Все типы вируса worm

Типы червей различаются по следующим признакам: по способу распространения червя - то как он передает всою копию на удаленные компьютеры, по способу запуска копии червя на заражаемом компьютере, по методу внедрения в систему, кроме того по таким характеристикам как полифоризм, "стелс" и прочие типы вредоносного программного обеспечения (вирусы, троянские программы).

О почтовых червях - Email-Worm

Эта категория червей характеризуется тем, что для своего распространения они используют электронную почту. Червь действует следующим образом: он отсылает свою копию в виде вложения в электронное письмо или присылает ссылку на свой файл, расположенный на одном из сетевых ресурсов, например URL на зараженный файл, находящийся на взломанном или хакерском веб-сайте. В итоге, при открытии зараженнго вложения или ссылки на зараженный файл, активизируется код червя.

  • использование сервисов MS Outlook;
  • через функции Windows MAPI;
  • через прямое подключение к SMTP-серверу, при использовании встроенной в код червя почтовой библиотеки.
  • могут разослать себя по всем адресам, найденным в адресной книге MS Outlook и по адресам, которые обнаружат в почтовом ящике, а некоторые почтовые черви смогут даже "ответить" на обнаруженные в ящике письма;
  • они сканируют доступные им файлы на диске и выделяют в них строки, которые идентифицируются как ареса электронной почты.

В основном черви используют сразу несколько из вышеизложенных методов. Существуют и другие методы по поиску "электронных" адресов.

Черви этого типа используют единственный способ своего распространения, они рассылают себя на обнаруженные контакты сообщений в контакт-листе, эти контакты содержат URL на файл, распологающийся на одном из веб-серверов. Этот прием почти один в один копирут такойже способ рассылки, используемый почтовыми червями.

Как и почтовые черви, этот тип червей имеет два способа распространения по IRC-каналам.

Первый способ: отсылка URL-ссылки на копию червя.

Второй способ: отсылка зараженного файла несчастному пользователю. Атакуемый пользователь, в свое время, должен подтвердит принятие этого файла, после чего сохранить его на диск и открыть (запустить).

Приведем пример прочих способов заражения удаленных компьютеров. Здесь может быть копирование червя на сетевые ресурсы, его проникновение на компьютер через уязвимые моменты в операционных системах и приложениях, а также проникновение в сетевые ресурсы публичного использования. Кроме перечисленного они могут паразитировать на других вредоносных программах.

Для первого способо характерно то, что червь пытается найти удаленные компьютеры, отыскав, копирует себя в катологи, которые открыты на чтение и запись, в случае наличия таковых. Черви этого типа могут просто перебирать доступные сетевые катологи, используя функции операционной системы. Или такие черви будут случайным орбразом искать компьютеры в глобальной сети и, подключаясь к компьютерам, осуществлять попытки открыть их диски на полный доступ.

Второй способ возможен при наличии критических уязвимостей в программном обеспечении компьютера. Данные черви ищут такие компьютеры и посылают специально оформленный сетевой пакет или запрос (эксплойт уязвимости), таким образом код червя проникает на компьютер. При содержании в сетевом пакете только части кода червя, основной файл скачивается им после проникновения и запускается на исполнение.

К отдельной категории относятся черви, которые используют для своего распространения веб- и FTP- сервера. Процесс заражения можно разделить на два этапа: на первой стадии червь проникает в компьютерный сервер и определенным образом модифицирует служебные файлы сервера (как пример можно прривести статистические веб-странички). После этого он находится в ожидании посетителей, которые захотят запросить информацию с данного зараженного сервера, и так проникают на другие компьютеры в сети.

Есть также категория сетевых червей, которые паразитируют на других червях или троянских программах удаленного администрирования (бэкдорах) или на том и другом одновременно. Они используют то, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. На том же могут "реализаваться" черви, которые содержат бэкдор-процедуры. Такие черви ищут для заражения другие компьютеры в сети и посылают затем команду скачивания и запуска своей копии на эти компьютеры. В случае, когда аттакованный компьютер уже заражен "нужной" троянской программой, червь проникает в него и активизирует свою копию.

В основном компьютерные черви используют более одного способа, чтобы распространить свои копии по сетям (могут обладать двуми и более методами атаки удаленных компьютеров).

Такой червь, для внедрения в P2P-сеть, копирует себя в каталог обмена файлами, расположенный как правило на локальной машине. Все остальное, в некотором смысле, будет происходить само, так как Р2Р- сеть возьмет на себя работу по распространению вируса - осуществляя поиск в сети она сообщит удаленным пользователям об этом файле, и обеспечит всем необходимым для скачивания файла с зараженного компьютера.

Есть и более сложные P2P-черви, способные имитировать сетевой протокол реально существующей файлообменной системы и отвечать положительно на поисковые запросы, в этом случае черьвь предлагает для скачивания свою копию.

Центр компьютерных технологий является лидирующей фирмой по реализации лицензионного программного обеспечения от ведущих производителей. Позвоните нам по телефонам, указанным ниже, или напишите нам на почту
info @ center-soft.ru. Наши специалисты с удовольствием проконсультируют Вас по всем интересующим вопросам.

Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для размножения сетевые протоколы и устройства.

Задача вредоносного объекта такого рода состоит в том, чтобы попасть на компьютер, активироваться и отправить копии самого себя на машины других пользователей. По форме существования сетевые черви бывают обычными и пакетными. Обычные, проникая в систему через флеш-накопитель или интернет, воспроизводят себя в большом количестве, а затем рассылают эти дубли по электронным адресам, найденным на компьютере, или распределяют их по папкам общего доступа в локальной сети. Пакетные (или бесфайловые) черви существуют в виде особого сетевого пакета; внедрившись в устройство, они стремятся проникнуть в его оперативную память с целью сбора персональных данных и другой ценной информации.

Классификация и способы распространения

Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.

К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.

  • Репликация через сеть. Червь находит удаленные ПК и воспроизводит себя в разных каталогах, где можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможны попытки открыть общий сетевой доступ к дискам зараженного компьютера.
  • Репликация через уязвимости операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО и отправляют запрос либо сетевой пакет для эксплуатации изъянов, обеспечивая попадание произвольного кода в машину жертвы.
  • Репликация через ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их загрузит и запустит уже на своем компьютере.
  • Паразитирование на других вредоносных программах. Например, червь находит ПК, который уже заражен бекдором, и использует этот хакерский инструмент для собственного распространения.

Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:

  • Почтовые черви (Email-Worm) — рассылаются по сети в виде приложений к сообщениям электронной почты. Это может быть копия самого червя или ссылка на файл, размещенный на вредоносном веб-ресурсе. Для активации полученного кода нужно открыть полученный файл или нажать на ссылку для перехода; впрочем, в истории киберпреступности известны и случаи, когда достаточно было просто открыть полученное письмо. Адреса, куда будут отправлены копии червя, берутся из адресной книги почтового клиента, из базы WAB и прочих файлов, имеющихся на диске.
  • IM-черви (IM-Worm) — вредоносные объекты, которые пользуются службами мгновенного обмена сообщениями. Они во многом похожи на почтовых червей, отличаясь главным образом тем, что рассылают файлы или ссылки по списку контактов в мессенджере, а не по базе почтовых адресов.
  • IRC-черви (IRC-Worm) — разновидность червей, распространяющаяся по чат-каналам.
  • Черви для файлообменных сетей (Р2Р-Worm) — вредоносные программы, которые распространяются через торрент-трекеры и другие подобные сервисы. Копия червя внедряется в каталог обмена файлами, находящийся на локальном устройстве, под видом популярного контента.
  • Сетевые черви (Network Worm или Net-Worm) — общее название для объектов, проникающих в систему через локальную сеть.

Объект воздействия

Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:

  • замедленная работа компьютера,
  • уменьшение места на жестком диске и объема свободной оперативной памяти,
  • возникновение посторонних файлов,
  • проблемы с работой какой-либо программы или приложения,
  • появление ошибок, внезапное выключение машины, самопроизвольная перезагрузка,
  • потеря данных.

Источник угрозы

Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.

Анализ риска

Как отмечено выше, червь может быть относительно безобиден, лишь создавая дополнительную нагрузку на компьютер и сеть. Тем не менее, многие черви имеют и по-настоящему вредоносные функции вроде уничтожения данных или отключения систем безопасности.

Для защиты от сетевых червей необходимо использовать:

  • антивирусные программы,
  • межсетевые экраны,
  • антиспам-решения;
  • обновленные и современные операционные системы.

Компьютерный вирус — вредоносная программа, главной задачей которой может быть повреждение системы, на которой она установлена, перехват информации с компьютера и саморепликация — способность к размножению.

Классификация вирусов

Так как единой классификации вирусного ПО на данный момент не существует, их классифицируют условно по определенным критериям:

  • Руткит (англ. rootkit) — вирус, предназначенный для сокрытия присутствия других вредоносных программ.
  • Стелс-вирус (от англ. stealth virus — вирус-невидимка) — частично или полностью скрывающий свое присутствие в системе, таким образом затрудняя обнаружение антивирусной программой.
  • Полиморфный вирус – вредоносная программа, с постоянно изменяющимся программным кодом.
  • Microsoft Windows.
  • Unix.
  • Linux.
  • DOS.
  • Мобильные ОС.
  • Загрузочный вирус — выполняет заражение Главной загрузочной записи (Master Boot Record, MBR) жесткого диска. Активируется вирус при загрузке (перезагрузке) операционной системы
  • Скриптовый вирус — с помощью языков программирования добавляет себя к новым скриптам
  • Файловый вирус — так называемый вирус-паразит, который при самокопировании изменяет содержимое исполняемых файлов
  • Макровирус — вирус, использующий возможности макроязыков (чаще всего встраиваются в прикладные пакеты MS Word).
  • Вирус, поражающий исходный код.
  • Скриптовый язык.
  • Ассемблер.
  • Высокоуровневый язык.
  • Другие языки программирования.
  • Кейлоггер (от англ. key — клавиша и logger — регистрирующее устройство) — программа, выполняющая перехват и последующую отправку информации о набираемом на клавиатуре тексте.
  • Шпион — вирус, собирающий данные о системе, активности программ на компьютере, посещенных сайтах и т.д.
  • Бэкдор (от англ. back door — черный ход) — вирус, который после первичного доступа инсталлирует на компьютере взломщик для дальнейших подключений к системе.
  • Ботнет (англ. botnet — от robot и network) — сеть компьютеров с запущенным автономным программным обеспечением — ботами. Задачей бота является подбор паролей, выполнение DDoS-атак и рассылка спама за счет ресурсов зараженного компьютера.
  • Прочие разновидности.

Типы вирусов

В зависимости от способа заражения, функционала и целей, преследуемых злоумышленниками, вирусы можно разделить на следующие виды:

  • Червь (Worm) — программа, которая самостоятельно создает копии самой себя, при этом не поражая другие приложения.
  • Дроппер (Dropper) — исполняемый файл, который сам по себе вирусом не является, но устанавливает зловредное ПО в системе.
  • Троян — вредоносная программа, проникающая в систему под видом безопасного приложения.
  • Анти-антивирусный вирус (Anti-antivirus virus) — целью программы является нарушение работы антивирусного ПО, установленного на зараженном компьютере.
  • Стелс-вирус (Stealth virus) — программа, частично или полностью маскирующаяся в системе с помощью специальных действий, например, перехвата обращений к ОС, направленных на получение информации о зараженных объектах.
  • Модификация (modification) — измененный вариант одной и той же вирусной программы.
  • Шифрованный вирус (Encrypted virus) — программа, которая самостоятельно шифрует свой исходный код, что затрудняет обнаружение в системе.
  • Скрипт-вирус (Script virus) — программа, попадающая на компьютер под видом сообщения электронной почты, которое содержит в себе исполняемые файлы.
  • Резидентный вирус — вирус, скрывающийся в оперативной памяти для заражения всех приложений и файлов, которые открываются либо копируются на компьютере.

Принцип работы

Механизм работы вирусной программы одинаков для всего ПО данного типа: при попадании в среду заражения, вирус внедряется в исполняемый код других программ. Чаще всего для проникновения могут использоваться уязвимости в популярных программах — почтовые клиенты, браузеры и т.д.

Среда обитания

Попасть в систему вирусное ПО может из различных источников:

Противодействие и профилактика

Основная статья: Антивирусная программа

На сегодняшний день самым действенным средством против вирусов являются антивирусные программы, позволяющие не только обнаружить и восстановить зараженные файлы, но и предотвратить их попадание на компьютер.

1.3. Разновидности компьютерных вирусов

Пришло время ознакомиться c особенностями работы некоторых вирусов – хотя бы для того, чтобы, узнав о начале очередной эпидемии, не спешить отключать кабель, ведущий к модему.

Точную классификацию вирусов и других вредоносных программ до сих пор никто не придумал. Вирус часто нельзя отнести ни к одной из категорий. Кроме этого, антивирусные компании вводят свою терминологию, по-разному обозначая новый вирус. Однако по некоторым общим признакам вредоносные программы можно разделить на группы.

• Первые вирусы, которые были популярны до массового распространения Интернета, – файловые. Их еще называют традиционными. Сегодня известны программы, заражающие все типы исполняемых файлов в любой операционной системе. Например, в Windows опасности подвергаются в первую очередь исполняемые файлы с расширениями EXE, COM и MSI, драйверы (SYS), командные файлы (BAT) и динамические библиотеки (DLL). C механизмом заражения такими вирусами и их распространением вы познакомились в предыдущем разделе.

Загрузочные вирусы также появились одними из первых. Как видно из названия, такие вирусы заражают не файлы, а загрузочные секторы дискет и жестких дисков.

• С массовым развитием Интернета появились сетевые вирусы. По данным антивирусных компаний, именно различные виды сетевых червей представляют сегодня основную угрозу. Главная их особенность – работа с различными сетевыми протоколами и использование возможностей глобальных и локальных сетей, позволяющих им передавать свой код на удаленные системы.

Классическим примером сетевого вируса является червь Морриса, рассмотренный в разделе 1.1.

Наибольшую распространенность получили сетевые черви, использующие электронную почту, интернет-пейджеры, локальные и файлообменные (P2P) сети, IRC-сети и сети обмена данными между мобильными устройствами. Некоторые сетевые черви, например W32.Slammer или Sapphire, использующий уязвимость Microsoft SQL Server 2000, могут не оставлять на жестком диске никаких следов, хранясь только в оперативной памяти. Благодаря способности активно распространяться и работать на зараженных компьютерах без использования файлов подобные вирусы наиболее опасны. Они существуют исключительно в системной памяти, а на другие компьютеры передаются в виде пакетов данных. Первое время антивирусное программное обеспечение не было способно бороться с такими бестелесными вредителями.

Внимание!

Сетевые и почтовые вирусы наиболее опасны, так как способны за короткое время заразить большое количество систем.

• Сегодня наиболее популярны сетевые вирусы, распространяющиеся посредством электронной почты, поэтому их часто выделяют в отдельную категорию – почтовые черви. Так, три из четырех крупнейших эпидемий 2005 года были вызваны именно почтовыми червями. Такие вирусы чаще всего распространяются через электронную почту: они рассылают по адресам, имеющимся в адресной книге, письма с прикреплениями в виде самих себя. Для передачи могут использоваться средства операционной системы или небольшой встроенный почтовый сервер (функция такого сервера – отправка писем).

Например, червь Melissa отсылал себя сразу после активизации только по первым 50 адресам, а I Love You использовал все записанные в адресной книге почтовые адреса, что обеспечило ему высокую скорость распространения. Другой тип червя – сценарий KakWorm, который после прочтения зараженного письма не рассылался, а прикреплялся к каждому посланию, отправляемому пользователем. При этом на новом компьютере вредоносное приложение либо выполнялось автоматически, используя уязвимости в почтовой программе, либо различными способами подталкивало пользователя к своему запуску. Зараженное письмо может прийти со знакомого адреса, и пользователь, скорее всего, откроет его. Могут применяться различные ухищрения. Например, вирус AnnaKournikova приглашал посмотреть фотографии известной теннисистки Анны Курниковой: любопытство чаще всего брало верх над осторожностью, и пользователи запускали прикрепленный к письму исполняемый файл.


Совет

Будьте осторожны с письмами, полученными от неизвестных людей. Открывайте файлы, прикрепленные к таким письмам, только после проверки антивирусом.

• Очень часто встречаются вирусы смешанного типа – почтово-сетевые. В таком случае их обычно называют просто сетевыми. Яркий пример – сетевой червь Mytob.c, который в марте 2005 года пересылался в виде вложений в электронные письма и использовал для своего распространения уязвимость в сервисе LSASS Microsoft Windows.

Макровирусы являются программами, написанными на макросах – последовательностях команд, используемых в некоторых системах обработки данных, например текстовых редакторах и электронных таблицах. Возможности макроязыков в таких системах позволяют вирусу переносить свой код в другие файлы, заражая их. Наибольшее распространение получили макровирусы для Microsoft Word и Excel. Такой вирус активизируется при открытии зараженного документа и переносится на компьютер, как правило, внедряясь в шаблон Обычный (файл Normal.dot). После этого каждый сохраняемый документ заражается вирусом, а когда другие пользователи открывают его, их компьютеры также инфицируются. Существуют также макровирусы, заражающие базы данных Microsoft Access.

Традиционные и макровирусы сегодня практически вымерли, так как скорость их распространения значительно ниже, чем скорость распространения сетевых вирусов, и у антивирусных компаний достаточно времени, чтобы создавать вакцину против таких вредителей. Однако это совсем не значит, что угроза миновала и такие вирусы не стоит брать в расчет.

По алгоритму работы. Например, существуют резидентные и нерезидентные вирусы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, чтобы перехватывать все обращения операционной системы к объектам, пригодным для заражения. Это наиболее распространенный тип вирусов: они активны не только во время работы зараженной программы, но и – что наиболее важно – когда приложение закрыто. Резидентные вирусы постоянно находятся в памяти компьютера и остаются активными вплоть до его выключения или перезагрузки.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность лишь ограниченное время, хотя возможны варианты. Однако нерезидентные вирусы сегодня практически не встречаются, они не способны к быстрому размножению. Можно сказать, что они не выдержали конкуренции своих более активных собратьев.

Примечание

Десятки вирусов этого типа хранятся у меня в отдельной папке для тестирования и изучения антивирусных программ, и за несколько лет ни одному из них не пришло в голову активизироваться самостоятельно, поэтому дискета с зараженным файлом не должна вызывать панику, следует оценить ситуацию и принять правильное решение – удалить потенциально опасный файл или попробовать вылечить его с помощью антивируса.

• Первые антивирусные программы очень быстро находили вирус по его уникальной сигнатуре. Чтобы затруднить подобный поиск, создатели вредоносных программ стали шифровать тела вирусов. В результате появились вирусы, названные полиморфными.

• В литературе часто упоминаются стелс-вирусы (stealth – невидимка), которые были распространены во времена MS-DOS. Они применяют множество средств, чтобы скрыть свое присутствие в системе. Определить наличие таких вирусов без соответствующего инструментария практически невозможно.

Сегодня для маскировки своего присутствия в системе вирусы используют руткит-технологии (о них будет рассказано позже). Вирусы можно подразделить также по следующим критериям:

• по методу заражения (вирусы-паразиты, компаньоны и др.);

• типу операционной системы (Windows, Unix, Linux, MS-DOS, Java);

• деструктивной возможности (от безвредных, просто мешающих работе, до крайне опасных);

• языку, на котором написан вирус (ассемблер, язык сценариев и др.).

Вирусы могут использовать различные упаковщики, позволяющие превратить известный код в практически неузнаваемый.

Каждый вирус имеет собственное имя. Вы слышите его, когда узнаете об очередной эпидемии. Откуда берется имя? Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя. Посмотрите сами: например, Worm.Win32.Nuf – это то же самое, что Net-Worm.Win32.Mytob.c. Часто название дается по некоторым внешним признакам:

• по месту обнаружения вируса (Jerusalem);

• содержащимся в теле вируса текстовым строкам (I Love You);

• методу подачи пользователю (AnnaKournikova);

• эффекту (Black Friday).

Кстати

Самым маленьким по размеру вирусом считается Repus (Win95.с) – всего 156 байт (существуют, однако, и более тяжеловесные модификации, вплоть до 256 байт). Для уменьшения размера этого вируса используются различные программные хитрости и уловки; вреда он не приносит, и все программы работают без проблем. При этом есть как резидентные, так и нерезидентные представители Repus (Win95.с). Помимо малого размера, Repus стал первым вирусом, использующим для своего размножения кэш-память Windows. Он ищет в кэш-блоках заголовки файлов, записывается в них и устанавливает для блоков атрибут dirty, который дает системе команду сохранить его на диск. Подобная методика позволяет даже нерезидентному варианту распространяться со скоростью резидентного вируса.

Одним из самых интересных является вирус I-Worm.Hybris (Vecna), получивший в июле 2002 года четвертую категорию опасности. Он распространяется посредством электронной почты. В первую очередь этот вирус заражает системный файл wsock32.dll, получая доступ ко всему интернет-трафику, а затем рассылает себя по полученным таким образом почтовым адресам. Самое интересное, что этот вирус может самостоятельно обновляться через Интернет, скачивая с новостной конференции alt.comp.virus плагины, дающие ему новые возможности.

Количество сигнатур в антивирусных базах многих производителей уже перевалило 400-тысячную отметку и постоянно растет.

Данный текст является ознакомительным фрагментом.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции