ویروس های رایانه ایی

تحلیل مخرب ترین ویروس های رایانه ایی

ویروس های رایانه ای یا Computer viruses برنامه های مخرب یا بدافزارهایی هستند که پرونده های سیستمی را با هدف ویرایش یا آسیب رساندن به آنها “آلوده” می کنند. به طور کلی این نوع برنامه های مخرب شامل تعبیه کد مخرب در پرونده “قربانی” (معمولاً قابل اجرا) هستند. 

طبقه بندی انواع مختلفی از ویروس های رایانه ای :

  • با توجه به منشأ آنها
  • تکنیک هایی که از آنها استفاده می کنند
  • انواع پرونده هایی که آنها را آلوده می کنند
  • در جایی که آنها مخفی می شوند
  • نوع خسارت ایجاد شده یا نوع سیستم عامل یا پلتفرم مورد نظر آنها

۱ – System یا Boot Sector Virus
این ویروس ها به طور معمول (Master Boot Record (MBR را به مکان دیگری روی دیسک منتقل کرده و کدهای خود را بر روی MBR کپی می کنند، بنابراین در ابتدا وقتی سیستم بوت می شود اجرا می شوند. این نوع ویروس ها در واقع ویروس های تحت shell هستند و Shell ای را در اطراف محیط اجرایی که به آن وصل شده اند تشکیل می دهند و قبل از پروسه محیطی executed اجرا می شوند.

بگذارید مختصراً در مورد ۴ ویروس برتر بخش بوت بیشتر توضیح دهیم:

  • ویروس Elk Cloner اولین ویروس boot sector است که برای اولین بار در محیط واقعی گسترش یافت و کاربران را تحت تأثیر قرار داد. این ویروس توسط ریچارد Skrenta پانزده ساله در اوایل سال ۱۹۸۱ ایجاد شده است.
  • ویروس Brain  که تنها بخش بوت دیسک های فلاپی کامپیوتر IBM را با ظرفیت ۳۶۰ کیلوبایت آلوده می کند. کشور مبدأ این ویروس پاکستان بود.
  • ویروس Stoned  که به عمد ویروس غیر مخرب بود و فقط به طور دوره ای پیام “کامپیوتر شما اکنونStoned شده است” را روی صفحه رایانه می کرد. کشور مبدأ ویروس stoned نیوزلند بود.
  • ویروس Michelangelo که برای اولین بار در فوریه ۱۹۹۱ کشف شد که یکی از ویروس های خطرناک بخش boot بشمار می رفت و هم اکنون هم از این ویروس استفاده می شود. این یک نوع از ویروس بخش بوت Stoned بود.

سایر ویروس های معروف بخش بوت عبارتند از: Parity Boot Virus ، Virus Denzuko، Noint Virus، Barrotes Virus، Angelina Virus، AntiEXE، Crazy_Boot virus، AntiCMOS، Lamer Exterminator و ویروس پینگ پنگ.

۲ – ویروس Macro
این ویروس ها معمولاً در برنامه های ویژوال بیسیک (VBA) نوشته شده اند و پرونده های ایجاد شده توسط برنامه های MS Office مانند Microsoft Word ، Microsoft Excel را آلوده می کنند. اولین ویروس ماکرو در ژوئیه ۱۹۹۵ کشف شد و به طور تصادفی در CD-ROM موسوم به تست سازگاری مایکروسافت قرار گرفت. متداول ترین روش های انتشار چنین ویروس های کلان شامل موارد زیر است:

  • Email Attachments
  • CD-ROM
  • Internet
  • USB Drives

اساساً دو نوع ویروس ماکرو وجود دارد:

  1. ویروس Concept – این ویروس در ژوئیه ۱۹۹۵ ظاهر شد و MS Word را هدف قرار داد.
  2. ویروس Melissa – این ویروس با ویژگی کرم ایمیل (email worm) در مارس ۱۹۹۹ مشاهده شد و هزاران سیستم را در عرض چند ساعت آلوده کرد.

۳ – ویروس file

این نوع ویروس ها اساسا فایل های تفسیری (interpreted) و اجرایی (executed) را آلوده می کنند . فایلهایی مانند :

*.EXE, *.SYS, *.COM, *.PRG, *.BAT and etc

این نوع ویروس ها اساساً کدها را از بین می برند یا آنها را آلوده و درون یک فایل اجرایی درج می کنند.آلوده کردن این نوع ویروس ها روش های متفاوتی دارد و اساساً در تعداد زیادی از انواع پرونده ها مشاهده می شود.

۴- ویروس رمزگذاری (Encryption)
این ویروس ها با هر بار آلوده کردن پرونده ها، آنها را رمزگذاری می کنند و از کلیدهای متفاوتی برای این فرآیند استفاده می کنند. رمزگذاری منجر به مشکل در شناسایی آن به عنوان ویروس می شود. حذف ویروس های رمزگذاری شده بسیار دشوار است زیرا نیاز به رمزگشایی یا کلید رمزگشایی دارند.
برای دانستن جزئیات بیشتر توصیه می کنم فایل خود را در لینک زیر آپلود کنید. این وب سایت نام دقیق ویروس را به شما می گوید :

https://id-ransomware.malwarehunterteam.com/

با آپلود یادداشت باج و یا یک فایل رمزگذاری شده (ترجیحاً هر دو برای نتیجه بهتر)، سایت از تکنیک های مختلفی برای کمک به شناسایی آنچه که باج افزار ممکن است فایل ها را رمزگذاری کرده باشد استفاده می کند. این فرآیند شامل ارزیابی نام باج نامه، الگوهای نام فایل پرونده رمزگذاری شده و در بعضی موارد حتی الگوهای بایت در خود پرونده رمزگذاری شده است.

۵- ویروس چند جزئی یا Multipartite 
این ویروس ها همزمان بخش های مختلف سیستم را آلوده می کنند. مثل Boot Sector و همچنین پرونده های EXE.*

یک نوع ویروس های ترکیبی معمولاً برای به حداکثر رساندن آسیب و مقاومت در برابر حذف شدن توسط برنامه های ضد ویروس ، رویکردهای دو جزئی (ویروس infection فایل و ویروس boot record) را ترکیب می کنند.

Ghostball اولین ویروس چند جزئی بود که در اکتبر ۱۹۸۹ توسط فردید اسکولسون کشف شد.

اگرچه اثرات برخی از ویروس ها پایین است، اما یک ویروس چند جزئی تمایل دارد به سرعت کار کند. در اینجا برخی از اثرات آنها در سیستم را مشاهده کنید:

  • کنترل کننده های درایوهای شما دیگر در “مدیریت دستگاه” موجود نیستند
  • پیامهای ثابت دریافت می کنید که بیانگر کم بودن حافظه مجازی است
  • به نظر می رسد محتوای صفحه شما در حال تغییر است
  • اندازه برنامه ها و پرونده های شما در حال تغییر است
  • دیسک سخت سیستم خود را reformat می کند
  • پسوند اسناد ورد شما از DOC به DOT تغییر میکند
  • بارگیری برنامه های شما بسیار طولانی تر از گذشته است یا اصلاً باز نمی شود

۶- ویروس Stealth

Stealth یا مخفیکاری اصطلاحی است برای توصیف تکنیکهای بکار رفته در ایجاد این گونه بدافزار ، یعنی برای پنهان کردن هرگونه تغییر ایجاد شده توسط بدافزار در سیستم آلوده. به عنوان مثال rootkits

چگونه ویروس های Stealth رایانه ها را آلوده می کنند؟
یک ویروس Stealth می تواند سیستم رایانه ای را از چند طریق آلوده کند: به عنوان مثال ، هنگامی که کاربر پیوست یک ایمیل مخرب را بارگیری می کند یانرم افزارهای مخرب را به عنوان برنامه از وب سایتها دانلود و نصب می کند یا از نرم افزاری تأیید نشده آلوده به بدافزار استفاده می کند. مشابه سایر ویروس ها ، این نوع ویروس می تواند سیستم زیادی را در بر بگیرد و بر عملکرد کامپیوتر تأثیر بگذارد.

هنگام انجام چنین فرآیندهایی ، برنامه های آنتی ویروس بدافزارها را ردیابی می کنند ، اما ویروس Stealth به گونه ای طراحی شده است که بطور فعال از برنامه های آنتی ویروس پنهان شود. این کار را با حرکت موقت خود از پرونده آلوده و کپی کردن خود در درایوی دیگر و جایگزین کردن خود با یک پرونده پاک انجام می دهد. ویروس Stealth همچنین می تواند با پنهان کردن اندازه پرونده آلوده شده ، از شناسایی خود جلوگیری کند.

اصطلاح ویروس مخفی نیز در پزشکی برای توصیف ویروس بیولوژیکی که از سیستم ایمنی بدن میزبان مخفی است، استفاده می شود.

رمزگذارهای این نوع ویروس عمدتاً از روش های مخفی در مقابل اسکنرهای ضد ویروس استفاده می کند. به طور کلی هر بار که یک برنامه ضد ویروس اجرا شود، ویروس Stealth در حافظه سیستم پنهان می شود. در این روش از تکنیک های مختلفی برای مخفی کردن هرگونه تغییرات استفاده می کند به طوری که وقتی اسکنر به دنبال بخش های تغییر یافته می گردد، ویروس Stealth آن را به هر ناحیه ای که شامل داده های تمیز و بدون ویروس است هدایت می کند.

یک ویروس Stealth می تواند سیستم رایانه ای را از چند طریق آلوده کند ، مانند:

  • ویروس stealth boot sector ممکن است سوابق اصلی بوت سیستم ها را با کد مخرب رونویسی کند و گزارش های سیستم عامل را  در فایل ها تغییر دهد.
  • ویروس های stealth می توانند با پنهان کردن اندازه پرونده آلوده شده از شناسایی خود دوری کنند زیرا برخی از تکنیک های ضد ویروس مبتنی بر اکتشافی از تفاوت سایز فایل است که به عنوان پارامتر شناسایی پرونده های آلوده استفاده می کند.

۷ – ویروس های Cluster

روند کاری ویروس های Cluster به گونه ایی است که دایرکتوری را تغییر می دهند به طوری که وقتی سعی می کنید برنامه ای را اجرا کنید ، ابتدا ویروس را اجرا می کنید.

نوعی ویروس وجود دارد که به عنوان ویروس “Cluster” شناخته می شود و فایلهای سیستم را با تغییر پرونده یا کاشت فایلهای اضافی و با تغییر اطلاعات دایرکتوری DOS آن را آلوده می کند تا ورودی های دایرکتوری به جای برنامه واقعی کد ویروس را اجرا کنند. وقتی برنامه ای را اجرا می کنید، DOS ابتدا کد ویروس را بارگیری و اجرا می کند سپس ویروس برنامه واقعی را پیدا کرده و آن را اجرا می کند. Dir-2 نمونه ای از این نوع ویروس است.

نکته جالب در مورد این نوع ویروس این است که حتی برنامه روی دیسک نیز ممکن است آلوده شود.

۸ – ویروس Polymorphic

ویروس پلی مورفیک یک نوع ویروس مخرب یا مزاحم است که می تواند تغییر کند یا به اصطلاح “morph” کند که در این فرآیند تشخیص آن در برنامه های ضد ویروس دشوار است. تکامل کد مخرب می تواند به روش های مختلفی از جمله تغییر نام پرونده ، فشرده سازی و رمزگذاری با کلیدهای متغیر رخ دهد.

اگرچه ظاهر کد در این ویروس با هر “جهش” متفاوت است، اما عملکرد اصلی آنها معمولاً یکسان است. به عنوان مثال: یک برنامه جاسوسی که قصد دارد به عنوان keylogger عمل کند حتی اگر امضای آن تغییر کند به انجام آن عملکرد ادامه خواهد داد. اگر برنامه جاسوسی توسط یک برنامه ضد ویروس کشف شود و امضای آن به یک پایگاه داده قابل بارگیری اضافه شود، برنامه antimalware پس از تغییر امضا رمز شناسایی را انجام می دهد ، درست مثل اینکه یک برنامه جدید جاسوسی پدید آمده باشد. در این روش ، سازندگان بدافزار مزیت بیشتری نسبت به فروشندگان محصولات امنیتی که از تشخیص سنتی مبتنی بر امضاها برای یافتن و مسدود کردن کد مخرب استفاده می کنند ، کسب می کنند.

نمونه های دیگر از ویروس پلی مورفیک 

  • Storm Worm ، که دارای یک تروجان بکدور است و برای اولین بار در سال ۲۰۰۷ کشف شد.
  • خانواده ransomware Virlock که برای اولین بار در سال ۲۰۱۴ کشف شد ، اولین نمونه از باج افزارهای چندشکلی محسوب می شود.
  • ویروسهای Polymorphic معمولاً از طریق اسپم ، سایتهای آلوده یا از طریق استفاده از بدافزارهای مختلف توزیع می شوند. URSNIF ، VIRLOCK ، VOBFUS و BAGLE یا UPolyX برخی از بدنام ترین ویروس های پلی مورفیک موجود هستند.

بهترین روشها برای محافظت در برابر ویروس Polymorphic 

  • نرم افزارهای خود را به روز نگه دارید
  • روی پیوندها یا پیوستهای مشکوک کلیک نکنید
  • همیشه از رمزعبور قوی استفاده کنید و مرتباً آنها را تغییر دهید

۹ – ویروس Metamorphic

Metamorphic ویروسی است که می تواند براساس توانایی ترجمه ، ویرایش و بازنویسی کد خاص خود تغییر کند. این ویروس آلوده ترین پروسه ها را در رایانه ها انجام می دهد و اگر به سرعت تشخیص داده نشود می تواند آسیب جدی به سیستم وارد کند.

اسکنرهای آنتی ویروس در تشخیص این نوع ویروس بسیار کند عمل می کنند زیرا ویروس می تواند ساختار داخلی خود را تغییر دهد و در هر بار آلوده کردن یک سیستم محاسباتی، خود را بازنویسی و دوباره برنامه ریزی کند. این ویروس کد اصلی را رمزگذاری می کند تا از شناسایی آن در امان بماند. به دلیل پیچیدگی آنها ، ایجاد ویروسهای metamorphic به دانش برنامه نویسی گسترده ای نیاز دارد.

ویروس metamorphic باعث از بین رفتن جدی داده ها و کاهش سطح دفاعی سیستم رایانه ای می شود. همچنین می تواند میزبان چندگانه را آلوده کند. تحقیقات دانشگاه ایالتی سان خوزه نشان داد که بسیاری از برنامه های ضد ویروس در حال حاضر در بازار به تشخیص امضا اعتماد دارند و معمولاً توانایی تشخیص ویروس های metamorphic را ندارند.

بدون وجود ابزارهای امنیتی مناسب، ویروس metamorphic توانایی پیچیده تر شدن و آسیب های بیشتر را دارد. هر چه مدت زمان طولانی تر در رایانه باقی بماند، انواع بیشتری تولید می شوند و همین امر باعث می شود تا برنامه های آنتی ویروس در شناسایی و پاک سازی سیستم ، دچار چالش شدیدی شوند.

۱۰ – ویروس Sparse Infecting

 به عنوان یک ویروس sparse نیز شناخته می شود.
نوعی ویروس که تنها در صورت برطرف شدن شرایط خاص، پرونده ها را آلوده می کند. نمونه ها شامل ویروس هایی هستند که فقط در ۱۰مین اجرای آنها، پرونده ها را آلوده می کنند یا ویروس هایی که پرونده ها را با حداکثر اندازه ۱۲۸ KB هدف قرار می دهند. این ویروس ها در شرایط فرایند کاری خود سیستم را خیلی کم و ضعیف آلوده میکنند که با این روش از شناسایی خود توسط برنامه های ضد ویروس جلوگیری می کنند.

 

تهیه کننده : سید محمد اسماعیلی

 

نوشته های مرتبط

Shell Meterpreter در متاسپلویت

۲۸

مرداد
همه موضوعات

ارتقاء فرمان Shell به Shell Meterpreter در متاسپلویت

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است چارچوب Metasploit شامل مجموعه ابزارهایی است که می توانید از آنها برای تست آسیب پذیری های امنیتی ، شمارش شبکه ها ، اجرای حملات و جلوگیری از شناسایی استفاده کنید. یکی از بهترین ویژگی های فریم ورک متاسپلویت Metasploit این است که می توانید پس […]

امنیت سرور ssh

۱۹

مرداد
همه موضوعات

سند امنیت در سرور OpenSSH – چک لیست امنیتی OpenSSh

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است OpenSSH اجرای پروتکل SSH است و به دلیل امنیت بالا برای ریموت لاگین ، ایجاد پشتیبان ، انتقال فایل از راه دور از طریق scp یا sftp و موارد دیگر توصیه می شود. SSH جهت حفظ محرمانگی و یکپارچگی داده های تبادل شده بین دو شبکه[…]