Открыть главное меню

Многовекторный червь

Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе. В некоторых случаях черви повреждают файлы и негативно влияют на работу компьютера (если это предусмотрено создателем).

Представители многовекторных червейПравить

  • Fizzer
  • Nimda

FizzerПравить

«Fizzer» — многовекторный сетевой червь, распространяющийся по ресурсам Интернета. Такое вредоносное программное обеспечение (ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером.[1]

История FizzerПравить

Fizzer — сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.

ЗаражениеПравить

Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь-жертва запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.

Файл ISERVC.EXE — главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:

  • ISERVC.EXE
  • INITBAK.DAT

и параллельно создает 2 файла в справочнике Windows:

  • ISERVC.DLL
  • PROGOP.EXE

Файл ISERVC.DLL — регистрирующий ключ компонент, и PROGOP.EXE. Перед рассылкой червь повторно собирает свой файл, используя этот компонент.

Составляющие компоненты FizzerПравить

Все ресурсы кроме первого зашифрованы и сжаты

  • список адресов электронной почты
  • файл progop.exe
  • файл iservc.dll
  • скрипты (код) поведения
  • текстовые строки

Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот же скрипт управляет поведением червя в определенных условиях.[2]

Вредоносное ПО подобного рода, как и любое другое вредоносное ПО распространяется различными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО «Fizzer» сканирует адресные книги Microsoft Outlook и Windows Address Book. Червь использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного компьютера. Чаще всего оно записывает собранную информацию в отдельный файл, который передается на выделенный сервер указанный владельцем данного вредоносного ПО. Как и большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе.[3]

NimdaПравить

Nimda — компьютерный червь, являющийся файловым инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом Интернета в течение 22 минут. Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево.

История NimdaПравить

Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.

Nimda — сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE. Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.

Nimda — первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также, это — первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет-ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:

  • Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China

Этот червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем «mikko.hypponen@datafellows.com» относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен — менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.

Составляющие компоненты NimdaПравить

Фактически Nimda состоит из четырёх частей:

  • Инфицирование файлов
  • Массовая рассылка
  • Веб-червь
  • Распространение ЛВС

Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:

  • по электронной почте
  • через открытые сетевые ресурсы
  • через просмотр вредоносных веб-сайтов
  • через использование различных слабых мест Microsoft IIS 4.0 / 5.0[4]

Процесс размножения по электронной почтеПравить

Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML-скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду отправлять зараженные электронные письма. Червь хранит время рассылки последней партии, переданных электронных писем, и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:

  • .htm и.html файлы найденные в папках пользователя
  • электронные письма отправленные пользователем

Распространение многовекторного червя в файловой системеПравить

Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена. К тому же, как уже было сказано, после 22 минут от создания вируса NIMDA, было заражено более 3 миллиардов компьютеров.

ПримечанияПравить

  1. [1] Email-Worm.Win32.Fizzer
  2. [2] Worm:W32/Fizzer
  3. [3] Fizzer: многовекторный червь нападает через e-mail и KaZaA
  4. [4] Introduction to computer security

См. такжеПравить