تاریخچه ورود ویروس به دنیای کامپیوتر

ویروس ها هر روز در اینترنت بیشتر و بیشتر می شوند. ولی تعداد شركت های آنتی ویروس ثابت است .پس ما باید برای حفاظت از سیستم خود دست به كار شویم .

در این سلسله مقالات سعی داریم كه نحوه مقابله با ویروس ها و همین تور بیوگرافی ویروس ها و نحوه مقابله با هر ویروس را آموزش بدهیم.

از نظر مردم عادی به هر برنامه ای كه در سیستم عامل اختلالات ایجاد كند ویروس است ولی باید بدانید كه خود ویروس ها بنا به كارها و امكاناتی كه دارند تقسیم بندی می شوند. ویروس ها مثل سایر برنامه ها هستند . كسانی كه ویروس را مینویسند هم از همین برنامه های عادی برنامه نویسی استفاده می كنند .این برنامه ها دقیقا مثل چاقو می ماند كه هم می شود استفاده درست كرد هم نادرست.

تاریخچه :

در یك هفته پاییزی در سال 1988 بعد از چندین دهه ترس از بمباران آمریكا توسط روسیه تمام نگرانی ها با از بین رفتن حكومت كمونیستی از بین رفت.

در این زمان با كم شدن نگرانی مردم نسبت به روسیه ترسی دیگر جایگزین آن گردید در دوم نوامبر 1988 یك ویروس كامپیوتری در آمریكا سبب از كار افتادن كامپیوترها در مراكز حساس از جمله Lawrence Livermore Labs , MITو ... گردید .

این حمله ناگهانی به مراكز علمی و ارتشی شروعی برای یك ترس عمومی جدید گردید در سالهای 1940 تا 1988 پناهگاه های زیادی به منظور استفاده مردم در هنگام جنگ اتمی ساخته شد ولی در پایان دهه 80 میلادی این پناهگاهها به انبارهایی برای استفاده در مواقع اضطراری Y2K تبدیل شدند بلكه زمانی مورد استفاده قرار بگیرند!!

تا دهد 80 میلادی كامپیوتر ها تنها در اختیار دولت، مراكز حساس علمی و ... بود ولی از سال 1980 تا 1985 میلادی با كوچكتر شدن كامپیوترها و تهیه آسان آن توسط عموم مردم استفاده آن گسترش پیدا كرد.

شبكه ها – كامپیوترهای متصل به یكدیگر - نیز گام بلندی در اول دهه 80 بود در این سالها استفاده از مودمها به منظور بر قراری ارتباط BBS با دیگر كامپیوتر ها رواج فراوانی یافت و ...

ویروسها نیز در شبكه های كامپیوتری به روشهای گوناگون از جملهE-Mail ,Trojan Horse هك كردن و ... از كامپیوتری به كامپیوتر دیگر انتقال می یابند.

 

 

ویروس ها به 2 شكل تقسیم بندی می شوند :

گروه اندكی بر این باور هستند كه اولین و ابتدایی ترین خصوصیت ویروسهای كامپیوتری هجوم به یك برنامه مانند ایجاد نوعی پارازیت است (بدین ترتیب نمی توان Melissa را در گروه ویروسها قرار داد).

1-ویروس های مركب (ویروس های چند وجهی)

2-ویروس های ساده

ویروس های ساده آن دسته از ویروس ها هستند كه ساده و به صورت تك فایلی بوده و فقط یك كار انجام می دهند. اما ویروس های از تركیب چند ویروس در هم می باشند و قادر خواهند بود چندین فعالیت را همزمان انجام بدهند كه این امر سبب پیچیدگی كار ویروس خواهد شد

تقسیم بندی ریزتری از ساختمان ویروس ها و حوضه فعالیت آنها :

در ابتداباید یاد بگیرید كه هر ویروسی فقط ویروس نگویید بلكه بتوانید آن را شناخته و در یكی از دسته های زیر جا داده و بنا به خصوصیات آن را بنامید.

1- Trojan Horse

2- Worm

3- Bomb

همان طور كه در بالا مشاهده می كنید كل ویروس ها را می شود در 3 دسته تقسیم كرد كه ما به اختصار درباره هر كدام توضیح می دهیم . به علت حساس بودن دسته كرم ها یا همان Worm ما از این دسته توضیحاتمان را شروع می كنیم .

 

Worms

اولین و مشهورترین ویروس یكWorm می باشد كه به طور تصادفی در 2 نوامبر 1988 وارد شبكه گردید. طبق ادعای طراح آن هدف از این كار تنها اثبات كردن ضعف سیستم امنیتی كامپیوترها بوده است. اینترنت در سال 1988 دوران كودكی خود را طی می كرد و تنها در اختیار محدودی از دانشگاه موسسات تحقیقاتی دولتی مانندNASA و آزمایشگاههای بین المللی مانندLos Alamos بود .با وجود اینترنت بسیار محدود آن زمان خبر از كار افتادن این مغزهای كامپیوتری درMIT وBerkeley و... تمام مردم را شوكه كرد. تنها در مدت چند ساعت بیش از 3000 كامپیوتر در مهمترین مراكز آمریكا از كار افتاده و خسارت وارد بر آنها در حدود 100 میلیون دلار بر آورد گردید.

Worm ها زیر مجموعه ای از ویروسهای كامپیوتری می باشند كه بر خلاف دیگر ویروسها از جملهMelissa كه خود را به صورتE-Mail برای كاربران اینترنتی می فرستد سیستم كامپیوتر را سوراخ كرده و به طرف مغز كامپیوتر پیش می روند یكی از خصوصیات بارز Wormها توانایی پنهان شدن درون سیستم بوده بطوریكه قابل ردگیری نمی باشند این Worm ها مانند ویروسهایی می باشند كه خود را در اعصاب ستون فقرات پنهان كردن و گاه و بی گاه دردهای شدیدی را تولید می كنند. و اماWorm های مفید : در میان انواعWorm ها كرمهای مفیدی نیز طی سالیان متمادی به منظور چك كردن كارایی سیستم و ... مورد استفاده قرار گرفته اند.
اینWorm هاAgent نامیده شده و درون شبكه حركت كرده اطلاعات منابع مورد استفاده و ... را چك و اطلاعاتی در مورد كاركرد شبكه یا حتی محلی را كه می توان ارزانترین DVD را خریداری نمود به كاربر اعلام می دارند از تفاوتهای بارز میانAgent و Worm می توان به این مورد اشاره كرد كه Agent بر خلاف Worm خود را تكثیر نكرده و درون سیستمهای كاربران نفوذ نمی كند.

 

 

تاریخچه اولین Worm :

این Worm كه توسط Robert Tappan Morris طراحی شد به RTM مشهور گردید . Morris بعد از اتمام دوره لیسانس خود در پاییز سال 1988 از دانشگاه خارج و به برنامه نویسی كامپیوتر روی آورد بعد از آن در مقطع Ph.D دانشگاه MIT در رشته مورد علاقه خود مشغول به تحصیل گردید و بدین ترتیب از امكانات كامپیوتری و اینترنتی دانشگاه بهره مند شد . وی در اكتبر سال 1988 برنامه ای را به منظور پی بردن به نقاط ضعف سیستمهای اینترنتی و امنیتی كامپیوتر طراحی كرد . نحوه كار این برنامه بدین ترتیب بود كه پس از رها شدن آن در اینترنت سریعاً و بدون جلب هیچ گونه توجهی پخش می گشت (طبق اظهارات وكیل مدافع موریس).

موریس به منظور جلوگیری از مشخص شدن هویت خود پس از اتمام برنامه آن را از طریق كامپیوترهای دانشگاه MIT وارد شبكه كرد. یكی از خصوصیات این ویروس اضافه كردن یك شمارنده به برنامه بود. بدین ترتیب در صورتیكه این برنامه حداكثر تا 6 بار یك كپی از خود را در كامپیوتر پیدا می كرد تكثیر نشده و در هفتمین بار این برنامه پس از تكثیر و نفوذ به كامپیوتر آن را مورد هجوم قرار می داد. این برنامه ضمیمه یك اشتباه بسیار مهلك بود!! كامپیوترهایی كه در سال 1988 به اینترنت متصل می شدند به طور میانگین هر 10 روز یكبار خاموش شده و دوباره راه اندازی می گشتند از آنجا كه برنامه موریس در كامپیوتر ذخیره نمی شد این خصوصیت سوپاپ اطمینانی گشت تا به هر بار خاموش شدن كامپیوتر برنامه به طور خودكار از میان برود. با این حال از آنجایی كه تمام كامپیوترهای متصل به اینترنت به طور همزمان خاموش نمی شدند این Worm می توانست دوباره برگشته و در آنجا مقیم گردد. طبق این نظریه موریس، تعداد Worm ها همواره دارای یك تعادل بوده و مشكل خاصی را در كامپیوتر سبب نمی شدند. و اما ایراد برنامه موریس در این بود كه این Worm بسیار سریعتر از انتظار موریس تكثیر می یافت در كمتر از چند ساعت بعد از آزاد سازی آن هزاران كامپیوتر در مراكز حساس از كار افتاده و دچار سكته شدند. پنج روز بعد از آزاد سازی worm در 6ام نوامبر همه چیز به حالت عادی خود برگشت در روز 12 توامبر سرانجامE-Mail هایی كه موریس در آنها طرز خنثی كردن Wrom را توضیح داده بود به مقاصد خود رسیده و مردم از نحوه خنثی سازیWorm آگاهی یافتند.

تاریخچه ورود ویروس :

1949:
HOME
برای اولين بار تئوری برنامه هايی که خودشان را جايگزين می نمايند مطرح گرديد.

1981:
ويروسهای Apple 1, Apple 2, Apple 3 از اولين ويروسهايی بودند که پا به عرصه عمومی نهادند. اين ويروسها توسط کمپانی Texas A&M برای جلوگيری از کپی های غير مجاز بازيهای کامپيوتری نوشته و سپس شايع شدند. اين ويروسها ويژه سيستم عامل Apple II بودند.

1983:
فرد کوهن (Fred Cohen) زمانيکه بر روی رساله دکترايش کار می کرد رسما يک ويروس کامپيوتری را چنين تعريف نمود:
"يک برنامه کامپيوتری که می تواند روی ساير برنامه های کامپيوتری از طريق تغيير دادن آنها به روشی (شايد) مانند کپی کردن خودش بر روی آنها، تاثير بگذارد."

1986:
دو برادر برنامه نويس پاکستانی به نامهای "بسيط" و "امجد" کد قابل اجرای موجود در بوت سکتور يک فلاپی ديسک را با کد خودشان (که برای آلوده نمودن فلاپی ديسکهای 360KB نوشته بودند) جايگزين کردند. تمام فلاپی های آلوده دارای برچسب " Brain© " بودند. بنابراين، اين ويروس " Brain" يا "مغز پاکستانی" نام گرفت.
همزمان در کشور اتريش برنامه نويسی به نام رالف برگر "Ralf Burger" دريافت که يک برنامه می تواند از طريق چسباندن خودش به انتهای يک برنامه ديگر تکثير شود، او با استفاده از اين ايده برنامه ای به نام "Virdem" نوشت که پديده فوق را شبيه سازی می نمود. پس از آن برگر "Virdem" را در کنفرانسی به همه معرفی نمود.
برگر همچنين کتابی درباره ويروسهای کامپيوتری نوشت و در آن سورس ويروسی به نام "Vienna" را چاپ کرد که اين مساله بعدا باعث سو ء استفاده بسياری از افراد گرديد.

1987:
يک برنامه نويس آلمانی ويروسی به نام "Cascade" نوشت. اين ويروس، اولين ويروسی بود که روش رمز کردن (Encryption) را به کار می برد. در اين روش بيشتر کد ويروس به غير از چند بايت از آن به صورت رمز شده در می آيد و از آن چند بايت بعدآ برای رمز گشايی بقيه کد ويروس استفاده می شود. در اين صورت تشخيص ويروس برای آنتی ويروسها بسيار مشکلتر می باشد و ديگر رشته تشخيص ويروس (که در آنتی ويروسها به کار می رود) به چند بايت محدود نمی شود.
بعدها برنامه نويسی به نام مارک واشبرن "Mark Washburn" با استفاده از اين ايده و سورس ويروس "Vienna" اولين و يروس هزار چهره (Polymorphic) به نام "1260" را نوشت.

1988:
ويروس "Jerusalem" منتشر شد و به يکی از شايع ترين ويروسها تبديل گشت. اين ويروس در روزهای جمعه ای که مصادف با سيزدهم هر ماه بودند فعال می شد و ضمن آلوده نمودن فايلهای Com و Exe، هر برنامه ای که در آن روز اجرا می شد را نيز پاک می نمود.

1989:
در ماه مارچ مهمترين موضوع ويروسی، خبری بود که حکايت از فعال شدن ويروسی به نام "Datacrime" در ماه آوريل داشت. اما پس از بررسی سورس کد ويروس معلوم شد که اين ويروس در هر تاريخی پس از روز سيزدهم اکتبر فعال شده و اقدام به فورمت کردن سيلندر صفر هارد ديسک که محل استقرار جدول FAT است، می نمايد. بدين ترتيب کاربران تمامی محتوای هارد ديسک شان را از دست می دهند. ويروس "Datacrime" به احتمال زياد در کشور هلند نوشته شده بود ولی آمريکايی ها اسم آنرا ويروس "Columbus Day" گذاشتند و اعتقاد داشتند که توسط تروريستهای نروژی نوشته شده است. اما اين ويروس علی رغم سر و صدای زيادش، خسارتهای چندانی به بار نياورد. در اين سال همچنين ويروس نويسان بلغاری و روسی وارد عرصه ويروس نويسی شدند.

1990:
مارک واشبرن "Mark Washburn" ابتدا ويروس هزار چهره "1260" و سپس بر همان اساس ويروسهای "V2P1"، "V2P2" و "V2P6"را نوشت و سورس کد آنها را منتشر نمود، هر چند که بعدا ويروس نويسان اين کد ها را به کار نبردند و حتی اين ويروسها خطر چندانی هم نداشتند ولی ايده موجود در آنها الهام بخش بسياری از ويروس نويسان شد.
از طرف ديگر در بلغارستان ويروس نويس ماهری با نام مستعار "Dark Avenger" چند ويروس خطرناک به نام های "Dark Avenger-1800"، "Number of the Beast" و "Nomenklatura" را نوشت. ويروسهای وی دارای دو ويژگی مهم "آلوده سازی سريع" و "صدمه زدن زيرکانه" بودند. "Dark Avenger" بصورت فعالانه ای از طريق آلوده نمودن برنامه های Shareware و ارسال آنها به BBS ها اقدام به پخش ويروسهايش نيز می نمود. در اين سال برای اولين بار در بلغارستانBBS هايی برای داد و ستد ويروسها به وجود آمد، همچنين در اين سال کمپانی Symantec نيز آنتی ويروس Norton را به بازار عرضه نمود.

1991:
سر و کله ويروس "Tequila" از کشور سوئيس پيدا شد. اين ويروس، ويروس هزار چهره کاملتری بود که پا به عرصه عمومی گذاشت و بسيار شايع شد. پس از آن نوبت انتشار ويروس هزار چهره ديگری به نام "Amoeba" از کشور مالت رسيد. تشخيص ويروسهای هزار چهره به دليل اينکه پس از هر بار آلوده سازی ظاهرشان را تغيير می دهند، برای اسکنرهای ويروس بسيار سخت تر می باشد.
"Dark Avenger" هم در انتهای اين سال موتور خود تغيير دهنده "MtE" را ابداع کرد که می توانست چهار ميليارد شکل مختلف به خود بگيرد و با پيوند زدن آن به هر ويروسی، يک ويروس کاملا چند شکلی پديد می آمد. وی سپس با استفاده از MtE ويروسهای "Dedicated" و "Commander Bomber" را به دو سبک کاملا متفاوت نوشت.

1992:
تعداد ويروسها به هزار و سيصد عدد رسيد که در مقايسه با ماه دسامبر سال 1990 چهارصد و بيست درصد افزايش يافته بود. همچنين در اين سال پيش بينی شد که خطر ناشی از انتشار ويروس "ميکل آنژ" پنج ميليون کامپيوتر را تهديد به نابودی خواهد کرد، که البته اين رقم در عمل به بيش از ده هزار تا نرسيد. علاوه بر اينها ويروس هزار چهره جديدی با نام "Starship" پا به ميدان نهاد، نرم افزارهای توليد ويروس توسط دو ويروس نويس با نامهای مستعار "Nowhere Man" و "Dark Angel" نوشته شدند و در انگلستان نيز گروه ويروس نويسی "ARCV" تأسيس شد.

:1993 - 1994
گروه ويروس نويسی جديدی به نام "Tridend" در کشور هلند فعاليت خود را آغاز نمود و موتور جديدی به نام "TPE" را عرضه کرد، سپس اعضای آن با استفاده از انواع مختلف TPE، ويروسهای "Girafe"، "Cruncher" و "Bosnia" را نوشتند. در آمريکا هم "Dark Angel" به کمک موتور ابداعی اش موسوم به "DAME" ويروس "Trigger" رانوشت.

:1995
"Concept" اولين ويروس ماکرو، نوشته شد. اين ويروس اسناد نرم افزار Microsoft Word را مورد حمله قرار می داد.

1996:
در استراليا گروهی از ويروس نويسان به نام "VLAD" اولين ويروس ويژه سيستم عامل ويندوز موسوم به "Boza" و همچنين اولين ويروس سيستم عامل لينوکس موسوم به "Staog" را نوشتند. علاوه بر اينها اولين ويروس ماکروی نرم افزار Microsoft Excel به نام "Laroux" نيز در اين سال نوشته شد.

1998:
ويروس "Strange Brew"، اولين ويروسی که فايل های جاوا را آلوده می کرد، نوشته شد. اين ويروس با کپی کردن خودش در ميان کد فايل های Class و عوض نمودن نقطه شروع اجرای اين فايلها با نقطه شروع کد ويروسی اقدام به تغيير دادن فايلهای Class می نمود. همچنين "Back Orifice" اولين اسب تروايی که امکان دسترسی از راه دور به ساير سيستمها را در اينترنت فراهم می نمود، نوشته شد و کم کم مقدمات ظهور ويروسهای ماکروی نرم افزار Microsoft Access نيز فراهم می گرديد.

1999:
ويروس "مليسا" از طريق اجرا نمودن ماکرويی که در اسناد ضميمه شده به نامه های الکترونيکی موجود بود، صدمه زدن به سيستمها را آغاز نمود. اين ويروس همچنين برای گسترش خود از دفترچه آدرس نرم افزار Outlook استفاده می کرد و ضميمه های آلوده را برای 50 نفر ديگر ارسال می نمود. ويروس "مليسا" سريعتر از تمامی ويروسهای قبلی منتشر گرديد. در اين سال همچنين ويروس "Corner" اولين ويروسی که می توانست فايلهای برنامه MS Project را آلوده سازد، نيز نوشته شد. علاوه بر اين، نوآوری های ديگری هم در دنيای ويروس نويسان صورت گرفت که از بين آنها می توان به نوشته شدن ويروس "Tristate" که اولين ويروس ماکروی چند برنامه ای بود و می توانست فايلهای سه برنامه از برنامه های مايکروسافت (ورد، اکسل و پاور پوينت) را آلوده کند و همچنين نوشته شدن کرم "Bubbleboy" اشاره نمود. اين کرم هم اولين کرمی بود که وقتی کاربر نامه ساده و بدون ضميمه ای را در نرم افزار Outlook Express باز و يا آنرا پری ويو می نمود، فعال می گرديد. حتی بدون اينکه ضميمه ای به همراه نامه باشد، اين کرم برای اثبات يک روش جديد نوشته شده بود و بعدآ ويروس "Kak" از اين روش بهره گرفت و به صورت گسترده ای شايع شد.

2000:
ويروس "I Love You" درست مانند ويروس "مليسا" بوسيله نرم افزار Outlook در سراسر دنيا پخش گرديد. اما اين ويروس از نوع اسکريپت ويژوال بيسيک بود که به صورت ضميمه نامه الکترونيکی ارسال می شد.
ويروس "I Love You" فايلهای کاربر را پاک می کرد و حتی به برخی از فايلهای تصويری و موسيقی نيز رحم نمی کرد.
علاوه بر اين، ويروس اسم کاربر و رمز عبور وی را می دزديد و برای نويسنده اش می فرستاد.
در اين سال همچنين ويروسهای "Resume" (که شبيه ويروس "مليسا" بود) و "Stages" (که از روش پسوند دروغين بهره می گرفت) نيز ظهور کردند. در ماه ژوئن اين سال و در کشور اسپانيا کرم "Timofonica" از نوع اسکريپت ويژوال بيسيک اولين حمله به سيستمهای مخابراتی را آغاز نمود و در ماه نوامبر نيز اولين ويروس نوشته شده به زبان PHP ظاهر شد، اين ويروس که "Pirus" نام گرفت خودش را به فايلهای PHP و HTML اضافه می نمود.

2001:
ويروس "Anna Kournikova" در پوشش تصوير ستاره تنيس، "آنا کورنيکووا"و با روش انتشاری مشابه ويروسهای "مليسا" و "I Love You" ظاهر شد. در ماه می اين سال هم ويروس "Home Page" به حدود ده هزار نفر از کاربران نرم افزارOutlook آسيب رساند. در ماه جولای و آگوست نيز کرمهای "Code Red I" و "Code Red II" به شبکه های کامپيوتری حمله نمودند.
تعداد کامپيوتر های آلوده حدود هفتصد هزار دستگاه و خسارت وارده به سيستمها بالغ بر دو ميليارد دلار برآورد گرديد.
حادثه مهم ديگری که در اين سال به وقوع پيوست نوشته شدن ويروس "Winux" يا "Lindose" در کشور جمهوری چک ت وسط Benny از اعضای گروه 29A بود که قابليت آلوده سازی هر دو سيستم عامل ويندوز و لينوکس را با هم داشت.
در اين سال همچنين ويروس "LogoLogic-A" (اولين کرم اسکريپتی اپل) و ويروس "PeachyPDF-A" (اولين ويروسی که برای پخش شدن از نرم افزار کمپانی Adobe ويژه فايلهای PDF استفاده می کرد) نيز پا به عرصه حيات گذاشتند ولی بدون شک اهميت هيچيک از اين ويروسها به اندازه کرم "Nimda" نبود، اين کرم که در ماه سپتامبر ظاهر شد از تکنيکهای برتر ساير ويروسهای مهم به صورت همزمان استفاده می نمود بنابراين توانست تا بسيار سريع گسترش يابد.
از ويروسهای خطرناک و خبرساز ديگر اين سال نيز می توان به ويروسهای "Sircam" و "BadTrans" اشاره کرد.

2002:
ابتدا در ماه ژانويه شاهد ظهور اولين ويروس آلوده کننده فايلهای با پسوند SWF بوديم که "LFM-926" نام داشت.
اين ويروس يک اسکريپت ديباگ (که می توانست يک فايل COM ساخته و بوسيله آن ساير فايلهای با پسوند SWF را آلوده نمايد) رها می کرد. پس از آن کرم "Donut" به عنوان اولين کرمی که به سرويسهای .NET توجه داشت، توسط Benny نوشته شد و سپس در ماه مارچ اولين کرمی که مختص سرويسهای .NET بود وارد عرصه شد اين کرم توسط يک دختر جوان بلژيکی با نام مستعار Gigabite و به زبان #C نوشته شد. در ماه می اين سال نيز "Benjamin" ظاهر شد اين ويروس از آن جهت مورد توجه قرار گرفت که برای گسترش از شبکه KaZaa peer-to-peer استفاده می نمود.
در ماه ژوئن ويروس "Perrun" برای اثبات فرضيه "امکان آلوده سازی فايلهای تصويری با پسوند JPEG توسط ويروسها" ، نوشته شد که اين مسئله تا قبل از اين غير ممکن می نمود. در اين ماه کرم "Scalper" که وب سرورهای Apache را مورد حمله قرار می داد و از آنها برای طغيان شبکه سو استفاده می کرد نيز شناسايی گرديد.