ويروس كامپيوتري چيست ؟
ويروس كامپيوتري برنامه اي است كه مي تواند داده هاي موجود روي ديسك و حافظه RAM را معيوب نموده ودر نتيجه از اجرا ي صحيح برنامه ها جلوگيري به عمل مي آورد.
برنامه ويروس يك فايل را آلوده مي كند سپس وقتي فعال شد تكثيرمي شود و فايلهاي اطراف را آلوده مي كند و خبر خوش آن است كه ويروسهايي مانند ويروس(Ebola) هرچه ويروسها مرگبارتر باشند وقت كمتري براي تكثير دارنددر نتيجه شيوع آنها محدود است.تكثير در تعريف ويروس اساسي است هر چند آلودگيهايي نيز وجود داردكه تكثير نمي شوند اما در گروه ويروسها جاي گرفته اند.
چند مورد از كارهايي كه ويروسها انجام مي دهند عبارتند از : فرمت كردن مجدد سخت ديسك(پاك كردن كل دادها از روي آن) از بين بردن برنامه ها و فايل ها ( كه مكن است براي هميشه نابود شوند) و افزودن حشو و زوايد بي مورد به فايل ها (كه بطور مؤثر آنها را نابود مي كند)و همچنين منهدم ساختن شاخه هاي ديسك وجدولهاي اسكان فايل(جداولي كه به سيستم عامل مي گويند فايلها در كجا قرار دارند ) تا كامپيوتر نتواند از اين جدولهاي كامپيوتري مي توانند خودشان را به شكل هاي ديگري در آورند تا از دست ويروسها در امان باشندبراي مثال ويروس كاملا شناخته شده ” دارالسلام” طوري ساخته شده است تا يك دوجين انواع مشابه خود را توليد نمايد از قبيل” برادر ژاك” و” فومن چو” .ويروسهاي كامپيوتري بصورت مخفيانه و از طريق برنامه هايي كه توسط ديسك هاي ديگر يا مودم كپي مي كنيم وارد كامپيوتر شوند . اين ويروسهاي كامپيوتري ممكن است مدتها در كامپيوتر شما وجود داشته باشند و فقط به تكثير خود پرداخته و هيچ صدمه اي وارد نكنند و در ساعت و تاريخ يا هنگام اجراي برنامه خاصي فعال شده و تمام كپي هاي خود را نيز فعال كنند كه بستگي به ويروس مورد نظر صدمات غير قابل جبراني را مي توانند ايجادكنند .اما ويروسها مي توانند از طريق سرويس هاي on-line يا با نصب نرم افزار هاي جديد وارد سيستم شده يا درهنگام ساخت سيستم به كامپيوتر راه يافته باشند .
بعضي از ويروسها نيز پيغامهاي آزار دهنده اي روي صفحه نمايش مي فرستند مانند “ جيسون زنده است “ يا “ قاتل ديسك “و غيره .
تاريخچه ويروسهاي كامپيوتري :
بدنيست در مورد ويروس هاي كامپيوتري كه به عنوان سد عظيمي در مقابل پيشرفت دانش نرم افزاري محسوب مي شود تاريخچه اي تقريبا كامل داشته باشيم .
همه چيز در سال 1986 آغاز شد Basit و Amjad متوجه شدند كه سكتور راه اندازي يك فلاپي حاوي كد قابل اجراست و هر بار كه كامپيوتر با وجود اين فلاپي در درايو A را ه اندازي مي شود اين كد اجرا مي گردد. آنها كشف كردند كه مي توا نند اين كد را با برنامه خودشان جايگزين كنند آنها همچنين متوجه شدند كه اين كد احتما لا يك برنامه مقيم در حافظه است كه مي تواند يك نسخه از خودش را روي فلاپي ديسك موجود در هر درايوكپي كند آنها اين برنامه را كه مي توانست خودش را تكثير كند ويروس نام نهادند .و اين ويروس تنها فلاپي ديسك هاي 360 بايتي را آلوده مي كرد .
در سال 1986 دانشگاه دلور در آمريكا به وجود اين ويروس در كامپيوترهاي خود با برچسب “(c)Brain” روي فلاپي ديسك هاي كاربرا ن پي برد.اين ويروس فقط خودش را تكثير مي كرد و بر چسب فلاپي ديسك ها را تغيير مي داد.
در عين حال يك برنامه نويس در سال 1986 بنام رالف برگر متوجه شد كه مي توان فايلي ايجاد كرد كه از طريق چسباندن خودش به ساير فايل ها تكثير شود .او براي نمايش اين تاثير برنامه اي به نام VIRDEMنوشت و آنرا در كنفرانس باشگاه كامپيوتري Chaos كه در دسامبر آن سال كه با موضوع “ ويروسهاي كامپيوتري ” بر گزار شد بين علاقمندان توزيع كرد
VIRDEM. مي توانست تمام فايل هاي Com را آلوده كند .اما دامنه خسارات اين ويروس مانند گذشته بسيار محدود بود .اين كشف به قدري مورد توجه قرار گرفت كه رالف برگر را به نوشتن كتابي در اين باره تشويق كرد .رالف به ويروسهاي سكتور راه اندازي مانندBrain آشنايي نداشت به همين جهت در كتاب خود حتي اشاره اي هم به اين ويروسها در كتاب خود نكرد . اما در همين حين شخصي در وين در صدد انتشار يك ويروس جديد بر آمد . در سال 1987Franz Swoboda (فرانتس سوبودا) متوجه شد كه برنامه ا ي به نام Charlieتوسط يك ويروس آلوده شده است . او نام اين ويروس را Charlie گذاشت و سروصداي زيادي درباره آن به راه انداخت .دو صورت مختلف از اين ماجرا گفته شده است برگر ادعا مي كند كه يك نسخه از اين ويروس را از طريق سوبودا دريافت كرده اما سوبودا اين ادعا را رد مي كند .در هر صورت برگر ويروس را بد ست آورد آنرا به برت فيكس (Berdt Fix) داد و برت فيكس آن را تجزيه كرد (اولين كسي كه موفق شد ويروس را تجزيه كند ) برگر پس از دستكاري چند بخش و كاستن از دامنه خسارت اين ويروس در كتاب خود به نحوه تجزيه اين ويروس اشاره كرد .
دامنه خسارت اين ويروس Vienna در اين حد بود كه يكي از هر هشت فايل كامپيوتر را راه اندازي مي كرد (ويروس پنج بايت اول كد اين فايل را دستكاري مي كرد) .
دز اين زمان در آمريكا شخصي بنام فرد كوهن پاين نامه دكترا خود را در زمينه ويروسها به پايان رساند . كوهن ثابت كرد كه نمي توان برنامه اي نوشت كه بتواند يك فايل را بررسي كرده و به طور قطع مشخص كند كه آن فايل يك برنامه ويروس است .البته قبلا هم هيچكس تصور نكرده بود كه اين امر امكان دارد اما كوهن بوسيله يكي از نظريه هاي رياضي اين امررا ثابت كرد و به دريافت مدرك دكترا نائل گرديدكوهن آزمايشهايي را هم انجام داد ويروسي را در يك سيستم رها كرد و متوجه شد كه سرعت حركت اين ويروس و دامنه حركت اين ويروس بيشتر از آن است كه مردم تصورش را مي كنند . در سال 1987 كوهن نيز مانند Ken Van Wyk (كن ون وايك) بهLehigh)) لي هاي رفته بود برنامه نويس ويروس لي هاي هم آنجا بود . ويروس لي هاي فوق العاده ناموفق بود و هرگز نتوانست به خارج از دانشگاه خود نفوذ كند چون فقط مي توانستCOMMAND.COM را آلوده كند و تنها پس از چهار بار كپي شدن خسارت زيادي به ميزبان خود وارد مي كرد يكي از قوانيني كه در مورد ويروس ها صحت دارد اين است كه ويروسي كه به سرعت به ميزبان خود آسيب وارد مي كند نمي تواند دوام بياورد.
با اين حال ويروسLehigh از شهرت زياد برخوردار شد و ون واك را به برپايي گروه خبريVirus-L در يوزنت واداشت . Lehigh بسيار وحشتناك بود . پس از چهار بار كپي شدن عمل رونويسي را روي ديسك انجام مي داد و به بخش عمده جدول تخصيص فايل آسيب وارد مي كرد اما ويروسي كه فقط command.com را آلوده مي كرد زيادنمي توانست مسري باشد.
ويروسها از كجا مي آيند ؟
با ايجاد گسترش نرم ا فزارهاي مختلف ناگهان پديده اي بنام “ويروس كامپيوتري “ به وجود آمد كه توسط فرد متخصص نوشته مي شود .
ويروسها مخلوق كامپيوتر گردهاي بيماري هستند كه مي خواهند ثابت كنند مي توان برنامه هايي نوشت كه نه تنها به كامپيوتر آسيب برسانند بلكه تخريب خود را به سايرسيستمها نيز تعميم دهند در دهه 1940 دانشمندي بنام “جان فون نويمان “ براي اولين بار خاطر نشان نمود كه مي توان برنامه هايي ساخت كه به توليد مثل خودشان بپردازند واندازه شان را افزايش دهند . بعدها “جان كان وي “ در دهه 1960 نرم افزاري نوشت كه مي توانست خودش را تكثير كند . هر قدر ايده برنامه هاي زنده سا لها بيشتر قوت مي گرفت ميل و اشتياق براي نوشتن برنامه هاي شبه ويروس نيز در مراكز حرفه اي و بين دانشجويا ني كه مي خواستند با برنامه هايي نظيرآن آشنا شوند گسترش مي يافت . در آن زمان نيت همه نوشتن برنامه هاي سرگرم كننده و بي آزار بود.
در دهه 1970 دوره گردهاي كامپيوتري كه ما آنها را كامپيوترگردها مي ناميم ـ در نوشتن اين نوع برنامه ها يك قدم جلو تر رفتند و به آنها قدرت آسيب رساندن را نيز اضافه كردند . منتها هنوز مورد از حمله جدي ويروسها وجود نداشت . در حول و حوش همان زمان جرايم كامپيوتري در زمينه دست بردن در حسابهاي شخصي و انجام نقل وانتقالهاي غير قانوني در حال افزايش بود . اما بالا خره در دهه 1980 ويروسها به عنوان يك تهديد جدي وارد صحنه اين نبرد نا برابر شدند .
يكي از اولين ويروسهايي كه خبرش در همه جا پيچيد ويروسي بود كه “فرد كوهن “دانشجوي دانشگاه كاليفرنيا در سال 1983 نوشت . ويروس اين دانشجو پس از نصب روي سخت ديسك مي توانست خودش را تكثير كرده و رشد نمايد اين ويروس قادر بود دادهاي كامپيوتر را از بين ببرد .
مخفي كاري ويروسها :
بطور كلي مي توان مخفي كاري ويروسها را به چهار دسته زير تقسيم بندي كرد :
1ـ جلوگيري از ديده شدن ويروس :معمولا اگر در چند فايل اجرايي كد مشخصي در جايي مشخص از فايل ديده شود شك يك كاربر ماهر بر انگيخته خواهد شد . پس تعداد كثيري از ويروسها پس از الحاق به فايل دست به عملياتي مي زنند تا از شناسائي اين چنين ويروس جلوگيري گردد.
1 ـ 1 ـ ويروسها رمز شده : چنين ويروسهايي خود را به رمز در مي آورند و موقع اجرا بعد
از قرار گرفتن درحافظه رمزقسمت كد شده گشوده مي شود بسياري از ويروسها فقط متون داخل خود را به رمز در مي آورند عده ديگري از ويروسهاي از رمز كردن خود به شكل بهتري سود مي جويند و آن استفاده از كليد رمز متغيراست . چنين ويروسهايي از فايلي به فايل ديگر داراي شكل متفاوت هستند چون كليد چنين كدهايي از فايلهاي آلوده و بصورت اتفا قي انتخاب مي شود.(ويروس مشهور FLIP از اين نوع ويروسهاست ).
2ـ1ـ محل نوشته شدن ويروس : اگر محل قرار گرفتن كد ثابتي در يك فايل (مخصوصا بزرگ )متغيرباشد پيدا كردن اين كد و همچنين شناسائي آن اگر علامت خاص و ويژه اي نداشته باشد بسيار مشكل خواهد بود با استفاده از اين خاصيت تعدادي از ويروسها كد خود را در جاهاي مختلفي از فايل ويروسي كه معمولا به صورت اتفاقي انتخاب شده است مي نويسند ( ويروس 800 از اين روش استفاده مي كند ).
3ـ1ـ ويروسهاي پلي فرميك : تعداد ي از ويروسهاي بسيار پيشرفته داراي سيستمي هستند كه كدهاي آنها را بدون رمز كردن عوض مي كند چنين روشي بسيار ماهرانه بوده و توسط ويروس 1260 بكار گرفته شده است .
4 ـ 1ـ ويروسهاي باز ساز : دسته ديگري از ويروسهاي پيشرفته در صورتي كه مقيم حافظه باشند در صورت باز نشدن فايل آلوده آن را كاملا تميز ( يعني بدون آلودگي ) نشان مي دهند ( ويروس Natas از اين سيستم استفاده مي كند ).
5 ـ 1 ـ ويروسهاي استفاده كننده از Bad Sectors : تعدادي از ويروسها از اين خاصيت كه توسط بيشتربرنامه هاي utility محتويات سكتورهاي خراب قابل رؤيت نيستند استفاده مي كنند و خود را در داخل سكتورسكتور خاصي نوشته و علامت Bad sector را روي آن سكتور مي گذارند . ا لبته در چنين ويروسهايي بايد تا قسمتي از فايل ويروس خارج از اين Bad sector قرار بگيرد . (ويروس From و ويروس معروف Brain از اين دست هستند ).
6 ـ1 ـ نوع ديگري از ويروسهاي باز ساز : تعداد كثيري از ويروسهاي بد سكتوري وpartition – table با عوض كردن مسير وقفه ها در صورت خوانده شدن در صورت فعال بودن ويروس نشان خواهند داد . و در نتيجه سكتور ديده شده ظاهرا همان سكتور سالم است.(ويروسOnehalf ).
2ـ جلوگيري از تغيير اندازه : همانند كد خود فايل اگر اندازه فايل هم تغييركند محل شك و راهي براي كشف كردن ويروس مي شود .لذا تعدادي از ويروسها روش هاي جلوگيري از افزايش طول فايل را به اجرا مي گذارند.
1ـ2ـ رو نويسي كردن Overwrite )) : ويروسهاي اوليه اين روش را به بهاي نابود كردن قسمتي از فايل ميزبان انجام مي دهند و ويروس جايگزين كد فايل مي شد كه ا لبته اين گونه ويروس نوشتن كار ضعيفي است و ضعف تكنيكي ويروس نويس را نشان مي دهد .
2ـ2ـ ويروسهاي با طول متفاوت : افزايش طول يكسان در فايلهاي اجرايي موجب برانگيختن شك كاربر خواهدشدحال اگر اين افزايش ها همگي به يك مقدار نباشد مي تواند براثر عامل ديگري فرض شود . چند ويروس در موقع اضافه شدن به فايل با ايجاد فضاهاي خالي و بلا استفاده بصورت اتفاقي طول فايل را تغيير مي دهند معمولابازسازي چنين فايلهايي مشكل و گاه غير ممكن است .(ويروس BaoBad).
3ـ2ـ اصلاح اندازه فايل : تعدادي از ويروسهاي پيشرفته در صورت فعال بودن در حافظه با علائمي كه در بيرون فايل مي گذارند مي توانند در زمان ليست گرفتن از فايلها فايلهاي آلوده را شناسائي كنند و اندازه آنها را از مقدار واقعي به اندازه ويروس كمتر نشان دهند . يعني در واقع اندازه فايل آلوده بيشتر شده ولي اين افزايش طول نشان داده نمي شود .(شبيه ويروس Natas و يا One half) .
3ـ روشهاي جلوگيري از كشف روش كار ويروس :
هر ويروسي كه شناسايي مي شود بلا فاصله مورد تجزيه و تحليل عده ا ي قرار مي گيرد و اگر براحتي قابل تجزيه وتحليل باشد ضد ويروس به سرعت توليد شده طومار زندگي ويروس را در هم مي پيچد نتيجتا روشهاي تاخيري زيادي در ويروس ها بكار گرفته مي شود از اين قسمت كار ويروس ها مي توان در صورت كشف در قفلهاي سخت افزاري و نرم افزاري استفاده كرد .
1ـ3ـ روش هاي Anti-Debugging : در اين روش ها ويروس از اجرا ي خود بصورت خط به خط يا قطعه قطعه ( و عمدتا با استفاده از فلاكTrace ) ممانعت مي كند . غير از اين روش استفاده از وقفه ساعت براي چك كردن زمان اجراي يك بلوك از ويروس نيز مورد استفاده قرار گرفته است .
2ـ3ـ خود رمزي : اگر قسمتي از فايل ويروس كد شده باشدو اين كسر توسط قسمت دومي باز شود برنامه هايي نظير Sourcer براي بدست آوردن كد سورس ويروس دچار مشكل شده و نتيجه حاوي بلوك هايي از داده هاي بي فايده خواهد بود .
3ـ3ـ استفاده از پورت ها و راه اندازهاي ابزار يا Driver Device ها : اگر ويروس از وقفه هاي معمولي و معروف نظير 13H و يا 21H استفاده كند امكان شناسائي آنها توسط برنامه هائي نظير Vsafe مي رود پس تعدادي از اين ويروسها با اعمال كنترل مستقيم روي پورت ها و ياDriver Device ها اقدام به خرابكاري و تكثير خود مي كنند كه چون اينگونه اعمال در انواع رجوع به حافظه است هيچ گونه اقدام پيشگيري كننده اي در مقابل آن نمي توانيم داشته باشيم ( مگر سخت افزاري !! ) مثل ويروس Attention كه با پورت 3F2H روي ديسك مي نويسد .
4ـ3ـ جلوگيري از بروز خطا : يك ويروس مطمئنا در حين انجام عمليات خود دچار مشكلاتي خواهد شد كه در شرايط عادي موجب بروزخطا هاي استاندارد مي گردد اگر اين خطا ها در شرايط غير عادي گزارش شود موجب كشف ويروس مي گردد پس اكثريت ويروسها داراي روتين كنترل خطا هستند .
5ـ3ـ عدم كاهش حافظه : اگر مقدار حافظه سنتي كاهش يابد و از مقدار 655.360 (640 كيلو بايت )كمتر شود احتمال زياد مي رود كه مورد حمله ويروس قرار گرفته باشيم .پس ويروسهايي موجودند كه هر چند مقداري از حافظه را در اختيار مي گيرند ولي كاهش اين مقدار روي مانيتور ديده نمي شود .( يعني گرفتن دستورc Mem / مورد غير عادي را گزارش نمي كند ).ويروس ALABama و يا one half چنين رفتاري دارند .
6ـ3ـ فعاليت تصادفي ويروس :چنين ويروسي بطور اتفاقي تعدادي از فايلهاي با شرايط مساوي را آلوده كرده و عده ديگري را با همان شرايط سالم با قي مي گذارد . تشخيص اوليه رفتار خسته كننده است .
7ـ3ـ Boot strap مصنوعي : همگي ما موقع بروز موارد خاصي در كامپيوترمان از كليد Alt+Ctrl+Del استفاده مي كنيم ولي بايد در موارد برخورد با ويروسها از اين كار پرهيز كنيم چون تعداد زيادي از ويروسها با مشاهده اين كليد متوجه مي شوند كه محيط در اين شرايط بدون نگهبان گذارده شده است و كار آلوده سازي صورت مي گيرد . از اين بدتر توسط چند ويروس مراحل Boot strap مرحله به مرحله و تحت نظارت آنها انجام شده و ويروس همچنان در حافظه باقي مي ماند ( ويروس Alabama ).
ده قاعده كلي براي مقابله با ويروسها :
1ـ هميشه بايد از برنامه ها و اطلا عات مهم يك نسخه يدكي داشته باشيم .
2ـ كليه ديسكت هاي سيستم وديسكت هايي را كه حاوي برنامه هاي مهم هستند قفل بايد زد تا از حمله ويروسها در امان باشند.
3ـ حتي الامكان از ديسكت هاي ديگران استفاده نكنيم.
4ـ برنامه هايي را كه از اصل و نسب آنها اطلاع نداريد بر روي كامپيوترتان اجرا نكنيد.
5ـ هرگز سيستم را از روي ديسكت اصلي سيستم به عنوان يدك در اختيار داشته و آن را قفل زده ايد بوت نكنيد.
6ـ حتي الامكان از ديسكت هاي غير مجاز استفاده نكنيم .
7ـ هرگز نبايد ديسك هاي ديگر را بر روي كامپيوترهاي ديگر سوار كنيد .
8 ـ اجازه ندهيم كسي در غياب ما با كامپيوتر كار كند .
9ـ حتي الامكان از نقل وانتقالات بين كامپيوتر و شبكه و يا ديگر وسايل ارتبا طي بايد پرهيز كنيد .
10ـ بر روي برنامه هاي مهم خود بر چسبي بزنيد كه ميزان تراوشات (CRC) آنها را نشان دهد
بارزترين علائم آلودگي به ويروس :
بدون كمك برنامه هاي ضد ويروس هم مي توان ويروسها را شناسا ئي كرد 12 عارضه اي كه در زير به آنها اشاره مي شود مي توانند به ما در شناسائي ويروسها كمك كنند :
1ـ با وجود آنكه هيچ برنامه رزيدنت جديدي بر روي سيستم نصب نشده حافظه بالفعل آن كاهش يافته است براي اطلاع از ميزان حافظه بالفعل مي توانيم از دستور العمل CHKDSK در خود داس هم كمك گرفت .
2ـ زمان سوار كردن برخي از برنامه ها به نحو قابل ملا حظه اي افزايش يافته است .
3ـ دسترسي به سخت ديسك يا ديسكت بدون آنكه فرماني براي اين منظور صادر شده باشد صورت گيرد .
4 ـ در يافت غير عادي پيغامهاي خطا به هنگام اجراي يك برنامه يا موقع سوار كردن آن .
5 ـ توقف اجراي برنامه يا دريافت پيغام خطا مبتني بر استفاده ناصحيح از دستور العمل ها براي مثال كليد B فشرده شود ولي كليد N(كليد مجاورش ) بر روي صفحه ظا هر شود در اينصورت احتمالا ويروس به كامپيو تر حمله كرده است .
6ـ تغيير طول فايلهاي سيستم يا COMMAND.COM فايل مزبور را هر چند وقت يكبار بايد با نسخه اصلي آن بر روي ديسك سيستم مقابله و مقايسه كنيد :com a:command .com c:command .com بايد توجه كرد كه روايت فايل ها با يكديگر يكسان باشند .
7ـ مدت زمان بوت شدن سيستم وقتي كه آن را از روي سخت ديسك بوت مي كنيد به نحو قابل ملاحظه اي افزايش يا فته است (علامتي براي ابتلا به ويروس بوت قطاع).
8 ـ كاهش تدريجي حجم حافظه خالي موجود بر روي ديسكت يا سخت ديسك به دليل تكثير ويروس .
9 ـ ظهور بي دليل فايل هاي مخفي بر روي ديسكت يا سخت ديسكت .
10ـ پاك شدن يا به رمز در آوردن مرموز فايل ها و برنامه ها .
11ـ افزايش تدريجي تعداد قطاع خراب سخت ديسك به طور مرتب سخت ديسك كامپيوتر را به كمك chkdisk بايد كنترل كرد .
12ـ طول برنامه هاي قابل اجرا يعني فايل هاي com. و.exe تغيير مي كند (عمدتا به اندازه 700 تا 6000 ) .چه نوع ويروسهايي وجود دارند ؟
به طور كلي ويروس ها با نحوه سرايت ونوع صدماتي كه وارد مي كنند طبقه بندي مي شوند دو گروه اصلي ويروسها عبارتند از : ويروسهاي قطاع بوت كننده و ويروسهاي فايلي
ويروس هاي قطاع بوت كننده :
حفاظت در برابر ويروسهاي بوت قطا ع و قطاع پارتيشن جزء ناخوشايند ترين ويروسهاي كامپيوتري به شمار مي روند زيرا ويروس هاي معمولي برنامه هاي روزمره را آلوده مي كنند در حالي كه ويروس هاي قطاع بوت كننده در بوت قطاع يا قطاع پارتيشن سخت ديسك جا خوش مي كنند . قطاع بوت كننده جايي است كه در آن مهم ترين دستور العمل هايي كه براي به راه افتادن و بوت شدن كامپيوتر لازم است ذخيره مي شوند .
در واقع قطاع بوت كننده سخت ديسك برنامه كوچكي دارد كه به كامپيوتر مي گويد چگونه سيستم عامل را بار گذاري كند اين برنامه معمولا نخستين چيزي است كه كامپيوتر پس از روشن شدن به سراغ اش مي رود ويروس هاي بوت به همين برنامه آغازين حمله مي برند و در آنجا مقيم مي شوند به همين ترتيب هر بار كه كامپيوتر روشن مي شود برنامه ويروس هم اجرا خواهد شد .
تمام ديسك ها چه بوت كننده باشند و چه نباشند يك قطاع بوت كننده دارند . ويروسهاي قطاع بوت كننده يك وسيله بسيار مؤثر براي سرايت آلودگي دارند . هر ديسكي كه در ديسك گردان يك كامپيوتر آلوده باشد بلا فاصله مبتلا مي شود و وقتي آن ديسك را در يك سيستم ديگر قرار دهند اين چرخه ادامه پيدا مي كند .
با شناسائي يك برنامه آلوده مي توان ويروس همراه آن را به راحتي نابود كرد براي اين منظور كافي است كه برنامه آلوده را حذف كرده و جاي آن را به يك برنامه سالم و صحيح داد .اگر اين كار با تمام برنامه هاي آلوده شود و سپس كامپيوتر را روشن خاموش كنيم برنامه هاي رزيدنتي كه به احتمال قوي توسط ويروسها در حافظه قرار داده شده باشند حذف مي گردند و از ويروسها رهايي پيدا مي كنيم .
حذف ويروسهاي بوت قطاع يا قطاع پارتيشن به اين راحتي نيست زيرا اين گونه ويروسها در بوت قطاع يا قطاع پارتيشن مي نشينند و قطاع واقعي را به جاي ديگري انتقال مي دهند به اين معني كه بعد از روشن شدن كامپيوترابتدا ويروس خودش را در حافظه بصورت رزيد نت درمي آورد و سپس بوت قطاع واقعي را فرا مي خواند .
قطاع پارتيشن خراب را نمي توان حتي با يك برنامه اختصاصي نابود كننده ويروس احياء نمود اما برنامه STO.exe به ما كمك مي كند تا محتويات شيار صفر سخت ديسك كامپيوتر را در جايي مطمئن تر ذخيره نمائيم و براي روز مبادا كنار بگذاريم . براي حفظ اطلاعات موجود در شيار شماره صفر سخت ديسك بايد اين فرمان را داد s / :a Format به اين ترتيب يك ديسك بوت كننده جديد ساخته مي شود اكنون برنامه STO را صدا بزنيد تا شيار صفر سخت ديسك را در فايل A:TRACK.ooo كپي نمايد . ضبط شيار صفر سخت ديسك عادت خوبي است كه مي تواند در روز مبادا كمك زيادي كند . ضامن ديسكت بوت كننده
جديد را بايد كشيد تا از دسترس ويروسها در امان باشد.
براي باز نشاندن مجدد اطلاعات مربوط به شيار صفر بايد از برنامه مكملSTO.exe يعني از برنامه RTO.exe استفاده كرد از اين به بعد اگر روزي توسط ويروس يك ويروس بوت قطاع يا قطاع پارتيشن مورد حمله قرار گرفتيم بايد كامپيوتر را بوسيله ديسكت مورد بحث و از گردونه A بوت كنيم وسپس برنامه RTO را فرا خواني كرده تا شيار صفر سخت ديسك را مجددا سر جايش بنشاند تا ويروس ها را از بين ببرد .
نكته اي كه همواره بايد به آن توجه كرد اين است كه معمولا ويروس هاي بوت قطاع يا قطاع پارتيشن در حافظه بصورت رزيدنت در مي آيند و ساير برنامه هاي موجود بر روي ديسكت يا سخت ديسك را آلوده مي سازند از اين رو پس از معدوم كردن ويروس بوت قطاع يا قطاع پارتيشن تمام برنامه ها را بايد مجددا چك كرده و درصورت آلوده بودن آنرا پاك سازي كنيم درغيراينصورت ممكن است كه ويروس دوباره بوت قطاع سخت ديسك را مورد حمله قرار دهد .
در سال 1998 طبق گزارش انجمن بين الملي امنيت كامپيوتر ويروسهاي قطاع بوت 68% از مجموع ويروسها بوده اند در سال 1999 اين عدد به38% رسيد و نزول آن همچنان ادامه دارد چون كاربرد e-mail روز به روزبيشتر مي شود با آنكه اين ويروسها نادر شده اند باز هم بايد در برابر اين ويروسها محافظت به عمل آورد.
ويروسهاي فايلي :از لحاظ تاريخي ويروسهاي فايلي متداولترين ويرو سها بوده اند.ويروس هاي فايلي از اين جهت متفاوت هستندكه فقط به فايل هاي موجود حمله مي كنند . اين ويروسها خودشان را به فايل هاي اجرا ئي مي چسبانند (فايل هاي اجرائي فايل هايي هستند كه اغلب پسوند com. يا exe. دارند معمولا برنامه اي را اجرا مي كنند ) و سپس آنجا مي نشينند و آن قدر صبر مي كنند تا برنامه به اجرا در آيد . در اين لحظه است كه ويروسها كارشان را شروع مي كنند . هر ويروس فايلي سعي مي كند ساير فايل ها را آلوده نمايد خودش را در حافظه مقيم نمايد .بعد از آنكه ويروس كارش را تمام كرد برنامه مورد نظر طبق معمول به اجرا در مي آيد . يكي از مشهور ترين ويروسهاي فايلي ويروس “ لهيگ” است كه نامش را از زادگاهش يعني دانشگاه لهيگ گرفته است . اين ويروس با چسباندن خودش به فايل com. command(يكي از مهمترين فايل هاي داس)وارد صحنه مي شود .
وقتي كامپيوتري آلوده شد ويروس نسخه هايي از خودش را به هر فايلcommand.com روي هر نوع ديسكتي كه پيدا كند مي چسباندوقتي يكي از اين ديسكتهاي آلوده در كامپيوترسالم انداخته مي شود او دوباره آنرا آلوده مي كند تا آنكه تعداد نسخه هاي آلوده در كل به چهار عدد برسد . پس از آنكه ويروس لهيگ شروع به پاك كردن بخش هايي از سخت ديسك مي كند تا آنها را غير قابل استفاده كند. هر چند انواع مختلفي از ويروسها وجود دارند اما ويروسهاي قطاع بوت كننده و ويروسهاي فايلي مهمترين ويروسها هستند. بر آورد مي كنند كه 68 در صد تمام ويروسها از نوع ويروسهاي قطاع بوت كننده باشند و همين امر نشان مي دهد كه اين ويروسها شايع تر از ويروسهاي فايلي مي باشند.ولي رفته رفته از تعداد اين ويروسها كمتر مي شود.
پدافند غیر عامل چیست؟