يك هفته با ويروس‌هاى كامپيوترى

دنياى اقتصاد – هفته گذشته شاهد فعاليت بى‌سابقه ويروس‌هاى كامپيوترى در جهان هستيم. اين هفته «مبارزه بزرگى» در حال انجام است. در يك طرف ميدان، ويروس‌‌نويسان حرفه ايى ‌را با يك سياهى لشكر عظيم از «جوجه ويروس‌‌نويسان» كه خود را به «ابزارهاى ويروس‌نويسى خودكار» مسلح كرده‌اند، مى‌بينيم و در طرف ديگر ميدان، شركت‌هاى ضد ويروس كه با ابزارهاى نه‌چندان نو و خودكار، به شكل نامنظم صف‌آرايى كرده و سعى در نجات دنياى مجازى دارند.
ابرازهاى ويروس‌نويسى خوكار كه امروزه شاهد استفاده روزافزون آنها هستيم، درست مانند يك كارخانه «پفك‌نمكى» دائما در حال توليد «ويروس‌هاى پفكى» هستند كه شايد در شكل ظاهر، يكى حلقه‌اى، يكى ستاره‌‌شكل و يا يكى توپى باشند. ولى همه آنها مزه «پفك‌نمكى» مى‌دهند. از ابتداى هفته جارى (9 اسفند 82) تاكنون، شاهد ظهور هشت‌گونه جديد از ويروس شناخته شده Bagle بوده‌ايم (گونه C تا گونه J) و همچنين سه‌گونه جديد از ويروس NetSky ظاهر شده است (گونه C,D و E) كه در بين آنها، گونه NeSky.D همچنان در حال انتشار در اينترنت مى‌باشد.
در بين گونه‌هاى مختلف ويروس Bagle، گونه‌هاى Bagle.C، Bagle.H و Bagle.J شايع‌ترين آنها بوده است. دو گونه آخر، ظرف چند ساعت پس از ظهور و مشاهده اولين مورد آلودگى، به سرعت انتشار يافته‌اند.
پيامدهاى آلوده به ‌گونه C اين ويروس‌ها داراى متن (Massage) خالى هستند و اين نكته مى‌تواند در شناسايى ظاهرى اين پيام‌هاى آلوده كمك كند. ولى در گونه‌هاى بعدى Bagle، متن پيام‌هاى آلوده پيچيده‌ و پيچيده‌تر مى‌شود، به نحوى كه در گونه Bagle.H، متن پيام‌‌ فقط داراى عبارت نامفهوم و كوتاه است اما در آخرين گونه ويروس Bagle (تا اين لحظه)، متن پيام از چندين قسمت مختلف تشكل شده و با قرار دادن نام فرستنده و گيرنده در متن، پيام‌ داراى ظاهرى كاملا واقعى است.
اغلب پيام‌هاى آلوده ارسالى توسط ويروس Bagle داراى فايل پيوست ZIP هستند و درون اين فايل فشرده، فايل EXE آلوده وجود دارد. در موارد محدودى، فايل داراى پسوند PIF و يا EXE است. در گونه‌هاى اخير ويروس Bagle، شاهد حركات موذيانه و زيركانه بوده‌ايم، در اين گونه‌ها، فايل ZIP پيوست، داراى رمز (Password) مى‌باشد و رمز نيز در داخل پيام قيد شده است. بايد توجه داشت كه به‌طور عادى در هيچ مرحله‌اى، امكان كنترل (از لحاظ ويروسى بودن) چنين فايل‌هايى رمزگذارى شده و آلوده‌اى وجود ندارد و تنها زمانى كه كاربر نهايى اقدام به باز كردن فايل ZIP با استفاده از رمز مى‌كند، امكان شناسايى فايل آلوده EXE درون آن، وجود خواهد داشت. بدين دلايل است ك امروزه داشتن سيستم‌هاى حفاظتى چند لايه (Multi-Layer Security) مى‌‌تواند مانع از موفقيت اين‌گونه روش‌هاى زيركانه شود. سيستم‌هاى حفاظتى بايد از دروازه ورودى اينترنت (Internet Gateway) آغاز گردد. بر روى سرورهاى شبكه و تا نهايت، ايستگاه‌هاى كارى، ادامه يابد.
نكته زيركانه ديگرى كه در ويروس Bagle مشاهده مى‌شود و تا حد زيادى به موفقيت آن در انتشار گسترده و عمومى كمك كرده است، كنترل نشانى‌هاى الكترونيكى است كه براى آنها پيام آلوده ارسال مى‌كند. نشانى‌هايى كه مربوط به Yahoo، MSN و Microsoft و اين‌گونه دامنه (Domain)هاى مشهور مى‌شوند، ناديده گرفته شده و براى آنها پيام آلوده ارسال نمى‌شود. بدين ترتيب ويروس سعى مى‌‌كند تا از ديد سيستم‌هايى كه امكانات شناسايى قوى و سريع‌ ويروس‌ را دارند، مخفى و پنهان بماند.
تمام گونه‌هاى ويروس Bagle، با كنترل برنامه‌هاى امنيتى (مانند ضد ويروس) كه در حافظه كامپيوتر فعال هستند، آنها را شناسايى كرده و فعاليت آنها را متوقف مى‌كنند. همچنين، تمام گونه‌هاى ويروس Bagle داراى تاريخ انقضا بوده و در صورتى كه تاريخ كامپيوتر آلوده، تاريخ انقضا و يا بعد از آن باشد، ويروس به‌طور خودكار متوقف مى‌شود.
و اما ويروس NetSky كه به نظر مى‌رسد براى مبارزه و پاكسازى ويروس MyDoom نوشته شده است، در آغاز هفته، پا به پاى ويروس Bagle در حال انتشر بود. ولى اكنون «بازى ويروس‌نويسى هفته» را كاملا به ويروس Bagle باخته است.
گونه NetSky.D كه از روز 11 اسفند شروع به انتشار كرد، توجه شركت‌هاى ضد ويروس را به خود جلب نموده است. سرعت انتشار اين ويروس در نقاط مختلف جهان متفاوت بوده و لذا در ابتداى فعاليت ويروس، هر يك از اين شركت‌ها، درجه خطر آن را متفاوت اعلام كرده‌اند. شركت‌هاى Tred-Micro و Sophos آن را «بسيار» خطرناك، شركت McAfee آن را داراى خطر «متوسط» و شركت Symantec آن را «كم»خطر دانستند. ولى اكنون همه شركت‌هاى ضد ويروس متفقا درجه خطر آن را (در مقياس‌هاى اندازه‌گيرى‌هاى مختلف خود) متوسط به بالا اعلام نموده‌اند.
پيام‌هاى آلوده به اين ويروس داراى مشخصات متغير و مختلفى هستند كه شناسايى ظاهرى پيام‌هاى آلوده به اين ويروس را غيرممكن مى‌كند. در گونه‌هاى جديد ويروس NetSky تحت شرايط زمانى خاص، صدا و ملودى‌هايى از كامپيوتر آلوده‌ پخش مى‌شود كه به نظر مى‌رسد، جهت جلب توجه كاربر باشد.
تمام اين ويروس‌ها از طريق پيام‌هاى الكترونيكى آلوده انتشار مى‌يابند و تنها راه آلودگى به اين ويروس‌ها، اجراى دستى فايل پيوست (attachment) پيام‌هاى آلوده است. اين «ويروس‌هاى پفكى» از هيچ نقطه‌ضعف سيستم‌عامل Windows استفاده نمى‌كنند و قادر به ايجاد آلودگى، به‌طور خودكار، نيستند. شايد بتوان گفت كه نويسندگان اين ويروس‌ها، بيشتر به نقاط ضعف انسانى تكيه دارند و لذا فقط با كمى دقت و هوشيارى در هنگام استفاده از پست الكترونيكى، مى‌توان مانع از آلودگى به اين ويروس‌ها شد.
در تمام پيام‌هاى آلوده به اين ويروس‌ها، نام فرستنده پيام جعلى است و يك نشانى شانسى توسط ويروس به‌عنوان فرستنده در پيام قرار داده مى‌شود، لذا كاربران بايد توجه داشته باشند:

-‌ اگر كسى به شما اطلاع مى‌دهد كه پيام‌هاى آلوده به ويروس از طرف شما دريافت كرده است، دليلى بر آلوده بودن كامپيوتر شما نيست.
-‌ اگر شما از كسى پيام آلوده دريافت كرده‌ايد، دليلى بر ارسال پيام از طرف آن شخص نبوده و دليلى نيز بر آلوده بودن كامپيوتر آن شخص نيست.
همچنين به دليل ظهور روزانه گونه‌هاى جديد از اين ويروس‌ها، به همه كاربران توصيه مى‌شود تا هر روز از بروز (u pdate) بودن نرم‌افزارهاى ضد ويروس خود اطمينان حاصل نمايند.
اطلاعات كامل و لحظه به لحظه، درباره ويروس‌هاى NetSky و Bagle را مى‌‌توانيد در سايت فارسى نرم‌افزارى ضد ويروس McAffe به نشانى WWW.Z-VIRUS.COM مطالعه نماييد.