تروجان نوعی بدافزار است که در قالب فایل یا برنامهای ظاهرا سالم در کامپیوتر یا گوشی پنهان میشود و کاربر را به اجرای آن فریب میدهد. این بدافزار معمولا خودبهخود تکثیر نمیشود، اما پس از اجرا میتواند اطلاعات حساس را به سرقت ببرد، کنترل دستگاه را در اختیار مهاجم بگذارد یا بدافزارهای دیگری نصب کند. در این مطلب از وبلاگ آکادمی همراه اول، ابتدا با مفهوم تروجان، نحوه عملکرد آن و جایگاه آن در میان انواع بدافزار آشنا میشویم. سپس تفاوت تروجان با ویروس، کرم و سایر تهدیدهای سایبری را بررسی میکنیم و با روشهای رایج ورود آن به کامپیوتر و گوشی هوشمند آشنا میشویم. همچنین، انواع مهم تروجان، خطرات احتمالی، نشانههای آلودگی و روشهای شناسایی و حذف آن را توضیح میدهیم.
تروجان چیست؟ نحوه عملکرد، انواع و روشهای مقابله با Trojan
فهرست مطالب
فهرست مطالب
تروجان چیست؟
تروجان یا اسب تروجان نوعی بدافزار است که در قالب فایل یا برنامهای ظاهرا سالم پنهان میشود تا کاربر آن را دانلود و اجرا کند. نام آن از داستان اسب چوبی تروا گرفته شده و مانند آن، کد مخرب پشت ظاهر قابلاعتماد یک بازی، فایل پیوست، بهروزرسانی یا برنامه کاربردی مخفی میشود.

پس از اجرا، تروجان میتواند بیسروصدا در پسزمینه فعالیت کند. بسته به هدف مهاجم، ممکن است اقدامات زیر را در دستگاه میزبان انجام دهد:
- اطلاعات ورود و دادههای بانکی را سرقت کند.
- کنترل دستگاه را از راه دور در اختیار مهاجم قرار دهد.
- بدافزارهای دیگری مانند جاسوسافزار یا باجافزار نصب کند.
- کلیدهای فشردهشده (Keystrokes) را ثبت کند.
- فایلها را تغییر دهد یا حذف کند.
- دستگاه را به باتنت متصل کند.
تروجان برخلاف ویروس برای فعال شدن به اقدام کاربر نیاز دارد. به عنوان مثال، باز کردن پیوست یک ایمیل جعلی یا نصب نسخه کرکشده یک برنامه، از روشهای نفوذ تروجان در دستگاه میزبان هستند. بنابراین، این بدافزار بیش از آنکه با تکثیر خودکار گسترش یابد، از اعتماد یا بیدقتی کاربر سوءاستفاده میکند.
سیاوش احمدی و...
شبکههای ارتباطی و مبانی امنیت اینترنتاشیا
۳۵۰,۰۰۰ تومان
تروجان چه تفاوتی با سایر بدافزارها دارد؟
بدافزار اصطلاحی کلی برای همه نرمافزارهای مخرب است و تروجان فقط یکی از انواع آن بهشمار میرود. برخلاف اصطلاح رایج «ویروس تروجان»، تروجان از نظر فنی ویروس نیست زیرا نمیتواند خود را تکثیر کند.
در مقابل، ویروس پس از اجرا تکثیر میشود و کرم (Worm) نیز بدون دخالت مستقیم کاربر از طریق آسیبپذیریها میان دستگاهها گسترش مییابد.
تروجان با باجافزار و جاسوسافزار نیز تفاوت دارد. باجافزار دادهها را قفل یا رمزگذاری و جاسوسافزار اطلاعات را مخفیانه جمعآوری میکند. تروجان ممکن است این بدافزارها را در خود حمل یا راه ورودشان را باز کند. بنابراین، ویژگی اصلی تروجان ظاهر فریبنده و وابستگی آن به اجرای کاربر است.
مطالعه بیشتر: امنیت شبکه چیست؟ راهنمای کامل اصول، ابزارها و کاربردهای Network Security
تروجان چگونه کار میکند؟
عملکرد همه تروجانها دقیقا یکسان نیست، اما بیشتر حملات از مسیری کلی شامل نفوذ، اجرا، برقراری ارتباط و انجام فعالیت مخرب پیروی میکنند. برای درک بهتر اینکه تروجان چیست، میتوان این فرایند را به ورود فردی ناشناس تشبیه کرد که با ظاهری قابلاعتماد وارد ساختمان میشود، راه بازگشت خود را حفظ و سپس به اطلاعات یا امکانات داخل آن دسترسی پیدا میکند.

در ادامه، در مورد نحوه کار تروجان توضیح میدهیم.
مرحله نفوذ
تروجان ابتدا باید به دستگاه قربانی راه پیدا کند. مهاجمان معمولا آن را درون فایل پیوست ایمیل، نرمافزار کرکشده، برنامه جعلی، بهروزرسانی تقلبی یا فایل دانلودی آلوده پنهان میکنند. پیامهای فیشینگ و پنجرههای تبلیغاتی مخرب نیز ممکن است کاربر را به دریافت فایل ترغیب کنند.
برخی تروجانها از آسیبپذیری نرمافزارهای قدیمی استفاده میکنند، اما در بسیاری از موارد، مهندسی اجتماعی نقش اصلی را دارد. یعنی مهاجم بهجای شکستن مستقیم قفل سیستم، کاربر را فریب میدهد تا خودش مسیر ورود بدافزار را باز کند.
مرحله اجرا
تروجان پس از دانلود فایل، تا زمانی که اجرا نشود لزوما نمیتواند مأموریت خود را آغاز کند. هنگامی که کاربر برنامه یا سند آلوده را باز میکند، کد مخرب فعال میشود و ممکن است فایلهای دیگری را روی سیستم نصب کند.
تروجانها معمولا بدون ایجاد نشانهای واضح فعالیت میکنند. برخی از آنها تنظیمات سیستم را تغییر میدهند تا پس از خاموش و روشن شدن دستگاه نیز دوباره اجرا شوند. بعضی نمونهها نیز خود را در میان فرایندهای عادی پنهان میکنند یا تا زمان دریافت فرمان مشخص غیرفعال باقی میمانند.
مرحله ارتباط با مهاجم
بسیاری از تروجانها پس از فعال شدن، به یک سرور فرمان و کنترل متصل میشوند. این ارتباط به مهاجم اجازه میدهد دستورهای جدید ارسال، اطلاعات دستگاه را دریافت یا بدافزارهای بیشتری مانند جاسوسافزار و باجافزار را روی سیستم نصب کند.
این مرحله در تروجانهای بکدور (Backdoor)، میتواند امکان کنترل از راه دور دستگاه را فراهم کند. در نتیجه، مهاجم ممکن است فایلها را مشاهده یا تغییر دهد، برنامه اجرا کند و فعالیتهای کاربر را زیر نظر بگیرد.
مرحله سرقت اطلاعات یا سوءاستفاده
هدف نهایی به نوع تروجان بستگی دارد. تروجان بانکی ممکن است نام کاربری، رمز عبور و اطلاعات کارت را جمعآوری کند. نمونههای دیگر قادرند کلیدهای فشردهشده را ثبت کنند، از صفحه عکس بگیرند یا اسناد شخصی را به سرور مهاجم بفرستند.
همچنین، ممکن است دستگاه آلوده به بخشی از یک باتنت تبدیل شود یا برای ارسال هرزنامه، حملات سایبری و نصب بدافزارهای دیگر به کار رود. بنابراین، خطر تروجان فقط به سرقت یک فایل محدود نیست و میتواند زمینه دسترسی طولانیمدت مهاجم به سیستم را فراهم کند.
تروجان در دستهبندی بدافزارها چه جایگاهی دارد؟
تروجان یکی از انواع بدافزار است. یعنی در کنار ویروس، کرم، باجافزار، جاسوسافزار و روتکیت در خانواده بزرگ نرمافزارهای مخرب قرار میگیرد. این دستهها کاملا جدا و انحصاری نیستند.
برای مثال، یک تروجان میتواند پس از ورود به سیستم، باجافزار یا جاسوسافزار دیگری را دانلود کند. بااینحال، ویژگی متمایزکننده تروجان، پنهان شدن در قالب یک فایل یا برنامه ظاهرا سالم و فریب کاربر برای اجرای آن است.
بدافزار (Malware) چیست؟
Malware شکل کوتاهشده عبارت Malicious Software و به معنای نرمافزار مخرب است. این اصطلاح به هر برنامه، فایل یا کدی گفته میشود که برای آسیب زدن به دستگاه، ایجاد اختلال، سرقت اطلاعات یا فراهم کردن دسترسی غیرمجاز طراحی شده باشد.
بنابراین، بدافزار نام یک تهدید مشخص نیست بلکه عنوانی کلی برای مجموعهای از تهدیدات سایبری است. ویروس، کرم و تروجان همگی زیرمجموعه بدافزار محسوب میشوند، اما شیوه انتشار و عملکرد یکسانی ندارند.
تفاوت Malware، Virus، Worm و Trojan
تفاوت اصلی این اصطلاحات را میتوان در دامنه معنا و روش گسترش آنها خلاصه کرد:

- بدافزار (Malware) اصطلاح کلی برای همه نرمافزارهای مخرب است.
- ویروس یا (Virus) معمولا خود را به یک فایل یا برنامه میزبان متصل و پس از اجرای آن، فایلهای دیگر را آلوده میکند.
- کرم (Worm) برنامهای مستقل است که میتواند خود را تکثیر کند و معمولا از طریق شبکه یا آسیبپذیریهای امنیتی به دستگاههای دیگر گسترش یابد.
- تروجان (Trojan) خود را به شکل یک برنامه مفید یا فایل قابلاعتماد نشان میدهد، اما پس از اجرا فعالیت مخرب را آغاز میکند.
تروجان برخلاف ویروس و کرم، براساس توانایی تکثیر تعریف نمیشود. این بدافزار معمولا نمیتواند نسخههای خود را بهطور خودکار منتشر کند و برای ورود اولیه اغلب به دانلود و اجرای فایل توسط کاربر یا نصب شدن بهوسیله بدافزاری دیگر وابسته است.
البته یک حمله ممکن است چند ویژگی را همزمان داشته باشد. برای نمونه، مهاجم میتواند از یک کرم برای انتشار در شبکه و از یک تروجان برای ایجاد دسترسی مخفی یا سرقت اطلاعات استفاده کند.
آیا تروجان یک ویروس است؟
خیر، تروجان از نظر فنی ویروس نیست. هر دو در گروه بدافزارها قرار میگیرند، اما روش انتشارشان متفاوت است. ویروس به فایل میزبان متصل میشود و قابلیت تکثیر و آلوده کردن فایلهای دیگر را دارد، اما تروجان معمولا با تظاهر به سالم بودن، کاربر را به نصب یا اجرای خود ترغیب میکند.
عبارت ویروس تروجان در زبان عمومی و حتی برخی مطالب آموزشی استفاده میشود، اما اصطلاح دقیقتر همان بدافزار تروجان یا اسب تروجان است.
تروجان چگونه وارد سیستم میشود؟
برای درک کامل اینکه تروجان چیست، باید بدانیم این بدافزار معمولا مانند کرم در شبکه تکثیر نمیشود. مهاجم آن را پشت فایل، برنامه یا پیامی ظاهرا معتبر پنهان میکند و کاربر را به دانلود یا اجرای آن ترغیب میکند. روشهای ورود تروجان به سیستم را در فهرست زیر آوردهایم:
- ایمیلهای فیشینگ
- نرمافزارهای کرکشده
- فایلهای دانلودی آلوده
- لینکهای مخرب
- افزونهها و اپلیکیشنهای آلوده
در ادامه، روشهای ورود تروجان به سیستم را به طور دقیق بررسی میکنیم.
ایمیلهای فیشینگ
یکی از رایجترین راههای ورود تروجان، ایمیلهای فیشینگ است. این پیامها میتوانند با نام بانک، شرکت پستی، مدیر سازمان یا یک سرویس معتبر ارسال شوند و کاربر را به باز کردن فایلهایی مانند فاکتور، رسید یا سند ترغیب کنند. فایل آلوده گاهی شبیه PDF یا سند آفیس است، اما پس از اجرا، کد مخرب را فعال میکند.
حتی ایمیلهایی که ظاهرا از افراد آشنا ارسال شدهاند نیز همیشه امن نیستند، زیرا ممکن است نشانی فرستنده جعل شده یا حساب او هک شده باشد. بررسی دامنه فرستنده و خودداری از باز کردن پیوستهای غیرمنتظره، خطر این حملات را کاهش میدهد.
نرمافزارهای کرکشده
نسخههای کرکشده بازیها و نرمافزارها محیط مناسبی برای پنهان کردن تروجان هستند. کاربر برای دور زدن مجوز برنامه، معمولا فایل اجرایی ناشناختهای را با سطح دسترسی بالا اجرا میکند که دقیقا همان اقدامی است که بدافزار برای نصب شدن نیاز دارد.
ابزارهای فعالسازی جعلی ممکن است علاوه بر تروجان، جاسوسافزار یا بدافزار دانلودکننده را نیز نصب کنند. چون این فایلها خارج از کانال رسمی منتشر میشوند، نمیتوان اصالت یا دستکاری نشدن آنها را بهسادگی تأیید کرد.
فایلهای دانلودی آلوده
تروجان میتواند در قالب تصویر، سند، فایل فشرده، نصبکننده نرمافزار یا بهروزرسانی جعلی منتشر شود. منابع ناشناس، فروشگاههای نرمافزاری غیررسمی و وبسایتهای کماعتبار، احتمال دریافت چنین فایلهایی را افزایش میدهند.
پسوند پنهان فایل نیز ممکن است کاربر را فریب دهد. برای مثال، فایلی که نام آن شبیه تصویر است، در واقع یک فایل اجرایی باشد. اسکن فایل پیش از باز کردن و دریافت برنامه از منبع معتبر، از اقدامات پیشگیرانه مهم است.
لینکهای مخرب
لینک مخرب ممکن است در ایمیل، پیامرسان، شبکه اجتماعی، تبلیغ پاپآپ یا پیامک قرار بگیرد. کلیک روی آن میتواند کاربر را به صفحهای جعلی هدایت کند که دانلود تروجان را آغاز یا او را به نصب یک بهروزرسانی، آنتیویروس یا ابزار ضروری قلابی تشویق میکند.
ظاهر حرفهای یک صفحه، نشانه معتبر بودن آن نیست. مهاجمان با دامنههای مشابه و طراحی کپیشده، صفحات اصلی را تقلید میکنند. بهتر است کاربر پیش از کلیک، مقصد لینک و املای دامنه را بررسی کند.
افزونهها و اپلیکیشنهای آلوده
تروجانها گاهی خود را به شکل افزونه مرورگر، اپلیکیشن موبایل، ابزار بهینهسازی یا برنامه امنیتی معرفی میکنند. حتی برنامهای با عملکرد ظاهرا عادی ممکن است در پسزمینه مجوزهای غیرضروری بگیرد، اطلاعات جمعآوری یا بدافزار دیگری را دریافت کند.
دانلود از فروشگاه رسمی خطر را کاهش میدهد، اما بررسی نام توسعهدهنده، سابقه برنامه و مجوزهای درخواستی همچنان ضروری است. درخواست دسترسی نامرتبط با کارکرد اپلیکیشن میتواند نشانهای هشداردهنده باشد.
انواع تروجان چیست؟
تروجانها براساس هدف و فعالیتی که پس از ورود به سیستم انجام میدهند، به انواع مختلفی تقسیم میشوند. برخی از آنها مسیر دسترسی پنهانی برای مهاجم ایجاد میکنند، بعضی برای سرقت اطلاعات مالی طراحی شدهاند و گروهی نیز وظیفه نصب بدافزارهای دیگر را بر عهده دارند.

بنابراین، برای پاسخ دقیقتر به پرسش تروجان چیست، باید با مهمترین انواع آن آشنا شویم:
- تروجان در پشتی
- تروجان RAT
- تروجان بانکی
- تروجان جاسوسی
- تروجان دانلود کننده
- تروجان باجگیر
تروجان در پشتی
تروجان بکدور یا در پشتی (Backdoor Trojan) یک مسیر مخفی برای ورود دوباره مهاجم به دستگاه ایجاد میکند. مهاجم از طریق این در پشتی میتواند فایلها را مشاهده، حذف یا تغییر دهد، برنامههای جدید نصب و بدافزارهای بیشتری وارد سیستم کند. این دسترسی ممکن است برای مدتی طولانی فعال بماند، بدون آنکه کاربر از وجود آن مطلع شود.
تروجان RAT
تروجان دسترسی از راه دور Remote Access Trojan) ) به مهاجم امکان میدهد دستگاه آلوده را از مکانی دیگر کنترل کند. تواناییهای آن ممکن است شامل اجرای دستور، مدیریت فایلها، مشاهده صفحه، فعال کردن دوربین یا میکروفون و ثبت فعالیتهای کاربر باشد.
تفاوت RAT با بکدور همیشه کاملا مشخص نیست؛ بکدور بیشتر به مسیر ورود مخفی اشاره دارد، ولی RAT معمولا مجموعه ابزارهای گستردهتری برای کنترل دستگاه فراهم میکند.
تروجان بانکی
تروجان بانکی (Banking Trojan) برای سرقت اطلاعات مالی ساخته میشود. این بدافزار ممکن است کلیدهای فشردهشده هنگام ورود به اینترنت بانک را ثبت کند، از صفحه عکس بگیرد یا کاربر را به صفحه بانکی جعلی هدایت کند.
برخی نمونهها حتی محتوای صفحه بانک را تغییر میدهند تا اطلاعات ورود، شماره کارت یا رمزهای امنیتی کاربر را جمعآوری کنند.
تروجان جاسوسی
تروجان جاسوسی (Spy Trojan) فعالیتهای کاربر را پنهانی زیر نظر میگیرد. ثبت صفحهکلید، گرفتن اسکرینشات، مشاهده تاریخچه مرورگر و جمعآوری نامهای کاربری و رمزهای عبور از قابلیتهای احتمالی آن هستند. اطلاعات بهدستآمده معمولا برای سرقت هویت، نفوذ به حسابها یا فروش دادههای شخصی استفاده میشوند.
تروجان دانلودکننده
وظیفه اصلی تروجان دانلودکننده (Downloader Trojan)، دریافت و نصب بدافزارهای بیشتر است. این تروجان پس از اجرا به یک سرور راه دور متصل میشود و فایل مخرب دیگری مانند جاسوسافزار، باجافزار یا نسخه جدیدتری از بدافزار را دانلود میکند. به همین دلیل، آلودگی اولیه ممکن است مقدمه یک حمله گستردهتر باشد.
تروجان باج گیر
تروجان باجگیر (Ransom Trojan) دسترسی کاربر به دستگاه یا فایلها را محدود میکند و برای بازگرداندن آنها درخواست پول دارد. این تهدید ممکن است فایلها را رمزگذاری کند یا صفحهای قفلشده نمایش دهد. پرداخت باج نیز بازیابی اطلاعات را تضمین نمیکند، زیرا مهاجم ممکن است کلید رمزگشایی را در اختیار قربانی قرار ندهد.
سید نصرالله موسوی و...
مبانی امنیت Security+
۲,۰۰۰,۰۰۰ تومان
تروجان چه خطراتی ایجاد میکند؟
خطر تروجان تنها به کند شدن کامپیوتر یا نمایش پیامهای ناخواسته محدود نمیشود. این بدافزار میتواند مدت زیادی بدون نشانهای آشکار در سیستم باقی بماند و در این مدت، اطلاعات حساس را جمعآوری کند یا دسترسی دستگاه را در اختیار مهاجم قرار دهد.

نوع آسیب به ساختار تروجان و هدف سازنده آن بستگی دارد؛ اما سرقت داده، جاسوسی، سوءاستفاده از منابع سیستم و نصب بدافزارهای بیشتر از مهمترین پیامدهای آن هستند.
در ادامه، خطرات تروجان را نام برده و توضیح میدهیم.
سرقت اطلاعات شخصی
برخی تروجانها برای سرقت اطلاعات شخصی طراحی شدهاند و میتوانند نام کاربری، رمز عبور، نشانی ایمیل، سوابق مرور وب، اسناد ذخیرهشده و اطلاعات حسابهای آنلاین را جمعآوری کنند.
این تروجانها ممکن است کلیدهای فشردهشده، تصاویر صفحهنمایش یا اطلاعات ذخیرهشده در مرورگر را ثبت کنند.
مهاجم از این دادهها برای ورود به حسابها، جعل هویت، اخاذی یا فروش اطلاعات استفاده میکند. همچنین، استفاده از یک رمز عبور مشترک برای چند سرویس میتواند با سرقت همان رمز، امنیت همه آن حسابها را به خطر بیندازد.
سرقت اطلاعات بانکی
تروجان بانکی برای سرقت اطلاعات مالی طراحی شده است و میتواند هنگام ورود به اینترنت بانک، اطلاعات ورود و رمزهای امنیتی را ثبت یا صفحه بانکی جعلی را جایگزین صفحه اصلی کند.
برخی از این تروجانها محتوای صفحات بانکی را تغییر و فرمهای جعلی برای دریافت اطلاعاتی مانند شماره کارت و مشخصات هویتی نمایش میدهند. اطلاعات سرقتشده ممکن است برای برداشت غیرمجاز، خرید اینترنتی، انتقال پول یا سرقت هویت مالی استفاده شود.
خطر این نوع تروجان در آن است که صفحه بانک ممکن است کاملاً عادی به نظر برسد. به همین دلیل، استفاده از تأیید هویت چندمرحلهای و بررسی منظم تراکنشهای بانکی اهمیت زیادی دارد.
جاسوسی و کنترل سیستم
تروجانهای دسترسی از راه دور میتوانند کنترل بخشهای مختلف دستگاه را در اختیار مهاجم قرار دهند. مهاجم قادر است فایلها را مشاهده، کپی، تغییر یا حذف و حتی برنامههای جدیدی روی سیستم نصب کند.
این تروجانها همچنین ممکن است فعالیتهای کاربر را زیر نظر بگیرند، کلیدهای فشردهشده را ثبت کنند، از صفحهنمایش تصویر بگیرند یا به دوربین و میکروفون دسترسی پیدا کنند.
این سطح از دسترسی حریم خصوصی کاربران را بهشدت تهدید میکند و میتواند در سازمانها به افشای اطلاعات محرمانه و دادههای مشتریان منجر شود.
عضویت در باتنتها
مجموعهای از دستگاههای آلوده و تحت کنترل مهاجم «باتنت» (Botnet) نام دارد و او میتواند همزمان به همه آنها فرمان بدهد.
دستگاه عضو باتنت ممکن است بدون اطلاع صاحب خود برای ارسال هرزنامه، انتشار بدافزار، استخراج غیرمجاز رمزارز یا اجرای حملات محرومسازی از سرویس توزیعشده (DDoS) استفاده شود. در این حملات، تعداد زیادی دستگاه آلوده بهطور همزمان به یک وبسایت یا سرور درخواست ارسال میکنند تا آن را از دسترس خارج کنند.
عضویت در باتنت میتواند باعث افزایش مصرف اینترنت، کند شدن دستگاه، داغ شدن غیرعادی و کاهش عملکرد آن شود.
ایجاد در پشتی (Backdoor)
بکدور مسیری مخفی است که به مهاجم اجازه میدهد بدون طی کردن فرایند معمول ورود، دوباره به سیستم دسترسی پیدا کند. تروجان بکدور پس از نصب، این مسیر را فعال نگه میدارد تا مهاجم هر زمان که بخواهد به دستگاه متصل شود.
از طریق این دسترسی، مهاجم میتواند دستور اجرا و فایلها را منتقل کند، تنظیمات امنیتی را تغییر دهد یا بدافزارهای دیگری مانند تروجان، جاسوسافزار و باجافزار نصب کند. حتی پس از حذف فایل اولیه، ممکن است بخشهایی از بدافزار همچنان دسترسی مهاجم را حفظ کنند.
علائم آلودگی به تروجان چیست؟
تروجانها معمولا تلاش میکنند بدون جلب توجه فعالیت کنند بنابراین، ممکن است دستگاه آلوده در ابتدا هیچ نشانه واضحی نداشته باشد.
بااینحال، کاهش ناگهانی سرعت، مصرف غیرعادی اینترنت، مشاهده برنامههای ناشناس و تغییر تنظیمات امنیتی میتوانند زنگ خطر باشند. برای تشخیص اینکه تروجان چیست و آیا وارد سیستم شده است، باید مجموعهای از رفتارهای غیرمعمول را بررسی کرد، نه اینکه تنها براساس یک نشانه نتیجهگیری کرد.
بهطور کلی موارد زیر میتوانند هشدار دهند که سیستم شما به تروجان آلوده شده است:
- کاهش غیرعادی عملکرد سیستم
- اجرای برنامههای ناشناسی
- افزایش مصرف اینترنت
- تغییرات غیرمنتظره در سیستم
در ادامه، این نشانهها را بررسی میکنیم.
کاهش غیرعادی عملکرد سیستم
کند شدن ناگهانی سیستم، هنگ کردن مکرر، بسته شدن برنامهها و راهاندازی مجدد بدون دلیل ممکن است با فعالیت یک تروجان مرتبط باشد. بدافزار میتواند در پسزمینه از پردازنده، حافظه و سایر منابع دستگاه استفاده کند یا برنامههای مخرب دیگری را اجرا کند.
البته کاهش سرعت همیشه به معنای آلودگی نیست و ممکن است از کمبود فضای ذخیرهسازی، قدیمی بودن سختافزار یا اجرای همزمان چند برنامه ناشی شود. زمانی باید بیشتر مشکوک شد که افت عملکرد ناگهانی باشد و پس از نصب برنامه یا باز کردن فایل خاصی آغاز شده باشد.
اجرای برنامههای ناشناس
ظاهر شدن برنامهای که کاربر آن را نصب نکرده است، مشاهده فرایندهای ناآشنا در Task Manager یا اجرای خودکار نرمافزارهای ناشناس هنگام روشن شدن سیستم از دیگر نشانههای احتمالی هستند.
برخی تروجانها پس از فعال شدن، فایلها یا بدافزارهای دیگری را دانلود میکنند. در نتیجه، ممکن است برنامههای جدید، پیامهای امنیتی جعلی یا پنجرههای پاپآپ روی دستگاه ظاهر شوند. بااینحال، نباید هر فرایند ناشناسی را بهصورت دستی حذف کرد؛ زیرا بعضی فرایندهای سیستمی نامهایی دارند که برای کاربران عادی آشنا نیستند.
افزایش مصرف اینترنت
تروجان ممکن است برای دریافت دستور، ارسال اطلاعات سرقتشده یا دانلود بدافزارهای بیشتر با سرور مهاجم ارتباط برقرار کند. به همین دلیل، افزایش مصرف داده یا مشاهده ترافیک شبکه در زمانی که برنامه فعالی وجود ندارد، میتواند نشانه آلودگی باشد.
برای مثال، اگر رایانه در حالت بیکار همچنان حجم قابلتوجهی از اینترنت مصرف کند، باید برنامههای در حال اجرا و ارتباطات شبکه بررسی شوند. افزایش مصرف اینترنت بهتنهایی اثباتکننده وجود تروجان نیست؛ بهروزرسانی سیستم، همگامسازی فضای ابری و پخش خودکار محتوا نیز میتوانند دلیل آن باشند.
تغییرات غیرمنتظره در سیستم
غیرفعال شدن ناگهانی آنتیویروس یا فایروال، تغییر صفحه اصلی مرورگر، هدایت شدن به وبسایتهای ناخواسته و نمایش هشدارهای امنیتی غیرعادی از علائمی هستند که باید جدی گرفته شوند.
تروجان ممکن است تنظیمات سیستم را تغییر دهد تا با هر بار روشن شدن دستگاه اجرا شود یا فرایند شناسایی و حذف خود را دشوارتر کند. جابهجا شدن فایلها، ناپدید شدن آنها، رمزگذاری ناخواسته اطلاعات و ایجاد خطاهای غیرمعمول نیز میتوانند با فعالیت بدافزار مرتبط باشند.
نشانههای آلودگی در تلفن همراه
تروجانهای موبایلی معمولا در قالب اپلیکیشنهای محبوب، ابزارهای کاربردی یا بهروزرسانیهای جعلی وارد گوشی میشوند. کاهش ناگهانی عملکرد، افزایش مصرف اینترنت، ظاهر شدن برنامههای ناشناس، تبلیغات ناخواسته و انتقال مرورگر به صفحات مشکوک از نشانههای احتمالی آلودگی هستند.
همچنین، باید مجوزهای برنامهها را بررسی کرد. برنامهای که بدون نیاز به پیامک، مخاطبان، میکروفون یا فایلها دسترسی میخواهد، میتواند مشکوک باشد. تغییر ناخواسته تنظیمات امنیتی یا نصب برنامه از منابع ناشناس نیز نیازمند بررسی است.
مطالعه بیشتر: امنیت سایبری و هوش مصنوعی؛ چالشها و فرصتها
چگونه تروجان را شناسایی و حذف کنیم؟
پس از شناخت اینکه تروجان چیست، اگر به آلودگی دستگاه مشکوک هستید، اتصال اینترنت را قطع کنید تا تروجان نتواند اطلاعات ارسال کند، فرمان بگیرد یا بدافزار دیگری دانلود کند. سپس از فایلهای ضروری نسخه پشتیبان بگیرید، اما فایلهای اجرایی و ناشناخته را به نسخه پشتیبان منتقل نکنید. شناسایی و حذف تروجان باید با ابزار امنیتی معتبر انجام شود؛ حذف عجولانه فایلهای سیستمی ممکن است عملکرد سیستمعامل را مختل کند.
برای شناسایی و حذف تروجان، از راهکارهای زیر کمک بگیرید:
- اسکن با آنتی ویروس
- شناسایی فایلها و پردازشهای مشکوک
- حذف یا قرنطینه بدافزار
- بازگردانی سیستم درصورت نیاز
اسکن با آنتیویروس
نرمافزار امنیتی و پایگاه شناسایی آن را بهروز و یک اسکن کامل اجرا کنید. برخلاف اسکن سریع که فقط بخشهای رایج سیستم را بررسی میکند، اسکن کامل همه فایلها و برنامهها را میسنجد و برای شناسایی تروجانهای پنهان مناسبتر است.
اگر بدافزار مانع اجرای آنتیویروس میشود یا پس از حذف دوباره ظاهر میشود، سیستم را در Safe Mode راهاندازی و اسکن را تکرار کنید. در ویندوز، استفاده از Microsoft Defender Offline نیز میتواند مؤثر باشد؛ زیرا سیستم را خارج از محیط عادی ویندوز اسکن میکند و فرصت پنهان شدن یا مقاومت بدافزار را کاهش میدهد.
شناسایی فایلها و پردازشهای مشکوک
در کنار اسکن امنیتی، برنامههای تازه نصبشده، بخش برنامههای شروع خودکار، گزارشهای امنیتی و پردازشهای فعال در Task Manager را نیز بررسی کنید. مصرف غیرعادی پردازنده یا اینترنت، اجرای برنامهای ناشناس یا تلاش برای غیرفعال کردن ابزارهای امنیتی میتواند نشانهای از آلودگی باشد.
بااینحال، ناشناس بودن نام یک پردازش لزوماً به معنای مخرب بودن آن نیست. پیش از متوقف کردن پردازش یا حذف فایل، مسیر فایل، ناشر دیجیتال و نتیجه بررسی آنتیویروس را ارزیابی و از حذف خودسرانه فایلهای موجود در پوشههای سیستمی خودداری کنید.
حذف یا قرنطینه بدافزار
پس از پایان اسکن، اقدام پیشنهادی ابزار امنیتی را اجرا کنید. قرنطینه فایل آلوده را از محیط فعال جدا میکند تا نتواند اجرا شود یا به بخشهای دیگر آسیب بزند. پس از اطمینان از تشخیص، اجازه دهید آنتیویروس فایل را حذف کند.
سپس دستگاه را راهاندازی مجدد و یک اسکن کامل دیگر اجرا کنید. اگر نشانههای آلودگی ادامه داشت، از اسکن آفلاین یا ابزار حذف بدافزار دوم و معتبر استفاده کنید. بعد از پاکسازی، رمزهای ایمیل، بانک و شبکههای اجتماعی را با دستگاهی سالم تغییر دهید و تراکنشها و ورودهای مشکوک را بررسی کنید.
بازگردانی سیستم در صورت نیاز
اگر تروجان فایلهای سیستم را تخریب کرده یا حذف آن کامل نشده است، بازیابی از نسخه پشتیبان سالم میتواند ضروری باشد. نسخهای را انتخاب کنید که پیش از زمان احتمالی آلودگی تهیه شده باشد و پیش از بازگرداندن فایلها، از پاک بودن دستگاه مطمئن شوید.
System Restore ممکن است بعضی تغییرات سیستمی را برگرداند، اما نباید تنها روش پاکسازی باشد، زیرا ممکن است همه فایلها یا اجزای بدافزار را حذف نکند. در آلودگی شدید یا ماندگار، بازنشانی کامل یا نصب مجدد سیستمعامل از رسانه معتبر، پس از پشتیبانگیری امن، گزینه مطمئنتری است. در نهایت، سیستمعامل و نرمافزارها را بهروز کنید تا مسیر نفوذ دوباره بسته شود.
مهدی تیموری
مبانی شبکه های مخابراتی
۵۰۰,۰۰۰ تومان
چگونه از آلودگی به تروجان جلوگیری کنیم؟
پس از آشنایی با اینکه تروجان چیست، باید بدانیم پیشگیری از آن فقط به نصب آنتیویروس محدود نمیشود. تروجان معمولا با ظاهری قابلاعتماد وارد دستگاه میشود، بنابراین ترکیب رفتار آگاهانه کاربر، بهروزرسانی منظم و استفاده از ابزارهای امنیتی بهترین راه کاهش خطر آلودگی است.

دانلود نرمافزار از منابع معتبر
برنامهها و فایلها را فقط از وبسایت رسمی سازنده یا فروشگاههای معتبر دریافت کنید. نسخههای کرکشده، ابزارهای فعالسازی، فروشگاههای غیررسمی و لینکهای دانلود ناشناس میتوانند حاوی تروجان باشند.
پیش از نصب، نام توسعهدهنده، نشانی دامنه و مجوزهای درخواستی برنامه را بررسی کنید. حتی فایل دریافتشده از منبع ظاهرا معتبر نیز بهتر است پیش از اجرا اسکن شود زیرا وبسایتها و حسابهای قانونی هم ممکن است در شرایطی مورد نفوذ قرار بگیرند.
بهروزرسانی سیستم و نرمافزارها
سیستمعامل، مرورگر، افزونهها و برنامههای پرکاربرد را همیشه بهروز نگه دارید. برخی تروجانها از آسیبپذیریهای شناختهشده در نسخههای قدیمی استفاده میکنند و بهروزرسانیها معمولا اصلاحیههای امنیتی لازم را در اختیار کاربر قرار میدهند. فعال کردن بهروزرسانی خودکار میتواند فاصله میان انتشار اصلاحیه و نصب آن را کاهش دهد.
استفاده از آنتیویروس
یک آنتیویروس معتبر با قابلیت محافظت بلادرنگ میتواند فایلها را هنگام دانلود، اجرا یا تغییر بررسی کند. پایگاه شناسایی آنتیویروس باید مرتب بهروز شود تا نمونههای جدیدتر بدافزار را نیز تشخیص دهد.
اجرای اسکن دورهای، فعال نگه داشتن فایروال و استفاده از قابلیت مسدودسازی وبسایتهای مخرب، لایههای دفاعی دستگاه را تقویت میکنند.
آگاهی از مهندسی اجتماعی و فیشینگ
پیوستها و لینکهای غیرمنتظره را حتی زمانی که ظاهرا از فردی آشنا ارسال شدهاند، بدون بررسی باز نکنید. مهاجمان با ایجاد حس فوریت، ترس یا وعده دریافت جایزه، کاربر را به اقدام عجولانه تشویق میکنند.
نشانی فرستنده، دامنه لینک و دلیل درخواست دانلود فایل را بررسی کنید. پیامهای مربوط به مسدود شدن حساب یا پرداخت فوری باید از طریق وبسایت یا اپلیکیشن رسمی سرویس پیگیری شوند.
معروفترین تروجانهای تاریخ
در تاریخ بدافزارها، برخی خانوادههای تروجان به دلیل گستردگی آلودگی، سرقت مالی و نقش آنها در حملات چندمرحلهای شهرت زیادی پیدا کردهاند. آشنایی با این نمونهها کمک میکند بهتر درک کنیم تروجان چیست و چگونه یک بدافزار بانکی میتواند به زیرساختی برای توزیع باجافزار تبدیل شود.
Zeus
Zeus که با نام Zbot نیز شناخته میشود، حدود سال ۲۰۰۷ شناسایی شد و یکی از تأثیرگذارترین تروجانهای بانکی به شمار میرود. این بدافزار با ثبت کلیدهای فشردهشده و تزریق محتوای مخرب به صفحات وب، اطلاعات ورود به بانک و حسابهای آنلاین را سرقت میکرد. انتشار کد منبع Zeus نیز به ساخت نسخهها و خانوادههای مرتبط متعدد کمک کرد.
Emotet
Emotet نخست در سال ۲۰۱۴ بهعنوان تروجان بانکی ظاهر شد، اما بهمرور به بدافزاری ماژولار و شبکه توزیع بدافزار تبدیل شد. این خانواده معمولا از طریق ایمیلهای فیشینگ و پیوستهای آلوده گسترش مییافت و پس از نفوذ، تهدیدهای دیگری مانند TrickBot یا باجافزار را وارد سیستم قربانی میکرد.
Dridex
Dridex نیز در حدود سال ۲۰۱۴ مطرح شد و جانشین بدافزار بانکی Cridex دانسته میشود. این تروجان اغلب با اسناد آفیس حاوی ماکروهای مخرب در ایمیلهای هرزنامه منتشر میشد. هدف اصلی آن سرقت اطلاعات بانکی و اعتبارنامههای ورود بود و از روشهای دستکاری نشست مرورگر برای انجام کلاهبرداری مالی استفاده میکرد.
TrickBot
TrickBot در سال ۲۰۱۶ بهعنوان یک تروجان بانکی پدیدار شد، اما بعدها به بدافزاری چندمرحلهای و ماژولار تبدیل شد. این بدافزار علاوه بر سرقت اطلاعات مالی، برای شناسایی شبکه، جمعآوری اعتبارنامهها، ایجاد دسترسی اولیه و نصب تهدیدهایی مانند Ryuk و Conti استفاده شد.
تروجان در موبایل و اندروید چگونه عمل میکند؟
تروجان موبایلی برنامهای مخرب است که خود را شبیه یک اپلیکیشن عادی، ابزار کاربردی یا بهروزرسانی معتبر نشان میدهد.

پس از نصب، ممکن است با استفاده از مجوزهای دریافتشده، پیامکها و اعلانها را بخواند، اطلاعات ورود را سرقت یا بدافزار دیگری روی گوشی نصب کند. برخی تروجانهای بانکی نیز صفحهای جعلی روی اپلیکیشن بانک نمایش میدهند تا رمز و اطلاعات حساب را به دست آورند.
روشهای نفوذ در گوشیهای هوشمند
یکی از رایجترین راههای نفوذ تروجان، نصب برنامه از فروشگاههای غیررسمی، وبسایتهای ناشناس یا لینکهای پیامک و شبکههای اجتماعی است. این بدافزارها ممکن است در قالب بازی، ابزار کاربردی، نسخه رایگان برنامههای پولی یا بهروزرسانی جعلی منتشر شوند.
برنامه آلوده معمولا برای مجوزهایی مانند دسترسی به پیامک، مخاطبان، فایلها، میکروفون یا قابلیتهای دسترسپذیری را درخواست میدهد.
اعطای مجوزهای غیرضروری میتواند زمینه سرقت کدهای ورود، ثبت فعالیت کاربر یا کنترل بخشهایی از گوشی را فراهم کند. همچنین، هشدارهای جعلی درباره آلوده بودن دستگاه ممکن است کاربران را به نصب برنامههای مخرب ترغیب کنند.
علائم آلودگی در اندروید
کاهش ناگهانی سرعت، داغ شدن غیرعادی گوشی، تخلیه سریع باتری و افزایش مصرف اینترنت از نشانههای احتمالی آلودگی به تروجان هستند. همچنین ظاهر شدن برنامههای ناشناس، تبلیغات پاپآپ، تغییر تنظیمات یا ارسال خودکار پیام برای مخاطبان نیز میتواند هشداردهنده باشد.
برخی بدافزارها با نام یا آیکونی عادی در پسزمینه فعالیت میکنند. بااینحال، هیچیک از این نشانهها بهتنهایی وجود تروجان را ثابت نمیکند. مشاهده همزمان چند مورد، بهویژه پس از نصب یک فایل APK ناشناس، نیازمند بررسی برنامهها، مجوزهای آنها و اجرای اسکن امنیتی است.
راههای پیشگیری از آلودگی گوشی موبایل
اپلیکیشنها را از فروشگاه رسمی و توسعهدهنده معتبر دریافت کنید و Google Play Protect را فعال نگه دارید. این قابلیت برنامهها را هنگام نصب و بهصورت دورهای بررسی میکند و در صورت شناسایی اپلیکیشن خطرناک میتواند هشدار دهد، آن را غیرفعال کند یا از دستگاه حذف کند.
اندروید و برنامهها را بهروز نگه دارید، مجوزهای غیرضروری را نپذیرید و روی لینکهای ناشناس در پیامک یا پیامرسان کلیک نکنید. همچنین، نصب برنامه از منابع ناشناس را غیرفعال و پیش از نصب، نام توسعهدهنده، سابقه برنامه و مجوزهای درخواستی را بررسی کنید.
چگونه امنیت سایبری و تحلیل بدافزار را یاد بگیریم؟
شناخت اینکه تروجان چیست، نقطه شروع مناسبی برای ورود به امنیت سایبری محسوب میشود اما تحلیل بدافزار به مجموعهای از مهارتهای فنی و تمرین عملی نیاز دارد. هدف تحلیلگر فقط شناسایی نام بدافزار نیست و این فرد باید مشخص کند فایل چگونه وارد سیستم شده، چه تغییراتی ایجاد میکند، با کدام سرورها ارتباط دارد و چگونه میتوان آثار آن را شناسایی و مهار کرد.

مفاهیم پایه امنیت سایبری را میتوانید با مشاهده دوره آشنایی با امنیت سایبری از آکادمی همراه اول به طور کامل یاد بگیرید.
مهرنوش واثقی پناه و...
آشنایی با امنیت سایبری
رایگان
مهارتهای موردنیاز در حوزه تحلیل بدافزارها
پیش از شروع تحلیل بدافزار، باید با ویندوز و لینوکس، فرایندها، فایلها، رجیستری، شبکههای کامپیوتری و پروتکلهایی مانند TCP/IP، DNS و HTTP آشنا باشید. آشنایی مقدماتی با پایتون نیز برای خودکارسازی تحلیل و پردازش دادهها مفید است.
تحلیل بدافزار به دو روش ایستا و پویا انجام میشود. در تحلیل ایستا، فایل بدون اجرا بررسی میشود و در تحلیل پویا، رفتار آن در محیطی کنترلشده زیر نظر قرار میگیرد. برای تحلیلهای پیشرفته، یادگیری اسمبلی، معماری پردازنده، دیباگرها و مهندسی معکوس ضروری است.
نمونههای مشکوک یا مخرب را هرگز روی رایانه اصلی اجرا نکنید و تمرین را فقط در ماشین مجازی و آزمایشگاه ایمن انجام دهید.
مسیر یادگیری امنیت سایبری
یادگیری تحلیل بدافزار با مبانی شبکه، سیستمعامل، خط فرمان و اصول امنیت اطلاعات آغاز میشود. سپس میتوان به مدیریت رخداد، بررسی لاگها، تحلیل ترافیک شبکه و شناخت انواع بدافزار پرداخت.
در ادامه، آشنایی با ابزارهایی مانند Wireshark، Process Monitor و محیط REMnux و همچنین تمرینهای مهندسی معکوس Malware Unicorn برای یادگیری عملی مفید است.
بهتر است ابتدا نمونههای آموزشی و چالشهای قانونی را بررسی کنید و برای هر تمرین، رفتار بدافزار، شاخصهای آلودگی و روش پاکسازی را در قالب گزارش ثبت کنید. ترکیب مطالعه نظری و تمرین عملی، مهمترین عامل پیشرفت در این حوزه است.
منابع: 360totalsecurity، Emsisoft، Mcafee