واژه بدافزار معادل malware انگليسي است كه يك خلاصه براي Malicious Software يا نرم‌افزار بدخواه است؛ واژه بدافزار به ويروس، كرم، تروجان و هر برنامه ديگري كه با نيت اعمال خرابكارانه ايجاد شود، اطلاق مي‌شود.

به گزارش خبرنگار خبرگزاري دانشجويان ايران(ايسنا)، شايد اين سوال براي كاربران بوجود آمده كه تفاوت ويروس و كرم در چيست و اين دو چه تفاوتي با تروجان دارند؟ يا آيا برنامه‌هاي كاربردي آنتي‌ويروس بر عليه كرم‌ها و تروجان‌ها نيز اقدام مي‌كنند يا فقط به جنگ با ويروس‌ها مي‌روند؟

همه اين سؤال‌ها از يك منبع سرچشمه مي‌گيرند و آن هم دنياي پيچيده و گيج‌كننده كدهاي بدخواه است. تعداد بي‌شمار و تنوع زياد در كدهاي بدخواه موجود، طبقه‌بندي دقيق آن‌ها را مشكل مي‌سازد. در بحث‌هاي كلي درباره آنتي‌ويروس‌ها، تعاريف ساده‌اي به كار برده شده كه اين تعاريف در اين گزارش به نقل از مركز امداد و هماهنگي رايانه‌يي (ماهر) به اين شرح اعلام شده است:

تروجان يا اسب تروا

برنامه‌اي است كه ظاهراً مفيد يا بي‌خطر به نظر مي‌رسد ولي شامل كدهاي پنهاني است كه براي سوءاستفاده يا صدمه زدن به سيستمي كه برروي آن اجرا مي‌شود، به كار مي‌رود. اسب‌هاي تروا معمولاً از طريق اي‌ميل‌هايي كه هدف و كاركرد برنامه را چيزي غير از حقيقت آن نشان مي‌دهند، براي كاربران ارسال مي‌شوند. به چنين برنامه‌هايي كدهاي تروجان هم گفته مي‌شود.

اسب تروا زماني كه اجرا مي‌شود يك عمليات خرابكارانه را بر سيستم اعمال مي‌كند. در اين مقاله، واژه عمليات خرابكارانه يا Payload اصطلاحي است براي مجموعه‌اي از كنش‌هايي كه يك حمله بدافزاري بعد از آلوده كردن سيستم، برروي رايانه قرباني انجام مي‌دهد.

كرم

يك كرم درواقع كد خرابكاري است كه خود را انتشار مي‌دهد و قادر است به صورت خودكار در شبكه‌ها گسترش پيدا كند. يك كرم مي‌تواند دست به اعمال مضري مانند مصرف پهناي باند شبكه يا مصرف منابع محلي سيستم بزند و منجر به حملات انكار سرويس شود.

برخي از كرم‌ها مي‌توانند بدون مداخله كاربر اجرا شده و گسترش پيدا كنند در حالي كه برخي از كرم‌ها نياز دارند كاربر آن‌ها را مستقيماً اجرا كرده تا بتوانند گسترش پيدا كنند. كرم‌ها علاوه بر تكرار خود قادرند يك عمليات خرابكارانه را نيز بر سيستم قرباني اعمال كنند.

ويروس

يك ويروس قطعه كدي است كه براي تكثير خودكار نوشته شده است. يك ويروس تلاش مي‌كند تا از رايانه‌اي به رايانه ديگر گسترش پيدا كند و اين كار را معمولاً از طريق اتصالش به يك برنامه ميزبان انجام مي‌دهد. ويروس‌ها ممكن است خساراتي به سخت‌افزار، نرم‌افزار يا داده‌ها وارد آورند.

زماني كه برنامه ميزبان اجرا مي‌شود، برنامه ويروس نيز اجرا مي‌شود و برنامه‌هاي ديگري را نيز آلوده كرده و به عنوان ميزبان‌هاي جديد از آن‌ها استفاده مي‌كند. گاهي اوقات ويروس، عمليات خرابكارانه ديگري را نيز روي سيستم انجام مي‌دهد.

به هرحال بايد در نظر داشته باشيم كه ممكن است در يك حمله به كدي برخورد كنيم كه در بيش از يكي از اين طبقه‌بندي‌ها بگنجد. به اين حمله‌ها blended threats يا تهديد تركيبي گفته مي‌شود كه شامل بيش از يك نوع بدافزار شده و از بردارهاي حمله چندگانه استفاده مي‌كنند.

بر اساس اين گزارش حمله‌هايي از اين نوع مي‌توانند با سرعت بيش‌تري گسترش پيدا كنند. يك بردار حمله مسيري است كه بدافزار مي‌تواند از آن براي پيش بردن حمله استفاده كند. به همين دليل مقابله با حمله‌هاي تركيبي كار مشكلي است.

طبق گزارش مركز امداد و هماهنگي رايانه‌يي (ماهر) در اين گزارش توضيحات مفصل‌تري هم درباره هر يك از انواع بدافزار آورده‌ايم تا عناصر اصلي هر كدام از آن‌ها را روشن‌تر سازيم.

تروجان

اسب تروا از آنجايي كه خود را انتشار نمي‌دهد به عنوان يك ويروس رايانه‌يي يا كرم نيز در نظر گرفته نمي‌شود. به هر حال معمولاً براي كپي كردن يك تروجان برروي يك سيستم هدف، از يك ويروس يا كرم رايانه‌يي استفاده مي‌شود.

به پروسه فوق dropping گفته مي‌شود؛ هدف اصلي يك اسب تروا خراب كردن كار كاربر يا عمليات معمولي سيستم است. براي مثال تروجان ممكن است يك در پشتي را در سيستم باز كند تا هكر بتواند به سرقت اطلاعات پرداخته يا پيكربندي سيستم را تغيير دهد. دو اصطلاح معادل ديگر نيز وجود دارند كه منظور از آن‌ها همان تروجان است و عبارتند از RAT و Rootkit.

تروجان دسترسي از راه دور

برخي از تروجان‌ها به هكر اجازه كنترل از راه دور سيستم را مي‌دهند. به اين برنامه‌ها RAT يا در پشتي نيز گفته مي‌شود. نمونه‌هايي از RATها عبارتند از: Back Orifice، Cafeene و SubSeven.

روتكيت

اصطلاح فوق براي مجموعه‌اي از برنامه‌هاي نرم‌افزاري به كار مي‌رود كه هكر از آن‌ها براي به دست آوردن دسترسي از راه دور غيرمجاز به رايانه هدف بهره مي‌برد. اين برنامه‌ها معمولاً از تكنيك‌هاي متفاوتي مانند نظارت بر كليدهاي فشرده شده بر روي صفحه كليد، تغيير فايل‌هاي ثبت رويداد يا نرم‌افزارهاي كاربردي سيستم، ايجاد يك در پشتي برروي سيستم و حمله به رايانه‌هاي ديگر از طريق شبكه استفاده مي‌كنند.

روتكيت‌ها معمولاً شامل يك سري ابزار سازمان يافته هستند كه براي هدف قرار دادن سيستم عامل خاصي تنظيم شده‌اند. اولين روتكيت‌ها در اوايل دهه 90 ميلادي مشاهده شدند و در آن زمان سيستم‌هاي عامل‌ Sun و لينوكس هدف اصلي حملات بودند.

در حال حاضر روتكيت‌ها براي اغلب سيستم عامل‌ها از جمله سيستم‌هاي عامل‌ مايكروسافت وجود دارند. دقت داشته باشيد كه ممكن است RATها و ابزارهاي ديگري كه روتكيت‌ها را تشكيل مي‌دهند، حق دسترسي قانوني را براي كنترل از راه دور يا نظارت دارا باشند. به هرحال اين ابزارها خطر كلي را در محيطي كه استفاده مي‌شوند، افزايش مي‌دهند.

كرم‌ها

اگر كد خرابكار خود را تكثير كند ديگر از نوع تروجان محسوب نمي شود، بنابراين سؤال بعدي كه براي تعريف دقيقتر بدافزار، بايد پاسخ داده شود اين است: " آيا كد مورد نظر مي تواند بدون نياز به يك حامل تكثير پيدا كند؟" در واقع آيا اين كد مي تواند بدون نياز به آلوده كردن يك فايل اجرايي، تكرار شود؟ اگر پاسخ به اين سؤال بله باشد، كد مذكور يكي از انواع كرمهاي رايانه اي است. بيشتر كرمها سعي در كپي كردن خودشان در يك رايانه ميزبان دارند و سپس از كانالهاي ارتباطي رايانه مذكور براي گسترش خود استفاده مي كنند. براي مثال كرم Sasser ابتدا با استفاده از يك آسيب پذيري سيستم هدف را آلوده مي ساخت و سپس از طريق اتصالات شبكه رايانه قرباني گسترش پيدا مي كرد. در چنين حملاتي در صورتي كه آخرين به روز رساني هاي امنيتي را بر روي سيستم خود نصب كرده (جلوگيري از آلودگي) و فايروالها را به جهت بستن درگاه هاي شبكه اي كه كرم از آنها استفاده مي كند، فعال سازيد(جلوگيري از انتشار)، حمله مذكور عقيم خواهد ماند.

ويروس‌ها

اگر كد خرابكار يك نسخه از خود را به منظور تكرار شدن در يك فايل ديگر، پرونده يا سكتور بوت حافظه قرار دهد، آن را به عنوان يك ويروس در نظر مي‌گيريم.

اين كپي مي‌تواند يك نسخه برابر اصل يا يك نسخه تغيير يافته باشد. همان طور كه قبلاً هم توضيح داديم، ويروس غالباً شامل يك سري عمليات خرابكارانه مانند قرار دادن يك تروجان برروي رايانه قرباني يا پاك كردن اطلاعات آن مي‌شود. به هر حال، اگر يك ويروس تنها خود را تكثير كند و شامل عمليات خرابكارانه نيز نشود، باز هم به عنوان يك بدافزار در نظر گرفته مي‌شود، زيرا خود ويروس ممكن است در زمان تكثير باعث خرابي داده‌ها، اشغال منابع سيستم و مصرف پهناي باند شبكه شود.