ماکرو ویروس - این یک تنوع استویروس های کامپیوتریتوسعه یافته استزبان های کلان، در چنین بسته های کاربردی تعبیه شده استتوسط، چگونه مایکروسافت آفیس . برای تولید مثل، چنین ویروس هایی از قابلیت های کلان زبان ها استفاده می کنند و با کمک آنها از یک فرد آلوده منتقل می شوند.فایلبه دیگران. بیشتر این ویروس ها برای آنها نوشته شده اندمایکروسافت وورد.

گسترده ترین ماکرو ویروس ها هستند مایکروسافت ورد، اکسل و آفیس 97.

برای اینکه ویروس ها در یک سیستم خاص (ویرایشگر) وجود داشته باشند، باید یک زبان ماکرو با قابلیت های زیر در سیستم تعبیه شده باشد:

1. پیوند دادن یک برنامه در یک زبان ماکرو به یک فایل خاص؛
2. کپی کردن برنامه های ماکرو از یک فایل به فایل دیگر.
3. به دست آوردن کنترل یک برنامه ماکرو بدون دخالت کاربر (ماکروهای خودکار یا استاندارد). شرایط توصیف شده توسط ویرایشگرهای MS Word، MS Office 97 و AmiPro و همچنین صفحه گسترده MS Excel وجود دارد. این سیستم‌ها شامل زبان‌های ماکرو (MS Word - Word Basic، MS Excel و MS Office 97 - Visual Basic)، با:

1. برنامه های ماکرو به یک فایل خاص (AmiPro) گره خورده اند یا در داخل یک فایل قرار دارند (MS Word/Excel/Office 97).

2. زبان ماکرو به شما امکان می دهد فایل ها را کپی کنید (AmiPro) یا برنامه های ماکرو را به فایل های سرویس سیستم و فایل های قابل ویرایش (MSWord / Excel / Office 97) منتقل کنید.

3. هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن و غیره) برنامه های ماکرو (در صورت وجود) فراخوانی می شوند که به روش خاصی تعریف شده اند (AmiPro) یا دارای نام های استاندارد (MS Word/Excel/Office 97) هستند. ).

در چهار محصول نرم‌افزاری که در بالا ذکر شد، ویروس‌ها وقتی یک فایل آلوده باز یا بسته می‌شوند، کنترل را به دست می‌گیرند، عملکردهای استاندارد فایل را ربوده و سپس فایل‌هایی را که به نحوی قابل دسترسی هستند آلوده می‌کنند. به قیاس با DOS، می‌توان گفت که اکثر ویروس‌های ماکرو ویروس‌های مقیم هستند: آنها نه تنها زمانی که فایل باز یا بسته می‌شود، بلکه تا زمانی که خود ویرایشگر فعال است فعال هستند.

اصول کار

ویروس‌های ماکرو که فایل‌های Word، Excel یا Office 97 را آلوده می‌کنند، معمولاً از یکی از سه تکنیک زیر استفاده می‌کنند:

همچنین نیمه ویروس هایی وجود دارند که از تکنیک های ذکر شده استفاده نمی کنند و تنها در صورتی تکثیر می شوند که کاربر به طور مستقل آنها را برای اجرا راه اندازی کند.

اکثر ماکرو ویروس ها همه عملکردهای خود را در قالب ماکروهای استاندارد MS Word/Excel/Office 97 دارند.اما ویروس هایی وجود دارند که از تکنیک هایی برای مخفی کردن کد خود استفاده می کنند و کد خود را به شکل غیر ماکرو ذخیره می کنند. سه روش از این قبیل شناخته شده است. همه آنها از توانایی ماکروها برای ایجاد، ویرایش و اجرای ماکروهای دیگر استفاده می کنند. به طور معمول، چنین ویروس‌هایی دارای یک ماکرو لودر کوچک (گاهی چندشکلی) هستند که ویرایشگر ماکرو داخلی را فراخوانی می‌کند، یک ماکرو جدید ایجاد می‌کند، آن را با کد ویروس اصلی پر می‌کند، آن را اجرا می‌کند و سپس معمولاً آن را برای پنهان کردن آثار ویروس از بین می‌برد. کد اصلی این گونه ویروس ها یا در بدنه خود ویروس به صورت رشته های متنی وجود دارد یا در ناحیه متغیر سند یا در قسمت Auto-text ذخیره می شود.

• ناتوانی در تبدیل افراد آلوده سند وردبه فرمت متفاوت فایل‌های آلوده در قالب Template هستند، زیرا ویروس‌های Word هنگام آلوده شدن، فایل‌ها را از فرمت Word Document به Template تبدیل می‌کنند.
• ناتوانی در نوشتن یک سند در دایرکتوری دیگر یا روی دیسک دیگر با استفاده از دستور "Save As" (فقط Word 6).
• دایرکتوری STARTUP حاوی فایل های "خارجی" است.
• حضور در کتاب برگه های "اضافی" و پنهان.

ماکرو ویروس‌ها برنامه‌هایی هستند که به زبان‌ها (کلان زبان‌ها) نوشته شده‌اند که در برخی از سیستم‌های پردازش داده ( ویرایشگرهای متن، صفحات گسترده و غیره)، و همچنین در زبان های اسکریپت مانند VBA (ویژوال بیسیک برای برنامه ها)، JS ( جاوا اسکریپت). برای تولید مثل، چنین ویروس هایی از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها، خود را از یک فایل آلوده (سند یا جدول) به دیگران منتقل می کنند. ویروس های ماکرو برای Microsoft Office گسترده ترین هستند. همچنین ویروس‌های ماکرو وجود دارند که اسناد و پایگاه‌های اطلاعاتی Ami Pro را آلوده می‌کنند. برای اینکه ویروس ها در یک سیستم خاص (ویرایشگر) وجود داشته باشند، باید یک زبان ماکرو با قابلیت های زیر در سیستم تعبیه شده باشد:

1. پیوند دادن یک برنامه در یک زبان ماکرو به یک فایل خاص.
2. کپی کردن برنامه های ماکرو از یک فایل به فایل دیگر.
3. توانایی به دست آوردن کنترل یک برنامه ماکرو بدون دخالت کاربر (ماکروهای خودکار یا استاندارد).

این شرایط توسط ویرایشگرهای Microsoft Word، Office و AmiPro و همچنین صفحه گسترده و پایگاه داده اکسل وجود دارد. داده های مایکروسافتدسترسی داشته باشید. این سیستم ها شامل زبان های کلان هستند: Word - Word Basic; اکسل، اکسس - VBA. که در آن:

1. برنامه های ماکرو به یک فایل خاص (AmiPro) گره خورده اند یا در داخل یک فایل (Word، Excel، Access) قرار دارند.
2. زبان ماکرو به شما امکان می دهد فایل ها را کپی کنید (AmiPro) یا برنامه های ماکرو را به فایل های سرویس سیستم و فایل های قابل ویرایش (Word، Excel) منتقل کنید.
3. هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن و غیره) برنامه های ماکرو (در صورت وجود) فراخوانی می شوند که به روش خاصی تعریف شده اند (AmiPro) یا دارای نام های استاندارد (Word، Excel) هستند.

این ویژگی زبان‌های ماکرو برای پردازش خودکار داده‌ها در سازمان‌های بزرگ یا در داخل در نظر گرفته شده است شبکه های جهانیو به شما اجازه می دهد تا به اصطلاح "جریان اسناد خودکار" را سازماندهی کنید. از سوی دیگر، قابلیت‌های ماکرو زبانی چنین سیستم‌هایی به ویروس اجازه می‌دهد تا کدهای خود را به فایل‌های دیگر منتقل کرده و در نتیجه آنها را آلوده کند. هنگامی که یک فایل آلوده باز یا بسته می‌شود، ویروس‌ها کنترل را به دست می‌آورند، عملکردهای استاندارد فایل را رهگیری می‌کنند و سپس فایل‌هایی را که به طریقی به آنها دسترسی دارند آلوده می‌کنند. به قیاس با MS-DOS، می‌توان گفت که اکثر ویروس‌های ماکرو ساکن هستند: آنها نه تنها در لحظه باز کردن/بستن یک فایل، بلکه تا زمانی که خود ویرایشگر فعال است، فعال هستند.

ویروس های Word/Excel/Office: اطلاعات عمومی

مکان فیزیکی ویروس در داخل فایل به فرمت آن بستگی دارد که در مورد محصولات مایکروسافتبسیار پیچیده - هر فایل سند Word و جدول اکسل دنباله ای از بلوک های داده است (که هر کدام فرمت خاص خود را نیز دارند) که با استفاده از مقدار زیادی از داده های خدماتی با هم متحد شده اند. این فرمت OLE2 - Object Linking and Embedding نام دارد.

ساختار فایل های ورد، اکسل و آفیس (OLE2) شبیه یک سیستم فایل دیسک پیچیده است: "دایرکتوری ریشه" یک سند یا فایل جدول به زیر شاخه های اصلی بلوک های داده مختلف اشاره می کند، چندین جدول FAT حاوی اطلاعاتی در مورد مکان است. بلوک های داده در سند و غیره علاوه بر این، سیستم اداری Binder که از استانداردهای Word و Excel پشتیبانی می کند، به شما امکان می دهد فایل هایی ایجاد کنید که به طور همزمان حاوی یک یا چند سند در قالب Word و یک یا چند جدول با فرمت Excel هستند. در عین حال، ویروس های Word می توانند اسناد Word را آلوده کنند و ویروس های اکسل می توانند جداول اکسل را آلوده کنند و همه اینها در همان فایل دیسک امکان پذیر است. همین امر در مورد آفیس نیز صادق است. اکثر ویروس های شناخته شده برای Word با نسخه های ملی (از جمله روسی) Word ناسازگار هستند یا برعکس - آنها فقط برای نسخه های محلی Word طراحی شده اند و تحت نسخه انگلیسی کار نمی کنند. با این حال، ویروس موجود در سند هنوز فعال باقی می ماند و می تواند رایانه های دیگر را با نسخه متناظر Word نصب شده روی آنها آلوده کند. ویروس های Word می توانند کامپیوترهای هر کلاسی را آلوده کنند. اگر عفونت امکان پذیر است این کامپیوتریک ویرایشگر متن نصب شده است که کاملاً با Microsoft Word نسخه 6 یا 7 یا بالاتر سازگار است (مثلاً MS Word برای مکینتاش).

در اکسل و آفیس هم همینطور است. همچنین لازم به ذکر است که پیچیدگی فرمت های اسناد ورد، جداول اکسل و به ویژه آفیس دارای ویژگی زیر است: فایل ها و جداول اسناد حاوی بلوک های داده «اضافی» هستند، یعنی. داده هایی که به هیچ وجه به متن یا جداول ویرایش شده مربوط نمی شوند، یا کپی هایی از سایر داده های فایل هستند که به طور تصادفی به آنجا ختم شده اند. دلیل بروز چنین بلوک های داده، سازماندهی خوشه ای داده ها در اسناد و جداول OLE2 است - حتی اگر فقط یک کاراکتر از متن وارد شده باشد، یک یا حتی چند خوشه داده برای آن اختصاص داده شده است. هنگام ذخیره اسناد و جداول در خوشه‌هایی که با داده‌های «مفید» پر نشده‌اند، «آشغال» باقی می‌ماند که همراه با داده‌های دیگر به فایل ختم می‌شود. با لغو مورد تنظیمات Word/Excel "Allow Fast Save" می توان مقدار "زباله" در فایل ها را کاهش داد، با این حال، این تنها مقدار کل " زباله" را کاهش می دهد اما آن را به طور کامل حذف نمی کند. نتیجه این واقعیت این است که هنگام ویرایش یک سند، اندازه آن بدون توجه به اقدامات انجام شده روی آن تغییر می کند - هنگام اضافه کردن متن جدید، اندازه فایل ممکن است کاهش یابد و زمانی که بخشی از متن حذف می شود، ممکن است افزایش یابد.

در مورد ویروس‌های ماکرو هم همین‌طور است: وقتی یک فایل آلوده می‌شود، اندازه آن ممکن است کاهش یابد، افزایش یابد یا بدون تغییر باقی بماند. همچنین لازم به ذکر است که برخی از نسخه های OLE2.DLL دارای یک نقص کوچک هستند که در نتیجه هنگام کار با اسناد Word، Excel و به خصوص Office، داده های تصادفی از دیسک، از جمله موارد محرمانه، می توانند وارد بلوک های زباله شوند. ( فایل های حذف شده، کاتالوگ ها و غیره). دستورات ویروسی را نیز می توان در این بلوک ها گنجاند. در نتیجه، پس از ضد عفونی کردن اسناد آلوده، کد ویروس فعال از فایل حذف می شود، اما ممکن است برخی از دستورات آن در بلوک های "آشغال" باقی بماند. چنین ردپایی از وجود ویروس گاهی با استفاده از ویرایشگرهای متنی قابل مشاهده است و حتی می تواند باعث واکنش در برخی از برنامه های آنتی ویروس شود. با این حال، این بقایای ویروس کاملاً بی ضرر هستند: Word و Excel هیچ توجهی به آنها ندارند.

ویروس های Word/Excel/Office: اصول عملکرد

هنگام کار با سند Word نسخه های 6 و 7 یا بالاتر، اقدامات مختلفی را انجام می دهد: سند را باز می کند، ذخیره می کند، چاپ می کند، بسته می شود و غیره. در همان زمان، Word "ماکروهای داخلی" مربوطه را جستجو و اجرا می کند - هنگام ذخیره یک فایل با استفاده از دستور File/Save، ماکرو FileSave فراخوانی می شود، هنگام ذخیره با استفاده از دستور File/SaveAs - FileSaveAs، هنگام چاپ اسناد. - FilePrint و غیره در صورت وجود ماکرو تعریف شده است. چندین «ماکرو خودکار» نیز وجود دارد که تحت شرایط مختلف به صورت خودکار فراخوانی می شوند. به عنوان مثال، هنگامی که یک سند را باز می کنید، Word وجود ماکرو AutoOpen را بررسی می کند. اگر چنین ماکرویی وجود داشته باشد، Word آن را اجرا می کند. هنگام بستن یک سند ، Word ماکرو AutoClose را اجرا می کند ، هنگام شروع Word ، ماکرو AutoExec فراخوانی می شود ، هنگام خاموش کردن - AutoExit و هنگام ایجاد یک سند جدید - AutoNew.

مکانیزم های مشابه (اما با نام های مختلف ماکروها و توابع) در Excel/Office استفاده می شود که در آن نقش ماکروهای خودکار و داخلی توسط توابع خودکار و داخلی موجود در هر ماکرو یا ماکرو و چندین ماکرو انجام می شود. موارد داخلی ممکن است در یک عملکرد ماکرو و خودکار وجود داشته باشند. ماکروها/عملکردهای مرتبط با یک کلید یا یک نقطه در زمان یا تاریخ نیز به صورت خودکار (یعنی بدون دخالت کاربر) اجرا می شوند. Word/Excel زمانی که یک کلید خاص (یا ترکیبی از کلیدها) فشار داده می شود یا زمانی که به نقطه خاصی از زمان می رسد، یک ماکرو/عملکرد را فراخوانی می کند. در آفیس، قابلیت های رهگیری رویدادها تا حدودی گسترش یافته است، اما اصل یکسان است.

ویروس‌های ماکرو که فایل‌های Word، Excel یا Office را آلوده می‌کنند معمولاً از یکی از سه تکنیک ذکر شده در بالا استفاده می‌کنند - ویروس یا حاوی یک ماکرو خودکار (عملکرد خودکار) است یا یکی از ماکروهای استاندارد سیستم (مرتبط با برخی از آیتم‌های منو) را لغو می‌کند. وقتی هر کلید یا کلید ترکیبی را فشار می دهید، ماکرو ویروس به طور خودکار فراخوانی می شود. همچنین نیمه ویروس هایی وجود دارند که از همه این تکنیک ها استفاده نمی کنند و تنها زمانی که کاربر به طور مستقل آنها را راه اندازی می کند، تکثیر می شوند. بنابراین، اگر سندی آلوده باشد، هنگام باز کردن سند، Word ماکرو خودکار آلوده را AutoOpen (یا AutoClose هنگام بستن سند) فراخوانی می‌کند و بنابراین کد ویروس را اجرا می‌کند، مگر اینکه توسط متغیر سیستم DisableAutoMacros غیرفعال شود. اگر یک ویروس حاوی ماکروهایی با نام های استاندارد باشد، زمانی که آیتم منوی مربوطه فراخوانی شود (File/Open، File/Close، File/SaveAs) کنترل می شوند. اگر هر یک از نمادهای صفحه کلید لغو شود، ویروس تنها پس از فشار دادن کلید مربوطه فعال می شود.

اکثر ماکرو ویروس ها همه عملکردهای خود را به عنوان ماکروهای استاندارد Word/Excel/Office دارند. با این حال، ویروس هایی وجود دارند که از تکنیک هایی برای پنهان کردن کد خود استفاده می کنند و کد خود را به شکل غیر ماکرو ذخیره می کنند. سه تکنیک شناخته شده وجود دارد که همگی از توانایی ماکروها برای ایجاد، ویرایش و اجرای ماکروهای دیگر استفاده می کنند. به عنوان یک قاعده، چنین ویروس هایی دارای یک بارگذار ماکرو ویروس کوچک (گاهی چند شکلی) هستند که ویرایشگر ماکرو داخلی را فراخوانی می کند، یک ماکرو جدید ایجاد می کند، آن را با کد اصلی ویروس پر می کند، آن را اجرا می کند و سپس، به عنوان یک قاعده، آن را از بین می برد. (برای پنهان کردن آثار ویروس). کد اصلی چنین ویروس هایی یا در خود ماکرو ویروس به شکل رشته های متنی (گاهی اوقات رمزگذاری شده) وجود دارد یا در ناحیه متغیر سند یا در ناحیه متن خودکار ذخیره می شود.

الگوریتم ویروس های ماکرو Word

اکثر ویروس‌های معروف Word، هنگام راه‌اندازی، کد (ماکرو) خود را به منطقه ماکرو جهانی سند (ماکروهای "عمومی") منتقل می‌کنند. برای این کار از دستورات کپی ماکرو MacroCopy، Organizer.Copy یا با استفاده از ویرایشگر ماکرو - ویروس آن را فراخوانی می کند و یک ماکرو جدید ایجاد می کند، کد شما را در آن قرار می دهد که در سند ذخیره می شود. هنگامی که از Word خارج می شوید، ماکروهای جهانی (از جمله ماکروهای ویروس) به طور خودکار در فایل DOT ماکروهای جهانی (معمولاً NORMAL.DOT) نوشته می شوند. بنابراین، دفعه بعد که شروع می کنید ویرایشگر MS-Wordویروس در لحظه ای فعال می شود که WinWord ماکروهای جهانی را بارگیری می کند، یعنی. فورا. سپس ویروس یک یا چند ماکرو استاندارد (به عنوان مثال FileOpen، FileSave، FileSaveAs، FilePrint) را لغو می کند (یا قبلاً حاوی) است و بنابراین دستورات کار با فایل ها را قطع می کند. هنگامی که این دستورات فراخوانی می شوند، ویروس فایلی را که در حال دسترسی است آلوده می کند. برای انجام این کار، ویروس فایل را به فرمت Template (که باعث ایجاد تغییرات بیشتر در فرمت فایل می شود، یعنی تبدیل به هر فرمت غیرقالبی غیرممکن است) تبدیل می کند و ماکروهای خود را در فایل، از جمله ماکرو خودکار، می نویسد. بنابراین، اگر ویروسی ماکرو FileSaveAs را رهگیری کند، هر فایل DOC ذخیره شده از طریق ماکرو رهگیری شده توسط ویروس آلوده می شود. اگر ماکرو FileOpen رهگیری شود، ویروس هنگام خواندن از روی دیسک روی فایل نوشته می شود.

روش دوم معرفی ویروس به سیستم بسیار کمتر مورد استفاده قرار می گیرد - بر اساس فایل های به اصطلاح "افزودنی" است، یعنی. فایل هایی که سرویس اضافه شده به Word هستند. در این حالت، NORMAL.DOT تغییر نمی‌کند و Word، هنگام راه‌اندازی، ماکروهای ویروس را از فایل (یا فایل‌هایی) که به‌عنوان «افزونه» تعریف شده است، بارگیری می‌کند. این روش تقریباً به طور کامل آلودگی ماکروهای جهانی را تکرار می کند، با این تفاوت که ماکروهای ویروس نه در NORMAL.DOT، بلکه در فایل دیگری ذخیره می شوند. همچنین می توان یک ویروس را به فایل های موجود در فهرست راه اندازی وارد کرد - Word به طور خودکار فایل های قالب را از این فهرست بارگیری می کند، اما هنوز با چنین ویروس هایی مواجه نشده اند. روش های معرفی به سیستم مورد بحث در بالا نوعی آنالوگ از ویروس های DOS مقیم هستند. یک آنالوگ غیر مقیم ویروس‌های ماکرو هستند که کد خود را به ناحیه ماکروهای سیستم منتقل نمی‌کنند - برای آلوده کردن فایل‌های سند دیگر، آنها یا با استفاده از توابع فایل ساخته شده در Word آنها را جستجو می‌کنند یا به فهرست ویرایش‌های اخیر دسترسی پیدا می‌کنند. فایل ها (لیست فایل های اخیرا استفاده شده) . این ویروس ها سپس سند را باز می کنند، آن را آلوده می کنند و می بندند.

الگوریتم کار اکسلماکرو ویروس ها

روش های تولید مثل برای ویروس های اکسل به طور کلی شبیه به روش های ویروس های Word است. تفاوت ها در دستورات کپی ماکرو (به عنوان مثال، Sheets.Copy) و عدم وجود NORMAL.DOT - عملکرد آن (به معنای ویروسی) توسط فایل های موجود در فهرست راه اندازی اکسل انجام می شود. لازم به ذکر است که دو مورد وجود دارد گزینه های ممکنمحل کد ویروس ماکرو در جداول اکسل. اکثریت قریب به اتفاق این ویروس ها کد خود را با فرمت VBA (Visual Basic for Applications) می نویسند، اما ویروس هایی وجود دارند که کد خود را در قالب قدیمی اکسل نسخه 4.0 ذخیره می کنند. چنین ویروس هایی اساساً با ویروس های VBA تفاوتی ندارند، به استثنای تفاوت در قالب مکان کدهای ویروس در جداول اکسل. علیرغم این واقعیت که نسخه های جدید اکسل (شروع با نسخه 5) از فناوری های پیشرفته تری استفاده می کنند، توانایی اجرای ماکروهای قدیمی نسخه های اکسلبرای حفظ سازگاری باقی مانده است. به همین دلیل، با وجود اینکه مایکروسافت استفاده از آنها را توصیه نمی کند و مستندات لازم را با اکسل درج نمی کند، تمام ماکروهای نوشته شده با فرمت اکسل 4 در تمام نسخه های بعدی کاملاً کاربردی هستند.

الگوریتم عملیات ویروس برای دسترسی

چون Access بخشی است پکیج اداریویروس های Pro، Access همان ماکروهایی هستند که در ویژوال بیسیک نوشته شده اند و سایر ویروس هایی که برنامه های آفیس را آلوده می کنند. با این حال، در این مورد، به جای ماکروهای خودکار، سیستم حاوی اسکریپت های خودکار است که توسط سیستم بر اساس رویدادهای مختلف (مثلا Autoexec) فراخوانی می شوند. سپس این اسکریپت ها می توانند برنامه های ماکرو مختلفی را فراخوانی کنند. بنابراین، هنگام آلوده کردن پایگاه‌های اطلاعاتی Access، ویروس باید مقداری خودکار اسکریپت را جایگزین کند و ماکروهای خود را در پایگاه داده آلوده کپی کند. آلوده کردن اسکریپت ها بدون ماکروهای اضافی امکان پذیر نیست، زیرا زبان اسکریپت کاملاً ابتدایی است و شامل توابع لازم برای این کار نیست.

لازم به ذکر است که در اصطلاح Access ، اسکریپت ها را ماکرو (ماکرو) و ماکروها را ماژول (ماژول) می نامند ، اما در آینده از اصطلاحات یکپارچه - اسکریپت ها و ماکروها استفاده می شود. درمان پایگاه‌های داده اکسس، کار دشوارتری نسبت به حذف سایر ویروس‌های ماکرو است، زیرا در مورد Access، نه تنها ماکروهای ویروس، بلکه اسکریپت‌های خودکار نیز خنثی کردن ضروری هستند. از آنجایی که بخش قابل توجهی از کار اکسس به اسکریپت ها و ماکروها سپرده می شود، حذف یا غیرفعال کردن نادرست هر عنصر می تواند منجر به عدم امکان عملیات با پایگاه داده شود. همین امر در مورد ویروس ها نیز صادق است - جایگزینی نادرست اسکریپت های خودکار می تواند منجر به از دست رفتن داده های ذخیره شده در پایگاه داده شود.

ویروس های AmiPro

هنگام کار با هر سندی، ویرایشگر AmiPro دو فایل ایجاد می کند - متن خود سند (با پسوند نام SAM) و فایل اضافی، حاوی ماکروهای سند و احتمالاً اطلاعات دیگر (پسوند نام - SMM). فرمت هر دو فایل بسیار ساده است - آنها یک فایل متنی معمولی هستند که در آن هم متن قابل ویرایش و هم دستورات کنترلی به شکل رشته های متنی معمولی وجود دارند. سند را می توان به هر ماکرو از فایل SMM اختصاص داد (فرمان AssignMacroToFile). این ماکرو مشابه AutoOpen و AutoClose در MS Word است و توسط ویرایشگر AmiPro هنگام باز کردن یا بستن یک فایل فراخوانی می شود. ظاهراً، AmiPro توانایی قرار دادن ماکروها در ناحیه "مشترک" را ندارد، بنابراین ویروس های AmiPro فقط می توانند سیستم را هنگام باز کردن یک فایل آلوده آلوده کنند، اما نه هنگام بارگذاری سیستم، همانطور که در MS-Word پس از آلوده کردن NORMAL اتفاق می افتد. فایل DOT. مانند MS Word، AmiPro به شما اجازه می دهد تا ماکروهای سیستم (به عنوان مثال SaveAs، Save) را با دستور ChangeMenuAction لغو کنید. هنگامی که توابع لغو شده (فرمان های منو) فراخوانی می شوند، کنترل به ماکروهای آلوده داده می شود، یعنی. کد ویروس

ویروس های مخفی

نمایندگان این صنف از ابزارهای مختلفی برای پنهان کردن حضور خود در سیستم استفاده می کنند. این معمولاً با رهگیری سریال به دست می آید توابع سیستم، مسئول کار با فایل ها است. فن آوری های "Stealth" تشخیص ویروس را بدون ابزارهای خاص غیرممکن می کند. این ویروس هم افزایش طول شی (فایل) آسیب دیده و هم بدن آن را در آن می پوشاند و بخش "سالم" فایل را در جای خود "جایگزین" می کند.

در حالی که کامپیوتر خود را چک می کنید برنامه های آنتی ویروسخواندن داده ها - فایل ها و مناطق سیستم - از دیسکهای سختو فلاپی دیسک با استفاده از سیستم عامل و بایوس. ویروس‌های مخفی یا ویروس‌های نامرئی در آن باقی می‌مانند حافظه دسترسی تصادفیماژول های ویژه رایانه که برنامه های دسترسی به زیرسیستم دیسک رایانه را رهگیری می کنند. اگر چنین ماژولی تشخیص دهد که یک برنامه کاربر در تلاش برای خواندن یک فایل آلوده یا ناحیه دیسک سیستم است، داده‌های در حال خواندن را جایگزین می‌کند و بنابراین شناسایی نشده باقی می‌ماند و برنامه‌های ضد ویروس را فریب می‌دهد.

همچنین، ویروس‌های مخفی می‌توانند به شکل رشته‌هایی در سیستم و سایر فرآیندها پنهان شوند که شناسایی آنها را بسیار دشوارتر می‌کند. این گونه ویروس های مخفی حتی در لیست تمام فرآیندهای در حال اجرا در سیستم قابل مشاهده نیستند.

یک راه ساده برای غیرفعال کردن مکانیسم استتار ویروس های Stealth وجود دارد. کافی است رایانه را از یک فلاپی دیسک سیستم آلوده نشده بوت کنید و بدون راه اندازی برنامه ها از دیسک رایانه، رایانه را با یک برنامه ضد ویروس اسکن کنید (ممکن است آلوده شده باشند). در این صورت، ویروس قادر به کنترل و نصب ماژول ساکن در RAM نخواهد بود که الگوریتم مخفی کاری را پیاده سازی می کند؛ آنتی ویروس اطلاعاتی را که در واقع روی دیسک نوشته شده است را می خواند و به راحتی "باسیل" را شناسایی می کند.

اکثر برنامه‌های آنتی ویروس با تلاش ویروس‌های مخفی برای شناسایی نشدن مقابله می‌کنند، اما برای اینکه فرصتی به آنها داده نشود، قبل از اسکن رایانه با یک برنامه آنتی ویروس، رایانه باید از یک فلاپی دیسک بوت شود که برنامه‌های آنتی ویروس باید روی آن نصب شوند. نوشته شده است. بسیاری از آنتی ویروس ها در مقاومت در برابر ویروس های مخفی به قدری موفق هستند که وقتی سعی می کنند خود را پنهان کنند آنها را شناسایی می کنند. چنین برنامه هایی با استفاده از چندین فایل برنامه را می خوانند تا از روی دیسک اسکن شوند روش های مختلف- به عنوان مثال، با استفاده از سیستم عامل و از طریق BIOS: اگر مغایرت هایی تشخیص داده شود، نتیجه گیری می شود که احتمالاً یک ویروس مخفی در RAM وجود دارد.

ویروس های چند شکلی

ویروس‌های چند شکلی شامل آنهایی هستند که با استفاده از به اصطلاح امضاهای ویروس قابل شناسایی نیستند (یا بسیار دشوار هستند) - بخش‌هایی از کد ثابت مخصوص یک ویروس خاص. این امر به دو روش اصلی به دست می آید - با رمزگذاری کد ویروس اصلی با یک کلید غیر دائمی و مجموعه ای تصادفی از دستورات رمزگشا یا با تغییر خود کد ویروس قابل اجرا. همچنین نمونه‌های عجیب و غریب دیگری از چندشکلی وجود دارد - به عنوان مثال، ویروس DOS "Bomber" رمزگذاری نشده است، اما دنباله دستوراتی که کنترل را به کد ویروس منتقل می کند کاملاً چند شکلی است.

چند شکلی با درجات مختلف پیچیدگی در انواع ویروس ها یافت می شود - از ویروس های DOS بوت و فایل گرفته تا ویروس های ویندوز و حتی ویروس های ماکرو.

بیشتر سوالات مربوط به اصطلاح "ویروس چند شکلی" است. به نظر می رسد این نوع ویروس کامپیوتری امروزه خطرناک ترین است.

ویروس‌های چند شکلی ویروس‌هایی هستند که کد خود را در برنامه‌های آلوده به گونه‌ای تغییر می‌دهند که ممکن است دو نسخه از یک ویروس در یک بیت با هم مطابقت نداشته باشند.

این گونه ویروس ها نه تنها کد خود را با استفاده از مسیرهای رمزگذاری مختلف رمزگذاری می کنند، بلکه حاوی کدهای تولید رمزگذار و رمزگشا هستند که آنها را از ویروس های رمزگذاری معمولی متمایز می کند که می توانند بخش هایی از کد خود را نیز رمزگذاری کنند، اما در عین حال دارای رمزگذار و کد رمزگشای ثابت هستند. .

ویروس‌های چند شکلی، ویروس‌هایی با رمزگشاهای خودتغییر شونده هستند. هدف از چنین رمزگذاری: داشتن یک آلوده و فایل های اصلیشما هنوز نمی توانید کد آن را با استفاده از جداسازی معمولی تجزیه و تحلیل کنید. این کد رمزگذاری شده است و مجموعه ای از دستورات بی معنی است. رمزگشایی توسط خود ویروس در حین اجرا انجام می شود. در این مورد، گزینه‌هایی امکان‌پذیر است: او می‌تواند خود را به یکباره رمزگشایی کند، یا می‌تواند چنین رمزگشایی را «در حال پرواز» انجام دهد، می‌تواند بخش‌هایی را که قبلاً استفاده شده‌اند رمزگذاری مجدد کند. همه اینها به این دلیل انجام می شود که تجزیه و تحلیل کد ویروس را دشوار کند.

رمزگشاهای چند شکلی

ویروس‌های چند شکلی از الگوریتم‌های پیچیده برای تولید کد رمزگشای خود استفاده می‌کنند: دستورالعمل‌ها (یا معادل‌های آن‌ها) از عفونت به عفونت دوباره مرتب می‌شوند و با دستوراتی رقیق می‌شوند که چیزی مانند NOP، STI، CLI، STC، CLC، DEC ثبات استفاده نشده، XCHG را تغییر نمی‌دهند. رجیسترهای استفاده نشده و غیره د.

ویروس های چند شکلی کامل از الگوریتم های پیچیده تری استفاده می کنند که در نتیجه رمزگشای ویروس ممکن است شامل عملیات SUB، ADD، XOR، ROR، ROL و موارد دیگر به تعداد و ترتیب دلخواه باشد. بارگیری و تغییر کلیدها و سایر پارامترهای رمزگذاری نیز توسط مجموعه ای دلخواه از عملیات انجام می شود که تقریباً تمام دستورالعمل ها را می توان در آنها یافت. پردازنده اینتل(ADD، SUB، TEST، XOR، OR، SHR، SHL، ROR، MOV، XCHG، JNZ، PUSH، POP...) با تمام حالت های آدرس دهی ممکن. ویروس های چند شکلی نیز ظاهر می شوند که رمزگشای آنها از دستورالعمل های تا Intel386 استفاده می کند و در تابستان 1997 یک ویروس چند شکلی 32 بیتی کشف شد که فایل های Windows95 EXE را آلوده می کند. در حال حاضر ویروس های چند شکلی وجود دارند که می توانند از دستورات مختلف پردازنده های مدرن نیز استفاده کنند.

در نتیجه، در ابتدای یک فایل آلوده به چنین ویروسی مجموعه ای از دستورالعمل ها وجود دارد که در نگاه اول بی معنی هستند و برخی از ترکیبات کاملاً کاربردی توسط جداکننده های اختصاصی گرفته نمی شوند (مثلاً ترکیب CS:CS : یا CS:NOP). و در میان این "بهم ریختگی" دستورات و داده ها، MOV، XOR، LOOP، JMP گاهی اوقات از بین می روند - دستورالعمل هایی که واقعا "کار می کنند".

سطوح پلی مورفیسم

بسته به پیچیدگی کدی که در رمزگشای این ویروس ها یافت می شود، ویروس های چند شکلی به سطوح تقسیم بندی می شوند. این تقسیم برای اولین بار توسط دکتر پیشنهاد شد. آلن سولومون، پس از مدتی وسلین بونچف آن را گسترش داد.

سطح 1: ویروس هایی که مجموعه خاصی از رمزگشاها با کد ثابت دارند و در صورت آلوده شدن، یکی از آنها را انتخاب می کنند. چنین ویروس هایی "نیمه چند شکل" هستند و "الیگومورفیک" نیز نامیده می شوند. به عنوان مثال: "Cheeba"، "Slovakia"، "Whale".
سطح 2: رمزگشای ویروس حاوی یک یا چند دستورالعمل دائمی است، اما بخش اصلی غیر پایدار است.
سطح 3: رمزگشا حاوی دستورالعمل های استفاده نشده - "زباله" مانند NOP، CLI، STI و غیره است.
سطح 4: رمزگشا از دستورالعمل های قابل تعویض و دستورات مرتب سازی مجدد (در هم ریختن) استفاده می کند. الگوریتم رمزگشایی تغییر نمی کند.
سطح 5: تمام تکنیک های فوق استفاده می شود، الگوریتم رمزگشایی ثابت نیست، امکان رمزگذاری مجدد کد ویروس و حتی تا حدی رمزگذاری خود کد رمزگشا وجود دارد.
سطح 6: ویروس های جابجایی کد اصلی ویروس در معرض تغییر است - به بلوک هایی تقسیم می شود که در صورت آلوده شدن به ترتیب تصادفی مجدداً مرتب می شوند. ویروس همچنان فعال است. چنین ویروس هایی ممکن است رمزگذاری نشوند.

تقسیم فوق عاری از کاستی نیست ، زیرا طبق یک معیار ساخته شده است - توانایی تشخیص ویروس توسط کد رمزگشا با استفاده از تکنیک استاندارد ماسک های ویروس:

سطح 1: برای تشخیص ویروس کافی است چند ماسک داشته باشید

سطح 2: تشخیص ماسک با استفاده از "کارت های عام"

سطح 3: تشخیص با ماسک پس از حذف دستورالعمل های "زباله".

سطح 4: ماسک حاوی چندین گزینه کد ممکن است، به عنوان مثال. الگوریتمی می شود
سطح 5: ناتوانی در تشخیص ویروس با استفاده از ماسک

ناکافی بودن چنین تقسیم بندی در ویروس سطح 3 پلی مورفیسم که "سطح 3" نامیده می شود نشان داده شده است. این ویروس که یکی از پیچیده ترین ویروس های چند شکلی است، طبق تقسیم بندی فوق در سطح 3 قرار می گیرد، زیرا دارای یک الگوریتم رمزگشایی ثابت است که قبل از آن تعداد زیادی دستور "آشغال" وجود دارد. با این حال، در این ویروس، الگوریتم تولید زباله به کمال رسیده است: تقریباً تمام دستورالعمل های پردازنده i8086 را می توان در کد رمزگشا پیدا کرد.

اگر از نقطه نظر آنتی ویروس هایی که از سیستم هایی برای رمزگشایی خودکار کد ویروس (شبیه سازها) استفاده می کنند، به سطوح تقسیم کنیم، تقسیم به سطوح به پیچیدگی شبیه سازی کد ویروس بستگی دارد. تشخیص ویروس با استفاده از روش های دیگر، به عنوان مثال، رمزگشایی با استفاده از قوانین ریاضی ابتدایی و غیره امکان پذیر است.

بنابراین، به نظر من تقسیم عینی تری است که علاوه بر معیار ماسک های ویروسی، پارامترهای دیگری نیز در آن شرکت می کنند:

درجه پیچیدگی کد چند شکلی (درصد از تمام دستورالعمل های پردازنده که در کد رمزگشا یافت می شوند)
استفاده از تکنیک های ضد شبیه سازی
سازگاری الگوریتم رمزگشا
ثبات طول رمزگشا

تغییر کد اجرایی

اغلب، این روش چندشکلی توسط ماکرو ویروس ها استفاده می شود، که هنگام ایجاد کپی های جدید از خود، به طور تصادفی نام متغیرهای خود را تغییر می دهند، خطوط خالی را وارد می کنند یا کد آنها را به روش دیگری تغییر می دهند. بنابراین، الگوریتم ویروس بدون تغییر باقی می ماند، اما کد ویروس تقریباً به طور کامل از عفونت به عفونت تغییر می کند.

این روش کمتر توسط ویروس های بوت پیچیده استفاده می شود. چنین ویروس هایی فقط یک روش نسبتاً کوتاه را به بخش های بوت تزریق می کنند که کد ویروس اصلی را از دیسک می خواند و کنترل را به آن منتقل می کند. کد این روش از چندین گزینه مختلف انتخاب می شود (که همچنین می تواند با دستورات خالی ترکیب شود)، دستورات دوباره مرتب می شوند و غیره.

این تکنیک حتی با ویروس های فایل کمتر رایج است - بالاخره آنها باید کد خود را کاملاً تغییر دهند و این به الگوریتم های کاملاً پیچیده نیاز دارد. تا به امروز، تنها دو نوع ویروس شناخته شده است که یکی از آنها ("Ply") به طور تصادفی دستورات خود را در اطراف بدن خود حرکت می دهد و آنها را با دستورات JMP یا CALL جایگزین می کند. ویروس دیگری ("TMC") از روش پیچیده تری استفاده می کند - هر بار که آلوده می شود، ویروس بلوک هایی از کد و داده های خود را مبادله می کند، "آشغال" را وارد می کند، مقادیر افست جدیدی را برای داده ها در دستورالعمل های اسمبلی خود تنظیم می کند، ثابت ها را تغییر می دهد. و غیره. در نتیجه، اگرچه ویروس کد خود را رمزگذاری نمی کند، اما یک ویروس چند شکلی است - هیچ مجموعه ای از دستورات ثابت در کد وجود ندارد. علاوه بر این، هنگام ایجاد نسخه های جدید از خود، ویروس طول خود را تغییر می دهد.

ویروس ها بر اساس نوع عملکرد مخرب

بر اساس نوع اعمال مخرب، ویروس ها را می توان به سه گروه تقسیم کرد:

ویروس های اطلاعاتی (ویروس های نسل اول)

ویروس‌های نسل اول همگی ویروس‌هایی هستند که در حال حاضر وجود دارند و هدفشان از بین بردن، تغییر یا سرقت اطلاعات است.

ویروس های سخت افزاری (ویروس های نسل دوم)

این نوع ویروس می تواند به سخت افزار کامپیوتر آسیب برساند. به عنوان مثال، بایوس را پاک کنید یا آن را خراب کنید، ساختار منطقی هارد دیسک را به گونه ای بر هم بزنید که فقط امکان بازیابی آن وجود داشته باشد. قالب بندی سطح پایین(و نه همیشه). تنها نماینده این گونه خطرناک ترین ویروسی است که تاکنون وجود داشته است، ویروس Win95.CIH "Chernobly". زمانی این ویروس میلیون ها کامپیوتر را از کار انداخت. او برنامه را از بایوس پاک کرد و در نتیجه کامپیوتر را غیرفعال کرد و همان برنامه تمام اطلاعات را از بین برد. هارد دیسکبه طوری که بازیابی آن تقریبا غیرممکن بود.

در حال حاضر، هیچ ویروس سخت افزاری "وحشی" شناسایی نشده است. اما کارشناسان در حال حاضر ظهور ویروس‌های جدیدی از این نوع را پیش‌بینی می‌کنند که می‌توانند BIOS را آلوده کنند. برنامه ریزی شده است که در هر یک از این گونه ویروس ها محافظت شود مادربردجامپرهای ویژه ای که نوشتن در BIOS را مسدود می کند.

ویروس‌های روان‌گردان (ویروس‌های نسل سوم)

این ویروس‌ها می‌توانند از طریق مانیتور کامپیوتر یا بلندگوها، فرد را از بین ببرند. ویروس‌های روان‌گردان با بازتولید صداهای خاص، فرکانس معین، یا سوسو زدن رنگ‌های مختلف روی صفحه، می‌توانند باعث حمله صرع (در افراد مستعد این امر)، یا ایست قلبی یا خونریزی مغزی شوند.

خوشبختانه امروزه وجود واقعی چنین ویروس هایی مشخص نیست. بسیاری از کارشناسان وجود کلی این نوع ویروس را زیر سوال می برند. اما یک چیز قطعی است. فن‌آوری‌های روان‌گردان مدت‌هاست که برای تأثیرگذاری بر شخص از طریق صدا یا تصویر اختراع شده‌اند (با قاب 25 اشتباه نشود). ایجاد حمله صرع در یک فرد مستعد این امر بسیار آسان است. چندین سال پیش در برخی رسانه ها سر و صدایی در مورد ظهور ویروس جدیدی به نام "666" به وجود آمد. این ویروس پس از هر 24 فریم، ترکیب رنگ خاصی را روی صفحه نمایش می دهد که می تواند زندگی بیننده را تغییر دهد. در نتیجه، فرد وارد یک خلسه هیپنوتیزمی می شود، مغز کنترل خود را بر عملکرد بدن از دست می دهد، که می تواند منجر به یک وضعیت دردناک، تغییر در نحوه عملکرد قلب، فشار خون و غیره شود. اما امروزه ترکیب رنگ ها منع قانونی ندارد. بنابراین، آنها می توانند کاملاً قانونی روی صفحه نمایش ظاهر شوند، اگرچه نتایج تأثیر آنها می تواند برای همه ما فاجعه بار باشد.

نمونه ای از چنین تأثیری کارتون «پوکمون» است؛ پس از نمایش یکی از قسمت ها در ژاپن، صدها کودک با سردرد وحشتناک و خونریزی مغزی در بیمارستان بستری شدند. برخی از آنها فوت کرده اند. در این کارتون قاب هایی با نسل روشن از یک پالت رنگ مشخص وجود داشت، به طور معمول، اینها فلاش های قرمز روی یک پس زمینه سیاه در یک دنباله خاص هستند. پس از این اتفاق، این کارتون برای نمایش در ژاپن ممنوع شد.

یک مثال دیگر هم می توان زد. احتمالاً همه به یاد دارند که پس از پخش بازی تیم ملی فوتبال کشورمان با تیم ملی ژاپن (اگر اشتباه نکنم) در مسکو چه گذشت. اما در صفحه نمایش بزرگتنها کاری که آنها انجام دادند این بود که فیلمی از مردی با خفاش در حال شکستن ماشین نشان دادند. این نیز یک اثر روان‌گردان است، با دیدن ویدیو "مردم" شروع به نابود کردن همه چیز و هر کسی در مسیر خود کردند.

مواد و داده ها از منابع زیر گرفته شده است:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• برای نظر دادن، لطفآ وارد سامانه شوید یا ثبت نام کنید

1. ویروس های ماکرو چگونه به سیستم نفوذ می کنند؟

الف) از طریق ایمیل؛

ب) به هر نحوی همراه با پرونده های آلوده به آنها؛

ج) مهاجم باید به صورت دستی ویروس را وارد سیستم کند.

د) از طریق اینترنت، با استفاده از خطا در برنامه های شبکه;

ه) از طریق رسانه های ذخیره سازی قابل جابجایی هنگامی که بارگیری خودکار از آنها آغاز می شود.

2. یک رمز عبور برای مقابله با حمله فرهنگ لغت شخصی باید چه شرایطی را برآورده کند؟

الف) هنگام ایجاد رمز عبور نباید از داده های شخصی استفاده شود.

3. معایب سیستم های تشخیص نفوذ مبتنی بر تشخیص ناهنجاری چیست؟

الف) درصد بالای مثبت کاذب؛

ب) قادر به کنترل وضعیت در سراسر شبکه نیستند.

ج) قادر به تجزیه و تحلیل درجه نفوذ نیستند.

د) وقتی بار شبکه زیاد است کار دشوار است.

ه) کارایی سروری که روی آن نصب شده اند کاهش می یابد.

4. تونل یک کانال بین دو گره است که با رمزگذاری ترافیک عبوری از آن محافظت می شود.

5. نام ویروس هایی که به طور خودکار هنگام راه اندازی سیستم عامل راه اندازی می شوند و در نتیجه دائماً در RAM کار می کنند چیست؟

الف) ویروس های مقیم؛

ب) ویروس های پنهان کاری؛

ج) ماکرو ویروس ها؛

د) ویروس های چند شکلی؛

د) اسب های تروا.

6. متعلق به چه طبقه ای هستند؟ فایروال ها، کدام اتصالات جاری را نظارت می کند و فقط بسته هایی را ارسال می کند که منطق و الگوریتم های پروتکل ها و برنامه های مربوطه را برآورده می کند؟

الف) کار در سطح شبکه؛

ب) کار در سطح جلسه؛

ج) کار در سطح برنامه؛

7. نام آنتی ویروس هایی که رزیدنت کار می کنند و از آلوده شدن فایل ها جلوگیری می کنند چیست؟

الف) آشکارسازها؛

ج) حسابرسان؛

د) واکسن ها؛

د) فیلترها

8. چه ویروس هایی رسانه های ذخیره سازی را آلوده می کنند؟

الف) ویروس های فایل؛

ب) ویروس های بوت؛

ج) ماکرو ویروس ها؛

د) کرم های شبکه؛

د) اسب های تروا.

9. نام VPN هایی که به کمک آنها یک زیرشبکه قابل اعتماد و امن بر اساس یک شبکه غیر قابل اعتماد ایجاد می شود چیست؟

الف) درون شرکتی؛

ب) محافظت شده؛

ج) ج دسترسی از راه دور;

د) امانتداری؛

ه) شرکت های داخلی.

10. یک رمز عبور برای مقابله با فیشینگ باید چه الزاماتی را داشته باشد؟

الف) رمز عبور نباید از کلمات هر زبان طبیعی مشتق شده باشد.

ب) رمز عبور باید 12 کاراکتر یا بیشتر باشد.

ج) رمز عبور را نمی توان برای کسی فاش کرد.

د) سرویس های مختلف باید با رمزهای عبور متفاوت محافظت شوند.

ه) رمز عبور باید شامل حروف الفبا و رجیسترهای مختلف، اعداد، علائم نگارشی و غیره باشد.

11. VPN چیست؟

الف) سیستم تشخیص نفوذ؛

ب) پروتکل تبادل کلید؛

ج) پخش آدرس های شبکه;

د) مجازی شبکه خصوصی;

ه) پروتکل حفاظت از جریان ارسالی.

12. عیب اصلی شناسایی ویروس ها با اسکن اکتشافی چیست؟

الف) احتمال قابل توجه مثبت کاذب؛

ب) فوق العاده کند کارآنتی ویروس؛

ج) ناتوانی در شناسایی ویروس های جدید؛

د) نیاز به کار فشرده تنظیمات دستیآنتی ویروس

نقاشی شده:

پاسخ های صحیح در پاسخ های شما به رنگ سبز هستند.

پاسخ های صحیحی که انتخاب نشده اند با رنگ قرمز مشخص می شوند.