نرم افزارهای مخرب یا بدافزار (به انگلیسی: malware)[۱] برنامه‌های رایانه‌ای هستند؛ به علت آن‌که معمولاً کاربر را آزار می‌دهند یا خسارتی به‌وجود می‌آورند، به این نام مشهورند. هر نرم افزاری است که به طور عمدی طراحی شده است تا به یک کامپیوتر ، سرور ، مشتری یا شبکه رایانه ای آسیب برساند (در مقابل ، نرم افزاری که به دلیل برخی نقصان باعث ایجاد صدمه غیر عمدی می شود ، معمولاً به عنوان یک اشکال نرم افزاری توصیف می شود). طیف گسترده ای از انواع نرم افزارهای مخرب وجود دارد ، از جمله از انواع بدافزارها می‌توان به ویروس های رایانه ای ، کرم‌ها ، اسب‌های تروآ ، باج افزار ، جاسوس‌افزارها ، آگهی‌افزارها ، روت‌کیت‌ها ، هرزنامه‌ها ، نرم افزار سرکش و ترس‌افزار اشاره کرد.

Hex dump از کرم Blaster نشان می دهد که پیامی برای بنیانگذار مایکروسافت بیل گیتس توسط برنامه نویس کرم باقی مانده است

برنامه ها اگر مخفیانه بر خلاف منافع کاربر رایانه عمل کنند نیز بدافزار تلقی می شوند. به عنوان مثال ، در یک لحظه دیسک های موسیقی سونی کامپکت سکوت یک ریشه کیت را روی رایانه های خریداران با هدف جلوگیری از کپی کردن غیرقانونی نصب کردند ، اما این نیز در مورد عادت های گوش دادن به کاربران گزارش شده و ناخواسته آسیب پذیری های امنیتی اضافی ایجاد کرده است.
طیف وسیعی از نرم افزارهای آنتی ویروس ، فایروال ها و دیگر راهکارها برای کمک به محافظت در برابر معرفی بدافزارها ، برای شناسایی آن در صورت وجود موجود ، و بهبودی از فعالیت های مخرب مرتبط با بدافزارها استفاده می شوند.

فراوانی انواع بدافزارها در ۱۶ مارس ۲۰۱۱

مقاصدویرایش

بسیاری از برنامه‌های آلوده‌کنندهٔ اولیه، از جمله اولین کرم اینترنتی، به عنوان آزمایش یا سرگرمی نوشته شدند. آن‌ها عموماً به مقاصد بی‌ضرر یا فقط به قصد آزار بودند، تا اینکه بخواهند خسارات جدی به سیستم‌های رایانه وارد کنند. در برخی موارد سازنده نمی‌توانست تشخیص دهد که چقدر کارش می‌تواند مضر باشد.

امروزه ، بدافزارها توسط هکرهای کلاه سیاه و دولتها برای سرقت اطلاعات شخصی ، مالی یا تجاری مورد استفاده قرار می گیرند.

نرم افزارهای مخرب گاهی اوقات بطور گسترده علیه وب سایتهای دولتی یا شرکتها برای جمع آوری اطلاعات محافظت شده یا به طور کلی مختل کردن عملکرد آنها استفاده می شود. با این حال ، بدافزارها را می توان در برابر افراد برای به دست آوردن اطلاعاتی از قبیل شماره شناسایی شخصی یا جزئیات ، شماره بانکی یا کارت اعتباری و رمزهای عبور استفاده کرد.

از زمان ظهور دسترسی گسترده به اینترنت پهن باند ، نرم افزارهای مخرب بیشتر برای سودآوری طراحی شده اند. از سال 2003 ، اکثر ویروس ها و کرم های گسترده برای کنترل کامپیوترهای کاربران برای اهداف غیرقانونی طراحی شده اند تا به منظور بهره‌گیری در بازار سیاه به کار گیرند. از "رایانه های زامبی" آلوده می توان برای ارسال اسپم نامه های الکترونیکی ، میزبانی از داده های متناقض مانند پورنوگرافی کودک یا مشارکت در حملات انکار سرویس توزیع شده به عنوان نوعی اخاذی استفاده کرد.

برنامه هایی که برای نظارت بر مرور وب کاربران ، نمایش تبلیغات غیرمجاز یا تغییر مسیر درآمدهای بازاریابی وابسته طراحی شده اند ، جاسوس افزار هستند. برنامه های جاسوسی مانند ویروس ها پخش نمی شوند. در عوض آنها معمولاً با بهره برداری از حفره های امنیتی نصب می شوند. آنها همچنین می توانند به همراه نرم افزارهای نامربوط نصب شده توسط کاربر پنهان و بسته بندی شوند. rootkit Sony BMG برای جلوگیری از کپی کردن غیرقانونی در نظر گرفته شده بود. همچنین در مورد عادت های گوش دادن به کاربران گزارش شده است ، و ناخواسته آسیب پذیری های امنیتی اضافی ایجاد کرده اید.

Ransomware به نوعی بر روی سیستم رایانه ای آلوده تأثیر می گذارد و برای بازگرداندن آن به حالت عادی خود ، نیاز به پرداخت دارد. دو نوع باج افزار وجود دارد که عبارتند از: رمزنگاری رمزنگاری و باج افزار قفل. با ransomware قفل فقط قفل کردن یک سیستم کامپیوتر بدون رمزگذاری محتویات آن است. در حالی که باج افزار سنتی یک سیستم قفل شده و محتویات آن را رمزگذاری می کند. به عنوان مثال ، برنامه هایی مانند CryptoLocker پرونده ها را با خیال راحت رمزگذاری می کنند و تنها با پرداخت مبلغ قابل توجهی می توانند آنها را رمزگشایی کنند.

برخی از بدافزارها برای ایجاد پول با کلیک بر کلاهبرداری استفاده می شوند و به نظر می رسد کاربر رایانه بر روی پیوند تبلیغاتی در یک سایت کلیک کرده است و از تبلیغ کننده هزینه ای دریافت می کند. در سال 2012 تخمین زده شد كه حدود 60 تا 70٪ كل بدافزارهای فعال از نوعی كلاهبرداری كلیك كرده اند ، و 22٪ كلیك آگهی های تبلیغاتی تقلب بوده است.

علاوه بر پول سازی جنایی ، از بدافزارها می توان برای خرابکاری ها استفاده کرد ، اغلب برای انگیزه های سیاسی. به عنوان مثال استاکس نت برای ایجاد اختلال در تجهیزات صنعتی خاص طراحی شده است. حملات با انگیزه سیاسی صورت گرفته است که شبکه های بزرگ رایانه ای گسترش یافته و آن را خاموش کرده اند ، از جمله حذف گسترده پرونده ها و فساد سوابق کارآیی بوت ، که به عنوان "قتل رایانه" توصیف شده است. چنین حملاتی به Sony Pictures Entertainment (25 نوامبر 2014 با استفاده از بدافزارهای معروف به Shamoon یا W32.Disttrack) و سعودی آرامکو (آگوست 2012) انجام شد.

بدافزارهای عفونیویرایش

شناخته شده ترین انواع بدافزارها ، ویروس ها و کرم ها ، بیشتر از هر نوع رفتار خاص ، برای شیوه پخش آنها شناخته می شوند. ویروس رایانه ای نرم افزاری است که بدون اطلاع و رضایت کاربر در برخی از نرم افزارهای اجرایی دیگر (از جمله خود سیستم عامل) روی سیستم مورد نظر تعبیه شده و هنگام اجرای آن ، ویروس در سایر اجرایی پخش می شود. از طرف دیگر ، کرم یک نرم افزار بدافزار مستقل است که به طور فعال خود را از طریق شبکه برای آلوده کردن رایانه های دیگر منتقل می کند. این تعاریف منجر به این نکته می شود که ویروس به کاربر نیاز دارد تا یک نرم افزار آلوده یا سیستم عامل آلوده را برای انتشار ویروس اجرا کند ، در حالی که کرم خود را گسترش می دهد.

مخفی کارهاویرایش

این دسته ها منحصر به فرد نیستند ، بنابراین ممکن است بدافزارها از چندین تکنیک استفاده کنند. این بخش فقط برای بدافزارهایی طراحی شده است که برای کار غیرمجاز طراحی شده اند ، نه خرابکاری و باج افزار.

ویروس هاویرایش

مقاله اصلی: ویروس رایانه ای

ویروس رایانه ای معمولاً درون یک برنامه به ظاهر بی نظیر دیگر مخفی است که می تواند نسخه هایی از خود تولید کند و آنها را در برنامه ها یا پرونده های دیگر قرار دهد و معمولاً یک عمل مضر (مانند از بین بردن داده ها) انجام می دهد. نمونه ای از این ویروس PE است ، تکنیکی که معمولاً برای پخش بدافزارها استفاده می شود ، که داده های اضافی یا کد اجرایی را در پرونده های PE وارد می کند.

انواع بدافزارها، ویروس‌ها و کرم‌ها هستند که به خاطر نحوهٔ شیوع‌شان شناخته می‌شوند. عبارت ویروس کامپیوتری به برنامه‌ای اطلاق می‌شود که نرم‌افزار قابل اجرایی را آلوده کرده باشد و هنگامی که اجرا می‌شود، سبب شود که ویروس به فایل‌های قابل اجرای دیگر نیز منتقل شود. ویروس‌ها ممکن است قابلیت حمل یک بار اضافی را نیز داشته باشند، که می‌تواند اعمال دیگر نیز انجام دهد. این اعمال اغلب خرابکارانه هستند. از سوی دیگر یک کرم برنامه‌ای است که به‌طور فعالانه خود را روی یک شبکه منتقل می‌کند تا رایانه‌های دیگر را نیز آلوده سازد. کرم‌ها نیز قابلیت حمل یک بار اضافی را دارند.

تعریف‌های بالا نشان می‌دهد که تفاوت ویروس و کرم در این است که یک ویروس برای شیوع نیاز به دخالت کاربر دارد، در حالی که یک کرم خود را به‌طور خودکار و از طریق شبکه گسترش پیدا می‌کند. در نتیجه آلودگی‌هایی که از طریق ایمیل یا فایل‌های مایکروسافت ورد (به انگلیسی: Microsoft Word) منتقل می‌شوند، ویروس شناخته می‌شوند، زیرا باید دریافت‌کنندهٔ فایل یا ایمیل آن را باز کند تا سیستم آلوده شود. برخی نویسندگان در رسانه‌های محبوب نیز متوجه این تمایز نیستند و از این عبارت‌ها به اشتباه در جای یکدیگر استفاده می‌کنند.[۲]

باج افزار قفل صفحهویرایش

مقاله اصلی: باج افزار

"قفل صفحه ها" یا قفل صفحه نمایش نوعی باج افزار "پلیس سایبر" است که باعث می شود صفحات صفحه روی ویندوز یا دستگاه های Android با یک تهمت دروغین در برداشت محتوای غیرقانونی مسدود شود ، و سعی در ترساندن قربانیان از پرداخت هزینه ای دارد. Jisut و SLocker بیش از سایر قفل صفحه ها روی دستگاه های اندرویدی تأثیر می گذارند ، در حالی که Jisut نزدیک به 60 درصد از تشخیص های باج افزار اندرویدی را تشکیل می دهد.

اسب های تروجانویرایش

مقاله اصلی: اسب تروا (محاسبات)

اسب تروجان یک برنامه مضر است که خود را به عنوان یک برنامه معمولی و خوش خیم به منظور ترغیب یک قربانی برای نصب آن سوق می دهد. یک اسب تروا معمولاً عملکرد مخرب مخفی را انجام می دهد که هنگام شروع برنامه فعال می شود. این اصطلاح از داستان یونان باستان از اسب تروا گرفته شده است که برای حمله به شهر تروی توسط مخفیکاری استفاده شده است.

اسب های تروجان به طور کلی توسط نوعی مهندسی اجتماعی گسترش می یابند ، به عنوان مثال ، در جایی که کاربر برای اجرای یک پیوست نامه الکترونیکی مبدل شده باشد که مشکوک باشد ، فریب داده نمی شود (به عنوان مثال ، فرم معمول پر شده برای پر کردن آن) یا با بارگیری درایو . اگرچه میزان بار آنها می تواند هر چیزی باشد ، بسیاری از اشکال مدرن به عنوان یک backdoor عمل می کنند ، با یک کنترل کننده تماس می گیرند که می تواند دسترسی غیرمجاز به کامپیوتر آسیب دیده داشته باشد. در حالی که اسب های تروجان و در پشت ها به راحتی قابل تشخیص نیستند ، ممکن است کامپیوترها به دلیل استفاده از پردازنده های سنگین یا استفاده از شبکه ، کندتر عمل کنند.

برخلاف ویروس ها و کرم های رایانه ای ، اسب های تروجان عموماً سعی در تزریق خود به پرونده های دیگر ندارند یا در غیر این صورت خود را تبلیغ می کنند.

در بهار سال 2017 ، کاربران Mac با نسخه جدید Proton Remote Access Trojan (RAT) آموزش داده شدند تا داده های پسورد را از منابع مختلف مانند داده های پر کردن خودکار مرورگر ، صفحه کلید Mac-OS و اتاق های رمز عبور استخراج کند.

روتکیتویرایش

مقاله اصلی: روتکیت

پس از نصب نرم افزارهای مخرب بر روی یک سیستم ، ضروری است که آن را پنهان بمانید ، تا از شناسایی آن خودداری کنید. بسته های نرم افزاری که به عنوان rootkits شناخته می شوند ، با تغییر سیستم عامل میزبان به راحتی امکان پنهان کردن این مخرب را فراهم می کنند تا بدافزار از کاربر پنهان شود. Rootkits می تواند مانع از مشاهده یک فرآیند مضر در لیست فرآیندهای سیستم شود یا از خواندن پرونده های آن جلوگیری کند.

رد گم کن واژه مصوب فرهنگستان زبان و ادب فارسی برای (به انگلیسی: Rootkits) است. هنگامی که یک برنامهٔ خرابکار روی یک سیستم نصب می‌شود بسیار مهم است که مخفی باقی بماند تا از تشخیص و نابودی در امان باشد. همین وضعیت دربارهٔ یک مهاجم انسانی که به‌طور مستقیم وارد یک رایانه می‌شود برقرار است. ترفندهایی که به عنوان روتکیت‌ها شناخته می‌شوند اجازه این مخفی کاری را می‌دهند. آن‌ها این کار را با اصلاح سیستم عامل میزبان انجام می‌دهند به نحوی که بدافزار از دید کاربر مخفی بماند. روتکیت‌ها می‌توانند از این که یک پروسهٔ خرابکارانه در لیست پروسه‌های سیستم دیده شود ممانعت کنند، یا مانع خوانده شدن فایل‌های آن شوند. در ابتدا یک روتکیت مجموعه‌ای از ابزارها بود که توسط یک مهاجم انسانی بر روی یک سیستم یونیکس نصب می‌شد که به مهاجم اجازه می‌داد تا دسترسی مدیریتی داشته باشد. امروزه این عبارت به‌طور عمومی تر برای فرایندهای مخفی‌سازی در یک برنامهٔ خرابکار استفاده می‌شود.


برخی از انواع نرم افزارهای مضر شامل روالهایی برای جلوگیری از شناسایی و / یا تلاش برای حذف ، صرفاً برای مخفی کردن خود نیستند. نمونه اولیه این رفتار در داستان Jargon File از یک جفت برنامه آلوده به سیستم اشتراک گذاری زمان Xerox CP-V ثبت شده است:

هر کار شبح واقعیت قتل دیگری را تشخیص می دهد و نسخه جدیدی از برنامه اخیراً متوقف شده در عرض چند میلی ثانیه را آغاز می کند. تنها راه برای کشتن هر دو شبح ، کشتن آنها به طور همزمان (بسیار دشوار) یا سقوط عمدی سیستم بود.

درهای پشتیویرایش

مقاله اصلی: درپوش (محاسبات)

backdoor روشی است برای دور زدن رویه های احراز هویت عادی ، معمولاً از طریق اتصال به شبکه ای مانند اینترنت. پس از به خطر افتادن سیستم ، ممکن است یک یا چند درب پشتی نصب شود تا امکان دسترسی در آینده ، به صورت نامرئی برای کاربر فراهم شود.

این ایده اغلب پیشنهاد می شود كه تولیدكنندگان رایانه در پشتیبان خود از سیستم های خود ، از پشتیبان نصب كنند تا از آنها پشتیبانی فنی برای مشتریان ارائه دهند ، اما این مسئله هرگز قابل اطمینان نبوده است. در سال 2014 گزارش شد كه آژانسهای دولتی آمریكا رایانه های خریداری شده توسط افراد هدفمند را به كارگاههای مخفی كه نرم افزار یا سخت افزار اجازه دسترسی از راه دور را توسط آژانس نصب كرده بودند ، هدایت می كردند كه از جمله كارآمدترین عملیات برای دستیابی به شبكه های اطراف بود. جهان. درهای پشتی ممکن است توسط اسب های Trojan ، کرم ها ، ایمپلنت ها یا روش های دیگر نصب شود.

گریزویرایش

از ابتدای سال 2015 ، بخش قابل توجهی از بدافزارها با استفاده از بسیاری از تکنیک های طراحی شده برای جلوگیری از تشخیص و تجزیه و تحلیل استفاده شده است. از رایج ترین ، به حداقل رایج:

  1. فرار از تجزیه و تحلیل و تشخیص با اثر انگشت محیط هنگام اجرا.
  2. روش های تشخیص ابزارهای گیج کننده. این امر به بدافزارها اجازه می دهد تا با تغییر سرور مورد استفاده توسط بدافزار ، از شناسایی توسط فناوری هایی مانند نرم افزار آنتی ویروس مبتنی بر امضا جلوگیری کنند.
  3. فرار مبتنی بر زمان. این در شرایطی است که بدافزار در زمانهای معینی یا اقدامات خاصی که توسط کاربر انجام شده است ، اجرا می شود ، بنابراین در طی دوره های آسیب پذیر خاص مانند مراحل بوت شدن ، در حالی که بقیه وقت را خفته نمی کند ، اجرا می شود.
  4. داده های داخلی را دچار سوء استفاده می کنند تا ابزارهای خودکار بدافزار را تشخیص ندهند.

تکنیکی که به طور فزاینده ای رایج است (2015) تبلیغاتی است که از گواهی های دزدیده شده برای غیرفعال کردن ضد بدافزارها و محافظت از ویروس استفاده می کند. راه حل های فنی برای مقابله با نرم افزارهای تبلیغاتی مزاحم موجود است.

امروزه یکی از پیشرفته ترین و مخفی ترین راه های فرار ، استفاده از تکنیک های مخفی سازی اطلاعات ، یعنی stegomalware است. نظرسنجی در مورد stegomalware توسط Cabaj و همکاران منتشر شد. در سال 2018

نوع دیگر روش فرار بدافزارهای Filless یا Advanced Volatile Threats (AVTs) است. بدافزارهای فیلترشکن برای کارکردن به یک فایل احتیاج ندارند. در حافظه اجرا می شود و از ابزارهای سیستم موجود برای انجام اعمال مخرب استفاده می کند. از آنجا که هیچ پرونده ای روی سیستم وجود ندارد ، هیچ پرونده اجرایی برای ابزارهای آنتی ویروس و پزشکی قانونی برای تجزیه و تحلیل وجود ندارد ، و تشخیص چنین بدافزارها تقریبا غیرممکن است. تنها راه برای شناسایی بدافزارهای فیلترشده ، گرفتن آن در زمان واقعی است. اخیراً این حملات نوع با افزایش 432٪ در سال 2017 و 35٪ از حملات در سال 2018 بیشتر شده است. انجام چنین حملاتی آسان نیست اما با کمک کیت های سوءاستفاده شیوع بیشتری پیدا می کند.

دیگر بدافزارهاویرایش

جاسوس‌افزارهاویرایش

جاسوس‌افزارها (Spyware) بدافزارهایی هستند که بر روی رایانهٔ کاربر نصب می‌شوند و بدون اطلاع وی، اطلاعات مختلف در مورد او را جمع‌آوری می‌کنند. اکثر جاسوس‌افزارها از دید کاربرها مخفی می‌مانند و تشخیص و پیدا کردن آن‌ها در اغلب موارد مشکل است. برخی از جاسوس‌افزارها مانند کی‌لاگرها ممکن است توسط مسئول یک سازمان یا شرکت بر روی رایانه‌ها نصب شوند تا رفتار کاربران قابل ارزیابی و بررسی باشد.

جاسوس‌افزارها هر گونه اطلاعاتی را می‌توانند جمع‌آوری کنند. این اطلاعات می‌تواند اطلاعات شخصی یک کاربر مانند گشت و گذارهای وی بر روی اینترنت یا مشخصات حساب‌های مختلف وی مانند رمز عبور پست الکترونیکی و… باشد. علاوه بر این، جاسوس‌افزارهای می‌توانند در کنترل رایانه توسط کاربر اختلال ایجاد کنند. به عنوان مثال، جاسوس‌افزارهای می‌توانند کاربر را به بازدید از یک صفحهٔ خاص اینترنتی مجبور کنند یا اینکه با تغییر تنظیمات رایانهٔ وی، باعث کاهش سرعت اینترنت و دسترسی غیرمجاز به رایانهٔ وی شوند.[۳]

آگهی‌افزارویرایش

آگهی‌افزار یا برنامه‌های تبلیغاتی (Adware): این‌گونه برنامه‌ها همانند جاسوس‌افزارها دارای اثر تخریبی نمی‌باشند و وظیفه آن‌ها بازکردن صفحات خاص اینترنتی جهت اهداف تجاری و تبلیغی است.

جوک‌هاویرایش

جوک‌ها (Joke) برنامه‌هایی هستند که ادعا می‌کنند در حال انجام عملیاتی تخریبی بر روی سیستم شما می‌باشند ولی در واقع این‌گونه نبوده و کار آن‌ها چیزی جز یک شوخی ساده نمی‌باشد. متأسفانه برخی کاربران به سادگی تحت تأثیر جک‌ها قرار گرفته و با تلاش برای از بین بردن چیزی که مخرب نیست باعث ایجاد تخریب بیشتری می‌شوند.

کلکویرایش

کلک (Hoax): این برنامه‌ها با سوء استفاده از کم بودن اطلاعات تخصصی کاربران، آن‌ها را فریب داده و با دستورها و توصیه‌های اشتباه باعث می‌شوند که کاربر شخصاً کاری تخریبی بر روی سیستم خود انجام دهد. به عنوان مثال وانمود می‌کنند که فایلی خاص در مسیر سیستم‌عامل یک برنامه خطرناک است و باید توسط کاربر حذف شود. غافل از اینکه این فایل سیستمی بوده و برای عملکرد درست سیستم‌عامل، وجود آن لازم است.

شماره‌گیرهاویرایش

شماره‌گیر (Dialer): این‌گونه برنامه‌ها وظیفه‌شان ارتباط دادن کاربر از طریق خط تلفن به سرورهایی در دیگر کشورها برای دسترسی مستقیم به اطلاعات آن‌ها می‌باشد. این سرورها معمولاً مربوط به سایت‌های غیراخلاقی بوده و برقراری ارتباط با آن‌ها از طریق خط تلفن باعث هزینه بسیار زیاد مالی می‌گردد.

بارگیرهاویرایش

بارگیر (Downloader): کار این‌گونه برنامه‌ها Download کردن بدافزارها و اجرای آن‌ها است.

کلیک‌کننده‌هاویرایش

کلیک‌کننده (Adclicker): این‌گونه برنامه‌ها لینک صفحات تبلیغاتی را دنبال نموده و به این طریق حالت کلیک شدن بر روی آن صفحه تبلیغاتی خاص را شبیه‌سازی می‌کنند و باعث بالا رفتن تخریب آن می‌شوند.

درهای پشتیویرایش

درهای پشتی (Backdoors) ابزاری برای نفوذگرها هستند که به وسیله آن‌ها می‌توانند سیستم‌های دیگر را در کنترل خود درآورند. درهای پشتی درون شبکه، پورت‌های TCP یا UDP را باز می‌کنند و شروع به گوش کردن نموده تا دستورها نفوذگرها را اجرا کنند. درهای پشتی از جهت نداشتن قابلیت تکثیر شبیه ترویاها هستند.

گذرواژه‌دزدهاویرایش

گذرواژه‌دزد (Password-Stealer): این‌گونه برنامه‌ها که نوعی ترویا هستند کارشان دزدی پسورد از روی سیستم‌ها و ارسال آن‌ها برای نفوذگرها است.

بهره‌کش‌هاویرایش

بهره‌کش‌ها (Exploits) کدهای مخربی هستند که با استفاده از آسیب‌پذیری‌های یک سیستم امکان دسترسی از راه دور به آن سیستم را فراهم می‌کنند.

کلید نگارویرایش

کلیدنگار یا کی‌لاگر (Keylogger) برنامه‌هایی هستند که با قرار گرفتن در حافظه از کلیدهای زده شده توسط کاربر گزارش گرفته و در قالب یک فایل برای نفوذگر می‌فرستند. البته باید بدانیم که کی‌لاگرها به صورت سخت‌افزاری نیز وجود دارند.

آسیب پذیریویرایش

  • در این زمینه و در کل ، آنچه "سیستم" مورد حمله قرار می گیرد ممکن است هر چیزی از یک برنامه واحد ، از طریق یک کامپیوتر کامل و سیستم عامل ، تا یک شبکه بزرگ باشد.
  • عوامل مختلفی باعث می شود سیستم نسبت به بدافزارها آسیب پذیرتر شود:

نقص امنیتی در نرم افزارویرایش

بدافزارها از نقایص امنیتی (اشکالات امنیتی یا آسیب پذیری) در طراحی سیستم عامل ، در برنامه های کاربردی (مانند مرورگرها ، به عنوان مثال نسخه های قدیمی مایکروسافت اینترنت اکسپلورر پشتیبانی شده توسط ویندوز XP) یا در نسخه های آسیب پذیر افزونه های مرورگر مانند Adobe Flash Player استفاده می کنند. ، Adobe Acrobat یا Reader یا Java SE. بعضی اوقات حتی نصب نسخه های جدید چنین افزونه ها به طور خودکار نسخه های قدیمی را حذف نمی کند. مشاوره امنیتی ارائه دهندگان افزونه به روزرسانی های مربوط به امنیت را اعلام می کنند. آسیب پذیریهای رایج به شناسه های CVE اختصاص داده شده و در پایگاه داده ملی آسیب پذیری ایالات متحده ذکر شده اند. Secunia PSI نمونه ای از نرم افزارهای رایگان برای استفاده شخصی است که رایانه ای را برای نرم افزارهای قدیمی و آسیب پذیر به روز می اندازد و سعی در بروزرسانی آن دارد.

نویسندگان بدافزارها برای بهره‌برداری اشکالات یا نقاط ضعف را هدف قرار داده‌اند. روش متداول بهره برداری از آسیب پذیری غلبه بر بافر است ، در جایی که نرم افزار طراحی شده برای ذخیره داده ها در یک منطقه خاص از حافظه از داده های بیشتری جلوگیری نمی کند تا بافر بتواند از آن استفاده کند. نرم افزارهای مخرب ممکن است داده هایی را که بافر را پر کرده است ، با کد یا داده های اجرایی مخرب پس از پایان ، فراهم کند. هنگامی که به این قابلیت بارگیری دسترسی پیدا کرد ، آنچه را که مهاجم و نه نرم افزار قانونی تعیین می کند ، انجام می دهد.

طراحی ناامن یا خطای کاربرویرایش

رایانه های شخصی اولیه از دیسک های فلاپی بوت شدند. هنگامی که درایوهای سخت داخلی متداول شد ، سیستم عامل معمولاً از روی آنها شروع به کار می کرد ، اما در صورت امکان امکان استفاده از دستگاه بوت دیگر نیز وجود دارد ، مانند فلاپی دیسک ، CD-ROM ، DVD-ROM ، فلش درایو USB یا شبکه. . پیکربندی رایانه برای بوت شدن در یکی از این دستگاه ها در صورت وجود رایج بود. به طور معمول هیچ یک در دسترس نخواهد بود. کاربر قصد دارد مثلاً سی دی را در درایو نوری وارد کند تا کامپیوتر را به روشی خاص بوت کند ، مثلاً برای نصب یک سیستم عامل. حتی بدون بوت شدن ، کامپیوترها می توانند پیکربندی شوند که به محض دسترسی ، برخی از نرم افزارها را در برخی رسانه ها اجرا کنند. برای وارد کردن یک CD یا دستگاه USB هنگام وارد کردن.

توزیع کنندگان بدافزار کاربر را به بوت شدن یا در حال اجرا از یک وسیله آلوده یا رسانه فریب می دهند. به عنوان مثال ، ویروس می تواند یک کامپیوتر آلوده را به هر نوع USB که به آن وصل شده است ، کد معتبر قابل اعتماد اضافه کند. هر کس که آنگاه چوب را از طریق USB به رایانه دیگری وصل کند که به وسیله آن از USB استفاده کند ، به نوبه خود آلوده می شود و به همان روش عفونت را منتقل می کند. بطور کلی ، هر دستگاهی که به درگاه USB متصل شود - حتی چراغ ها ، فن ها ، بلندگوها ، اسباب بازی ها یا لوازم جانبی مانند میکروسکوپ دیجیتال - می تواند برای پخش بدافزارها استفاده شود. در صورت عدم کفایت کنترل کیفیت ، دستگاه ها می توانند در حین تولید یا عرضه آلوده شوند.

با راه اندازی رایانه به طور پیش فرض برای بوت شدن از هارد دیسک داخلی ، در صورت وجود ، می توان از این شکل از آلودگی تا حد زیادی جلوگیری کرد ، و نه اینکه از دستگاه ها استفاده نکنید. بوت شدن عمدی از دستگاه دیگر همیشه با فشار دادن کلیدهای خاص در هنگام بوت امکان پذیر است.

نرم افزار ایمیل قدیمی تر به طور خودکار ایمیل HTML را که حاوی کد JavaScript بالقوه مخرب است ، باز می کند. همچنین ممکن است کاربران پیوست های ایمیل مخرب را پیاده سازی کنند. گزارش بررسی های مربوط به نقض اطلاعات در سال 2018 توسط Verizon ، استناد شده توسط CSO Online ، بیان می کند که ایمیل ها روش اصلی تحویل بدافزارها هستند که 92 درصد از ارائه بدافزارها را در سرتاسر جهان تشکیل می دهند.

کاربران دارای امتیاز بیش از حد و کد فوق العاده ممتازویرایش

در محاسبه ، امتیاز به میزان مجاز بودن یک کاربر یا برنامه برای تغییر یک سیستم اشاره دارد. در سیستم های رایانه ای ضعیف طراحی شده ، هم به کاربران و هم در برنامه ها می توان امتیاز بیشتری از آنچه باید داشته باشد ، بدست آورد و بدافزارها می توانند از این مزیت استفاده کنند. دو راهی که بدافزارها این کار را انجام می دهند از طریق کاربران مضراب و کدی غیرقابل دسترسی است.

برخی از سیستم ها به همه کاربران امکان می دهند ساختار داخلی خود را تغییر دهند ، و چنین کاربرانی امروزه برای کاربران ممتاز در نظر گرفته می شوند. این روش عملیاتی استاندارد برای سیستم های میکرو کامپیوتر اولیه و رایانه های خانگی بود ، جایی که هیچ تمایزی بین مدیر یا ریشه و یک کاربر معمولی سیستم وجود نداشت. در برخی سیستم ها ، کاربران غیر سرپرست از طراحی بیش از حد امتیاز می گیرند ، به این معنی که مجاز به تغییر ساختار داخلی سیستم هستند. در برخی از محیط ها ، کاربران بیش از حد ممتاز هستند زیرا به آنها مدیر یا وضعیت معادل نامناسب اعطا شده است.

برخی سیستم ها به کدی که توسط کاربر اجرا شده است اجازه می دهند به کلیه حقوق آن کاربر دسترسی پیدا کند ، که به عنوان کد فوق العاده ممتاز شناخته می شود. این یک روش عملیاتی استاندارد برای سیستم های میکرو رایانه و رایانه های خانگی اولیه بود. بدافزارها ، به عنوان یک کد بیش از حد ممتاز ، می توانند از این امتیاز برای واژگون کردن سیستم استفاده کنند. تقریباً همه سیستم عاملهای رایج در حال حاضر و همچنین بسیاری از برنامه های اسکریپتی اجازه می دهند امتیازات زیادی را به کد وارد کنند ، معمولاً به این معنا که وقتی کاربر کد را اجرا می کند ، سیستم به کلیه حقوق آن کاربر اجازه می دهد تا آن را کدگذاری کند. این امر باعث می شود تا کاربران در برابر بدافزارها به صورت پیوست های ایمیل آسیب پذیر شوند ، که ممکن است پنهان شده یا نباشد.

استفاده از همان سیستم عاملویرایش

یکنواختی می تواند آسیب پذیری باشد. به عنوان مثال ، هنگامی که همه رایانه های یک شبکه همان سیستم عامل را اجرا می کنند ، پس از بهره برداری از یک ، یک کرم می تواند از همه آنها سوءاستفاده کند: به ویژه ، ویندوز مایکروسافت یا Mac OS X سهم بزرگی از بازار را دارند که آسیب پذیری سوءاستفاده ای روی آن تمرکز می کند. سیستم عامل می تواند تعداد زیادی سیستم را برانداز کند. معرفی تنوع صرفاً به دلیل استحکام ، مانند اضافه کردن رایانه های لینوکس ، می تواند هزینه های کوتاه مدت برای آموزش و نگهداری را افزایش دهد. اما ، تا زمانی که همه گره ها بخشی از همان سرویس دایرکتوری برای تأیید هویت نباشند ، داشتن چند گره متنوع می تواند باعث خاموش شدن کامل شبکه شود و به آن گره ها اجازه دهد تا در ترمیم گره های آلوده کمک کنند. چنین افزونگی و عملکردی جداگانه می تواند از هزینه خاموشی کل ، با هزینه افزایش پیچیدگی و کاهش قابلیت استفاده از نظر تأیید هویت ورود به سیستم جلوگیری کند.

استراتژی های ضد بدافزارویرایش

با افزایش حملات بدافزارها ، توجه به ویروس ها و محافظت از نرم افزارهای جاسوسی ، محافظت از بدافزارها و برنامه هایی که بطور ویژه برای مبارزه با بدافزار تهیه شده اند ، آغاز شده است. (سایر اقدامات پیشگیری و بازیابی ، مانند روش های تهیه پشتیبان و بازیابی ، در مقاله ویروس رایانه ذکر شده است).

نرم افزار ضد ویروس و ضد بدافزارویرایش

یک جزء خاص از نرم افزارهای ضد ویروس و ضد بدافزار ، که معمولاً به عنوان یک اسکنر روی دسترسی یا در زمان واقعی از آن یاد می شود ، به هسته یا هسته سیستم عامل می رود و به شکلی شبیه به نحوه تلاش برخی از بدافزارها کار می کند. اگرچه با اجازه آگاهانه کاربر برای محافظت از سیستم ، کار کنید. هر وقت سیستم عامل به یک فایل دسترسی پیدا می کند ، اسکنر روی دسترسی بررسی می کند که آیا این پرونده "قانونی" است یا خیر. اگر پرونده توسط اسکنر به عنوان بدافزار مشخص شود ، عملیات دسترسی متوقف می شود ، پرونده توسط یک اسکنر به روشی از پیش تعریف شده (نحوه پیکربندی برنامه ضد ویروس در هنگام نصب / ارسال) بررسی می شود. کاربر به شما اطلاع داده خواهد شد. این ممکن است تأثیر عملکرد قابل توجهی در سیستم عامل داشته باشد ، اگرچه میزان تأثیر آن به میزان برنامه ریزی اسکنر بستگی دارد. هدف متوقف کردن عملیاتی است که ممکن است بدافزارها قبل از وقوع کار روی سیستم تلاش کنند ، از جمله فعالیتهایی که ممکن است از اشکالات سوءاستفاده کنند یا باعث رفتار غیر منتظره سیستم عامل شوند.

برنامه های ضد بدافزار می توانند از دو طریق با بدافزارها مبارزه کنند:

  1. آنها می توانند در صورت نصب نرم افزارهای مخرب بر روی رایانه ، محافظت در زمان واقعی داشته باشند. این نوع محافظت از بدافزارها به همان شیوه محافظت از آنتی ویروس عمل می کند به این دلیل که نرم افزار ضد بدافزار همه داده های شبکه ورودی را برای بدافزار اسکن می کند و هرگونه تهدیدی را که با آن روبرو شوید ، مسدود می کند.
  2. برنامه های نرم افزاری ضد بدافزار فقط می توانند برای شناسایی و حذف نرم افزارهای مخرب که قبلاً روی رایانه نصب شده اند ، مورد استفاده قرار گیرند. این نوع نرم افزار ضد بدافزار ، محتویات رجیستری ویندوز ، پرونده های سیستم عامل و برنامه های نصب شده را بر روی رایانه اسکن می کند و لیستی از تهدیدهای موجود را فراهم می کند ، به کاربر این امکان را می دهد تا انتخاب کند که کدام فایل ها را حذف یا نگه دارد یا مقایسه کند. این لیست به لیستی از مؤلفه های بدافزار شناخته شده با حذف پرونده هایی که مطابقت دارند ، می دهد.


محافظت در زمان واقعی از بدافزار بطور یکسان با محافظت از آنتی ویروس در زمان واقعی کار می کند: این نرم افزار در زمان بارگیری ، پرونده های دیسک را اسکن می کند و فعالیت مؤلفه هایی را که به عنوان بدافزار شناخته می شوند مسدود می کند. در بعضی موارد ، ممکن است تلاشهایی برای نصب موارد راه اندازی یا اصلاح تنظیمات مرورگر نیز متوقف شود. از آنجا که بسیاری از مؤلفه های بدافزار در نتیجه سوء استفاده از مرورگر یا خطای کاربر نصب شده اند ، با استفاده از نرم افزارهای امنیتی (برخی از آنها ضد بدافزار هستند ، گرچه بسیاری از آنها نیستند) به مرورگرهای "sandbox" (در واقع مرورگر را از رایانه جدا می کنند و از این رو هرگونه بدافزار تغییر ناشی از) همچنین می تواند در کمک به محدود کردن هر گونه آسیب آسیب دیده مؤثر باشد.

نمونه هایی از آنتی ویروس و ضد ویروس مایکروسافت ویندوز مایکروسافت شامل موارد ضروری مایکروسافت امنیتی (برای ویندوز XP ، ویستا و ویندوز 7) برای محافظت در زمان واقعی است ، ابزار حذف نرم افزار مخرب ویندوز (اکنون با همراه Windows (Security) به روز شده است " Patch Tuesday "، دوشنبه سه شنبه هر ماه) و ویندوز دفندر (بارگیری اختیاری در مورد ویندوز XP ، شامل عملکرد MSE در مورد ویندوز 8 و بعد). علاوه بر این ، چندین نرم افزار ضد ویروس قادر به صورت رایگان از اینترنت بارگیری می شود (معمولاً محدود به استفاده غیر تجاری). تست ها برخی از برنامه های رایگان را با برنامه های تجاری رقابت می کند. برای بررسی و تعمیر فایل های سیستم خراب شده می توان از Checker File System Microsoft استفاده کرد.

برخی ویروس ها بازیابی سیستم و سایر ابزارهای مهم Windows مانند Task Manager و Command Prompt را غیرفعال می کنند. بسیاری از این ویروس ها با راه اندازی مجدد رایانه ، ورود به حالت ایمن ویندوز با شبکه سازی ، و سپس با استفاده از ابزارهای سیستم یا Microsoft Security Scanner قابل حذف هستند.

ایمپلنت های سخت افزاری می توانند از هر نوع باشند ، بنابراین هیچ روش کلی برای تشخیص آنها وجود ندارد.

اسکن امنیتی وب سایتویرایش

از آنجا که بدافزارها به وب سایت های به خطر افتاده (با شکستن شهرت ، لیست سیاه در موتورهای جستجو و غیره) آسیب می رساند ، برخی وب سایت ها اسکن آسیب پذیری را ارائه می دهند. این اسکن ها وب سایت را بررسی می کنند ، بدافزار را ردیابی می کنند ، ممکن است به نرم افزار منسوخ شده توجه داشته باشند و مشکلات امنیتی شناخته شده را گزارش می کنند.

جداسازی "شکاف هوا" یا "شبکه موازی"ویرایش

بعنوان آخرین راه حل ، می توان کامپیوترها را از بدافزار محافظت کرد ، و کامپیوترهای آلوده می توانند با تحمیل "شکاف هوا" (یعنی قطع کامل آنها از همه شبکه های دیگر) از انتشار اطلاعات قابل اعتماد جلوگیری کنند. با این حال ، بدافزارها هنوز هم در برخی شرایط می توانند از شکاف هوا عبور کنند. به عنوان مثال ، رسانه های قابل جابجایی می توانند بدافزارها را با مشکل مواجه کنند.

"AirHopper" ، "BitWhisper" ، "GSMem" و "Fansmitter" چهار تکنیکی هستند که توسط محققان معرفی شده اند و می توانند با استفاده از انتشار الکترومغناطیسی ، حرارتی و صوتی ، داده ها را از رایانه های خالی شده در هوا نشت کنند.

خاکستریویرایش

Grayware اصطلاحی است که برای برنامه های ناخواسته یا پرونده هایی اعمال می شود که به عنوان بدافزار طبقه بندی نشده اند ، اما می تواند عملکرد رایانه ها را بدتر کند و ممکن است خطرات امنیتی ایجاد کند.

این برنامه هایی را توصیف می کند که به صورت آزاردهنده یا نامطلوب رفتار می کنند و در عین حال از بدافزارها جدی یا مشکل آفرین هستند. نرم افزارهای خاکستری شامل نرم افزارهای جاسوسی ، نرم افزارهای تبلیغاتی مزاحم ، شماره گیران تقلب ، برنامه های شوخی ، ابزار دسترسی از راه دور و سایر برنامه های ناخواسته است که ممکن است به عملکرد رایانه ها آسیب برساند یا باعث ناراحتی شود. این اصطلاح در حدود سال 2004 مورد استفاده قرار گرفت.

اصطلاح دیگر ، برنامه بالقوه ناخواسته (PUP) یا برنامه بالقوه ناخواسته (PUA) ، به برنامه هایی اطلاق می شود که علیرغم بارها بارگیری توسط کاربر ، احتمالاً پس از عدم خواندن توافقنامه بارگیری ، ناخواسته تلقی می شوند. PUP ها شامل نرم افزارهای جاسوسی ، تبلیغاتی مزاحم و شماره گیران تقلب هستند. بسیاری از محصولات امنیتی ژنراتورهای کلیدی غیرمجاز را به عنوان نرم افزارهای خاکستری طبقه بندی می کنند ، اگرچه آنها علاوه بر هدف ظاهری خود ، بدافزارهای واقعی را حمل می کنند.

سازنده نرم افزار Malwarebytes معیارهای مختلفی را برای طبقه بندی یک برنامه به عنوان PUP ذکر کرده است. برخی از انواع نرم افزارهای تبلیغاتی مزاحم (با استفاده از گواهینامه های سرقت شده) ضد ویروس و محافظت از ویروس را خاموش می کنند. روشهای درمانی موجود است

تاریخچه ویروس ها و کرم هاویرایش

قبل از گسترده شدن دسترسی به اینترنت ، ویروس ها با آلوده کردن برنامه های اجرایی یا بخش های بوت دیسک های فلاپی در رایانه های شخصی پخش می شوند. با وارد کردن یک کپی از خود در دستورالعمل های کد دستگاه در این برنامه ها یا بخش های بوت ، یک ویروس باعث می شود که هر زمان برنامه اجرا شود یا دیسک بوت شود ، خودش را اجرا می کند. ویروس های رایانه ای اولیه برای Apple II و Macintosh نوشته شده بودند ، اما با تسلط بر سیستم IBM PC و MS-DOS ، آنها گسترده تر شدند. اولین ویروس IBM PC در "وحشی" ویروس بخش boot لقب (c) مغز است که در سال 1986 توسط برادران فاروک الوی در پاکستان ایجاد شد. ویروس های آلوده به اجرایی وابسته به کاربران هستند که نرم افزار را تبادل می کنند یا فلاپی ها و درایوهای انگشت شست بوت را قادر می سازند ، بنابراین به سرعت در محافل سرگرمی رایانه پخش می شوند.

اولین کرم ها ، برنامه های عفونی ناشی از شبکه ، نه در رایانه های شخصی بلکه در سیستم های چند وظیفه یونیکس سرچشمه گرفته است. اولین کرم مشهور Worm Internet of 1988 بود که سیستم های SunOS و VAX BSD را آلوده کرد. این کرم برخلاف ویروس ، خود را وارد برنامه های دیگر نمی کرد. در عوض ، از سوراخ های امنیتی (آسیب پذیری) در برنامه های سرور شبکه بهره برداری کرد و خود را به عنوان یک فرآیند جداگانه شروع به کار کرد. همین رفتار توسط کرمهای امروزی نیز انجام می شود.

با ظهور پلت فرم مایکروسافت ویندوز در دهه 1990 و ماکروهای قابل انعطاف برنامه های آن ، نوشتن کد های عفونی به زبان کلان مایکروسافت ورد و برنامه های مشابه امکان پذیر شد. این ویروسهای کلان به جای برنامه های کاربردی (اجرایی) اسناد و قالبها را آلوده می کنند ، اما به این واقعیت تکیه دارند که ماکروها در یک سند Word نوعی کد اجرایی هستند.

تحقیقات دانشگاهیویرایش

مفهوم برنامه کامپیوتری خود تولید مثل می تواند به تئوری های اولیه در مورد عملکرد خودکارهای پیچیده ردیابی شود. جان فون نویمان نشان داد كه در تئوری یك برنامه می تواند خودش را بازتولید كند. این نتیجه قابل قبول در نظریه محاسبه را تشکیل می دهد. فرد کوهن با ویروس های رایانه ای آزمایش کرد و فرضیه نویمان را تأیید کرد و در مورد دیگر خصوصیات بدافزارها نظیر قابلیت تشخیص و خودآرایی با استفاده از رمزگذاری احتیاطی ، تحقیق کرد. رساله دکتری وی در سال 1987 در زمینه ویروس های رایانه ای بود. ترکیبی از فناوری رمزنگاری به عنوان بخشی از بار ویروس ، بهره برداری از آن برای اهداف حمله ، از اواسط دهه 1990 آغاز و مورد بررسی قرار گرفت ، و شامل باج افزار اولیه و ایده های فرار است.

جستارهای وابستهویرایش

منابعویرایش

الگو:بدافزار - راهکارهای امن ویرا - 2018-2019 - آنالیز رفتار بدافزارها در شبکه و راهکارهای جلوگیری از آن

  • بدافزار - راهکارهای امن ویرا - 2018-2019 - آنالیز رفتار بدافزارها در شبکه و راهکارهای جلوگیری از آن
  • ویروس‌ها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکترآرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱.