چرخه حیات بدافزار

ویروسها و بدافزارهای رایانه ای نیز مانند ویروسهای بیولوژیکی دارای یک ظهور و یک افول هستند. منظور از چرخه حیات بدافزار حد فاصل بین ظهور و افول آن است. یک بدافزار زمانی متولد می شود که یک نویسنده بدافزار آن را ایجاد می کند و زمانی می میرد که کاملاً از روی رایانه های قربانی و شبکه های آلوده، پاک و ریشه کن شود. در زیر نمودار چرخه حیات بدافزار نشان داده شده و در ادامه توضیحات مربوطه ارائه می شود.

1. ایده بدافزار جدید
   خلق بدافزارها معمولاً زمانی اتفاق می افتد که یک روش و ایده جدید حمله یا سوءاستفاده، کشف و پیشنهاد شده و سپس در جوامع هکرها انتشار پیدا کند. این روشها غالباً به بحث گذاشته شده و توسعه پیدا می کنند تا جایی که بتوانند تبدیل به حمله هایی فعال و واقعی شوند.
2. پیاده سازی
   زمانی ایجاد یک ویروس یا بدافزار نیازمند داشتن دانش حرفه ای در زمینه برنامه نویسی کامپیوتر، خصوصاً زبان ماشین و همچنین دانش دقیق در زمینه نحوه عملکرد سیستم مورد حمله بود، ولی امروزه با پیشرفتهایی که در ابزارهای ایجاد بدافزار انجام شده و همچنین به مدد اتاقهای چت، هر کسی با استفاده از ابزارهای موجود و داشتن دانش برنامه نویسی اولیه می تواند یک ویروس ایجاد کند.
3. تکرار
   بعد از اینکه بدافزار جدید پیاده سازی شده و منتشر می شود، قبل از انجام عملیات اصلی و خرابکارنه، نیازمند تکرار برای پیدا کردن میزبانهای جدید و بالقوه است.
4. عملیات خرابکارانه
   بعد از اینکه بدافزار توانست به صورت موفقیت آمیز یک میزبان را آلوده سازد، به احتمال زیاد دست به عملیات خرابکارانه می زند. گاهی اوقات کد خرابکار دارای یک شرط برای تحریک شدن است و زمانی که این شرط اتفاق بیفتد عملیات خرابکارانه آغاز خواهد شد. برای مثال برخی از بدافزارها زمانی عملیات خرابکارانه را اجرا می کنند که کاربر کار خاصی را بر روی رایانه انجام دهد و یا تاریخ رایانه میزبان به تاریخ یا ساعت خاصی برسد. گاهی اوقات نیز به محض آلودگی، عملیات خرابکارانه آغاز می شود مانند مواردی که بدافزار برای ثبت تبادل داده طراحی شده است. در این مورد بدافزار به سادگی به جمع آوری و ثبت داده های لازم می پردازد.
5. شناسایی
   در این مرحله بدافزار توسط جوامع آنتی ویروس شناسایی می شود. در اکثر قریب به اتفاق موارد، این مرحله قبل از مرحله 4 و حتی گاهی اوقات قبل از مرحله 3 اتفاق می افتد.
6. روش تشخیص
   بعد از شناسایی تهدید، لازم است توسعه دهندگان نرم افزارهای آنتی ویروس، کد ویروس را تحلیل کنند تا یک روش تشخیص قابل اعتماد را نهایی سازند. بعد از تعیین روش مورد نظر، فایلهای حاوی امضای ویروسها به روز رسانی می شود تا آنتی ویروس های موجود نیز قادر به تشخیص بدافزار جدید باشند. مدت زمانی که برای این مرحله صرف می شود، در مهار حمله بسیار مؤثر و حیاتی است.
7. پاکسازی
   زمانی که به روز رسانی آنتی ویروسها در اختیار عموم قرار می گیرد، به کارگیری این به روز رسانی در کمترین زمان جهت محافظت از رایانه در برابر حمله و یا پاکسازی سیستم در صورت آلوده شدن، به عهده کاربران آنتی ویروس ها می باشد. انجام ندادن به موقع به روز رسانی توسط کاربران بسیار خطرناک است زیرا در حقیقت با کاربرانی روبرو هستیم که فرض می شود محافظت شده و در امان هستند، در حالی که در واقع در معرض تمام حملات جدید قرار دارند. با افزایش تعداد کاربرانی که آنتی ویروسهایشان را به روز رسانی می کنند، خطر بدافزار کم و کمتر می شود. بعید است که این پروسه منجر به پاکسازی کامل ویروس از دنیای رایانه ها شود، زیرا همواره تعدادی رایانه با محافظت ضعیف یا حتی بدون هیچگونه محافظت آنتی ویروس به اینترنت وصل می شوند و طبیعتاً مورد هجوم ویروسها قرار می گیرند. ولی با این وجود در این مرحله خطر کلی بدافزار کاهش پیدا کرده است. با وجودی که این چرخه حیات برای هر حمله بدافزاری جدید تکرار می شود ولی برای همه بدافزارها و حملات یکسان نیست. بسیاری از حملات به سادگی نسخه تغییر یافته قسمتی از کد یک بدافزار اصلی هستند. بنابراین زیربنای کد و شیوه حمله جدید، با بدافزار قبلی یکسان است، ولی تغییرات کوچکی برای ممانعت از شناسایی و حذف بدافزار توسط آنتی ویروس ها، ایجاد می شود. معمولاً در حمله های بدافزاری موفق، نسخه های جدیدی از بدافزار در هفته ها و ماههای اولیه انتشار پیدا می کنند. این وضعیت به نوعی "مسابقه تسلیحاتی" تبدیل می شودکه از طرفی ویروس نویسان سعی می کنند تا برای رسیدن به اهدافشان که می تواند اهداف مالی، شهرت یا کنجکاوی باشد، از خطر تشخیص توسط آنتی ویروس ها در امان بمانند. از طرف دیگر شیوه های دفاعی آنتی ویروس ها نیز به روز رسانی و اصلاح می شود و یا به شیوه ای تغییر می یابد تا خطرات تهدیدهای جدید را کاهش دهد.