رضا باقرزاده - پنج شنبه - ۲۷ شهریور ۱۳۹۳ - 16:17
امروزه مسئله ویروسهای رایانهای به یک معضل بسیارجدی تبدیل شدهاست. برای یک کاربر پی سی ممکن است حداکثر ضرر ناشی از یک ویروس مخرب، ازبین رفتن اطلاعات وبرنامههای مهم موجود روی سامانه اش باشد در حالیکه وجود یک ویروس در سامانههای رایانهای یک پایگاه نظامی هستهای میتواند وجود بشریت و حیات کره زمین را تهدید کند.
اولین ویروس رایانهای توسط کوهن ساخته شد. کوهن صرفاً به عنوان یک پروژه دانشجویی، برنامهای را نوشت که میتوانست خود را تکثیر کرده و انگل وار به دیگر برنامهها متصل شود ونوعی تغییر درآنها به وجود آورد.
علت نامگذاری ویروس بر روی اینگونه برنامهها، تشابه زیاد آنها با ویروسهای بیولوژیکی بود.
پیشترها، تنها روشی که کامپیوتر به واسطه آن در معرض خطر قرار میگرفت، زمانی بود که شما یک فلاپی آلوده را داخل دستگاه قرار میدادید. اما در عصر جدید تکنولوژی که هر کامپیوتری با دیگر نقاط جهان ارتباط دارد راه مختلفی از جمله اینترنت برای انتشار اینگونه برنامهها پدید آمدهاست. واژه ویروس، یک واژه عمومی است که به تمام روشهای مختلفی اطلاق میشود که کامپیوتر شما توسط نرمافزار بدخواه مورد حمله قرار گیرد. در این قسمت نگاهی خواهیم داشت به مشکلات جدیدتری که امروزه با آن مواجه هستیم.
ابزارهای تبلیغاتی مزاحم (نرمافزار تحت حمایت تبلیغات) به هرگونه برنامهی نرمافزاری اتلاق میشود که محتوی تبلیغاتی را برای رایانهی کاربر پخش کرده، به نمایش گذاشته، یا دانلود میکند.
ویژگیهای عمومی این دسته از نرمافزارها پنجرههای پاپ آپ یا بنرها، تغییر در تنظیمات صفحهی خانگی (Home Page) و موتور جستجوی مرورگر وب، و غیره است. برخی از ابزارهای تبلیغاتی مزاحم با تایید کاربر رایانه نصب میشوند، مثلا در طول نصب یک برنامهی قانونی که ابزار تبلیغاتی با آن همراه شده است. این همان شرایطی است که با بسیاری از نوارهای ابزار (toolbars) مشکوک با آن رو به رو هستیم. امروزه، تشخیص دقیق ابزارهای تبلیغاتی مزاحم، نرمافزارهای جاسوسی (spyware) و سایر برنامههای ناخواسته (PUAها) از یکدیگر دشوار است.
درب پشتی (بکدور) برنامهای است که دسترسی از راه دو به رایانه را فراهم میسازد. تفاوت بین ایننوع از بدافزارها و برنامهی قانونی دارای کارکرد مشابه این است که عملیات نصب بدون اطلاع کاربر انجام میپذیرد.
از تواناییهایی معمول بکدورها میتوان به قابلیت ارسال فایل به رایانهی میزبان و اجرای فایلها و دستورات بر روی آن، و نیز ارسال مجدد فایل و اسناد به مهاجم اشاره کرد. این قابلیت اغلب با قابلیت ردیابی کلیدهای وارد شده، و ثبات تصویر نمایشگر، به منظور جاسوسی و سرقت دادهها همراه است. اصطلاح RAT (ابزار دسترسی از راه دور) را میتوان با «درب پشتی (بکدور)» هممعنی دانست، اما این اصلاح معمولا به مجموعهی کاملی اتلاق میشود که برنامهی مشتری آمادهی نصب بر سیستم مقصد، و نیز یک بخش سرور را که مدیریت و کنترل «روباتها» یا سیستمهای در معرض خطر را فراهم میکند، شامل میشود.
بخش بوت اولین بخشی از هر دیسک یا پارتیشین منطقی است. این بخش حاوی اطلاعاتی راجع به حجم دیسک همچون ظرفیت آن، به علاوهی برنامههای بوت استرپی است که سیستم عامل را بارگذاری و اجرا میکند. یک بخش بوت این برنامه را در خود دارد حتی اگر حجم دیسک فاقد سیستم عامل نصب شدهای بر روی آن باشد.
بخش بوت اغلب هم معنی با «رکورد بوت حجمی» (VBR) به کار میرود، اگرچه اگر دقیقتر بگوییم، VBR تنها یک نوع از بخش بوت است، و «رکورد بوت مستر (MBR)» نوع دیگر آن است.
ویروسهای بوت سکتور به بخش بوت دیسکت فلاپی یا بخش بوت دیسک سخت حمله میکنند تا مطمئن شوند که کدشان هر بار که رایانه شروع به کار میکند، اجرا میشود. آلودگی بخش بوت مسیر قدیمیتری برای انتشار ویروس است، اما اخیراً به عنوان ابزاری برای نصب بوت کیت رواج بیشتری پیدا کرده است.
نوعی از روت کیت که رکورد مستر بوت یا رکورد بوت حجمی (VBR) بر روی دیسک درایو را آلوده میکند تا این اطمینان حاصل شود که هر بار که رایانه آغاز به کار میکند (بوت میشود)، کدش به کار میافتد. بوت کیتهای مودم (همچون مبروت، TDL4-Olmarik، یا رونیکس) نیز از این راهکار استفاده میکند تا با بارگذاری کد بوتکیت متخاصم حتی پیش از آغاز کامل سیستم عامل، مکانیسمهای امنیتی خاصی از سیستم عامل را دور بزند.
بات، که مخفف عبارت «روبات نرمافزاری» است و در عموماً در مباحث امینت رایانه مطرح میشود، برنامهای است که دستهای از اقداماتی را به همان ترتیبی که عملگرها (اپراتورها) دستور دادهاند، به اجرا درمیآورد. دستورها ممکن است در روباتها نوشته شده، یا برنامهنویسی شود، تا هرگاه که ملاکها برآورده شود، عمل کند، یا اینکه ممکن است روبات (بات) با اتصال به یک یا چند سرور فرمان و کنترل به شکلی پویا دستورالعملها را دریافت کند. روباتهایی که به این طریق ارتباط برقرار میکنند مرتباً از IRC و HTTP برای ارتباطاتشان استفاده میکنند، اگرچه گاهی از پرتوکولهای موجود یا حتی پرتوکولهای سفارشی نظیر به نظیر (peer-to-peer) نیز استفاده میشود. باتنتهای نظیر به نظیر (P2P) از مدل کنترل و دستور توزیع یافتهتری استفاده میکند، تا بدین شکل دستگاههای در معرض خطر بین یکدیگر و نه از طریق سرور C&C در ارتباط باشند، که این امر در نهایت باعث میشود که اختلال در باتنت (botnet) دشوارتر شود. اصطلاح «بات» ممکن است برای توصیف رایانهی آلوده وتحت کنترل یک برنامهی بات، به جای اصطلاح «زامبی» (zombie) به کار رود.
این اصطلاح که مخفف bot network (شبکهی بات) است، برای تشخص گروهی از باتهایی به کار میرود که همگی به یک (یا چند) سرور کنترل و دستور واحد متصل بوده و تحت هدایت خلافکاران واحدی هستند.
سرور کنترل و دستور، یا همان C&C، رایانهای است که برای هماهنگ سازی فعالیتهای رایانههای آلوده به بات، روت کیت، کرم یا سایر نرمافزارهای متخاصم (بدافزارها) به کار رفته و برای دستورالعملها و به روز رسانیها به رایانهی دیگری نیاز دارد. یک سرور C&C میتواند به رایانههای آلوده نوع اطلاعات سرقتی را اطلاع دهد، اطلاعات هدف را برای حمله به رایانههای آلوده فراهم میکند، بدافزارهای جدید را نصب کرده یا آنها را به روز رسانی میکند و غیره. یک سرور C&C همچنین ممکن است به حیاط خلوتی برای بارگذاری اطلاعات دزدیده شده از رایانههای آلوده تبدیل شود. یک سرور C&C بر روی یک سرور وبی فعال است که خود در معرض خطر قرار دارد یا با استفاده از کارتهای اعتباری دزدی خریداری شده است.
ویروسهای همراه با تصاحب سطوح بالای سلسله مراتبی که سیستم عامل بنا بر آن برنامهها را بر اساس پسوندهای فایلیشان اجرا میکند، تکثیر میشوند. برای مثال فایلهای تحت MS-DOS با پسوند .BAT (فایلهای بچ) پیش از فایلهای پسوند .COM اجرا میشوند که، در عوض، این فایلها نیز خود پیش از فایلهای دارای پسوند .EXE به اجرا در میآیند. ویروسهای همراه میتوانند فایلهای مستقلی را ایجاد کنند که حاوی کد ویروسی بوده، ولی دارای پسوند فایلی مقدمتری هستند یا نام فایل «مقصد» را به پسوندی با تقدم کمتری تغییر دهند، تا به این ترتیب فایل حاوی کد ویروسی پیش از انتقال کنترل به فایل برنامهی اصلی (یا پیش از فعال سازی محتوایش) اجرا میشود. مثال دیگری از ویروس همراه بر پلتفرومهای ویندوز این روزها، ویروسی است که از طریق ترتیب جستجوی کتابخانههای DLL اقدام میکند. برای مثال، اگر بدافزار خود را به عنوان یک DLL به یک دایرکتوری برنامه کپی کند، نسبات به DLLی با همان نام در دایرکتوری داخل سیستم، یا داخل یکی از دایرکتوریهای تعیین شده به وسیلهی متغیر محیطی PATH، تقدم مییابد.
تماس گیرنده برنامهای است که به این منظور طراحی شده که مسیر تماس تلفن کاربر (dial-up) به اینترنت را تغییر دهد تا اینکه از یک شمارهی با نرخ بالاتر استفاده کند. این برنامهها را میتوان به شکل قانونی هنگام پرداخت خدمات اینترنتی به کار برد، اما تماسگیرندگان جعلی ممکن است برای تغییر مسیر تماس به یک شمارهی گرانتر بدون اطلاع کابر رایانه، مورد استفاده قرار گیرند. این نوع از تهدید در ناحیههایی که اینترنت پهنباند موجود است، نادر شده است.
این اصطلاحات معمولا به برنامههای متخاصم، اجزا و کاربردهایی که (معمولاً تنها) هدفشان دانلود کردن برنامههای (معمولا متخاصم) اضافی بر روی سیستم آلوده و اجرای آن است.
قطره چکان تروجان نوعی از بدافزار است که به عنوان حامل عمل کرده، که در خود فایل اجرایی متخاصم دیگری را دارد. این نوع هنگامی که شروع به فعالیت میکند، فایل داخلش را «میچکاند» یا نصب میکند و آن را به اجرا در میآورد.
اگر از منظر تاریخی نگاه کنیم، اصلاح «قطره چکان» برای توصیف فایلی استفاده میشد که تنها هدفش معرفی یک ویروس رایانهای به داخل فضای رایانه بود و پژوهشگران آنتی ویروس از این نوع از ویروسها با عنوان ویروسهای «نسل صفر» یاد میکردند، بسیار شبیه همان ترتیبی که عبارت «صفر بیمار» از طرف پزشکان و متخصصان اپیدمیولوژی به هنگام بحث راجع به بیماریهای عفونی، به کار میرفت. در مورد ویروس چندشکلی (پولی مورفیک) رایانه، قطره چکانش ممکن است رمزگذاری نشده باشد، اما ممکن است تنها از کد ویروس رایانهای بدون رمز تشکیل شده باشند.
رمزگذاری به رمز (کد) درآوردن اطلاعات اتلاق میشود به صورت سرّی و به شکلی که خواندن آن بدون رمزگشایی ممکن نباشد.
ویروسهای فایل (یا ویروسهای انگلی) از فایلهای موجود به شکل تصادفی به عنوان میزبان استفاده میکند. این ویروس معمولا بدنهی کدش را به ابتدا یا انتهای فایل میزبان افزوده میشود، که در هریک از موارد، محتوای فایل اصلی دست نخورده باقی میماند، به جز اینکه OEP (نقطهی مدخل اصلی) دچار تغییر میشود، تا بدین شکل کد ویروس پیش از کد قانونی و اصلی اجرا شود. این روش آلوده سازی این اطمینان را حاصل میکند که کد ویروس هربار که فایل آلوده اجرا میشود، فعال میشود، و نیز راهی برای انتشار را فراهم میکند.
در برخی از موارد، فایلی که ویروس را آلوده میکند ممکن است هنگامی که فایل میزبان را آلوده میکند، آن را با پاک کردن یا جایگزینی بخشهایی از فایل میزبان، آن را تخریب کند. در این مورد فایل میزبان ممکن است دیگر به درستی اجرا نشود، اگرچه کماکان قادر خواهد بود که ویروس را انتشار دهد.
فایلهای اجرایی در ویندوز، اغلب به پسوندهایی همچون .COM، .DLL، .EXE و .SYS ختم میشود. برخی از ویروسهای فایل ممکن است اسکریپتهایی باشند که با برنامههای دیگر تفسیر شده و به پسوندهایی همچون .BAT (فایل بچ) یا .VBS (برنامه ویجوال بیسیک) ختم میشوند.
از منظر یک موتور AV، نیاز است که ویروسها از آلودگی پاک شوند، تا اینکه فایل اصلی را بازیابی (احیا) کنند، برخلاف تروجانها و کرمها، که تنها با حذفشان (و تعمیر تخریب به جا مانده، همچون تغییر در تنظیمات ریجستری) پاک میشوند. در مواردی که ویروس فایل با بازنویسی بخشهایی از فایل میزبان، آن را تخریب کرده بود، پاکسازی امکان پذیر نیست.
درحالی که ویروسهای فایل در دورهی DOS رایجتر از دورهی ویندوز بودند، نمونههای مدرن متعددی وجود دارند، همچون خانوادههای Ramnit، Sality، و Virut، که مرتباً در گوشه و کنار جهان ظاهر میشوند.
سیستمهای جلوگیری از نفوذ به میزبان از سیستم شما در مقابل با بدافزارها و فعالیتهای ناخواستهای که ممکن است با عملکرد رایانهی شما تداخل داشته باشد، محافظت میکند. یک HIPS عموما بر اصلی متفاوت نسبت به ویروس یاب عمل میکند. HIPS نقاط مدخل به درون سیستم (و فعالیتهای سیستمی خاص، همچون ایجاد فرایند، بارگیری راهانداز، و غیره) را بررسی میکند، و مانع اقدامات مشکوک به نفوذ میشود (یا کاربر را وامیدارد که فعالیت مشکوک را بپذیرد یا مانع آن شود).
پیش از معرفی مایکروسافت ویندوز ۹۵، بیشتر ویروسهای رایانهای برنامههای فشردهای بودند که به زبان اسمبلی نوشته میشدند. به ویروسهای رایانهای که به زبان Ada، BASIC، C++، Delphi، FORTH، Visual BASIC و سایر زبانهای برنامهنویسی نوشته میشوند، ویروسهای HLL (زبانهای سطح بالا) گفته میشود. ویروسهایی که به زبانهای برنامهنویسی سطح بالا نوشته میشدند، بزرگتر از آنهایی بودند که به زبان اسمبلی طراحی میشدند، و این تمایل در آن وجود داشت که سادهتر عمل کنند. با این وجود، اندازهی بزرگترشان اغلب آنها را برای تحلیل پیچیدهتر کرده و برنامههای بیخطری که به همان زبانها به عنوان ویروس رایانهای HLL نوشته میشدند، گاهی به غلط متخاصم تعبیر میشدند («مثبات غلط»).
جعلهای زیادی وجود دارند که به عنوان نامههای زنجیرهای از طریق ایمیل و رسانههای اجتماعی ارسال شده، و انتشار مییابند چراکه افراد گول خورده، و به جای کدهای متخاصم، خود، آنها را برای سایرین ارسال میکنند. تنها راه مبارزه با جعلها افزایش آگاهی است. جعلها اغلب ادعا میکنند که از طرف شرکتهای معتبر («هشدار مایکروسافت”، «خبری از CNN» و غیره) سخن میگویند، و اغلب هشدارهایی راجع به پیامدهای ناگوار هستند مانند ویروسهای جدید مخربی که باعث میشوند که رایانه آتش بگیرد و منفجر شود، یا قاتلان سریالی پنهان در صندلیهای پشت اتومبیلها. «جعلهای همدردی» ادعا میکنند که ارسال مجدد پیام به دیگران به نحوی به کودکان سرطانی کمک میکند، یا کمک میکند که گمشدهای پیدا شود. دستههای دیگر ادعا میکنند که ارسال مجدد جعل به دیگران به فرد سود رسانده و وی را صاحب پول یا کالای رایگان خواهد کرد. آنچه که در بین این پیامها مشترک است درخواست برای ارسال مجدد و فوری آنها به دیگران است. این چنین است که جعلها منتشر میشوند.
برنامهای است که به منظور ضبط ضربههایی که به کلید وارد شده، مورد استفاده قرار میگیرد. Keyloggerها را میتوان برای هم به منظور نظارت بر کارمندان در یک صنعت به کار برد، و هم در موارد زیانآور آن، به منظور سرقت اعتبار حسابها مورد استفاده قرار داد. Keyloggerهای پیشرفته ممکن است حرکات موس و کلیکها، ضربههایی که به کلیدهای کیبورد مجازی روی صفحه رایانه وارد شده، و عکس صفحه یا ویدیوهای در حال پخش در صفحه را نیز ضبط کنند. keyloggerهای سختافزاری نیز وجود دارند که بین رایانه و کیبورد تعبیه میشوند تا ضربات روی کلیدها را ضبط کنند.
بدافزار(malware)، که اصطلاحاً ترکیبی است از دو واژهی متخاصم (MAlicious) و نرمافزار (softWARE)، به عنوان اصطلاحی عام است برای پوشش همهی صورتهای کد متخاصم، فارغ از اینکه چقدر کد انتشار پیدا کرده یا نصب شده، چطور سیستمهای رایانهای را هدف گرفته و تشخیص داده، یا چه نوع از خرابی را سبب شده است.
رکورد بوت مستر یا همان MBR که درست در اولین سکتور ابتدای دیسک سخت قرار دارد، ترکیبی است از کد برنامه و دادههایی که توسط آن برنامه (اصطلاحاً جدول پارتیشن) مورد استفاده قرار گرفته است. MBR جدول پارتیشن را بررسی میکند تا تعیین کند که درایو دیسک سخت چه تعداد درایو منطقی (یا پارتیشن اضافی) را در خود دارد- حتی اگر تنها یکی باشد- و کدامیک باید مسئول بارگیری سیستم عامل هستند. رکورد بوت مستر اولین بخش کد است که PC BIOS پس از اجرای P.O.S.T اش، آن را اجرا میکند، و به این ترتیب میتواند هدفی برای ویروسهایی باشند که خود را با آنها جایگزین میکنند تا کنترل رایانه را پیش از اینکه سیستم عامل بالا بیاید (بارگذاری شود)، به دست گیرند.
روگرفتهای حافظه که اکثراً برای اشکال زدایی و رفع مشکل برنامه به کار میرود، اغلب به شکل خودکار در زمان از کار افتادن یک سیستم رخ میدهند (تصویر آبی مرگ، با این وجود، آن را همچنین میتوان به شکل دستی بدون از کار افتادن به اجرا درآورد.
ویروسهای بازنویس سادهترین شکل آلودگی هستند. کد اصلی حذف شده، و با کد متخاصم جدید جایگزین میشود. هنگامی که فایل جایگزین شده به اجرا درمیآید، ویروس میتواند برای تکثیر، مجدداً دست به تلاش بزند. از آنجا که ویروسهای بازنویس فایل اصلی را چه به طور کامل و چه به شکل ناقص، حدف میکنند، پاک کردن آلودگی آنها ممکن نیست. آنها را در عوض باید از یک پشتیبان (بک آپ) بازگردانی کرد. درحالی که ویروسهای بازنویس از این نوع اغلب به دوران MS-DOS محدود میشوند، ما امروزه شاهد بدافزارهایی هستیم که جایگزین فایلهای سیستمی میشوند (و ممکن است برخی از کارکردهای فایل اصلی را نیز دارا باشند) ولی فرایندهای نامطلوب را نیز به اجرا درمیآورند.
خاکسترافزار (Grayware) (یا PUA- برنامهی به شکل بالقوه ناخواسته) دستهی کلیای است از نرمافزارهایی، که هدفشان به متخاصمی و صراحت انواع دیگر بدافزارها، همچون ویروسها و اسبهای تروجان نیست. با این وجود ممکن است نرم افزار ناخواستهی اضافیای را نصب کند، رفتار دستگاه دیجیتال را تغییر دهد، یا فعالیتهایی را به اجرا در بیاورد که کاربر آنها را تایید نکرده و انتظار آنها را ندارد.
دستههای که ممکن است خاکسترافزار (grayware) محسوب شوند عبارتند از: بدافزار، نرمافزار جاسوسی، نوارهای ابزار مرورگرهای متعدد، نرم افزارهای سرکش (rogue software)، bundlewareها، trackwareها، یا هر نرمافزار مرزی دیگر، یا نرمافزاری که از رفتارهای تجاری غیر قانونی، غیراخلاقی استفاده میکند (درحالی که قانونی و معتبر به نظر میرسد) و ممکن است از طرف آخرین کاربر آگاه نسبت به آنچه که نرمافزار در صورت کسب اجازهی نصب، انجام میدهد، مطلوب تشخیص داده نشود. PUA (برنامهی احتمالاً ناامن) برنامهای است که اصالتاٌ قانونی (و احتمالا تجاری) است، اما به وسیلهی یک مهاجم مورد سوء استفاده قرار گرفته است. تشخیص این نوع از برنامه را میتوان در آنتی ویروس هایی مانندESET فعال یا غیرفعال کرد.
برای جزئیات بیشتر راجع به این نوع از نرم افزارها، به کتاب سفید (whitepaper) مشکلزا (Problematic)، نامطلوب (Unloved) و بحث برانگیز (Argumentative) مراجعه کنید.
Packer ها پوستهی بیرونی برخی اسبهای تروجان هستند که هدفشان این است که تشخیص و تحلیل نرم افزار آنتی ویروس و تحلیلگران بدافزار (malware analysts) را با پنهان کردن باری (payload) که دارند سختتر سازند و به این شکل باعث شوند که اول نرمافزار بارش را خالی کند تا به هدفشان برسند. Packerها برای اینکه وظایف آنتی ویروسها را سختتر کنند ، اغلب انواع تکنیکهای ، anti-debugging (ضد عیب یابی) ، anti-emulation (anti-VM) (ضد رقابت) و مبهم کردن کدها را به کار میبرند.
Packerها معمولاً executable نهایی را کوچکتر میکنند و به همین دلیل نه تنها برای بدافزارها بلکه برای نرمافزارهای قانونی هم استفاده میشوند. آنها چندین هدف دارند که اصلیترین آن، فشرده کردن executable و حفاظت از برنامههای کاربردی در برابر سرقت نرمافزاری است.
این واژه که بازی با لغت “fishing” ( به معنی ماهیگیری) است، نامهای الکترونیکی ، متن ، یا پیغامی گمراهکننده است که برای هدف فرستاده میشود تا اطلاعات حساب کاربری وی را سرقت کند. این روش غالباً برای دسترسی به اطلاعات مالی افراد جهت سرقت پول استفاده میشود. البته برای به دســــــت آوردن اطــلاعات اعتباری شبکهایِ کارفرمایان ، اطلاعات حسابهای کاربرانِ رسانههای اجتماعی و حتی حسابهای بازی های آنلاین هم به کار میرود.
وظیفهی اصلی قرنطینهی آنتی ویروس این است که فایلهای آلوده را بدون هیچ خطری ذخیره کند تا از تصادفی اجرا شدن آنها و اقدامات مخربی که ممکن است انجام دهند جلوگیری شود. نمونهای از داخل قرنطینه را میتوان به آزمایشگاه ویروس ارسال کرد، یا میتوان آنها را به محل اصلی خود بازگرداند که مسئولیت ریسک (خطر) این عمل بر عهده ی کاربر است.
نوع خاصی از نرم افزار مخرب که برای اخاذی مورد استفاده قرار میگیرد. وقتی باج افزار فعال میشود تا زمانی که قربانی پولی را نپردازد مانع از دسترسی به دستگاه یا دادهها میشود.
اصطلاح retrovirus چندین معنای نامرتبط به هم دارد؛ از جمله:
۱٫ برنامههای مخرب که در جهت غیرفعال کردن یا حذف سیستم آنتی ویروسها تلاش میکنند.
۲٫ یک ویروس کامپیوتری که تلاش میکند فایلهای آسیب دیده توسط ویروسهای کامپیوتری مختلف را تعمیر و عیب زدایی کند.
۳٫ یک ویروس کامپیوتری که تلاش میکند با سوءاستفاده از آسیب پذیری در تجزیهگر برنامهی آنتی ویروس، برنامهی فشرده سازی فایل ، یا سایر برنامههایی که ویروس را به حافظه وارد میکنند ، خودش را اجرا کند.
نباید این عبارت را با ” retro virus” اشتباه گرفت. عبارتی که به معنای ویروس کامپیوتری جدیدی است که از روشهای قدیمی تقلید میکند.
اصطلاح خطرافزار شامل تمام برنامههای کاربردی میشود که در هنگام اجرا، خطر امنیتی دارند. نصب و راه اندازی آنها ممکن است توسط کاربر به هنگام پذیرش توافقنامه موقع نصب برنامه تایید شود. به عبارت دیگر، خود ِکاربر مسئولیت این خطر را با پذیرفتن توافقنامه بر عهده میگیرد.
گروه خطر افزارها بسیار وسیع هستند و شامل نرم افزارهایی مانند: نرم افزارهای جاسوسی، نرم افزارهای شماره گیری (dialers) ، key logger ها ، ابزارهای دسترسی از راه دور (RAT ) و سایر برنامه های کاربردی که به طور بالقوه ناامن هستند. این دسته همچنین میتواند شامل نرم افزارهای ناخواسته (PUAها) و یا grayware ها باشد.
یک برنامه یا مجموعهای از برنامههای “kit” که به منظور بالا بردن امتیازات (پیداکردن ریشه) و/یا حفظ دسترسی مخفیانه و کنترل یک سیستم بدون اطلاع صاحب آن طراحی شده است.
بدافزار از تکنیکهای rootkit برای اهداف پنهانی مثل نامرئی بودن در دستگاه آلوده به برنامههای امنیتی با استفاده از روشهای تشخیصی معمولی بهره میجوید.
این اصطلاح برای طیف گسترده ای از روشها جهت ایجاد تغییر موردنظر در رفتار استفاده میشود. این اصطلاح همچنین به این معنی است که با استفاده از به بازی گرفتن (manipulation) روانیِ یک شخص یا گروه، امتیازاتی گرفته شود. اگر در بحثهای امنیتی از آن استفاده شود همیشه شامل نوعی فریب، بدجنسی و یا تقلب است. مهندسی اجتماعی یکی از راههای به دست آوردن اطلاعات شخصی با فریب است. تکنیکهای مهندسی اجتماعی فراوان هستند. عموماً از طریق تلفن یا اینترنت ، با تغییرظاهر در کسوت یک کسب و کار و یا یک نهاد قابل اعتماد از سادهلوحی افراد سوءاستفاده میشود.
اهداف ویژهی مهندسی اجتماعی میتواند شامل: به دست آوردن اطلاعات شخصی یا متقاعد کردن کاربران برای اجرای نرم افزارهای مخرب باشد.
این اصطلاح عمومی برای گسترهای از نرمافزارهای مخرب پنهانی مانند keyloggerها ، تروجانهای دسترسی از راه دور، و تروجانهای پنهانی (backdoor) به کار میروند؛ به ویژه انواعی که اجازه میدهند کلمات عبور و سایر اطلاعات حساس از راه دور مورد نظارت قرار گیرند. وقتی از این نرمافزارها برای فعالیتهای جنایی هم استفاده شود، به آنها جرم ابزار (crimeware) هم گفته میشود.
این اصطلاح همچنین میتواند به ” ابزارهای تبلیغی (adware) مزاحم تهاجمیتر” هم اشاره داشته باشد؛ ابزارهایی که اطلاعات شخصی کاربران را مثل وب سایتهای بازدید شده، نرمافزارهای نصبشده و غیره را جمع آوری میکنند. سپس اطلاعات به دست آمده میتواند برای تبلیغات هدفمند مورد استفاده قرار گیرد.
پنهان کردن اطلاعات داخل اطلاعات دیگر. به عنوان مثال، کدگزاری کردن به صورت فایلهای صوتی یا تصویری، به شکلی که نه دیده شوند و نه شنیده شوند؛ چرا که ( ویروسها معمولاً ) صدا یا تصویر را به شکل قابل توجهی تغییر نمیدهند؛ یا به عنوان ابرداده (metadata) در اسناد به طوری که برای کاربر قابل رؤیت نباشد.
تروجان یا اسب تروجان یک اصطلاح کلی برای نرم افزار مخربی است که جهت مقاصد شرورانهی مختلف مورد استفاده قرار میگیرد؛ که اغلب یا مخرب است و یا با هدف سرقت اطلاعات است. تفاوت تعیین کننده بین تروجان و ویروس یا کرم این است که تروجان خودش به تنهایی قادر به تکثیر و آلوده کردن فایل ها نیست. بنابراین باید از ابزارهای دیگری برای ورود به سیستمهای کامپیوتری استفاده کند. به عنوان مثال: درایوِ اینترنت ، به واسطهی دانلود، با سوء استفاده از آسیبپذیری نرم افزار، با مهندسی اجتماعی، و یا با دانلود شدن توسط یک نرم افزار مخرب دیگر ( مثل کرم ، ویروس ، یا دانلود کنندهی تروجان) و سایر روشها. نامِ آن برگرفته از داستان فتح تروی (Troy) است؛ در این داستان ، تروی سربازان را داخل یک اسب چوبی عظیم به شهر قاچاق میکند. این اسم نشان میدهد که تروجان عملکرد واقعی خود را پنهان میکند و اغلب از مهندسی اجتماعی برای اجرا شدن بهره میجوید.
تروجانها در حال حاضر، شایعترین نوع نرمافزارهای مخرب هستند که از طریق باز کردن backdoor ها ، اطلاعات فیلترشدهی قدیمی کاربر ( آن را به یک مهاجم راه دور میفرستند) ، و دانلود کردن نرمافزارهای مخرب دیگر به داخل سیستم آلوده و غیره عمل میکنند.
یک ویروس کامپیوتری به طور کلی برنامهای است که سایر برنامهها را به شکلی تعریف میکند که شامل نسخهای از خود ( حتی المقدور تغییر یافته) باشند. این تعریفی تقریبی و ریاضیگونه است که دکتر فردریک کوهن در پایاننامهی دکتری خود ارائه میدهد. به عبارت دیگر، ویروس به یک میزبان (host) نیازمند است تا خودش را به آن متصل کند، یا به واسطهی تغییر دادن میزبان و یا با داخل شدن به شکلی که به “زنجیرهی دستورها ” (chain of commands) وارد شود. به این ترتیب ، نه تنها ویروس تضمین میکند که هرگاه میزبان راهاندازی شد اجرا میشود، بلکه قادر است هر زمان که فایل ها کپی میشوند ، دانلود میشوند و یا به سیستم های کامپیوتری دیگری منتقل میشوند ،خودش را تکثیر کند. نام گذاری آن بر اساس این واقعیت است که رفتاری بسیار مشابه با ویروسهای بیولوژیکی دارد.
ویروسهای کامپیوتری چندین گروه هستند که بسته به آن که چه نوع فایلی را و به چه شکل آلوده میکنند با هم تفاوت دارند.
کرم نوعی نرم افزار خود – تکثیرکننده (self-replicating) است که میتواند به سایر کامپیوترها منتقل شود. کرمها میتوانند از طریق شبکههای کامپیوتری، ایمیلها، خدمات پیام آنی (instant –messaging ) ، شبکه های اجتماعی ، رسانههای قابل حمل و کانالهای دیگر منتقل شوند. برخلاف ویروسها، کرمها خود را به برنامههای موجود پیوست (وصل) نمیکنند؛ با این حال، برخی از ویروسها با استفاده از روشهای انتشار کرممانند قادرند خودشان را گسترش دهند.
نتیجه گیری و جمع بندی :
برنامه های مخرب در سه دسته عمده ویروس، کرم و تروجان قرار میگیرند. شمار این نرمافزارها بسیار زیاد و روبه افزایش است. همچنین بمبهای منطقی، جاسوسافزارها، اسپمها وگولزنکها از دیگر انواع برنامههای مخرب بهشمار میروند. آنتیویروسها از دو روش کلی به منظور محافظت از کامپیوترها بهره میگیرند. فایروالها گونهای دیگر از نرمافزارهایی هستند که در کامپیوترهای شخصی محافظتهایی را در مقابل برنامههای مخرب فراهم میآورند. فایروالها به دو دسته فایروالهای شخصی و فایروالهای شبکه تقسیم میشوند. برنامههای مخرب بسیار زیاد میباشند و هر روز نیز به تعداد و انواع آنان افزوده میشوند. برای مقابله با این برنامهها وجود برنامههایی نظیر آنتیویروسها و فایروالها وهمچنین بههنگامسازی آنها امری ضروری است.