Сетевые вирусы - черви

Этот вирус  иллюстрирует первый тип современных  сетевых вирусов, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса.

Второй вирус («Homer») использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полусетевой», однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Ещё несколько  примеров:

 Flame— компьютерный червь. Его обнаружил Роэл Шоэннберг, старший научный сотрудник по компьютерной безопасности «Лаборатории Касперского». Основной особенностью червя является наличие в нём множества (по крайней мере, несколько десятков) компонентов, способных выполнять разнообразные вредоносные действия: размножаться в сетях различных типов с использованием различных протоколов, похищать и уничтожать конфиденциальную информацию, взаимодействовать с вредоносными программами других типов и т. п. Всё это делает Flame удобным средством для промышленного и политического шпионажа и диверсий.

 

Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты — пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер «Геометрический вальс». Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий всё, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьёзно затрудняет его обнаружение. При запуске заражённого приложения программный код вируса занимает 4 Кб памяти, где собирает своё тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, даёт основания предположить, что автор червя является русскоговорящим.

 

 

 Kido (также известен как Downup, Downadup и Conficker) — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). На январь 2009 года вирус поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса. Столь быстрое распространение вируса связано со службой Server service. Используя«дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв. Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов. Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.

 
Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту иэксплойт ошибки в операционной системе.Черви повреждают файлы и негативно влияют на работу компьютера.

«Fizzer» — многовекторный сетевой червь, распространяющимся по ресурсам Интернета. Такое вредоносное программное обеспечение(ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером. Fizzer — сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.

ервь  распространяет свои копии как приложение распространяемое по почте. Когда пользователь запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.

ISERVC.EXE файл — главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:

• ISERVC.EXE
• INITBAK.DAT

и параллельно создает 2 файла в  справочнике Windows:

• ISERVC.DLL
• PROGOP.EXE

ISERVC.DLL файл — регистрирующий ключ компонент и PROGOP.EXE. Перед рассылкой, червь повторно собирает свой файл, используя ото к

Составляющие компоненты Fizzer

Все ресурсы кроме первого зашифрованы  и сжаты

• список адресов электронной почты
• файл progop.exe
• iservc.dll файл
• скрипты поведения
• текстовые строки

Скрипты поведения содержат главные параметры  настройки для червя, такие как  его инсталляционное имя и папка. Этот скрипт также управляет поведением червя в определенных условиях. Например, когда дата изменяется, регистрации червя из IRC, ждет в течение некоторого времени и затем регистрирует, въезжают задним ходом снова.[2]

Вредоносное ПО такого вида, как и обычное  вредоносное ПО распространяется разными  путями, такими как, например электронная  почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО «Fizzer» сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного персонального компьютера (ПК). Чаще всего оно записывает собранную информацию в отдельный файл, который передается на сервер указанный владельцем данного вредоносного ПО. И как большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе.

 

Nimda — компьютерный червь, являющийся файлом инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом/червем Интернета в течение 22 минут. Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево.

История Nimda

Первая  разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.

Nimda — сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE.Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.

Nimda — первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также это — первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:

• Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China

Этот  червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем «mikko.hypponen@datafellows.com» относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен — менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.

Составляющие компоненты Nimda

Фактически Nimda состоит из четырёх частей:

 

• Инфицирование файлов
• Массовая рассылка
• Веб-червь
• Распространение ЛВС

Nimda был во многом эффективен благодаря  тому, что он, в отличие от других  вирусов использует пять различных  векторов инфекции:

• по электронной почте
• через открытые сетевые ресурсы
• через просмотр вредоносных веб-сайтов
• через использование различных слабых мест Microsoft IIS 4.0 / 5.0

Процесс размножения по электронной почте

Вирус прибывает как сообщение, состоящее  из двух секций. В первой секции находится HTML скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду, отправлять зараженные электронные письма, червь, хранит время, рассылки последней партии переданных электронных писем и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:

• .htm и.html файлы найденые в папках пользователя
• электронные письма отправленные пользователем

Распространение многовекторного червя в Файловой системе. Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена.

ПРИЗНАКИ ЗАРАЖЕНИЯ  ВИРУСОМ

Существуют  определенные признаки, указывающие  на заражение программы или диска  вирусом: − изменение длины файлов и даты создания; − выдача сообщений типа «Write protect error» при чтении информации с защищенных от записи дискет; − замедление работы программ, зависание и перезагрузка; − уменьшение объема системной памяти и свободного места на диске без видимых причин; − появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы. Симптомы поражения вирусом  – червем. Грамотно сконструированный  и не слишком прожорливый программный  код обнаружить не так-то просто. Есть ряд характерных признаков червя, но все они ненадежны, и гарантированный ответ дает лишь дизассемблирование. Черви могут вообще не дотрагиваться до файловой системы, оседая в оперативной памяти адресного пространства уязвимого процесса. Распознать зловредный код по внешнему виду нереально, а проанализировать весь слепок памяти целиком – чрезвычайно трудоемкий и затруднительный процесс, тем более что явных команд передачи управления машинному коду червя может и не быть. Признаки червя: − большое количество исходящих TCP/IP-пакетов, расползающихся по всей сети и в большинстве своем адресованных несуществующим получателям; − ненормальная сетевая активность (Подавляющее большинство известных на сегодняшний день червей размножаются с неприлично высокой скоростью. Также могут появиться новые порты, которые вы не открывали и которые непонятно кто прослушивает. Впрочем, прослушивать порт можно и без его открытия – достаточно лишь внедриться в низкоуровневый сетевой сервис. Поэтому к показаниям анализаторов трафика следует относиться со здоровой долей скептицизма, если, конечно, они не запущены на отдельной машине, которую червь гарантированно не сможет атаковать); − существование пакетов с подозрительным содержимым (Под «пакетом» здесь понимаются не только TCP/IP-пакеты, но и сообщения электронной почты, содержащие откровенно «левый» текст). По степени разрушительности вирусы можно условно разделить  на два типа: «иллюзионисты» и «вандалы». «Иллюзионисты» демонстрируют  экзотические звуковые и визуальные эффекты: осыпание букв, бегающие рожицы. У «вандалов» главная задача – как можно более скрытое  размножение с последующим разрушением  информации (обычно FAT и форматирование диска). Виды наносимого вирусом  ущерба: − разрушение отдельных файлов, управляющих блоков или файловой системы в целом; − блокирование некоторых функций ОС типа загрузки (?) с дискеты; − выдача ложных, раздражающих или отвлекающих сообщений (например, «Скажи бебе»); − создание звуковых или визуальных эффектов; − имитация ошибок или сбоев в программе или операционной системе; − имитация сбоев аппаратуры (перевод части кластеров в сбойные на винчестере или на дискете, зависание ПК через некоторое время после включения и т.д.). Наиболее опасны не катастрофические повреждения винчестера или дискет, а медленные постепенные изменения в файлах данных (например, перестановка цифр в числовых полях файлов DBF (Data Base File) = файл базы данных). Большинство повреждений  от вирусов относятся к информации, к данным. Повреждения оборудования почти не бывает. Здесь много слухов и домыслов. Например, ходят слухи о вирусах, вводящих в резонанс головки винчестера, или прожигающих дыры на экранах мониторов.