נוזקה

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש
חלוקת הנוזקות לקטגוריות ותפוצתן ב-2011 על פי פנדה סקיוריטי

נוֹזְקָהאנגלית: Malware, מכונה גם תוכנה מזיקה, תוכנה זדונית) היא תוכנה שמטרתה לחדור או להזיק למחשב, לאסוף מידע רגיש, להשיג גישה לרשתות מחשב פרטיות, או כדי להציג תוכן פרסומי בלתי-רצוי. ללא ידיעתו של המשתמש בו.

המונח "נוזקה" משמש שם כולל לכל סוגי התוכנות שנועדו להזיק למערכת, לחדור אליה או להפריע את פעולתה. במונח זה נכללים וירוסים, תולעי מחשבים, תוכנת כופר, סוס טרויאני, רוגלות, תוכנות פרסום ועוד. לעיתים משמש המונח "וירוס מחשב" לתיאור כל סוגי התוכנות הנ"ל.

המילה באנגלית, Malware, היא הלחם המילים Malicious (זדוני, מרושע) ו-Software (תוכנה).

אמצעי הגנה נגד נוזקות כוללים תוכנות אנטי-וירוס וחומות אש.

מטרות[עריכת קוד מקור | עריכה]

הנוזקות הראשונות נוצרו בשנות ה-70 וה-80 המוקדמות ושימשו בעיקר למתיחות. לדוגמה מחשב שהיה נגוע בנוזקה היה מציג הודעה על המסך שהייתה נעלמת כעבור מספר שניות.

החל מסוף שנות ה-80 הופיעו תוכנות שנועדו להרוס ולפגוע במחשבו של המשתמש: למחוק קבצים, למנוע את עליית מערכת ההפעלה ועוד. החל משנת 2003 ועם עלייתו של האינטרנט רחב הפס החלו להופיע יותר ויותר נוזקות שנועדו להשיג למתכנניהם רווח כלכלי, והן היו למעשה תוכנות פרסום שהגיעו עם תוכנות לגיטימיות יחד, והציגו בפני המשתמש פרסומות או הובילו אותו לאתרים שהוא לא ביקש לבקר בהם. תוכנות דיוג נועדו להשיג גישה למספרי כרטיס אשראי, חשבונות בנק, דואר אלקטרוני ועוד.

סוסים טרויאנים שמשתמשים במחשב כדי לשלוח דואר זבל וכך להגן על השולח מפני זיהוי או תביעה ועוד.

סוגי נוזקות ומאפיינים[עריכת קוד מקור | עריכה]

סוגי נוזקות:

  • Rabbit (ארנב): נוזקה שכל תפקידה הוא לשכפל את עצמה ולהריץ כמה שיותר פעולות אשר יגרמו לאיטיות רבה ואף לקריסת המערכת.
  • תולעת (Worm): נוזקה המשכפלת את עצמה דרך הרשת, ללא תלות בוירוס או תוכנה נוספת.
  • נוזקות כופר: תפקידן להצפין ולחסום גישה אל קובצי משתמש חשובים ולדרוש תשלום בעבור שחרורם.

תכונות האופיינות לנוזקות כוללות בין היתר מנגנוני הסתרה (כדוגמת Rootkit), מנגוני ריגול (למשל רישום הקשות) ומנגנוני הפצה (כדוגמת תולעי מחשבים).

זיהוי וסיווג נוזקות[עריכת קוד מקור | עריכה]

ישנן שיטות מגוונות לזיהוי ואיתור נוזקות:

  • זיהוי חתימות אופייניות (Signature Based Detection) - שיטה פשוטה ויעילה לזיהוי נוזקות היא באמצעות זיהוי חתימות האופייניות לנוזקות כדוגמת מחרוזות או רצף בתים ידוע המצוי במאגר. גישה זו מוגבלת רק לזיהוי נוזקות מוכרות המצויות כבר במאגר.
  • זיהוי אנומליות - בגישה זו לומדים תפוסה פעולה אופיינים של המערכת במצב תקין, וכאשר מזהים התנהגות חריגה (אנומליה) ניתן לאתר את הנוזקה.

קיימות שיטות שונות לסיווג נוזקות:[1]

  • סיווג מבוסס בקרת זרימה[2] - בגישה זה מסווגת הנוזקת על פי תבנית של גרף בקרת הזרימה, ומרחק עריכה ביחס לנוזקות אחרות.
  • סיווג סטטי על פי קוד הנוזקה -סיווג על פי קריאות לספריות חיצוניות, חתימות אופייניות
  • סיווג על פי התנהגות הנוזקה

ניתוח נוזקות[עריכת קוד מקור | עריכה]

קיימות שיטות וגישות שונות לניתוח נוזקות על מנת לקבוע את אופן פעולתה, מקוהן או להעריך את נזקה של נוזקה. דרך אחת לאפיין את הנוזקות נחלקת לגישה סטטית לעומת גישה דינמית:

  • גישה סטטית - ניתוח סטטי או ניתוח קוד מתבסס על ניתוח קוד הנוזקה ומשאבים מבלי להריץ אותה. בין היתר ניתן להשתמש בהנדסה הפוכה שעל מנת להבין את הקוד שלה, ולתרגם את הקוד הבינארי לקוד אסמבלי.
  • גישה דינמית - גישה דינמית או ניתוח התנהגות מתבססת על צפייה בהתנהגות הנוזקה כאשר היא מורצת. ניתוח מסוג זה מורץ בדרך כלל בסביבת ארגז חול, כמו מערכת וירטואלית, ולא בסביבה אמתית על מנת שלא לאפשר לנוזקה להזיק. כאשר הנוזקה מורצת ניתן אף לחבר אליה מנפה שגיאות (דיבאגר) כדוגמת gdb או WinDbg על מנת לבחון צעד אחר צעד את פעולתה. ברבות מהנוזקות המודרניות קיימים מנגנוני הגנה נגד ניתוח דינמי כדוגמת זיהוי סביבה וירטואלית או מנפה שגיאות שפועל וכו'. בגישה זו ניתן גם לעקוב אחרי תעבורת הרשת של הנוזקה למשל באמצעות Wireshark.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

  • יובל נתיב, להד לודר ו-5Finger, ניתוח נוזקות, אתר DigitalWhisper, גיליון 49, פברואר 2014 (עברית)

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Chinmayee Annachhatre, Thomas H. Austin, Mark Stamp, Hidden Markov models for malware classification, Journal of Computer Virology and Hacking Techniques, 11, 2015-05-01, עמ' 59–73 doi: 10.1007/s11416-014-0215-x
  2. ^ Silvio Cesare, Yang Xiang, Classification of malware using structured control flow, Australian Computer Society, Inc., 2010-01-01, עמ' 61–70
P Computer-science.svg ערך זה הוא קצרמר בנושא מדעי המחשב. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.