LA CAMPANA

C'è chi ha letto questa notizia prima di te.
Iscriviti per ricevere gli ultimi articoli.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam

Una caratteristica sorprendente del virus è il worm di rete. Tipi di worm di rete e relativi percorsi al computer. Classificazione delle minacce in base a vari criteri

Condividere
Condividere
Tweet
Piace
Piace

Worm di rete (altro nome - worm di computer) Sono programmi creati con un meccanismo interno di distribuzione su reti di computer locali e globali per uno scopo. Questi obiettivi sono:

  • penetrazione in computer remoti con intercettazione parziale o totale del controllo su di essi (nascosto all'utente - il proprietario di questo computer, ovviamente);
  • avviare la tua copia su un computer;
  • ulteriore diffusione a tutti reti disponibilisia locale che globale.

Elenchiamo alcuni tipi di reti attraverso le quali vengono trasmessi i worm di rete. Questa è, prima di tutto, ovviamente, e-mail, vari servizi di messaggistica Internet, condivisione di file e reti torrent, reti locali, reti di scambio tra dispositivi mobili.

La maggior parte dei worm informatici si diffonde sotto forma di file. Sono allegati come allegati a e-mail e messaggi, o in vari modi all'utente viene richiesto di seguire un determinato collegamento, scaricare ed eseguire sul proprio computer locale alcuni estremamente necessari e programma gratuito, fotografia, ecc. (Ci sono infinite opzioni per mascherare i virus di rete). Va detto che la posta elettronica è diventata un terreno fertile quasi ideale per la diffusione dei worm di rete. E la velocità dei loro (worm di rete) diffusi su Internet è spesso semplicemente sorprendente.

Ma esistono anche i cosiddetti virus di rete "senza file, a pacchetti" che si diffondono sotto forma di pacchetti di rete e penetrano in un computer utilizzando varie lacune e vulnerabilità nel sistema operativo o nel software installato.

Per penetrare in un computer remoto, vengono utilizzati una varietà di metodi, che vanno dai metodi di ingegneria sociale (quando si riceve una lettera allettante con un collegamento o un file allegato, esortando ad aprire questo file allegato o seguire il collegamento specificato), o, come già menzionato sopra, questo penetrazione utilizzando vulnerabilità e backdoor nel software utilizzato. Inoltre, la penetrazione è possibile a causa di difetti esistenti nella pianificazione e manutenzione della rete locale (un esempio è un disco locale completamente condiviso e non protetto).

Oltre alle sue funzioni principali worm di rete molto spesso contengono anche funzioni di altri software dannosi: virus, trojan, ecc.

Come mostrano le statistiche dei laboratori antivirus, oltre l'80% di tutti i problemi associati alla penetrazione di software dannoso (worm di rete, Trojan e virus) computer locali utenti, è associato all'analfabetismo elementare e alla mancanza delle competenze necessarie per lavorare su Internet tra questi stessi utenti.

Facciamo una breve escursione nella storia e scopriamo dove e come hanno avuto origine, questi programmi dannosi sono worm per computer.

I primi esperimenti utilizzando i primi prototipi di worm per computer furono effettuati nel 1978 presso il Centro di ricerca Xerox di Palo Alto. Questi lavori furono iniziati da John Schoch e Jon Hupp. Lo stesso termine "worm di rete" è nato sotto l'influenza della letteratura di fantascienza (in particolare, questi sono i romanzi di D. Herrold "When Harley Was One Year Old" e D. Branner "On the Shock Wave").

Probabilmente il worm di rete più famoso è il cosiddetto Morris Worm, scritto nel 1988 dallo studente della Cornell University R. Morris, Jr. Il virus ha colpito la rete il 2 novembre 1988 e si è rapidamente diffuso a un gran numero di computer con una connessione Internet.

Esistono diversi tipi di worm di rete. Prima di tutto, è opportuno menzionare i worm residenti nella RAM, che si trovano in memoria ad accesso casuale computer senza influire sui file sul disco rigido. Liberarsi di questi worm è abbastanza semplice: devi solo riavviare sistema operativoQuesto ripristinerà i dati nella RAM e il worm verrà cancellato di conseguenza. I virus residenti nella RAM sono costituiti da due parti: un exploit (o shellcode), con l'aiuto del quale penetrano in un computer, e il corpo stesso del worm.

Esistono anche virus che, dopo essere penetrati con successo in un computer, eseguono alcune azioni con i dischi locali: prescrivono lì un codice di programma (ad esempio, modificando le chiavi nel registro di Windows o prescrivendo un file di virus in Startup). Anche verme in caso di penetrazione riuscita nel computer, può scaricarne indipendentemente qualsiasi file file aggiuntivi sulla rete (virus, trojan, altri worm di rete) e trasforma il tuo computer in un terreno fertile per tutti i tipi di infezione del computer.

È abbastanza difficile rilevare e, di conseguenza, neutralizzare questi worm di rete. Questo ti aiuterà programma antivirus con database delle firme antivirali aggiornati.

Nome del parametro Valore
Argomento dell'articolo: Worm di rete
Categoria (categoria tematica) Computer

penetrazione di computer remoti;

avviare la tua copia su un computer remoto;

ulteriore distribuzione ad altri computer in rete.

È importante notare che i worm di rete utilizzano una varietà di computer e reti mobili: e-mail, sistemi di messaggistica istantanea, reti di condivisione file (P2P) e IRC, LAN, reti per lo scambio di dati tra dispositivi mobili (telefoni, pocket PC), ecc.

La maggior parte dei worm conosciuti si diffonde sotto forma di file: un allegato a un'e-mail, un collegamento a un file infetto su una risorsa Web o FTP nei messaggi ICQ e IRC, un file nella directory di scambio P2P, ecc.

Alcuni worm (i cosiddetti "fileless" o "packet worm") si diffondono come pacchetti di rete, penetrano direttamente nella memoria del PC e attivano il loro codice.

Per infiltrarsi nei computer remoti e avviare la loro copia, i worm utilizzano vari metodi: ingegneria sociale (ad esempio, il testo di un'e-mail che richiede di aprire un file allegato), difetti nella configurazione di rete (ad esempio, copia su un disco aperto per l'accesso completo), errori in servizi di sicurezza di sistemi operativi e applicazioni.

Alcuni worm hanno anche le proprietà di altri tipi di software dannoso. Ad esempio, alcuni worm contengono funzioni Trojan Horse o sono in grado di infettare file eseguibili su disco locale, cioè hanno la proprietà di un programma Trojan e / o di un virus informatico.

Classificazione dei worm di rete

La caratteristica principale che distingue i tipi di worm è il modo in cui il worm si diffonde, ovvero il modo in cui trasferisce la sua copia ai computer remoti. Altri segni che i worm differiscono l'uno dall'altro sono il modo in cui lanciano una copia del worm sul computer infetto, il metodo della loro iniezione nel sistema, nonché il polimorfismo, la furtività e altre caratteristiche inerenti ad altri tipi di software dannoso (virus e trojan).

Email-Worm - worm di posta

Questa categoria di worm include quelli che utilizzano la posta elettronica per diffondersi. In questo caso, il worm invia una copia di se stesso come allegato a un'e-mail o un collegamento al suo file che si trova su una risorsa di rete (ad esempio, un URL a un file infetto situato su un sito Web compromesso o hacker).

Nel primo caso, il codice del worm viene attivato quando un allegato infetto viene aperto (lanciato), nel secondo, quando viene aperto un collegamento a un file infetto. In entrambi i casi, l'effetto è lo stesso: il codice del worm è attivato. Per inviare messaggi infetti, i worm di posta elettronica utilizzano diversi modi... I più comuni sono:

‣‣‣ Connessione diretta al server SMTP utilizzando la libreria di posta incorporata nel codice del worm;

‣‣‣ utilizzo dei servizi di MS Outlook;

‣‣‣ utilizzo delle funzioni MAPI.

Vari metodi vengono utilizzati dai worm di posta elettronica per trovare file indirizzi postalia cui verranno inviati i messaggi infetti. Mail worm:

‣‣‣ si inviano a tutti gli indirizzi trovati nella rubrica di MS Outlook;

· Legge gli indirizzi dalla base degli indirizzi WAB;

‣‣‣ Scansiona i file adatti sul disco ed evidenzia le righe che sono indirizzi e-mail;

· Si inviano a tutti gli indirizzi trovati nelle lettere nella casella di posta (mentre alcuni worm di posta "rispondono" ai messaggi trovati nella casella di posta).

Molti worm utilizzano diversi di questi metodi contemporaneamente. Esistono anche altri modi per trovare indirizzi e-mail.

IM-Worm: worm che utilizzano la messaggistica istantanea

Notevoli worm per computer di questo tipo utilizzare l'unico metodo di distribuzione: inviare messaggi ai contatti rilevati (dall'elenco dei contatti dei messaggi contenenti URL a un file situato su un server. Questa tecnica ripete quasi completamente il metodo di distribuzione simile utilizzato dai worm di posta.

IRC-Worm - worm nei canali IRC Οʜᴎ, come i mail worm, hanno due metodi per diffondere il worm attraverso i canali IRC, ripetendo i metodi descritti sopra. Il primo è inviare un collegamento URL a una copia del worm. Il secondo modo è inviare il file infetto a qualsiasi utente della rete. In questo caso, l'utente attaccato deve confermare la ricezione del file, quindi salvarlo su disco e aprirlo (eseguire per l'esecuzione).

Net-Worm- altri worm di rete

Esistono altri modi per infettare i computer remoti, ad esempio:

copiare il worm nelle risorse di rete;

penetrazione di un worm in un computer attraverso vulnerabilità nel sistema operativo e nelle applicazioni;

penetrazione nelle risorse della rete pubblica;

Il primo metodo consiste essenzialmente nel fatto che il worm cerca computer remoti e si copia in directory aperte in lettura e scrittura (se presenti).

Allo stesso tempo, i worm di questo tipo cercano nelle directory di rete disponibili utilizzando le funzioni del sistema operativo e / o cercano in modo casuale i computer nella rete globale, si connettono ad essi e provano ad aprire i loro dischi per l'accesso completo.

Per penetrare nel secondo modo, i worm cercano nella rete computer su cui softwarecontenente vulnerabilità critiche. Per infettare i computer vulnerabili, il worm invia un pacchetto o una richiesta di rete appositamente progettati (exploit per la vulnerabilità), in modo che il codice del worm (o parte del codice) penetri nel computer vittima. Se un pacchetto di rete contiene solo una parte del codice del worm, scarica il file principale e lo avvia per l'esecuzione.

Una categoria separata è costituita da worm che utilizzano server Web e FTP per la loro distribuzione. L'infezione si verifica in due fasi. Innanzitutto, il worm penetra nel computer server e modifica i file di servizio del server (ad esempio, pagine Web statiche) secondo necessità. Quindi il worm attende i visitatori che richiedono informazioni dal server infetto (ad esempio, aprono una pagina Web infetta) e quindi penetrano nei computer della rete.

Va notato che molti worm informatici utilizzano più di un metodo per diffondere le proprie copie sulle reti, utilizzando due o più metodi per attaccare i computer remoti.

P2P-Worm - worm per reti di condivisione di file

Il meccanismo di funzionamento della maggior parte di questi worm è abbastanza semplice: affinché un worm penetri in una rete P2P, è sufficiente copiarsi nella directory di scambio di file, che di solito si trova sulla macchina locale. La rete P2P si assume il resto del lavoro per diffondere il virus: durante la ricerca di file sulla rete, informerà gli utenti remoti questa vita e fornirà tutto il servizio necessario per scaricare un file da un computer infetto.

Esistono worm P2P più complessi che imitano protocollo di rete sistema di condivisione file specifico e via query di ricerca risponde positivamente e il worm offre la sua copia per il download.

Vermi di rete: concetto e tipi. Classificazione e caratteristiche della categoria "worm di rete" 2017, 2018.

Questo tipo di Trojan è progettato per informare il suo host di un computer infetto. Allo stesso tempo, le informazioni sul computer vengono inviate all'indirizzo dell'host, ad esempio, l'indirizzo IP del computer, il numero di porta aperta, l'indirizzo e-mail, ecc. L'invio viene effettuato in vari modi: tramite e-mail, appositamente progettato per indirizzare la pagina web dell'host, Messaggio ICQ.

Questi Trojan vengono utilizzati nei kit Trojan multicomponenti per notificare al loro "proprietario" la corretta installazione dei componenti Trojan nel sistema attaccato.

  • Worm di rete

La caratteristica principale che distingue i tipi di worm è il modo in cui il worm si diffonde, ovvero il modo in cui trasferisce la sua copia ai computer remoti. Altri segni della differenza tra i worm sono i metodi di lancio di una copia del worm sul computer infetto, i metodi di introduzione nel sistema, nonché il polimorfismo, la furtività e altre caratteristiche inerenti ad altri tipi di software dannoso (virus e trojan).

Email-Worm - worm di posta

Questa categoria di worm include quelli che utilizzano la posta elettronica per diffondersi. In questo caso, il worm invia una copia di se stesso come allegato a un'e-mail o un collegamento al suo file situato su una risorsa di rete (ad esempio, un URL a un file infetto situato su un sito Web compromesso o hacker). Nel primo caso, il codice del worm viene attivato quando viene aperto (lanciato) un allegato infetto, nel secondo, quando viene aperto un collegamento a un file infetto. In entrambi i casi, l'effetto è lo stesso: il codice del worm è attivato.

I worm di posta elettronica utilizzano metodi diversi per inviare messaggi infetti. I più comuni sono:

    connessione diretta a un server SMTP utilizzando la libreria di posta incorporata nel codice del worm;

    utilizzo dei servizi di MS Outlook;

    utilizzando funzioni di Windows MAPI.

Vari metodi vengono utilizzati dai worm di posta elettronica per trovare gli indirizzi di posta elettronica a cui verranno inviati i messaggi infetti. Mail worm:

    inviarsi a tutti gli indirizzi presenti nella rubrica di MS Outlook;

    legge gli indirizzi dalla base degli indirizzi WAB;

    scansiona i file "adatti" sul disco ed evidenzia le linee in essi, che sono indirizzi email;

    si inviano a tutti gli indirizzi trovati nelle lettere nella casella di posta (alcuni worm di posta elettronica "rispondono" ai messaggi trovati nella casella di posta).

Molti worm utilizzano diversi di questi metodi contemporaneamente. Esistono anche altri modi per trovare indirizzi e-mail.

Im-Worm: worm che utilizzano la messaggistica istantanea

I worm informatici noti di questo tipo utilizzano l'unico metodo di diffusione: inviare messaggi ai contatti rilevati (da un elenco di contatti) contenenti un URL a un file situato su un server web. Questa tecnica ripete quasi completamente un metodo di distribuzione simile utilizzato dai worm di posta.

Irc-Worm - worm nei canali irc

Questo tipo di worm, come i mail worm, ha due metodi per diffondere il worm attraverso i canali IRC, ripetendo i metodi descritti sopra. Il primo è inviare un collegamento URL a una copia del worm. Il secondo modo è inviare il file infetto a qualsiasi utente della rete. In questo caso, l'utente attaccato deve confermare la ricezione del file, quindi salvarlo su disco e aprirlo (eseguire per l'esecuzione).

Virus di rete come habitat vengono utilizzate reti informatiche globali o locali. Non salvano il loro codice sull'hard disk del computer, ma penetrano direttamente nella RAM del PC. I virus di questo tipo sono chiamati worm di rete per la loro capacità di calcolare gli indirizzi di rete di altre macchine, che si trovano nella memoria del computer, e di inviare in modo indipendente copie di se stessi a questi indirizzi. Un tale virus può risiedere nella memoria di più computer contemporaneamente. I virus di rete sono più difficili da rilevare rispetto ai virus dei file. I virus di rete si diffondono ad alta velocità e possono rallentare notevolmente le prestazioni dell'hardware di rete del computer.

Worm (worm di rete) - il tipo di malware diffuso da canali di rete, in grado di superare in autonomia i sistemi di protezione delle reti automatizzate e informatiche, nonché di creare e distribuire ulteriormente le loro copie non sempre coincidenti con l'originale, e di svolgere altri effetti dannosi.

Proprio come per i virus, ciclo vitale i vermi possono essere suddivisi in fasi specifiche:

  1. Penetrazione nel sistema.
  2. Attivazione.
  3. Cerca "vittime".
  4. Preparazione delle copie.
  5. Distribuzione di copie.

Le fasi 1 e 5 sono generalmente simmetriche e sono caratterizzate principalmente dai protocolli e dalle applicazioni utilizzate.

La fase 4, la preparazione delle copie, non è praticamente diversa dalla fase analoga del processo di replicazione del virus. Ciò che è stato detto sulla preparazione di copie di virus senza modifiche si applica anche ai worm.

Nella fase di penetrazione nel sistema, i worm sono suddivisi principalmente in base ai tipi di protocolli utilizzati:

  • Worm di rete- worm che utilizzano Internet e reti locali per la propagazione. In genere, questo tipo di worm viene diffuso utilizzando un'elaborazione errata da parte di alcune applicazioni. pacchetti di base stack di protocollo tcp / ip.
  • Mail worm - worm che si diffondono sotto forma di messaggi di posta elettronica.
  • Worm IRC - worm che si diffondono attraverso i canali IRC (Internet Relay Chat).
  • Worm P2P - worm che si diffondono utilizzando reti di condivisione file peer-to-peer.
  • Worm IM - worm che utilizzano sistemi di messaggistica istantanea per diffondersi (IM, Instant Messenger - ICQ, MSN Messenger, AIM, ecc.)

Esempi. I classici worm di rete sono membri della famiglia Net-Worm.Win32.Sasser. Questi worm sfruttano una vulnerabilità nel servizio LSASS Microsoft Windows... Quando si moltiplica, il worm avvia un servizio FTP sulla porta TCP 5554, quindi sceglie un indirizzo IP da attaccare e invia una richiesta sulla porta 445 a questo indirizzo, controllando se il servizio LSASS è in esecuzione. Se il computer attaccato risponde alla richiesta, il worm invia un exploit per vulnerabilità nel servizio LSASS alla stessa porta, a seguito del quale avvia con successo una shell di comandi sulla porta TCP 9996. Attraverso questa shell, il worm scarica in remoto una copia del worm tramite FTP dal prima che il server e da remoto si avvii, completando il processo di penetrazione e attivazione.

Email-Worm.Win32.Zafi.d può essere considerato un esempio di worm di posta. Il messaggio infetto include un oggetto e un testo selezionati da un determinato elenco, il cui contenuto è una congratulazione per la vacanza (la maggior parte - Buon Natale) e un invito a leggere il biglietto di auguri in allegato. Le congratulazioni possono essere in diverse lingue. Il nome del file worm allegato è costituito dalla parola cartolina nella lingua corrispondente al saluto e da un insieme arbitrario di caratteri. L'estensione del file del worm viene selezionata in modo casuale dall'elenco BAT, .COM, .EXE, .PIF, .ZIP. Per inviare messaggi, il worm utilizza gli indirizzi e-mail trovati sul computer infetto. Per ottenere il controllo, il worm deve essere avviato dall'utente.

IRC-Worm.Win32.Golember.a è, come suggerisce il nome, un worm IRC. All'avvio, si salva in directory di Windows con il nome trlmsn.exe e aggiunge un parametro con una riga iniziale per questo file alla chiave di avvio automatico del registro di Windows. Inoltre, il worm salva la sua copia su disco come archivio Janey2002.zip e come file immagine Janey.jpg. Il worm si connette quindi a canali IRC arbitrari con vari nomi e inizia a inviare stringhe di testo specifiche, imitando l'attività di un utente normale. Parallelamente, una copia archiviata del worm viene inviata a tutti gli utenti di questi canali.

Molti worm di rete e di posta hanno funzionalità di distribuzione P2P. Ad esempio, Email-Worm.Win32.Netsky.q cerca directory sul disco locale contenenti i nomi delle reti più popolari o la parola "condivisa" per la propagazione attraverso le reti di condivisione di file, quindi inserisce copie di se stesso in queste directory con vari nomi

I worm IM raramente inviano file infetti direttamente tra i client. Invece, inviano collegamenti a pagine Web infette. Quindi il worm IM-Worm.Win32.Kelvir.k invia messaggi tramite MSN Messenger contenenti il \u200b\u200btesto "sei tu" e il link "http://www.malignancy.us// pictures.php? Email \u003d", all'indirizzo specificato il file worm viene individuato.

Oggi, il gruppo più numeroso sono i mail worm. Anche i worm di rete sono un fenomeno notevole, ma non tanto per la quantità quanto per la qualità: le epidemie causate dai worm di rete sono spesso molto veloci e su larga scala. I worm IRC, P2P e IM sono piuttosto rari, più spesso IRC, P2P e IM servono come canali di distribuzione alternativi per la posta e i worm di rete.

Nella fase di attivazione, i worm sono divisi in due grandi gruppi, diversi sia per tecnologia che per vita:

  1. L'attivazione richiede la partecipazione attiva dell'utente.
  2. Per l'attivazione, la partecipazione dell'utente non è affatto richiesta o è sufficiente solo la partecipazione passiva.

La partecipazione passiva di un utente al secondo gruppo significa, ad esempio, visualizzare le lettere in formato client di postain cui l'utente non apre i file allegati, ma il suo computer viene comunque infettato.

La differenza tra questi approcci è più profonda di quanto potrebbe sembrare a prima vista. L'attivazione di un worm di rete senza l'intervento dell'utente significa sempre che il worm sfrutta le falle di sicurezza nel software del computer. Ciò porta a una diffusione molto rapida del worm all'interno di una rete aziendale con un numero elevato di stazioni, aumenta notevolmente il carico sui canali di comunicazione e può paralizzare completamente la rete. Questo metodo di attivazione è stato utilizzato dai worm Lovesan e Sasser. Come risultato di un'epidemia causata da un tale worm di rete, il divario sfruttato viene colmato dagli amministratori o dagli utenti e, poiché il numero di computer con un gap aperto diminuisce, l'epidemia termina. Per ripetere l'epidemia, gli sviluppatori di virus devono sfruttare un'altra vulnerabilità. Di conseguenza, le epidemie causate da worm attivi hanno un impatto maggiore sul funzionamento della rete nel suo complesso, ma si verificano molto meno frequentemente rispetto alle epidemie di worm di rete passivi. L'installazione tempestiva di patch di sicurezza è una misura obbligatoria di protezione contro tali epidemie. Si noti inoltre che i sistemi operativi con funzionalità integrate per il controllo remoto o l'avvio di programmi sono particolarmente vulnerabili a questo tipo di worm: si tratta della famiglia Microsoft Windows NT / 2000 / XP / 2003.

Esempio. La vulnerabilità LSASS, sfruttata per la prima volta dal worm MyDoom all'inizio del 2004, ha continuato a essere sfruttata con successo dopo un anno e mezzo. Quindi Net-Worm.Win32.Mytob.be scoperto nel giugno 2005 sfruttava ancora questa vulnerabilità come metodo di propagazione, oltre alla propagazione tramite posta elettronica

D'altra parte, il coinvolgimento attivo dell'utente nell'attivazione del worm significa che l'utente è stato ingannato dall'ingegneria sociale. Nella maggior parte dei casi, il fattore principale è la forma di un messaggio infetto: può imitare una lettera di una persona familiare (inclusi indirizzo emailse un amico è già infetto), un messaggio di servizio da sistema postale o qualcosa di simile, proprio come spesso si trova nel flusso della corrispondenza ordinaria. Un utente confuso semplicemente non distingue una lettera normale da una infetta e si avvia automaticamente.

È impossibile proteggersi con cerotti contro tali vermi. Anche l'aggiunta della firma di un worm di rete al database dei virus non risolve completamente il problema. Per gli sviluppatori del virus, è sufficiente disporre di un file eseguibile in modo che l'antivirus non lo rilevi e modificare leggermente il testo del messaggio, utilizzando, tra le altre cose, le tecnologie di spamming utilizzate per bypassare i filtri.

Di conseguenza, le epidemie causate da worm di rete passivi possono essere molto più lunghe e generare intere famiglie di worm di rete simili.

Recentemente, c'è stata una tendenza verso la combinazione di entrambi i metodi di diffusione nei vermi. Molti membri della famiglia Mytob hanno distribuzione di posta elettronica e vulnerabilità LSASS.

Il metodo di ricerca per un computer vittima è interamente basato sui protocolli e sulle applicazioni utilizzate. In particolare, se viene riguardo al worm di posta, i file del computer vengono scansionati per la presenza di indirizzi di posta elettronica, ai quali vengono inviate copie del worm.

Allo stesso modo, i worm Internet scansionano un intervallo di indirizzi IP alla ricerca di computer vulnerabili e i worm P2P inseriscono copie di se stessi nelle directory pubbliche dei client peer-to-peer. Alcuni worm sono in grado di sfruttare gli elenchi di contatti di cercapersone Internet come ICQ, AIM, MSN Messenger, Yahoo! Messenger, ecc.

Quanto detto in precedenza sulla preparazione di copie per la diffusione di virus si applica anche ai worm.

I più comuni tra i worm sono le implementazioni semplificate del metamorfismo. Alcuni worm sono in grado di inviare copie di se stessi in lettere, sia con l'iniezione di uno script che porta all'attivazione automatica del worm, sia senza iniezione. Questo comportamento del worm è dovuto a due fattori: lo script di attivazione automatica aumenta le probabilità che il worm si avvii sul computer dell'utente, ma allo stesso tempo riduce la probabilità di sfuggire ai filtri antivirus sui server di posta.

Allo stesso modo, i worm possono modificare l'oggetto e il testo del messaggio infetto, il nome, l'estensione e persino il formato del file allegato: il modulo eseguibile può essere allegato così com'è o in formato zippato. Tutto questo non può essere considerato meta- o polimorfismo, ma i vermi hanno certamente una certa variabilità.

Esempio virus sul mio computer: Email-Worm.Win32. Brontok.a.

Un virus worm che si diffonde su Internet come allegati alle e-mail infette. Viene inviato a tutti gli indirizzi e-mail trovati sul computer infetto.

Il worm è un file EXE di Windows PE. Scritto in Visual Basic. La dimensione dei file infetti noti di questa versione del worm varia notevolmente. Di seguito sono riportate le funzionalità delle varianti più frequenti di questo worm.

Quindi il worm ottiene il percorso della directory applicazioni Windows per utente corrente (% UserProfile% \\ Impostazioni locali \\ Dati applicazioni) e ne copia il corpo in quella directory. Il worm si copia anche nella directory di avvio dei programmi del menu Start con il nome Empty.pif:

Il worm invia copie di se stesso con i seguenti nomi come allegati ai messaggi infetti. Selezionato dall'elenco Il worm modifica anche il contenuto del file autoexec.bat nella directory principale dell'unità C: aggiungendovi la riga "pause".

La presenza di azioni distruttive non è affatto un criterio obbligatorio per classificare un codice di programma come virale. Va anche notato che il virus può causare danni colossali solo per il processo di auto-propagazione. L'esempio più eclatante è Net-Worm.Win32.Slammer.

Copyright MBOU "Gymnasium No. 75" Kazan 2014

“Mi sembra che i virus informatici debbano essere visti come una forma di vita. Questo la dice lunga sulla natura umana: l'unica forma di vita che abbiamo creato finora è solo distruttiva. Creiamo la vita a nostra immagine e somiglianza ". Stephen Hawking

Studia

Gli obiettivi della ricerca:

identificare il livello di conoscenza degli insegnanti e degli studenti della palestra sui virus biologici e informatici, sui modi per prevenire e combattere i virus informatici e biologici.

Fatti

Una delle classi di malware programmi per computer sono le cosiddette bombe zip. esso file di archivio formato zip, che, una volta decompresso, si moltiplica in termini di dimensioni. Ad esempio, una delle più famose zip bomb chiamate 42.zip ha una dimensione di soli 42 KB, mentre all'interno dell'archivio sono presenti 5 livelli di archivi annidati, 16 file per livello. La dimensione di ogni file all'ultimo livello è di 4,3 GB e l'intero archivio decompresso è di 4,5 petabyte. L'azione dannosa di tali archivi consiste nell'overflow delle risorse di sistema quando gli antivirus o altri tentano di scansionarli. programmi di sistema, anche se oggigiorno tutti gli antivirus decenti riconoscono le bombe in anticipo e non cercano di aprirle completamente.

Il virus "I Love You" (così è stato chiamato) è stato elencato nel Guinness dei primati come il virus informatico più distruttivo al mondo. Ha colpito oltre 3 milioni di computer del pianeta, diventando il più costoso della storia.

Secondo le statistiche, il computer di ogni terzo utente di Internet nei paesi sviluppati viene attaccato almeno una volta all'anno virus informatici.

In Israele sta operando un divertente virus informatico, presumibilmente creato per la giustizia. Trova film, musica e fotografie scaricati illegalmente da Internet sul computer e li distrugge. È interessante notare che, quando un utente desidera rimuovere questo virus dal suo computer, gli viene chiesto di pagare per questo servizio.

A differenza dei virus, i worm sono programmi completamente indipendenti. La loro caratteristica principale è anche la capacità di auto-propagarsi, ma allo stesso tempo sono in grado di auto-propagarsi utilizzando i canali di rete. Il termine "worm di rete" viene talvolta utilizzato per enfatizzare questa proprietà.

Verme (worm di rete) è un programma dannoso che si diffonde attraverso i canali di rete ed è in grado di superare in modo indipendente i sistemi di sicurezza delle reti di computer, nonché di creare e distribuire ulteriormente copie di se stesso che non corrispondono necessariamente all'originale.

Il ciclo di vita di un worm è costituito dalle seguenti fasi:

  1. Penetrazione nel sistema
  2. Attivazione
  3. Cerca gli oggetti da infettare
  4. Preparazione delle copie
  5. Distribuzione di copie

A seconda del metodo di penetrazione nel sistema, i worm sono suddivisi in tipi:

  • Worm di rete utilizzare reti locali e Internet per la distribuzione
  • Mail worm - distribuito utilizzando programmi di posta
  • Worm IM utilizzare sistemi di messaggistica istantanea 2 IM (dall'inglese Instant Messenger - messaggistica istantanea) - programmi di messaggistica istantanea su Internet in tempo reale. I messaggi possono contenere, insieme a testo, immagini, file audio, video. I client IM includono programmi come ICQ, MSN Messenger, Skype
  • Worm IRC distribuito su IRC 3 canali IRC (dall'inglese Internet Relay Chat) è un sistema di messaggistica in tempo reale. Creato nel 1988 dallo studente finlandese Jarkko Oikarinen. Il client IRC di gran lunga più popolare è mIRC
  • Worm P2P - utilizzo di reti di condivisione file peer-to-peer 4 P2P (dall'inglese peer-to-peer - uguale a uguale) - si tratta di reti di computer peer-to-peer (a volte vengono anche chiamate peer-to-peer), cioè quelle in cui non ci sono server dedicati e tutti i computer in essa inclusi agiscono in due ruoli - e come client e il server. Tali reti vengono utilizzate principalmente per organizzare lo scambio di file, solitamente musica e film, nonché per risolvere problemi matematici particolarmente complessi che richiedono molte risorse. Le reti peer-to-peer più famose sono eDonkey e Gnutella

Dopo essersi infiltrato nel computer, il worm dovrebbe essere attivato, in altre parole, avviare. In base al metodo di attivazione, tutti i worm possono essere suddivisi in due grandi gruppi: quelli che richiedono la partecipazione attiva dell'utente e quelli che non lo fanno. In pratica, questo significa che ci sono worm che richiedono al proprietario del computer di prestare attenzione a loro e di avviare il file infetto, ma ci sono anche quelli che lo fanno da soli, ad esempio utilizzando errori di configurazione o falle di sicurezza nel sistema operativo. Caratteristica distintiva i vermi del primo gruppo sono l'uso di metodi ingannevoli. Ciò si manifesta, ad esempio, quando il destinatario di un file infetto viene ingannato dal testo del messaggio e apre volontariamente un allegato con un worm di posta, attivandolo in tal modo. Recentemente, c'è stata la tendenza a combinare queste due tecnologie: tali vermi sono i più pericolosi e spesso causano epidemie globali.

I worm di rete possono cooperare con i virus: una tale coppia può diffondersi in modo indipendente sulla rete (grazie al worm) e allo stesso tempo infettare le risorse del computer (funzioni dei virus).

Trojan

Trojan o programmi cavallo di Troia, a differenza di virus e worm, non sono tenuti a replicare. Si tratta di programmi scritti con un solo scopo: danneggiare il computer di destinazione eseguendo azioni non autorizzate da parte dell'utente: furto, danneggiamento o cancellazione di dati riservati, interruzione delle prestazioni del computer o utilizzo delle sue risorse per scopi sconvenienti.

Trojan (Trojan horse) - un programma il cui scopo principale è danneggiare un sistema informatico.

Alcuni trojan sono in grado di superare i sistemi di sicurezza da soli sistema informatico, per penetrarvi. Tuttavia, nella maggior parte dei casi, penetrano nei computer insieme a un virus o worm, ovvero tali Trojan possono essere considerati un carico dannoso aggiuntivo, ma non come programma indipendente... Non è raro che gli utenti scarichino essi stessi i Trojan da Internet.

Di conseguenza, il ciclo di vita dei Trojan consiste in solo tre fasi:

  1. Penetrazione nel sistema
  2. Attivazione
  3. Esecuzione di azioni dannose

Come accennato in precedenza, i trojan possono entrare nel sistema in due modi: indipendentemente e in collaborazione con un virus o un worm di rete. Nel primo caso, viene solitamente utilizzato il travestimento, quando il Trojan finge di esserlo applicazione utile , che l'utente copia se stesso su disco (ad esempio, scarica da Internet) e avvia. Allo stesso tempo, il programma può essere davvero utile, ma insieme alle funzioni di base può eseguire azioni tipiche di un Trojan.

Dopo essere penetrato in un computer, il Trojan deve essere attivato e qui sembra un worm: o richiede azioni attive da parte dell'utente o attraverso le vulnerabilità del software infetta il sistema da solo.

Poiché lo scopo principale della scrittura di trojan è eseguire azioni non autorizzate, vengono classificati in base al tipo di carico dannoso:

  • Keyloggeressendo costantemente nella RAM, registrano tutti i dati provenienti dalla tastiera ai fini del loro successivo trasferimento all'autore.
  • Ladri di password sono progettati per rubare le password cercando nel computer infetto file speciali che le contengono.
  • Utilità di controllo remoto nascoste sono trojan che forniscono un controllo remoto non autorizzato su un computer infetto. L'elenco delle azioni che un particolare Trojan può eseguire è determinato dalla sua funzionalità, stabilita dall'autore. Di solito questa è la capacità di scaricare, inviare, eseguire o distruggere segretamente file. Tali trojan possono essere utilizzati per ottenere informazioni confidenzialie per l'esecuzione di virus, distruggendo i dati.
  • Server SMTP anonimi 5Per trasferire le email su reti come Internet, viene utilizzato un protocollo specifico chiamato SMTP (Simple Mail Transfer Protocol). Rispettivamente, server emailche accetta e invia posta utilizzando questo protocollo è chiamato server SMTP e server proxy 6Un server proxy (dall'inglese proxy - deputato, autorizzato) è un server intermedio i cui compiti includono l'elaborazione delle richieste provenienti dalla sua rete per ottenere informazioni situate al di fuori di essa - tali trojan sul computer infetto organizzano l'invio non autorizzato di e-mail, che viene spesso utilizzato per inviare spam.
  • Utilità di composizione in una modalità nascosta all'utente avvia una connessione a servizi a pagamento La rete.
  • Modificatori delle preferenze del browser modificare pagina iniziale nel browser, una pagina di ricerca o qualsiasi altra impostazione, aprire finestre aggiuntive, simulare clic su banner pubblicitari, ecc.
  • Bombe logiche caratterizzato dalla capacità, quando vengono attivate le condizioni in essi stabilite (in un giorno specifico, ora del giorno, un'azione specifica di un utente o un comando dall'esterno), di eseguire un'azione, ad esempio l'eliminazione di file.

Separatamente, notiamo che ci sono programmi della classe Trojan che danneggiano gli altri, computer remoti e reti, senza interrompere il funzionamento del computer infetto. Rappresentanti di spicco di questo gruppo sono gli organizzatori degli attacchi DDoS.

Altro malware

Oltre a virus, worm e trojan, esistono molti altri programmi dannosi per i quali non è possibile fornire alcun criterio generale. Tuttavia, si possono distinguere piccoli gruppi tra loro. Questo è principalmente:

  • Programmi condizionatamente pericolosi, cioè quelli di cui è impossibile dire inequivocabilmente che sono dannosi. Tali programmi di solito diventano pericolosi solo in determinate condizioni o azioni dell'utente. Questi includono:
    • Riskware 7Riskware (abbreviazione di Risk Software): software pericoloso - programmi completamente legali che non sono pericolosi di per sé, ma hanno funzionalità che consentono a un utente malintenzionato di utilizzarli per scopi dannosi. Il riskware include utilità comuni di gestione remota spesso utilizzate dagli amministratori. reti di grandi dimensioni, Client IRC, programmi per scaricare file da Internet, utilità di ripristino password dimenticate altro.
    • Utilità pubblicitarie (adware) 8 Adware (abbreviazione di English Advertising Software) - software pubblicitario - programmi shareware che mostrano all'utente annunci pubblicitari come pagamento per il loro utilizzo, il più delle volte sotto forma di banner grafici. Dopo pagamento ufficiale e la registrazione di solito termina la visualizzazione della pubblicità ei programmi iniziano a funzionare modalità normale... Il problema con l'adware risiede nei meccanismi utilizzati per scaricare gli annunci sul computer. Oltre al fatto che i programmi di terze parti sono spesso utilizzati per questi scopi e non sono sempre verificati dai produttori, anche dopo la registrazione, tali moduli potrebbero non essere cancellati automaticamente e continuare a funzionare in modalità nascosta. Tuttavia, ci sono alcuni programmi adware abbastanza affidabili, ad esempio il client ICQ.
    • Pornware 9Pornware (abbreviazione di English Porno Software) - software pornografico - questa classe include utilità che sono in qualche modo correlate alla visualizzazione di informazioni agli utenti di natura pornografica. Oggi si tratta di programmi che collegano in modo indipendente servizi telefonici pornografici, scaricano materiali pornografici da Internet o utilità che offrono servizi per trovare e visualizzare tali informazioni. Nota che a malware include solo quelle utilità della classe pornware che vengono installate sul computer dell'utente non autorizzate - attraverso una vulnerabilità nel sistema operativo o nel browser, o utilizzando Trojan. Questo di solito viene fatto con l'intenzione di visualizzare forzatamente annunci pubblicitari per siti o servizi pornografici a pagamento.
  • Pirata 10Ora gli hacker (dall'inglese jarg.hack - hack, shred) sono solitamente chiamati persone che possono penetrare rete di computer per rubare qualsiasi informazioni importanti o risorse di sistema. Tuttavia, inizialmente, agli albori dell'era dei computer, questo termine è stato coniato per riferirsi ai geni del computer che, ad esempio, potevano riscrivere il sistema operativo o bypassare la password di amministratore dimenticata di tutti. utilità - Questo tipo di programma include programmi per nascondere il codice dei file infetti dalla scansione antivirus (criptatori di file), automatizzare la creazione di worm di rete, virus informatici e Trojan (costruttori di virus), set di programmi che gli hacker utilizzano per assumere furtivamente il controllo di un sistema compromesso (RootKit) e altre utilità simili. Cioè, programmi così specifici che di solito usano solo gli hacker.
  • Barzellette cattive 11vengono usati i termini Hoax (bugie in inglese, inganno) e Bad-Joke (scherzo in inglese) - programmi che deliberatamente fuorviano l'utente visualizzando notifiche, come la formattazione di un disco o la rilevazione di virus, quando in realtà non accade nulla. Il testo di tali messaggi riflette pienamente e completamente l'immaginazione dell'autore.
Condividere
Condividere
Tweet
Piace
Piace

Leggi anche

LA CAMPANA

C'è chi ha letto questa notizia prima di te.
Iscriviti per ricevere gli ultimi articoli.
E-mail
Nome
Cognome
Come vuoi leggere The Bell
Niente spam