Сетевые черви и защита от них. Виды червей в сети

Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

  • Сетевые черви

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm - почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

    прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;

    использование сервисов MS Outlook;

    использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

    рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;

    считывает адреса из адресной базы WAB;

    сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;

    отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Im-Worm - черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Irc-Worm - черви в irc-каналах

У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ - отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Компьютерные вирусы, вредоносное ПО - все это губительно для операционной системы. Что же делать? Как победить ненавистные вирусные программы? Начинающие пользователи скажут, что достаточно установить антивирус. Но не все так просто. Ведь чтобы победить вирус, необходимо знать к какому виду он относится.

Одна из самых распространенных вредоносных программ - вирус-червь. Как обезопасить свой компьютер от проникновения этого незваного гостя, и что он вообще собой представляет?

Что такое «вирус-червь»?

Разновидностей вредоносного компьютерного ПО огромное количество. Один из тех вирусов, от которых после заражения избавиться довольно проблематично - вирус «сетевой червь». Это самовоспроизводящаяся компьютерная программа, проникающая в локальные и глобальные сети. При этом существенное различие между обычным вирусом и этой вредоносной программой - то, что вторая полностью самостоятельна.

Виды сетевых червей

Компьютерный вирус-червьподразделяется на три категории, которые существенно отличаются по своим характеристикам и наносимому устройству вреду.

  • Первая категория - почтовые черви. Они обычно распространяются одним файлом через электронную почту. Пользователю на ящик приходит письмо от неизвестного адресата с вложением. Естественно, поддавшись любопытству, он сам открывает вложение, которое уже содержит сетевого червя, после чего и происходит заражение.
  • Вторая категория, являющаяся наиболее распространенной среди вредоносного ПО - резидентные черви ОЗУ. Этот вирус заражает не жесткие диски, а внедряется в оперативную память, тем самым нанося вред работающим программам. Чтобы такой вирус-червь «отправился восвояси», достаточно перезагрузить компьютер.
  • Третья и самая опасная категория - черви, сохраняющие код на жестком диске устройства. Их чаще всего используют, чтобы нанести какой-либо информационный вред, например, осуществить атаку DoS. И тут перезагрузкой компьютера проблему уже не решить. Здесь помогут только высококачественные антивирусные системы, да и то не все. Начать лечение зараженного диска следует как можно раньше, иначе придется попрощаться со всей операционной системой.

Как и с какой целью распространяются сетевые черви?

Подобные вирусы распространяются хакерами для достижения разных целей. Некоторые программы созданы для перехвата управления устройством. При этом сам пользователь никогда не заметит то, что делает вирус-червь. Другие же используют зараженный компьютер как способ распространения вируса через все доступные сети, как локальные, так и глобальные.

Для распространения червя хакеры придумали достаточно много разных способов. Чаще всего встречается вирус, который изначально пользователь должен сам запустить на своем компьютере. Это может быть электронное вложение или какая-нибудь мини-программа, скачанная из Интернета. Однако есть и те, которым для заражения устройства не требуется чужого вмешательства, они самостоятельно осуществляют проникновение.

Как защититься?

Чтобы не допустить заражения компьютера вирусом, необходимо знать о средствах защиты. Многие скажут, что достаточно будет любой антивирусной программы, ведь она сразу же блокирует вирусы при попадании в систему. На самом деле это не так. Антивирусная программа не сможет вовремя предотвратить попадание червя на устройство, так как она просто предупреждает об обнаружении вредоносной программы на том или ином сайте. Большинство пользователей не придают этому значения, запуская или скачивая зараженный файл себе на компьютер.

Отличным вариантом для защиты от подобного рода ПО является проактивная технология. В отличие от обычных антивирусных программ, такая технология будет предотвращать заражение системы, а не осуществлять поиск уже известных вирусов на жестких дисках. При этом вирус будет заблокирован, только если он представляет собой реальную угрозу ОС.

Сетевой червь: как удалить вирус?

Если вредоносное ПО все-таки попало на компьютер, необходимо немедленно его удалить. Но как удалить вирус так, чтобы не повредить операционную систему? В такой ситуации на помощь неопытным пользователям придут антивирусы. К счастью, их установка не займет много времени.

  • Kaspersky Rescue Disk - программа, позволяющая очистить жесткие диски от вирусов путем управления системой. Чтобы начать работу с программой, нужно записать загрузочный диск через ISO-образ. А после просто запустить операционную систему в BIOS через него.
  • Kaspersky Virus Removal Tool больше подойдет для начинающих пользователей и тех, кто еще не разобрался в тонкостях системы. Он осуществляет поиск вредоносных программ на компьютере и удаляет их из системы. Однако справиться он может не со всеми видами вирусов.

  • Dr.Web CureIt вполне может заменить предыдущую антивирусную программу. Его огромный минус в том, что сканирование жестких дисков осуществляется очень долго. Порой это может занять около десяти часов. Конечно, такая долгая проверка является знаком того, что программа тщательно сканирует каждый файл. Однако найдется не много желающих потратить весь день на поиск одного вируса.

Меры предосторожности

Чтобы оградить себя от нападений хакеров через вирусы, необязательно устанавливать на компьютере кучу специальных защитных программ. Достаточно соблюдать меры предосторожности в сети, тогда ни один вредоносный файл не попадет на устройство.

  • Если на электронную почту пришло важное сообщение с вложением, не стоит спешить его открывать. Сначала необходимо сохранить вложение на диск, а потом запустить его, используя какой-либо браузер. Возможно, вместо текстового документа или фотографии на компьютер поступил исполняемый файл.
  • Ни в коем случае нельзя запускать какую-либо программу, которая поступила на электронную почту с незнакомого адреса. Скорее всего, на устройство пришел хакерский файл.
  • Даже если вложение пришло с уже знакомого e-mail, не стоит спешить его открывать. Прежде всего, необходимо просканировать его антивирусом. Не исключено, что электронный адрес, с которого пришло письмо, уже заражен вредоносным ПО и теперь просто отправляет рассылку по всем сохраненным контактам.
  • Признаком того, что в присланном вложении будет вирус, может послужить какая-либо сенсационная новость в сообщении. Это просто приманка для того, чтобы пользователь заинтересовался содержанием и из любопытства открыл зараженный файл.

«Вирусы и антивирусы» - Зависит от конфигурации рабочего места! Инструкция пользователя. Термин. ? Носители информации. Монитор, сканер, клиент ЦУП. DMZ. Автоматическая установка на рабочих станциях. Вирусы и ВРЕДОНОСНЫЕ ПРОГРАММЫ. Антивирусная программа. Монитор, сканер. Вирус – компьютерная программа, способная к саморазмножению.

«Защита от компьютерных вирусов» - Составить рекомендации по защите рабочего места учителя и ученика от компьютерных вирусов. 1. Отключить компьютер от сети(локальной, интернет). 2. Провести полное сканирование компьютера. Профилактика вирусного заражения. Тема: Информационная защита и компьютерные вирусы. 3. Удалить все найденные вирусы.

«Троянская программа» - Название «троянская» восходит к легенде о «Троянском коне» - дарёном деревянном коне, послужившим причиной падения Трои. Загрузить троянскую программу на компьютер может и посторонний человек с помощью запуска программы с flash накопителя. Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

«Защита от вредоносных программ» - Вредоносные программы. Вирусы. Вредоносные действия. Механизмы передачи. Защита систем от угроз, связанных с действиями вредоносных программ. Целевая среда. Безопасность здания. Поиск сигнатур Эвристический анализ Анализ поведения. Устройства Операционные системы Приложения. Исполняемые файлы Скрипты Макросы Загрузочные области носителей информации.

«Информатика компьютерные вирусы» - Сейчас известно несколько десятков тысяч вирусов. Признаки заражения. Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Обязательно иметь антивирусную программу. Как обнаружить хакерскую атаку. Что делать, если компьютер заражён. Немного истории. Хакерские утилиты и вредоносные программы.

«Сетевые черви» - Компьютерный практикум. Черви, использующие «уязвимости» программного обеспечения. Почтовые черви для своего распространения используют электронную почту. Черви, использующие файлообменные сети. Защита от сетевых червей. Сетевые черви. Почтовые черви. Задание.

Всего в теме 21 презентация

Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре 1978. Термин возник под влиянием научно–фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год » и Джона Браннера «На ударной волне» (David Gerrold «When H.A.R.L.I.E Was One» , John Brunner «The Shockwave Rider» , Thomas Ryan «The Adolescence of P-1»).

Одним из наиболее известных компьютерных червей является «Червь Морриса », написанный Робертом Моррисом (Robert Morris) младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября , после чего червь быстро заразил большое количество компьютеров, подключённых к интернету .

Механизмы распространения

Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы .

Структура

Черви могут состоять из различных частей.

Часто выделяют так называемые ОЗУ –резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски . От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы , а значит, могут рассчитывать только на те динамические библиотеки , которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт , шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла . Для этого некоторые черви могут содержать в инфекционной части простой клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «бэкдор для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым.

См. также

Ссылки

  • John Shoch, Jon Hupp The "Worm" Programs - Early Experience with a Distributed Computation" (англ.) , Communications of the ACM, March 1982 Volume 25 Number 3, pp.172-180, ISSN 0001-0782
  • RFC 1135 (англ.) - The Helminthiasis of the Internet

Wikimedia Foundation . 2010 .

Смотреть что такое "Почтовый червь" в других словарях:

    Сущ., м., употр. сравн. часто Морфология: (нет) кого? червя, кому? червю, (вижу) кого? червя, кем? червём, о ком? о черве; мн. кто? черви, (нет) кого? червей, кому? червям, (вижу) кого? червей, кем? червями, о ком? о червях 1. Червь это… … Толковый словарь Дмитриева

    NetSky Полное название (Касперский) Email Worm.Win32.NetSky.a (первый штамм) Тип почтовый червь массовой рассылки Год появления 2004 Используемое ПО Описание Symantec … Википедия

    Sober Полное название (Касперский) Email Worm.Win32.Sober.a Тип почтовый червь Год появления 2003 Используемое ПО Описание Symantec Описание Лаборатор … Википедия - У этого термина существуют и другие значения, см. Sober. Sober Полное название (Касперский) Email Worm.Win32.Sober.a Тип почтовый червь Год появления 2003 Описание Symantec … Википедия

    LoveLetter Полное название (Касперский) Email Worm.VBS.LoveLetter Email Worm.Win32.LoveLetter Тип почтовый червь Год появления 2000 Используемое ПО MS Outlook … Википедия

    - (известен также как Novarg) почтовый червь для Microsoft Windows и Windows NT, эпидемия которого началась 26 января 2004. Распространялся по электронной почте и через файлообменную сеть Kazaa. Файл носитель червя имеет размер около 28 килобайт и… … Википедия

    EICAR (или EICAR Test File от European Institute for Computer Antivirus Research) стандартный файл, применяемый для проверки, работает ли антивирус. По сути вирусом не является; будучи запущенным как COM файл DOS, всего лишь выводит… … Википедия

) компьютерные сети.

История [ | ]

Ранние эксперименты по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год » Дэвида Герролда (1972), в котором были описаны червеподобные программы, и (англ. ) Джона Браннера (1975), где вводится сам термин.

Одним из наиболее известных компьютерных червей является «Червь Морриса », написанный в 1988 г. Робертом Моррисом -младшим, который был в то время студентом Корнеллского Университета . Распространение червя началось 2 ноября, после чего червь быстро заразил примерно 6200 компьютеров (это около 10% всех компьютеров, подключённых в то время к Интернету).

Механизмы распространения [ | ]

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы .

Скорость распространения [ | ]

Скорость распространения сетевого червя зависит от многих факторов: от топологии сети , алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий.

Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP , то есть, с любого IP-адреса на любой другой, характерно стремительное распространение. При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты. Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование «блицкриг-червя». Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование «червь Уорхола» - в честь Энди Уорхола , автора изречения:

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

[ | ]

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак , рассылки спама или (с недавнего времени)