Malware، یا بد افزار، هر برنامه یا فایلی است که با هدف آسیب رساندن به یک کامپیوتر، شبکه یا سرور ساخته شده است.
انواع مختلفی از malware وجود دارد، از جمله viruses، worms، Trojan horses، ransomware و spyware. این برنامههای خبیث میتوانند اطلاعات حساس را دزدیده، رمزگذاری کنند یا حذف کنند، تغییراتی در عملکردهای اصلی کامپیوتر ایجاد کنند یا حتی فعالیتهای کاربر را نظارت کنند.
Malware چه کار میکند؟ Malware با هدف آسیب زدن به دستگاهها، شبکهها یا کاربران آنها طراحی شده است. بسته به نوع و هدف malware، این آسیبها ممکن است به شکلهای مختلفی به کاربران نشان داده شود. در برخی موارد، تأثیرات malware ممکن است نسبتاً کم باشد، اما در دیگر موارد، ممکن است خسارتهای جدی به کاربران وارد کند. اصلیترین هدف از ایجاد malware، بهرهبرداری از دستگاهها و کاربران به نفع مهاجم است.
چگونه عفونتهای malware اتفاق میافتد؟ سازندگان malware از روشهای متنوع فیزیکی و مجازی استفاده میکنند تا malware را پخش کنند و دستگاهها و شبکهها را آلوده کنند. به عنوان مثال، برنامههای خبیث میتوانند با یک درایو USB به یک سیستم منتقل شوند، از طریق ابزارهای همکاری محبوب و توسط drive-by downloads که بدون تأیید یا آگاهی کاربر، به طور خودکار برنامههای خبیث را به سیستمها دانلود میکنند.
حملات Phishing نوع دیگری از تحویل malware هستند که در آنها ایمیلها به نظر میرسند که پیامهای معتبری هستند، اما حاوی لینکها یا پیوستهای خبیثی هستند که فایل اجرایی malware را به کاربران بیخبر منتقل میکنند. حملات متخصصانهتر malware اغلب از یک سرور command-and-control استفاده میکنند که به تهدید کنندگان امکان ارتباط با سیستمهای آلوده، استخراج دادههای حساس و حتی کنترل از راه دور دستگاه یا سرور مورد نظر را میدهد.
نسخههای جدیدتر malware شامل تکنیکهای جدید عبور و پنهانسازی است که طراحی شدهاند تا نه تنها کاربران، بلکه مدیران امنیتی و محصولات antimalware را فریب دهند. برخی از این تکنیکهای عبور بر اساس تاکتیکهای ساده استوار هستند، مانند استفاده از وبپروکسیها برای پنهان کردن ترافیک خبیث یا آدرسهای IP منبع. تهدیدات پیچیدهتر شامل malware چندشکلی است که میتواند به طور مکرر کد زیرین خود را تغییر دهد تا از ابزارهای تشخیص مبتنی بر امضاء جلوگیری کند؛ تکنیکهای anti-sandbox که به malware امکان میدهد هنگام تجزیه و تحلیل شناسایی شود و اجرای خود را تا زمانی که از sandbox خارج میشود، به تأخیر اندازد؛ و malware بدون فایل که فقط در RAM سیستم وجود دارد تا از کشف شدن جلوگیری کند.
چه نوعهای مختلفی از malware وجود دارد؟
انواع مختلف malware ویژگیها و خصوصیات منحصر به فردی دارند. انواع malware شامل موارد زیر است:
- Virus: معروفترین نوع malware است که میتواند خود را اجرا کند و با آلوده کردن برنامهها یا فایلهای دیگر منتشر شود.
- Worm: میتواند بدون یک برنامه میزبان خود را تکثیر کند و معمولاً بدون هرگونه تعاملی از سوی سازندگان malware منتشر میشود.
- Trojan horse: طراحی شده است تا به نظر بیاید مانند یک برنامه نرمافزار معتبر برای دسترسی به یک سیستم. پس از نصب و فعالسازی، Trojans میتوانند عملکردهای خبیث خود را اجرا کنند.
- Spyware: اطلاعات و دادههای دستگاه و کاربر را جمعآوری میکند و فعالیت کاربر را بدون آگاهی او مشاهده میکند.
- Ransomware: سیستم یک کاربر را آلوده میکند و دادههای آن را رمزگذاری میکند. سپس سایبر جنایتکاران از قربانی خواستار پرداخت یک رansom میشوند تا دادههای سیستم را رمزگشایی کنند.
- Rootkit: دسترسی با سطح مدیر به سیستم قربانی را به دست میآورد. پس از نصب، برنامه به تهدید کنندگان دسترسی root یا ممتاز به سیستم را میدهد.
- Backdoor virus یا RAT: به طور مخفی یک درب پشتی به یک سیستم کامپیوتری آلوده میسازد که به تهدید کنندگان امکان دسترسی از راه دور به آن را بدون آگاه کردن کاربر یا برنامههای امنیتی سیستم میدهد.
- Adware: تاریخچه مرورگر و دانلود یک کاربر را پیگیری میکند با هدف نمایش تبلیغات pop-up یا banner که کاربر را وادار به خرید میکند.
- Keyloggers: تقریباً همه چیزی را که یک کاربر روی کامپیوتر خود انجام میدهد، پیگیری میکند. این شامل ایمیلها، صفحات وب باز شده، برنامهها و ضربههای کلید است.
چگونه malware را تشخیص دهیم
کاربران ممکن است بتوانند malware را تشخیص دهند اگر فعالیتهای غیرمعمولی مانند ناگهانی از دست دادن فضای دیسک، سرعتهای بسیار کند، سقوط یا انجماد مکرر، یا افزایش فعالیت اینترنتی ناخواسته و تبلیغات pop-up را مشاهده کنند.
نرمافزارهای ضدویروس و ضدmalware میتوانند روی یک دستگاه نصب شوند تا در مقابل malware تشخیص و حذف کنند. این ابزارها میتوانند محافظت در زمان واقعی ارائه دهند یا با اجرای اسکنهای سیستمی روتین، malware را تشخیص و حذف کنند.
برای مثال، Windows Defender نرمافزار ضدmalware شرکت مایکروسافت است که در سیستم عامل Windows 10 گنجانده شده است و زیر مجموعهای از Windows Defender Security Center میباشد. Windows Defender در برابر تهدیداتی مانند spyware، adware و ویروسها محافظت میکند. کاربران میتوانند اسکنهای خودکار "Quick" و "Full" را تنظیم کنند، همچنین میتوانند هشدارهای اولویت پایین، متوسط، بالا و شدید را تنظیم کنند.
چگونه malware را حذف کنیم
همانطور که اشاره شد، بسیاری از محصولات امنیتی طراحی شدهاند تا malware را تشخیص دهند و از ورود آن جلوگیری کنند و همچنین آن را از سیستمهای آلوده حذف کنند.
Malwarebytes یک مثال از ابزار ضدmalware است که میتواند در تشخیص و حذف malware کمک کند. این ابزار میتواند malware را از پلتفرمهای Windows، macOS، Android و iOS حذف کند. Malwarebytes میتواند فایلهای registry، برنامههای در حال اجرا، درایوهای سخت و فایلهای جداگانه کاربر را اسکن کند. در صورت تشخیص، malware میتواند در قرنطینه قرار گیرد و سپس حذف شود. اما، برخلاف برخی از ابزارهای دیگر، کاربران نمیتوانند برنامههای اسکن خودکار را تنظیم کنند.
چگونه از ورود malware جلوگیری کنیم
راههای مختلفی وجود دارد که کاربران میتوانند از ورود malware جلوگیری کنند. در مورد محافظت از یک کامپیوتر شخصی، کاربران میتوانند نرمافزار ضدmalware را نصب کنند.
کاربران با رفتار ایمن در کامپیوترها یا دیگر دستگاههای شخصی خود میتوانند از ورود malware جلوگیری کنند. این شامل باز نکردن پیوستها از آدرسهای ایمیل ناشناخته است که ممکن است malware را تحت عنوان یک پیوست معتبر حاوی کنند - چنین ایمیلهایی حتی ممکن است ادعا کنند که از شرکتهای معتبر هستند اما دامنههای ایمیل غیررسمی دارند.
کاربران باید نرمافزار ضدmalware خود را به طور منظم بهروز کنند، زیرا هکرها به طور مداوم تکنیکها و روشهای جدیدی را برای نفوذ به نرمافزار امنیتی توسعه میدهند. تامینکنندگان نرمافزار امنیتی با انتشار بهروزرسانیها به رفع این آسیبپذیریها پاسخ میدهند. اگر کاربران نادیده بگیرند نرمافزار خود را بهروز کنند، ممکن است از یک patch از دست بدهند که آنها را در معرض یک exploit قابل پیشگیری قرار میدهد.
در تنظیمات سازمانی، شبکهها بزرگتر از شبکههای خانگی هستند و از نظر مالی بیشتری در معرض خطر است. مراحل پیشگیرانهای وجود دارد که شرکتها باید برای تأمین محافظت در برابر malware اجرا کنند. احتیاطهای مواجه با بیرون شامل موارد زیر است:
- اجرای تأیید دوگانه برای معاملات کسب و کار به کسب و کار (B2B)؛ و
- اجرای تأیید دومین کانال برای معاملات کسب و کار به مصرفکننده (B2C).
احتیاطهای داخلی مواجه با کسب و کار شامل موارد زیر است:
- اجرای تشخیص malware و تهدید در حالت آفلاین برای گرفتن نرمافزارهای خبیث قبل از انتشار آنها؛
- اجرای سیاستهای امنیتی allowlist هر زمان که ممکن است؛ و
- اجرای امنیت قوی در سطح مرورگر وب.
آیا malware میتواند به Mac ها آسیب بزند؟
Malware میتواند به همچنین Mac ها به همان اندازه که به Windows آسیب بزند. از نظر تاریخی، دستگاههای Windows به دلیل قابلیت دانلود برنامهها برای macOS از طریق App Store، به عنوان یک هدف بزرگتر برای malware نسبت به Mac ها در نظر گرفته شدهاند.
شرکت Malwarebytes در سال 2020 گزارش داد که برای اولین بار، malware روی Mac ها در حال سرعتگیری نسبت به malware روی PC ها است. این موضوع جزئی به دلیل محبوبیت دستگاههای Apple است که توجه بیشتری از هکرها را به خود جلب میکند.
آیا malware میتواند به دستگاههای موبایل آسیب بزند؟
Malware میتواند روی تلفنهای همراه یافت شود و دسترسی به مؤلفههای دستگاه مانند دوربین، میکروفون، GPS یا شتابسنج را فراهم کند. اگر کاربر یک برنامه غیررسمی را دانلود کند یا روی یک پیوند خراب از یک ایمیل یا پیام متنی کلیک کند، دستگاه موبایل میتواند با malware آلوده شود. همچنین میتواند از طریق اتصال Bluetooth یا Wi-Fi آلوده شود.
Malware موبایلی بیشتر روی دستگاههایی که سیستمعامل Android را اجرا میکنند نسبت به iOS یافت میشود. Malware روی دستگاههای Android معمولاً از طریق برنامهها دانلود میشود. نشانههایی که نشاندهنده آلوده شدن دستگاه Android با malware است، شامل افزایش غیرمعمول در مصرف داده، تخلیه سریع شارژ باتری یا تماسها، پیامها و ایمیلهایی است که بدون دانستن اولیه کاربر به تماسهای دستگاه ارسال میشوند. به طور مشابه، اگر کاربر پیامی از یک تماس شناخته شده دریافت کند که مظنون به نظر بیاید، ممکن است از نوعی malware موبایل باشد که بین دستگاهها منتشر میشود.
دستگاههای iOS اپل نادراً با malware آلوده میشوند زیرا Apple برنامههایی را که در App Store فروخته میشوند، بررسی میکند. اما هنوز هم امکان دارد که یک دستگاه iOS با باز کردن یک پیوند ناشناخته که در یک ایمیل یا پیام متنی یافت شده است، با کد خراب آلوده شود. دستگاههای iOS نیز در صورت jailbreak شدن، آسیبپذیرتر میشوند.
تاریخچه malware
واژه malware برای اولین بار توسط دانشمند کامپیوتر و محقق امنیتی به نام یسرائیل رادای در سال 1990 استفاده شد. اما malware قبل از این وجود داشت.
یکی از اولین نمونههای شناخته شده malware، ویروس Creeper در سال 1971 بود که به عنوان یک آزمایش توسط مهندس BBN Technologies به نام رابرت توماس ایجاد شد. Creeper طراحی شده بود تا مینفریمها را در ARPANET آلوده کند. در حالی که این برنامه هیچ تابعی را تغییر نمیداد و دادهها را سرقت یا حذف نمیکرد، اما بدون اجازه از یک مینفریم به دیگری حرکت میکرد و در حالی که یک پیام تلتایپ نمایش داده میشد که میگفت: "من creeper هستم: اگر میتوانی من را بگیر." بعداً Creeper توسط دانشمند کامپیوتر به نام ری تاملینسون تغییر یافت، که توانایی خودکپیبرداری به ویروس اضافه کرد و اولین کرم کامپیوتری شناخته شده را ایجاد کرد.
مفهوم malware در صنعت فناوری ریشه گرفت و نمونههایی از ویروسها و کرمها شروع به ظاهر شدن در Apple و IBM PCs در اوایل دهه 1980 کردند قبل از اینکه پس از معرفی World Wide Web و اینترنت تجاری در دهه 1990 محبوب شوند. از آن زمان، malware - و استراتژیهای امنیتی برای جلوگیری از آن - فقط پیچیدهتر شدهاند.
برنامههای مشابه به malware
برخی دیگر از برنامهها وجود دارند که ویژگیهای مشترک با malware دارند اما به طور قطعی متفاوت هستند. یک مثال از این نوع برنامهها PUP یا برنامهای است که ممکن است نخواهید. اینها برنامههایی هستند که کاربران را فریب میدهند تا آنها را روی سیستمهای خود نصب کنند - مانند نوارهای ابزار مرورگر - اما پس از نصب هیچ عملکرد مخربی اجرا نمیکنند. با این حال، مواردی وجود دارد که یک PUP ممکن است دارای عملکرد مشابه جاسوسی یا سایر ویژگیهای مخفی مخرب باشد، در این صورت PUP به عنوان یک malware طبقهبندی میشود.