کرم‌های رایانه‌ای چگونه رفتار می‌کنند
پیشرفت‌های پدیدآمده در برنامه‌نویسی امکانات فراوانی را برای ما به‌وجود آورده است و درعین حال این پیشرفت‌ها، روش‌های پیچیده‌ای نیز برای مجرمین رایانه‌ای برای ارتکاب این‌گونه جرایم پدید آورده‌اند. این مقاله به بررسی طبیعت و نحوه تکامل کرم‌های رایانه‌ای از ساده‌ترین انواع ابتدایی گرفته تا کرم‌‌های تلفن سیار که از طریق Bluetooth انتشار می‌یابند، می‌پردازد.
کرم (worm): یک برنامه خود – تکثیرکننده (self-replicating) است که قادر به انتشار خود در شبکه‌های رایانه‌ای بوده و بطور نمونه، دارای اثری مخرب می‌باشد.

به نقل از (Consise Oxford English Dictionary) چاپ دهم

مقدمه
این مقاله به بحث درباره ساختار بنیادی (generic) و یا حداقل نمونه‌ای کرم‌های رایانه‌ای و استراتژی‌های رایج برای حمله به سیستم‌های جدید توسط این برنامه‌ها می‌پردازد. کرم‌های رایانه‌ای بطور عمده در شبکه‌ها گسترش می‌یابند، درعین حال این‌ها زیرمجموعه‌ای از ویروس‌های رایانه‌ای به شمار می‌روند. جالب است که حتی در مجامع تحقیقاتی امنیتی بسیاری از افراد ابراز می‌کنند که کرم‌های رایانه‌ای بطور قابل ملاحظه‌ای متفاوت از ویروس‌ها می‌باشند. در واقع حتی در درون CARO (سازمان محققین ضدویروس‌های رایانه‌ای) نیز هیچ دید مشترکی در مورد این که دقیقاً چه چیزی را باید به‌عنوان یک کرم رایانه‌ای تلقی کرد وجود ندارد.

ما امیدوار هستیم که این دید مشترک را داشته باشیم اما به‌هر حال حداقل اندکی از ما در این مطلب توافق داریم که تمامی کرم‌های رایانه‌ای ویروس نیز به‌شمار می‌روند؛ بگذارید توضیح دهم.
استراتژی‌ ایجاد آلودگی در بستر شبکه در واقع یکی از تفاوت‌های اولیه میان ویروس‌ها و کرم‌های رایانه‌ای است. علاوه بر این، کرم‌ها معمولاً نیازی به آلوده‌کردن فایل‌های دیگر نداشته و به صورت برنامه‌های مستقل انتشار می‌یابند.

دیگر این‌که چندین کرم می‌توانند کنترل یک سیستم را از راه دور و بدون نیاز به کمک کاربر به دست گیرند که معمولاً از طریق نفوذ از یک یا چند نقطه ضعف صوفت می‌گیرد. با این حال این مشخصه‌های رایج در کرم‌های رایانه‌ای همیشه صادق نمی‌باشند.
آلوده‌کردن file object، یک روش نسبتاً رایج میان کرم‌های موفق و ابتدایی بوده است. با توجه به یکی از تعاریف کرم، کرم می بایست درون خود باشد و به صورت کامل و نه وابسته به یک فایل میزبان گسترش یابد. با این‌حال این تعریف بدین معنی نیست که کرم نمی‌تواند به‌عنوان یک ویروس آلوده‌کننده فایل‌ها عمل کند و درعین حال از طریق شبکه گسترش یابد.

البته بسیاری از دیگر انواع کرم‌ها از قبیل Sadmindu CheseU RamenU CodeRedU SlappcrU Morris و Blaster فاقد استراتژی آلوده‌سازی فایل می‌باشند بلکه بطور ساده گره‌های (nodes) تازه در شبکه راه یافته و آلوده می نمایند. بنابراین روش دفاعی در مقابل کرم‌ها می‌بایست بر روی حفاظت از شبکه و گره‌های متصل به شبکه تمرکز داشته باشد.

ساختار بنیادی کرم‌های رایانه‌ای
هر کرم رایانه‌ای دارای چندین جزء اساسی است، از قبیل مشخص‌کننده محل هدف و قسمت‌های پخش‌کننده آلودگی و چند قسمت غیراساسی دیگر، مانند کنترل از راه دور رابط به روزآوری (update interface)، اداره کننده سیکل زیستی و روتین‌های payload

 

مشخص‌کننده موقعیت هدف (target Locator)
برای گسترش سریع در شبکه، کرم باید قادر به یافتن اهداف جدید باشد. بسیار از کرم‌ها، رایانه شما را به دنبال آدرس‌های ای- میل جستجو کرده و کپی خود را به این آدرس‌ها ارسال می‌کنند. این امر برای حمله‌کنندگان کافیست، زیرا سازمان‌ها اغلب مجبورند انتشار پیام‌های ای – میل را از طریق فایروال شرکت آزاد بگذرند و بدین‌ترتیب یک راه نفوذ آسان برای کرم به‌وجود آورند.
بسیاری از کرم‌ها از روش‌هایی خاص برای جستجو در شبکه به دنبال گره‌ها و در سطح IP استفاده می‌کنند و حتی سیستم دور را (برای امتحان آن ازنظر نفوذپذیری) اصطلاحاً انگشت‌نگاری (fingerprint) می‌کنند.

پخش‌کننده آلودگی (Infection Propagator)
یکی از اجزاء اساسی یک کرم عبارتست از استراتژی کرم برای انتقال خود به یک گره جدید و به‌دست‌گیری کنترل سیستم دور.

اغلب کرم‌ها فرض می‌کنند که شما یک نوع مشخص سیستم دارید. مثلاً یک ماشین Windows و یک کرم منطبق با این‌گونه سیستم‌ها را برای شما ارسال می‌نمایند. برای مثال نویسندة کرم برای حمله به سیستم شما ممکن است از هرگونه زبان اسکریپت‌نویسی، فرمت مدارک، یا کد باینری یا تزریق شنده در حافظه (memory injected code) و یا ترکیبی از همه این روش‌ها استفاده نمایند بطور نمونه حمله‌کننده، گیرنده را از طریق روش‌های مهندسی اجتماعی (social engineering) به اجراکردن کرم ترغیب می‌نماید. با این حال روزبه‌روز کرم‌های بیشتری یافت می‌شوند که از ماجول‌های مخصوصی برای اجرای خودکار و بدون نیاز به کمک کاربر استفاده می‌کنند.

نکته
برخی کرم‌های کوچک مانند W32/Witty و W32/Slammer ظاهراً پیداکننه هدف (اسکن شبکه) و پخش‌کننده آلودگی را در یک فراخوانی تابع (function call) جمع کرده‌اند. با این‌حال هنوز دارای قابلیت‌های مشخصی هستند از قبیل تولید آدرس‌های IP تصادفی و گسترش بدنه کرم در اهداف جدید.

کنترل از راه دور و رابط به روزآوری (Update Interface)
یک عنصر اصلی دیگر در کرم عبارتست از کنترل از راه دور با استفاده از یک ماجول ارتباطی بدون وجود این ماجول، نویسنده کرم قادر به کنترل شبکه آلوده شده (توسط ارسال پیغام‌های کنترلی به کپی‌های کرم) نخواهد بود. این‌چنین امکان کنترل از راه دوری می‌تواند به حمله‌کننده امکان استفاده از کرم را به‌عنوان ابزاری برای اجرای حملات (Dsitributcd Dcnial of Service) DDoS در شبکه و بر علیه چندین هدف ناشناس به‌وجود آورد.

یک رابط به روزآوری یا plug-in، عنصر مهمی از کرم‌های پیشرفته است که امکان به روزآوری کرم، در یک سیستم که قبلاً آلوده شده است را فراهم می‌آورد. یکی از مشکلات رایج برای حمله‌کننده‌ها این است که بعد از این‌که یک سیستم توسط یک روش خاص نفوذی تحت کنترل درآمد، اغلب نمی‌توان بار دیگر آن را از همان طریق مورد حمله قرار داد. البته این مشکل به حمله‌کننده کمک می‌کند تا از آلوده‌سازی چندباره بپرهیزد. چون ممکن است باعث crash شود. درعین حال حمله‌کننده می‌تواند روش‌های بسیار زیاد دیگری برای پرهیز از آلوده‌سازی دوباره بیابد.

میزان فعالیت Payload
یک عنصر اختیاری ولی بسیار رایج در کرم‌های رایانه‌ای payload (روتین فعالیت) می‌باشد. در بسیاری از موارد کرم‌های رایانه‌ای هیچ‌گونه payload را دارا نمی‌باشند. یکی از payload‌هایی که به سرعت در حال رایج‌شدن است حمله DOS بر علیه یک سایت وب معین می‌باشد. این‌حال یکی از اثرات جنبی حاصل از کرم‌های رایانه‌ای حملات DOS اتفاقی در شبکه‌های به شدت بارگذاری شده می‌باشد (مخصوصاً روترهای شبکه به به شدت بارگذاری شده‌اند). درعین حال اثرات جانبی جالب دیگری هم مشاهده شده‌اند از قبیل حملاتت اتفاقی علیه چاپگرهای شبکه.

همچنین کرم‌های رایانه‌ای می‌توانند باز سیستم‌های اشغال‌شده به‌عنوان ابر رایانه (super computer) استفاده کنند. برای مثال کرم W32/Opaserv با به اشتراک‌گذاردن حمله میان گره‌های آلوده سعی در شکستن یک کلید شبه DES دارد. شبیه به شبکه SETI (در واقع بعضی کرم‌های رایانه‌ای مانند W32/Hyd برنامه SETI را در رایانه‌های اشغال شده داون‌لود و نصب می‌کنند. کرم W32/Bymer مثالی است از یک (Distributed Network Client) که در رایانه‌های تحت کنترل نصب می‌گردد. این‌گونه حملات در ابتدا سال ۱۹۸۹ پیش‌بینی شدند.

یکی دیگر از تمایلات جالب کرم ها عبارتست از تقابل برنامه‌ریزی شده بین دو رایانه به‌عنوان payload چندین ضدکرم (antiworm) با هدف کشتن دیگر کرم‌های رایانه‌ای و نصب تغییرات بازدارنده از نفوذ آن کرم‌ها به‌وجود آمده‌اند. برای مثال می‌توان Linux/Lion در برابر Linux/Cheese و W32/CodeREd در برابر W32/CodeGreen را نام برد. در این مبحث همچنین به بررسی دیگر انواع تقابل بین برنامه‌های بدمنظور (malicious) خواهیم پرداخت.

این روزها نصب یک سرور SMTP برای رله‌کردن اسپم (spam) بسیار رایج شده است. پخش‌کنندگان اسپم سیستم‌ها را در مقیاس وسیعی توسط کرم‌هایی از قبیل W32/Bobax مورد نفوذ قرار داده و سپس با استفاده از سرور رله SMTP پیام‌های خود را از طریق سیستم‌های زامبی (zombie) ارسال می‌نمایند.

 

قابلیت خود – ردگیری (self-tracking)
بسیاری از نویسندگان ویروس مایلند بدانند که ویروس آن‌ها چه تعداد از ماشین‌ها را آلوده می‌کند. از طرف دیگر، آن‌ها می‌خواهند به دیگران اجازه دهند تا مسیر آلودگی‌های ویروس را ردگیری نمایند. چندین نوع از ویروس‌ها از جمله W97M/Grov.A اطلاعات IP سیستم آلوه‌شده را به یک سرور FTP ارسال می‌کنند.

کرم‌های رایانه‌ای بطور نمونه یک پیغام ای – میل شامل اطلاعاتی درباره سیستم آلوده‌شده را برای ردگیری گسترش خود، به حمله‌کننده ارسال می‌کنند. کرم Morris از یک ماجول خود – ردگیر استفاده می‌کرد که قرار بود یک UDp datagram را برای هاستی در ernie. Berkeley. Edu (بعد از ۱۵ مورد آلودگی) ارسال کند. اما این روتین مشکل داشت و عملاً هیچ اطلاعاتی ارسال نکرد.

مشخص‌کننده موقعیت هدف (target Locator)
یک ماجول مشخص‌کننده موقعیت هدف که دارای کارکرد مؤثری باشد، عنصر مهمی از کرم رایانه‌ای را شکل می‌دهد. آسان‌ترین مکانیزم برای حمله‌کننده، جمع‌آوری آدرس‌های ای – میل در سیستمی که کرم در آن اجرا شده و ارسال پیوست‌هایی (attachments) به این‌گونه اهداف می‌باشد.

اما روش‌های بسیار زیاد و پیچیده دیگری برای رسیدن سریع به اهداف جدید وجود دارد. مانند ساختن آدرس‌های IP بطور تصادفی در ترکیب canning port کرم‌های جدید همچنین شبکه را با استفاده از پروتکل‌های متعدد مورد حمله قرار می‌دهند. در این بخش مهم‌ترین انواع حملات و روش‌های اسکن شبکه بطور خلاصه بررسی خواهیم کرد.

دروکردن آدرس‌ها ای‌ – میل (Email Address Harvesting)
راه‌های بسیاری برای یک کرم رایانه‌ای برای جمع‌آوری آدرس‌های ای – میل جهت حمله وجود دارد. حمله‌کننده می‌تواند با استفاده از API استاندار شمارش کتابچه‌های آدرس (address books) بپردازد. مثلاً با استفاده COM Interfaces یک مورد از این نمونه کرم، W32/Serot می‌باشد.

فایل‌ها را می‌توان مستقیماً جهت یافتن آدرس در آن‌ها شمارش کرد. علاوه این‌ها، کرم‌های پیشرفته ممکن است از پروتکل (Network News ansfer Protocol) NNTP یا پروتکل انتقال اخبار شبکه برای خواندن گروه‌های خبر (newsgroups) استفاده کرده یا موتورهای جستجو مانند Google را برای جمع‌آوری آدرس‌های ای – میل و با استفاده از روش‌های مشابه پخش‌کنندگان اسپم، بکار گیرند.‌

کرم‌های کتابچه آدرس (Address – Book Worms)
تمام محیط‌های رایانه‌ای از نوعی کتابچه آدرس برای ذخیره‌کردن اطلاعات لازم برای تماس با اشخاص استفاده می‌کنند.

برای مثال کتابچه آدرس Windows یا Outlook ممکن است آدرس‌های ای – میل دوستانتان همکاران و مشتریان لیست ای – میل‌هایی که در آن‌ها شرکت دارید را در خود داشته باشند. اگر یک کرم بتواند به آدرس‌های ای – میل درون این مکان‌ها دسترسی یابد می‌تواند خود را برای تمامی آدرس‌های داخل آن‌ها ارسال کرده و با یک نرخ تصاعدی تکثیر یابد. متأسفانه دسترسی به اطلاعات داخل این کتابچه‌های آدرس عملی پیش‌پا افتاده به شمار می‌رود.

کرم W97M/Melissa@mm خصوصاً در انجام این تکنیک در مارس ۱۹۹۹ بسیار موفق بود. این کرم برای گسترش خود در ای – میل‌ها به‌وسیله ارسال یک فایل word آلوه به‌عنوان یک پیوست (وابسته به نصب icrosoft Outlook) عمل می‌نمود.

حملات File Parsing (تجزیه فایل) در دیسک
چندین نوع از کرم‌های رایانه‌ای مانند W32/Magistr بطور ساده به دنبال فایل‌های برنامه‌های ای – میل یا تمام فایل‌هایی که پسوند آن‌ها WAB است ؟؟؟ و این‌گونه فایل‌ها را مستقیماً برای یافتن آدرس‌های ای – میل در آن‌ها مورد تجزیه و تحلیل قرار می‌هند. استفاده از این روش پس از این‌که مایکروسافت قابلیت‌ها امنیتی خاصی بر علیه کرم‌های رایانه‌ای در نرم‌افزار Outlook قرارداد روند گرفت.

همان‌طور که ممکن است انتظار داشته باشید، حملات مبتنی بر تجزیه فایل نقاط ضعف خاص خود را دارند. برای مثال برخی کرم‌ها دارای نوعی وابستگی به فرمت فایل هستند. کتابچه آدرس ویندوز در همه نگارش‌های این سیستم عامل با یک فرمت ثابت ذخیره نمی‌شود. پشتیبانی از Unicode همیشه موجود نبوده و فرمت فایل در این مورد متفاوت خواهد بود به همین علت است که این‌گونه کرم‌ها نمی‌توانند تحت این شرایط به سیستم‌های دیگر گسترش پیدا کنند.

مشکلاتی شبیه به این مورد ممکن است در هنگام انجام تست‌های آلودگی طبیعی در آزمایشگاه‌ها ایجاد اشکال کنند. این مثالی است از قانون مورفی (Murphy’s law) که در آن تمام دنیا توسط کرمی آلوده‌شده که در شرایط آزمایشگاهی موفق به کار نمی‌شود.

معذلک به نظر می‌رسد که این روش در دنیای واقعی موثر است. و تعداد بسیار زیاد حملات موفق شاهدی بر این مدعاست، به‌عنوان مثال کرم W32/Mydoom@mm در اوایل سال ۲۰۰۴ بسیار گسترش پیدا کرد. کرم Mydoom فایل‌هایی را که دارای پسوندهای adb, pl, wab, htm, sht, php, asp, dbx, tbb و txt بودند در جستجو برای آدرس مورد تجزیه قرار می‌داد.

کرم‌های رایانه‌ای برای تشخیص این‌که آیا یک رشته (string) خاص می‌تواند احتمالاً یک آدرس ای – میل باشد یا خیر از روش‌های تجربی (heuristics) استفاده می‌کنند. یک روش تجربی بالقوه جستجو برای رشته‌های mailto در فایل‌های HTML و فرض‌کردن این‌که به دنبال آن یک آدرس خواهد آمد، می‌باشد. در برخی موارد طول نام دامنه
(domain name) محدود است. برای مثال somebody@a.com ممکن است توسط برخی کرم‌ها مانند W32/Klez.H به‌عنوان یک آدرس معتبر پذیرفته نشو، زیرا a.com خیلی کوتاه است (اگرچه ممکن است کسی یک شبکه محلی را برای استفاده از چنین نام دامنه‌ای پیکربندی کند) علاوه بر این بعضی کرم‌ها گیرنده‌هایی با یک زبان خاص مثلاً مجارستانی را هدف قرار می‌دهند و برای اغفال کاربر به اجرای کرم.

TLD (top level domain) آدرس را هماطور که گفته شد چک می‌کنند برای مثال کرم Zafi.A خود را برای آدرس‌های ای – میل که TLD آن‌ها hu. (مجارستان Hungary) است ارسال می‌کنند.
کرم Sircam در دایرکتوری cache متعلق به Internet Explorer، دایرکتوری Personal کاربر و در دایرکتوری‌ای که کتابچه آدرس ویندوز در آن قرار دارد در فایل‌هایی که اسامی آن‌ها با get, sho یا hot شروع می‌شود یا به پسوندهایی مانند HTM یا WAB ختم می‌گردد به جستجوی آدرس می‌پردازد.

جمع‌کننده‌های ای – میل با استفاده از NNTP
حمله‌کنندگان مدت‌ةاست که مخلوقات خود را در گروه‌های خبری اینترنتی معرفی می‌کنند. در سال ۱۹۹۶ سوء استفاده از News Net به حد اعلای خود رسید. در نتیجه محققین تیم ضدویروس Dr.Solomon تصمیم به ایجاد سرویسی به نام Virus Patrol گرفتند، تا پیام‌های Usenet را به‌دنبال نرم‌افزارهای مخرب شناخته شده و نیز انواع احتمالاً ناشناس که به‌طور مستمر در این‌گونه پیام‌ها جاسازی می‌شدند را اسکن کند. Virus Patrol در دسامبر ۱۹۹۶ معرفی شد

. از پروتکل NNTP می‌توان در برخی از کاربردهای مخرب استفاده نمود. برای مثال یک حمله‌کننده می‌تواند از یک خواننده سرور خبری (news server) برای ایجاد یک پایگاه داده بزرگ جهت نگهداری آدرس میلیون‌ها نفر استفاده نماید. حمله‌کننده همچنین می‌تواند از این پایگاه داده برای کمک به پخش اولیه سریع کرم با اجرای کرم در سیستمی که پایگاه داده را میزبانی می‌کند استفاده کند.

این یکی از روش‌های رایج مورد استفاده توسط پخش‌کنندگان اسپم است و گمان می‌رود که کرم‌هایی مانند W32/Sobig با بهره‌گرفتن از چنین روش‌هایی گسترش پیدا کردند. در واقع اولین ویروس Win32 شناخته شده که از ای – میل برای گسترش خود استفاده کرد از یک جمع‌کننده آدرس NNTP استفاده می‌نمود. ویروس W32/parvo توسط ویروس‌نویس ناشناسی بنام GriYo از گروه ۲۹A در اواخر سال ۱۹۹۸ خلق شد عجیب نیست

که همانند بسیاری دیگر از ویروس‌های GriYo، ویروس parvo از خاصیت چندشکلی (polymorphism) برای آلوده‌کردن فایل‌های PE استفاده می‌کرد و اما این ویروس اولین ویروسی بود که از یک موتور SMTP برای ارسال ای – میل در حجم وسیع بهره می‌جست. ویروس parvo سال‌ها جلوتر از زمانه خود بوده و به زبان اسمبلی (Assembly) خالص نوشته شده بود که سبب شده بود که حجم بدنه ویروس آن فقط به اندازه ۱۵KB باشد.

ویروس W32/parvo برای جمع‌آوری آدرس‌های ای – میل از چندین گروه خبری استفاده می‌نمود اما ظاهراً وجود یک اشکال جزئی گسترش آن را محدود نمود Parvo بطور تصادفی سعی می‌کرد تا به دو سرور خبری احتمالی یعنی Diana. Ibernet.es متصل شود.
با این‌حال این سرورها در آن زمان برای هر کسی قابل دسترسی نبودند بدین‌ترتیب جمع‌کننده ای – میل Parvo به کار در محدوده داخل مرزهای اسپانیا محدود شد.
Parvo از طریق پورت ۱۱۹/CP به دو سرور بالا متصل شده و شروع به تبادل اطلاعات می‌نماید. حمله‌کننده سه پیغام ای – میل مختلف با محتوایی که انتظار داشت برای اعضای سه‌گروه خبری متفاوت به اندازه کافی جذاب باشد تهیه نموده بود.
اولین پیغام Parvo خوانندگان دائمی گروه‌های خبری مربوط به هک مانند alt, hackers, malicious, alt, hackers, alt, hacker, alt, bio, hackers و غیره را هدف می‌دهد. پیغام دوم به زیرمجموعه این لیست گروه خبری ارسال می‌شود. نهایتاً پیغام سوم خوانندگان گروه‌های خبری غیراخلاقی (erotic) مانند alt.binaries.erotica.pornstar.alt.binares.erotica و غیره را هدف حملات خود قرار می‌دهد.
برای یافتن آدرس‌های ای – میل در گروه‌های خبری، Parvo از دستور group برای پیوستن به یک گروه تصادفی و از دستورات next و head با تعداد تصادفی برای گرفتن یک پیغام بطور اتفاقی استفاده می‌کند. نهایتاً آدرس ای‌ – میل را از درون عنوان (header) پیغامی که بطور تصادفی انتخاب شده استخراج می‌کند، خود را به این آدرس ارسال نموده و این پروسه را تکرار می‌نماید.

درو‌کردن آدرس‌های ای – میل در وب
حمله‌کنندگان همچنین می‌توانند از موتورهای جستجو برای یافتن آدرس استفاده کنند. این یک فرآیند نسبتاً ساده می‌باشد که به حمله‌کننده امکان دسترسی سریع به تعداد زیادی ای – میل می‌دهد.

هنگام نگارش این کتاب اولین گونه‌های این نوع کرم در حال پدیدار شدن بودند که از موتورهای جستجوی معروف مانند Yaho!Y;Lycos, Google و Altavista برای دروکردن آدرس‌های ای – میل استفاده می‌کنند. برای مثال کرم W32/Mydoom. M@mm بطور موفقیت‌آمیزی از این روش بهره جسته‌اند و به گفته Google این کرم حملات DoS خفیفی بر ضد سرورهای این سایت انجام داده است.

دروکردن آدرس‌های ای – میل از طریق ICQ
برخی کرم‌های رایانه‌ای مانند کرم چندشکلی W32/Toal@mm آدرس‌های ای – میل را از طریق صفحات سفید ICQ(white pages) موجود در سرورهای ICQ جمع‌آوری می‌کنند. برای مثال http://www.icq.com/whitepages به شما اجازه می‌دهد تا براساس مشخصات مختلفی از قبیل نام و نام‌مستعار، جنسیت، سن و کشور به جستجوی اطلاعات تماس گشته و اطلاعاتی مانند آدرس ای – میل اشخاصی که با شرایط جستجوی شما انطباق دارند بدست آورید. عجیب نیست که کرم‌های رایانه‌های می‌توانند از اطلاعات بدست آمده از این طریق استفاده‌های زیادی ببرند.

روش‌های ترکیبی
البته روش‌های زیادی برای جمع‌اوری آدرس‌های ای – میل و گسترش کرم می‌توان یافت. برای مثال کرم Linux/Slapper قادر به جمع‌آوری آدرس‌ها و ارائه آن‌ها از طریق کنترل از راه دور به حمله‌کننده می‌باشد. سپس یک کرم دیگر ممکن است توسط حمله‌کننده ایجاد شود تا از پایگاه داده شامل آدرس‌های ای – میل برای گسترش ناگهانی و سریع خود استفاده نمایند، بدون این که نیازی به آلوده‌کردن در حد وسیع به منظور جمع‌آوری تعداد کافی آدرس داشته باشد.
حتی محتمل‌تر این است که حمله‌کننده از آدرس‌های جمع‌آوری شده برای ارسال اسپم استفاده نمایند.

حملات Network Share Enumeration
احتمالاً ساده‌ترین روش برای پیداکردن سریع گره‌های دیگر در شبکه شمارس کردن (enumerate شبکه به دنبال سیستم‌های دور می‌باشد. سیستم‌های windows خصوصاً در این مورد جزو آسیب‌پذیرترین سیستم‌ها به شمار می‌روند و علت آن پشتیبانی بسیار غنی برای یافتن ماشین‌های دیگر و وجود اینترفیس‌های ساده برای این کار می‌باشد. ویروس‌های رایانه‌ای مانند W32Funlove از اصل شماره‌گذاری (enumeration) برای آلوده‌کردن فایل‌های موجود در هدف‌های دور استفاده می‌کردند. این نوع حملات سبب بروز صدمات عمده‌ای در سازمان‌های بزرگ در اطراف جهان شده‌اند.

چندین نوع از کرم‌های رایانه‌ای دارای برخی مشکلات اجزائی جزئی بوده و نهایتاً در یافتن منابع شبکه‌ای از جمله چاپگرهای مشترک در شبکه‌ها موفق خواهند شد. این امر بدین دلیل محقق می‌شود که همه کرم‌ها به نوع منبعی (resource) که آن را شمارش می‌کنند

اهمیت نمی‌دهند و این مسئله ممکن است سبب چاپ‌شدن اتفاقی بر روی چاپگر شبکه گردد. در واقع کرم‌های دچار مشکل کاراکترهای به ظاهر بی‌معنی را در چاپگر چاپ می‌کنند که در واقع کد کرم است. کرم‌های W32/Bugbear و W32/Wangy مثال‌هایی از کرم‌های رایانه‌ای هستند که بطور تصادفی چاپگرهای شبکه‌ای را هدف این‌گونه حملات قرار می‌دهند.