کرم های کامپیوتری

                                                                    

کرم های کامپیوتری (Computer Worms) گروهی از بدافزارها هستند که از شبکه های کامپیوتری برای فرستادن کپی هایی از خودشان برای دیگران (کامپیوترها یا شبکه های دیگر) استفاده می کنند. آنها از نقص های سیستم عامل و نرم افزارهای موجود بر روی کامپیوتر برای نفوذ به آن استفاده می کنند.

کرم ها با ویروس ها تفاوت دارند. ویروس ها با اتصال به برنامه های دیگر منتقل و تکثیر می شوند. اما کرم ها بی نیاز از برنامه های دیگر می توانند خودشان را به طور مرتب در کامپیوتر میزبان یا دیگر کامپیوترهای مرتبط کپی کنند و جابجا شوند. کرم ها معمولا به شبکه ها آسیب می زنند. برای مثال از پهنای باند آنها برای فرستادن کپی هایی از خودشان برای دیگران استفاده می کنند.

مقدمه

برخی از کرم های کامپیوتری مخرب نیستند، فقط از کامپیوتری به کامپیوتر دیگر تکثیر می شوند بدون اینکه تغییری در سیستم عامل آنها ایجاد کنند. البته اگر این تکثیر زیاد باشد، می تواند با پرکردن هارد یک کامپیوتر و یا مصرف کردن پهنای باند شبکه، مشکلات جدی به بار آورد. تصورش را بکنید که به خاطر یک کرم! نتوانید از اینترنت استفاده کنید یا سرعت شبکه محلی تان به شدت کند بشود.

کرم ها مانند هر برنامه دیگر از یکسری کد تشکیل شده اند. گروهی از کدها مسئول تکثیر کرم هستند. بقیه کدها که نقشی در تکثیر ندارند Payload (بازده) نامیده می شوند. این کدها وظایفی مانند حذف فایل‌های کامپیوتر، ارسال آنها از طریق ایمیل و یا آسیب های دیگری دارند. یکی از رایج ترین Payload ها، کدهای تولید درپشتی (Back door) روی سیستم هستند.

درهای پشتی به سازنده بدافزار اجازه ورود به کامپیوترهای آلوده و کنترل آنها را می دهند. علاوه بر این بسیاری از بدافزارها از جمله کرم ها با استفاده از همین درپشتی منتقل می شوند.

نوع اینترنتی کرم را بات نت (Botnet) می نامند. ترجمه این کلمه ربات شبکه است. بات نت ها معمولا توسط افرادی که به ایمیل ها اسپم(Spam) می فرستند، مورد استفاده قرار می گیرند. البته ماجرا کمی پیچیده تر از این حرف ها است.

تبدیل یک کرم به پول

سازندگان کرم چرا آنها را می سازند؟ آیا دلیل مالی نیز برای این کار دارند؟

جواب مثبت است. آنها می توانند کرم کامپوتری خود را به پول تبدیل کنند. ماجرا به این ترتیب است که ابتدا یک سازنده کرم، بدافزار خود را در ازای پول تحویل پخش کننده می دهد. سپس پخش کننده عزیز از راه های مختلف کرم را در شبکه‌های کامپیوتری و اینترنت رها می کند. یکی از راه ها ارسال آن از طریق ایمیل است. راه دیگر قرار دادن لینک دانلود آن در یک سایت با عنوان یک نرم افزار مفید است. پس از مدتی تعدادی از کامپیوترها به این کرم (که چون اکنون تحت اینترنت کار می کند می توان آن را بات نت نیز نامید) آلوده می شوند. سپس فرستنده اسپم آدرس اینترنتی (IP) آنهایی را که آلوده شده اند، به باج گیرها می دهد. کار باج گیر این است که با تهدید افراد مختلف به پاک کردن فایل های مهم کامپیوترهای آلوده شده (که ممکن است متعلق به یک شرکت ثروتمند باشد) از آنها پول دریافت کند. این توضیح مختصری از تبدیل یک بدافزار به پول است. بدیهی است که افراد درگیر در این پروسه همیشه سه نفر نیستند و ممکن است تمام مراحل بالا توسط یک نفر انجام شوند.

فرشته کرم ها، کرم هایی با اهداف خوب

کرم هایی وجود دارند که با اهداف مفید ساخته می شوند. برای مثال خانواده ای از کرم ها با نام Nichi وجود دارند که وقتی وارد کامپیوتر می شوند سعی می کنند آپدیت های مفید ویندوز را از سایت مایکروسافت بگیرند و در کامپیوتر نصب کنند. با این کار بدون اینکه کاربر هیچ زحمتی به خود داده باشد، امنیت آن کامپیوتر افزایش می یابد.
بعضی از کرم ها با اهداف تحقیقاتی و بررسی راه های مختلف انتقال کرم ها و بعضی دیگر با هدف شوخی و نمایش یک عکس جالب در دسکتاپ کامپیوتر ساخته می شوند.
نکته مهم: بدون شک یک کرم علاوه بر ظاهر مفید یا بی آزارش ممکن است به صورت مخفی کارهای مضری نیز انجام دهد. به همین دلیل از نظر متخصصان امنیت تمامی کرم ها، مضر و جز بدافزارها طبقه بندی می شوند.

پیشگری از آلودگی به کرم های کامپیوتری خطرناک

کرم ها با استفاده از نقاط ضعف سیستم عامل و نرم‌افزارها منتقل می شوند. تمام شرکت های ساخت نرم افزار و سیستم عامل به طور منظم برای کاربران خود آپدیت های امنیتی می فرستند که اگر کاربران آنها را دانلود و نصب کنند به احتمال قوی از ابتلا به بدافزارها در امان خواهند بود. متأسفانه گاهی این اتفاق می‌افتد که یک ضعف امنیتی برای نرم افزاری کشف شود، اما آپدیت امنیتی آن ساخته نشود یا اینکه خیلی دیر منتشر شود. در این صورت ممکن است یک هکر از این ضعف خبر داشته باشد و به کامپیوترهای دارنده آن نرم افزار نفوذ کند.

ایمیل راه دیگر انتقال کرم ها است. هنگام باز کردن ایمیل افراد ناشناس محتاط باشید. از اجرای فایل های پیوست (Attachment) ایمیل خودداری و از کلیک روی لینک های این ایمیل پرهیز کنید. مثال مشهور برای این مورد کرم ILOVEYOU است که در ادامه مطلب به آن می پردازیم.

علاوه بر موارد بالا شما باید از نرم افزارهای آنتی ویروس، AntiSpyware (ضد جاسوس افزار) و فایروال (دیوار آتش) نیز استفاده کنید. برای آنتی اسپایور پیشنهاد های ما Adaware ، Spybot و آنتی اسپایور پرتابل (قابل جابجایی) Super Anti Spyware هستند. برای فایروال نیز می توانید از کومودو استفاده کنید.

داستان کرم ILOVEYOU

ILOVEYOU یا LOVELETTER نام یک کرم کامپیوتری است که در سال 2000 توانست 10 میلیون کامپیوتر دارای سیستم عامل ویندوز را آلوده کند. این کرم ابتدا در روز پنجم ماه می سال 2000 بوسیله ایمیل هایی با عنوان ILOVEYOU و یک فایل پیوست با نام LOVE-LETTER-FOR-YOU.TXT.vbs برای اشخاص مختلف فرستاده شد. پسوند اصلی این فایل vbs بود که به صورت پیش فرض توسط ویندوز پنهان می شد و کاربران به خیال اینکه با یک فایل متنی (text) روبرو هستند آن را اجرا می کردند، اما این فایل در واقع یک کرم بود. با اجرای فایل، کرم یک کپی از خودش را برای تمام ایمیل‌های لیست دوستان فرد قربانی می فرستاد. البته این ایمیل ها با نام خود شخص فرستاده می شدند. سپس یکسری تغییرات در سیستم عامل میزبان به وجود می آورد.

انتشار

شروع انتشار از فیلیپین بود و پس از مدت بسیار کوتاهی در سطح جهان پراکنده شد. این کرم برای پراکنده شدن فاکتورهای موثر زیادی داشت. زمانی که کرم اجرا می شد و کامپیوتری را آلوده می کرد، با نام ایمیل قربانی، یک کپی از خود را برای دیگر افرادی که در لیست ایمیل آن فرد بودند، می فرستاد. دیگران به خیال اینکه ایمیلی از دوست یا همکار خود دریافت کرده و از امنیت آن مطمئن هستند، آن را باز کرده و آلوده می شدند. این کرم ضررهای مالی فراوانی به بار آورد. بسیاری از فایل ها را در کامپیوترها و سرورهای آلوده شده پاک و خودش را – با نام آن‌ها و به جای آنها – جایگزین کرد. به این ترتیب زمانی که کاربر روی برنامه ای که کرم خودش را جای آن برنامه جایگزین کرده بود کلیک می کرد، برنامه کرم اجرا می شد و بیشتر گسترش می یافت.

کرم کار خود را در روز پنجم ماه می سال 2000 از فیلیپین آغاز کرد و در همان روز اول در سطح دنیا پخش شد. آلودگی ابتدا از فیلیپین به هنگ کنگ و از آنجا به اروپا و آمریکا انتقال یافت و فقط هشت روز بعد از شروع انتشار، 50 میلیون آلودگی گزارش شد. کرم ILOVEYOU حدود 5.5 میلیارد دلار در تمام سطح دنیا خسارت به بار آورد. بیشترین هزینه مربوط به زحمتی بود که برای پاک کردن کرم کشیده شد. سازمان های پنتاگون، سیا و پارلمان انگلیس مجبور شدند برای پاک کردن کرم تمامی سیستم های ایمیلی خود را برای

مدتی از کار بیاندازند و این کارها مشکلات فراوانی برایشان ایجاد کرد. بخش دیگری از هزینه ها به دلیل خود برنامه کرم بود. این بدافزار با جایگزین کردن خودش به جای فایل های مهم – مثل فایل های موزیک، مولتی مدیا و … – آنها را از بین می برد.

از طرف دیگر برنامه کرم با Visual Basic Script نوشته شده بود (که پسوند vbs فایل نیز به همین دلیل است) و این زبان برنامه نویسی می تواند با برنامه Outlook ویندوز ارتباط برقرار کرده و از لیست تماس های آن نیز استفاده کرده و خود را برای تمام افراد حاضر در لیست تماس (Contact list) آن بفرستد. به همین دلیل این کرم فقط روی سیستم عامل ویندوز می توانست اجرا شود. اگرچه برای سیستم عامل های دیگر نیز ایمیل می شد اما آنها را آلوده نکرد.

ویروس های کامپیوتری

                                              

تعریف ویروس

ویروس، یک نوع از بدافزار است که در اغلب مواقع بدون اطلاع کاربر اجرا شده و تلاش می‌کند خودش را در یک کد اجرایی دیگر کپی‌ کند. وقتی موفق به انجام این کار شد، کد جدید، آلوده نامیده می‌شود. کد آلوده وقتی اجرا شود، به نوبه‌ی خود کد دیگری را می‌تواند آلوده کند. این عمل تولید مثل یا کپی‌سازی از خود بر روی یک کد اجرایی موجود، ویژگی کلیدی در تعریف یک ویروس است. معمولاً کاربران رایانه به ویژه آنهایی که اطلاعات تخصصی کمتری درباره کامپیوتر دارند، ویروس‌ها را برنامه‌هایی هوشمند و خطرناک می‌دانند که خود به خود اجرا و تکثیر شده و اثرات تخریبی زیادی دارند که باعث از دست رفتن اطلاعات و گاه خراب شدن کامپیوتر می‌گردند در حالیکه طبق آمار تنها پنج درصد ویروس‌ها دارای اثرات تخریبی بوده و بقیه صرفاً تکثیر می‌شوند. بنابراین یک ویروس رایانه‌ای را می‌توان برنامه‌ای تعریف نمود که می‌تواند خودش را با استفاده از یک میزبان تکثیر نماید. بنابر این تعریف اگر برنامه‌ای وجود داشته باشد که دارای اثرات تخریبی باشد ولی امکان تکثیر نداشته باشد، نمی‌توان آنرا ویروس نامید. بنابراین ویروس‌های رایانه‌ای از جنس برنامه‌های معمولی هستند که توسط ویروس‌نویسان نوشته شده و سپس به طور ناگهانی توسط یک فایل اجرایی و یا جا گرفتن در ناحیه سیستمی دیسک، فایل‌ها و یا کامپیوترهای دیگر را آلوده می‌کنند. در این حال پس از اجرای فایل آلوده به ویروس و یا دسترسی به یک دیسک آلوده توسط کاربر دوم، ویروس به صورت مخفی نسخه‌ای از خودش را تولید کرده و به برنامه‌های دیگر می‌چسباند و به این ترتیب داستان زندگی ویروس آغاز می‌شود و هر یک از برنامه‌ها و یا دیسک‌های حاوی ویروس، پس از انتقال به کامپیوترهای دیگر باعث تکثیر نسخه‌هایی از ویروس و آلوده شدن دیگر فایل‌ها و دیسک‌ها می‌شوند. لذا پس از اندک زمانی در کامپیوترهای موجود در یک کشور و یا حتی در سراسر دنیا منتشر می‌شوند. از آنجا که ویروس‌ها به طور مخفیانه عمل می‌کنند، تا زمانی که کشف نشده و امکان پاکسازی آنها فراهم نگردیده باشد، برنامه‌های بسیاری را آلوده می‌کنند و از این رو یافتن سازنده و یا منشاء اصلی ویروس مشکل است.

تاریخچه

اولین تحقیق واقعی علمی و آکادمیک بر روی ویروس‌ها توسط فرد کوهن در سال 1983، با نام ویروس که توسط لِن آدلمن ابداع شده بود، انجام شد. بعضاً از کوهن به عنوان «پدر ویروس‌های کامپیوتری» نام برده می‌شود، اما واقعاً ویروس‌هایی بودند که قبل از شروع تحقیقات او تولید شده بودند. ویروس Elk Cloner نوشته شده توسط ریچ اسکرنتا در سال 1982 در گردش بود و ویروس‌های تولید شده توسط جو دلینگر نیز بین سال‌های 1981 تا 1983 ساخته شده بودند؛ که همه‌ی آن‌ها برای پلتفرم‌های Apple II بودند. برخی منابع یک نقص فنی در Arpanet را در سال 1980 به عنوان اولین ویروس ذکر می‌کنند، اما آن فقط یک کد قانونی و مجاز بود که اشتباه کار می‌کرد و تنها مسئله‌ای که ایجاد می‌کرد این بود که داده‌ها را در بسته‌های شبکه پخش می‌کرد. ویروس‌های گریگوری بنفورد، تنها به به داستان‌های علمی‌اش ختم نشد. او در سال 1969 ویروس‌های غیر مخرب‌ خود را در جایی که امروزه «آزمایشگاه ملی لیوِرمور لارنس» خوانده می‌شود و در Arpanet اولیه تولید و منتشر کرد.

میزبان ویروس

ویروس هم مانند هر برنامه کامپیوتری نیاز به محلی برای ذخیره خود دارد. ولی این محل باید به گونه‌ای باشد که ویروس‌ها را به وصول اهداف خود نزدیکتر کند. همان گونه که قبلاً ذکر شد اکثر ویروس‌ها به طور انگل‌وار به فایل‌های اجرایی می‌چسبند و آنها را آلوده می‌کنند. اصولاً می‌توان فایل‌ها را به دو گونه کلی «اجرایی» و «غیر اجرایی» تقسیم کرد که عموم ویروس‌ها در فایل‌های اجرایی جای گرفته و آنها را آلوده می‌کنند و واقعاً کمتر ویروسی یافت می‌شود که در یک فایل غیراجرایی قرار بگیرد و بتواند از طریق آن تکثیر شود.

لازم به ذکر است که بعضی از فایل‌ها را شاید نتوان ذاتاً اجرایی نامید اما چون اینگونه فایل‌ها می‌توانند حاوی قسمت‌هایی اجرایی باشند، لذا آنها را از نوع اجرایی در نظر می‌گیریم. از این نوع فایل‌ها می‌توان به فایل‌های اچ‌تی‌ام‌ال و مستندات برنامه‌های اداره اشاره کرد که به ترتیب ممکن است شامل اسکریپت و ماکرو باشند. اسکریپت‌ها و ماکروها قسمت‌هایی اجرایی هستند که در دل این فایل‌ها قرار گرفته و کار خاصی را انجام می‌دهند.

در ذیل فهرست پسوندهای رایج فایل‌های اجرایی ارائه شده است و اکثر نرم‌افزارهای ضد ویروس در حالت عادی (بدون تنظیمات خاص) این فایل‌ها را ویروس‌یابی می‌کنند (البته در برخی برنامه‌های ضد ویروس ممکن است برخی پسوندها حذف یا اضافه شوند) :

.com ، .exe ، .dll ، .ovl ، .bin ، .sys ، .dot ، .doc ، .vbe ، .vbs ، .hta ، .htm ، .scr ، .ocx ، .hlp ، .eml

بنابراین یکی از اصلی‌ترین میزبان‌های ویروس، فایل‌های اجرایی هستند. از طرف دیگر برخی ویروس‌ها نیز از سکتور راه‌انداز (Boot Sector) و جدول بخش‌بندی دیسک (Master Boot Record یا Partition Table) به عنوان میزبان استفاده می‌کنند. سکتور راه‌انداز واحد راه‌اندازی سیستم‌عامل است که در سکتور شماره صفر دیسکت فلاپی و یا درایوهای منطقی یک دیسک سخت قرار دارد و جدول بخش‌بندی شامل اطلاعات تقسیم‌بندی دیسک سخت می‌باشد که آن نیز در سکتور شماره صفر دیسک سخت قرار دارد. اینگونه ویروس‌ها با قرار گرفتن در یکی از این دو محل، هنگام راه‌اندازی کامپیوتر، اجرا شده و در حافظه سیستم مقیم می‌شوند و تا زمان خاموش کردن کامپیوتر و یا راه‌اندازی دوباره، همانجا مانده و فلاپی‌ها و یا دیسک‌های سخت دیگر را آلوده می‌کنند.

عملکرد ویروس

همانطور که گفته شد تنها پنج درصد از ویروس‌ها دارای اثرات تخریبی هستند و بقیه صرفاً تکثیر می‌شوند. با توجه به این مطلب این پرسش مطرح است که چرا ویروس‌ها به عنوان یک معضل شناخته می‌شوند و باید با آنها مبارزه کرد؟ پاسخ به این پرسش در موارد زیر خلاصه گردیده است:

۱ - بسیاری از ویروس‌ها دارای اثراتی هستند که هرچند تخریبی نمی‌باشد ولی می‌تواند برای کاربر ایجاد مزاحمت کند. مثلاً ممکن است پیغامی نمایش دهد، باعث ریزش حروف صفحه نمایش به پایین شود یا اینکه یک آهنگ پخش نماید. علاوه بر این برخی از ویروس‌ها به علت اشکالات نرم‌افزاری که ناشی از عدم دقت ویروس‌نویس می‌باشد، ممکن است دارای اثراتی غیرقابل پیش‌بینی باشند که گاهی این اثرات می‌توانند تخریبی نیز باشند. از دیدگاه کاربر اهمیتی ندارد که خسارت ایجاد شده بوسیله یک ویروس، یک کار عمدی پیش‌بینی شده توسط نویسنده ویروس بوده باشد یا یک اشتباه برنامه‌نویسی.

۲ - برخی از ویروس‌ها در حافظه کامپیوتر مقیم شده و از این طریق عملیات تکثیر خود را انجام می‌دهند. این عمل ممکن است به گونه‌ای باشد که جایی برای اجرای برنامه‌های دیگر نماند و یا باعث ایجاد تأخیر یا وقفه در حین عملیات سیستم اعم از اجرای برنامه‌ها و یا راه‌اندازی کامپیوتر گردد.

۳ - فرض کنید که شما یک ویروس بر روی کامپیوتر خود داشته باشید. بسیار احتمال دارد که این ویروس به صورت غیرعمدی به یک دوست، همکار یا مشتری منتقل شود که این امر ممکن است باعث از بین رفتن اعتماد آنها به شما و شرکت شما شود.

۴ - ویروس‌ها و برنامه‌های مخرب زیادی وجود دارند که اقدام به سرقت اطلاعات و کلمات عبور کاربر می‌نمایند. بعضی از اینگونه برنامه‌ها با مقیم شدن در حافظه از عباراتی که توسط شما تایپ می‌شود گزارش گرفته و پس از اتصال رایانه شما به اینترنت این اطلاعات را برای مقصد خاصی ارسال می‌کنند. گیرنده این اطلاعات می‌تواند به راحتی از آنها سوء استفاده‌های مختلفی نماید.

علاوه بر همه اینها هیچ ویروسی کاملاً بی‌ضرر نیست و در خوشبینانه‌ترین حالت، آنها وقت شما، وقت پردازنده و فضای دیسک شما را تلف می‌کنند.

در مورد اثرات تخریبی ویروس‌هایی که آنها را به صورت عمدی انجام می‌دهند می‌توان به موارد زیر اشاره نمود:

• تخریب یا حذف برنامه‌ها و اطلاعات بخش‌های مختلف دیسک‌ها.
• فرمت کردن دیسک‌ها.
• کد کردن اطلاعات و برنامه‌ها.
• تخریب اطلاعات حافظه فلش ها.

مزاحمت‌های فوق ممکن است به محض فعال شدن ویروس (یعنی قرار گرفتن ویروس در حافظه از طریق اجرای یک برنامه آلوده) و یا در یک تاریخ و زمان خاص و یا حتی با اجرای یک برنامه کاربردی خاص انجام شود.

انواع ویروس‌ها

ارائه یک تقسیم‌بندی دقیق از ویروس‌ها کار مشکلی است و می‌توان ویروس‌ها را به روش‌های مختلفی تقسیم‌بندی کرد. این روش‌ها می‌تواند بر اساس میزبان ویروس، سیستم‌عاملی که ویروس می‌تواند در آن فعالیت کند، روش آلوده‌سازی فایل و ... باشد. در زیر به برخی از این روش‌ها اشاره می‌کنیم :

تقسیم بندی ویروس‌ها بر اساس مقصد آلوده‌سازی:

۱ - ویروس‌های فایلی (File Viruses) : ویروس‌های فایلی، معمولاً فایل‌های اجرایی را آلوده می‌کنند. فایل‌های آلوده به این نوع از ویروس‌ها اغلب (اما نه همیشه) دارای پسوند .com یا .exe هستند.

۲ - ویروس‌های ماکرو (Macro Viruses) : ویروس‌های ماکرو، مستندات برنامه‌هایی را که از امکان ماکرونویسی پشتیبانی می‌نمایند (مانند MS Word ، MS Excel و...) آلوده می‌کنند. فایل‌های اینگونه برنامه‌ها اجرایی نیستند ولی درون آنها قسمت‌هایی اجرایی به نام «ماکرو» وجود دارد که می‌تواند میزبان مناسبی برای ویروس‌های ماکرو باشد.

۳ - ویروس‌های بوت و پارتیشن سکتوری (Boot Sector and Partition Table Viruses) : اینگونه ویروس‌ها سکتور راه‌انداز (Boot Sector) دیسک سخت و دیسکت فلاپی یا جدول بخش‌بندی دیسک‌های سخت را آلوده می‌کنند. با راه‌اندازی سیستم از روی دیسکی که به اینگونه ویروس‌ها آلوده شده است، ویروس در حافظه مقیم شده و متعاقباً دیسک‌هایی را که مورد دسترسی قرار گیرند، آلوده می‌کند.

۴ - ویروس‌های اسکریپتی (Script Viruses) : این ویروس‌ها که اسکریپت‌های نوشته شده به زبان‌های ویژوال بیسیک یا جاوا می‌باشند، تنها در کامپیوترهایی اجرا می‌شوند که بر روی آنها Internet Explorer یا هر مرورگر وب دیگری با توانایی اجرای اسکریپت‌ها، نصب شده باشد و فایل‌های با پسوند .html ، .htm ، .vbs ، .js ، .htt یا .asp را آلوده می‌کنند.

ویروس‌ها جدا از تقسیم‌بندی فوق، ممکن است در یک یا چند دسته از دسته‌های زیر نیز قرار بگیرند:

• ویروس‌های مقیم در حافظه (Memory Resident Viruses) :

اینگونه ویروس‌ها با مقیم شدن در حافظه، هنگام دسترسی به فایل‌های دیگر، آنها را آلوده می‌کنند.

• ویروس‌های مخفی‌کار (Stealth Viruses) :

اینگونه ویروس‌ها به روش‌های مختلف ردپای خویش را مخفی می‌کنند. به این معنی که فایل‌های آلوده به اینگونه ویروس‌ها به گونه‌ای نشان داده می‌شود که یک فایل غیرآلوده جلوه کند. به عنوان مثال عموم ویروس‌ها پس از آلوده کردن یک فایل، اندازه آن را افزایش می‌دهند و یا گاهی تاریخ و زمان ضبط فایل را عوض می‌کنند. اما ویروس‌های مخفی‌کار می‌توانند با روش‌های خاص و بدون تغییر وضعیت ظاهری، عملیات خویش را انجام دهند.

• ویروس‌های کدگذاری شده (Encrypting Viruses) :

این ویروس‌ها پس از هر بار آلوده‌سازی، با استفاده از شیوه‌های خود رمزی شکل ظاهری خود را تغییر می‌دهند.

• ویروس‌های چندشکلی (Polymorphic Viruses) :

اینگونه ویروس‌ها با استفاده از الگوریتم‌های خاص، علاوه بر تغییر شکل ظاهری خود، ساختار خود را نیز تغییر می‌دهند به طوریکه ممکن است جای دستورالعمل‌ها و حتی خود دستورالعمل‌ها نیز تغییر کنند.

• ویروس‌های فعال‌شونده بر اساس رویداد خاص(Triggered Event Viruses) :

ویروس‌هایی هستند که بخشی از عملیات تخریب خود را در ساعت و یا در تاریخ خاص انجام می‌دهند. البته باید توجه داشت که تکثیر و آلوده‌سازی فایل‌ها در تمام اوقات فعال بودن ویروس انجام می‌شود.

نشانه‌های وجود ویروس

معمولاً سیستمی که به ویروس آلوده می‌گردد نشانه‌هایی را از خود بروز می‌دهد که با دقت در آنها می‌توان به ویروسی بودن احتمالی سیستم پی برد. بعضی از این نشانه‌ها در زیر آمده است. اما باید دقت داشت که این نشانه‌ها ممکن است در اثر عوامل غیرویروسی نیز ظاهر گردد. اما اگر کامپیوتر بطور عادی کار می‌کرده و ناگهان و بدون هیچگونه دستکاری، این علایم را از خود بروز می‌دهد، احتمال وجود ویروس بیشتر است:

۱ - سیستم در هنگام راه‌اندازی قفل می‌کند و احتمالاً پیغام‌های غیرمعمول روی صفحه ظاهر می‌گردد.

۲ - هنگام اجرای برنامه‌ها پیغام کمبود حافظه ظاهر شده و برنامه اجرا نمی‌گردد.

۳ - در کارچاپگر اختلال ایجاد می‌شود یا بدون هیچگونه فرمان چاپی شروع به کار می‌کند.

۴ - امکان دسترسی به برخی از درایوها وجود ندارد.

۵ - هنگام اجرای فایل‌ها، پیغام File is Damaged یا File is Corrupted نمایش داده می‌شود.

۶ - هنگام اجرای یک فایل، کاراکترها و یا پیغام‌های غیرعادی روی صفحه نمایش ظاهر می‌گردد.

۷ - هنگام کار در محیط‌های گرافیکی، تصاویر به هم می‌ریزد.

۸ - اصوات غیرمعمول یا موزیک از بلندگوهای کامپیوتر پخش می‌شود.

۹ - سیستم هنگام اجرای یک برنامه قفل کرده و حتی گاهی فشردن کلیدهای Ctrl+Alt+Del نیز نمی‌تواند سیستم را دوباره راه‌اندازی کند.

۱۰ - اطلاعات بخشی از دیسک سخت و یا تمام آن بطور ناگهانی از بین می‌رود یا دیسک سخت ناخواسته فرمت می‌شود.

۱۱ - اندازه فایل‌های اجرایی افزایش می‌یابد.

۱۲ - خواص فایل‌های اجرایی تغییر می‌کند.

۱۳ - سرعت سیستم بطور نامحسوسی کاهش می‌یابد.

۱۴ - اطلاعات Setup کامپیوتر از بین می‌رود.

۱۵ - برنامه‌ها مراجعاتی به دیسکت انجام می‌دهند که قبلاً انجام نمی‌دادند.

۱۶ - کاهش فضای خالی دیسک بدون اینکه فایلی اضافه شده و یا به محتوای فایل‌ها افزوده شده باشد.

۱۷ - نرم‌افزارهای مقیم در حافظه با خطا اجرا شده یا اصلاً اجرا نمی‌شوند.

۱۸ - بعضی برنامه‌ها سعی در برقراری ارتباط با اینترنت را دارند.

۱۹ - هنگام کار با اینترنت مقدار ارسال و دریافت اطلاعات ناخواسته افزایش یافته و سرعت به شدت افت می‌کند.

۲۰ - نامه‌های الکترونیکی ناخواسته از روی سیستم ارسال شده و یا دریافت می‌گردد.

نام ویروس ها

ویروس های سکتور بوت (سکتور از بخش بندی های فضای بر روی دیسک ها می باشد) .

ویروس های سکتور بوت، اولین نوع ویروس هایی بودند که مشاهده شدند. آنها از طریق تغییر دادن سکتور بوت –قسمتی از سخت افزاری از دیسک که در آن برنامه ای قرار می گیرد که باعث شروع به کار کامپیوتر شما می شود –گسترش می یابند.

هنگامی که شما کامپیوتر را روشن می کنید، سخت افزار به دنبال برنامه سکتور بوت –که معمولابرروی دیسک سخت است، ولی می تواند بر روی فلاپی یا سی دی هم باشد – می گردد تا آن را اجرا کند. این برنامه با اجرا شدن، وقفه سیستم عامل را در حافظه بار گذاری می کند. (Load)

یک ویروس سکتور بوت، نسخه اصلی برنامه سکتور بوت را با نسخه ای تغییر یافته ومربوط به خود جایگزین کرده ونسخه اصلی را معمولا در جایی دیگر روی دیسک سخت پنهان می کند. هنگامی که شما در مرتبه بعدی دستگاه را روشن می کنید، سکتور بوت آلوده شده، مورد استفاده از سخت افزار قرار خواهد گرفت وبنابراین ویروس فعال خواهد شد.

پس در صورتیکه شما دستگاه را به وسیله یک دیسکت آلوده- معمولا دیسک های نرمی که سکتور بوت آلوده دارند- راه اندازی کنید، در نهایت آلوده به ویروس خواهید شد.

بسیاری از ویروس ها ی سکتور بوت در حال حاضر دیگر جزءویروس های کهنه وقدیمی محسوب می شوند. آنهایی که برای دستگاههای تحت سیستم عامل DOSنوشته شده بودند، معمولا نمی توانند از طریق سیستم عامل ها ی ویندوز 95، 98، ME، NT، 2000وXP بودند، گسترش یابند، گرچه ممکن است گاهی اوقات این سیستم عامل هارا از راه اندازی صحیح متوقف کنند.

معرفی ویروس هایی از این نوع :

ویروس Form:ویروسی است که پس از 10سال بعد از اولین مشاهده، هنوز هم:ویروس رایج است.

نسخه اصلی آن در روز 18هر ماه، فعال شده وهنگامی که هر دکمه ای بر روی صفحه کلید فشرده شود، باعث ایجاد یک کلیک می شود.

ویروس Parity Boot: ویروسی است که به طور تصادفی پیغام PARITY CHECKویروس نمایش داده وسیستم عامل را قفل می کند. این پیغام مانند پیغام واقعی است که به هنگام ایجاد خطا در حافظه کامپیوتر نمایش داده می شود.

ویروس های انگلی :

ویروس های انگلی که با نام ویروس های فایل هم شناخته می شوند، خود را به برنامه ها یا همان فایل های قابل اجرا پیوند می زنند.

هنگامی که شما اجرای برنامه آلوده شده توسط ویروسی را آغاز می کنید، در ابتدا ویروس اجرا خواهد شد. سپس ویرو س ها برای مخفی نگاه داشتن حضور خود، برنامه اصلی را اجرا می کند. سیستم عامل دستگاه که ویروس را بخشی از برنامه اجرا شده توسط شما می داند، به آن مجوزهای اجرا را می دهد. این مجوز ها به ویروس اجازه می دهند تا از خود کپی بسازد، خود را در حافظه کامپیوتر قرار داده وبدنه خود را آزاد کند.

ویروس های انگلی در تاریخچه ویروس ها از نخستین انواع آنها می باشند، اما در حال حاضر نیز از تهدیدات واقعی به شمار می روند. شبکه اینترنت که گسترش برنامه ها را ساده تر کرده، به ویروس ها نیز فرصتی جدیدی برای گسترش داده است.

معرفی ویروس هایی از این نوع :

ویروس Jerusalem:در جمعه های با تاریخ 13هرماه، تمام برنامه های اجرا شده در کامپیوتر را پاک می کند.

ویروس CIHیا همان Chernoby:در روز 26 از ماههای مشخصی، اطلاعات چیپ :بایوس را بازنویسی کرده واز بین می برد. با این کار کامپیوتر غیر قابل استفاده می شود. این ویروس همچنین اطلاعات دیسک سخت را نیز بازنویسی می کنند.

ویروس Remote Explorer:ویروس Remote Explorer) ) WNT/RemExpفایل اجرایی ویندوز NTرا آلوده می کند. این ویروس اولین ویروسی بود که توانست خود را به عنوان یک سرویس –برنامه هایی که در ویندوز NTحتی در زمان هایی که کسی Log inنکرده، اجرا می شوند، در ویندوز NTاجرا کند.

 ویروس های ماکرو (کلان دستور) :

ویروس های ماکرو که از مزایای برنامه نویسی ماکرو سود می برند، دستوراتی هستند که در دستورات داخل فایل ها ادغام شده وبه صورت خودکار اجرا می شوند.

بسیاری از برنامه ها مانند برامه های واژه پرداز یا تهیه کننده صفحه گسترده از خاصیت برنامه نویسی ماکرو استفاده می کنند.

ویروس ماکرو، یک برنامه ماکرو اس ت که می تواند از خود کپی ساخته واز فایلی به فایل دیگر گسترش پیدا کند. در صورتیکه شما فایلی را باز کنید که حامل ویروسی ازنوع همه چیز ماکرو است، در اینصورت ویروس خود را در فایل های آغازین اجرای آن برنامه کپی می کند واین زمان است که کامپیوتر آلوده شده است.

زمانی که شما در مرحله بعد فایلی را باز می کنید از همان برنامه استفاده می کند، ویروس، آن فایل را هم آلوده کرد. در صورتیکه کامپیوتر شما در یک شبکه باشد، این آلودگی به سرعت گسترش پیدا می کند ودلیل آن هم این است که هنگامی که شما فایلی آلوده را برای فرد دیگری می فرستید، اوهم با باز کردن فایل آلوده خواهد شد.

یک ماکروی مخرب همچنین می تواند باعث بوجود آمدن تغییرات در اسناد یا تنظیمات شما شود.

ویروس های ماکرو می توانند فایل هایی که در بیشتر ادارات مورد استفاده قرار می گیرند را آلوده کنند وهمچنین بعضی از آنها می توانند چندین نوع متفاوت از فایل ها مانند فایل های برنامه های Wordیا Excelرا تحت تاثیر قرار دهند. همچنین آنها می توانند به تمام فایل هایی که توسط برنامه میزبان آنها مورد اجرا قرار می گیرد، گسترش پیدا کنند، بالاتر از همه اینکه آنها می توانند براحتی گسترش پیدا کنند، چرا که اسناد بطور مداوم در نامه های الکترونیک و وب سایت ها در حال تبادل هستند.

معرفی ویروس هایی از این نوع:

ویروس WM/Wazzu:فایل های تهیه شده توسط برنامه Wordرا آلوده می سازد. این ویروس بطور تصادفی در بین هر یک تا سه کلمه، عبارتwazzuرا قرار می دهد.

ویروس OF97/Crown-B:فایل های برنامه هایPower pointوExcel، Wordرا آلوده می کند. هنگامی که این ویروس، فایلی از برنامه Wordرا آلوده می سازد، بخش محافظتی ماکرو در سایر برنامه های نرم افزار Officeرا از کار انداخته واز این طریق آنها را تحت تاثیر قرار می دهد.

ویروس های برتر

کدامیک از ویروس ها تا بحال بیشترین موفقیت را داشته اند؟در این قسمت گزیده ای از ویروس هایی آورده می شود که توانسته اند :به دور ترین نقاط انتقال پیدا کنند، بیشترین تعداد کامپیوتر را آلوده کنند، ویا اینکه بیشترین طول عمر را داشته باشند.

 ویروس (VBS/LoveLet-A) Love Bug

 احتمالاویروس Love Bugبهترین ویروس شناخته شده می باشد. این ویروس با تظاهر خود به عنوان یک برنامه عاشقانه وبرانگیختن حس کنجکاوی کاربران، در ساعاتی توانست در نقاط مختلف جهان گسترش پیدا کند.

اولین مشاهده :ماه می از سال 2000

سرچشمه:فلیپین

شهرت :نامه عاشقانه

نوع:کرم اسکریپتی ویژال بیسیک

راه اندازی ویروس :در اولین آلودگی

تاثیرات:نسخه اصلی این ویروس نامه ای با عنوان ( (دوستت دارم) ) با متن ( (در کمال لطف ومهربانی، نامه ای عاشقانه از من به تو، پیوند این نامه شده است، آن را بخوان) ) را برای کاربران می فرستد. باز کردن فایل پیوندی، باعث راه اندازی ویروس خواهد شد. در صورتیکه برنامه Outlookشرکت مایکروسافت نصب شده باشد، ویروس سعی خواهد کرد تا خود را به آدرس تمام افرادی که آدرس آنها در دفترچه آدرس برنامه Outlook وجود دارد، ارسال کند. این ویروس همچنین می تواند خود را در گروههای خبری توزیع کرده، اطلاعات کاربران را مورد سرقت قرار دهد وفایل های بخصوصی را بازنویسی کند.

 ویروسFORM

به خاطر گسترش هشت ساله آن-که هنوز هم ادامه دارد-در Formنام ویروس ونسخه های ابتدایی  DOS لیست 10ویروس برتر آورده شده است. در سیستم عامل ویندوز، این ویروس بسیار مخفی عمل کرده وبه همین خاطر توانسته در ابعادی وسیع گسترش پیدا کند.

اولین مشاهده:سال1991

سرچشمه :سوئیس

نوع:ویروس سکتور بوت

راه اندازی ویروس :در روز 18ماه

تاثیرات:هنگامی که شما هر دکمه ای بر روی صفحه کلید را فشار دهید، این ویروس باعث تولید یک کلیک خواهد شد. می تواند باعث عدم فعالیت کامپیوتر های مبتنی بر سیستم عامل NTشود.

کرم (VBS/Kakworm) Kakworm

این کرم فقط با خواندن نامه آلوده، باعث آلوده شدن دستگاه کاربر می شود.

اولین مشاهده:سال1999

نوع:کرم اسکریپتی ویژوال بیسیک

راه اندازی ویروس :در بیشتر موارد آلودگی، آلودگی با اولین اجرای ویروس شروع شده که این نوع آلودگی بیشترین آلودگی از این ویروس را داشته ودر نوع دیگر، کردنShut Downویروس در روز اول هر ماه فعال می شود که این نوع فعالیت جانبی ویندوز همراه است.

تاثیرات:این کرم در پیامی که از طریق پست الکترونیک در یافت می شود، جاسازی به همراه Outlook Expressیا Outlookشده است. در صورتی که شما از برنامه استفاده می کنید، ممکن است کامپیوترتان به هنگام باز کردن یا Internet Explorer 5راOutlook Expressمشاهده نامه آلوده، ویروسی شود. این ویروس تنظیمات برنامه چنان تغییر می دهد که با هر نامه فرستاده شده از طرف شما، دستورات ویروسی هم به طور اتو ماتیک فرستاده می شوند. در روز اول هر ماه، بعد از ساعات 5بعد از ظهر، ویروس را نمایش داده وسیستم عامل ویندوز را Kro$oft says-Anti-Kagou not today  پیغام خاموش می کند.

ویروس Anticmos

ویروسی بخصوص از نوع ویروس سکتور بوت است. در اواسط دهه 1990شروع به گسترش کرده وبه طور متناوب در لیست 10ویروس برتر قرار گرفته است.

اولین مشاهده:ماه ژانویه از سال 1994

سرچشمه :اولین شناسایی در هنگ کنگ بوده اما عقیده بر آن است که سر چشمه آن کشور چین می باشد.

نوع:ویروس سکتور بوت

راه اندازی ویروس:تصادفی

تاثیرات :سعی در پاک کردن اطلاعات مربوط به درایوهای نصب شده فلاپی ودیسک سخت.

ویروس (WM97/Melissa) Melissa

ملیسا ویروسی از نوع ویروس های پست الکترونیکی بوده واز ظرافت های روانشناختی برای گسترش سریع استفاده می کند. این ویروس اینطور وانمود می کند که از طرف فردی آشنا برای شما آمده وشامل متنی است که شما حتما می خواهید آن را بخوانید. د رنتیجه به همین سادگی ویروس ملیسا سرتاسر دنیا را تنها در یک روز می پیماید.

اولین مشاهده :ماه مارس از سال1999برنامه نویس 31ساله آمریکایی که متنی آلوده، David Smith

سرچشمه :آقای قرار داده (Sex) به ویروس را در گروههای خبری وابسته به گروههای نامشروع جنسی بود.

Wordو2000Wordنوع :ویروس ماکرو مربوط به برنامه های 97

راه اندازی ویروس :در اولین اجرا

تاثیرات:با تهیه یک نامه که در موضوع آن، نام کاربر استفاده کننده از کامپیوتر آورده شده وارسال آن نامه به پنجاه آدرس اول از تمام کتابچه آدر س هایی که در دسترس باشند، خود را گسترش می دهد. نامه فرستاده شده شامل Microsoft Outlookبرنامه فایلی پیوندی است که نسخه ای از متنی آلوده به ویروس را در خود دارد. در صورتیکه در10از روز :زمان وتاریخ باز شدن فایل، دقیق وشماره روز یکی باشند) مثلا ساعت05را به فایل اضافه خواهد کرد. Scrabbleپنجم ماه (، ویروس متنی راجع به بازی)

ویروس New Zealand

بدون شک در اوایل دهه 1990، این ویروس یکی از ویروس های فراگیر بوده است.

اولین مشاهده :اواخر دهه1980

سرچشمه :نیوزلند

شهرت:سنگ شده

نوع:ویروس سکتور بوت

راه اندازی ویروس:در صورتیکه سیستم از طریق فلاپی راه اندازی شود، در هر 8مرتبه، یکبار این ویروس فعال می شود. را نمایش می دهد. این <<کامپیوتر شما در حال حاضر سنگ شده

>>تاثیرات :پیام ویروس نسخه ای از سکتور بوت اصلی را در آخرین سکتور از فهرست ریشه یک دیسکت 360کیلوبایتی قرار می دهد. این کار می تواند به دیسکت های با حجم بیشتر صدمه بزند.

ویروس( WM-Concept ) Concept

Officeکه توانست تصادفا حامل مناسبی مانند نرم افزارهای Concept ویروس شرکت مایکروسافت را بدست آورد، موفقیتی ناگهانی کسب کرد. این ویروس که اولین نوعی بود که به صورت ماکرو) کلان دستور (نوشته شده بود، به یکی از ویروس های فراگیر در کنترل دستگاه را با اجرای ماکروی Conceptسالهای 1996تا1998تبدیل شد. ویروس آن را بصورت خودکار اجرا می کرد، بدست آورده وWordخود که برنامه Auto Openشدن فایلی در برنامه Saveخود که در هر بار FileSaveAs آلودگی را از طریق ماکروی اجرا می شد، انتقال می داد، گونه های مختلفی از این ویروس وجود داردWord.

اولین مشاهده :ماه آگوست از سال1995

نوع:ویروس ماکرو

تاثیرات:هنگامی که شما سندی آلوده را باز می کنید، یک صفحه پیغام با عنوان

That's enough to proveنمایان می شود. این ویروس شامل عبارت Microsoft Wordبوده اما آن را هیچگاه نمایش نمی دهدmy point.

ویروس (W95/CIH-10xx) ChernobyیاCIH

اولین ویروسی بود که توانست به سخت افزار کامپیوتر صدمه وارد کند. به CIH محض اینکه این ویروس اطلاعات بایوس را بازنویسی کند، کامپیوتر دیگر قابل استفاده نخواهد بود مگر آنکه چیپ بایوس آن تعویض شود.

اولین مشاهده:ماه ژوئن از سال 1998

سرچشمه :نوشته شده توسط  Chen Ing –Hauاز تایوان

نوع:ویروسی انگلی که بر روی کامپیوترهای مبتنی بر سیستم عامل ویندوز 95اجرا می شود.

راه اندازی ویروس :در روز 26ماه آوریل. انواع دیگر آن در روز های 26 از ماه ژوئن ویا روز 26هر ماه آزاد می شوند.

تاثیرات :بازنویسی کردن اطلاعات روی بایوس وپس از ان اطلاعات بر روی دیسک سخت.

ویروس Parity Boot

این ویورس برروی سکتور بوت فلاپی ها گسترش می یابد. موفقیت آن مؤید این مطلب است که ویروس های از نوع سکتور بوت –که در دهه 1980واوایل دهه1990فراگیر بوده اند –هنوز هم می توانند پررونق باشند.

نام این ویروس در اکثر گزارش های مربوط به سال 1998قابل مشاهده می باشد.

آلودگی فوق العاده این ویروس مربوط به کشور آلمان می باشد، جایی که توانست خود را از) . طریق دیسکت های توزیع شده به همراه یک مجله منتشر کند) در سال 1994

اولین مشاهده:ماه مارس از سال 1993

سرچشمه :احتمالاکشور آلمان

نوع :ویروس سکتور بوت

راه اندازی ویروس :تصادفی

را نمایش داده وباعث قفل شدن کامپیوترPARITY CHECK

تاثیرات:پیغام می شود. این کار تقلیدی از رخداد یک خطای واقعی حافظه می باشد. در نتیجه اغلب اوقات دستگاه آنها وجود دارد RAM. کاربران تصور می کنند که مشکلی در حافظه

ویروس   Happy99 (W32/Ska- Happy99)

 اولین ویروس شناخته شده ای بود که توانست به سرعت خود را از طریق پست الکترونیک گسترش دهد.

اولین مشاهده :ماه ژانویه از سال1999ویروس نویس فرانسوی به یک گروه خبری ارسال Spanskaسرچشمه :توسط شد.، NT، ME، 98،

نوع :ویروس فایلی که بر روی سیستم عامل ویندوز 95اجرا می شود XP2000. ورا نمایش <<سال 1999مبارک >>تاثیرات :نمایی از یک آتش بازی وسپس پیام را Windowsاز سیستم عاملSystemدر شاخه Wsock32. Dll می دهد. این ویروس فایل چنان تغییر می دهد که بعد از هر نامه ای که فرستاده می شود، پیام دیگری هم که شامل ویروس می باشد ارسال خواهد شد.

 Bandook
منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۵

‏Bandook یک تروجان «در پشتی» بود که ویندوز 2000، ایکس پی، 2003 و ویستا را تحت تاثیر قرار می داد. این تروجان فایروال ویندوز را دور می زد و دسترسی از راه دور مهاجم را به سیستم شما فراهم می کرد. رفتار این تروجان مشابه پسر عموی خود، Beast Trojan بود.

Beast Trojan
منبع احتمالی انتشار: دلفی
سال انتشار: ۲۰۰۲

این کرم مبتنی بر ویندوز به شخص مهاجم کنترل کاملی بر روی کامپیوتر آلوده می داد، از جمله دسترسی به تمام فایل ها با توانایی آپلود، دانلود، اجرا یا حذف فایلها.

 Benjamin
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۲

ویروس « بنجامین » کامپیوترها را از طریق برنامه به اشتراک گذاری فایل Kazaa آلوده می نمود. ویروس به عنوان آهنگی محبوب به منظور فریب کاربران برای دانلود آن معرفی می شد. هنگامی که این ویروس یک بار روی سیستم اجرا می شد، اتصال به اینترنت رایانه میزبان را مسدود و تمام ظرفیت هارد دیسک را پر می کرد.

 CIH aka Chernobyl
منبع احتمالی انتشار: تایوان
سال انتشار: ۱۹۹۸

ویروس «چرنوبیل» باعث آسیب ۸۰ میلیون دلاری به رایانه ها شد. این ویروس رایانه های مجهز به ویندوز 95، 98 و ME را آلوده کرده و می توانست روی فایل های هارد دیسک رونویسی کرده یا از بوت شدن سیستم جلوگیری کند. نام آن برگرفته از یک فاجعه بود: ویروس در همان روزی منتشر شد که سال ها قبل از آن انفجار راکتور هسته ای چرنوبیل در شوروی رخ داد.

  Explorer.zip
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۱۹۹۹

این کرم به قربانیان با حذف فایل های ورد، اکسل و پاورپوینت خسارت دردآوری وارد می کرد. کرم در عین حال روش هوشمندانه ای برای گسترش خود در سراسر وب داشت: Explorer.zip در متن ایمیل ها جستجو کرده و به طور خودکار جواب دارای فایل پیوست آلوده به کرم را در پاسخ به آنها با استفاده از تیتر اصلی ارسال می کرد.

SoBig
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۳

‏SoBig میلیون ها کامپیوتر تحت ویندوز را آلوده کرد. این بدافزار ایمیل هایی به مخاطبین رایانه آلوده شده با عناوینی مانند "پاسخ: برنامه کاربردی درخواستی شما" و "متشکرم" ارسال شده و حاوی متنی بود که گیرنده نامه را به لینک "برای دریافت جزئیات پیوست را بازدید کنید،" هدایت می کرد، که چیزی نبود جز مواجهه با عذاب گرفتاری به بدافزار جدید. هنگامی که با SoBig آلوده می شدید، شما یک فرستنده اسپم به دوستان خود بودید.

 Stuxnet
منبع احتمالی انتشار: ایران
سال انتشار: ۲۰۱۰

کرم «استاکس نت»در میان کارشناسان سبب ایجاد وحشت شد، چرا که ظاهرا توانایی از کار انداختن تاسیسات صنعتی و هسته ای را داشت. شاید بتوان آن را اولین بدافزار با قابلیت تخریب سخت افزاری خارج از کامپیوتر نامید. در همین زمینه کارشناسان امنیت سایبر در مورد یک مسابقه تسلیحاتی جدید هشدار دادند. به نظر می رسد که هدف استاکس نت ایران بوده است.

 Magistr
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۲۰۰۱

کرم Magistr قوی و مخرب بود. این کرم، فایل های ذخیره شده روی هارد دیسک های آلوده را با فایل های خود بازنویسی کرده و سبب نابودی اطلاعات به این شیوه شده و سبب کرش سیستم می گردید. همچنین Magistr در برابر آنتی ویروس ها مقاوم بود و بسیاری تلاش های معمول برای حذف آن را مسدود کرده و بی اثر می نمود.

Sasser
منبع احتمالی انتشار: آلمان
سال انتشار: ۲۰۰۴

«ساسر» توسط سوئن جاشن ایجاد شد که شهرت خود را از برنامه نویسی ویروس Netsky که در در ادامه بدان اشاره می شود بدست آورده بود، با این تفاوت که ساسر دست پخت هکر برای انجام ماموریتی بزرگ و ویرانگر بود. چرا که برآوردها نشان می داد بر اثر این بدافزار ۱۸ میلیون دلار آسیب به صنعت رایانه وارد گردید. آلودگی سبب خساراتی منجمله خاموشی ارتباطات ماهواره ای خبرگزاری های فرانسه و لغو پروازهای Delta Airlines شد و این تنها بخشی از اثرات ویرانگر این بدافزار بود.

 Mariposa
منبع احتمالی انتشار: اسپانیا
سال انتشار: ۲۰۱۰

این ویروس یک botnet یا شبکه ای از سیستم های آلوده شده بود که در بیش از ۱۹۰ کشور گسترش یافته و ۱۲.۷ میلیون رایانه را آلوده کرد. مقامات پلیس که موفق به شکست حلقه آلودگی شدند، اعتقاد دارند این آلودگی ها از اسپانیا نشات گرفته است و هدف آن سرقت شماره کارت اعتباری و اطلاعات بانکی قربانیان بوده است.

 Klez
منبع احتمالی انتشار: روسیه
سال انتشار: ۲۰۰۲

‏Klez رکوردی را که پیش از این در اختیار SirCam بود، شکست و تبدیل به گسترده ترین کرم تا آن زمان در تاریخ رایانه شد. رفتار کرم شبیه کرم قدیمی تر بود، یعنی بازنویسی فایل ها با فایل های آلوده که حجمشان صفر بود. علاوه بر این، Klez تلاش به غیر فعال کردن برنامه آنتی ویروس به منظور زنده نگه داشتن خود می نمود.

SQL Slammer
منبع احتمالی انتشار: بریتانیا
سال انتشار: ۲۰۰۳

بدافزار SQL Slammer سرور ها را هدف قرار داده، و آنها را با قطعات کوچکی از کد که به آدرس های IP تصادفی فرستاده می شد، بمباران می کرد. سرورهای گرفتار شده با ترافیک مصنوعی یا کند شده و سرعت ارائه خدمات به کلاینت های آنها پایین می آمد، یا به کلی از ارائه سرویس ناتوان می گشتند. بخشی از قربانیان مهم شامل سرورهای بانک مرکزی امریکا، خطوط هوایی «قاره ای» (Continental) و شهر سیاتل بود. کرم به طرز حیرت آوری سریع عمل کرده و تنها در عرض ۱۰ دقیقه به ۹۰ درصد از تمام سیستم های آسیب پذیر ممکن گسترش یافت (بیش از ۷۵ هزار کامپیوتر).

 Code Red
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار : ۲۰۰۱

این کرم که خطرناک ترین آلودگی ممکن در زمان خود محسوب می شد، با آلوده کردن رایانه های متعدد و متحد کردن آنها در حمله علیه وب سایت کاخ سفید برای خود نامی هراس انگیز دست و پا کرد. کرم نیازی به فایل اجرایی آلوده نداشت، و از طریق صدها هزار شبکه، که عمدتا متعلق به شرکت ها بود گسترش یافت.

  Storm
منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۷

کرم «طوفان» ۵۰ میلیون رایانه را آلوده کرد. این بدافزار در پیوست یک نامه الکترونیکی با عنوان "۲۳۰ کشته در جریان طوفان در اروپا " پنهان شده بود. هر چند برخی تغییرات در قالب و متن این ایمیل در رایانه های مختلف مشاهده شده، از جمله یک مورد خبر زلزله در چین در زمان برگزاری بازی های المپیک پکن. کرم برای سوء استفاده طراحی شده و در طراحی آن از بروز رفتار غیرعادی در کامپیوتر میزبان غفلت شده بود. این کرم دکمه هایی که کاربر روی صفحه کلید را فشار می داد ثبت کرده و یک پایگاه داده بزرگ از اطلاعات محرمانه به منظور فروش اطلاعات قربانی تولید می کرد. کرم بسیار زیرک بود و بر یک کد تکیه داشت که هر ۳۰ دقیقه تغییر شکل می داد. این ویروس از این نظر که آینده بدافزار های مخرب را ترسیم می کرد و هدفش تبدیل قربانیان به خوراکی آماده برای اسپمرها (فرستندگان هرزنامه) بود، حائز اهمیت است.

 Mydoom
منبع احتمالی انتشار: روسیه
سال انتشار : ۲۰۰۴

‏Mydoom سریعترین کرم گسترش یافته در اینترنت بود که تا آن زمان طراحی شده بود. این کرم توسط یک فرستنده ایمیل های اسپم مأموریت یافته بود که ایمیل های ناخواسته یا اسپم حاوی پیام: "اندی ، من فقط کارم را انجام می دهم، هیچ دلبستگی شخصی در میان نیست. متأسفم!" را برای قربانیان ارسال کند. کرم اجازه کنترل از راه دور سیستم میزبان را به مهاجم می داد. برخی از گونه های حمله به وب سایت های خاصی از جمله مایکروسافت و گروه سازمان همکاری های شانگهای (SCO) انجام گرفت. برخی کارشناسان بر این باورند که کرم همچنین از طریق Kazaa خود را گسترش می دهد.

 Nimda
منبع احتمالی انتشار: نامعلوم
سال انتشار: ۲۰۰۱

ویروس Nimda یکی از پیچیده ترین بدافزارها در طول تاریخ است، چرا که به پنج روش مختلف خود را تکثیر می نمود. هنگامی که کامپیوتری به این ویروس آلوده می شد، ویروس یک حساب کاربری مدیریتی (Administrator Account) ایجاد کرده و اطلاعات ذخیره شده روی هارد و شبکه را با فایل های بی ارزش خود بازنویسی کرده و از بین می برد. این ویروس هر دو نوع رایانه های شخصی و سرورها را آلوده کرده و برای آلودگی نیازی به اجرای فایل برنامه توسط میزبان نداشت.

Melissa
منبع احتمالی انتشار: ایالات متحده آمریکا
سال انتشار: ۱۹۹۹

این یکی در میان ماکرو ویروس ها نیرومندترین است. «ملیسا» -که نام خود را از یکی از رقاصه های عجیب و غریب از ایالت فلوریدا گرفته بود- در فایل های ایجاد شده توسط ورد، اکسل و اوت لوک نفوذ می کرد. یکی از اولین ویروس هایی بود که از طریق ایمیل گسترش می یافت و به مراتب گستردگی بیشتری نسبت به بقیه این نوع ویروس ها داشت. ملیسا بیش از یک میلیون کامپیوتر را در امریکای شمالی آلوده کرده. از جمله عوامل اصلی در هراس عمومی از فایل های ضمیمه شده در ایمیل ها همین ویروس بود. این ویروس شبکه های شرکت ها و نهادهای دولتی را آلوده کرده و دو دوره را در تاریخ بدافزارها بنیان نهاد: یکی دوره جدید ظهور ویروس ها و دیگری رویکرد جدید صنعت آنتی ویروس های مقابله کننده با بدافزارها.

 I LOVE YOU
منبع احتمالی انتشار: ایالات متحده آمریکا
سال : ۲۰۰۰

در آغاز دهه اول قرن بیست و یکم با تمام بدبینی های پیش زمینه کاربران، ویروس I LOVE YOU میلیون ها کامپیوتر را در یک شب آلوده کرد. این بدافزار یک اسب تروجان روی رایانه قربانی دانلود می کرد که به دنبال رمزعبور و نام های کاربری کاربر گشته، و کارهایی از قبیل بازنویسی و انتقال فایل ها را انجام می داد. ویروس توسط یک دانشجوی فیلیپینی ایجاد شده، از طریق ایمیلی با عنوان بی رحمانه " دوستت دارم" گسترش می یافت. در زمان اوج شیوع سراسری این ویروس ، تخمین زده شد ۱۰ میلیارد دلار به رایانه های خانگی و شرکت ها خسارت وارد شده است. روش های هیجان انگیز و پیچیده ویروس "دوستت دارم" موضوع ده ها پایان نامه دانشجویی و نمایشگاه امنیت رایانه ای در بسیاری از کشورهای جهان شد.

Conficker
منبع احتمالی انتشار: اروپا
سال انتشار: ۲۰۰۹

کرم رایانه ای که به بیش از 200 کشور جهان گسترش یافته و دهها میلیون رایانه و سرور را آلوده کرده و به آنها آسیب رساند، چیزی نیست جز کرم Conficker که لقب زهرآگین ترین کرم تمام دوران را از آن خود کرده است. Conficker تکنیک های مختلف نرم افزارهای مخرب را با هم ترکیب نموده و در اصل نیمه ویروس و نیمه تروجان بود.کرم تلاش می کرد تا از به روز رسانی سیستم ها جلوگیری کرده و به برنامه های ضد تروجان حمله و آنها را غیرفعال کند. Conficker به ویژه در اروپا اثرات ویرانگری از خود بر جای گذارد. از جمله خسارات قابل توجه می توان به وزارت دفاع بریتانیا، نیروی دریایی فرانسه و پلیس نروژ اشاره کرد. انتشار چندین گونه از این کرم باعث شد تا آن یک قدم جلوتر از تلاش ها برای محو آن باشد. این ویروس همچنان به عنوان بی رحم ترین برنامه مخرب موثر در دوران مدرن رایانه باقی مانده است.

ویروس Bronkot. Aوروش های مقابله

این یک ویروس بسیار حرفه ای است واساس طراحی این ویروس با Visual Basic0. 6می باشد. برای اولین بار کمپانی سازنده آنتی ویروس Bit Defenderپادزهر آن را ساخت اما چون روشی خاصی برای نابودی این کرم وجود ندارد، نرم افزار آنتی ویروس نمی تواند این کار را انجام دهد وفقط ویروس را شناسایی می کند. دوستانی که سطح اطلاعات کامپیوتری مبتدی است توصیه می شود که ویندوز خود را عوض کنند وتمام مطالبی که در زیر نوشته شده است را کنار بگذارند. البته توضیحات واضح است وضرری ندارد اگر یک بار امتحان کنید اما کسانی که مدت زیادی است با کامپیوتر آشنایی دارند بهتر می توانند موفق شوند. در ابتدا خوب است کمی راجع به هنر نمایی های این ویروس بدانیم :

کرمی که باعث ایجاد این ویروس می شود Bron Tok. A نام دارد. معروف شده است به پنهان کننده  Folder Options بهتر است بدانید که این تنها کار این کرم نیست  Registry Toolsرا قفل می کند.  Task Manager با Error مواجه می شود واگر هم بر حسب اتفاق اجرا شود توانایی END کردن بسیاری از پروسه ها را ندارد. محتویات My Documentرا پس از اجرا شدن نمایش می دهد، اگر از طریق منوی StartگزینهRunرا فعال کنیم وهر یک از عبارات RegEdit32، RegeditوCMDرا اجرا کنیم سیستم بلافاصه Restart می شود. کلیک بر روی Log off یا Turn off باعث Restart می شود. سرعت سیستم را کاهش داده ومانع اجرای  بعضی نرم افزار ها می شود. این کرم آیکون یک پوشه معمولی را دارد واز طریق فایل inetinfo. Exe در سیستم منتشر می شود.

 ویروسها از نظر محل تأثیر گذاری

ویروس ها مانند سایر برنامه ها نیاز به محلی برای ذخیره خود دارند با این تفاوت که آنها محلی را انتخاب می کنند که برای رسیدن به اهداف شوم خود نزدیک تر ودر دسترس تر باشد. محلهایی که برای جایگیری ویروس ها محبوبیت بیشتری دارند (محل تأثیر گذاری) به شرح زیر می باشند :

v    ویروس های تاثیر گذار روی رکورد راه انداز :

این نوع ویروس ها همان طوری که از نام آنها مشخص است به رکورد راه انداز (RECORD BOOT) سیستم آسیب می رساند واطلاعات این بخش را (از قبیل ظرفیت دیسک تعداد سکتور های آن مقدار بایت های هر سکتور سایز کلاستر ها و. . . . . علاوه بر این اطلاعات در دیسک های راه اندازاین سکتور شامل برنامه ای است که سیستم عامل را در حافظه قرار داده آن را راه اندازی BOOT-می کند) را از بین می برند در نتیجه موقع شروع به کار سیستم برنامه STRAP BOOTکه عملیات راه اندازی را آغاز می کند وجود نداشته ودر نتیجه کامپیوتر راه اندازی نمی شود وپیغام خطایی از طرف سیستم مبنی بر عدم وجود فایل های سیستمی در صفحه نمایش ظاهرمی شود واگر مانع از راه اندازی سیستم نشوند حافظه کامپیوتر را در بدو شروع وراه اندازی آلوده وبه این ترتیب باعث گسترش آلودگی به درایوهای دیگر می شوند مثلا:ویروس "فیلیپ".

 v    ویروس های تاثیر گذار روی پارتیشن تیبل:

پارتیشن تیبل به جدولی گفته می شود در آن نحوه تقسیم بندی هاردیسک (هاردیسک می تواند دارای چند درایو باشد) وظرفیت تک تک پارتیشن های هارددیسک مشخص شده است که در سکتور شماره صفرها رد دیسک قرار دارد. این ویروس ها می توانند از نظر منطقی ظرفیت تک تک پارتیشن ها را به هم ریخته وآنها را کم وزیاد کرده وحتی روی نحوه تقسیم بندی دیسک تاثیر بگذارند در این صورت نمی توان به بعضی از فایل ها در جای خودشان دسترسی پیدا کرد محل نگهداری این جدول در رکورد راه انداز اصلی هر هارد است.

همچنین این گونه ویروس ها با قرار گرفتن در این محل به محض روشن شدن کامپیوتر واجرای یک برنامه آلوده به ویروس همراه آن نرم افزار در حافظه اصلی جای می گیرند وگاهی اوقات تا موقع خاموش شدن کامپیوتر در آنجا باقی مانده وفایل های دیگر را آلوده می کنند.

 v    ویروس های تاثیر گذار روی فایل های اجرایی :

این نوع ویروس ها فایل های اجرایی را آلوده نموده وخود را به فایل های اجرایی اضافه می کنند وبا هر بار اجرای این نوع فایل ها به همراه آنها وارد حافظه شده وفعالیت خود را شروع می کنند. در نتیجه این نوع ویروس ها از نوع ویروس های خیلی خطرناک هستند که بسرعت شیوع پیدا می کنند. بعضی از ویروس های نرم افزاری مثل "2D" هر بار که به فایلی اضافه می شوند یک نسخه ازخود را روی فایل تکثیر می کنند. بدین ترتیب طول فایل اصلی با هر بار اجرا بیشتر می شود که این خود نشانه وجود ویروس روی آن فایل است وبراحتی قابل تشخیص است اما برخی دیگر از ویروس های نرم افزاری  هوشمندانه عمل می کنند یعنی اگر ویروس قبلا به فایلی چسبیده باشد دیگر به آن حمله نمی کند وبدین ترتیب تشخیص وجود ویروس در آن فایل مشکل تر خواهد بود.

 v    ویروس ها تاثیر گذار روی فایل های غیر اجرایی :

گفتیم که ویروس برای اینکه بتواند فعال شود باید خود را به یک فایل اجرایی بچسباند طوریکه با اجرای این نوع فایل ها ویروس نیز فعالیت خود را آغاز کند وقسمتهای مختلف سیستم را مورد حمله قرار دهد وبه ندرت اتفاق افتاده که ویروس روی یک فایل غیر اجرایی مثلا فایلهای متنی یا بانکهای اطلاعاتی جای بگیرد وآنرا آلوده کند. از ویروسهای تاثیر گذار بر روی فایلهای غیر اجرایی میتوان به ویروسهایی اشاره کرد که در انتهای اسناد WORDیاEXCELخود را پنهان میکنند این ویروسها به صورت دستورات نرم افزارهای WORDیاEXCEL هستند که پس از باز شدن سند بصورت خودکار اجرا میشوند.

معمولا آثار مخرب ویروسها برروی فایلهای غیر اجرایی نمایان میشود وکمتر مشاهده شده است که ویروس ها خود را در این فایلها پنهان کنند.

 v    ویروس های سخت افزاری:

عده­ای معتقدند که ویروس­ها نمی­توانند به سخت­افزار آسیب برسانند وتا به امروز، هیچ ویروسی پیدا نشده است که که این کار را انجام دهد. ولی در خلاف انتظار از بین بردن سخت افزار توسط برنامه­های نرم افزاری امکان­پذیر و عملی است. گرچه خسارات سخت افزاری در موارد اندکی توسط ویروسها وجود دارد ولی باید آنها را جدی گرفت. به عنوان مثال کامپیوترهای سری آمیگا از شرکت کمودور، به خاطر نداشتن کنترل در قسمت­های مختلف در مقابل ویروس آسیب پذیرند. در این کامپیوترها می­توان به کمک نرم افزار، موتور دیسک­گردان را از حرکت باز داشت و همزمان فرمان خواندن یک تراک که وجود ندارد، را به هد داد به این ترتیب هد به دیواره­های دیسک­گردان برخورد کرده و می­شکند. نمونه دیگر این است که CPU و Icهای آمیگا از جمله اگنس، دنیس و پائولا از نوع CMOS بوده و در مقابل الکتریسیته حساس هستند. اگر همزمان به تمام ورودیهای بیت یک اعمال می­شود ولتاژ اضافی باعث خرابی ICها می­شود. به کمک یک برنامه کوتاه چند خطی به زبان ماشین می­توان کلیه ثباتهایی که به نام CPU می روند را حاوی بیت یک نمود و CPU را خراب کرد. در رایانه­های شخصی ویروس می­تواند هد خواندن و نوشتن دیسک­گردان را روی یک تراک داخلی، که وجودندارد قرار بدهد. در بعضی از دیسک گردانها، اینکار باعث می­شود که هد، به بستی در داخل دیسک­گردان گیر کند و فقط با باز کردن دیسک گردان و جابه جا کردن هد با دست، مشکل حل می­شود. ویروس می­تواند تراک صفر دیسک را نابود کند در اینصورت، این دیسک دیگر قابل استفاده نیست یا اینکه ویروس بطور مکرر هد را از سیلندر بیرونی به سیلندر داخلی حرکت دهد این امر سبب سایش و نهایتا خرابی دیسک خواهد شد. در اینجا ممکن است مستقیما چیزی تخریب نشود ولی باعث فرسودگی می­شود. برای مثال ویروس AMP2P که روی فایل CAMMAND.COM ویندوز 95 وجود دارد، قادر است تنظیم اصلی کارخانه را تغییر دهد و ویروسی که بتواند اینکار را انجام دهد قادر است به تمام اجزای سیستم دسترسی داشته و آنها را خراب کند. این ویروس معمولا هارد دیسک را دچار تعدادی بد سکتور می کند ویا تراک صفر را از کار می اندازد که با فرمت فیزیکی مجدد نیز دیسک قابل اصلاح نیست. تا چندی قبل ویروس ها فقط فایل­ها را خراب می­کردند که معمولا چاره اینکار آسان بود ولی اکنون ویروس ها به آنچنان توانایی رسیده­اند که قادرند سخت افزار سیستم را مورد هدف قرار دهند که در این صورت خسارات ایجاد شده شدید و جبران آن سنگین است. تازه ممکن است پس ازتعویض قسمت خراب شده، ویروس مجددا آنرا تخریب کند.

ساختار کلی فایل­های COM و EXE تحت : DOS

 ساختار کلی فایل­های اجرایی از نوع COM تحت DOS  : معمولا و نه همیشه اولین دستور از فایل­های اجرایی COM، حاوی یک آدرس پرش (Jump) می باشد که اجرای برنامه را به مکان دیگری از داخل حافظه انتقال می­دهد و سپس دستورات اصلی برنامه از مکان XXXXX در شکل فوق آغاز می­گردد. اما اگر همین آدرس پرش اولیه را بتوانیم طوری تغییر دهیم که به ابتدای برنامه خودمان منتقل شود .می­توان گفت که نصف کار آلوده­سازی را انجام داده­ایم. بصورت کلی جهت انجام این کار ابتدا آدرس پرش اولیه XXXXX را در مکانی از حافظه ذخیره کرده (برای استفاده بعدی) و سپس آدرس شروع برنامه خود را درآن قرار می دهیم. خوب تا اینجا توانسته ایم کنترل اجرایی فایل­های COM را بدست گیریم. سپس کافی است در داخل ویروس عملیات مربوط به یافتن فایل­های اجرایی غیر آلوده، درستکاری آنها و انجام یکسری تخریب ها (چاپ یکسری مطالب جهت ترساندن کاربر معرفی خود) و نهایتا برگشت به آدرس اولیه پرش XXXXX جهت اجرای عادی فایل آلوده شده مراجعه کرده تا برنامه ازاین پس روال عادی اجرایی خود را انجام دهد.

 ساختار کلی فایل­های اجرایی از نوع EXE تحت DOS : ساختار کلی فایل های EXE پیچیده تر است.  تمام فایل­های EXE دارای یک Header یا عنوان بوده که شامل اطلاعات تخصصی فایل اجرایی نظیر مشخصه فایل، اندازه واقعی فایل، آدرس­های Data Segment،Code Segment و..... می­باشد. بنابراین بر خلاف فایل­های COM که اولین دستور از آنها حاوی آدرس شروع برنامه است، در این فایل­ها بایت­های 20 و22 در داخل Header حاوی آدرس شروع برنامه است و چون فایل های EXE از نظر اندازه می­توانند خیلی بزرگتر از COM باشند، این آدرسها شامل SEGMENT:OFFSET است با توجه به توضیح فوق در مورد نحوه آلوده­سازی فایل های COM کافی است آدرس­های X1:X2 را به ابتدای برنامه خود تغییر داده و سپس در پایان کار نیز به محل اولیه X1:X2 باز گردیم. اما این نکته قابل ذکر است که بدلیل پیچیدگی ساختار فایل­های EXE، آلوده­سازی اینگونه فایل­ها از فایل های COM مشکلتر است. دلایل خراب شدن فایل­های اجرایی همانطور که توضیح داده شد، به هنگام آلوده سازی فایل­های اجرایی ممکن است، در محاسبه تغییر آدرس­ها اشتباهاتی صورت گیرد و یا یک فایل اجرایی چندین بار آلوده گردد و در جریان چنین اعمالی نیز امکان دارد سیستم روال اجرایی عادی خود را ازدست داده و داخل یک حلقه بی­نهایت قرار گیرد و یا به مکانی از حافظه پرش کند که هیچگونه دستور العملی وجودندارد و سرانجام باعث HANG کردن یا قفل کردن کامپیوتر می­شود که گاهی اوقات بعضی از ویروس­ها به هنگام آلوده­سازی دچار این مشکل شده و احتمالا با این مسئله برخورد کرده­اید که به هنگام آلوده بودن کامپیوترتان سیستم بدلیل نامشخصی قفل می کند.

 v    ویروس های چند بخشی:

این ویروس ها دارای خصوصیات هر سه دسته از ویروس های بالا هستند یعنی هم بوت سکتور وپارتیشن تیبل را آلوده می کنند وهم فایلهای اجرایی را آلوده می کنند. در حال حاضر بیشتر ویروس از این نوع هستند زیرا هم از طریق دیسک وهم از طریق اینترنت منتشر می شوند.

مثل ویروس "ناتاس"که هم فایل های با پسوند، OVL، EXE، COM، SYSو. . . را آلوده می کند وهم بوت سکتور وپارتیشن تیبل را.

v    ویروس های مقیم در حافظه:

این ویروس ها در حافظه قرار گرفته وکنترل سیستم عامل را در دست می گیرند. آنها روی عملیات ورودی-خروجی فایل  های اجرایی ومفسرهای فرمان و. . . . . اثر گذاشته وباعث اختلال در کار سیستم می شوند.

این ویروس ها با خاموش کردن کامپیوتر از حافظه پاک می شوند ولی اگر منشاء ورود آنها به سیستم از بین نرود با روشن شدن دوباره ممکن است به حافظه وارد شوند.

انواع هکر

هکرهای کلاه‌سفید

هکرهای کلاه سفید به آن دسته از هکرها گفته می‌شود که کارهای مفیدی انجام می‌دهند، نفوذ می‌کنند اما بدون نیت بد. دلیل کار آن‌ها معمولاً بررسی امنیت سیستم‌ها است - چیزی که در جامعه امنیت کامپیوتری به آن تست نفوذ می‌گویند. این افراد ممکن است با شرکت‌ها قراردادی برای کشف نقاط ضعف سیستم آن‌ها ببندند و تلاش کنند تا با رعایت کلیه اصول هک اخلاقی به سیستم آن‌ها نفوذ کنند. هدفشان نشان دادن ضعف سیستم‌های امنیتی شبکه‌های کامپیوتری می‌باشند این گروه به نام هکرهای خوب معروف هستند. این دسته نه تنها مضر نیستند بلکه در تحکیم دیواره حفاظتی شبکه‌ها نقش اساسی دارند کلاه سفیدها داری خلاقیت عجیبی هستند معمولاً هر بار با روش جدیدی از دیواره امنیتی عبور می‌کنند. مثل یافتن نقص در سیستم امنیتی و جلوگیری از ورود رخنه‌گرهای کلاه سیاه. معمولاً تمامی گروه‌های هکری کلاه سفید در اکثر کشورها به صورت آزادانه فعالیت دارند و تقریباً قانونی هستند. از هکرهای کلاه سفید ایرانی می‌توان به هکرهای جنبش مدثر، هکرهای آشیانه و رنجر هکر و تیم‌های دیگری اشاره کرد

هکرهای کلاه سیاه

هکر کلاه سیاه در مقابل هکر کلاه سفید قرار دارد و کسی است که برای سود شخصی یا نیت‌های غیراخلاقی دست به نفوذ به سیستم‌ها می‌زند و کارهای مخرب می‌کنند و سایت‌ها را تخریب کرده یا اطلاعاتی را می‌دزدند و بنابر قوانین جرایم رایانه‌ای مجرم شناخته می‌شوند. این همان شخصیتی است که معمولاً در فیلم‌های هالیوودی و رسانه‌ها از هکر به نمایش گذاشته می‌شود. معمولاً بخش بزرگی از این نفوذ وابسته به اشتباهات انسانی کاربران است. مثلاً انتخاب سال تولد یا شماره تلفن به عنوان پسورد دعوت یک هکر کلاه سیاه است به نفوذ به یک سیستم. دوران طلایی این هکرها دهه هشتاد میلادی بود که سیستم‌های کامپیوتری تازه در حال گسترش بودند اما امروزه اقتصاددان‌ها تخمین می‌زنند دیگر کسی نمی‌تواند از این راه دارای درآمد قابل قبولی باشد و با پیشرفت سیستم‌های امنیتی، دیر یا زود این افراد دستگیر و دچار مشکلات جدی خواهند شد. نام دیگر این گروه Cracker است. کراکرها خرابکارترین نوع هکرها هستند. این گروه به طور کاملاً پنهانی دست به عملیات خراب کارانه می‌زنند. کلاه سیاه‌ها اولین چیزی که به فکرشان می‌رسد نفوذ به سیستم قربانی است کلاه سیاه‌ها همه ویروس نویسند و با ارسال ویروس نوشته شده خود بر روی سیستم قربانی به آن سیستم نفوذ پیدا می‌کند در واقع یک جاسوس بر روی سیستم قربانی می‌فرستند. همیشه هویت اصلی این گروه پنهان است.

هکرهای کلاه‌خاکستری

خاکستری ترکیبی است از سیاه و سفید. یک هکر کلاه خاکستری معمولاً چیزی بینابین هکرهای کلاه سیاه و کلاه سفید است. هدف هکرهای کلاه خاکستری استفاده از اطلاعات سایر کامپیوترها به هرمقصودی است ولی صدمه‌ای به کامپیوتر وارد نمی‌کند. نام دیگر این گروه Whacker می‌باشدهدف اصلی واکر استفاده از اطلاعات سایر کامپیوترها به مقصود مختلف می‌باشد. برخی از آن‌ها در اینترنت چرخ می‌زنند و وضعیت امنیتی سایت‌ها و سرورهایی که به آن می‌رسند را چک می‌کنند اما فقط به نیت یادگرفتن چیزهای جدید یا کنجکاوی‌های فنی. این افراد گاهی با کشف یک مشکل، آن را به مدیران سیستم مورد بررسی اطلاع می‌دهند و حتی گاهی پیشنهاد همکاری برای حل مشکل را نیز با این گزارش همراه می‌کنند. این گروه کدهای ورود به سیستم‌های امنیتی را پیدا کرده و به داخل آن نفوذ می‌کنند اما سرقت و خراب کاری جز کارهای کلاه خاکستری نیست. بلکه اطلاعات را در اختیار عموم مردم قرار می‌دهند.

هکرهای کلاه صورتی

نام دیگر این گروه Booter می‌باشد. هکرهای کلاه صورتی سواد برنامه‌نویسی ندارند وفقط به منظور جلب توجه دیگران و با نرم‌افزارهای دیگران دست به هک کردن می‌زنند. در جامعه هکرها تعداد این نوع هکرها زیاد است.

هکر نخبه

هکر نخبه یا الیت، هکری است که در بین هکرهای دیگر اعتبار اجتماعی بالایی دارد. این فرد معمولاً مشکلات امنیتی تا به امروز ناشناخته را کشف می‌کند و با گزارش آن‌ها ثابت می‌کند که واقعاً به چیزی دست پیدا کرده که پیش از این ناشناخته بوده. آپدیت‌های سیستم‌عامل‌ها معمولاً محصول کشف و گزارش مشکلات توسط این هکرها هستند. بزرگ‌ترین گروه‌ها ازین دسته می‌توان به گروه اررور و بلک روتر و لیبرو و اسلایرز و سایبر هتز اشاره نمود این چند تیم در حدود ۲۵۰۰ مشکل در فرایند سیستم‌ها و امنیت سایت‌ها را کشف کرده‌اند.

بچه اسکریپتی

در مقابل یک هکر واقعی، بچه اسکریپتی کسی است که با دانلود و اجرای برنامه‌ها و اسکریپت‌هایی که افراد باسواد نوشته‌اند سایت‌های با امنیت ضعیف و دارای مشکلات ایمنی شناخته شده را پیدا کرده و به آن‌ها نفوذ می‌کند. این بچه‌ها معمولاً سواد چندانی ندارند اما دوست دارند هکر به نظر برسند. خطر اصلی که این افراد را تهدید می‌کند «جلو افتادن از خود» است. آن‌ها می‌توانند صفحه اول یک سایت مشهور که سرورهایش را به روز نکرده را با اجرای یک برنامه یا پیروی از چند راهنمای اینترنتی که در دسترس همه هستند عوض کنند و با اینکار در اطرافیان این احساس را به وجود بیاورند که آدم با سوادی هستند و در نتیجه دیگر هیچ وقت فرصت یا جرات پیدا نکنند که مفاهیم شبکه و کامپیوتر و سیستم عامل و ایمنی را از مرحله مقدماتی یاد بگیرند. سر و صدای این آدم‌ها معمولاً بیشتر از سوادشان است.

نوب

نوب یا نیوبی یا n00b کسی است که تجربه‌ای در هک ندارد. یک نوب ممکن است به سمت بچه اسکریپتی شدن سوق پیدا کند و هیچ وقت از هک چیزی نفهمد یا ممکن است با برخورد به جامعه‌ای خوب، شروع به یادگیری مفاهیم از پایه بکند و بعد از مدتی به یک هکر واقعی و حتی یک هکر نخبه تبدیل شود.

هکر کلاه آبی

هکر کلاه آبی کسی است که خارج از یک شرکت مشاوره ایمنی، در نرم‌افزارها به دنبال باگ‌های امنیتی می‌گردد و آن‌ها را گزارش می‌کند. معمولاً شرکت‌ها برنامه‌هایی را که نوشته‌اند برای مدتی در اختیار این افراد می‌گذارند تا مشکلات احتمالی امنیتی آن قبل از عرضه به بازار کشف و حل شود.

هکر کیست؟

رخنه یا حک یعنی استفاده از یک روش سریع و هوشمندانه برای حل مشکلی تکنیکی و غلبه بر محدودیت‌ها و در واقع به معنای کنکاش به منظور کشف حقایق و نحوهٔ کار یک سیستم است، و رخنه‌گر یا هکر به کسی اطلاق می‌شود که توانایی چنین کاری را دارد. وارد شدن به سیستم و یا شکست دادن محاسبات، کنجکاوی در اطلاعات محرمانه از خصوصیات یک هکر است. هکر یک برنامه‌نویس کنجکاو است که صدمه‌ای وارد نمی‌کند و حتی باعث تحکیم انتقالات می‌شود. امروزه رخنه‌گر بیشتر در زمینه رایانه به کار می‌رود و برای اشاره به چندین گروه از کاربران رایانه استفاده می‌گردد. ویژگی مشترک این گروه‌ها در استفادهٔ آن‌ها از رایانه و امکانات آن در سطحی بالاتر از سطح عمومی و پشتوانه توانمند تکنیکی آن‌هاست و دو دسته‌اند:

1. متخصصان امنیت رایانه که توانایی ورود به سیستم‌های رایانه‌ای و دردست گرفتن کنترل آنان را دارند.
2. کاربران خانگی که علاقه‌مند به تغییر دادن عمده نرم‌افزار و سخت‌افزار رایانه‌شان هستند تا بتوانند عملکرد آن را بهبود ببخشند و یا قابلیت‌های جدید و پیش‌بینی‌نشده‌ای به آن بیفزایند.

اگرچه امروزه واژهٔ رخنه کردن بیشتر برای اشاره به افراد گروه اول به کار می‌رود.

واژه هک در سال ۱۹۵۰، زمانی که هنوز رایانه و فرهنگ دیجیتال وجود نداشت، توسط گردانندگان سیستم‌های رادیویی آماتوری و در معنای تغییر برای رسیدن به عملکرد بهتر به کار گرفته شد.

با آغاز دوران دیجیتال و به ویژه عصر کامپیوتر واژه هکر نیز معنایی نویی گرفت و عموماً به یک خرده‌فرهنگ (جامعه‌ای با یک فرهنگ اشتراکی) متشکل از برنامه‌نویسان و مهندسان الکترونیک خبره‌ای اطلاق می‌گشت که با دادن راهکارهای نو، افق کار با رایانه را گسترش می‌دادند. اعضای این جامعه (هکرها) نقش بسزایی در بوجود آمدن و همه‌گیر شدن بسیاری از پدیده‌های دوران اینترنت داشتند. پدیده‌هایی چون سیستم‌عامل یونیکس، یوزنت، وب و جنبش نرم‌افزار آزاد.