ويروس يا كرم
منظور از <ويروس> در اين مقاله هر برنامهاي است كه به تكثير خود ميپردازد. اما به لحاظ فني، ويروس از واسطههاي ذخيرهسازي كامپيوتر (نظير هاردديسك، فلاپيديسك، حافظهكارتي و...) براي انتقال خود استفاده ميكند، ولي <كرم> واسطههاي بيروني، نظير اتصال اينترنت يا سرور شبكه را براي انتقال به كار ميگيرد. به علاوه، ويروس براي انتشار خود به هر حال به مداخله كاربر محتاج است، اما كرم ميتواند بدون كمك كاربر نيز منتشر شود.
همچنين اصطلاح <بدافزار> به هر نرمافزاري اطلاق ميشود كه با نيتي بدخواهانه تهيه شده باشد. از قبيل: ويروس، كرم، تروجان، جاسوسافزار، روتكيت، و ... .
ويروس Lehigh، كه در سال 1987 در دانشگاه Lehigh پنسيلوانيا ساخته شد، اولين ويروسي بود كه فايلهاي اجرايي، به طور مشخص فايل command.com، را هدف قرار ميداد. اولين ويروسي كه هم فايلهاي exe و com را آلوده ميكرد در سال 1987 ساخته شد كه در تاريخي مشخص كد مخرب خود را فعال ميكرد. پس از اين ويروس، چند ويروس ديگر از همين نوع به وجود آمدند. ويروس Cascade (سال 1988) اولين ويروس رمزگذاري شده بود كه به آساني حذف نميشد.
اولين كرمي كه به طور گسترده در اينترنت پراكنده شد، Morris بود كه رابرت تي موريس در سال 1988 آن را منتشر كرد. موريس در آن زمان دانشجوي دانشگاه Cornell بود و حالا استاد دانشگاه MIT است. موريس مدعي بود اين كرم را صرفاً براي تمرين و با هدف محاسبه بزرگي اينترنت به وجود آورده است، اما نتيجه اين شد كه كرم مزبور فراتر از آن چه انتظار ميرفت، پراكنده شد و بسياري از كامپيوترها را در چند نوبت آلوده كرد. كامپيوترهايي كه گرفتار اين كرم ميشدند (ماشينهاي يونيكسي)، به قدري كند ميشدند كه عملاً قابل استفاده نبودند.
با فعال شدن <كتابخانههاي توليد ويروس> (موسوم به VLC) در سالهاي آغازين دهه 1990، جهان كامپيوتر شاهد ظهور اولين موج توليد انبوه ويروسهاي كامپيوتري شد. اعضاي باشگاههاي خرابكاري ميتوانستند كد ويروسها را از اين مراجع دريافت نمايند و با اندكي دستكاري، بدون نياز به دانشي خاص يك ويروس توليد كنند. خوشبختانه،VLCها منجر به توليد ويروسهايي شدند (چون Kinison ،Donatello ،Earthday ،Genocide و Venom) كه اشكالات فني آنها مانع از پخش شدنشان در سطح وسيع ميشد.
تعدادي از ويروسهاي VLC از طبقه ويروسهاي <الحاقي> بودند؛ يعني كد سرايتدهنده خود را به برنامه هدف الحاق ميكردند. بعضي ديگر از طبقه <همراه> بودند. يعني همراه با برنامه مورد هدف به اجرا درميآمدند؛ بدون اين كه تغييري در برنامه ايجاد كنند. بعضي ويروسهاي ديگر هم سكتور بوت را تخريب ميكردند و بعضي ديگر فايلهاي اجرايي را.
ويروسها هوشمندتر ميشوند
يكي از جالبترين پيشرفتها در ويروس <خوددگرديسي> (self-mutating) آنها بود (كه به <چندريختي> ياpolymorphic نيز معروف است). از آنجا كه برنامههاي ضدويروس براي پيدا كردن ويروسها به دنبال قطعات كوچك و قابل شناسايي ويروسهاي شناخته شده ميپردازند، ويروسهاي خوددگرديس سعي ميكنند با تغيير الگوهاي شناخته شده خود به هنگام تكثير، مانع شناسايي توسط نرمافزارهاي <ساده> ضدويروسي شوند. سيستمي كه ويژگي خوددگرديسي را به ويروسها ميداد، بر اساس دو موتور DAME (سرنام Dark Avenger's Mutating Engine) و MtE (سرنام Mutating Engine) عمل ميكردند، كه در فاصله سالهاي 1991 و 1992 رواج داشتند.
برنامهنويسان نرمافزارهاي ضد ويروس براي مقابله با اين تهديدات، كافي بود توجه داشته باشند كه حتي كوچكترين بخش كد ويروس ميتواند شاخصههاي موروثي يك ويروس را آشكار كند. با ظهور يك متدولوژي جديد ضد ويروسي به نام <برنامه مقلد> (emulator program)، شناسايي ويروسهاي خود دگرديس بسيار آسان شد.
برنامه مقلد طوري عمل ميكند كه گويي دارد يك برنامه را به اجرا در ميآورد و بدين ترتيب ويروس را تحريك ميكند، اما در عمل گوش به زنگ است تا ببيند ويروس چه عملي انجام ميدهد و كد آن را در <گودالي> ميريزد كه فقط در حافظه وجود دارد. بنابراين، ويروسِ مخفي شده آشكار ميشود؛ بدون اين كه كد آن واقعاً به اجرا درآيد.
و بدين ترتيب رقابتي ميان دو طيف ويروسسازان و ضدويروسسازان آغاز شد. هر حركت ويروسسازان با عكسالعمل جامعه ضدويروس خنثي ميشد. نتيجتاً ويروسسازان تصميم ميگرفتند دفعه بعد هوشمندانهتر عمل كنند و اين يعني پيچيدهتر شدن ويروسها. و هر چه پيچيدهتر، پراشكالتر و شكنندهتر.
 |
اولين ويروسي كه توجه عموم مردم را برانگيخت، در سال 1992 جهان كامپيوتر را مورد هدف قرار داد. اين ويروس خوفناك، Michelangelo (ميكلآنژ) نام داشت و طوري تنظيم شده بود كه در ششم مارس هر سال (روز تولد اين نقاش دوره رنسانس) فعال ميشد. ويروس در سطح وسيع پراكنده شد و در مسير خود هر كامپيوتري را كه ميديد، هارد ديسكش را پاك ميكرد.
وسعت پراكندگي ويروس بسيار زياد بود، اما كوچكتر از آن چيزي شد كه انتظار ميرفت. به اعتقاد برخي كارشناسان، سر و صدايي كه رسانهها بر سر اين ويروس به پا كردند باعث شد كه بسياري از سازمانها از هر طريقي كه ميتوانند جلوي ويروس را بگيرند و مانع از گسترش آن شوند.
گذشته از اين، (ميكلآنژ) اولين ويروسي بود كه توانست بر مشكل فرمتهاي چندگانه فلاپي ديسكها فائق آيد. قبل از ميكلآنژ، ويروسها ميتوانستند فقط ديسكي را آلوده كنند كه فرمت آن همان فرمتي باشد كه سورس ويروس روي آن نوشته شده بود (يعني 360K ،720K يا بقيه فرمتها). آلوده كردن فلاپي با هر فرمت در واقع ترفند تازهاي بود كه ميكلآنژ به بقيه نشان داد.
وقتي نسل فلاپيديسكها كمكم رو به زوال نهاد، ويروسهايي كه براي انتقال خود از اين واسطه استفاده ميكردند نيز منسوخ شدند. در عوض، اينترنت به رسانه انتقال ويروس تبديل شد؛ اينترنتي كه فراگير شده بود و هر كس با يك مودم ميتوانست به آن دسترسي داشته باشد.
شوخيهاي ويروسي
زماني كه گسترش ويروسها به حدي رسيد كه عموم مردم نسبت به آنها حساس شدند، برخي از كاربران شرور، اين حساسيت مردم را دستاويزي قرار دادند براي شوخي با مردم و ايجاد مزاحمت. اين افراد، ايميلهايي را ميفرستادند كه نسبت به خطرات ويروسي هشدار ميداد كه اساساً وجود نداشت. يكي از مشهورترين اين شوخيها، Good Times بود كه بخشي از متن آن از اين قرار بود: <ويروسي در شبكه AOL وجود دارد كه از طريق ايميل منتقل ميشود. اگر نامهاي با عنوان Good Times دريافت كرديد، به هيچ وجه آن را باز نكنيد. اين نامه حاوي ويروسي است كه هارد ديسك شما را پاك خواهد كرد.> در انتهاي ايميل هم آمده بود كه <اين ايميل را براي تمام دوستان خود بفرستيد. ممكن است خيلي به درد آنها بخورد.>
شوخي Good Times و نسخههاي تغيير يافته آن، اولين بار در نوامبر 1994 ديده شد و پس از آن سالها دست به دست چرخيد تا نسبت به خطري هشدار دهد كه اصلاً وجود ندارد. اواسط دهه 1990 بود كه به نظر ميرسيد ايميلها يكي در ميان، هشدارهاي غلطي هستند كه دوستان براي يكديگر ميفرستند و بدين ترتيب، مزاحمتي كه هشدار ويروسها ايجاد كرده بود، از مزاحمت خود ويروسها بيشتر شد.
در راستاي بياعتبار كردن شوخيهاي ويروسي، شوخي ايميلي ديگري به نام Bad Times ساخته شد كه در واقع نقيض Good Times بود. در اين شوخي ذكر شده بود كه ويروسي به نام Bad Times به وجود آمده كه هر اطلاعاتي تا شعاع نيم متري كامپيوتر شما را از بين ميبرد، تمام نوشيدنيهاي شما را ميخورد، در توالت را باز ميگذارد؛ يعني چيزي كه هيچ كس باور نميكند و در واقع اين شوخيها را به مضحكه ميكشاند. اما ظاهراً باز هم يك عده از كاربران هنوز متوجه موضوع نشدهاند و اين ايميلها را براي دوستان خود ميفرستند.
حتي يك كاربر نسبتاً ناوارد كامپيوتر هم به ايستگاههاي اينترنتي چون AOL ،CompuServe ،MSN و Genieدسترسي داشت، كه سرويسهاي ايميل و دانلود هر كدام، خطرات و پيشامدهاي خاص خود را داشتند. هيچ يك از اين سرويسها در ابتدا معياري جهت بررسي ويروس يا اسكن فايل نداشتند و در نتيجه دانلود كردن نرمافزار از آنها خطرآفرين بود.
در حدود سال 1995 ويروسهاي ماكرو ظهور كردند كه از قابليتهاي برنامهنويسي نهفته در نرمافزارهاي گوناگوني چون Lotus 1-2-3 و Microsoft Word بهره ميگرفتند. يكي از شايعترين ويروسهاي ماكرو در آن زمان ويروس سادهConcept بود. اين ويروس، تمام ماكروهاي تعريف شده در فايل را حذف و بعضي از منوهاي Word را غيرفعال ميكرد و غير از اين، آسيب ديگري نميرساند. ويروس Concept در فاصله سالهاي 1995 تا 1997 بسيار شايع بود.
بدتر اين كه بسياري از ويروسهاي جديد با بهره گرفتن از قابليتهاي ايميل و SMTP در سيستمهاي ويندوزي، فايلهاي آلوده را به صورت انبوه براي افرادي ميفرستادند كه آدرس آنها در برنامههاي رايجي چون Microsoft Outlook فهرست شده بود.
 |
اواخر دهه 1999 بود كه جهان كامپيوتر هديه قرن را گرفت؛ Melissa تركيبي از ويروس ماكرو و كرم. يكي از آسيبهاي اين ويروس اين بود كه نقل قولهايي را از مجموعه كارتوني تلويزيوني <خانواده سيمپسون> در اسناد Word درج ميكرد. اما آنچه واقعاً مخرب بود، نحوه انتشار ويروس بود. Melissa سند آلوده شده را به صورت يك فايل ضميمه براي پنجاه نفر از افراد موجود در دفترچه آدرسهاي آوتلوك ايميل ميكرد.
شيوع اين ويروس از تمام ويروسهاي ديگر تا آن زمان سريعتر رخ داد و در حدود يك ميليون كامپيوتر را آلوده كرد. جامعه ضدويروسها در وهله اول آمادگي مقابله با چنين تهديد سريعالرشدي را نداشت، اما خيلي زود راهحلهايي را براي آن پيدا كرد. Melissa در واقع يك زنگ خطر بود.
در دهه حاضر، شاهد ظهور كرمهاي پيشرفته و سريعي بودهايم كه I LOVE YOU (سال 2000)، Nimda (سال 2001)، Code Red (سال 2001)، MyDoom (سال 2004)، و Sasser (سال 2004) چند مورد از آنها هستند.
يكي از كرمهايي كه ظهور آن نهايتاً به نفع كاربران تمام شد، SQL Slammer (معروف به Sapphire) بود كه در سال 2003 شايع شد. اين كرم، با يافتن حفرههاي امنيتي در كامپيوترهايي كه از SQL Server يا
SQL Server Desktop Engine استفاده ميكردند، تعداد عظيمي از كامپيوترها را در مدتي بسيار كوتاه آلوده كرد (75 هزار كامپيوتر در عرض ده دقيقه) و هزاران كامپيوتر را در سراسر اينترنت از كار انداخت يا كند كرد. به گزارش مايكروسافت، گسترش اين كرم باعث شد كه كاربران بيشتري اهميت بروز نگهداشتن سيستمها را درك كنند.
گناهكار اصلي: هرزنامهها
اما رقابت ميان ويروسسازان و ويروسستيزان ادامه پيدا كرد. هر چه ويروسها پيچيدهتر، مجهزتر و نهانتر ميشدند، ويروسيابهاي پيشرفتهتر بيشتري به مقابله با آنها برميخاستند. با اين حال، تمام ويروسها را نميتوان از برنامه آلوده شده زدود، و گاهي فقط نصب مجدد برنامه يا حتي سيستم عامل باعث از بين رفتن ويروس ميشود.
امروزه، فقط ويروس و كرم نيستند كه سيستمهاي كامپيوتري را تهديد ميكنند، بلكه تهديدات ديگري هم وجود دارند كه مهمترين آنها عبارتند از:
● Trojan: برنامههايي كه ظاهراً قانوني فعاليت ميكنند، اما در عمل به خرابكاري ميپردازند؛ مثلاً راه را براي دسترسي يك كاربر از راه دور باز ميكنند. اين بدافزار نامش را از افسانه يوناني اسب تروا گرفته است.
● Bot: برنامههاي كوچكي در كامپيوترهاي آلوده به تروجان كه با نفوذگر (كسي كه تروجان را فرستاده) ارتباط برقرار ميكنند و به وي گزارش ميدهند. اين برنامهها غالباً به جستوجوي آسيبپذيريهاي ساير كامپيوترهاي موجود در شبكه ميپردازند. شبكهاي عظيم از كامپيوترهايي كه به Bot آلوده شدهاند، botnet ناميده ميشود. مالكان اين كامپيوترهاي اشغال شده (كه به زامبي نيز موسومند) غالباً خبر ندارند كه كامپيوترشان به دست كاربري ديگر از راه دور كنترل ميشود و مورد سوء استفاده قرار ميگيرد.
● DDoS: (سرنام عبارت Distributed Denial of Service): حملاتي كه از سوي هزاران كامپيوتر (غالباً در يك botnet)به يك كامپيوتر مشخص يا دامنه به طور همزمان صورت ميگيرد تا آن را از پا در بياورند. به عنوان مثال، دامنهMicrosoft.com پيوسته آماج حملات DDoS قرار ميگيرد.
● Spyware: نرمافزاري كه به طريقي، جاسوسي كاربر را ميكند؛ مثلاً عادتهاي گشتزني وي را در وب گير ميآورد يا هر كليدي را كه كاربر روي صفحه كليد حركت ميدهد (مثلاً هنگام زدن رمزعبور) براي خود ثبت ميكند.
● Rootkit: جاسوسافزار يا هر بدافزار ديگري كه به محض اجرا سعي ميكند با اختيارات administrator به كامپيوتر دسترسي پيدا كند. در سيستمهاي يونيكسي، چنين اختياراتي را فقط به كاربري به نام root ميدهند.
● دانلودهاي مخرب: دانلودهاي ظاهراً بيخطري كه به محض اجرا به نوعي بدافزار تبديل ميشوند. برخلاف تروجانها كه معمولاً مدتي بيخبر از كاربر پشت يك برنامه به فعاليتهاي خود مشغولند، دانلودهاي مخرب معمولاً نيت مخرب خود را به عمل ميرسانند؛ مثلاً چيزي را دانلود كردهايد كه وانمود ميكرده است به جستوجوي ويروس در كامپيوترتان ميپردازد، اما بلافاصله هاردديسكتان را فرمت ميكند.
● دانلودهاي تحميلي: جاسوسافزار يا هر بدافزار ديگري كه براي نصب در كامپيوتر نيازي به اجازه كاربر ندارد. به عبارت ديگر، هر كس ممكن است با سر زدن به برخي سايتهاي وب، بدون اين كه خودش بداند چنين برنامههايي را در سيستم خود نصب كرده باشد.
● Phishing: حقههايي براي ربودن اطلاعات خصوصي كاربران. مثلاً ايميلي براي كاربر ميآيد كه ظاهري كاملاً رسمي و محترمانه دارد و از او ميخواهد به سايتي برود كه آن هم ظاهراً رسمي است، اما واقعاً جعلي است و كاربر با وارد كردن رمز عبور يا شماره كارت اعتباري، اطلاعات محرمانه خود را به جاعل سايت ميدهد.
البته اين فهرست پاياني ندارد. مسئله اين است كه منبع تمام اين <پليدافزارها> خلافكاران سازمانيافتهاي هستند كه روي ويروسنويسان را سفيد كردهاند! هر چه باشد، ويروسنويسي در زمان خود پايبند اخلاقياتي بود و كسي كه ويروس مينوشت، صرفاً ميخواست دانش و خبرگي خود را به رخ بكشد. اما حالا همه چيز ختم ميشود به تخريب سيستم، دزدي پول و اطلاعات، و حتي زورگيري.
