واژه بدافزار معادل malware انگليسي است كه يك خلاصه براي Malicious Software يا نرمافزار بدخواه است؛ واژه بدافزار به ويروس، كرم، تروجان و هر برنامه ديگري كه با نيت اعمال خرابكارانه ايجاد شود، اطلاق ميشود.
به گزارش خبرنگار خبرگزاري دانشجويان ايران(ايسنا)، شايد اين سوال براي كاربران بوجود آمده كه تفاوت ويروس و كرم در چيست و اين دو چه تفاوتي با تروجان دارند؟ يا آيا برنامههاي كاربردي آنتيويروس بر عليه كرمها و تروجانها نيز اقدام ميكنند يا فقط به جنگ با ويروسها ميروند؟
همه اين سؤالها از يك منبع سرچشمه ميگيرند و آن هم دنياي پيچيده و گيجكننده كدهاي بدخواه است. تعداد بيشمار و تنوع زياد در كدهاي بدخواه موجود، طبقهبندي دقيق آنها را مشكل ميسازد. در بحثهاي كلي درباره آنتيويروسها، تعاريف سادهاي به كار برده شده كه اين تعاريف در اين گزارش به نقل از مركز امداد و هماهنگي رايانهيي (ماهر) به اين شرح اعلام شده است:
تروجان يا اسب تروا
برنامهاي است كه ظاهراً مفيد يا بيخطر به نظر ميرسد ولي شامل كدهاي پنهاني است كه براي سوءاستفاده يا صدمه زدن به سيستمي كه برروي آن اجرا ميشود، به كار ميرود. اسبهاي تروا معمولاً از طريق ايميلهايي كه هدف و كاركرد برنامه را چيزي غير از حقيقت آن نشان ميدهند، براي كاربران ارسال ميشوند. به چنين برنامههايي كدهاي تروجان هم گفته ميشود.
اسب تروا زماني كه اجرا ميشود يك عمليات خرابكارانه را بر سيستم اعمال ميكند. در اين مقاله، واژه عمليات خرابكارانه يا Payload اصطلاحي است براي مجموعهاي از كنشهايي كه يك حمله بدافزاري بعد از آلوده كردن سيستم، برروي رايانه قرباني انجام ميدهد.
كرم
يك كرم درواقع كد خرابكاري است كه خود را انتشار ميدهد و قادر است به صورت خودكار در شبكهها گسترش پيدا كند. يك كرم ميتواند دست به اعمال مضري مانند مصرف پهناي باند شبكه يا مصرف منابع محلي سيستم بزند و منجر به حملات انكار سرويس شود.
برخي از كرمها ميتوانند بدون مداخله كاربر اجرا شده و گسترش پيدا كنند در حالي كه برخي از كرمها نياز دارند كاربر آنها را مستقيماً اجرا كرده تا بتوانند گسترش پيدا كنند. كرمها علاوه بر تكرار خود قادرند يك عمليات خرابكارانه را نيز بر سيستم قرباني اعمال كنند.
ويروس
يك ويروس قطعه كدي است كه براي تكثير خودكار نوشته شده است. يك ويروس تلاش ميكند تا از رايانهاي به رايانه ديگر گسترش پيدا كند و اين كار را معمولاً از طريق اتصالش به يك برنامه ميزبان انجام ميدهد. ويروسها ممكن است خساراتي به سختافزار، نرمافزار يا دادهها وارد آورند.
زماني كه برنامه ميزبان اجرا ميشود، برنامه ويروس نيز اجرا ميشود و برنامههاي ديگري را نيز آلوده كرده و به عنوان ميزبانهاي جديد از آنها استفاده ميكند. گاهي اوقات ويروس، عمليات خرابكارانه ديگري را نيز روي سيستم انجام ميدهد.
به هرحال بايد در نظر داشته باشيم كه ممكن است در يك حمله به كدي برخورد كنيم كه در بيش از يكي از اين طبقهبنديها بگنجد. به اين حملهها blended threats يا تهديد تركيبي گفته ميشود كه شامل بيش از يك نوع بدافزار شده و از بردارهاي حمله چندگانه استفاده ميكنند.
بر اساس اين گزارش حملههايي از اين نوع ميتوانند با سرعت بيشتري گسترش پيدا كنند. يك بردار حمله مسيري است كه بدافزار ميتواند از آن براي پيش بردن حمله استفاده كند. به همين دليل مقابله با حملههاي تركيبي كار مشكلي است.
طبق گزارش مركز امداد و هماهنگي رايانهيي (ماهر) در اين گزارش توضيحات مفصلتري هم درباره هر يك از انواع بدافزار آوردهايم تا عناصر اصلي هر كدام از آنها را روشنتر سازيم.
تروجان
اسب تروا از آنجايي كه خود را انتشار نميدهد به عنوان يك ويروس رايانهيي يا كرم نيز در نظر گرفته نميشود. به هر حال معمولاً براي كپي كردن يك تروجان برروي يك سيستم هدف، از يك ويروس يا كرم رايانهيي استفاده ميشود.
به پروسه فوق dropping گفته ميشود؛ هدف اصلي يك اسب تروا خراب كردن كار كاربر يا عمليات معمولي سيستم است. براي مثال تروجان ممكن است يك در پشتي را در سيستم باز كند تا هكر بتواند به سرقت اطلاعات پرداخته يا پيكربندي سيستم را تغيير دهد. دو اصطلاح معادل ديگر نيز وجود دارند كه منظور از آنها همان تروجان است و عبارتند از RAT و Rootkit.
تروجان دسترسي از راه دور
برخي از تروجانها به هكر اجازه كنترل از راه دور سيستم را ميدهند. به اين برنامهها RAT يا در پشتي نيز گفته ميشود. نمونههايي از RATها عبارتند از: Back Orifice، Cafeene و SubSeven.
روتكيت
اصطلاح فوق براي مجموعهاي از برنامههاي نرمافزاري به كار ميرود كه هكر از آنها براي به دست آوردن دسترسي از راه دور غيرمجاز به رايانه هدف بهره ميبرد. اين برنامهها معمولاً از تكنيكهاي متفاوتي مانند نظارت بر كليدهاي فشرده شده بر روي صفحه كليد، تغيير فايلهاي ثبت رويداد يا نرمافزارهاي كاربردي سيستم، ايجاد يك در پشتي برروي سيستم و حمله به رايانههاي ديگر از طريق شبكه استفاده ميكنند.
روتكيتها معمولاً شامل يك سري ابزار سازمان يافته هستند كه براي هدف قرار دادن سيستم عامل خاصي تنظيم شدهاند. اولين روتكيتها در اوايل دهه 90 ميلادي مشاهده شدند و در آن زمان سيستمهاي عامل Sun و لينوكس هدف اصلي حملات بودند.
در حال حاضر روتكيتها براي اغلب سيستم عاملها از جمله سيستمهاي عامل مايكروسافت وجود دارند. دقت داشته باشيد كه ممكن است RATها و ابزارهاي ديگري كه روتكيتها را تشكيل ميدهند، حق دسترسي قانوني را براي كنترل از راه دور يا نظارت دارا باشند. به هرحال اين ابزارها خطر كلي را در محيطي كه استفاده ميشوند، افزايش ميدهند.
كرمها
اگر كد خرابكار خود را تكثير كند ديگر از نوع تروجان محسوب نمي شود، بنابراين سؤال بعدي كه براي تعريف دقيقتر بدافزار، بايد پاسخ داده شود اين است: " آيا كد مورد نظر مي تواند بدون نياز به يك حامل تكثير پيدا كند؟" در واقع آيا اين كد مي تواند بدون نياز به آلوده كردن يك فايل اجرايي، تكرار شود؟ اگر پاسخ به اين سؤال بله باشد، كد مذكور يكي از انواع كرمهاي رايانه اي است. بيشتر كرمها سعي در كپي كردن خودشان در يك رايانه ميزبان دارند و سپس از كانالهاي ارتباطي رايانه مذكور براي گسترش خود استفاده مي كنند. براي مثال كرم Sasser ابتدا با استفاده از يك آسيب پذيري سيستم هدف را آلوده مي ساخت و سپس از طريق اتصالات شبكه رايانه قرباني گسترش پيدا مي كرد. در چنين حملاتي در صورتي كه آخرين به روز رساني هاي امنيتي را بر روي سيستم خود نصب كرده (جلوگيري از آلودگي) و فايروالها را به جهت بستن درگاه هاي شبكه اي كه كرم از آنها استفاده مي كند، فعال سازيد(جلوگيري از انتشار)، حمله مذكور عقيم خواهد ماند.
ويروسها
اگر كد خرابكار يك نسخه از خود را به منظور تكرار شدن در يك فايل ديگر، پرونده يا سكتور بوت حافظه قرار دهد، آن را به عنوان يك ويروس در نظر ميگيريم.
اين كپي ميتواند يك نسخه برابر اصل يا يك نسخه تغيير يافته باشد. همان طور كه قبلاً هم توضيح داديم، ويروس غالباً شامل يك سري عمليات خرابكارانه مانند قرار دادن يك تروجان برروي رايانه قرباني يا پاك كردن اطلاعات آن ميشود. به هر حال، اگر يك ويروس تنها خود را تكثير كند و شامل عمليات خرابكارانه نيز نشود، باز هم به عنوان يك بدافزار در نظر گرفته ميشود، زيرا خود ويروس ممكن است در زمان تكثير باعث خرابي دادهها، اشغال منابع سيستم و مصرف پهناي باند شبكه شود.