«

»

Дек 08

Сетевые черви

Сетевой червь (синоним «компьютерный червь»)-разновидность вредоносного ПО, самостоятельно распространяющийся через локальные и глобальные компьютерные сети.

Первое значительное заражение этим типом вирусов произошло еще в 1988 году. Так называемый «Червь Морриса», вопреки расчетам создателя, парализовал работу шести тысяч интернет-узлов в США (около 10% компьютеров, подключенных в то время к интернету). При сканировании компьютера червь определял, инфицирован он, или нет, и случайным образом выбирал-перезаписывать-ли существующую копию. С определенной периодичностью программа перезаписывала свои копии, и слишком маленькое значение данной периодичности, введенное автором и привело к масштабной эпидемии—червь буквально наводнил весь сетевой трафик ARPANET(прототип сети интернет, созданный в 1969 году агентством Министерства обороны США по перспективным исследованиям (ARPA)).

Механизмы распространения
Механизмы (векторы атаки) распространения делятся на две группы:
—Использование уязвимостей и ошибок администрирования ПО, установленного на компьютере. Этот тип сетевых червей способен к автономному распространению, выбирая и атакуя компьютеры в полностью автоматическом режиме.
—Использующие средства т.н. «социальной инженерии». Провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить его в безопасности могут использоваться и недостатки интерфейса программ, например скрытые расширения файлов. Этот тип распространения активно используется в массовых рассылках, социальных сетях.
—Существуют также «многовекторные черви», использующие для своего распространения несколько векторов атаки, например e-mail, эксплоиты.

Структура
Наблюдается мнообразие структуры червей. Выделяют, например, резидентные черви, не затрагивающие жесткие диски, и хранящиеся только в ОЗУ. Наиболее часто они состоят из инфекционной части- шелл-кода и небольшой полезной нагрузки (самого тела червя), которая целиком назмещается в ОЗУ. От данных червей можно избавиться перезапуском компьютера и сбросом ОЗУ. Специфичная особенность таких червей-они не загружаются через загрузчик, как обычно исполняемые файлы, и поэтому могут рассчитывать только на уже загруженные динамические библиотеки.
Наблюдаются также черви, которые после успешного инфицирования, сохраняют код на жестком диске, и предпринимающие меры для его запуска, (например с помощью реестра Windows). От данных червей можно избавиться только с помощью антивирусного ПО.
Черви, распространяемые через социальные сети, спам-рассылки чаще всего состоят из одного файла, т.к. введенный в заблуждение пользователь запускает червя целиком.

Вред от заражения этим типом зловредов не всегда связан с полезной нагрузкой червя. Зачастую они выводят из строя сети только за счет иентенсивного распространения. Среди наиболее распространенных полезных нагрузок доминирует порча файлов на компьютере-жертве, и организация ботнетов для проведения сетевых атак или расслыки спама.

Добавить комментарий