Сравнительный анализ трех разновидностей «червей»
«Черви» постоянно развиваются, оптимизируя скорости своего распространения. Сегодня существует две разновидности вирусов, потому что «черви» эффективно работающие в глобальном Интернет, обычно очень плохо распространяются в локальной сети. Поэтому, быстрее всего распространяемые Интернет «черви», например Code Red и SQL Slammer, являются гораздо менее эффективными при полной дискредитации локальной сети, чем вирусы отдающие преимущество локальной адресации, что было доказано вирусом W32.Blaster. Теперь возможно создание гибридного вируса, который случайным образом выбирал сеть, а затем последовательно её сканировал.
В настоящее время, использование злонамеренного кода типа вирусов, «червей» и «троянов», является одним из наиболее распространенных видов атак в Интернет. Все современные IT организации, использующие любые виды подключений к Интернет, должны быть готовы к отражению такого вида нападений.
При общих условиях, злонамеренный код описывается как любая несанкционированная пользователем активность, а более конкретные и специфические условия можно найти в технических описаниях.
Червь или саморазмножающийся вирус это определенный вид злонамеренного кода, он отличается от остальных видов вирусов способностью самопроизвольного размножения без вмешательства пользователя. Принимая во внимание тот факт, что традиционные вирусы требуют определенного взаимодействия с пользователем, будь-то запуск программы или загрузка какого-нибудь компонента с Web сайта, в то же время «черви» способны к размножению вообще без каких-либо взаимодействий с пользователем или системой. Наиболее часто, они используются для поиска хостов, на которых запущены уязвимые службы и для эксплуатации этих уязвимостей. Черви наиболее опасны тем, что не требуют никаких действий от пользователя, поэтому в случае удачной атаки, вирус будет очень быстро распространяться по Сети, при этом ему будут безразличны время и регион распространения.
Обсуждение видов «червей» и стратегий их распространения продолжается уже в течения ряда лет, но в основном только за последние три года было признано истинное значение действия таких вирусов в большинстве областей сетевой защиты и обнаружения вирусов. Настоящее признание черви получили после атаки вируса Code Red в июле 2001 года. Также, в дополнение к размножению, Code Red выполнил DDos атаку на одном IP подключенном в Белом Доме. Со времени атаки вируса Code Red, разработка комплексных стратегий инфицирования дошла до уровня, когда в январе 2003 года червь W32.SQLExp достиг всемирного распространения гораздо быстрее, чем его смогло бы остановить любое человеческое вмешательство.
Одним из последствий действия этого вируса стало опубликование огромного количества исследований и проведение анализа различных уязвимостей, помогающих специалистам определять их защитную политику. При рассмотрении этих исследований можно выделить несколько особенностей. В большинстве проводимых исследований подразумевалось, что распространение вируса будет проходить глобально в Интернет, и практически не рассматривались варианты активности вируса в изолированных частных секторах Интернет, к примеру, в корпоративных сетях. Это упущение может быть критическим при глобальных угрозах заражения и попытках предусмотреть сценарии защиты от вирусного вторжения.
Значение того, как ведет себя вирус в изолированных, частных секторах Internet становиться важным, когда мы узнаем, что в большинстве организаций нет достаточного количества публичных IP адресов, и поэтому в них используются частные сети (к примеру: 10.Х.Х.Х, 172.16.Х.Х, 192.168.Х.Х). В таких сетях большинство подключенных к Интернет компьютеров используются в обход устройств трансляции сетевых адресов. Поскольку такие компьютеры напрямую не подключены к Интернет, то заражение «червями» происходит из дискредитированных внутренних хостов, и поэтому распространение вирусов в частных сетях может быть достаточно серьезной проблемой. Такая же проблема может возникнуть, если в организации есть публичные IP адреса, но отсутствует должная межсетевая защита. Ранее большинство людей считало, что у них была проведена межсетевая защита, а их хосты были достаточно защищены, но как показали вирусы W32.SQLExp и Blaster это было заблуждением.
Что такое «вирус-червь»?
Разновидностей вредоносного компьютерного ПО огромное количество. Один из тех вирусов, от которых после заражения избавиться довольно проблематично – вирус «сетевой червь». Это самовоспроизводящаяся компьютерная программа, проникающая в локальные и глобальные сети. При этом существенное различие между обычным вирусом и этой вредоносной программой — то, что вторая полностью самостоятельна.
Компьютерный вирус-червь подразделяется на три категории, которые существенно отличаются по своим характеристикам и наносимому устройству вреду.
- Первая категория – почтовые черви. Они обычно распространяются одним файлом через электронную почту. Пользователю на ящик приходит письмо от неизвестного адресата с вложением. Естественно, поддавшись любопытству, он сам открывает вложение, которое уже содержит сетевого червя, после чего и происходит заражение.
- Вторая категория, являющаяся наиболее распространенной среди вредоносного ПО – резидентные черви ОЗУ. Этот вирус заражает не жесткие диски, а внедряется в оперативную память, тем самым нанося вред работающим программам. Чтобы такой вирус-червь «отправился восвояси», достаточно перезагрузить компьютер.
- Третья и самая опасная категория – черви, сохраняющие код на жестком диске устройства. Их чаще всего используют, чтобы нанести какой-либо информационный вред, например, осуществить атаку DoS. И тут перезагрузкой компьютера проблему уже не решить. Здесь помогут только высококачественные антивирусные системы, да и то не все. Начать лечение зараженного диска следует как можно раньше, иначе придется попрощаться со всей операционной системой.
Защита от червей
Включите антивирусная программа в Microsoft Defender в Windows 10. Он обеспечивает защиту от угроз в режиме реального времени, а также обнаруживает и удаляет известное нежелательное программное обеспечение.
Скачайте Microsoft Security Essentials для защиты в режиме реального времени в Windows 7 или Windows Vista.
Если удаление угроз завершается неудачно, ознакомьтесь с устранением неполадок обнаружения и удаления вредоносных программ.
Примеры и классификация сетевых вирусов
- Эксплойта – кода, позволяющего проникнуть на ПК, используя дыры в его безопасности.
- Тела (полезная нагрузка) – части, которая выполняет противоправные действия.
Резидентные черви распространяются через уже работающие приложения, динамичные библиотеки, сами запускаться не способны.
Нерезидентные – после заражения ПК записываются на диск, могут самостоятельно запускаться. Эксплойт содержит в себе код для загрузки тела червя по сети. Скачанный исполняемый файл сканирует сеть для поиска жертв, распространяется без чьего-либо вмешательства.
Различают следующие виды сетевых червей:
- Электронный или почтовый – попадает на компьютер жертвы в виде сообщения на электронную почту со ссылкой на вирус, скриптом, который его запускает.
- Сетевой – использует протоколы глобальных и локальных сетей для поражения компьютеров, определяет бреши в программном обеспечении ПК и отправляет через них код для запуска червя.
- P2P – для проникновения на хосты используют пиринговые сети.
- Черви чатов и мессенджеров – рассылают ссылки на себя в программах для обмена сообщениями. К ним относят: IRC-вредоносов, распространяющихся по каналам Internet Relay Chat и IM-червей – ищут бреши в протоколе ICQ и прочих.
- Черви файлообменников – загружаются под видом программы, запуск которой открывает ящик Пандоры.
Существуют так называемые полезные черви, например, устанавливающие все обновления для операционной системы без разрешения и ведома пользователя.
Worm – разновидность вируса, способная к саморазмножению, в отличие от него распространяется по сети, поражая удалённые хосты.
Компьютерные черви принцип функционирования
Обычный – попадает на компьютер обычным путем (в основном через интернет или флэшку). Затем, создаёт свои многочисленные дубли. Далее, проводит поиск на компьютере списков различных электронных адресов (ваших друзей, знакомых и т.д.). Потом, по данным адресам рассылает свои многочисленные дубли.
Пакетный – ведет себя на ПК иначе. Попав на компьютер в виде специальных пакетов, пытается внедриться в оперативную память ПК. Делает он это в основном, для сбора информации, ваших личных данных. Уникален тем, что после выключения ПК не оставляет своих следов присутствия. Теперь проанализируем некоторые виды (самые распространенные) электронных червей.
Что такое вирус?
По определению, вирус — это компьютерная программа, которая распространяется от компьютера к компьютеру и повреждает пользовательские данные. Он может копировать себя и прикрепляться к другому приложению или файлу. Когда этот файл передается на другой компьютер по электронной почте или сети, он переносится на этот компьютер и заражает его.
Когда пользователь запускает хост-файл, который содержит вирус, он также начинает распространяться в системе. Некоторые вирусы заменяют программы, они могут удалять, дублировать или повреждать файлы.
Как распространяется компьютерный вирус?
Вирус не распространяется сам по себе. Вирус нуждается в помощи человека, чтобы распространиться. Он присоединяется к хосту, и когда пользователи переносят хост на другой компьютер, он попадает туда. Как только файл хоста выполняется на этом компьютере, вирус начинает копироваться и заражает файлы.
Рекламные зловреды
Представьте: вы работаете как обычно, а раз в 10 минут появляется рекламное окно на весь экран. Через 20 секунд оно пропадает само. Вреда немного, но бесит. Или вы заходите на сайт банка, а вас направляют на какой-то левый партнёрский сайт, где предлагают открыть кредитную карту без регистрации и СМС.
- Какой-то недобросовестный веб-мастер зарабатывает на открутке рекламы и привлечении людей на сайты.
- Так как он недобросовестный, ему плевать на качество аудитории. Ему главное — чтобы реклама была показана.
- Он создаёт рекламный вирус, который заражает всё подряд и откручивает на компьютерах жертв нужную рекламу.
- За каждый показ веб-мастер получает какую-то копейку.
- С миру по копейке — мёртвому на костюм (как-то так говорят).
Сами по себе рекламные зловреды несложные в изготовлении и чаще всего распространяются по троянской модели: тебе предлагают какую-нибудь программу типа «Скачай музыку из ВКонтакте», а вместе с ней в систему устанавливается рекламный троян. Причём при удалении программы для музыки троян остаётся.
Важно сказать, что реклама, которую показывают такие трояны, совершенно необязательно будет от недобросовестных рекламодателей. Например, на скриншоте ниже вылезла реклама 1XBet — но это не значит, что эта фирма причастна к созданию зловреда. Скорее всего, она разместила рекламу на какой-то сомнительной (но легальной) площадке. Хакеры зарегистрировались на этой площадке как рекламный сайт, а вместо сайта внедрили рекламу в зловред. И теперь они зарабатывают, откручивая рекламу там, где её быть не должно.
Типичный пример рекламного зловреда.
Безвредные вирусы — такое тоже бывает
Были в истории компьютерных вирусов и примеры забавных безвредных программ, которые технически являлись вирусами, но никакого ущерба пользователям при этом не наносили. Так, ещё в 1997 году был разработан вирус HPS, который был ориентирован на временное изменение графические bmp-файлов, которые могли отображаться в перевёрнутом или отражённом виде, что, правда, могло доставлять неудобства пользователям старых версий Windows, ведь они были построены с использованием как раз bmp-графики. Впрочем, никакого реального ущерба HPS не наносил, поэтому его с полным основанием можно назвать безвредным шуточным вирусом.
Червяк Welchia претендует на звание самого полезного в истории: эта появившаяся в 2003 году программка после автоматической загрузки через сеть проверяла наличие заражения ПК опасным сетевым червём (программа была написана для устранения червя Blaster w32.blaster.worm, другое название — LoveSan), удаляла его и также в авторежиме пыталась установить обновления для Windows, закрывающие сетевые уязвимости. После успешного выполнения всех этих действий Welchia… самоудалялся. Правда, с Welchia тоже не всё было гладко — дело в том, что после установки обновлений Windows червь отдавал команду на принудительную перезагрузку ПК. А если в это время пользователь работал над важным проектом и не успел сохранить файл? Кроме того, устраняя одни уязвимости, Welchia добавлял другие — например, оставлял открытыми некоторые порты, которые вполне могли использоваться затем для сетевых атак.