برنامه‌های مخرب

برنامه‌های مخرب گستره وسیعی داشته ومبارزه با آنان مستلزم به‌کارگیری نرم‌افزارهای به‌روز و کارآمد است. این نرم‌افزارها همواره توسط سازندگان خود در حال تغییر و تحول بنیادی هستند بخش عظیمی از برنامه‌های مخرب در قالب تروجان‌ها بوده که از مصادیق بارز ابزارهای هک می‌باشد.

کلمات کلیدی: ویروس، تروجان، کرم، فایروال.

امروزه مسئله ویروس‌های رایانه‌ای به یک معضل بسیارجدی تبدیل شده‌است. برای یک کاربر پی سی ممکن است حداکثر ضرر ناشی از یک ویروس مخرب، ازبین رفتن اطلاعات وبرنامه‌های مهم موجود روی سامانه اش باشد در حالیکه وجود یک ویروس در سامانه‌های رایانه‌ای یک پایگاه نظامی هسته‌ای می‌تواند وجود بشریت و حیات کره زمین را تهدید کند.

اولین ویروس رایانه‌ای توسط کوهن ساخته شد. کوهن صرفاً به عنوان یک پروژه دانشجویی، برنامه‌ای را نوشت که می‌توانست خود را تکثیر کرده و انگل وار به دیگر برنامه‌ها متصل شود ونوعی تغییر درآن‌ها به وجود آورد.

علت نامگذاری ویروس بر روی این‌گونه برنامه‌ها، تشابه زیاد آن‌ها با ویروس‌های بیولوژیکی بود.

پیش‌ترها، تنها روشی که کامپیوتر به واسطه آن در معرض خطر قرار می‌گرفت، زمانی بود که شما یک فلاپی آلوده را داخل دستگاه قرار می‌دادید. اما در عصر جدید تکنولوژی که هر کامپیوتری با دیگر نقاط جهان ارتباط دارد راه مختلفی از جمله اینترنت برای انتشار این‌گونه برنامه‌ها پدید آمده‌است. واژه ویروس، یک واژه عمومی است که به تمام روش‌های مختلفی اطلاق می‌شود که کامپیوتر شما توسط نرم‌افزار بدخواه مورد حمله قرار گیرد. در این قسمت نگاهی خواهیم داشت به مشکلات جدیدتری که امروزه با آن مواجه هستیم.

ویروس‌های کامپیوتری برنامه‌هایی هستند که مشابه ویروس‌های بیولوژیک گسترش یافته و پس از وارد شدن به کامپیوتر اقدامات غیرمنتظره‌ای را انجام می‌دهند. با وجود اینکه همهٔ ویروس‌ها خطرناک نیستند، ولی بسیاری از آن‌ها با هدف تخریب انواع مشخصی از فایل‌ها، برنامه‌های کاربردی یا سیستم‌های عامل نوشته شده‌اند.

برای اینکه یک برنامه به عنوان ویروس شناخته شود فقط کافیست که آن برنامه در ساختار خود دارای یک قسمت تکثیرکننده باشد که برنامه را تکثیر کند تا بتواند سایر برنامه‌های دیگر را آلوده کند. اما در واقع ویروس‌ها در ساختار خود دارای ۴ قسمت اصلی می‌باشند:

واحد پنهان‌کننده: یک برنامه گمراه‌کننده که باعث می‌شود ویروس بتواند خود را در کامپیوتر پنهان کند.

واحد تکثیرکننده: یک برنامه تکثیرکننده که به وسیلهٔ آن ویروس می‌تواند خود را تکثیر کرده و برنامه‌های بیشتری را آلوده کند.

واحد فعال‌کننده: یک کلید فعال 𳕎کننده که باعث می‌شود ویروس در زمان خاصی یا بعد از انجام عمل خاصی فعال شود.

واحد اجرایی: قسمت اجرایی ویروس که ممکن است فقط یک نمایش بدون خطر باشد یا یک برنامه خطرناک که باعث وارد شدن صدمه به سیستم شود.

اسب‌های تروآ خود را به شکل نرم‌افزارهای سودمندی درمی‌آورند که برای دانلود کردن در اینترنت لازم‌اند، و کاربران ساده و بی‌خبر آن‌ها را دانلود کرده و به اجرا درمی‌آورند و بعداً متوجه اشتباه خود می‌شوند. بزرگ‌ترین تفاوت بین اسب تروآ و یک ویروس این است که تروآها خودشان منتشر نمی‌شوند.

اسب تروآ معمولاً به دو بخش سرویس دهنده و سرویس گیرنده تقسیم می‌شود و خود را به شکل یک نرم‌افزار مهم درمی‌آورد و در شبکه‌های به اشتراک‌گذاری فایل نظیر به نظیر یا سایت‌های غیررسمی دانلود، قرار می‌گیرد. زمانی‌که سرویس گیرنده در سیستم شما اجرا می‌شود. حمله‌کننده (شخصی که سرویس دهنده را اجرا می‌کنند) دسترسی بالایی بر روی سیستم شما دارد، و می‌تواند بسته به نیت و هدف حمله‌کننده تأثیرات تخریبی داشته باشد. اسب‌های تروآ به یک تراز بسیار پیچیده رسیده‌اند که موجب شده هر کدام به‌طور قابل ملاحظه‌ای متفاوت از دیگری باشد.

کرم‌های کامپیوتر برنامه‌هایی هستند که به‌طور مستقل تکثیر و اجرا و در سراسر ارتباطات شبکه منتقل می‌شوند. تفاوت اصلی بین ویروس‌ها و کرم‌ها در روش تکثیر و پخش آنهاست. یک ویروس وابسته به یک فایل میزبان یا بخش راه انداز است، در حالیکه یک کرم می‌تواند کاملاً مستقل اجرا شود و از طریق ارتباطات شبکه منتشر گردد. تهدید امنیتی کرم‌ها معادل یک ویروس است.

کرم‌ها قادرند هر نوع آسیبی را وارد کنند، مثلاً خراب کردن فایل‌های مهم در سیستم، کند کردن سیستم تا حد بسیار زیاد یا حتی خراب کردن برخی از برنامه‌های مهم. اکنون که سه نوع اصلی برنامه‌های مخرب بیان شده‌اند می‌توانیم ویژگی‌هایی نظیر خودتکثیری و نیاز به میزبان را در جدول ۱ خلاصه کنیم.

جاسوس افزار، واژه جدیدی برای نرم‌افزارهای تبلیغاتی است. تبلیغ محصولات اشتراک افزار روشی برای مؤلفین اشتراک افزار است تا به نوعی پول‌سازی کنند. شرکت‌های رسانه‌ای بزرگی وجود دارند که پیشنهاد می‌کنند در ازای بخشی از منافع حاصله از فروش بنر، تبلیغات بنر را در محصولات خود قرار دهند. در صورتی‌که کاربر احساس کند که این بنرها مزاحمند، این امکان برای آن‌ها وجود دارد که در ازای پرداخت مخارج پروانه، از شر آن خلاص شوند.

متأسفانه، شرکت‌های تبلیغ‌کننده اغلب نرم‌افزار ردیابی‌کننده در سیستم شما نصب می‌کنند، و این نرم‌افزار دائماً از ارتباط اینترنتی شما استفاده می‌کند تا داده‌های آماری را به تبلیغ‌کننده ارسال دارد. گرچه این شرکت‌ها در سیاست‌های خصوصی خود مدعی هستند که هیچگونه اطلاعات مهم یا توصیف‌کننده‌ای از جانب سیستم شما گردآوری نخواهد شد و هویت شما همچنان ناشناس باقی می‌ماند، اما حقیقت این است که شما سرویس دهنده‌ای دارید که در کامپیوتر شما قرار دارد و اطلاعات مربوط به شما و عادات جستجوی شما را از طریق باند پهن به یک محل دور ارسال می‌دارد. جاسوس افزار به دلیل استفاده تقریباً زیاد از قدرت پردازشی، کامپیوترها را کند می‌کند، پنجره‌های آزار دهنده را در زمان‌های نامناسب ظاهر می‌نماید و تنظیمات مرور کردن اینترنتی شما را تغییر می‌دهد. مثلاً، صفحه شروع یا موتور جستجوی شما را به سرویس‌های متعلق به خودش مبدل می‌کند. حتی اگر برخی‌ها چنین چیزی را غیرقانونی ندانند، اما جاسوس افزارها همچنان یک تهدید امنیتی محسوب می‌شوند و این حقیقت که هیچ راهی برای خلاصی از آن‌ها وجود ندارد، آن‌ها را به اندازه ویروس‌ها آزار دهنده ساخته‌است.

اسپم ایمیلی است که به‌طور اتوماتیک برای اشخاص مختلف فرستاده می‌شود و اغلب اوقات یک محصول، سرویس یا وب سایتی را تبلیغ می‌کند. اسپم‌ها مانند نامه‌های تبلیغاتی هستند که توسط پست به شرکت‌ها یا منازل فرستاه می‌شوند. بعضی از اسپم‌ها شامل مطالب فریبننده می‌باشند مانند این جمله: " شما برنده خوش شانس ما هستید، برای اراسل جایزه کافیست اطلاعات زیر را برای ما ارسال کنید ". بعضی دیگر شامل تصاویر و عکس‌های غیراخلاقی می‌باشند [۳].

بمب منطقی برنامه‌ای است که آزادانه نوشته و اصلاح می‌شود تا در شرایطی خاص که غیرمنتظره بوده و از جانب کاربران قانونی یا مالکین نرم‌افزار غیرقانونی شناخته می‌شوند، نتایجی را ارائه دهد. بمب‌های منطقی ممکن است در برنامه‌های مستقل مستقر شوند، یا اینکه ممکن است بخشی از کرم‌ها یا ویروس‌ها باشند. یک نمونه از بمب منطقی، بمب ساعتی است که در یک زمان خاص منفجر می‌شود.[۱]

این نوع از ویروس‌ها در قالب پیام‌های فریب‌آمیزی، کاربران اینترنت راگول زده و به کام خود می‌کشد. آن‌ها معمولاً به همراه یک نامه ضمیمه شده از طریق پست الکترونیک وارد سامانه می‌شوند. پیغام‌ها می‌توانند مضمونی تهدیدآمیز یا محبت‌آمیز داشته باشند. تغییر پیام یا ارسال آن بسیار ساده بوده و با دستور فوروارد امکان‌پذیر است. ویروسی که پشت این پیغام‌ها مخفی شده می‌تواند یک بمب منطقی، یک اسب تروا یا یکی از فایل‌های سیستم ویندوز باشد.

یک هشدار دروغین ویروس اساساً شبیه به نامه‌های زنجیره‌ای هستند، ولی هشدار دروغین حاوی «اطلاعاتی» در مورد برخی تکه‌های غیرواقعی از بدافزارها است. یک هشدار دروغین، خودش چیزی را خراب نمی‌کند، ولی منابع (انسان و کامپیوتر) را مصرف می‌کند تا جایی که هشدار دروغین کاملاً پخش شود. برخی هشدارهای دروغین از طریق انسان‌ها و توصیه‌کردن به کاربر برای انجام یک سری از اصلاحات روی سیستم کاربران به کار می‌رود که نهایتاً منجر به تخریب کامپیوتر یا آماده‌سازی کامپیوتر برای حمله‌های بعدی خواهد شد.[1]

آنتی ویروس اصطلاحی است که به برنامه یا مجموعه‌ای از برنامه‌ها اطلاق می‌شود که برای محافظت از رایانه‌ها در برابر ویروس‌ها استفاده می‌شوند. مهم‌ترین قسمت هر برنامه ضد ویروس موتور اسکن آن است. جزئیات عملکرد هر موتور متفاوت است ولی همه آن‌ها وظیفه شناسایی فایل‌های آلوده به ویروس را به عهده دارند و در بیشتر موارد در صورتی که فایل آلوده باشد ضد ویروس قادر به پاکسازی و از بین بردن آن است.

نرم‌افزارهای آنتی ویروس عموماً از دو تکنیک برای تشخیص ویروس‌ها استفاده می‌کنند:

۱. استفاده از فایل امضای ویروس: این تکنیک توانایی شناسایی ویروسهایی را دارد که شرکت‌های آنتی ویروس تاکنون برای آن‌ها امضا تولید کرده‌اند. در این روش ضد ویروس متن فایل‌های موجود در رایانه را هنگامی که سامانه عامل آن‌ها را باز می‌کند یا می‌بندد یا ارسال می‌کند امتحان می‌کند و آن را به فایل امضای ویروس که نویسندگان آنتی ویروس تشخیص داده‌اند ارجاع می‌دهد.

فایل امضای ویروس یک رشته بایت است که با استفاده از آن می‌توان ویروس را به صورت یکتا مورد شناسایی قرار داد و از این جهت مشابه اثر انگشت انسان‌ها می‌باشد.

اگر یک تکه کد در فایلی با ویروس موجود در فایل امضای ویروس مطابقت داشت نرم‌افزار ضد ویروس یکی از کارهای زیر را انجام می‌دهد:

الف) سعی می‌کند تا فایل را توسط از بین بردن ویروس به تنهایی تعمیر کند.

ب) قرنطینه کردن فایل (فایل قابل دسترسی توسط برنامه‌های دیگر نباشد و ویروس آن نمی‌تواند گسترش یابد)

ج) فایل ویروسی و آلوده را پاک کند.

دراین تکنیک، فایل امضای ویروس یا همان پایگاه داده ویروس‌های شناخته شده، باید به‌طور مداوم به روز شود تا آخرین اطلاعات را راجع به آخرین ویروس‌ها به دست آورد.

کاربران وقتی ویروس‌های جدید (ناشناخته) را تشخیص دادند، می‌توانند فایل‌های آلوده را به نویسندگان آنتی ویروس ارسال کنند.

۲. تحلیل آماری: فایل در این روش در یک محیط محافظت شده در داخل ماشین مجازی شروع به اجرا می‌کند سپس به برنامه آنتی ویروس اجازه می‌دهد تا رفتار یک فایل مشکوک را به هنگام اجرا شبیه‌سازی کند در حالی که کد مشکوک اصلی از ماشین واقعی کاملاً مجزا شده‌است؛ و بعد برفعالیتهای ویروسی مثل تکرار کد، دوباره‌نویسی فایل، و تلاش برای پنهان‌سازی فایل‌های مشکوک نظارت می‌کند. هرگاه یک یا بیشتر از آن فعالیت‌های شبه ویروس را پیدا کرد، فایل مشکوک علامت‌گذاری می‌شود و به کاربر اطلاع داده می‌شود. مثلاً اگر برنامه‌ای از رمز خود تصحیح‌کننده استفاده کرده ویروس به‌شمار می‌آید. این تکنیک حفاظت بیشتری را در مقابل ویروس‌های جدید تجاری که هنوز وارد پایگاه داده نشانه‌های ویروسی نشدند، به‌وجود می‌آورد.[۳]

فایروال یک برنامه یا دستگاه سخت‌افزاری است که با تمرکز بر روی شبکه و اتصال اینترنت، تسهیلات لازم در جهت عدم دستیابی کاربران غیرمجاز به شبکه یا کامپیوتر شما را ارائه می‌نماید. فایروال‌ها این اطمینان را ایجاد می‌نمایند که صرفاً «پورت‌های ضروری برای کاربران یا سایر برنامه‌های موجود در خارج از شبکه در دسترس و قابل استفاده می‌باشد. به منظور افزایش ایمنی، سایر پورت‌ها غیرفعال می‌گردد تا امکان سوء استفاده از آنان توسط مهاجمان وجود نداشته باشد. در برخی موارد و با توجه به نیاز یک برنامه می‌توان موقتاً» تعدادی از پورت‌ها را فعال و پس از اتمام کار مجدداً آنان را غیرفعال نمود. بخاطر داشته باشید که به موازات افزایش تعداد پورت‌های فعال، امنیت کاهش پیدا می‌نماید.

فایروال‌های نرم‌افزاری، برنامه هائی هستند که پس از اجراء، تمامی ترافیک به درون کامپیوتر را کنترل می‌نمایند (برخی از فایروال‌ها علاوه بر کنترل ترافیک ورودی، ترافیک خروجی را نیز کنترل می‌نمایند). فایروال ارائه شده به همراه ویندوز اکس پی، نمونه‌ای در این زمینه‌است. فایروال‌های نرم‌افزاری توسط شرکت‌های متعددی تاکنون طراحی و پیاده‌سازی شده‌است. تعداد زیادی از این‌گونه فایروال‌ها، صرفاً نظاره گر ترافیک بین شبکه داخلی و اینترنت بوده و ترافیک بین کامپیوترهای موجود در یک شبکه داخلی را کنترل نمی‌نمایند.

فایروال‌ها به دو دستهٔ فایروال‌های شخصی و فایروال‌های و فایروال‌های شبکه تقسیم می‌شوند. کار فایروال‌های شخصی محافظت از یک شبکه در مقابل شبکه دیگر است ولی فایروال‌های شخصی تنها از یک کامپیوتر در مقابل یک شبکه محافظت می‌کند. شکل ۲ و شکل ۳ به ترتیب این مفاهیم را در مورد فایروال‌های شخصی و فایروال‌های شبکه نشان می‌دهند [۳].

برنامه‌های مخرب در سه دسته عمده ویروس، کرم و تروجان قرار می‌گیرند. شمار این نرم‌افزارها بسیار زیاد و روبه افزایش است. همچنین بمب‌های منطقی، جاسوس‌افزارها، اسپم‌ها وگول‌زنک‌ها از دیگر انواع برنامه‌های مخرب به‌شمار می‌روند. آنتی‌ویروس‌ها از دو روش کلی به منظور محافظت از کامپیوترها بهره می‌گیرند. فایروال‌ها گونه‌ای دیگر از نرم‌افزارهایی هستند که در کامپیوترهای شخصی محافظت‌هایی را در مقابل برنامه‌های مخرب فراهم می‌آورند. فایروال‌ها به دو دسته فایروال‌های شخصی و فایروال‌های شبکه تقسیم می‌شوند. برنامه‌های مخرب بسیار زیاد می‌باشند و هر روز نیز به تعداد و انواع آنان افزوده می‌شوند. برای مقابله با این برنامه‌ها وجود برنامه‌هایی نظیر آنتی‌ویروس‌ها و فایروال‌ها و همچنین به‌هنگام‌سازی آن‌ها امری ضروری است.

[۱]- پورجعفریان عباس، برنامه‌های ضد ویروس و روش‌های بهینهٔ مبارزه با ویروس‌های کامپیوتری، چاپ اول، سازمان آموزش کامپیوتر نور، تهران، ۱۳۷۳. [۲]ویروس‌ها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکترآرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱