بدافزار (Malware) چیست؟
بد افزار چیست؟
Malware یا بدافزار از دو واژه تشکیل شده است، Mal که مخفف Malicious یا مخرب و Ware مخفف Software یا نرم افزار است.
تمامی کدهای مخربی که نوشته می شود در رده Malware ها یا بدافزارها طبقه بندی می شوند،
این کد ها می توانند شامل ویروس ها، کرم ها، اسب های تروجان، adware ها، Scare ware ها، rootkit ها و سایر نرم افزارهای ناخواسته باشند.
البته این تعریف شخص من در خصوص بدافزارها است اما در یک وب سایت دیگر نیز در خصوص بدافزار ها چنین نوشته است :
بـدافــزار- مخفف عبـارت نرم افزار بـدخــواه (Malware) – یک اصطلاح فراگیر و جامع است که به هر برنامه نرم افزاری اطلاق می شود که عمداً برای انجام اعمال غیرمجاز و گاهاً مضر ایجاد شده است.
ویروسها، backdoor ها، کی لاگرها، برنامه های سارق کلمه عبور و سایر برنامه های تروجان، ویروسهای ماکرو در Word و Excel، ویروس های بوت سکتور، ویروس های اسکریپت (batch ،windows shell ،java و غیره) و تروجانها، برنامه های تبهکارانه، بدافزار جاسوسی (spyware) و بدافزار تبلیغاتی(adware) تعدادی از نمونه های بدافزار هستند.
زمانی، نامیدن چیزی با ویروس یا تروجان کافی بود، اما روشها و حاملهای آلودگی توسعه یافت و اصطلاح ویروس و تروجان دیگر تعریف رضایت بخشی برای همـه انواع برنامه های مخرب موجود ارائه نمی کند.
بصورت کلی هر نوع کد نرم افزاری که بر روی سیستم شما قرار بگیرد و عملیاتی ناخواسته را انجام دهد به عنوان بدافزار شناخته می شود.
در زیر به معرفی انواع بدافزارها و نحوه عملکرد آنها میپردازیم :
Spyware چیست؟
Spyware ها نرم افزارهای جاسوسی هستند که بدون اینکه کاربر متوجه شود کلیه اطلاعات شخصی وی را دریافت کرده برای شخص نویسنده بدافزار ارسال میکند. که میتوان به یکی از معروفترین این Spyware به برنامه Sub7 اشاره کرد.
Spyware مخفف کلمه Spy و Software می باشد و همانطور که از معنی کلمات پیدا است به معنای نرم افزار جاسوسی می باشد.
اینگونه نرم افزارها بدون اطلاع کاربر اطلاعاتی در خصوص کاربر یا هر چیزی که می توانند را بدست آورده و برای مهاجم ارسال می کنند.
کاربرد Spyware ها معمولا در زمینه های تبلیغات، جمع آوری اطلاعات شخصی و اعمال تغییرات بر روی کامپیوترها می باشد. Spyware ها علاوه بر موارد ذکر شده یک سری تاثیرات منفی نیز بر روی سیستم قربانی دارند که از آن جمله می توان به پایین آمدن کارایی سیستم، کم شدن ثبات نرم افزار ها، اضافه شدن و نصب شدن Toolbar های عجیب و غریب بر روی مرورگرها، ایجاد شدن Shortcut های عجیب بر روی سیستم، عوض شدن صفحه Home Page مرورگرها و باز شدن صفحات Pop-up اشاره کرد.
worm ها یا کرم های اینترنتی چیست؟
worm ها یا کرم های اینترنتی بدافزارهایی هستند که خودشان را در شبکه تکثیر کرده و عملیات های مختلف تخریبی انجام میدهند،
برای مثال فایل های شما را پاک میکنند، فایل های اضافی بر روی سیستم شما ایجاد می کنند و در نهاید فعالیت سیستم شما را دچار اختلال می کنند. کرم ها به 3 نوع DOC, Network و Mail تقسیم بندی میشوند.
نحوه کار Worm اغلب به این شکل است که در حافظه اصلی کامپیوتر (RAM) مستقر می شود و شروع به تکثیر خود می کند که عمل موجب کند شدن سیستم و کم شدن تدریجی فضای RAM می گردد.
Virus (ویروس) چیست؟
ویروس ها (Virus) نیز جزو بدافزارهایی هستند که مشابه کرم ها عمل می کنند با این تفاوت که از طریق شبکه منتشر نمی شوند و اساس کار آنها تکثیر با استفاده از رسانه هایی مثل حافظه های فلش و سی دی ها است.
اسب تروجان یا Trojan Horse چیست؟
اسب های تروجان یا همان Trojan Horse ها در عین اینکه نرم افزار مفیدی به نظر می رسند خود را به یک نرم افزار مفید کاربردی متصل کرده و بعد از اجرا شدن در سیستم عامل هدف فعالیت های جاسوسی یا سرویس هایی که نویسنده بدافزار از آن انتظار دارند را ارائه میکند.
هنگامی که تروجان بر روی سیستم نصب می شود، فقط اطلاعات را در برابر تهدیدها آسیب پذبر نمی کند بلکه این شانس را به مهاجم می دهد تا حمله ای را بر روی سیستم ترتیب دهد.
برای ساخت تروجان شما میتوانید با استفاده از نرم افزارهای ساخت تروجان یک بسته تروجان در ظاهری خوب و خوش نام و گول زننده ایجاد کرده (مثل یک بازی، آفیس و …) سپس هنگامی که کاربر فایل اجرایی بسته بندی شده را اجرا می کند،
در ابتدا تروجان در پشت زمینه و بدور از اطلاع کاربر نصب می شود و بعد از آن برنامه اصلی و واقعی در ظاهر نصب و اجرا می گردد.
این عمل این امکان را به تروجان می دهد تا بصورت مجازی غیر قابل شناسایی بماند.
اکثر آنتی ویروس ها توانایی تشخیص امضاهای دیجیتالی درون فایل ها را ندارند.
در نتیجه ماشین قربانی بدون آگاهی، با سرور مهاجم ارتباط برقرار می کند. همین عمل کافی است که مهاجم کنترل کامل ماشین قربانی را بدست بگیرد و با انتخاب خود اعمال مختلفی را بر روی آن انجام دهد.
اگر قربانی تراکنش و یا خرید آنلاینی را با سیستم خود انجام دهد، مهاجم براحتی قادر خواهد بود اطلاعات محرمانه او مثل اطلاعات کارت اعتباری، اطلاعات حساب، و غیره را سرقت کند. علاوه بر این مهاجم می تواند از سیستم قربانی به عنوان منبعی برای حملات به سیستم های دیگر استفاده کند.کامپیوترها معمولا توسط کلیک ناآگاهانه و یا ناخواسته کاربران بر روی لینک های آلوده و یا باز نمودن پیوست های همراه ایمیل که سبب نصب تروجان می شوند، آلوده می گردند.
تکنیک فرار تروجان ها از آنتی ویروس
این روش، تکنیکی متفاوت است که توسط تروجان ها، ویروس ها و کرم ها برای پنهان شدن از چشمان آنتی ویروس مورد استفاده قرار می گیرد. این روش شامل مواردی است که باید رعایت گردند:
تروجان هایی که بصورت آماده و قابل دانلود در اینترنت موجودند، براحتی توسط آنتی ویروس ها قابل شناسایی هستند.
تروجان را خودتان کدنویسی کنید و آن را در پوشش یک نرم افزار جا گذاری نمایید.
- تغیر پسوند فایل تروجان
- تبدیل فایل EXE به اسکریپت VB
- تبدیل EXE به فایل DOC
- تبدیل EXE به فایل PPT
- تغیر Checksum
- تغیر محتوای تروجان با استفاده از Hex Editor
- شکستن فایل تروجان به قطعات کوچکتر
Adware چیست؟
Adware ها را به احتمال زیاد احساس کرده اید، اینگونه بدافزارها در هنگام استفاده از دستگاه کامپیوترتان باعث اجرا شدن صفحات تبلیغاتی مزاحم می شوند که واقعا کار کردن با سیستم را دچار مشکل کرده و کاربر را آزار می دهند.Adware مخفف کلمات Advertisement یا تبلیغات و Software یا نرم افزار می باشد.
اینگونه بدافزارها بر روی سیستم های هدف تبلیغات ناخواسته ایجاد می کنند. معمولا تبلیغات این بدافزار به شکل نمایش بنر ها و یا صفحات Pop-Up می باشد و در برخی اوقات صفحات اینترنتی را مرتب و پشت سر هم باز می کنند،
یکی از کارهایی که Adware ها می توانند انجام دهند دنبال کردن فعالیت هایی است که کاربر بر روی سیستم انجام می دهد،
به ویژه فعالیت های آنلاینی که توسط شخص انجام می شود. اینگونه بدافزارها واقعا می تواند کاربران را عصبی و ناراحت کند و همچنین می توانند سیستم کاربر را به اندازه زیادی کند کنند و از فعالیت عادی کاربر جلوگیری کنند.
Scareware چیست؟
Scareware ها نیز همانطور که از نامشان پیداست باعث ترساندن کاربر می شوند که اگر عمری باقی باشد در خصوص این نوع بدافزار مقاله ای جداگانه ارائه خواهم داد.
Keyloger (کیلاگر) چیست؟
کیلاگر یا Keyloger برنامه های هستند که با قرار گرفتن در حافظه از کلیدهای زده شده توسط کاربر گزارش گرفته شده (مانند اطلاعات قابل استفاده و مفیدی از جمله رمزهای عبور، اطلاعات و شماره های کارت های اعتباری، اطلاعات شخصی و … می باشد) را برای هکر ارسال میکند. ما دو نوع کیلاگر داریم.
یکی Keyloger های نرم افزاری که روی سیستم قربانی نصب شده و شروع به ارسال اطلاعات برای هکر کرده، دوم Keyloger های سخت افزاری که معمولا روی پورت های USB یا PS2 که برای کیبرد هست نصب میشوند و بعد از آن شروع به ارسال اطلاعات برای هکر کرده.
Exploit (اکسپلویت) چیست؟
اکسپلویت (Exploit) کدهای مخربی هستند که با استفاده از اسیب پذیری های یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم میکند.
توضیح کاملتر از اکسپلویت ها را میتوانید از این لینک مطالعه کنید : لینک مقاله
Root Kit و Backdoor چیست؟
Root kit ها و Backdoor ها نیز جزو بدافزارهایی هستند که مهاجمین از آنها برای سوء استفاده و حمله به سیستم هدف استفاده می کنند و کاربرد تخریبی چندانی ندارند.
Root Kit (روتکیت) یک ابزار نرم افزاری هست که به وسیله آن این امکان وجود دارد تا فایل، پروسه یا کلید خاصی را در ریجیستری ویندوز پنهان نماید.
Rootkit ها از انوع دیگر کدهای مخرب مخفی شونده هستند، این نوع از کدهای مخرب تا حدود زیادی ساختار کاریشان مشابه ساختار کاری تروجان ها و Backdoor ها می باشد با این تفاوت که کدهای خود را با کدهای سیستم عامل ترکیب می کنند و در برخی اوقات فایل های خود را جایگزین فایل های سیستم عامل می کنند،
این نرم افزارها می توانند فعالیت هایی که هکر انجام می دهد را براحتی مخفی کرده و عملیات های تخریبی خود را انجام دهند زیرا سیستم عامل به آنها شکی نمی برد.
این نوع بدافزار تمامی لاگ های سیستم و یا رکوردهای مورد نظر مهاجم را می تواند حذف کند و بصورت ویژه برای مخفی نگاه داشتن فعالیت های یک هکر مورد استفاده قرار می گیرد.
با توجه به اینکه این نوع بدافزارها می توانند خود را جایگزین فایل های سیستمی کنند بنابراین شناسایی آنها بسیار بسیار دشوار است و همیشه برای راه درمان پیشنهاد می شود که از راهکارهای SIV استفاده شود. Rootkit ها در درجه اول مخفی کاری در میان بدافزارها قرار می گیرند.
سریعتری راهکار برای از بین بردن Rootkit ها نصب مجدد سیستم عامل یا فرمت کردن کامل هارد دیسک کامپیوتر می باشد.
Backdoor نوع دیگری از بدافزارها میباشد که بنام درب پشتی یا Backdoor شناخته می شوند،
این نوع از بدافزارها معمولا از نقاط ضعفی استفاده می کنند که برنامه نویس ها برای وارد کردن یا بروز کردن نرم افزارهای خود از آنها استفاده می کنند.
برای مثلا یک برنامه نویس تا عرضه کردن نسخه نهایی نرم افزار خود چندین نسخه آزمایش ارائه می کند که در هر کدام از آنها برای اینکه بتواند در مراحل بعدی کد جدید را براحتی وارد کند و نرم افزار را بروز کند یک راه مخفی تعبیه می کند، همین راه مخفی دقیقا چیزی است که مهاجم به آن نیاز دارد و به آن Backdoor گفته می شود. Backdoor ها تهدیدات امنیتی اصلی نرم افزارها را دور می زنند.
برای اطلاعات بیشتر می توانید به مقاله “شناسایی و بررسی rootkit ها” سر بزنید
Logic Bomb چیست؟
Logic Bomb یا بمب های منطقی بدافزارهایی هستند که ممکن است چندین ماه یا حتی سال بدون انجام هیچگونه عملیات خاصی بر روی سیستم عامل هدف وجود داشته باشند و ساکت باقی بمانند.
اینگونه بدافزارها به انجام شدن عملیات یا حرکت خاصی بر روی سیستم عامل توسط کاربر یا خود سیستم حساس هستند و به محض وقوع آن اتفاق شروع به فعالیت و اجرا خواهند کرد. شناسایی اینگونه بدافزارها قبل از اجرا بسیار سخت است زیرا عملی انجام نداده اند که بتوان از طریق آن، آنها را شناسایی کرد.
بسیاری بر این عقیده هستند که یک بدافزار حتما باید بر روی سیستم شما در قالب یک فایل دانلود شود تا بتواند کارش را انجام دهد.
اما به خاطر داشته باشید انواع بدافزارها از انواع روش ها و تکنیک های مختلف برای اجرا خود استفاده می کنند.
برخی از بدافزارها از اجرای نرم افزارها یا عملیات های خاصی بر روی سیستم جلوگیری می کنند، بضی از آنها سیستم شما را به عنوان یک سیستم قربانی برای سوء استفاده و انجام عملیات تخریبی بر روی سیستم های دیگر استفاده می کنند، برخی از بدافزارها وجود دارند که صرفا برای جمع آوری اطلاعات شخصی کاربران طراحی شده اند،
برای مثال اطلاعات مربوط به کارت شناسایی، شماره حساب های بانکی، رمز های عبور و نام های کاربری و امثال این اطلاعات را جمع آوری و برای نویسنده آن بدافزار ارسال میکنند. اما اینها تنها برخی از کارهایی است که بدافزارها می توانند انجام دهند، بدافزارها نه تنها می توانند باعث دردسر کاربران شوند و آنها را اذیت کنند،
بلکه میتوانند هزینه های سنگینی برای کاربران داشته باشند، حتی بدافزارهایی که برای جمع آوری اطلاعات شخصی طراحی شده اند ممکن است باعث ایجاد تخریب در سیستم قربانی شوند.
این همان دلیلی است که شناسایی و حذف کردن این بدافزارها از سیستم عامل کاربران را تبدیل به امری حیاتی کرده است.
مقاله ” آیا سیستم عامل Linux بدون Virus است؟ ” و “ بررسی یک spyware جدید به نام EvilGnome برای لینوکس ” هم می تواند مفید باشد