گذری بر تاریخچه ویروس‌های کامپیوتری‌
 

 
اشاره :
قریب به بیست سال است که واژه <ویروس کامپیوتری> بر سر زبان‌هاست. این واژه بیانگر برنامه‌هایی است که به منظور خرابکاری به تکثیر خود می‌پردازند. ویروس‌ها در اوایل سال 1986 وارد جهان پی‌سی شدند و اولین آن‌ها Brain نام داشت (هر چند قبل از آن، این گونه برنامه‌ها در کامپیوترهای اپل دیده شده بودند). ویروس Brain، که به دست دو برنامه‌نویس به نام‌های Basit و Amjad ساخته شد، از نوع ویروس‌های boot بود. این ویروس‌ها، هنگامی فعال می‌شدند که کامپیوتر با یک فلاپی‌دیسک آلوده در درایوA: راه‌اندازی می‌شد (زمانی را به یاد آورید که فلاپی دیسک واقعاً فلاپی بود؛ یعنی انعطاف‌پذیری داشت. Brain (بعد از آلوده کردن کامپیوتر، سایر فلاپی‌هایی را که در درایو آن کامپیوتر گذاشته می‌شدند نیز آلوده می‌کرد. ویروس Brain، که به C) Brain) نیز معروف است، اولین ویروس <نهان> نیز بود؛ یعنی کاربر متوجه نمی‌شد دیسکت آلوده شده است. این ویروس خیلی سریع پخش نشد و خیلی هم زیان‌آور نبود، اما آغازگر دوره‌ای شد که در آن سایر ویروس‌ها، کرم‌ها و بدافزارها به طور فزاینده‌ای رشد کردند. از آن زمان تاکنون، ویروس‌های کامپیوتری دچار تغییر و تحول بسیاری شده‌اند. در این مقاله، روند رشد ویروس‌ها را طی این بیست سال مرور می‌کنیم.


منبع: اینفورمیشن ویک‌

در اواخر دهه 1980، ویروس‌های زیادی به تقلید از Brain، که راه را به خرابکاران نشان داده بود، پدیدار شدند. سیستم‌عامل داس مایکروسافت هم، که هیچ حفاظی نداشت، کار را آسان کرده بود. طولی نکشید که تعداد ویروس‌های کامپیوتری به صد عدد رسید (امروزه این تعداد نزدیک به سیصد هزار است).

ویروس یا کرم‌

منظور از <ویروس> در این مقاله هر برنامه‌ای است که به تکثیر خود می‌پردازد. اما به لحاظ فنی، ویروس از واسطه‌های ذخیره‌سازی کامپیوتر (نظیر هارددیسک، فلاپی‌دیسک، حافظه‌کارتی و...) برای انتقال خود استفاده می‌کند، ولی <کرم> واسطه‌های بیرونی، نظیر اتصال اینترنت یا سرور شبکه را برای انتقال به کار می‌گیرد.  به علاوه، ویروس برای انتشار خود به هر حال به مداخله کاربر محتاج است، اما کرم می‌تواند بدون کمک کاربر نیز منتشر شود.
همچنین اصطلاح <بدافزار> به هر نرم‌افزاری اطلاق می‌شود که با نیتی بدخواهانه تهیه شده باشد. از قبیل: ویروس، کرم، تروجان، جاسوس‌افزار، روتکیت، و ... .

ویروس Lehigh، که در سال 1987 در دانشگاه Lehigh پنسیلوانیا ساخته شد، اولین ویروسی بود که فایل‌های اجرایی، به طور مشخص فایل command.com، را هدف قرار می‌داد. اولین ویروسی که هم فایل‌های exe و com را آلوده ‌می‌کرد در سال 1987  ساخته شد که در تاریخی مشخص کد مخرب خود را فعال می‌کرد. پس از این ویروس، چند ویروس دیگر از همین نوع به وجود آمدند. ویروس Cascade (سال 1988) اولین ویروس رمزگذاری شده بود که به آسانی حذف نمی‌شد.

اولین کرمی که به طور گسترده در اینترنت پراکنده شد، Morris بود که رابرت تی موریس در سال 1988 آن را منتشر کرد. موریس در آن زمان دانشجوی دانشگاه Cornell بود و حالا استاد دانشگاه MIT است. موریس مدعی بود این کرم را صرفاً برای تمرین و با هدف محاسبه بزرگی اینترنت به وجود آورده است، اما نتیجه این شد که کرم مزبور فراتر از آن چه انتظار می‌رفت، پراکنده شد و بسیاری از کامپیوترها را در چند نوبت آلوده کرد. کامپیوترهایی که گرفتار این کرم می‌شدند (ماشین‌های یونیکسی)، به قدری کند می‌شدند که عملاً قابل استفاده نبودند.

با فعال شدن <کتابخانه‌های تولید ویروس> (موسوم به VLC) در سال‌های آغازین دهه 1990، جهان کامپیوتر شاهد ظهور اولین موج تولید انبوه ویروس‌های کامپیوتری شد. اعضای باشگاه‌های خرابکاری می‌توانستند کد ویروس‌ها را از این مراجع دریافت نمایند و با اندکی دستکاری، بدون نیاز به دانشی خاص یک ویروس تولید کنند. خوشبختانه،VLCها منجر به تولید ویروس‌هایی شدند (چون Kinison ،Donatello ،Earthday ،Genocide و Venom) که اشکالات فنی آن‌ها مانع از پخش شدنشان در سطح وسیع می‌شد.

تعدادی از ویروس‌های VLC از طبقه ویروس‌های <الحاقی> بودند؛ یعنی کد سرایت‌دهنده خود را به برنامه هدف الحاق می‌کردند. بعضی دیگر از طبقه <همراه> بودند. یعنی همراه با برنامه مورد هدف به اجرا درمی‌آمدند؛ بدون این که تغییری در برنامه ایجاد کنند. بعضی ویروس‌های دیگر هم سکتور بوت را تخریب می‌کردند و بعضی دیگر فایل‌های اجرایی را.

ویروس‌ها هوشمندتر می‌شوند
یکی از جالب‌ترین پیشرفت‌ها در ویروس <خوددگردیسی> (self-mutating) آن‌ها بود (که به <چندریختی> یاpolymorphic نیز معروف است). از آنجا که برنامه‌های ضدویروس برای پیدا کردن ویروس‌ها به دنبال قطعات کوچک و قابل شناسایی ویروس‌های شناخته شده می‌پردازند، ویروس‌های خوددگردیس سعی می‌کنند با تغییر الگوهای شناخته شده خود به هنگام تکثیر، مانع شناسایی توسط نرم‌افزارهای <ساده> ضدویروسی شوند. سیستمی که ویژگی خوددگردیسی را به ویروس‌ها می‌داد، بر اساس دو موتور DAME (سرنام Dark Avenger's Mutating Engine) و MtE (سرنام Mutating Engine) عمل می‌کردند، که در فاصله سال‌های 1991 و 1992 رواج داشتند.

برنامه‌نویسان نرم‌افزارهای ضد ویروس برای مقابله با این تهدیدات، کافی بود توجه داشته باشند که حتی کوچک‌ترین بخش کد ویروس می‌تواند شاخصه‌های موروثی یک ویروس را آشکار کند. با ظهور یک متدولوژی جدید ضد ویروسی به نام <برنامه مقلد> (emulator program)، شناسایی ویروس‌های خود دگردیس بسیار آسان شد.

برنامه مقلد طوری عمل می‌کند که گویی دارد یک برنامه را به اجرا در می‌آورد و بدین ترتیب ویروس را تحریک می‌کند، اما در عمل گوش به زنگ است تا ببیند ویروس چه عملی انجام می‌دهد و کد آن را در <گودالی> می‌ریزد که فقط در حافظه وجود دارد. بنابراین، ویروسِ مخفی شده آشکار می‌شود؛ بدون این که کد آن واقعاً به اجرا درآید.

و بدین ترتیب رقابتی میان دو طیف ویروس‌سازان و ضدویروس‌سازان آغاز شد. هر حرکت ویروس‌سازان با عکس‌العمل جامعه ضدویروس خنثی می‌شد. نتیجتاً ویروس‌سازان تصمیم می‌گرفتند دفعه بعد هوشمندانه‌تر عمل کنند و این یعنی پیچیده‌تر شدن ویروس‌ها. و هر چه پیچیده‌تر، پراشکال‌تر و شکننده‌تر.

 

اولین ویروسی که توجه عموم مردم را برانگیخت، در سال 1992 جهان کامپیوتر را مورد هدف قرار داد. این ویروس خوفناک، Michelangelo (میکل‌آنژ) نام داشت و طوری تنظیم شده بود که در ششم مارس هر سال (روز تولد این نقاش دوره رنسانس) فعال می‌شد. ویروس در سطح وسیع پراکنده ‌شد و در مسیر خود هر کامپیوتری را که می‌دید، هارد دیسکش را پاک می‌کرد.

وسعت پراکندگی ویروس بسیار زیاد بود، اما کوچک‌تر از آن چیزی شد که انتظار می‌رفت. به اعتقاد برخی کارشناسان، سر و صدایی که رسانه‌ها بر سر این ویروس به پا کردند باعث شد که بسیاری از سازمان‌ها از هر طریقی که می‌توانند جلوی ویروس را بگیرند و مانع از گسترش آن شوند.

گذشته از این، (میکلآنژ) اولین ویروسی بود که توانست بر مشکل فرمت‌های چندگانه فلاپی دیسک‌ها فائق آید. قبل از میکلآنژ، ویروس‌ها می‌توانستند فقط دیسکی را آلوده کنند که فرمت آن همان فرمتی باشد که سورس ویروس روی آن نوشته شده بود (یعنی 360K ،720K یا بقیه فرمت‌ها). آلوده کردن فلاپی با هر فرمت در واقع ترفند تازه‌ای بود که میکلآنژ به بقیه نشان داد.

وقتی نسل فلاپی‌دیسک‌ها کم‌کم رو به زوال نهاد، ویروس‌هایی که برای انتقال خود از این واسطه استفاده می‌کردند نیز منسوخ شدند. در عوض، اینترنت به رسانه انتقال ویروس تبدیل شد؛ اینترنتی که فراگیر شده بود و هر کس با یک مودم می‌توانست به آن دسترسی داشته باشد.

شوخی‌های ویروسی‌

زمانی که گسترش ویروس‌ها به حدی رسید که عموم مردم نسبت به آن‌ها حساس شدند، برخی از کاربران شرور، این حساسیت مردم را دستاویزی قرار دادند برای شوخی با مردم و ایجاد مزاحمت. این افراد، ایمیل‌هایی را می‌فرستادند که نسبت به خطرات ویروسی هشدار می‌داد که اساساً وجود نداشت. یکی از مشهورترین این شوخی‌ها، Good Times بود که بخشی از متن آن از این قرار بود: <ویروسی در شبکه AOL وجود دارد که از طریق ایمیل منتقل می‌شود. اگر نامه‌ای با عنوان Good Times دریافت کردید، به هیچ وجه آن را باز نکنید. این نامه حاوی ویروسی است که هارد دیسک شما را پاک خواهد کرد.> در انتهای ایمیل هم آمده بود که <این ایمیل را برای تمام دوستان خود بفرستید. ممکن است خیلی به درد آن‌ها بخورد.>

شوخی Good Times و نسخه‌های تغییر یافته آن، اولین بار در نوامبر 1994 دیده شد و پس از آن سال‌ها دست به دست چرخید تا نسبت به خطری هشدار دهد که اصلاً وجود ندارد. اواسط دهه 1990 بود که به نظر می‌رسید ایمیل‌ها یکی در میان، هشدارهای غلطی هستند که دوستان برای یکدیگر می‌فرستند و بدین ترتیب، مزاحمتی که هشدار ویروس‌ها ایجاد کرده بود، از مزاحمت خود ویروس‌ها بیشتر شد.

در راستای بی‌اعتبار کردن شوخی‌های ویروسی، شوخی ایمیلی دیگری به نام Bad Times ساخته شد که در واقع نقیض Good Times بود. در این شوخی ذکر شده بود که ویروسی به نام Bad Times به وجود آمده که هر اطلاعاتی تا شعاع نیم متری کامپیوتر شما را از بین می‌برد، تمام نوشیدنی‌های شما را می‌خورد، در توالت را باز می‌گذارد؛ یعنی چیزی که هیچ کس باور نمی‌کند و در واقع این شوخی‌ها را به مضحکه می‌کشاند. اما ظاهراً باز هم یک عده از کاربران هنوز متوجه موضوع نشده‌اند و این ایمیل‌ها را برای دوستان خود می‌فرستند.


حتی یک کاربر نسبتاً ناوارد کامپیوتر هم به ایستگاه‌های اینترنتی چون AOL ،CompuServe ،MSN و Genieدسترسی داشت، که سرویس‌های ایمیل و دانلود هر کدام، خطرات و پیشامدهای خاص خود را داشتند. هیچ یک از این سرویس‌ها در ابتدا معیاری جهت بررسی ویروس یا اسکن فایل نداشتند و در نتیجه دانلود کردن نرم‌افزار از آن‌ها خطرآفرین بود.

در حدود سال 1995 ویروس‌های ماکرو ظهور کردند که از قابلیت‌های برنامه‌نویسی نهفته در نرم‌افزارهای گوناگونی چون Lotus 1-2-3 و Microsoft Word بهره می‌گرفتند. یکی از شایع‌ترین ویروس‌های ماکرو در آن زمان ویروس سادهConcept بود. این ویروس، تمام ماکروهای تعریف شده در فایل را حذف و بعضی از منوهای Word را غیرفعال می‌کرد و غیر از این، آسیب دیگری نمی‌رساند. ویروس Concept در فاصله سال‌های 1995 تا 1997 بسیار شایع بود.

بدتر این که بسیاری از ویروس‌های جدید با بهره گرفتن از قابلیت‌های ایمیل و SMTP در سیستم‌های ویندوزی، فایل‌های آلوده را به صورت انبوه برای افرادی می‌فرستادند که آدرس آن‌ها در برنامه‌های رایجی چون Microsoft Outlook فهرست شده بود.

 

اواخر دهه 1999 بود که جهان کامپیوتر هدیه قرن را گرفت؛ Melissa ترکیبی از ویروس ماکرو و کرم. یکی از آسیب‌های این ویروس این بود که نقل قول‌هایی را از مجموعه کارتونی تلویزیونی <خانواده سیمپسون> در اسناد Word درج می‌کرد. اما آنچه واقعاً مخرب بود، نحوه انتشار ویروس بود. Melissa سند آلوده شده را به صورت یک فایل ضمیمه برای پنجاه نفر از افراد موجود در دفترچه آدرس‌های آوت‌لوک ایمیل می‌کرد.

شیوع این ویروس از تمام ویروس‌های دیگر تا آن زمان سریع‌تر رخ داد و در حدود یک میلیون کامپیوتر را آلوده کرد. جامعه ضدویروس‌ها در وهله اول آمادگی مقابله با چنین تهدید سریع‌الرشدی را نداشت، اما خیلی زود راه‌حل‌هایی را برای آن پیدا کرد. Melissa در واقع یک زنگ خطر بود.

در دهه حاضر، شاهد ظهور کرم‌های پیشرفته و سریعی بوده‌ایم که I LOVE YOU (سال 2000)، Nimda (سال 2001)، Code Red (سال 2001)، MyDoom (سال 2004)، و Sasser (سال 2004) چند مورد از آن‌ها هستند.

یکی از کرم‌هایی که ظهور آن نهایتاً به نفع کاربران تمام شد، SQL Slammer (معروف به Sapphire) بود که در سال 2003 شایع شد. این کرم، با یافتن حفره‌های امنیتی در کامپیوترهایی که از SQL Server یا
SQL Server Desktop Engine استفاده می‌کردند، تعداد عظیمی از کامپیوترها را در مدتی بسیار کوتاه آلوده کرد (75 هزار کامپیوتر در عرض ده دقیقه) و هزاران کامپیوتر را در سراسر اینترنت از کار انداخت یا کند کرد. به گزارش مایکروسافت، گسترش این کرم باعث شد که کاربران بیشتری اهمیت بروز نگهداشتن سیستم‌ها را درک کنند.

گناهکار اصلی: هرزنامه‌ها

امروزه بیشتر تخلفات از وب‌سایت‌های کلاهبردار و سرویس‌های اشتراک فایل سر می‌زنند، اما اکثر بدافزارها هنوز هم از طریق ایمیل منتشر می‌شوند. ایمیل‌هایی که بدون تقاضای کاربر وارد صندوق پستی وی می‌شوند. به این ایمیل‌ها <هرزنامه> می‌گویند. کاربران شرکت‌ها به خاطر تمهیداتی که بخش IT شرکت اندیشیده است، معمولاً از شر این هرزنامه‌ها در امانند، اما کاربران خانگی باید از نرم‌افزارهای ضدهرزنامه استفاده کنند. با این وجود، هیچ نرم‌افزاری نیست که بتواند تمام هرزنامه‌ها را فیلتر کند و باید خود کاربر هوشیاری به خرج دهد. بهترین راه همان چیزی است که مادر گفته است: <از غریبه‌ها چیزی نگیر.>

اما رقابت میان ویروس‌سازان و ویروس‌ستیزان ادامه پیدا کرد. هر چه ویروس‌ها پیچیده‌تر، مجهزتر و نهان‌تر می‌شدند، ویروس‌یاب‌های پیشرفته‌تر بیشتری به مقابله با آن‌ها برمی‌خاستند. با این حال، تمام ویروس‌ها را نمی‌توان از برنامه آلوده شده زدود، و گاهی فقط نصب مجدد برنامه یا حتی سیستم عامل باعث از بین رفتن ویروس می‌شود.

امروزه، فقط ویروس و کرم نیستند که سیستم‌های کامپیوتری را تهدید می‌کنند، بلکه تهدیدات دیگری هم وجود دارند که مهم‌ترین آن‌ها عبارتند از:

Trojan: برنامه‌هایی که ظاهراً قانونی فعالیت می‌کنند، اما در عمل به خرابکاری می‌پردازند؛ مثلاً راه را برای دسترسی یک کاربر از راه دور باز می‌کنند. این بدافزار نامش را از افسانه یونانی اسب تروا گرفته است.

 Bot: برنامه‌های کوچکی در کامپیوترهای آلوده به تروجان که با نفوذگر (کسی که تروجان را فرستاده) ارتباط برقرار می‌کنند و به وی گزارش می‌دهند. این برنامه‌ها غالباً به جست‌وجوی آسیب‌پذیری‌های سایر کامپیوترهای موجود در شبکه می‌پردازند. شبکه‌ای عظیم از کامپیوترهایی که به Bot آلوده شده‌اند، botnet نامیده می‌شود. مالکان این کامپیوترهای اشغال شده (که به زامبی نیز موسومند) غالباً خبر ندارند که کامپیوترشان به دست کاربری دیگر از راه دور کنترل می‌شود و مورد سوء استفاده قرار می‌گیرد.

DDoS: (سرنام عبارت Distributed Denial of Service): حملاتی که از سوی هزاران کامپیوتر (غالباً در یک botnet)به یک کامپیوتر مشخص یا دامنه به طور همزمان صورت می‌گیرد تا آن را از پا در بیاورند. به عنوان مثال، دامنهMicrosoft.com پیوسته آماج حملات DDoS قرار می‌گیرد.

Spyware: نرم‌افزاری که به طریقی، جاسوسی کاربر را می‌کند؛ مثلاً عادت‌های گشت‌زنی وی را در وب گیر می‌آورد یا هر کلیدی را که کاربر روی صفحه کلید حرکت می‌دهد (مثلاً هنگام زدن رمزعبور) برای خود ثبت می‌کند.

Rootkit: جاسوس‌افزار یا هر بدافزار دیگری که به محض اجرا سعی می‌کند با اختیارات administrator به کامپیوتر دسترسی پیدا کند. در سیستم‌های یونیکسی، چنین اختیاراتی را فقط به کاربری به نام root می‌دهند.

دانلودهای مخرب: دانلودهای ظاهراً بی‌خطری که به محض اجرا به نوعی بدافزار تبدیل می‌شوند. برخلاف تروجان‌ها که معمولاً مدتی بی‌خبر از کاربر پشت یک برنامه به فعالیت‌های خود مشغولند، دانلودهای مخرب معمولاً نیت مخرب خود را به عمل می‌رسانند؛ مثلاً چیزی را دانلود کرده‌اید که وانمود می‌کرده است به جست‌وجوی ویروس در کامپیوترتان می‌پردازد، اما بلافاصله هارددیسکتان را فرمت می‌کند.

دانلودهای تحمیلی: جاسوس‌افزار یا هر بدافزار دیگری که برای نصب در کامپیوتر نیازی به اجازه کاربر ندارد. به عبارت دیگر، هر کس ممکن است با سر زدن به برخی سایت‌های وب، بدون این که خودش بداند چنین برنامه‌هایی را در سیستم خود نصب کرده باشد.

Phishing: حقه‌هایی برای ربودن اطلاعات خصوصی کاربران. مثلاً ایمیلی برای کاربر میآید که ظاهری کاملاً رسمی و محترمانه دارد و از او می‌خواهد به سایتی برود که آن هم ظاهراً رسمی است، اما واقعاً جعلی است و کاربر با وارد کردن رمز عبور یا شماره کارت اعتباری، اطلاعات محرمانه خود را به جاعل سایت می‌دهد.

البته این فهرست پایانی ندارد. مسئله این است که منبع تمام این <پلیدافزارها> خلافکاران سازمان‌یافته‌ای هستند که روی ویروس‌نویسان را سفید کرده‌اند! هر چه باشد، ویروس‌نویسی در زمان خود پایبند اخلاقیاتی بود و کسی که ویروس می‌نوشت، صرفاً می‌خواست دانش و خبرگی خود را به رخ بکشد. اما حالا همه چیز ختم می‌شود به تخریب سیستم، دزدی پول و اطلاعات، و حتی زورگیری.