DZWON

Są tacy, którzy czytają tę wiadomość przed tobą.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu

Uderzającą cechą wirusa jest robak sieciowy. Rodzaje robaków sieciowych i ich ścieżki do komputera. Klasyfikacja zagrożeń na podstawie różnych kryteriów

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Robaki sieciowe (inna nazwa - robaki komputerowe) to programy, które są tworzone z wewnętrznym mechanizmem do rozprzestrzeniania się w lokalnych i globalnych sieciach komputerowych w jakimś celu. Te cele to:

  • penetracja do zdalnych komputerów z częściowym lub całkowitym przejęciem kontroli nad nimi (ukrytą przed użytkownikiem - oczywiście właścicielem tego komputera);
  • uruchomienie kopii na komputerze;
  • dalsza dystrybucja we wszystkich dostępnych sieciach, zarówno lokalnych, jak i globalnych.

Wymieńmy kilka typów sieci, przez które przenoszone są robaki sieciowe. To przede wszystkim poczta elektroniczna, różne komunikatory internetowe, sieci wymiany plików i torrentów, sieci lokalne, sieci wymiany między urządzeniami mobilnymi.

Większość robaków komputerowych rozprzestrzenia się w postaci plików. Są załączane jako załączniki do e-maili i wiadomości, lub na różne sposoby użytkownik jest proszony o kliknięcie określonego łącza, pobranie i uruchomienie na swoim lokalnym komputerze niezwykle potrzebnego i bezpłatnego programu, zdjęcia itp. (Istnieje nieskończenie wiele opcji maskowania wirusów sieciowych). Trzeba powiedzieć, że poczta elektroniczna stała się niemal idealną pożywką dla rozprzestrzeniania się robaków sieciowych. Szybkość ich (robaków sieciowych) rozprzestrzeniających się w Internecie jest często po prostu niesamowita.

Ale są też tak zwane „bezplikowe, pakietowe” wirusy sieciowe, które rozprzestrzeniają się w postaci pakietów sieciowych i penetrują komputer wykorzystując różne luki i luki w systemie operacyjnym lub zainstalowanym oprogramowaniu.

Aby przeniknąć do zdalnego komputera, stosuje się różne metody, począwszy od metod inżynierii społecznej (gdy otrzymasz kuszący list z linkiem lub załączonym plikiem, wzywającym do otwarcia tego załączonego pliku lub skorzystania z określonego łącza) lub, jak już wspomniano powyżej, penetracja z wykorzystaniem luk i tylnych drzwi w używanym oprogramowaniu. Możliwa jest również penetracja z istniejącymi lukami w planowaniu i utrzymaniu sieci lokalnej (przykładem jest każdy całkowicie współużytkowany i niezabezpieczony dysk lokalny).

Oprócz swoich głównych funkcji robaki sieciowe dość często zawierają także funkcje innego złośliwego oprogramowania - wirusów, trojanów itp.

Jak pokazują statystyki laboratoriów antywirusowych, ponad 80% wszystkich problemów związanych z przenikaniem złośliwego oprogramowania (robaków sieciowych, trojanów i wirusów) na lokalne komputery użytkowników wiąże się z podstawowym analfabetyzmem i brakiem niezbędnych umiejętności internetowych wśród tych samych użytkowników.

Wybierzmy się na krótką wycieczkę do historii i dowiedzmy się, skąd i jak powstały. Te złośliwe programy to robaki komputerowe.

Pierwsze eksperymenty z wykorzystaniem pierwszych prototypów robaków komputerowych przeprowadzono w 1978 roku w Centrum Badawczym Xerox w Palo Alto. Prace te zostały zainicjowane przez Johna Schocha i Jona Huppa. Sam termin „robak sieciowy” powstał pod wpływem literatury science fiction (w szczególności są to powieści D. Herrolda „Kiedy Harley miał rok” i D. Brannera „O fali uderzeniowej”).

Prawdopodobnie najbardziej znanym robakiem sieciowym jest tak zwany Morris Worm, który został napisany w 1988 roku przez studenta Cornell University R. Morris Jr. Wirus pojawił się w sieci 2 listopada 1988 roku i szybko rozprzestrzenił się na dużą liczbę komputerów z połączeniem internetowym.

Istnieją różne typy robaków sieciowych. Przede wszystkim należy wspomnieć o robakach rezydujących w pamięci RAM, które znajdują się w pamięci RAM komputera bez wpływu na pliki na dysku twardym. Pozbycie się takich robaków komputerowych jest dość łatwe - wystarczy ponownie uruchomić system operacyjny, a dane w pamięci RAM zostaną zresetowane, a robak zostanie odpowiednio usunięty. Wirusy rezydujące w pamięci RAM składają się z dwóch części: exploita (lub kodu powłoki), za pomocą którego przenikają do komputera, oraz samego ciała robaka.

Istnieją również wirusy, które po udanej penetracji komputera wykonują pewne działania na dyskach lokalnych: przepisują tam kod programu (na przykład modyfikują klucze w rejestrze systemu Windows lub przepisują plik wirusa podczas uruchamiania). Również robak po udanej penetracji komputera może niezależnie pobierać dodatkowe pliki przez sieć (wirusy, trojany, inne robaki sieciowe) i zamienić komputer w wylęgarnię wszelkich infekcji komputerowych.

Trudno jest wykryć i odpowiednio zneutralizować te robaki sieciowe. Pomogą Ci w tym programy antywirusowe ze zaktualizowanymi bazami sygnatur wirusów.

Nazwa parametru Wartość
Temat artykułu: Robaki sieciowe
Kategoria (kategoria tematyczna) Komputery

penetracja zdalnych komputerów;

uruchomienie twojej kopii na zdalnym komputerze;

dalsza dystrybucja na inne komputery w sieci.

Należy zauważyć, że robaki sieciowe do rozprzestrzeniania się wykorzystują różne sieci komputerowe i mobilne: pocztę e-mail, komunikatory, sieci wymiany plików (P2P) i IRC, LAN, sieci wymiany danych między urządzeniami mobilnymi (telefony, komputery kieszonkowe) i itp.

Większość znanych robaków rozprzestrzenia się w postaci plików: załącznik do wiadomości e-mail, odsyłacz do zainfekowanego pliku w dowolnej sieci lub zasobie FTP w wiadomościach ICQ i IRC, plik w katalogu wymiany P2P itp.

Niektóre robaki (tak zwane „robaki bezplikowe” lub „robaki pakietowe”) rozprzestrzeniają się jako pakiety sieciowe, przenikają bezpośrednio do pamięci komputera i aktywują swój kod.

Aby przeniknąć zdalne komputery i uruchomić swoją kopię, robaki wykorzystują różne metody: socjotechnikę (na przykład tekst wiadomości e-mail, która wzywa do otwarcia załączonego pliku), błędy w konfiguracji sieci (na przykład kopiowanie na dysk otwarty dla pełnego dostępu), błędy w usługi bezpieczeństwa systemów operacyjnych i aplikacji.

Niektóre robaki mają również właściwości innych typów złośliwego oprogramowania. Na przykład, niektóre robaki zawierają konie trojańskie lub mogą infekować pliki wykonywalne na dysku lokalnym, to znaczy mają właściwości programu trojańskiego i / lub wirusa komputerowego.

Klasyfikacja robaków sieciowych

Główną cechą wyróżniającą typy robaków jest sposób rozprzestrzeniania się robaka - sposób, w jaki przekazuje swoją kopię na zdalne komputery. Inne oznaki, że robaki różnią się od siebie, to sposób, w jaki uruchamiają kopię robaka na zainfekowanym komputerze, sposób wprowadzania go do systemu, a także polimorfizm, ukrywanie się i inne cechy charakterystyczne dla innych typów złośliwego oprogramowania (wirusów i trojanów).

Email-Worm - robaki pocztowe

Ta kategoria robaków obejmuje te, które rozprzestrzeniają się za pomocą poczty elektronicznej. W takim przypadku robak wysyła swoją kopię jako załącznik do wiadomości e-mail lub odsyłacz do swojego pliku znajdującego się w zasobie sieciowym (na przykład adres URL do zainfekowanego pliku znajdującego się na zhakowanej lub hakerskiej witrynie).

W pierwszym przypadku kod robaka jest aktywowany po otwarciu (uruchomieniu) zainfekowanego załącznika, w drugim - po otwarciu odsyłacza do zainfekowanego pliku. W obu przypadkach efekt jest taki sam - aktywowany jest kod robaka. Robaki pocztowe używają różnych metod do wysyłania zainfekowanych wiadomości. Najczęstsze to:

‣‣‣ Bezpośrednie połączenie z serwerem SMTP przy użyciu biblioteki pocztowej wbudowanej w kod robaka;

‣‣‣ korzystanie z usług MS Outlook;

‣‣‣ wykorzystanie funkcji MAPI.

Robaki pocztowe wykorzystują różne metody wyszukiwania adresów e-mail, na które będą wysyłane zainfekowane wiadomości. Robaki pocztowe:

‣‣‣ wysyłają się na wszystkie adresy znalezione w książce adresowej MS Outlook;

· Odczytuje adresy z bazy adresów WAB;

‣‣‣ przeskanuj „odpowiednie” pliki na dysku i zaznacz w nich wiersze będące adresami e-mail;

· Wysyłają się na wszystkie adresy znalezione w wiadomościach w skrzynce pocztowej (podczas gdy niektóre robaki pocztowe „odpowiadają” na wiadomości znalezione w skrzynce pocztowej).

Wiele robaków używa kilku z tych metod jednocześnie. Istnieją również inne sposoby znajdowania adresów e-mail.

Robak komunikatorów internetowych - robaki korzystające z komunikatorów internetowych

Znane robaki komputerowe tego typu wykorzystują jedyną metodę rozprzestrzeniania się - wysyłanie wiadomości do wykrytych kontaktów (z listy kontaktów wiadomości zawierających adresy URL do pliku znajdującego się na serwerze. Technika ta prawie w całości powtarza podobną metodę dystrybucji wykorzystywaną przez robaki pocztowe).

IRC-Worm - robaki w kanałach IRC Οʜᴎ, podobnie jak robaki pocztowe, mają dwie metody rozprzestrzeniania robaka przez kanały IRC, powtarzając metody opisane powyżej. Pierwszym jest wysłanie linku URL do kopii robaka. Drugim sposobem jest wysłanie zainfekowanego pliku do dowolnego użytkownika sieciowego. W takim przypadku zaatakowany użytkownik musi potwierdzić otrzymanie pliku, a następnie zapisać go na dysku i otworzyć (uruchomić do wykonania).

Robak sieciowy- inne robaki sieciowe

Istnieją inne sposoby infekowania komputerów zdalnych, na przykład:

kopiowanie robaka do zasobów sieciowych;

przenikanie robaka do komputera przez luki w systemie operacyjnym i aplikacjach;

penetracja zasobów sieci publicznej;

Pierwsza metoda polega zasadniczo na tym, że robak wyszukuje zdalne komputery i kopiuje się do katalogów otwartych do odczytu i zapisu (jeśli istnieją).

W tym przypadku robaki tego typu albo przeszukują dostępne katalogi sieciowe, korzystając z funkcji systemu operacyjnego, i / lub losowo wyszukują komputery w sieci globalnej, łączą się z nimi i próbują otworzyć swoje dyski, aby uzyskać pełny dostęp.

Aby przeniknąć drugą metodą, robaki szukają w sieci komputerów korzystających z oprogramowania zawierającego krytyczne luki. Aby zainfekować podatne komputery, robak wysyła specjalnie zaprojektowany pakiet sieciowy lub żądanie (exploit dla luki), dzięki czemu kod robaka (lub jego część) przenika do komputera ofiary. Jeśli pakiet sieciowy zawiera tylko część kodu robaka, pobiera on plik główny i uruchamia go w celu wykonania.

Osobną kategorią są robaki, które do swojej dystrybucji wykorzystują serwery WWW i FTP. Infekcja przebiega dwuetapowo. Po pierwsze, robak przenika do komputera serwera iw razie potrzeby modyfikuje pliki usług serwera (na przykład statyczne strony internetowe). Następnie robak czeka na odwiedzających, którzy zażądają informacji z zainfekowanego serwera (na przykład otworzą zainfekowaną stronę internetową) i w ten sposób przenikną do komputerów w sieci.

Należy zauważyć, że wiele robaków komputerowych wykorzystuje więcej niż jedną metodę do rozprzestrzeniania swoich kopii w sieci, wykorzystując dwie lub więcej metod atakowania komputerów zdalnych.

P2P-Worm - robaki do sieci wymiany plików

Mechanizm działania większości z tych robaków jest dość prosty - aby robak przeniknął do sieci P2P, wystarczy skopiować się do katalogu wymiany plików, który zwykle znajduje się na lokalnej maszynie. Sieć P2P przejmuje resztę pracy związanej z rozprzestrzenianiem wirusa - podczas wyszukiwania plików w sieci poinformuje zdalnych użytkowników o tym pliku i zapewni całą niezbędną usługę do pobrania pliku z zainfekowanego komputera.

Istnieją bardziej wyrafinowane robaki P2P, które naśladują protokół sieciowy określonego systemu udostępniania plików i pozytywnie reagują na zapytania wyszukiwania, a robak oferuje swoją kopię do pobrania.

Robaki sieciowe - pojęcie i rodzaje. Klasyfikacja i cechy kategorii „Robaki sieciowe” 2017, 2018.

Celem tego typu trojana jest informowanie hosta o zainfekowanym komputerze. W tym przypadku na adres hosta przesyłane są informacje o komputerze, na przykład adres IP komputera, numer portu, adres e-mail itp. Wysyłanie odbywa się na różne sposoby: e-mailem, specjalnie zaprojektowanym adresowaniem strony internetowej hosta, Wiadomość ICQ.

Trojany te są wykorzystywane w wieloskładnikowych zestawach trojanów do powiadamiania ich „właścicieli” o pomyślnej instalacji komponentów trojana w zaatakowanym systemie.

  • Robaki sieciowe

Główną cechą wyróżniającą typy robaków jest sposób rozprzestrzeniania się robaka - sposób, w jaki przekazuje swoją kopię na zdalne komputery. Inne oznaki różnicy między robakami to metody uruchamiania kopii robaka na zainfekowanym komputerze, metody wprowadzania do systemu, a także polimorfizm, ukrywanie się i inne cechy charakterystyczne dla innych typów złośliwego oprogramowania (wirusów i trojanów).

Email-Worm - robaki pocztowe

Ta kategoria robaków obejmuje te, które rozprzestrzeniają się za pomocą poczty elektronicznej. W tym przypadku robak wysyła kopię samego siebie jako załącznik do wiadomości e-mail lub odsyłacz do swojego pliku znajdującego się w jakimś zasobie sieciowym (na przykład adres URL do zainfekowanego pliku znajdującego się na zhakowanej lub hackerskiej witrynie). W pierwszym przypadku kod robaka jest aktywowany po otwarciu (uruchomieniu) zainfekowanego załącznika, w drugim - po otwarciu odsyłacza do zainfekowanego pliku. W obu przypadkach efekt jest taki sam - aktywowany jest kod robaka.

Robaki pocztowe używają różnych metod do wysyłania zainfekowanych wiadomości. Najczęstsze to:

    bezpośrednie połączenie z serwerem SMTP przy użyciu biblioteki pocztowej wbudowanej w kod robaka;

    korzystanie z usług MS Outlook;

    przy użyciu funkcji Windows MAPI.

Robaki pocztowe wykorzystują różne metody wyszukiwania adresów e-mail, na które będą wysyłane zainfekowane wiadomości. Robaki pocztowe:

    wysyłają się na wszystkie adresy znalezione w książce adresowej MS Outlook;

    odczytuje adresy z bazy adresów WAB;

    przeskanuj „odpowiednie” pliki na dysku i zaznacz w nich linie, które są adresami e-mail;

    wysyłają się na wszystkie adresy znalezione w listach w skrzynce pocztowej (podczas gdy niektóre robaki pocztowe „odpowiadają” na wiadomości znalezione w skrzynce pocztowej).

Wiele robaków używa kilku z tych metod jednocześnie. Istnieją również inne sposoby znajdowania adresów e-mail.

Im-Worm - robaki korzystające z komunikatorów internetowych

Znane robaki komputerowe tego typu wykorzystują jedyną metodę rozprzestrzeniania się - wysyłają do wykrytych kontaktów (z listy kontaktów) wiadomości zawierające adres URL do pliku znajdującego się na serwerze WWW. Ta technika prawie całkowicie powtarza podobną metodę dystrybucji używaną przez robaki pocztowe.

Irc-Worm - robaki w kanałach IRC

Ten typ robaka, podobnie jak robaki pocztowe, ma dwie metody rozprzestrzeniania go przez kanały IRC, powtarzając metody opisane powyżej. Pierwszym jest wysłanie linku URL do kopii robaka. Drugim sposobem jest wysłanie zainfekowanego pliku do dowolnego użytkownika sieciowego. W takim przypadku zaatakowany użytkownik musi potwierdzić otrzymanie pliku, a następnie zapisać go na dysku i otworzyć (uruchomić do wykonania).

Wirusy sieciowe Globalne lub lokalne sieci komputerowe są używane jako siedliska. Nie zapisują swojego kodu na dysku twardym komputera, ale wnikają bezpośrednio do pamięci RAM komputera. Wirusy tego typu nazywane są robakami sieciowymi ze względu na ich zdolność do obliczania adresów sieciowych innych komputerów znajdujących się w pamięci komputera i samodzielnego wysyłania swoich kopii na te adresy. Taki wirus może znajdować się w pamięci kilku komputerów jednocześnie. Wirusy sieciowe są trudniejsze do wykrycia niż wirusy plikowe. Wirusy sieciowe rozprzestrzeniają się z dużą prędkością i mogą znacznie spowolnić działanie sprzętu sieciowego.

Robak (robak sieciowy) - rodzaj złośliwego oprogramowania, które rozprzestrzenia się kanałami sieciowymi, zdolnymi do autonomicznego pokonywania systemów ochrony sieci automatycznych i komputerowych, a także do tworzenia i dalszego rozpowszechniania swoich kopii, które nie zawsze pokrywają się z oryginałem, oraz do innych szkodliwych skutków.

Podobnie jak w przypadku wirusów, cykl życia robaków można podzielić na określone etapy:

  1. Przenikanie do systemu.
  2. Aktywacja.
  3. Wyszukaj „ofiary”.
  4. Przygotowywanie kopii.
  5. Dystrybucja kopii.

Etapy 1 i 5 są generalnie symetryczne i charakteryzują się przede wszystkim stosowanymi protokołami i aplikacjami.

Etap 4 - przygotowanie kopii - praktycznie nie różni się od analogicznego etapu w procesie replikacji wirusa. To, co zostało powiedziane na temat przygotowywania kopii wirusów bez zmian, dotyczy również robaków.

Na etapie penetracji systemu robaki są podzielone głównie ze względu na typy stosowanych protokołów:

  • Robaki sieciowe- robaki, które do rozprzestrzeniania się wykorzystują Internet i sieci lokalne. Zwykle ten typ robaka rozprzestrzenia się poprzez niewłaściwą obsługę podstawowych pakietów tcp / ip przez niektóre aplikacje.
  • Robaki pocztowe - robaki rozprzestrzeniające się w formie wiadomości e-mail.
  • Robaki IRC - robaki rozprzestrzeniające się za pośrednictwem kanałów IRC (Internet Relay Chat).
  • Robaki P2P - robaki rozprzestrzeniające się za pomocą sieci wymiany plików peer-to-peer.
  • Robaki komunikatorów internetowych - robaki, które rozprzestrzeniają się za pomocą komunikatorów internetowych (komunikatory, komunikatory internetowe - ICQ, MSN Messenger, AIM itp.)

Przykłady. Klasyczne robaki sieciowe należą do rodziny robaków Net-Worm.Win32.Sasser. Robaki te wykorzystują lukę w usłudze Microsoft Windows LSASS. Podczas rozmnażania robak uruchamia usługę FTP na porcie TCP 5554, następnie wybiera adres IP do ataku i wysyła żądanie na porcie 445 na ten adres, sprawdzając, czy usługa LSASS jest uruchomiona. Jeśli zaatakowany komputer odpowie na żądanie, robak wysyła exploita na lukę w usłudze LSASS na ten sam port, w wyniku czego pomyślnie uruchamia powłokę poleceń na porcie TCP 9996 na zdalnym komputerze. Poprzez tę powłokę robak zdalnie pobiera kopię robaka przez FTP z uruchomionego przed serwerem i uruchomi się zdalnie, kończąc proces penetracji i aktywacji.

Email-Worm.Win32.Zafi.d można uznać za przykład robaka pocztowego. Zainfekowana wiadomość zawiera temat i tekst wybrany z określonej listy, której treść to gratulacje z okazji święta (w większości - Wesołych Świąt) oraz zaproszenie do przeczytania kartki z życzeniami w załączniku. Gratulacje mogą być w różnych językach. Nazwa załączonego pliku robaka składa się ze słowa „pocztówka” w języku odpowiadającym powitaniu i dowolnego zestawu znaków. Rozszerzenie pliku robaka jest wybierane losowo z listy: BAT, .COM, .EXE, .PIF, .ZIP. Do wysyłania wiadomości robak wykorzystuje adresy e-mail znalezione na zainfekowanym komputerze. Aby przejąć kontrolę, robak musi zostać uruchomiony przez użytkownika.

IRC-Worm.Win32.Golember.a jest, jak nazwa sugeruje, robakiem IRC. Po uruchomieniu zapisuje się w katalogu Windows pod nazwą trlmsn.exe i dodaje parametr z linią startową dla tego pliku do klucza autostartu rejestru Windows. Ponadto robak zapisuje swoją kopię na dysku jako archiwum Janey2002.zip oraz plik obrazu Janey.jpg. Następnie robak łączy się z dowolnymi kanałami IRC pod różnymi nazwami i zaczyna wysyłać określone ciągi tekstowe, naśladując aktywność zwykłego użytkownika. Jednocześnie zarchiwizowana kopia robaka jest wysyłana do wszystkich użytkowników tych kanałów.

Wiele robaków sieciowych i pocztowych ma funkcję dystrybucji P2P. Na przykład Email-Worm.Win32.Netsky.q wyszukuje na dysku lokalnym katalogi zawierające nazwy najpopularniejszych sieci lub słowo „shared” w celu propagacji przez sieci wymiany plików, a następnie umieszcza swoje kopie w tych katalogach pod różnymi nazwami

Robaki komunikatorów internetowych rzadko wysyłają zainfekowane pliki bezpośrednio między klientami. Zamiast tego wysyłają odsyłacze do zainfekowanych stron internetowych. Tak więc robak IM-Worm.Win32.Kelvir.k wysyła wiadomości za pośrednictwem programu MSN Messenger zawierające tekst „to ty” oraz łącze „http://www.malignancy.us// pictures.php? Email \u003d” na podany adres znajduje się plik robaka.

Obecnie najliczniejszą grupą są robaki pocztowe. Robaki sieciowe są również zjawiskiem godnym uwagi, ale nie tyle ze względu na ilość, ile jakość: epidemie wywoływane przez robaki sieciowe są często bardzo szybkie i mają dużą skalę. Robaki IRC, P2P i IM są dość rzadkie, częściej IRC, P2P i IM służą jako alternatywne kanały dystrybucji robaków pocztowych i sieciowych.

Na etapie aktywacji robaki dzielą się na dwie duże grupy, różniące się zarówno technologią, jak i życiem:

  1. Aktywacja wymaga aktywnego udziału użytkownika.
  2. Do aktywacji nie jest wymagane uczestnictwo użytkownika lub wystarczy tylko uczestnictwo bierne.

Bierny udział użytkownika w drugiej grupie to np. Przeglądanie wiadomości w kliencie pocztowym, w którym użytkownik nie otwiera załączonych plików, ale mimo to okazuje się, że jego komputer jest zainfekowany.

Różnica w tych podejściach jest głębsza, niż mogłoby się wydawać na pierwszy rzut oka. Aktywacja robaka sieciowego bez interwencji użytkownika zawsze oznacza, że \u200b\u200brobak wykorzystuje luki w zabezpieczeniach oprogramowania komputera. Prowadzi to do bardzo szybkiego rozprzestrzeniania się robaka w sieci korporacyjnej z dużą liczbą stacji, znacznie zwiększa obciążenie kanałów komunikacyjnych i może całkowicie sparaliżować sieć. Ta metoda aktywacji była używana przez robaki Lovesan i Sasser. W wyniku epidemii wywołanej przez takiego robaka sieciowego wykorzystywana luka jest uzupełniana przez administratorów lub użytkowników, a wraz ze spadkiem liczby komputerów z otwartą luką epidemia kończy się. Aby powtórzyć epidemię, twórcy wirusów muszą wykorzystać kolejną lukę. W rezultacie epidemie wywołane przez aktywne robaki mają większy wpływ na działanie całej sieci, ale występują znacznie rzadziej niż epidemie pasywnych robaków sieciowych. Terminowe instalowanie poprawek bezpieczeństwa jest obowiązkowym środkiem ochrony przed takimi epidemiami. Należy również zwrócić uwagę, że systemy operacyjne z wbudowanymi funkcjami zdalnego sterowania lub uruchamiania programów są szczególnie narażone na tego typu robaki - jest to rodzina Microsoft Windows NT / 2000 / XP / 2003.

Przykład. Luka LSASS, po raz pierwszy wykorzystana przez robaka MyDoom na początku 2004 roku, była z powodzeniem wykorzystywana po półtora roku. Tak więc Net-Worm.Win32.Mytob.be wykryty w czerwcu 2005 roku nadal wykorzystywał tę lukę jako metodę rozprzestrzeniania, oprócz rozprzestrzeniania za pośrednictwem poczty elektronicznej

Z drugiej strony, aktywne zaangażowanie użytkownika w aktywację robaka oznacza, że \u200b\u200bzostał oszukany przez socjotechnikę. W większości przypadków głównym czynnikiem jest forma zainfekowanej wiadomości: może ona imitować list od znanej osoby (w tym adres e-mail, jeśli znajomy jest już zainfekowany), wiadomość serwisową z systemu pocztowego lub coś podobnego, co jest równie powszechne w strumieniu zwykłej korespondencji. Zamieszany użytkownik po prostu nie odróżnia zwykłego listu od zainfekowanego i uruchamia się automatycznie.

Niemożliwe jest zabezpieczenie się łatami przed takimi robakami. Nawet dodanie sygnatury robaka sieciowego do bazy wirusów nie rozwiązuje całkowicie problemu. Twórcom wirusa wystarczy mieć plik wykonywalny, aby antywirus go nie wykrył i nieznacznie zmienić treść wiadomości, wykorzystując między innymi technologie spam-mailingowe służące do omijania filtrów.

W rezultacie epidemie wywoływane przez pasywne robaki sieciowe mogą być znacznie dłuższe i mogą spowodować powstanie całych rodzin podobnych robaków sieciowych.

Ostatnio obserwuje się tendencję do łączenia obu metod rozprzestrzeniania się u robaków. Wielu członków rodziny Mytob ma problemy z dystrybucją poczty e-mail i podatnością na LSASS.

Metoda wyszukiwania komputera ofiary jest w całości oparta na używanych protokołach i aplikacjach. W szczególności, jeśli mówimy o robaku pocztowym, pliki komputerowe są skanowane pod kątem obecności w nich adresów e-mail, na które w rezultacie wysyłane są kopie robaka.

Podobnie robaki internetowe skanują zakres adresów IP w poszukiwaniu komputerów podatnych na ataki, a robaki P2P umieszczają swoje kopie w katalogach publicznych klientów peer-to-peer. Niektóre robaki potrafią wykorzystywać listy kontaktów pagerów internetowych, takich jak ICQ, AIM, MSN Messenger, Yahoo! Messenger itp.

To, co zostało powiedziane wcześniej o przygotowywaniu kopii do rozprzestrzeniania wirusów, dotyczy również robaków.

Najpopularniejsze wśród robaków są uproszczone implementacje metamorfizmu. Niektóre robaki są w stanie wysyłać swoje kopie listami, zarówno z wstrzyknięciem skryptu prowadzącym do automatycznej aktywacji robaka, jak i bez wstrzyknięcia. Takie zachowanie robaka wynika z dwóch czynników: skryptu automatycznej aktywacji zwiększa prawdopodobieństwo uruchomienia robaka na komputerze użytkownika, ale jednocześnie zmniejsza prawdopodobieństwo ucieczki z filtrów antywirusowych na serwerach pocztowych.

Podobnie robaki mogą zmienić temat i tekst zainfekowanej wiadomości, nazwę, rozszerzenie, a nawet format załączonego pliku - moduł wykonywalny może zostać dołączony w stanie, w jakim jest lub w postaci zarchiwizowanej. Tego wszystkiego nie można uznać za meta- lub polimorfizm, ale robaki z pewnością mają pewną zmienność.

Przykład wirus na moim komputerze: Email-Worm.Win32. Brontok.a.

Wirus robaka, który rozprzestrzenia się w Internecie jako załączniki do zainfekowanych wiadomości e-mail. Jest wysyłany na wszystkie adresy e-mail znalezione na zainfekowanym komputerze.

Robak ma postać pliku PE EXE. Napisane w języku Visual Basic. Rozmiar znanych zainfekowanych plików tej wersji robaka znacznie się różni. Poniżej przedstawiamy funkcjonalność najczęściej spotykanych wariantów tego robaka.

Następnie robak pobiera ścieżkę do katalogu aplikacji systemu Windows dla bieżącego użytkownika (% UserProfile% \\ Ustawienia lokalne \\ Dane aplikacji) i kopiuje swoje ciało do tego katalogu. Robak kopiuje się również do katalogu startowego programów z menu Start pod nazwą Empty.pif:

Robak wysyła swoje kopie z następującymi nazwami w załącznikach do zainfekowanych wiadomości. Wybrany z listy Robak modyfikuje również zawartość pliku autoexec.bat w katalogu głównym dysku C:, dodając do niego wiersz „pause”.

Obecność destrukcyjnych działań nie jest bynajmniej obowiązkowym kryterium klasyfikowania kodu programu jako wirusowego. Należy również zauważyć, że wirus może powodować kolosalne uszkodzenia w samym procesie samorozwoju. Najbardziej uderzającym przykładem jest robak Net-Worm.Win32.Slammer.

Copyright MBOU "Gimnazjum nr 75" Kazań 2014

„Wydaje mi się, że wirusy komputerowe powinny być postrzegane jako forma życia. To wiele mówi o ludzkiej naturze: jedyna forma życia, jaką do tej pory stworzyliśmy, jest tylko destrukcyjna. Tworzymy życie na nasz obraz i podobieństwo ”. Stephen Hawking

Badanie

Cele badań:

określenie poziomu wiedzy nauczycieli i uczniów gimnazjum na temat wirusów biologicznych i komputerowych, sposobów zapobiegania i zwalczania wirusów komputerowych i biologicznych.

Fakty

Jedną z klas złośliwych programów komputerowych są tak zwane bomby zip. Są to pliki archiwów w formacie .zip, których rozmiar po rozpakowaniu zwiększa się wielokrotnie. Na przykład jedna z najbardziej znanych bomb zip o nazwie 42.zip ma tylko 42 KB, podczas gdy wewnątrz archiwum znajduje się 5 warstw zagnieżdżonych archiwów, 16 plików na poziom. Rozmiar każdego pliku na ostatnim poziomie to 4,3 GB, a całe rozpakowane archiwum ma 4,5 petabajtów. Szkodliwym efektem takich archiwów jest przepełnienie zasobów systemowych, gdy antywirusy lub inne programy systemowe próbują je przeskanować, chociaż obecnie wszystkie przyzwoite programy antywirusowe z wyprzedzeniem rozpoznają bomby i nie próbują ich całkowicie otwierać.

Wirus „I Love You” (tak go nazywano) został wymieniony w Księdze Rekordów Guinnessa jako najbardziej niszczycielski wirus komputerowy na świecie. Uderzył w ponad 3 miliony komputerów na świecie, stając się najdroższym w historii.

Według statystyk komputer co trzeciego internauty w krajach rozwiniętych jest atakowany przez wirusy komputerowe przynajmniej raz w roku.

W Izraelu działa zabawny wirus komputerowy, który rzekomo został stworzony dla sprawiedliwości. Znajduje na komputerze filmy, muzykę i zdjęcia nielegalnie pobrane z Internetu i niszczy je. Co ciekawe, gdy użytkownik chce usunąć tego wirusa ze swojego komputera, jest proszony o zapłacenie pieniędzy za tę usługę.

W przeciwieństwie do wirusów robaki to całkowicie niezależne programy. Ich główną cechą jest również zdolność do samodzielnego rozmnażania się, ale jednocześnie są one zdolne do samodzielnego rozmnażania się za pomocą kanałów sieciowych. Aby podkreślić tę właściwość, czasami używa się terminu „robak sieciowy”.

Robak (robak sieciowy) to złośliwy program, który rozprzestrzenia się za pośrednictwem kanałów sieciowych i jest w stanie samodzielnie pokonywać systemy ochrony sieci komputerowych, a także tworzyć i dalej rozpowszechniać swoje kopie, które niekoniecznie pokrywają się z oryginałem.

Cykl życia robaka składa się z następujących etapów:

  1. Przenikanie do systemu
  2. Aktywacja
  3. Szukaj obiektów do zainfekowania
  4. Przygotowywanie kopii
  5. Dystrybucja kopii

W zależności od metody penetracji systemu robaki dzieli się na typy:

  • Robaki sieciowe używać do dystrybucji sieci lokalnych i Internetu
  • Robaki pocztowe - rozpowszechniane za pomocą programów pocztowych
  • Robaki komunikatorów internetowych korzystać z komunikatorów internetowych 2 IM (z angielskiego Instant Messenger - komunikatory) - komunikatory internetowe w czasie rzeczywistym. Wiadomości mogą zawierać tekst, obrazy, pliki dźwiękowe i filmy. Klienci komunikatorów internetowych obejmują programy takie jak ICQ, MSN Messenger, Skype
  • Robaki IRC dystrybuowane na kanałach IRC 3 IRC (z angielskiego Internet Relay Chat) to system przesyłania wiadomości w czasie rzeczywistym. Stworzony w 1988 roku przez fińskiego ucznia Jarkko Oikarinena. Zdecydowanie najpopularniejszym klientem IRC jest mIRC
  • Robaki P2P - korzystanie z sieci wymiany plików peer-to-peer 4 P2P (z angielskiego peer-to-peer - równy równi) - są to sieci komputerowe peer-to-peer (czasami nazywane są również peer-to-peer), czyli takie, w których nie ma serwerów dedykowanych, a wszystkie komputery w nich zawarte działają w dwóch rolach - i jako klient i serwer. Takie sieci są wykorzystywane głównie do organizowania wymiany plików, zwykle muzyki i filmów, a także do rozwiązywania szczególnie złożonych problemów matematycznych, które wymagają dużych zasobów. Najbardziej znane sieci peer-to-peer to eDonkey i Gnutella

Po infiltracji komputera robak powinien zostać aktywowany - innymi słowy, uruchomić. Zgodnie z metodą aktywacji wszystkie robaki można podzielić na dwie duże grupy - te, które wymagają aktywnego udziału użytkownika, i te, które tego nie wymagają. W praktyce oznacza to, że istnieją robaki, które wymagają od właściciela komputera zwrócenia na nie uwagi i uruchomienia zainfekowanego pliku, ale są też takie, które robią to samodzielnie, np. Wykorzystując błędy w konfiguracji czy luki w zabezpieczeniach w systemie operacyjnym. Charakterystyczną cechą pierwszej grupy robaków jest stosowanie zwodniczych metod. Objawia się to na przykład wtedy, gdy odbiorca zainfekowanego pliku zostaje wprowadzony w błąd przez treść wiadomości i dobrowolnie otwiera załącznik z robakiem pocztowym, aktywując go w ten sposób. Ostatnio pojawiła się tendencja do łączenia tych dwóch technologii - takie robaki są najgroźniejsze i często powodują globalne epidemie.

Robaki sieciowe mogą współpracować z wirusami - taka para jest w stanie samodzielnie rozprzestrzeniać się po sieci (dzięki robakowi) i jednocześnie infekować zasoby komputera (funkcje wirusów).

Trojany

W przeciwieństwie do wirusów i robaków, trojany lub konie trojańskie nie muszą się replikować. Są to programy napisane tylko w jednym celu - aby zaszkodzić komputerowi docelowemu poprzez wykonanie nieautoryzowanych działań przez użytkownika: kradzież, zniszczenie lub usunięcie poufnych danych, zakłócenie działania komputera lub wykorzystanie jego zasobów do niewłaściwych celów.

trojański (Koń trojański) - program, którego głównym celem jest atakowanie systemu komputerowego.

Niektóre trojany potrafią samodzielnie pokonywać systemy bezpieczeństwa systemu komputerowego w celu penetracji. Jednak w większości przypadków przenikają one do komputerów razem z wirusem lub robakiem - to znaczy takie trojany mogą być postrzegane jako dodatkowe szkodliwe ładunki, ale nie jako niezależny program. Nierzadko użytkownicy sami pobierają trojany z Internetu.

W konsekwencji cykl życia trojanów składa się tylko z trzech etapów:

  1. Przenikanie do systemu
  2. Aktywacja
  3. Wykonywanie złośliwych działań

Jak wspomniano powyżej, trojany mogą przedostawać się do systemu na dwa sposoby - niezależnie oraz we współpracy z wirusem lub robakiem sieciowym. W pierwszym przypadku przebranie jest zwykle używane, gdy trojan udaje użyteczną aplikację, którą użytkownik kopiuje na dysk (na przykład pobiera z Internetu) i uruchamia. W tym samym czasie program może być naprawdę przydatny, ale oprócz podstawowych funkcji może wykonywać działania typowe dla trojana.

Po przeniknięciu do komputera trojan wymaga aktywacji i tutaj wygląda jak robak - albo wymaga aktywnych działań ze strony użytkownika, albo poprzez luki w oprogramowaniu, które sam infekuje system.

Ponieważ głównym celem pisania trojanów jest wykonywanie nieautoryzowanych działań, są one klasyfikowane według typu złośliwego ładunku:

  • Keyloggerybędąc stale w pamięci RAM, rejestrują wszystkie dane pochodzące z klawiatury w celu ich późniejszego przekazania ich autorowi.
  • Złodzieje haseł są zaprojektowane do kradzieży haseł poprzez przeszukiwanie zainfekowanego komputera w poszukiwaniu specjalnych plików, które je zawierają.
  • Ukryte narzędzia zdalnego sterowania to trojany zapewniające nieautoryzowaną zdalną kontrolę nad zainfekowanym komputerem. Lista działań, jakie może wykonać dany trojan, jest określona przez jego funkcjonalność określoną przez autora. Zwykle jest to możliwość potajemnego pobierania, wysyłania, uruchamiania lub niszczenia plików. Takie trojany mogą być wykorzystywane zarówno do uzyskiwania poufnych informacji, jak i do uruchamiania wirusów i niszczenia danych.
  • Anonimowe serwery SMTP 5Do przesyłania wiadomości e-mail w sieciach takich jak Internet używany jest specjalny protokół zwany SMTP (Simple Mail Transfer Protocol). W związku z tym serwer poczty, który odbiera i wysyła pocztę przy użyciu tego protokołu, nazywany jest serwerem SMTP. i serwery proxy 6Serwer proxy (od angielskiego proxy - zastępcy, upoważniony) to serwer pośredniczący, którego zadania obejmują przetwarzanie żądań przychodzących z jego sieci w celu uzyskania informacji znajdujących się poza nią - takie trojany na zainfekowanym komputerze organizują nieautoryzowane wysyłanie wiadomości e-mail, która jest często wykorzystywana do wysyłania spamu.
  • Narzędzia dialera w trybie ukrytym przed użytkownikiem inicjują połączenie z płatnymi usługami internetowymi.
  • Modyfikatory preferencji przeglądarki zmienić stronę startową w przeglądarce, stronę wyszukiwania lub dowolne inne ustawienia, otwierać dodatkowe okna, symulować kliknięcia w banery reklamowe itp.
  • Bomby logiczne charakteryzują się możliwością wykonania akcji, na przykład usunięcia plików, w momencie zadziałania określonych w nich warunków (określonego dnia, pory dnia, określonego działania użytkownika lub polecenia z zewnątrz).

Osobno zauważamy, że istnieją programy z klasy Trojan, które szkodzą innym, zdalnym komputerom i sieciom, nie zakłócając jednocześnie działania zainfekowanego komputera. Wybitni przedstawiciele tej grupy są organizatorami ataków DDoS.

Inne złośliwe oprogramowanie

Oprócz wirusów, robaków i trojanów istnieje wiele innych złośliwych programów, dla których nie można podać ogólnego kryterium. Można jednak wyróżnić wśród nich małe grupy. To przede wszystkim:

  • Programy warunkowo niebezpieczneczyli takich, o których nie sposób jednoznacznie powiedzieć, że są szkodliwe. Takie programy zwykle stają się niebezpieczne tylko w określonych warunkach lub działaniach użytkownika. Obejmują one:
    • Riskware 7Riskware (skrót od Risk Software) - niebezpieczne oprogramowanie - całkowicie legalne programy, które same w sobie nie są niebezpieczne, ale mają funkcjonalność umożliwiającą atakującemu wykorzystanie ich do złośliwych celów. Oprogramowanie ryzyka obejmuje popularne narzędzia do zdalnego zarządzania, które są często używane przez administratorów dużych sieci, klientów IRC, programy do pobierania plików z Internetu, narzędzia do odzyskiwania zapomnianych haseł i inne.
    • Narzędzia reklamowe (oprogramowanie reklamowe) 8 Adware (skrót od English Advertisement Software) - oprogramowanie reklamowe - programy shareware, które wyświetlają użytkownikowi reklamy jako zapłatę za ich użytkowanie, najczęściej w postaci graficznych banerów. Po oficjalnej płatności i rejestracji reklamy zwykle się kończą, a programy zaczynają normalnie działać. Problem z adware polega na mechanizmach używanych do pobierania reklam na komputer. Oprócz tego, że programy innych firm są często używane do tych celów i nie zawsze są weryfikowane przez producentów, nawet po rejestracji takie moduły mogą nie zostać automatycznie usunięte i nadal działać w trybie ukrytym. Istnieje jednak kilka godnych zaufania programów typu adware - na przykład klient ICQ.
    • Pornware 9Pornware (skrót od angielskiego Porno Software) - oprogramowanie pornograficzne - ta klasa obejmuje narzędzia, które są w jakiś sposób związane z pokazywaniem użytkownikom informacji o charakterze pornograficznym. Dziś są to programy, które niezależnie łączą się z pornograficznymi usługami telefonicznymi, pobierają materiały pornograficzne z Internetu lub narzędzia oferujące usługi wyszukiwania i wyświetlania takich informacji. Należy pamiętać, że tylko te narzędzia klasy pornware, które są instalowane na komputerze użytkownika nieautoryzowane - poprzez lukę w systemie operacyjnym lub przeglądarce albo przy użyciu trojanów - są klasyfikowane jako złośliwe programy. Ma to zwykle na celu wymuszenie wyświetlania reklam płatnych witryn lub usług pornograficznych.
  • Haker 10Hakerzy (z angielskiego slangu. Hack - hack, shred) to zazwyczaj ludzie, którzy potrafią przeniknąć do cudzej sieci komputerowej w celu kradzieży ważnych informacji lub zasobów systemu. Jednak początkowo, u zarania ery komputerów, termin ten został ukuty w odniesieniu do geniuszy komputerowych, którzy mogli na przykład przepisać system operacyjny lub ominąć zapomniane przez wszystkich hasło administratora. narzędzia - Ten typ programu obejmuje programy do ukrywania kodu zainfekowanych plików przed skanowaniem antywirusowym (programy szyfrujące pliki), automatyzujące tworzenie robaków sieciowych, wirusów komputerowych i trojanów (konstruktorów wirusów), zestawy programów, których hakerzy używają do potajemnego przejęcia kontroli nad zaatakowanym systemem (RootKit) i inne podobne narzędzia. Oznacza to, że takie konkretne programy, z których zwykle korzystają tylko hakerzy.
  • Złe żarty 11używane są terminy Hoax (angielskie kłamstwo, oszustwo) i Bad-Joke (angielski zły żart) - programy, które celowo wprowadzają użytkownika w błąd, wyświetlając powiadomienia, takie jak formatowanie dysku lub wykrywanie wirusów, podczas gdy w rzeczywistości nic się nie dzieje. Tekst takich wiadomości w pełni i całkowicie oddaje wyobraźnię autora.
Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Przeczytaj także

DZWON

Są tacy, którzy czytają tę wiadomość przed tobą.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Imię
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu