کرم کامپیوتری چیست؟ انواع کرم کامپیوتری و روش های حذف آنها

11 اردیبهشت 1402
9:46 ق.ظ

بدافزار

تاریخچه کرم کامپیوتری

اصطلاح «کرم کامپیوتری» (Computer Worm) اولین بار در سال 1975 در رمان علمی تخیلی «The Shockwave Rider» نوشته جان برونر (John Brunner) معرفی شد. در این رمان، قهرمان داستان کرمی به نام «Tape Worm» می‌سازد که داده‌ها را جمع‌آوری می‌کند و هدفش انتقام از قدرتمندانی بود، که یک شبکه اطلاعات الکترونیکی ملی را اداره می‌کردند.

با این حال، بین سالهای 1975 و 1988، اولین کرم‌های کامپیوتری برای تسهیل استفاده بهتر از یک شبکه طراحی شدند.
اولین برنامه‌ای که به طور منطقی می‌تواند کرم نامیده شود در سال 1971 توسط باب توماس (Bob Thomas) نوشته شد. این برنامه در پاسخ به نیازهای کنترلرهای ترافیک هوایی بود و به اپراتورها کمک می‌کرد که چه زمانی کنترل یک هواپیمای خاص از یک کامپیوتر به کامپیوتر دیگر منتقل شود. در واقع، این برنامه که “Creeper” نامیده می‌شد، فقط از صفحه‌ای به صفحه دیگر در شبکه منتقل شده و پیام «I’m creeper! Catch me if you can!» را نشان می‌داد؛ برنامه creeper خودش را تکثیر نمی‌کرد.
پس از این، چندین برنامه‌نویس دیگر اقدام به ایجاد برنامه‌های مشابه‌ای کردند اما این ایده به تدریج در عرض چند ماه از بین رفت.
در اوایل دهه 1980، جان شوک (John Shock) و جان هپس (Jon Hepps) از مرکز تحقیقات پالو آلتو زیراکس (Xerox Palo Alto Research Center) شروع به آزمایش کرم‌های کامپیوتری کردند. (این اولین باری بود که واژه کرم در واقع برای این نوع کد به کار می‌رفت.) آنها 5 کرم کامپیوتری را ایجاد نمودند که هر کدام برای انجام کارهای مفید در سراسر شبکه طراحی شده بود. برخی از کرم‌ها بسیار ساده بودند، مانند کرم Town Crier که به سادگی در سراسر شبکه، اعلان‌ ارسال می‌کرد. سایر کرم‌ها مانند کرم “Vampire” کاملاً باهوش و پیچیده بودند. این کرم در روز بیکار بود، اما در شب، از کامپیوترهای تا حد زیادی بیکار، استفاده نموده و آنها را برای کارهای پیچیده‌ای که به قدرت پردازش اضافی نیاز داشتند، بکار می‌گرفت. سپیده دم کارهایی را که انجام داده بود ذخیره نموده و دست از کار می‌کشید و منتظر غروب بعدی می‌ماند.

کرم کامپیوتری چیست؟

در روزهای اولیه علم کامپیوتر، کرم‌ها برای سوءاستفاده از ضعف‌های امنیتی یک سیستم طراحی شدند. به جای آسیب جدی به کامپیوترهای آلوده، آنها فقط در پس‌زمینه (Background) تکثیر می‌‌شدند. اما امروزه هدف کرم‌های کامپیوتری تغییر کرده است. امروزه، مهاجمان اغلب از کرم‌ها برای دسترسی کامل به کامپیوترهای قربانیان خود استفاده می‌کنند.

کامپیوترهای متصل به یک شبکه مستعد آلودگی به اشکال مختلف بدافزار از جمله کرم‌های کامپیوتری هستند. کرم کامپیوتری، بدافزاری است که خود را تکثیر نموده و در شبکه منتشر می‌شود. کرم کامپیوتری معمولاً فایل‌های کامپیوتری را آلوده نمی‌کند، بلکه کامپیوتر دیگری را در شبکه آلوده می‌سازد. کرم کامپیوتری خودش را تکثیر می‌نماید؛ کرم این توانایی را به نسخه تکثیر شده خود نیز منتقل می‌کند تا سیستم‌های دیگر را به همان روش آلوده کند. تفاوت بین کرم‌های کامپیوتری و ویروس‌ها در این است که کرم‌های کامپیوتری برنامه‌های مستقلی هستند که خود را تکثیر نموده و در پس‌زمینه (Background) اجرا می‌شوند، در حالی که ویروس‌ها برای آلوده کردن به یک فایل میزبان نیاز دارند.

کرم کامپیوتری چگونه کار می‌کند؟

کرم‌های کامپیوتری جهت گسترش و انتشار از آسیب‌پذیری‌های موجود در شبکه‌ها سوءاستفاده می‌کنند. کرم به دنبال درب‌پشتی (Backdoor) است تا بدون جلب توجه به شبکه نفوذ کند. هکرها اغلب جهت نفوذ اولیه به سیستم‌ها و انتشار کرم‌های کامپیوتری بر روی آنها ، اقدام به ارسال ایمیل‌های فیشینگ (Phishing) یا پیام‌های فوری (Instant message) با پیوست‌های مخرب می‌کنند. مجرمان سایبری سعی می‌کنند کرم را مخفیانه وارد سیستم نموده تا گیرنده راغب به اجرای برنامه باشد. برای این منظور، به عنوان مثال، پسوندهای دوگانه فایل‌ها (Double File Extension) و / یا نام‌های داده‌ای که بی ضرر یا فوری به نظر می‌رسد مانند “invoice” مورد استفاده قرار می‌گیرند. هنگامی که کاربر پیوست یا لینک را باز می‌کند، بلافاصله بدافزار (کرم کامپیوتری) را در سیستم دانلود نموده و یا به یک وب سایت مخرب هدایت می‌شود. به این ترتیب، کرم بدون جلب توجه و به صورت نامحسوس به سیستم کاربر راه پیدا می‌کند. پس از اجرا، کرم کامپیوتری به دنبال راهی برای تکثیر و نفوذ به دیگر سیستم‌ها است. برای مثال، یکی از راه‌های انجام این کار این است که کرم به تمامی مخاطبین سیستم آلوده ایمیلی که حاوی نسخه‌های تکثیر شده از کرم است را ارسال می‌کند.

امروزه بسیاری از کرم‌ها دارای کد مخرب (Payload) هستند. Payload در واقع پیوستی است که کرم با خود به همراه دارد. برای مثال، این کرم می‌تواند باج‌افزار، ویروس یا سایر بدافزارها را با خود حمل کند و از این طریق به سیستم‌های آلوده آسیب برساند. به عنوان مثال، اینها می‌توانند فایل‌ها را در کامپیوتر شخصی حذف کنند یا در صورت وقوع حمله باج‌افزاری، ضمن درخواست باج، فایل‌ها را رمزگذاری نمایند. یک کرم کامپیوتری همچنین می‌تواند یک درب‌پشتی نصب کند که بعداً توسط بدافزارهای دیگر مورد بهره‌جویی قرار می‌گیرد. این آسیب‌پذیری، نویسنده کرم را قادر به کنترل کامپیوتر آلوده می‌نماید.

در این میان، گونه‌های ترکیبی بدافزارهای مختلف نظیر باج‌افزار WannaCry یا باج‌افزار Petya / Not-Petya، اغلب در کارزارهای بدافزاری مورد استفاده قرار می‌گیرند؛ اینها دارای مولفه‌ای کرم‌مانند هستند به طوری که بدافزار می‌تواند تکثیر شده و از طریق درب‌های پشتی به سیستم‌های دیگر شبکه منتقل و منتشر شوند.

از آنجایی که کرم یا گرداننده آن قادر است از قدرت محاسباتی سیستم آلوده استفاده کند، اغلب در یک بات‌نت (Botnet) ادغام شده و سپس توسط مجرمان سایبری درحملات «از کاراندازی توزیع‌شده سرویس» (Distributed Denial of Service – به اختصار DDoS) یا استخراج غیرمجاز رمزارز (Crypto mining) مورد استفاده قرار می‌گیرند.

انواع کرم‌های کامپیوتری

کرم‌های کامپیوتری را می‌توان به طور عمده بر اساس نوع انتشار آنها تقسیم کرد:

کرم‌های مبتنی بر اینترنت (Internet Worm)

اینها برنامه‌های کاملاً مستقلی می‌باشند. در این نوع از کرم‌ها، جستجوی اینترنت کاربر از یک ماشین آلوده، موجب آلوده شدن سیستم‌های آسیب‌پذیر دیگر می‌شود. به عبارت دیگر اگر کامپیوتر آسیب‌پذیری پیدا شود، کرم آن را نیز آلوده می‌کند.

کرم‌های مبتنی بر ایمیل (Email Worm)

این کرم کامپیوتری بیشتر از طریق پیوست‌های ایمیل منتشر می‌شود. معمولاً دارای پسوندهای دوگانه (به عنوان مثال .mp4.exe یا .avi.exe) می‌باشد تا قربانی و گیرنده ایمیل فکر کند که آنها فایل‌های رسانه‌ای هستند و برنامه‌های مخربی نمی‌باشند.

کرم‌های مبتنی بر پوشه‌های اشتراکی (File Sharing Worm)

با وجود غیرقانونی بودن، اشتراک‌گذاری فایل و انتقال فایل هنوز توسط میلیون‌ها نفر در سراسر جهان به صورت نظیر به نظیر (Peer-to-peer) انجام می‌شود. با انجام این کار، آنها ناآگاهانه کامپیوترهای خود را در معرض خطر کرم‌هایی نظیر کرم‌های مبتنی بر ایمیل و کرم‌های مبتنی بر پیام‌رسان‌های فوری قرار می‌دهند.

کرم‌های مبتنی بر پوشه‌های اشتراکی (File Sharing Worm)

کرم‌های مبتنی بر پیام‌رسان‌های فوری (Instant Messaging Worm)

آنها شبیه کرم‌های مبتنی بر ایمیل هستند، تنها تفاوت آنها در نحوه انتشار آنهاست. آنها به عنوان پیوست یا پیوندهای قابل کلیک در وب‌سایت‌ها پنهان می‌شوند. اغلب اوقات، پیام‌های کوتاهی مانند ""LOL یا "This is your must-see!" نمایش داده می‎شوند تا قربانی را فریب دهند که فکر کند یکی از دوستانش یک ویدیوی خنده‌دار برای تماشا فرستاده است

کرم‌های مبتنی بر پیام‌رسان‌های فوری (Instant Messaging Worm)

کرم‌های کامپیوتری معروف

Morris Worm

این کرم کامپیوتری در سال 1988 توسط رابرت موریس (Robert Morris) راه‌اندازی شد. او کدهایی را بدون اینکه بداند مملوء از چه باگ‌هایی هستند، منتشر کرد و باعث ایجاد مشکلات مختلفی برای سرورهای آسیب‌پذیر شد، کرم Morris هزاران سیستم Unix را در بر گرفت و بین 10 تا 100 میلیون دلار خسارت مالی به بار آورد.

کرم طوفان (Storm Worm)

Storm Worm یک کرم مبتنی بر ایمیل است که از سال 2007 توسط مهاجمان سایبری در حال بکارگیری می‌باشد. قربانیان این نوع کرم، ایمیل‌هایی با یک خبر نادرست دریافت کردند. این گزارش یک موج طوفانی بی‌سابقه را گزارش می‌داد که در آن احتمال این داده شده بود که در پی وقوع آن صدها نفر در سراسر اروپا کشته شوند. بیش از 1.2 میلیارد ایمیل آلوده به Storm Worm در طول 10 سال ارسال شده است. کارشناسان معتقدند که هنوز حداقل یک میلیون سیستم آلوده در سراسر جهان وجود دارد که صاحبان آنها از آلوده بودن آنها اطلاعی ندارند.

کرم SQL(SQL Worm)

این کرم کامپیوتری روش انتشار بی‌نظیری داشت. به این صورت که یک سری نشانی IP تصادفی تولید کرده و خود را به همراه آنها ایمیل می‌کرد به این امید که سیستم‌های گیرندگان دارای نرم‌افزار آنتی‌ویروس نباشند. مدت کوتاهی پس از گسترش SQL Worm در سال 2003، بیش از 75 هزار کامپیوتر آلوده ناخواسته در حملات DDoS در چندین وب سایت بزرگ مشارکت داشتند.

تفاوت بین کرم کامپیوتری و ویروس چیست؟

یک کرم کامپیوتری از بسیاری جهات با یک ویروس کامپیوتری مطابقت دارد. مانند یک ویروس معمولی، یک کرم کامپیوتری قادر است خود را تکثیر کرده و در شبکه‌ها منتشر شود. به همین دلیل، کرم‌ها اغلب نوعی ویروس نیز در نظر گرفته می‌شوند، اما از جهاتی با یکدیگر تفاوت دارند.

برخلاف ویروس‌ها که قبل از آلوده‌سازی کامپیوتر به فایل‌های میزبان نیاز دارند، کرم‌ها موجودیت‌هایی جداگانه یا نرم‌افزار مستقلی می‌باشند. کرم‌های کامپیوتری می‌توانند به محض نفوذ به سیستم، خود به خود تکثیر و پخش شوند. برای اجرا و توزیع کد خود نیازی به فعال‌سازی یا مداخله انسانی ندارند. در حالی که ویروس‌ها اغلب در فایل‌های به اشتراک گذاشته شده یا دانلود شده، پنهان می‌شوند. هنگامی که فایل میزبان از کامپیوتر دانلود می‌شود، ویروس تا زمانی که فایل آلوده فعال نشود، غیرفعال می‌ماند. به محض فعال‌سازی فایل آلوده، ویروس می‌تواند کدهای مخرب را اجرا نموده و خود را تکثیر کند و فایل‌های دیگر را در سیستم آلوده نماید.

از طرف دیگر، یک کرم کامپیوتری نیازی به فعال‌سازی فایل میزبان ندارد. به محض اینکه یک کرم کامپیوتری وارد سیستم می شود، چندین نسخه از خود ایجاد نموده و سپس در شبکه یا از طریق اتصال اینترنتی منتشر می‌شود. این کرم‌های تکثیر شده، تمامی کامپیوترها و سرورهایی که از طریق شبکه به دستگاه آلوده اولیه متصل هستند و به اندازه کافی محافظت نشده‌اند را آلوده می‌کنند. از آنجایی که هر یک از نسخ تکثیر شده بعدی کرم، این فرآیند خودتکثیری، اجرا و انتشار را تکرار می‌کنند، کرم‌های کامپیوتری می‌توانند به راحتی و به سرعت در سراسر شبکه‌ پخش شوند.

چگونه یک کرم کامپیوتری را تشخیص دهید؟

کاربران باید با علائم کرم کامپیوتری آشنا باشند تا بتوانند به سرعت با شناسایی آنها، به وجود کرم کامپیوتری در سیستم مشکوک شده و آن را حذف کنند. در ادامه به رایج‌ترین نشانه‌های وجود کرم کامپیوتری می‌پردازیم:

رفتار غیرمعمول و عجیب سیستم (پیام‌ها، صداها، تصاویر)
باز شدن و اجرای خودکار برنامه‌ها
عملکرد محاسباتی کند
منجمد شدن سیستم و از کار افتادن آن
وقوع خطا در سیستم‌عامل و نمایش پیام‌های خطا در سیستم
ارسال ایمیل‌هایی بدون اطلاع کاربر به مخاطبین
گم شدن فایل‌ها یا تغییر آنها
هشدارهای مکرر فایروال
رفتار غیرمعمول مرورگر وب
ظاهر شدن فایل‌ها و آیکون‌های عجیب و ناخواسته بر روی دسکتاپ (Desktop)

در حالی که سایر اشکال بدافزار نیز ممکن است باعث ایجاد این مشکلات می‌شوند، وجود بیش از یکی از این علائم یا تکرار مکرر این علائم نشان دهنده وجود کرم کامپیوتری است.

چگونه یک کرم کامپیوتری را حذف کنیم؟

برای حذف کامل کرم کامپیوتری باید از مراحل زیر استفاده کرد:

ابتدا باید بر روی تمامی سیستم‌ها، نرم‌افزار آنتی‌ویروس پیشرفته و به‌روز نصب شود. توصیه می‌شود نرم‌افزار ضدویروس، از سازنده‌ای معتبر خریداری شود، زیرا بدافزارها اغلب با برنامه‌های آنتی ویروس جعلی نیز منتقل می‌شوند.
قابلیت System Restore را غیرفعال کنید تا از ایجاد نسخ پشتیبان توسط Widows آلوده به کرم کامپیوتری جلوگیری شود.
سیستم را به صورت دوره‌ای و منظم، با برنامه آنتی‌ویروس به صورت کامل پویش نمائید.
اگر کرم‌های کامپیوتری یافت شوند، نرم‌افزار ضدویروس معمولاً پیشنهاد حذف آنها را می‌دهد.
اگر برنامه آنتی‌ویروس به طور خودکار کرم را حذف نکند، ضروری است که نام کرم را یادداشت کنید.
در این صورت با استفاده از موتور جستجو باید ابزار مناسبی برای حذف کرم مورد نظر دانلود و اجرا شود. در این حالت، نرم‌افزار آنتی‌ویروس نیز باید غیرفعال باشد. اگر در حین حذف، کرم اجرا شود، ممکن است با روش‌های حذف تضاد داشته باشد و باعث خرابی سیستم شود.
پس از حذف کرم، برنامه آنتی‌ویروس باید دوباره روشن و فعال شود. در خصوص بازیابی سیستم هم همین روال باید طی شود.

چگونه می‌توانید از خود در برابر کرم کامپیوتری محافظت کنید؟

افراد و همچنین کسب‌و‌کارها می‌توانند برای محافظت از کامپیوترهای خود در برابر کرم‌های کامپیوتری، روش‌های زیر را اعمال نمایند. مراحل زیر ضمن کاهش خطر آلودگی، شناسایی و حذف کرم‌های کامپیوتری را تسهیل می‌نماید:

رفتار ایمن

کاربر بایستی پیوست‌ها و لینک‌ها را فقط در صورتی که از منبع معتبر و شناخته شده باشند، باز نماید. ایمیل‌های دریافتی از فرستنده‌های ناشناس نباید باز شوند زیرا بسیاری از کرم‌های کامپیوتری از طریق ایمیل پخش می‌شوند. سازمان‌ها باید جهت آموزش کارمندان به طور منظم دوره‌های آموزشی برگزار کنند تا آنها را از خطرات موجود در اینترنت آگاه نمایند.

به‌روزرسانی‌های منظم

سیستم‌های عامل و تمامی نرم‌افزارها باید به صورت منظم به‌روزرسانی شوند. به‌روزرسانی‌ها اغلب حاوی وصله‌های امنیتی هستند و از کامپیوتر‌ها در برابر انواع تهدیدات از جمله کرم‌های کامپیوتری محافظت نموده و باگ‌ها را ترمیم می‌کنند. رفع ضعف‌های امنیتی مربوط به نرم‌افزارها بسیار ضروری است زیرا کرم‌های کامپیوتری از آسیب‌پذیری‌ها سوءاستفاده می‌کنند.

نرم‌افزار آنتی ویروس

نرم‌افزار آنتی‌ویروس اولین اقدام پیشگیرانه برای جلوگیری از آلودگی توسط کرم‌های کامپیوتری است. ضدویروس کامپیوتر را در برابر تهدیداتی نظیر ویروس‌ها، کرم‌ها، تروجان‌ها و انواع بدافزارها محافظت نموده و ضمن پویش هر یک از فایل‌های موجود در کامپیوتر، از آسیب جلوگیری می‌کند. برنامه‌های آنتی ویروسی که قادر به پویش فایل‌های دانلود شده و حذف کرم‌ها هستند، نیز بسیار موثر می‌باشند.

دیواره آتش یا فایروال

فایروال (Firewall) راهکاری است که بر اساس قواعد امنیتی تعریف شده جهت نظارت بر ترافیک ورودی و خروجی شبکه مورد استفاده قرار می‌گیرد. هدف اصلی آن ایجاد یک مانع بین شبکه داخلی و خارجی به منظور محافظت در برابر حملات سایبری است.

دیواره آتش یا فایروال

محافظت از صندوق ورودی ایمیل

کرم‌های کامپیوتری اغلب از طریق ایمیل و حملات فیشینگ (Phishing) به کامپیوترها حمله می‌کنند. توصیه می‌شود جهت جلوگیری از وقوع انواع حملات بدافزاری یا کرم‌های کامپیوتری از محصولات و ابزارهای امنیتی استفاده نمائید.

راهکار Bitdefender GravityZone Email Security یکی از محصولات شرکت بیت‌دیفندر است که توانایی مسدودسازی ایمیل‌های جعلی قبل از ورود به شبکه را دارا می‌باشد. این محصول از چندین فناوری ضدویروس استفاده کرده و تحلیل کاملی از ایمیل‌های دریافتی و ارسالی را ارائه می‌دهد و به راحتی قابل پیاده‌سازی است.