کرم کامپیوتری نوعی بدافزار است که وظیفه اصلی آن تکثیر و آلوده کردن رایانههای دیگر و فعال باقی ماندن در سیستمهای آلوده است.
یک کرم کامپیوتری خودش را کپی میکند تا به کامپیوترهای غیر آلوده سرایت کند و اغلب این کار را با سوء استفاده از بخشهایی از سیستم عامل که به صورت خودکار و برای کاربر نامرئی هستند، انجام میدهد.
معمول است که کرمها فقط زمانی مورد توجه قرار میگیرند که تکثیر کنترل نشدهی آنها منابع سیستم را مصرف میکند و سایر وظایف را کُند یا متوقف میکند.
کرمهای کامپیوتری چگونه کار میکنند؟
کرمهای کامپیوتری اغلب به اقدامات و آسیبپذیریهای پروتکلهای شبکه برای انتشار تکیه میکنند. پس از اینکه یک کرم کامپیوتری بارگذاری شد و شروع به کار بر روی سیستم تازه آلوده کرد، معمولاً از دستور اصلی خود پیروی میکند: فعال ماندن در یک سیستم آلوده تا زمان ممکن و سرایت به سیستمهای آسیبپذیر دیگر تا جایی که ممکن است.
به عنوان مثال، کرم باجافزار WannaCry از یک آسیبپذیری در نسخه اول پروتکل اشتراکگذاری منبع پیام سرور (SMBv1) در ویندوز سوء استفاده کرد.
WannaCry پس از فعال شدن در رایانهای که به تازگی آلوده شده، جستجوی شبکه را برای قربانیان احتمالی جدید آغاز میکند. کرم از طریق سیستمهایی که به درخواستهای SMBv1 ارائه شده توسط کرم پاسخ دهند به داخل شبکه منتشر میشود.
کرمها میتوانند مانند یک منبع بی خطر مانند یک فایل کاری یا لینکی که کاربر روی آن کلیک میکند یا دانلود میکند ظاهر شده و بعداً به صورت کرم نمایان شوند.
فرق بین کرم و ویروس چیست؟
همانطور که در گزارش “امنیت اینترنت” که در سال ۱۹۹۶ توسط بخش CERT موسسه مهندسی نرم افزار در دانشگاه کارنگی ملون منتشر شد، کرمهای کامپیوتری “برنامههای خودتکثیری هستند که بدون دخالت انسانی پس از شروع پخش میشوند.”
در مقابل، این گزارش خاطر نشان میکند که “ویروسها نیز برنامههایی هستند که خود تکثیرند، اما معمولاً نیاز به اقداماتی از جانب کاربر دارند تا ناخواسته به برنامهها یا سیستمهای دیگر سرایت کنند.”
چند نوع کرم کامپیوتری وجود دارد؟
انواع مختلفی از کرمهای کامپیوتری مخرب وجود دارد:
– کرمهای ایمیل
کرمهای ایمیل با ایجاد و ارسال پیامهایی به تمام آدرسهای فهرست مخاطبین کاربر، کار میکنند. این پیامها شامل یک فایل اجرایی مخرب است که وقتی گیرنده آن را باز میکند، سیستم آلوده میشود.
کرمهای ایمیل موفق، معمولاً از تکنیکهای مهندسی اجتماعی و فیشینگ برای تشویق کاربران به باز کردن فایل پیوست استفاده میکنند.
– کرمهای اشتراکگذاری فایل
کرمهای اشتراکگذاری فایل، برنامههایی هستند که به صورت فایلهای رسانهای پنهان میشوند.
Stuxnet، که یکی از بدنامترین کرمهای کامپیوتری تا به امروز است، از دو جزء تشکیل شده: یک کرم برای انتشار بدافزار از طریق دستگاههای USB آلوده به فایل میزبان، و همچنین بدافزاری که سیستمهای کنترل نظارتی و جمع آوری دادهها را هدف قرار میدهد.
کرمهای اشتراک گذاری فایل به طور گسترده برای هدف قرار دادن محیطهای صنعتی، از جمله تاسیسات برق، خدمات تامین آب و تاسیسات فاضلاب استفاده میشوند.
– کرمهای رمزگذار
روش کار کرمهای رمزگذار، رمزگذاری دادهها در سیستم قربانی است. از این نوع کرمها میتوان در حملات باج افزار استفاده کرد که در آن مجرمان با قربانی ارتباط برقرار کرده و در ازای دریافت کلید برای رمزگشایی فایلهای آنها، مبلغی را درخواست میکنند.
– کرمهای اینترنتی
برخی از کرمهای کامپیوتری به طور خاص وبسایتهای محبوب با امنیت ضعیف را هدف قرار میدهند. اگر آنها بتوانند سایت را آلوده کنند، میتوانند رایانهای را که به آن وبسایت دسترسی دارد نیز آلوده کنند.
از آنجا، کرمهای اینترنتی به سایر دستگاههایی که رایانه آلوده از طریق اینترنت و اتصالات شبکه خصوصی به آنها متصل میشود، پخش میشوند.
– کرمهای پیامرسانی فوری
کرمهای پیامرسان فوری مانند کرمهای ایمیل، در پیوستها یا لینکها مخفی میشوند که کرم بتواند همچنان در فهرست مخاطبین کاربر آلوده منتشر شود. تنها تفاوت آن در اینست که به جای دریافت ایمیل، به صورت یک پیام فوری در یک سرویس چت انجام میشود.
اگر کرم، زمان کافی برای تکثیر خود بر روی رایانه را نداشته باشد، گسترش آن اغلب با تغییر رمز عبور در حساب سرویس چت کاربر قابل حل است.
کرم های کامپیوتری چگونه پخش میشوند؟
درحالیکه برخی از کرمهای رایانهای برای انتشار اولیه نیاز به اقدامی از جانب کاربر ، مانند کلیک کردن روی یک لینک دارند، برخی دیگر به راحتی میتوانند بدون تعامل کاربر منتشر شوند. تنها لازم است که کرم روی یک سیستم آلوده فعال شود.
قبل از استفاده گسترده از شبکهها، کرمهای کامپیوتری از طریق رسانههای ذخیرهسازی آلوده، مانند فلاپی دیسکها پخش میشدند. وقتی فلاپی آلوده روی سیستم نصب میشد، سایر دستگاههای ذخیرهسازی متصل به سیستم قربانی را نیز آلوده میکرد.
امروزه، درایوهای USB، مانند فعالیتهای اینترنتی همچون ایمیل، چت و گشت و گذار در وب، یک بستر رایج برای کرمهای کامپیوتری هستند.
چند نمونه قدیمی کرمهای کامپیوتری
کرمها از ابتدای اینترنت وجود داشتهاند. چندین مورد از آنها تاکنون توانستهاند به صورت قابل توجهی گسترش یافته و باعث اختلال عمده در شبکه و کسبوکارها شوند.
۱- کرم موریس
اگرچه کرم موریس که در سال ۱۹۸۸ منتشر شد، به طور گستردهای به عنوان اولین کرم کامپیوتری در نظر گرفته میشود، اما بهتر است به عنوان اولین کرمی شناخته شود که به طور گسترده در اینترنت منتشر شد.
کرم موریس کار رابرت تاپان موریس جونیور، دانشجوی فارغ التحصیل کرنل بود که بنا بر گزارشها سعی داشت تمام سیستمهای متصل به شبکه پیش ساز اینترنت، ARPANET را شمارش کند.
کرم موریس با هدف قرار دادن حفرههای امنیتی در چندین برنامه مختلف یونیکس، میتوانست یک سیستم را بیش از یک بار آلوده کند و ریشهکنی کامل آن را قبل از ایجاد شرایط انکار سرویس (Denial of Service) در میزبان آلوده، دشوار میکرد.
حدود ۱۰ درصد از ۶۰۰۰۰ سیستمی که در آن زمان تصور میشد به ARPANET متصل هستند، تحت تأثیر این کرم قرار گرفتند.
۲- کرم ILOVEYOU
یکی از آسیبرسانترین کرمهای رایانهای، کرم ILOVEYOU بود که در سال ۲۰۰۰ راهاندازی شد. کرم ILOVEYOE بدافزاری را از طریق پیوستهای ایمیل منتشر کرد و به نظر میرسید فایلهای متنی، اسکریپتهای اجرا شده در جلسات گفتگوی فوری و فایلهای اجرایی، به نام فایلهای رایج سیستم تغییر نام داده شدهاند.
ILOVEYOU عمدتاً زمانی گسترش مییابد که قربانیان هدف یک پیوست ایمیل را باز میکنند و بدافزار مجدداً خود را به تمام مخاطبین قربانی در Microsoft Outlook ارسال میکند.
براساس گزارشها، این بدافزار پس از انتشار در ۴ می ۲۰۰۰، ۴۵ میلیون کاربر را تحت تأثیر قرار داد و به سرعت گسترش یافت به طوری که برخی شرکتها، از جمله شرکت خودروسازی فورد، مجبور شدند خدمات ایمیل خود را به طور موقت تعطیل کنند.
– کرم Stuxnet
همانطور که در بالا ذکر شد، Stuxnet یک کرم اشتراک گذاری فایل است که برای اولین بار در سال ۲۰۱۰ شناسایی شد. محققان امنیتی دریافتند که این کرم توسط آژانسهای اطلاعاتی ایالات متحده و اسرائیل برای دخالت در تولید سلاحهای هستهای ایران ایجاد شده است.
Stuxnet از طریق درایوهای USB وارد شد و از نقایص موجود در سیستم عامل ویندوز برای گسترش استفاده کرد و در نهایت باعث اختلال در عملکرد سانتریفیوژهای هستهای شد.
– کرم WannaCry
باج افزار WannaCry از یک کرم برای آلوده کردن رایانههای ویندوز و رمزگذاری فایلها بر روی هارد دیسک رایانههای شخصی استفاده میکند. گسترش آن در می ۲۰۱۷ آغاز شد و صدها هزار کامپیوتر را در بیش از ۱۵۰ کشور در سراسر جهان تحت تاثیر قرار داد. هدف WannaCry شرکتهای بزرگی مانند FedEx ، بانکها و بیمارستانها بود.
زمانی که فایلهای رایانه شخصی قفل شد، هکرها با مالک تماس گرفتند و در ازای دریافت کلید رمزگشایی فایلهایشان، درخواست وجه کردند. با این حال، حتی پس از پرداخت، کلید تنها به چند قربانی داده شد.
محققان امنیتی این هک را به گروه Lazarus ، یک گروه دولت ملی وابسته به کره شمالی مرتبط کردند. درحالیکه WannaCry ضرر مالی قابل توجهی برای قربانیان هدف ایجاد کرد، پس از اینکه محقق امنیتی Marcus Hutchins ، یک سوئیچ kill را کشف کرد که مانع از انتشار بیشتر آن میشد، گسترش آن به سرعت متوقف شد.
چگونه از آلوده شدن به کرم کامپیوتری جلوگیری کنیم؟
حفظ نکات امنیت سایبری برای محافظت از سیستمها در برابر آلوده شدن به کرمهای رایانه ضروری است. اقدامات زیر به جلوگیری از آلوده شدن توسط کرمهای کامپیوتری کمک میکنند:
- بهروزرسانیهای سیستمهای عامل و بستههای نرم افزاری را نصب کنید.
- استفاده از فایروالها به کاهش دسترسی نرم افزارهای مخرب به سیستمها کمک میکند.
- از نرم افزار آنتی ویروس برای جلوگیری از اجرای نرم افزارهای مخرب استفاده کنید.
- هرگز روی پیوستها یا لینکهای موجود در ایمیل یا سایر برنامههای پیامرسان که ممکن است سیستمها را در معرض نرم افزارهای مخرب قرار دهند، کلیک نکنید.
- از رمزگذاری برای محافظت از دادههای حساس ذخیره شده در رایانهها، سرورها و دستگاههای تلفن همراه استفاده کنید.
اگرچه برخی از کرمها برای انجام کاری فراتر از انتشار خود در سیستمهای قربانی جدید طراحی شدهاند، اکثر کرمها با ویروسها، روتکیتها یا سایر نرمافزارهای مخرب در ارتباط هستند که میتواند باعث آسیب و خطرات دیگری نیز بشود.
چگونه یک کرم کامپیوتری را تشخیص دهیم؟
تشخیص وجود کرم ممکن است سخت باشد. علائمی که نشان دهنده وجود کرم است عبارتند از:
- مسائل مربوط به عملکرد رایانه در طول زمان و پهنای باند رایانشی محدود بدون دلیل مشخص
- فریز شدن یا خراب شدن غیرمنتظره سیستم
- رفتار غیرمعمول سیستم، از جمله برنامههایی که بدون تعامل کاربر اجرا یا خاتمه مییابند
- صداها، تصاویر یا پیامهای غیر معمول
- ظاهر شدن ناگهانی فایلها یا آیکنهای ناآشنا، یا ناپدید شدن غیرمنتظره فایلها یا آیکنها
- پیامهای هشدار از سیستم عامل یا نرم افزار آنتی ویروس
- ارسال ایمیل به مخاطبین که کاربر آنها را ارسال نکرده است
چگونه یک کرم کامپیوتری را حذف کنیم؟
حذف یک کرم کامپیوتری میتواند دشوار باشد. در موارد شدید، ممکن است سیستم نیاز به فرمت مجدد داشته و همه نرم افزارها باید مجددا نصب شوند. هنگام شروع پاسخ حادثه، توصیه میشود از یک رایانه شناخته شده و ایمن برای دانلود هرگونه بروزرسانی یا برنامه مورد نیاز در یک دستگاه ذخیرهسازی خارجی و سپس نصب آنها بر روی دستگاه آسیب دیده استفاده کنید.
اگر امکان شناسایی کرمی که سیستم را آلوده کرده وجود داشته باشد، ممکن است دستورالعمل یا ابزار خاصی برای حذف آن بدون نیاز به wipe کردن کامل سیستم وجود داشته باشد.
قبل از اقدام به حذف کرم رایانه، سیستم باید از اینترنت یا هر شبکه سیمی یا بیسیم، جدا شود. همچنین، هر وسیله ذخیرهسازی غیر دائمی، مانند USB یا هارد اکسترنال را بردارید و آنها را به طور جداگانه برای رفع آلودگی اسکن کنید.
هنگامی که سیستم از شبکه جدا شد، موارد زیر را انجام دهید:
- همه امضاهای آنتی ویروس را بروز کنید.
- کامپیوتر را با نرم افزار آنتی ویروس بروز، اسکن کنید.
- از نرم افزار آنتی ویروس برای حذف بدافزارها، کدهای مخرب و کرمهایی که پیدا میکند و پاکسازی فایلهای آلوده استفاده کنید.
- مطمئن شوید که سیستم عامل و همه برنامهها بهروز و patch شدهاند.