تاریخچه کرم کامپیوتری
اصطلاح «کرم کامپیوتری» (Computer Worm) اولین بار در سال 1975 در رمان علمی تخیلی «The Shockwave Rider» نوشته جان برونر (John Brunner) معرفی شد. در این رمان، قهرمان داستان کرمی به نام «Tape Worm» میسازد که دادهها را جمعآوری میکند و هدفش انتقام از قدرتمندانی بود، که یک شبکه اطلاعات الکترونیکی ملی را اداره میکردند.
با این حال، بین سالهای 1975 و 1988، اولین کرمهای کامپیوتری برای تسهیل استفاده بهتر از یک شبکه طراحی شدند.
اولین برنامهای که به طور منطقی میتواند کرم نامیده شود در سال 1971 توسط باب توماس (Bob Thomas) نوشته شد. این برنامه در پاسخ به نیازهای کنترلرهای ترافیک هوایی بود و به اپراتورها کمک میکرد که چه زمانی کنترل یک هواپیمای خاص از یک کامپیوتر به کامپیوتر دیگر منتقل شود. در واقع، این برنامه که “Creeper” نامیده میشد، فقط از صفحهای به صفحه دیگر در شبکه منتقل شده و پیام «I’m creeper! Catch me if you can!» را نشان میداد؛ برنامه creeper خودش را تکثیر نمیکرد.
پس از این، چندین برنامهنویس دیگر اقدام به ایجاد برنامههای مشابهای کردند اما این ایده به تدریج در عرض چند ماه از بین رفت.
در اوایل دهه 1980، جان شوک (John Shock) و جان هپس (Jon Hepps) از مرکز تحقیقات پالو آلتو زیراکس (Xerox Palo Alto Research Center) شروع به آزمایش کرمهای کامپیوتری کردند. (این اولین باری بود که واژه کرم در واقع برای این نوع کد به کار میرفت.) آنها 5 کرم کامپیوتری را ایجاد نمودند که هر کدام برای انجام کارهای مفید در سراسر شبکه طراحی شده بود. برخی از کرمها بسیار ساده بودند، مانند کرم Town Crier که به سادگی در سراسر شبکه، اعلان ارسال میکرد. سایر کرمها مانند کرم “Vampire” کاملاً باهوش و پیچیده بودند. این کرم در روز بیکار بود، اما در شب، از کامپیوترهای تا حد زیادی بیکار، استفاده نموده و آنها را برای کارهای پیچیدهای که به قدرت پردازش اضافی نیاز داشتند، بکار میگرفت. سپیده دم کارهایی را که انجام داده بود ذخیره نموده و دست از کار میکشید و منتظر غروب بعدی میماند.
کرم کامپیوتری چیست؟
در روزهای اولیه علم کامپیوتر، کرمها برای سوءاستفاده از ضعفهای امنیتی یک سیستم طراحی شدند. به جای آسیب جدی به کامپیوترهای آلوده، آنها فقط در پسزمینه (Background) تکثیر میشدند. اما امروزه هدف کرمهای کامپیوتری تغییر کرده است. امروزه، مهاجمان اغلب از کرمها برای دسترسی کامل به کامپیوترهای قربانیان خود استفاده میکنند.
کامپیوترهای متصل به یک شبکه مستعد آلودگی به اشکال مختلف بدافزار از جمله کرمهای کامپیوتری هستند. کرم کامپیوتری، بدافزاری است که خود را تکثیر نموده و در شبکه منتشر میشود. کرم کامپیوتری معمولاً فایلهای کامپیوتری را آلوده نمیکند، بلکه کامپیوتر دیگری را در شبکه آلوده میسازد. کرم کامپیوتری خودش را تکثیر مینماید؛ کرم این توانایی را به نسخه تکثیر شده خود نیز منتقل میکند تا سیستمهای دیگر را به همان روش آلوده کند. تفاوت بین کرمهای کامپیوتری و ویروسها در این است که کرمهای کامپیوتری برنامههای مستقلی هستند که خود را تکثیر نموده و در پسزمینه (Background) اجرا میشوند، در حالی که ویروسها برای آلوده کردن به یک فایل میزبان نیاز دارند.
کرم کامپیوتری چگونه کار میکند؟
کرمهای کامپیوتری جهت گسترش و انتشار از آسیبپذیریهای موجود در شبکهها سوءاستفاده میکنند. کرم به دنبال دربپشتی (Backdoor) است تا بدون جلب توجه به شبکه نفوذ کند. هکرها اغلب جهت نفوذ اولیه به سیستمها و انتشار کرمهای کامپیوتری بر روی آنها ، اقدام به ارسال ایمیلهای فیشینگ (Phishing) یا پیامهای فوری (Instant message) با پیوستهای مخرب میکنند. مجرمان سایبری سعی میکنند کرم را مخفیانه وارد سیستم نموده تا گیرنده راغب به اجرای برنامه باشد. برای این منظور، به عنوان مثال، پسوندهای دوگانه فایلها (Double File Extension) و / یا نامهای دادهای که بی ضرر یا فوری به نظر میرسد مانند “invoice” مورد استفاده قرار میگیرند. هنگامی که کاربر پیوست یا لینک را باز میکند، بلافاصله بدافزار (کرم کامپیوتری) را در سیستم دانلود نموده و یا به یک وب سایت مخرب هدایت میشود. به این ترتیب، کرم بدون جلب توجه و به صورت نامحسوس به سیستم کاربر راه پیدا میکند. پس از اجرا، کرم کامپیوتری به دنبال راهی برای تکثیر و نفوذ به دیگر سیستمها است. برای مثال، یکی از راههای انجام این کار این است که کرم به تمامی مخاطبین سیستم آلوده ایمیلی که حاوی نسخههای تکثیر شده از کرم است را ارسال میکند.
امروزه بسیاری از کرمها دارای کد مخرب (Payload) هستند. Payload در واقع پیوستی است که کرم با خود به همراه دارد. برای مثال، این کرم میتواند باجافزار، ویروس یا سایر بدافزارها را با خود حمل کند و از این طریق به سیستمهای آلوده آسیب برساند. به عنوان مثال، اینها میتوانند فایلها را در کامپیوتر شخصی حذف کنند یا در صورت وقوع حمله باجافزاری، ضمن درخواست باج، فایلها را رمزگذاری نمایند. یک کرم کامپیوتری همچنین میتواند یک دربپشتی نصب کند که بعداً توسط بدافزارهای دیگر مورد بهرهجویی قرار میگیرد. این آسیبپذیری، نویسنده کرم را قادر به کنترل کامپیوتر آلوده مینماید.
در این میان، گونههای ترکیبی بدافزارهای مختلف نظیر باجافزار WannaCry یا باجافزار Petya / Not-Petya، اغلب در کارزارهای بدافزاری مورد استفاده قرار میگیرند؛ اینها دارای مولفهای کرممانند هستند به طوری که بدافزار میتواند تکثیر شده و از طریق دربهای پشتی به سیستمهای دیگر شبکه منتقل و منتشر شوند.
از آنجایی که کرم یا گرداننده آن قادر است از قدرت محاسباتی سیستم آلوده استفاده کند، اغلب در یک باتنت (Botnet) ادغام شده و سپس توسط مجرمان سایبری درحملات «از کاراندازی توزیعشده سرویس» (Distributed Denial of Service – به اختصار DDoS) یا استخراج غیرمجاز رمزارز (Crypto mining) مورد استفاده قرار میگیرند.
انواع کرمهای کامپیوتری
کرمهای کامپیوتری را میتوان به طور عمده بر اساس نوع انتشار آنها تقسیم کرد:
کرمهای مبتنی بر اینترنت (Internet Worm)
اینها برنامههای کاملاً مستقلی میباشند. در این نوع از کرمها، جستجوی اینترنت کاربر از یک ماشین آلوده، موجب آلوده شدن سیستمهای آسیبپذیر دیگر میشود. به عبارت دیگر اگر کامپیوتر آسیبپذیری پیدا شود، کرم آن را نیز آلوده میکند.
کرمهای مبتنی بر ایمیل (Email Worm)
این کرم کامپیوتری بیشتر از طریق پیوستهای ایمیل منتشر میشود. معمولاً دارای پسوندهای دوگانه (به عنوان مثال .mp4.exe یا .avi.exe) میباشد تا قربانی و گیرنده ایمیل فکر کند که آنها فایلهای رسانهای هستند و برنامههای مخربی نمیباشند.
کرمهای مبتنی بر پوشههای اشتراکی (File Sharing Worm)
با وجود غیرقانونی بودن، اشتراکگذاری فایل و انتقال فایل هنوز توسط میلیونها نفر در سراسر جهان به صورت نظیر به نظیر (Peer-to-peer) انجام میشود. با انجام این کار، آنها ناآگاهانه کامپیوترهای خود را در معرض خطر کرمهایی نظیر کرمهای مبتنی بر ایمیل و کرمهای مبتنی بر پیامرسانهای فوری قرار میدهند.
کرمهای مبتنی بر پوشههای اشتراکی (File Sharing Worm)
با وجود غیرقانونی بودن، اشتراکگذاری فایل و انتقال فایل هنوز توسط میلیونها نفر در سراسر جهان به صورت نظیر به نظیر (Peer-to-peer) انجام میشود. با انجام این کار، آنها ناآگاهانه کامپیوترهای خود را در معرض خطر کرمهایی نظیر کرمهای مبتنی بر ایمیل و کرمهای مبتنی بر پیامرسانهای فوری قرار میدهند.
کرمهای مبتنی بر پیامرسانهای فوری (Instant Messaging Worm)
آنها شبیه کرمهای مبتنی بر ایمیل هستند، تنها تفاوت آنها در نحوه انتشار آنهاست. آنها به عنوان پیوست یا پیوندهای قابل کلیک در وبسایتها پنهان میشوند. اغلب اوقات، پیامهای کوتاهی مانند ""LOL یا "This is your must-see!" نمایش داده میشوند تا قربانی را فریب دهند که فکر کند یکی از دوستانش یک ویدیوی خندهدار برای تماشا فرستاده است
کرمهای مبتنی بر پیامرسانهای فوری (Instant Messaging Worm)
آنها شبیه کرمهای مبتنی بر ایمیل هستند، تنها تفاوت آنها در نحوه انتشار آنهاست. آنها به عنوان پیوست یا پیوندهای قابل کلیک در وبسایتها پنهان میشوند. اغلب اوقات، پیامهای کوتاهی مانند ""LOL یا "This is your must-see!" نمایش داده میشوند تا قربانی را فریب دهند که فکر کند یکی از دوستانش یک ویدیوی خندهدار برای تماشا فرستاده است
کرمهای کامپیوتری معروف
Morris Worm
این کرم کامپیوتری در سال 1988 توسط رابرت موریس (Robert Morris) راهاندازی شد. او کدهایی را بدون اینکه بداند مملوء از چه باگهایی هستند، منتشر کرد و باعث ایجاد مشکلات مختلفی برای سرورهای آسیبپذیر شد، کرم Morris هزاران سیستم Unix را در بر گرفت و بین 10 تا 100 میلیون دلار خسارت مالی به بار آورد.
کرم طوفان (Storm Worm)
Storm Worm یک کرم مبتنی بر ایمیل است که از سال 2007 توسط مهاجمان سایبری در حال بکارگیری میباشد. قربانیان این نوع کرم، ایمیلهایی با یک خبر نادرست دریافت کردند. این گزارش یک موج طوفانی بیسابقه را گزارش میداد که در آن احتمال این داده شده بود که در پی وقوع آن صدها نفر در سراسر اروپا کشته شوند. بیش از 1.2 میلیارد ایمیل آلوده به Storm Worm در طول 10 سال ارسال شده است. کارشناسان معتقدند که هنوز حداقل یک میلیون سیستم آلوده در سراسر جهان وجود دارد که صاحبان آنها از آلوده بودن آنها اطلاعی ندارند.
کرم SQL(SQL Worm)
این کرم کامپیوتری روش انتشار بینظیری داشت. به این صورت که یک سری نشانی IP تصادفی تولید کرده و خود را به همراه آنها ایمیل میکرد به این امید که سیستمهای گیرندگان دارای نرمافزار آنتیویروس نباشند. مدت کوتاهی پس از گسترش SQL Worm در سال 2003، بیش از 75 هزار کامپیوتر آلوده ناخواسته در حملات DDoS در چندین وب سایت بزرگ مشارکت داشتند.
تفاوت بین کرم کامپیوتری و ویروس چیست؟
یک کرم کامپیوتری از بسیاری جهات با یک ویروس کامپیوتری مطابقت دارد. مانند یک ویروس معمولی، یک کرم کامپیوتری قادر است خود را تکثیر کرده و در شبکهها منتشر شود. به همین دلیل، کرمها اغلب نوعی ویروس نیز در نظر گرفته میشوند، اما از جهاتی با یکدیگر تفاوت دارند.
برخلاف ویروسها که قبل از آلودهسازی کامپیوتر به فایلهای میزبان نیاز دارند، کرمها موجودیتهایی جداگانه یا نرمافزار مستقلی میباشند. کرمهای کامپیوتری میتوانند به محض نفوذ به سیستم، خود به خود تکثیر و پخش شوند. برای اجرا و توزیع کد خود نیازی به فعالسازی یا مداخله انسانی ندارند. در حالی که ویروسها اغلب در فایلهای به اشتراک گذاشته شده یا دانلود شده، پنهان میشوند. هنگامی که فایل میزبان از کامپیوتر دانلود میشود، ویروس تا زمانی که فایل آلوده فعال نشود، غیرفعال میماند. به محض فعالسازی فایل آلوده، ویروس میتواند کدهای مخرب را اجرا نموده و خود را تکثیر کند و فایلهای دیگر را در سیستم آلوده نماید.
از طرف دیگر، یک کرم کامپیوتری نیازی به فعالسازی فایل میزبان ندارد. به محض اینکه یک کرم کامپیوتری وارد سیستم می شود، چندین نسخه از خود ایجاد نموده و سپس در شبکه یا از طریق اتصال اینترنتی منتشر میشود. این کرمهای تکثیر شده، تمامی کامپیوترها و سرورهایی که از طریق شبکه به دستگاه آلوده اولیه متصل هستند و به اندازه کافی محافظت نشدهاند را آلوده میکنند. از آنجایی که هر یک از نسخ تکثیر شده بعدی کرم، این فرآیند خودتکثیری، اجرا و انتشار را تکرار میکنند، کرمهای کامپیوتری میتوانند به راحتی و به سرعت در سراسر شبکه پخش شوند.
چگونه یک کرم کامپیوتری را تشخیص دهید؟
کاربران باید با علائم کرم کامپیوتری آشنا باشند تا بتوانند به سرعت با شناسایی آنها، به وجود کرم کامپیوتری در سیستم مشکوک شده و آن را حذف کنند. در ادامه به رایجترین نشانههای وجود کرم کامپیوتری میپردازیم:
- رفتار غیرمعمول و عجیب سیستم (پیامها، صداها، تصاویر)
- باز شدن و اجرای خودکار برنامهها
- عملکرد محاسباتی کند
- منجمد شدن سیستم و از کار افتادن آن
- وقوع خطا در سیستمعامل و نمایش پیامهای خطا در سیستم
- ارسال ایمیلهایی بدون اطلاع کاربر به مخاطبین
- گم شدن فایلها یا تغییر آنها
- هشدارهای مکرر فایروال
- رفتار غیرمعمول مرورگر وب
- ظاهر شدن فایلها و آیکونهای عجیب و ناخواسته بر روی دسکتاپ (Desktop)
در حالی که سایر اشکال بدافزار نیز ممکن است باعث ایجاد این مشکلات میشوند، وجود بیش از یکی از این علائم یا تکرار مکرر این علائم نشان دهنده وجود کرم کامپیوتری است.
چگونه یک کرم کامپیوتری را حذف کنیم؟
برای حذف کامل کرم کامپیوتری باید از مراحل زیر استفاده کرد:
- ابتدا باید بر روی تمامی سیستمها، نرمافزار آنتیویروس پیشرفته و بهروز نصب شود. توصیه میشود نرمافزار ضدویروس، از سازندهای معتبر خریداری شود، زیرا بدافزارها اغلب با برنامههای آنتی ویروس جعلی نیز منتقل میشوند.
- قابلیت System Restore را غیرفعال کنید تا از ایجاد نسخ پشتیبان توسط Widows آلوده به کرم کامپیوتری جلوگیری شود.
- سیستم را به صورت دورهای و منظم، با برنامه آنتیویروس به صورت کامل پویش نمائید.
- اگر کرمهای کامپیوتری یافت شوند، نرمافزار ضدویروس معمولاً پیشنهاد حذف آنها را میدهد.
- اگر برنامه آنتیویروس به طور خودکار کرم را حذف نکند، ضروری است که نام کرم را یادداشت کنید.
- در این صورت با استفاده از موتور جستجو باید ابزار مناسبی برای حذف کرم مورد نظر دانلود و اجرا شود. در این حالت، نرمافزار آنتیویروس نیز باید غیرفعال باشد. اگر در حین حذف، کرم اجرا شود، ممکن است با روشهای حذف تضاد داشته باشد و باعث خرابی سیستم شود.
- پس از حذف کرم، برنامه آنتیویروس باید دوباره روشن و فعال شود. در خصوص بازیابی سیستم هم همین روال باید طی شود.
چگونه میتوانید از خود در برابر کرم کامپیوتری محافظت کنید؟
افراد و همچنین کسبوکارها میتوانند برای محافظت از کامپیوترهای خود در برابر کرمهای کامپیوتری، روشهای زیر را اعمال نمایند. مراحل زیر ضمن کاهش خطر آلودگی، شناسایی و حذف کرمهای کامپیوتری را تسهیل مینماید:
رفتار ایمن
کاربر بایستی پیوستها و لینکها را فقط در صورتی که از منبع معتبر و شناخته شده باشند، باز نماید. ایمیلهای دریافتی از فرستندههای ناشناس نباید باز شوند زیرا بسیاری از کرمهای کامپیوتری از طریق ایمیل پخش میشوند. سازمانها باید جهت آموزش کارمندان به طور منظم دورههای آموزشی برگزار کنند تا آنها را از خطرات موجود در اینترنت آگاه نمایند.
بهروزرسانیهای منظم
سیستمهای عامل و تمامی نرمافزارها باید به صورت منظم بهروزرسانی شوند. بهروزرسانیها اغلب حاوی وصلههای امنیتی هستند و از کامپیوترها در برابر انواع تهدیدات از جمله کرمهای کامپیوتری محافظت نموده و باگها را ترمیم میکنند. رفع ضعفهای امنیتی مربوط به نرمافزارها بسیار ضروری است زیرا کرمهای کامپیوتری از آسیبپذیریها سوءاستفاده میکنند.
نرمافزار آنتی ویروس
نرمافزار آنتیویروس اولین اقدام پیشگیرانه برای جلوگیری از آلودگی توسط کرمهای کامپیوتری است. ضدویروس کامپیوتر را در برابر تهدیداتی نظیر ویروسها، کرمها، تروجانها و انواع بدافزارها محافظت نموده و ضمن پویش هر یک از فایلهای موجود در کامپیوتر، از آسیب جلوگیری میکند. برنامههای آنتی ویروسی که قادر به پویش فایلهای دانلود شده و حذف کرمها هستند، نیز بسیار موثر میباشند.
دیواره آتش یا فایروال
فایروال (Firewall) راهکاری است که بر اساس قواعد امنیتی تعریف شده جهت نظارت بر ترافیک ورودی و خروجی شبکه مورد استفاده قرار میگیرد. هدف اصلی آن ایجاد یک مانع بین شبکه داخلی و خارجی به منظور محافظت در برابر حملات سایبری است.
دیواره آتش یا فایروال
فایروال (Firewall) راهکاری است که بر اساس قواعد امنیتی تعریف شده جهت نظارت بر ترافیک ورودی و خروجی شبکه مورد استفاده قرار میگیرد. هدف اصلی آن ایجاد یک مانع بین شبکه داخلی و خارجی به منظور محافظت در برابر حملات سایبری است.
محافظت از صندوق ورودی ایمیل
کرمهای کامپیوتری اغلب از طریق ایمیل و حملات فیشینگ (Phishing) به کامپیوترها حمله میکنند. توصیه میشود جهت جلوگیری از وقوع انواع حملات بدافزاری یا کرمهای کامپیوتری از محصولات و ابزارهای امنیتی استفاده نمائید.
راهکار Bitdefender GravityZone Email Security یکی از محصولات شرکت بیتدیفندر است که توانایی مسدودسازی ایمیلهای جعلی قبل از ورود به شبکه را دارا میباشد. این محصول از چندین فناوری ضدویروس استفاده کرده و تحلیل کاملی از ایمیلهای دریافتی و ارسالی را ارائه میدهد و به راحتی قابل پیادهسازی است.
