کرم کامپیوتری (Worm) چیست؟ انواع کرم های کامپیوتری

کرم کامپیوتری چیست؟

کرم کامپیوتری نوعی بدافزار است که وظیفه اصلی آن تکثیر و آلوده کردن رایانه‌های دیگر و فعال باقی ماندن در سیستم‌های آلوده است.

یک کرم کامپیوتری خودش را کپی می کند تا به کامپیوترهای غیر آلوده سرایت کند و اغلب این کار را با سوء استفاده از بخش هایی از سیستم عامل که به صورت خودکار و برای کاربر نامرئی هستند، انجام می دهد.

معمول است که کرم ها فقط زمانی مورد توجه قرار می گیرند که تکثیر کنترل نشده ی آنها منابع سیستم را مصرف می کند و سایر وظایف را کُند یا متوقف می کند.

کرم های کامپیوتری چگونه کار می کنند؟

کرم‌های کامپیوتری اغلب به اقدامات و آسیب‌پذیری‌های پروتکل‌های شبکه برای انتشار تکیه می‌کنند.

پس از اینکه یک کرم کامپیوتری بارگذاری شد و شروع به کار بر روی سیستم تازه آلوده کرد، معمولاً از دستور اصلی خود پیروی می‌کند: فعال ماندن در یک سیستم آلوده تا زمان ممکن و سرایت به سیستم های آسیب پذیر دیگر تا جایی که ممکن است.

به عنوان مثال، کرم باج‌افزار WannaCry از یک آسیب‌پذیری در نسخه اول پروتکل اشتراک‌گذاری منبع پیام سرور (SMBv1) در ویندوز سوء استفاده کرد.

WannaCry پس از فعال شدن در رایانه‌ای که به تازگی آلوده شده، جستجوی شبکه‌ را برای قربانیان احتمالی جدید آغاز می‌کند. کرم از طریق سیستم‌هایی که به درخواست‌های SMBv1 ارائه شده توسط کرم پاسخ ‌دهند به داخل شبکه منتشر می شود.

کرم‌ها می‌توانند مانند یک منبع بی خطر مانند یک فایل کاری یا لینکی که کاربر روی آن کلیک می‌کند یا دانلود می‌کند ظاهر شده و بعداً به صورت کرم نمایان شوند.

فرق بین کرم و ویروس چیست؟

همانطور که در گزارش “امنیت اینترنت” که در سال ۱۹۹۶ توسط بخش CERT موسسه مهندسی نرم افزار در دانشگاه کارنگی ملون منتشر شد، کرم های کامپیوتری “برنامه های خودتکثیری هستند که بدون دخالت انسانی پس از شروع پخش می شوند.”

در مقابل، این گزارش خاطر نشان می‌کند که “ویروس‌ها نیز برنامه‌هایی هستند که خود تکثیرند، اما معمولاً نیاز به اقداماتی از جانب کاربر دارند تا ناخواسته به برنامه‌ها یا سیستم‌های دیگر سرایت کنند.”

چند نوع کرم کامپیوتری وجود دارد؟

انواع مختلفی از کرم های کامپیوتری مخرب وجود دارد:

– کرم های ایمیل

کرم‌های ایمیل با ایجاد و ارسال پیام‌هایی به تمام آدرس‌های فهرست مخاطبین کاربر، کار می‌کنند. این پیام ها شامل یک فایل اجرایی مخرب است که وقتی گیرنده آن را باز می کند، سیستم آلوده می شود.

کرم‌های ایمیل موفق، معمولاً از تکنیک‌های مهندسی اجتماعی و فیشینگ برای تشویق کاربران به باز کردن فایل پیوست استفاده می‌کنند.

– کرم های اشتراک گذاری فایل

کرم های اشتراک گذاری فایل، برنامه هایی هستند که به صورت فایل های رسانه ای پنهان می شوند.

Stuxnet، که یکی از بدنام ترین کرم های کامپیوتری تا به امروز است، از دو جزء تشکیل شده: یک کرم برای انتشار بدافزار از طریق دستگاه های USB آلوده به فایل میزبان، و همچنین بدافزاری که سیستم های کنترل نظارتی و جمع آوری داده ها را هدف قرار می دهد.

کرم های اشتراک گذاری فایل به طور گسترده برای هدف قرار دادن محیط های صنعتی، از جمله تاسیسات برق، خدمات تامین آب و تاسیسات فاضلاب استفاده می شوند.

– کرم های رمزگذار

روش کار کرم های رمزگذار، رمزگذاری داده ها در سیستم قربانی است. از این نوع کرم ها می توان در حملات باج افزار استفاده کرد که در آن مجرمان با قربانی ارتباط برقرار کرده و در ازای دریافت کلید برای رمزگشایی فایل های آنها، مبلغی را درخواست می کنند.

– کرم های اینترنتی

برخی از کرم های کامپیوتری به طور خاص وب سایت های محبوب با امنیت ضعیف را هدف قرار می دهند. اگر آنها بتوانند سایت را آلوده کنند، می توانند رایانه ای را که به آن وب سایت دسترسی دارد نیز آلوده کنند.

از آنجا، کرم‌های اینترنتی به سایر دستگاه‌هایی که رایانه آلوده از طریق اینترنت و اتصالات شبکه خصوصی به آنها متصل می‌شود، پخش می‌شوند.

– کرم های پیام رسانی فوری

کرم‌های پیام‌رسان فوری مانند کرم‌های ایمیل، در پیوست‌ها یا لینک ها مخفی می‌شوند که کرم بتواند همچنان در فهرست مخاطبین کاربر آلوده منتشر شود. تنها تفاوت آن در اینست که به جای دریافت ایمیل، به صورت یک پیام فوری در یک سرویس چت انجام می شود.

اگر کرم، زمان کافی برای تکثیر خود بر روی رایانه را نداشته باشد، گسترش آن اغلب با تغییر رمز عبور در حساب سرویس چت کاربر قابل حل است.

کرم های کامپیوتری چگونه پخش می شوند؟

در حالی که برخی از کرم‌های رایانه‌ای برای انتشار اولیه نیاز به اقدامی از جانب کاربر ، مانند کلیک کردن روی یک لینک دارند، برخی دیگر به راحتی می‌توانند بدون تعامل کاربر منتشر شوند. تنها لازم است که کرم روی یک سیستم آلوده فعال شود.

قبل از استفاده گسترده از شبکه‌ها، کرم‌های کامپیوتری از طریق رسانه‌های ذخیره‌سازی آلوده، مانند فلاپی دیسک‌ها پخش می‌شدند. وقتی فلاپی آلوده روی سیستم نصب می‌شد، سایر دستگاه‌های ذخیره‌سازی متصل به سیستم قربانی را نیز آلوده می‌کرد.

امروزه، درایوهای USB، مانند فعالیت‌های اینترنتی همچون ایمیل، چت و گشت و گذار در وب، یک بستر رایج برای کرم‌های کامپیوتری هستند.

چند نمونه قدیمی کرم های کامپیوتری

کرم ها از ابتدای اینترنت وجود داشته اند. چندین مورد از آنها تاکنون توانسته اند به صورت قابل توجهی گسترش یافته و باعث اختلال عمده در شبکه و کسب و کارها شوند.

۱- کرم موریس

اگرچه کرم موریس که در سال ۱۹۸۸ منتشر شد، به طور گسترده ای به عنوان اولین کرم کامپیوتری در نظر گرفته می شود، اما بهتر است به عنوان اولین کرمی شناخته شود که به طور گسترده در اینترنت منتشر شد.

کرم موریس کار رابرت تاپان موریس جونیور، دانشجوی فارغ التحصیل کرنل بود که بنا بر گزارش ها سعی داشت تمام سیستم های متصل به شبکه پیش ساز اینترنت، ARPANET را شمارش کند.

کرم موریس با هدف قرار دادن حفره های امنیتی در چندین برنامه مختلف یونیکس، می‌توانست یک سیستم را بیش از یک بار آلوده کند و ریشه‌کنی کامل آن را قبل از ایجاد شرایط انکار سرویس (Denial of Service) در میزبان آلوده، دشوار می‌کرد.

حدود ۱۰ درصد از ۶۰۰۰۰ سیستمی که در آن زمان تصور می شد به ARPANET متصل هستند، تحت تأثیر این کرم قرار گرفتند.

۲- کرم ILOVEYOU

یکی از آسیب‌رسان‌ترین کرم‌های رایانه‌ای، کرم ILOVEYOU بود که در سال ۲۰۰۰ راه‌اندازی شد. کرم ILOVEYOE بدافزاری را از طریق پیوست‌های ایمیل منتشر کرد و به نظر می‌رسید فایل‌های متنی، اسکریپت‌های اجرا شده در جلسات گفتگوی فوری و فایل‌های اجرایی، به نام فایل‌های رایج سیستم تغییر نام داده شده اند.

ILOVEYOU عمدتاً زمانی گسترش می یابد که قربانیان هدف یک پیوست ایمیل را باز می کنند و بدافزار مجدداً خود را به تمام مخاطبین قربانی در Microsoft Outlook ارسال می کند.

براساس گزارش ها، این بدافزار پس از انتشار در ۴ می ۲۰۰۰، ۴۵ میلیون کاربر را تحت تأثیر قرار داد و به سرعت گسترش یافت به طوری که برخی شرکت ها، از جمله شرکت خودروسازی فورد، مجبور شدند خدمات ایمیل خود را به طور موقت تعطیل کنند.

– کرم Stuxnet

همانطور که در بالا ذکر شد، Stuxnet یک کرم اشتراک گذاری فایل است که برای اولین بار در سال ۲۰۱۰ شناسایی شد.

محققان امنیتی دریافتند که این کرم توسط آژانس های اطلاعاتی ایالات متحده و اسرائیل برای دخالت در تولید سلاح های هسته ای ایران ایجاد شده است.

Stuxnet از طریق درایوهای USB وارد شد و از نقایص موجود در سیستم عامل ویندوز برای گسترش استفاده کرد و در نهایت باعث اختلال در عملکرد سانتریفیوژهای هسته ای شد.

– کرم WannaCry

باج افزار WannaCry از یک کرم برای آلوده کردن رایانه های ویندوز و رمزگذاری فایل ها بر روی هارد دیسک رایانه های شخصی استفاده می کند.

گسترش آن در می ۲۰۱۷ آغاز شد و صدها هزار کامپیوتر را در بیش از ۱۵۰ کشور در سراسر جهان تحت تاثیر قرار داد. هدف WannaCry شرکت های بزرگی مانند FedEx ، بانک ها و بیمارستان ها بود.

زمانی که فایل‌های رایانه شخصی قفل شد، هکرها با مالک تماس گرفتند و در ازای دریافت کلید رمزگشایی فایل‌هایشان، درخواست وجه کردند. با این حال، حتی پس از پرداخت، کلید تنها به چند قربانی داده شد.

محققان امنیتی این هک را به گروه Lazarus ، یک گروه دولت ملی وابسته به کره شمالی مرتبط کردند. در حالی که WannaCry ضرر مالی قابل توجهی برای قربانیان هدف ایجاد کرد، پس از اینکه محقق امنیتی Marcus Hutchins ، یک سوئیچ kill را کشف کرد که مانع از انتشار بیشتر آن می شد، گسترش آن به سرعت متوقف شد.

چگونه از آلوده شدن به کرم کامپیوتری جلوگیری کنیم؟

حفظ نکات امنیت سایبری برای محافظت از سیستم ها در برابر آلوده شدن به کرم های رایانه ضروری است.

اقدامات زیر به جلوگیری از آلوده شدن توسط کرم های کامپیوتری کمک می کنند:

• به روز رسانی های سیستم های عامل و بسته های نرم افزاری را نصب کنید.
• استفاده از فایروال ها به کاهش دسترسی نرم افزارهای مخرب به سیستم ها کمک می کند.
• از نرم افزار آنتی ویروس برای جلوگیری از اجرای نرم افزارهای مخرب استفاده کنید.
• هرگز روی پیوست ها یا لینک های موجود در ایمیل یا سایر برنامه های پیام رسان که ممکن است سیستم ها را در معرض نرم افزارهای مخرب قرار دهند، کلیک نکنید.
• از رمزگذاری برای محافظت از داده های حساس ذخیره شده در رایانه ها، سرورها و دستگاه های تلفن همراه استفاده کنید.

اگرچه برخی از کرم‌ها برای انجام کاری فراتر از انتشار خود در سیستم‌های قربانی جدید طراحی شده‌اند، اکثر کرم‌ها با ویروس‌ها، روت‌کیت‌ها یا سایر نرم‌افزارهای مخرب در ارتباط هستند که می‌تواند باعث آسیب و خطرات دیگری نیز بشود.

چگونه یک کرم کامپیوتری را تشخیص دهیم؟

تشخیص وجود کرم ممکن است سخت باشد. علائمی که نشان دهنده وجود کرم است عبارتند از:

• مسائل مربوط به عملکرد رایانه در طول زمان و پهنای باند رایانشی محدود بدون دلیل مشخص
• فریز شدن یا خراب شدن غیرمنتظره سیستم
• رفتار غیرمعمول سیستم، از جمله برنامه هایی که بدون تعامل کاربر اجرا یا خاتمه می یابند
• صداها، تصاویر یا پیام های غیر معمول
• ظاهر شدن ناگهانی فایل ها یا آیکن های ناآشنا، یا ناپدید شدن غیرمنتظره فایل ها یا آیکن ها
• پیام های هشدار از سیستم عامل یا نرم افزار آنتی ویروس
• ارسال ایمیل به مخاطبین که کاربر آنها را ارسال نکرده است

چگونه یک کرم کامپیوتری را حذف کنیم؟

حذف یک کرم کامپیوتری می تواند دشوار باشد. در موارد شدید، ممکن است سیستم نیاز به فرمت مجدد داشته و همه نرم افزارها باید مجددا نصب شوند.

هنگام شروع پاسخ حادثه، توصیه می شود از یک رایانه شناخته شده و ایمن برای دانلود هرگونه به روزرسانی یا برنامه مورد نیاز در یک دستگاه ذخیره سازی خارجی و سپس نصب آنها بر روی دستگاه آسیب دیده استفاده کنید.

اگر امکان شناسایی کرمی که سیستم را آلوده کرده وجود داشته باشد، ممکن است دستورالعمل یا ابزار خاصی برای حذف آن بدون نیاز به wipe کردن کامل سیستم وجود داشته باشد.

قبل از اقدام به حذف کرم رایانه، سیستم باید از اینترنت یا هر شبکه سیمی یا بی سیم، جدا شود. همچنین، هر وسیله ذخیره سازی غیر دائمی، مانند USB یا هارد اکسترنال را بردارید و آنها را به طور جداگانه برای رفع آلودگی اسکن کنید.

هنگامی که سیستم از شبکه جدا شد، موارد زیر را انجام دهید:

• همه امضاهای آنتی ویروس را به روز کنید.
• کامپیوتر را با نرم افزار آنتی ویروس به روز، اسکن کنید.
• از نرم افزار آنتی ویروس برای حذف بدافزارها، کدهای مخرب و کرم هایی که پیدا می کند و پاکسازی فایل های آلوده استفاده کنید.
• مطمئن شوید که سیستم عامل و همه برنامه ها به روز و patch شده اند

سایر مطالب مرتبط

باج افزار (Ransomware) چیست؟

بدافزار (malware) چیست؟

چگونه بدافزار اندروید را در چهار مرحله حذف کنیم؟

تفاوت ويروس و باج افزار چيست؟

حملات DDos