علیرضا عابدینی
کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

معرفی 15 روش آلوده شدن فایل به بدافزار

بسیاری از ویروس ها، فایل های موجود در سیستم را آلوده می کنند به این صورت که کد خود را در محل شروع برنامه گذاشته تا اول ویروس اجرا شده و در نهایت برنامه اصلی اجرا گردد.انواع آلودگی که ویروس ها برای آلوده سازی فایل میزبان بکار می گیرند به یکی از روشهای زیر می تواند باشد:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. ویروس های جانویس : ساده ترین و بدترین نوع که بسیار مخرب هستند . این نوع ویروس ها خود را روی ابتدای فایل میزبان مقرار می دهند و داده های اصلی فایل را از بین می برند و بعبارتی این نوع ویروس، فقط خودشان را اجرا می کنند و فایل میزبان را اجرا نمی کنند و به علت اینکه حجم فایل میزبان تغییر نمی کند، تشخیص ویروسی شدن راحت نیست.
  2. ویروس جانویس تصادفی : این نوع ویروس بجای اینکه خود را در ابتدای فایل جانویسی کند، یک آدرس تصادفی ایجاد کرده و خود را در آنجا قرار می داد و در این حالت امکان اینکه ویروس به درستی کار نکند وجود دارد، ویروس یاب ها در این وضعیت برای پاکسازی تنها باید فایل میزبان را بطور کامل پاک کنند.(ویروس omud)
  3. ویروس ته نویس(پرش دار) : این نوع ویروس ها خود را به انتهای فایل میزبان چسبانده (اکثر ویروس ها) و مراحل کار به این ترتیب است که نخست در ابتدای فایل یک پرش به انتهای فایل که کد ویروس است ایجاد کرده و بعد از اجرای خود ، پرش به ابتدای فایل که اجرای خود فایل میزبان است فراهم می کند.(انجام کار در حافظه و نه در فایل)
  4. ویروس های سرنویس : در این نوع ویروس، سرعت آلوده سازی پایین بوده و مراحل کار به این صورت است که ابتدا کل فایل توسط ویروس خوانده شده و در یک مکان موقت در حافظه ذخیره می گردد، سپس ویروس را در ابتدای فایل نوشته و پس از آن نیز فایل میزبان را که در حافظه نوشته ایم در انتهای ویروس وارد کرده.(ویروس های نوشته شده به زبان c یا پاسکال یا دلفی از این روش استفاده کرده)
  5. ویروس های انگلی : ابتدا ویروس به اندازه خود از ابتدای فایل میزبان را خوانده و در انتهای همان فایل اضافه می کندو پس از آن خود را روی ابتدای فایل رونویسی می کند.لذا ابتدا ویروس اجرا می شود.
  6. ویروس های میان نویس : این نوع ویروس خود را نه در ابتدا و نه در انتهای فایل میزبان قرار می دهد بلکه در قسمت های میانی جانویسی می کند.
  7. ویروس های میان نویس انگلی : مانند ویروس میان نویس، ویروس خود را در قسمت میانی قرار داده با این تفاوت که ابتدا یک نقطه بین عدد 3 و "طول ویروس-طول فایل" به تصادف پیدا کرده و سپس از آن قسمت به اندازه حجم ویروس برداشته و در انتهای فایل میزبان قرار می دهد و سپس خود را بر روی آن قسمتی که حالا یک کپی از آن در انتهای فایل قرار گرفته، رونویسی می کند. در این روش برای اینکه فایل میزبان اجرا شود، باید یک روتین که وظیفه انتقال کپی تکه رونویسی شده از انتهای فایل به سر جای اولش و دادن کنترل به ابتدای برنامه در حافظه را دارد، در قسمت خالی از حافظه قرار گیرد و بعد از اینکه ویروس عملیات خود را انجام داد، کنترل را به روتین بدهد تا اعمال فوق را انجام دهد.
  8.  ویروس پرش دار : در این روش ویروس خود را در انتهای فایل اضافه می کند ولی برای پرش به ابتدای فایل میزبان بجای دستور jump در ابتدای ویروس بدنبال دستور jmp در خود فایل میزبان می گردد.
  9. ویروس های حفار : این ویروس ابتدا شروع به پیدا کردن جای خالی در فایل میزبان می گردد و در صورت پیدا کردن مکان مناسب و هم اندازه خود، کد خود را در آنجا قرار داده.
  10. ویروس های چند حفره ای : این ویروس از چند حفره در فایل میزبان استفاده می کند و با تغییر محل شروع برنامه و پرش به حفره های مختلف سعی در منحرف کردن ضد ویروس ها دارد.
  11. ویروس های فشرده : این ویروس ها علاوه بر آلودگی، سایز فایل میزبان را کوچکتر از اندازه فعلی می کنند و فایل اصلی همراه با آلودگی فشرده می شود و اول ویروس اجرا و عمل آلودگی را انجام داده و میزبان به حالت غیر فشرده در آورده و کنترل را در اختیار آن قرار می دهد.
  12. ویروس های آمیبی : این نوع ویروس هم سرنویس است و هم ته نویس. بعبارتی ویروس خودش را به دو قسمت سر و ته تقسیم و به ابتدا و انتهای فایل اصلی اضافه می کند.
  13. ویروس رمزگشای جا سازی شده : در این نوع ویروس، کد ویروس رمز گردیده و در رمز گشای آن درون برنامه میزبان جاسازی می شود تا پاکسازی را برای ضد ویروس ها سخت تر کند.(ویروس وان هالف) . این نوع ویروس قسمت هایی از فایل اصلی ر که جانویسی کرده در بدنه ویروس به صورت کد شده قرار می دهد تا بعد از اجرای ویروس این قسمت ها را در جای اصلی خود جانویسی کند و کنترل را به برنامه اصلی باز گرداند.
  14. ویروس رمزگشای جاسازی شده  2: در این روش ، ویروس خود را به چند تکه تقسیم و در موقعیت های تصادفی در فایل میزبان جانویسی می کند تا در نهایت بدنه ویروس در فایل اصلی بطور کامل قرار گیرد.(ویروس کاماندر بومبر)
  15. ویروس epo:در این نوع ، ویروس برای اینکه اول خود اجرا گردد ، نقطه شروع برنامه میزبان را تغییر داده و به همین دلیل ویروس از نقاط شروع مشکوک برای آلوده سازی بهره گرفته و این باعث شده کشف ویروس سخت تر گردد که دارای روشهای مختلفی است :
  • روش ساده epo در dos
  • روش api-hooking در ویندوز 32 بیتی
  • روش function call hooking در ویندوز 32 بیتی
  • روش جایگزین کردن import table
  • استفاده از tls
  • یکپارچگی کد میزبان و ویروس

علیرضا عابدینی
علیرضا عابدینی

کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر

کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم

نظرات