود ! ). حال اينكه شما از كدام يك از اين دو نوع كاربرد استفاده كنيد به خودتان مربوط است و مسئوليت آن هم به عهده خودتان است.
همان طور كه مي دانيد ويروس Blaster يكي از اختلالاتي كه بوجود مي آورد اين بود كه كامپيوتر قرباني را Restart مي كرد. با اين روش كه در ادامه عرض مي كنم مي توانيد اثري مانند اثر ويروس Blaster ايجاد كنيد.
براي اين كار مراحل زير را به ترتيب انجام دهيد :
به هر روشي كه برايتان آسان تر است Scheduled Task ( برنامه اي كه مي توان با آن تعيين كرد كه در يك زمان معين مثلا دوشنبه ها ساعت 3 برنامه اي كه تعيين مي كنيد اجرا شود ) كه در ويندوز قرار دارد را اجرا كنيد ( آموزش اين ابزار در همين وبلاگ نيز به صورت كامل وجود دارد كه ميتوانيد از آن نيز استفاده كنيد ).
برروي Add Scheduled Task كليك كرده تا يك وظيفه ( Task ) جديد را معرفي كنيد.
مراحل را به ترتيب طي كنيد و دكمه Browser را بزنيد و از فولدر ويندوز خود فايل Rundll32.exe را انتخاب كنيد.
مراحل را ادامه دهيد و زمان اجراي خاصي را انتخاب كنيد ( مثلا وقتي كه ويندوز راه اندازي مي شود را انتخاب كنيد ).
Ok ها و Finish را بزنيد تا كار تمام شود و در پنجره اصلي Scheduled Task وظيفه ( Task ) جديد Rundll32 ايجاد شود.
روي وظيفه Rundll32 راست كليك كرده و Properties را انتخاب كرده و در Tab اول (Task ) در كادر Run عبارت زير را قرار دهيد ( با دقت به علائم و فواصل توجه كنيد ) :
C:WindowsRundll32.exe shell32.dll,SHExitWindowsEx 0x2
كه در آن C:Windows نام و مسير فولدر ويندوز شما بايد باشد.
مطمئن شويد كه در جعبه Start in عبارت C:Windows نوشته شده باشد و در پائين Enabled تيك خورده باشد ( فعال باشد ).
Ok ها را بزنيد و خارج شويد تا كار تمام شود.
اگر مي خواهيد كه كامپيوتر خاموش شود تمام مراحل بالا را انجام دهيد و فايل Rundll.exe را انتخاب كنيد و در Run عبارت زير را قرار دهيد :
C:WindowsRundll.exe user.exe,exitwindows
براي پاد زهر هم مي توانيد قبل از بالا آمدن ويندوز از طريق DOS به فايل Rundll.job و يا Rundll32.job در فولدر C:Windowstasks دست رسي پيدا كرده و آن را با دستور Del پاك كنيد .
توجه كنيد كه هر جا گفته شده است C:Windows منظور نام و مسير فولدر ويندوز شما است.
امكان اين كه تمام مواردي كه در بالا توضيح داده شد را توسط يك فايل اجرائي بصورت اتوماتيك انجام دهيد نيز وجود دارد كه البته اين ديگر رسما يك فايل ويروسي مي شود و اگر با آن دردسر درست كنيد عاقبت آن اين است كه بالاي عكستان خواهند زد : $ Wanted $ ... !!!
آموزش ساخت ويروس Zero Zone :
عوارض استفاده نادرست از اين مطلب به عهده كاربر استفاده كننده مي باشد و هيچگونه مسئوليتي متوجه اين سايت نمي باشد.
امروز ميخواهم ويروس ZeroZone را به شما معرفي كنم.اين ويروس TimeZone ويندوز را صفر ميكند.يعني تايم ويندوز و روز آن صفر ميشود.هيچ ضرري براي كامپيوتر ندارد فقط بايد دوباره زمان و روز ويندوز خود را تنظيم كنيد.و بيشتر براي ترساندن به كار ميرود.
بازهم مثل هميشه Notepad را باز كنيد وكد زير را در آن تايپ كند.
(کد هاي اين قسمت را با کليدهاي کنترل سي و کنترل وي برداريد در غير اين صورت جواب نمي گيريد)
@Echo offtime=0:0:0
حال آن را با نام Time0.bat سيو كنيد.
بعد دوباره NotePad را باز كرده و كد زير را در آن تايپ كنيد.
@ECHO OFFdate=10-10-10
اين فايل را هم مثل فايل قبلي با نام Date0.bat سيو كنيد.
حال دوباره NotePad را باز كرده و كد زير را در آن تايپ كنيد.
@echo offecho I AM A VIRUSecho SEAT AND SEE MY POWER!!!...pause
و آن را با نام Comment.bat ذخيره كنيد.
يه NotePad باز كرده وكد زير را در آن تايپ كنيد.
START TIME0START DATE0START comment
وآن را با نام Help.bat ذخيره كنيد.
بر روي فايل آخر رايت كليك كرده و Create ShortCut را بزنيد و نام آنرا به Help.txt تغيير دهيد.
سپس با رايت كليك بر روي Help.txt وانتخاب Properties و زدن Change Icon يه آيكون براي فايل خود انتخاب كنيد.
بقيه فايلها را در يك Folder ذخيره كنيد كه شما ميتوانيد آن Folder را نيز Hidden كنيد.
حال ويروس ما آماده است.مواظب باشيد.
نوشته شده در توسط میر جواد هاشمی قره باغ | لينك ثابت |