Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой.
Содержание
История
Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре 1978. Термин возник под влиянием научно–фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне» (David Gerrold «When H.A.R.L.I.E Was One», John Brunner «The Shockwave Rider», Thomas Ryan «The Adolescence of P-1»).
Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом (Robert Morris) младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к интернету.
Механизмы распространения
Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Структура
Черви могут состоять из различных частей.
Часто выделяют так называемые ОЗУ–резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.
Полезная нагрузка
Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «бэкдор для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым.
Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной программой.
Содержание
История
Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре 1978. Термин возник под влиянием научно–фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне» (David Gerrold «When H.A.R.L.I.E Was One», John Brunner «The Shockwave Rider», Thomas Ryan «The Adolescence of P-1»).
Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом (Robert Morris) младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к интернету.
Механизмы распространения
Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Структура
Черви могут состоять из различных частей.
Часто выделяют так называемые ОЗУ–резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.
Полезная нагрузка
Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «бэкдор для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым.
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI.
Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.
Атака из-под земли. Типология компьютерных вирусов, часть 2
«Ваш компьютер был атакован с адреса ****. Тип атаки — Helkern. Атака была успешно отражена», — несколько раз рапортовал Kaspersky Anti- Hacker за время написания этой статьи, наглядно демонстрируя, сколь широко распространены интернет-черви. В классическом представлении черви не являются вирусами. Это одна из разновидностей вредоносных программ, к которым относятся и трояны, и враждебные Java-апплеты, и руткиты — последнее слово вирусописательской мысли. Но сейчас всех этих паразитов чаще всего рассматривают в рамках общей классификации компьютерных вирусов. Мы тоже не будем отходить от принятых правил.
Получи и распишись!
Сам термин «компьютерные черви» родился под влиянием фантастических романов Дэвида Геральда и Джона Браннера. Червями называют один из видов самовоспроизводящихся программ, которым для жизни и распространения необходимы компьютерные сети.
Все вирусы подобного типа используют оперативную память зараженной машины. Некоторые (резидентные) черви инфицируют только загруженные в ОЗУ утилиты. У такого вируса мало времени (он будет уничтожен при перезагрузке) и ограниченное число целей, на которые можно напасть (все, что находится в оперативке). Одним из представителей бестелесных червей является Helkern (он же Slammer).
Эпидемия этой заразы продолжается по сей день. Специалисты говорят об уникальной технологии заражения и исключительно высокой скорости распространения Helkern. Вирус атакует серверы под управлением системы баз данных Microsoft SQL Server 2000. Пораженная машина получает нестандартный запрос, после чего выполняет спрятанные в коде запроса 376 байт тела Helkern. В ответ червь запускает бесконечный цикл самовоспроизводства. С пораженного сервера во все концы мира отправляются копии. Так что адрес, с которого атакован компьютер пользователя, указывает не на злоумышленника, а на одну из жертв — зараженного пользователя.
Нерезидентные черви сохраняют на жестком диске файл с кодом и предпринимают меры, чтобы при следующем запуске Windows заполучить управление системой (прописывают в реестре соответствующие ключи).
При каждом сеансе связи Kaspersky Anti-Hacker приходится отбивать множество атак интернет-червей.
Наиболее распространены почтовые черви (E-mail-Worms), которые проникают на компьютер в виде вложений в письма. 26 марта 1999 года пандемия почтового червя Melissa за несколько часов охватила весь мир. Пострадали тысячи пользователей Microsoft Word и Microsoft Outlook (вирус был нацелен именно на эти программы). Обычно черви проникают в оперативную память компьютера и собирают информацию об адресах электронной почты, с которыми пользователь имел дело. При следующем соединении с сетью адресатам отправляются «червивые» письма. Почтовые вирусы, помимо оперативной памяти, могут вообще не использовать ресурсы пораженного компьютера. Хотя иногда создают свои рабочие файлы на жестких дисках.
Еще совсем недавно бытовало мнение, что заражения можно избежать, если не открывать вложений к подозрительным письмам или от неизвестных адресатов. Действительно, большая часть червей распространяются по e-mail в надежде на то, что пользователи сами запустят программу. Но никто почему-то не хочет по собственной воле заражать свой компьютер, и вирусописатели идут на различные уловки. Самый простой способ обмана — выдать вирус за полезное послание. Чаще всего доверчивых пользователей ловят на какое-нибудь заманчивое предложение («Лучшая shareware-игра бесплатно», «101 способ похудеть»). В ход идут даже громкие политические события. Например, I-Worm.Ganda прячет свое тельце в сообщениях о ходе боевых операций в Ираке. Наиболее продвинутые вирусы, такие как I-Worm.LovGate, научились писать «ответы» на письма, которые червяк обнаружил в почтовой базе. Иезуитская хитрость! Кто откажется посмотреть почту от своих знакомых?
Электронная почта обычно нашпигована червями, как консервная банка у хорошего рыболова.
Фрактальная графика, известная также как «червивые узоры». Ядро многих компьютерных червей тоже базируется на фрактальных алгоритмах.
Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для размножения сетевые протоколы и устройства.
Задача вредоносного объекта такого рода состоит в том, чтобы попасть на компьютер, активироваться и отправить копии самого себя на машины других пользователей. По форме существования сетевые черви бывают обычными и пакетными. Обычные, проникая в систему через флеш-накопитель или интернет, воспроизводят себя в большом количестве, а затем рассылают эти дубли по электронным адресам, найденным на компьютере, или распределяют их по папкам общего доступа в локальной сети. Пакетные (или бесфайловые) черви существуют в виде особого сетевого пакета; внедрившись в устройство, они стремятся проникнуть в его оперативную память с целью сбора персональных данных и другой ценной информации.
Классификация и способы распространения
Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.
К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.
Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:
Объект воздействия
Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:
В 2003 году червь SQL Slammer, рассылая множество сетевых пакетов, остановил работу десятков тысяч серверов в разных странах мира. В 2017 году этот вредоносный объект заработал снова. О том, какая опасность подстерегает пользователей, можно узнать из статьи «Check Point: Сетевой червь SQL Slammer возобновил свою активность».
Источник угрозы
Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.
Анализ риска
Как отмечено выше, червь может быть относительно безобиден, лишь создавая дополнительную нагрузку на компьютер и сеть. Тем не менее, многие черви имеют и по-настоящему вредоносные функции вроде уничтожения данных или отключения систем безопасности.
Для защиты от сетевых червей необходимо использовать:
