بیشتر کسانی که با اینترنت سر و کار دارند با اسمهایی نظیر ویروس، تروجان، کرمها و ... آشنا هستند. تقریبا نیمی از صاحبان مشاغل در سراسر جهان در سال 2009 به دلیل بی توجهی به افزایش ضریب امنیت سیستمهای خود به انواع کرم و ویروس اینترنتی آلوده شدند. .هکرها و ویروس نویسان نیز با اطلاع از کم توجهی و اهمال مردم، بدافزارهای خود را به گونهای طراحی میکنند که به راحتی قادر به بروز آسیبهای کاملاً غیرقابل پیشبینی در سیستم رایانه اشخاص شوند. آشنایی با انواع بدافزارها و روشهای تکثیرشاندر مقابله با آنها حائز اهمیت است.
بدافزارها
Malware) malicious software) ابزارهای بد نیتی هستند که بهصورت مخفیانه وارد سیستم کاربر میشوند و اعمال خاص خود را روی دادههای قربانی انجام میدهند که ممکن است خساراتی به بار آورند و به علت آنکه معمولاً کاربر را آزار میدهند یا خسارتی بهوجود میآورند، به این نام مشهورند.
Malware واژهای عمومی برای معرفی انواع ویروسها، کرمها، ابزارهای جاسوسی، تروآ و ... است که هر کدام به نوعی برای صدمه زدن به سیستمهای رایانهای یا سرقت اطلاعات کاربران طراحی شدهاند. یک برنامه بر اساس نیت خالق آن به عنوان یک بدافزار شناخته میشود. البته اشکالات برنامهنویسی نرم افزارها که ممکن است به رایانه آسیب برسانند جزو این دستهبندی قرار نمیگیرند.
بد افزارها را میتوان به دو دسته عمده تقسیم کرد:
- بد افزارهای مستقل که بدون نیاز به برنامه دیگری توسط سیستم عامل اجرا میشوند مثل تروجانها
- بدافزارهای نیازمند میزبان که به تنهایی نمیتوانند فعال شوند همانند ویروسها
با توجه به پیشرفت تکنولوژی بدافزارها نیز شدیداً رو به رشد هستند. آشنایی با انواع بدافزارها و روشهای تکثیر و نوع عملکرد آنان حائز اهمیت بوده که در اینجا به انواع آن اشاره میگردد.
الف. ویروسها (virus):
ویروسهای رایانهای ابزاری هستند که تروریستها یا هکرهای بدخواه میتوانند برای از کار انداختن سیستمهای کاربران از آنها استفاده کنند. واژه ویروس اغلب بهجای بدافزار بهکار میرود و کاربران هر نوعی از بدافزارها را با نام ویروس میشناسند در صورتیکه ویروس یکی از انواع بدافزارهاست و معنای خاص خودش را دارد.
خصوصیات:
- برنامههایی که خود را کپی کرده و رایانه را آلوده میکنند.
- از یک فایل به فایل دیگر گسترش پیدا میکنند.
- در نهایت وقتی فایلها کپی شوند یا بهاشتراک گذاشته شوند، از یک رایانه به رایانه دیگر منتقل میشوند.
اغلب ویروسها یا “برنامههای خود همانندساز” خودشان را به فایلهای اجرایی میچسبانند و تا زمانی که فایل اجرا نشود خطری برای سیستم ندارند. بعد از اجرای فایل آلوده به ویروس، ویروس قبل از آنکه آسیبی به سیستم شما وارد کند به تکثیر خودش فکر میکند! به عبارتی درون هر ویروس برنامهای برای پیدا کردن فایلهایی که میتواند آلوده کند وجود دارد و پس از آلوده کردن فایلهای مورد نظرش اهداف تخریبی خود را دنبال میکند. مثلاً فایلی را پاک یا هارد شما را فرمت میکند. یا همچون CIH[1] برای از کار انداختن کامل رایانه طراحی شدهاند، البته تمامی ویروسها به این شکل خطرناک نیستند.
- ویروسهای رایانهای به این دلیل ویروس نامیده میشوند که رفتارشان به ویروسهای بیولوژیک نزدیک است.
- همانند ویروسهای بیولوژیکی از میزبانی به میزبان دیگر منتقل میشود.
- یک ویروس رایانهای هم برای تکثیر خود باید بر روی یک برنامه قرار گیرد یعنی نیازمند یک میزبان است و به تنهایی خطری ندارد.
ب. اسبهای تروآ (Trojan horses):
خصوصیات :
- برنامههایی هستند که در قالب یک برنامه مفید( به شکلهای: عکس، یک فایل صوتی، یک فایل Setup و .... )، قانونی و بی خطر خود را جلوه میکنند
- در پشت برنامهها امکاناتی برای دسترسی غیرمجاز به سیستم کاربر را فراهم میکنند
- شامل کدهای مخرب هستند.
- در بسیاری از موارد، تروجان یک در پشتی برای ورود به رایانه شما ایجاد میکند که به کمک آن رایانه از راه دور قابل کنترل خواهد شد.
تفاوت عمده میان ویروس و تروجان در این است که تروجان خودش را تکثیر نمیکند و کافیست فقط یک بار توسط کاربران مبتدی و کم تجربه روی رایانه نصب شود.
وقتی رایانهای به تروآ آلوده شد؛
- میتواند توسط هکرها از راه دور کنترل شود( همانند تماشای صفحه مانیتور کاربر).
- یا برای اهداف مختلفی مورد سوء استفاده قرار گیرد، (سرقت اطلاعات شخصی (مثل رمز عبور کارتهای اعتباری و بانکی)، استفاده برای حملات (DoS)[2] به وب سایتها، منبعی برای ارسال هرزنامه[3].)
ت. جاسوسها (spyware):
اگر بخواهیم جاسوسافزارها را در یک جمله تعریف کنیم، میتوانیم بگوییم جاسوسافزار عبارتست از: «برنامهای برای کسب درآمد سازنده نرمافزار از پولهای شما».
خصوصیات:
- برنامههایی هستند که روی رایانه نصب شده و بدون اطلاع کاربر به گردآوری اطلاعات آن میپردازند و در نهایت نیز بهطور مخفیانه این اطلاعات را برای سازنده نرمافزار ارسال میکنند.
- جاسوسها معمولاً سیستم کاربر را از بین نمیبرند. در حقیقت بسیاری از مردم بدون اینکه آگاه باشند مدت زیادی را با جاسوسافزارها سپری میکنند
- عموماً وقتی یک جاسوس روی رایانه نصب باشد احتمال وجود چند جاسوس دیگر نیز وجود دارد.
- یکی از نشانههای آلوده بودن رایانه به جاسوسافزار، کاهش محسوس سرعت رایانه است.
- جاسوسافزارها به شکلهای مختلفی وجود دارند:
- برخی از آنها با ثبت کلیدها و عبارات نوشته شده توسط کاربر، رمز عبورها را سرقت میکنند (keylogger)،
- برخی دیگر عادتهای جستوجوی شما را زیر نظر میگیرند.
- و برخی دیگر فقط رمز عبور و شماره کارت اعتباری شما را سرقت میکنند.
ث. کرمها (worms):
برنامههایی هستند که از طریق شبکه خود را روی رایانههای مختلف کپی میکنند.
خصوصیات:
- معمولاً از حفرههای امنیتی موجود در سیستم عامل برای انتقال از رایانهای به رایانه دیگر کمک میگیرند.
- در واقع کرمها از طریق شبکه به زور خود را به کامپیوتر کاربر میرسانند.
- یکی از عمومیترین کارهایی که کرمها انجام میدهند نصب یک در پشتی (Backdoor) بر روی سیستم آلوده به کرم میباشد. از این طریق نویسنده کرم، کامپیوتر آلوده را بدون اطلاع صاحب آن از راه دور کنترل میکند.
- وقتی سیستم شما به این نوع بدافزارها مبتلا شود، ممکن است به صورت خودکار و خیلی سریع، با استفاده از آدرسهای پست الکترونیکی دوستان و آشنایانتان که در ADRESS BOOK ایمیل شما وجود دارد نامههایی حاوی از نسخه بدافزار ارسال کنید. به این دلیل که دائماً در حال افزایش هستند به آنها کرم گفته میشود.
کرمها بهخاطر سرعت انتشار بسیار زیاد در شبکه و آلودهسازی تمام رایانههایی که در مسیر حرکتشان وجود دارد یکی از شایعترین انواع بدافزارها هستند که بهطور اشتباه توسط بسیاری از کاربران، ویروس نامیده میشوند. مثلاً برخی از کرمهای مشهور همچون کرم ILOVEYOU توسط فایل پیوست نامههای الکترونیکی پخش شده و خسارتهای مالی بسیار زیادی را نیز به بار آوردهاند یا کرم SQL Slammer کل شبکه اینترنت را برای مدت کوتاهی با افت سرعت مواجه کرد.
ج. روت کیتها ( Rootkit):
برنامههایی هستند که بدون اطلاع شما، مدیریت سیستم رایانهای تان را در دست میگیرند
خصوصیات:
- دادههای شما را تخریب یا بخشی از منابع سیستم شما را در اختیار مهاجمان قرار میدهند٬ "شبیه باتنتها".
- معمولاً روتکیتها از طریق حفرههای امنیتی یا یک تروجان بر روی سیستم نصب میشوند.
- برخی از روت کیتها با آلوده کردن سرویسها و فایلهای اصلی و مهم سیستم عامل و با پنهان سازی بسیار قوی خود، سطوح دسترسی بالا(Administrator) را برای کاربر غیر مجاز ممکن میسازند.
- و برخی دیگر از روتکیتهایی هم وجود دارند که سطوح دسترسی را بالا نمیبرند بلکه برای پنهانسازی برخی برنامهها در برنامههای دیگر به کار میروند. مثلاً یک ویروس را از دید آنتی ویروسها پنهان میکنند.
چ. بمبهای منطقی (Logic Bomb):
برنامههایی هستند که تعمداً زیانبار ساخته میشوند اما مانند ویروسها تکثیر نمیشوند .
خصوصیات:
- طوری طراحی شدهاند که طی یک دوره زمانی در رایانه غیر فعال باقی مانده و سپس با سر رسیدن تاریخی که در برنامه آنها مشخص شده است، منفجر میشوند.
- اهداف این بمبها متفاوت است.( بعضی از آنها هنگام منفجر شدن، یک ویروس یا کرم را آزاد میکنند.)
- بمبهای منطقی در میان کارکنان اخراج شده طرفداران زیادی دارند زیرا آنها میتوانند بمب را کار گذاشته و زمان انفجار آنرا برای زمانی بعد از رفتن خودشان از شرکت تنظیم کنند.
ح. باکتریها (Bacteria):
برنامههای کمیابی هستند که مانند خرگوش(Rabbit) یا باکتری با سرعت بسیار زیادی خود را تکثیر میکنند.
خصوصیات:
- بسیاری از آنان با افزایش سریع، تمام منابع سیستم شما را به خود اختصاص داده و عملاً کامپیوتر شما را فلج میکنند. (مثلاً قطعه برنامههایی که در هر ثانیه چند پنجره جدید را میگشایند که بسیاری از توان CPU و حافظه شما را به خود اختصاص داده رایانه را عملاً قفل میکنند.)
- حالت دیگر خرگوشها، برنامههایی هستند که بلافاصله پس از تولد، مادر خود را پاک میکنند.( مثلاً در شکلی از یک کرم که میان کامپیوترهای مختلف شبکه در حال جست و خیز است و هر بار قطعه و یا برنامه مولد خود را پاک کرده با شکل جدیدی در کامپیوتر دیگری ظاهر میشود).
- باکتریها بر خلاف کرمها، لزوماً بر روی شبکه منتشر نشدهاند.
خ. در پشتی( Back Door)
قطعهای از برنامه به ظاهر سالم و پاکیزه هستند که در صورت وقوع شرط یا شروطی خاص زمینه دسترسی مهاجمین به دادههای شما را فراهم میآورند.
خصوصیات:
- ابزارهای ورود از در پشتی با مکانیسمی نظیر بمبهای منطقی دارند. مثلاً یک برنامه نویس میتواند برنامهای برای امنیت کامپیوتر شما تولید کند که مانع ورود مهاجمان شود، اما او در داخل برنامه راهی برای ورود خود به کامپیوتر شما باز گذاشته و میتواند از آن در وارد سیستم شما شود.
د. زورگیرها (Scareware):
Scarewareها که بهتر است آنها را زورگیرهای به سبک مدرن بنامیم، نوع جدیدی از بدافزارهای رایانهای به شمار میروند. و بیشتر به صورت ویروس یابهای قلابی ظاهر میشوند
خصوصیات:
- پس از نصب روی رایانه، با یک ظاهرسازی، فایلهای شما را بررسی کرده و پیغامی مبنی بر آلوده بودن رایانه به انواع بدافزارها را نمایش میدهند
- تنها در صورتی این بدافزارها را نابود میکنند که مبلغی را بابت تهیه نسخه کامل نرمافزار بپردازید.
- در حقیقت این زورگیرها اطلاعات شما را گروگان میگیرند و تا زمانی که پول مورد نظر را پرداخت نکنید آنها را در اختیار شما قرار نخواهند داد.
- در بسیاری از موارد حذف این نرمافزارها امکانپذیر نیست و حتی رایانه نیز در مواردی غیرقابل استفاده میشود.
ذ. ابزارهای تبلیغاتی مزاحم ( Adware):
ابزارهای تبلیغاتی مزاحم برنامههایی هستند که جهت اهداف تبلیغاتی و نشان دادن پیامها و آگهیهای تبلیغاتی در رایانه افراد طراحیشده است.
خصوصیات:
- این برنامهها باعث به اجرا درآمدن تبلیغات شده یا شما را به سایتهای تبلیغاتی هدایت میکنند.
- این نوع برنامهها معمولاً همراه نرم افزارهای رایگانی که از اینترنت دانلود میکنید بدون اطلاع شما در سیستم نصب میشوند.
- برخی از تروجانها نیز باعث نصب Adware از سایتها در سیستم میشوند.
- هکرها با نفوذ به وب سایتها(اغلب وب سایتهایی که به روز نیستند) و تغییر تنظیمات آنها باعث اجرا شدن Adware میشوند،
- یا شما را به سایتهای دیگری که شامل نرم افزارهای مخرب دیگری است هدایت میکنند.
- این نوع نرمافزارها عموماً خطر خاصی برای رایانه ایجاد نمیکنند، اما برخی از آنها سرعت سیستم را کاهش داده و در کار نرمافزارهای امنیتی اختلال ایجاد میکنند.
- ج. کامپیوترهای زامبی (zombie) و شبکههای Botnet ها:
- بدافزارهایی مثل تروجان یا کرم که پس از در اختیار گرفتن کامپیوتر قربانی از آن برای مقاصد غیرقانونی خود استفاده مینمایند. به این کامپیوترهای آلوده، زامبی (Zombie) میگویند. و به شبکهای از کامپیوترهای زامبی، بات نت میگویند.
خصوصیات:
- قربانی بدون آنکه خود بداند بخشی از شبکه بزرگ حمله و اقدامات غیرقانونی تبهکاران است.
- از بات نتها برای انتشار هرزنامه استفاده میشود.
- شبکههای بات نت برای مقاصد تبهکارانه یا جنگ سایبری علیه کشورها و سازمانهای دیگر مورد استفاده قرار میگیرند.
ر. بدافزارهای ترکیبی، قطره چکانها، تهدیدات مخلوط (Hybrid, Dropper and Blended threats):
هیبریدها به ترکیبی از تهدیدهای ذکر شده در موارد قبل اطلاق میشوند.
خصوصیات:
- برنامههای جاسوسی که در عین حال یک تروجان یا یک ویروس را نیز در کامپیوتر قربانی نصب میکنند. ( مثلاً قطعه برنامهای که اولاً یک درب پشتی (Back Door) را ایجاد کرده و ثانیاً این عمل شبیه یک ویروس را بر فایلهای دیگر آن سیستم تکرار میکنند.)
- Dropperها نیز میتوانند با روشهای ترکیبی از خود حفرههایی در کامپیوتر قربانی بر جای گذارند، مثلاً به همراه ویروس یک ابزار Back Door هم روی کامپیوتر میزبان بر جای میگذارد.
- تهدید مخلوط یا Blanded Threat به ویروسی اطلاق میشود که از روشی مشابه کرمها یا Worms برای کشف آسیب پذیریهای تکنیکی شبکه یا پروتکل استفاده کرده و در عین حال بر خلاف کرم توان تکثیر دارد.
تاریخچه عمدهترین بدافزارها
تاریخچه عمدهترین بدافزارها میتوان در جدول زیر مشاهده کرد :
نام بد افزار | موقعیت جغرافیایی | سال انتشار | توضیحات |
Brain | پاکستان | 1986 | اولین ویروس برای کامپیوترهای شخصی |
Stoned | نیوزلند | 1987 | توسط یک دانشآموز دبیرستانی نوشته شد |
Form | سوئیس | 1990 | یکی از بزرگترین موارد پخش ویروس در سراسر جهان |
Michelangelo | نیوزلند | 1991 | نخستین ویروس کامپیوتری که وارد ادبیات رسانهای شد |
VCL | آمریکا | 1992 | تولد اتوماتیک ویروس با یک ظاهر ساده گرافیکی |
Monkey | کانادا | 1994 | برنامه با قابلیت مخفی سازی خودکار |
Concept | آمریکا | 1995 | اولین ویروسی که فایلهای مایکروسافت ورد را آلوده کرد |
Happy99 | نامشخص | 1999 | اولین ویروس ایمیلی |
Melissa | آمریکا | 1999 | ظاهرا ملیسا نام یک رقصنده است |
Code Red | نامشخص | 2001 | شیوع اولین کرم بدون هیچ نوع دخالت کاربر |
Love Letter | فیلیپین | 2000 | با attachment ایمیل یکی از بزرگترین موارد شیوع و تخریب |
Slammer | نامشخص | 2003 | خودپردازهای Bank of America و 911 سیاتل را از کار انداخت |
Sobig | نامشخص | 2003 | در کمتر از چند ساعت میلیونها کامپیوتر را آلوده کرد |
Fizzer | نامشخص | 2003 | اولین ویروس با هدف کسب درآمد با ارسال اسپم |
Cabir | فیلیپین | 2003 | اولین کرم روی تلفنهای موبایل |
MyDoom | روسیه | 2004 | تکثیر از طریق ایمیل و شبکههای محبوب p2p مشخصا Kazaa |
Sasser | آلمان | 2004 | شبکهها را از استرالیا تا هنگ کنگ و انگلستان از کار انداخت |
SdBOT | نامشخص | 2004 | اولین تروجانی با قابلیت عبور از آنتیویروسهای معمولی |
Haxdoor | نامشخص | 2005 | روت کیت برای ویندوز با قابلیت اختفای بدافزارهای دیگر |
Sony Rootkit | آمریکا، انگلیس | 2006 | روت کیت که توسط SONY BMG نصب میشد |
Mebroot | نامشخص | 2007 | قابلیت سرقت اطلاعات حساس مثل حساب بانکی |
StormWorm | نامشخص | 2007 | پیامیرا درباره تلفات طوفان در اروپا نمایش میداد |
3D-Anti Terrorist | روسیه | نامشخص | موبایلهای مبتنی بر سیستم عامل ویندوز را آلوده میکرد |
Conficker | نامشخص | 2008 | به سرعت میلیونها کامپیوتر در سراسر جهان را آلوده کرد |
Stuxnet | آمریکا،اسرائیل | 2010 | با حجمیحدود 1000 برابر یک کرم معمولی |
امروزه وب سایتهای آمریکایی به میزبانان اصلی بدافزارهای مخرب رایانهای مبدل شدهاند وانتشار هرزنامه در این کشور نیز از تمامی نقاط دیگر جهان بیشتر است یکی از نشانههای این امر آن است که به دنبال تعطیلی یک شرکت بزرگ ارسال کنندههرزنامه در آمریکا میزان ایمیل های ناخواسته ارسالی در جهان تا ٧٥درصد کاهش یافت.
طبق گزارش پاندا، تروجان یک رکورد جدید برای تبدیل شدن به رده ارجح در مجرمان اینترنتی را امسال در جهان کسب کرده است.
نکته حائز اهمیتی که باید به آن توجه داشت این است که موفقیت بدافزارها بستگی به بیشترین تعداد کامپیوترهای آلوده شده در حداقل زمان ممکن و با حداقل تلاش دارد. بنابراین، به ازای هر بدافزار موفق، یک مکانیسم انتشار مؤثر و کانالی با بیشترین امکان دسترسی وجود دارد.
امروزه هدف اکثر مهاجمان از استفاده بدافزارها دستیابی به زیرساختارها نمیباشد بلکه هدف آنها رسیدن به اطلاعات ذخیره شده بر روی سیستمهای متصل به شبکه است. وبها تبدیل به ابزار و محیطی مناسب برای برنامهنویسان بدافزارها گشته تا از این محیط در گسترش مخلوقات زیانبار خود نهایت بهره را ببرند.
خالقان بدافزار یک وب سایت را پیدا نموده و کدهای مخرب خود را به آن تزریق می نمایند. این افراد حتی می توانند خود وب سایتهایی طراحی نمایند و بستری مناسب برای بدافزارها ایجاد نموده و سپس کاربران را تشویق به بازدید از این وب سایت آلوده به بدافزار نمایند. یک کاربر اینترنت که از چنین سایتهایی بازدید نماید (بهطوریکه خود کاربر به هیچ وجه از این موضوع آگاه نیست) بدافزار بطور مخفیانه با نقاط ضعف مرورگر وب ارتباط برقرار نموده و رایانه کاربر را آلوده مینماید.
با توجه به مطالب فوق میتوان نتیجه گرفت که وب مشخصاً یک کانال بسیار موثر برای انتشار بدافزارها میباشد. زیرا بدافزارها با کمترین تلاش و در کمترین زمان قادر خواهند بود بیشترین کامپیوتر را آلوده سازند.
5656
نظر شما