Сетевые черви
Почтовые черви (email-worm). Данный класс сетевых червей использует для распространения электронную почту. При этом червь отправляет жертве письмо с прикрепленным телом кода либо в письме присутствует ссылка на ресурс (естественно, зараженный). Для отправки сообщений червями используются следующие способы: прямое подключение к smtp-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов ms outlook; использование функций windows mapi. Для поиска адресов жертв чаще всего используется адресная книга ms outlook, но может использоваться также адресная база wab. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы. Черви, использующие интернет-пейджеры (im-worm). Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих url на файл, расположенный на каком-либо веб- сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями. Черви в irc-каналах (irc-worm). Черви этого класса используют два вида распространения: посылание пользователю url-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием). Черви для файлообменных сетей (p2p-worm). Механизм работы большинства подобных червей достаточно прост: для внедрения в p2p-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению p2p-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера. Существуют более сложные p2p-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию). Прочие сетевые черви (net-worm). Существуют прочие способы заражения удаленных компьютеров — например: копирование червя на сетевые ресурсы; проникновение червя на компьютер через уязвимости в операционных системах и приложениях; проникновение в сетевые ресурсы публичного использования; паразитирование на других вредоносных программах. Используя первый способ, червь ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам. Для проникновения вторым способом червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос), и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение. |
Навигация |
|
В
последнее время сетевые черви, пожалуй, потеряли свою популярность среди
вирусописателей. Да и можно ли вообще активистов данного «движения» назвать
настоящими создателями вирусов? Я думаю, что нет. Большинство этих людей —
школьники или студенты, к которым в руки тем или иным путем попадают
конструкторы троянских программ. А случаи появления по-настоящему достойных
экземпляров червей, которые действительно исправно выполняли бы свои вредоносные
функции, сведены к минимуму. Взять хотя бы бюллетень безопасности Лаборатории
Касперского за первое полугодие 2006 г. (см. рис. 1). Из диаграммы хорошо видно,
какая из групп вредоносного ПО преобладает. Ну да ладно, речь идет о сетевых
червях. Сетевой червь — это вредоносный программный код, распространяющий свои
копии по локальным или/и глобальным сетям с целью проникновения на
компьютер-жертву, запуска своей копии на этом компьютере и дальнейшего
распространения. Для распространения черви используют электронную почту, isq,
p2p- и irc-сети, lan, сети обмена данными между мобильными устройствами.
Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл
и т.д.). Но существуют и черви, которые распространяются в виде сетевых пакетов.
Такие разновидности проникают непосредственно в память компьютера и сразу
начинают действовать резидентно. Для проникновения на компьютер-жертву
используются несколько путей: самостоятельный (пакетные черви), пользовательский
(социальный инжиниринг), а также различные бреши в системах безопасности
операционной системы и приложений. Некоторые черви обладают свойствами других
типов вредоносного программного обеспечения (чаще всего это троянские
программы). Теперь, пожалуй, поподробней на классах сетевых червей: