آشنایی با انواع ویروس های کامپیوتری

آشنایی با انواع ویروس های کامپیوتری

برای یک کارشناس امنیت، آشنایی با انواع ویروس‌های کامپیوتری (Computer Viruses) از ضروری‌ترین مهارت‌ها محسوب می‌شود. در حوزه‌ی امنیت اطلاعات، به‌ویژه در بخش مربوط به بدافزارها  (Malware)، یک کارشناس حرفه ای باید بتواند گونه‌های مختلف ویروس‌ها، شیوه‌ی عملکرد و نحوه‌ی حمله‌ی آن‌ها را به‌خوبی بشناسد.
اگرچه وظیفه‌ی اصلی او مقابله‌ی مستقیم با ویروس‌ها نیست، اما این آگاهی به او کمک می‌کند تا در شناسایی کدهای مخرب، تهیه‌ی گزارش‌های دقیق و ارائه‌ی راهکارهای مؤثر برای جلوگیری از انتشار آن‌ها نقش مهمی ایفا کند.

پس از مطالعه این مقاله، می‌توانید به محض مواجهه با انواع ویروس ها شیوه‌ی عملکرد آنها را نیز به‌راحتی به خاطر آورید.
به‌طور کلی، ویروس‌های کامپیوتری در دسته‌های زیر طبقه‌بندی می‌شوند:

1. Polymorphic Virus

این نوع ویروس‌ها به‌صورت رمزنگاری‌شده (Encrypted) عمل می‌کنند؛ برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، کد خود را مرتباً رمزنگاری و پنهان می‌کنند. پس از آنکه آنتی‌ویروس از روی فایل عبور کرد، ویروس کد خود را رمزگشایی نموده و فرایند تکثیر و گسترش در سیستم هدف را آغاز می‌کند، و به این شیوه از کشف شدن توسط آنتی‌ویروس مصون می‌ماند. نکته قابل توجه دربارهٔ این دسته ویروس‌ها آن است که هرگاه توسط آنتی‌ویروس شناسایی شوند یا کاری انجام دهند که باعث جلب توجه آنتی‌ویروس شود، فوراً الگوریتم رمزنگاری خود را تغییر می‌دهند؛ بنابراین با هر بار شناسایی، نسخه‌ای با الگوریتم متفاوت پدید می‌آید که شناسایی آن‌ها را برای نرم‌افزارهای آنتی‌ویروس بسیار دشوار می‌سازد.

2. Slow Virus

از آنجا که این نوع ویروس‌ها تنها زمانی اقدام به آلوده‌سازی می‌کنند که فایل‌ها در حال کپی شدن، جابه‌جایی یا تغییر باشند، شناسایی آن‌ها برای نرم‌افزارهای آنتی‌ویروس کار دشواری است؛ به همین دلیل، فایل اصلی معمولاً آلوده نمی‌شود. مؤثرترین راه برای شناسایی و پیشگیری از آلودگی به این نوع ویروس‌ها، استفاده از نرم‌افزارهای بررسی‌کنندهٔ یکپارچگی سیستم یاSIV (System Integrity Checker)  است.

3. Stealth Virus

این نوع ویروس‌ها برای فرار از شناسایی آنتی‌ویروس، به محض اینکه آنتی‌ویروس به فایل هدف نزدیک می‌شود، تغییرات خود را از روی فایل‌های سیستمی و نرم‌افزاری پاک می‌کنند تا آن فایل ظاهراً همان فایل اصلی برنامه جلوه کند؛ بدین‌ ترتیب آنتی‌ویروس از حذف آن صرف‌نظر می‌کند و پس از پایان اسکن دوباره فایل را آلوده می‌کنند. آنتی‌ویروس‌های حرفه‌ای معمولاً با مشاهدهٔ رفتار این ویروس‌ها پی به وجود آن‌ها می‌برند، زیرا هنگام فراخوانی آنتی‌ویروس این بدافزارها تلاش می‌کنند خود را در حافظهٔ رم مخفی کنند.

4. Armored Virus

این بدافزارها با جعل موقعیت خود در حافظه، محیط اجرای واقعی را از آنتی‌ویروس پنهان می‌کنند؛ نتیجهٔ این رفتار، سختی قابل‌ ملاحظه در فرایند شناسایی و دی‌اسمبل کردن آن‌ها توسط ابزارهای تحلیل است.

5. Companion Virus

این‌ نوع ویروس‌های فایلی معمولاً نسخه‌هایی با نام مشابه یا نزدیک به نام فایل اصلی می‌سازند؛ سپس هنگام اجرای فایل اصلی، نسخه‌های جعلی هم اجرا می‌شوند. برای مثال اگر فایل Scandisk.exe در سیستم آلوده شود، ویروس ممکن است کنار آن فایل‌های Scandisk.com و Scandisk.bat را ایجاد کند؛ با فراخوانی Scandisk.exe، این فایل‌های آلوده نیز هم‌زمان اجرا خواهند شد.

6. Revisiting Virus

این نوع ویروس در واقع رفتاری مشابه کرم‌های اینترنتی (Worm) دارد و از طریق پروتکل TCP/IP گسترش می‌یابد. این بدافزار با قرار دادن خود در حافظهٔ سیستم‌ها و بهره‌گیری از این پروتکل، به‌سرعت در شبکه منتشر می‌شود.

7. Phage Virus

از خطرناک‌ترین نمونه‌ها محسوب می‌شود؛ زیرا علاوه بر آلوده‌کردن و الصاق به فایل، کد مخرب خود را جایگزین بخش‌هایی از کد اجرایی فایل می‌کند. بنابراین هرگاه یک برنامه توسط چنین ویروسی آلوده شود، معمولاً هدف آن تخریب یا از کار انداختن کامل نرم‌افزار است.

8. Multiparty Virus

هدف حمله ی این ویروسها بوت سکتور (Boot Sector) و فایلهای اجرایی به صورت همزمان می باشد.

9.  Retro Virus

این دسته از ویروس‌ها به‌طور مستقیم به نرم‌افزاری که قرار است آن‌ها را حذف کند حمله می‌کنند. آن‌ها ابتدا پایگاه‌دادهٔ آنتی‌ویروس—که شامل امضاها و اطلاعات شناسایی بدافزارهاست—را هدف قرار داده و با حذف یا دستکاری این اطلاعات، توان شناسایی آنتی‌ویروس را از بین می‌برند و عملاً عملکرد آن را مختل می‌سازند. در موارد دیگر نیز تلاش می‌کنند خودِ برنامهٔ آنتی‌ویروس را تغییر دهند یا با ایجاد مانع و اخلال، روند شناسایی و حذف ویروس‌ها را با مشکل مواجه کنند.