Багатовекторний хробак

Багатовекторний хробакмережевий хробак, що застосовує для свого поширення кілька різних механізмів (векторів атаки), наприклад, електронну пошту і експлойт помилки в операційній системі. У деяких випадках хробаки ушкоджують файли і негативно впливають на роботу комп'ютера (якщо це передбачено творцем).

Представники багатовекторних хробаків

  • Fizzer
  • Nimda

Fizzer

«Fizzer» — багатовекторний мережевий хробак, що розповсюджується по ресурсах Інтернету. Таке зловмисне програмне забезпечення (ПО) доставляється на цільовий комп'ютер у вигляді виконуваного файлу і активізується при його запуску. Далі такі «віруси» створюють кілька файлів і прописуються в «гілку реєстру Windows, для подальшого запуску разом з комп'ютером.[1]

Історія Fizzer

Fizzer — складний поштовий хробак, який з'явився 8 травня 2003. Компанія F-Secure починає розробляти програму для відлову Fizzer.

Зараження

Хробак поширює свої копії як застосунок, що розповсюджується поштою. Коли користувач-жертва запускає застосунок, він створює файл під назвою ISERVC.EXE в тимчасовій теці і активізує його.

Файл ISERVC.EXE — головний компонент хробака. Він копіює себе до довідника Windows з такими назвами:

  • ISERVC.EXE
  • INITBAK.DAT

і паралельно створює 2 файли в довіднику Windows:

  • ISERVC.DLL
  • PROGOP.EXE

Файл ISERVC.DLL — компонент, що реєструє ключ , і PROGOP.EXE. Перед розсиланням хробак повторно збирає свій файл, використовуючи цей компонент.

Складові компоненти Fizzer

Всі ресурси окрім першого зашифровані і стиснуті:

  • список адрес електронної пошти
  • файл progop.exe
  • файл iservc.dll
  • скрипти (код) поведінки
  • текстові рядки

Скрипти поведінки містять головні параметри налаштування для хробака, такі як його інсталяційна назва і тека. Цей скрипт керує поведінкою хробака за певних умов.[2]

Шкідливе ПЗ такого роду, як і будь-яке інше шкідливе ПЗ розповсюджується різними шляхами, такими як, наприклад, електронна пошта або файлообмінні мережі. Для розсилання електронних повідомлень з шкідливим ПЗ «Fizzer» сканує адресні книги Microsoft Outlook і Windows Address Book. Хробак використовує в якості об'єкта атаки випадкові адреси в поштових системах. Програмне забезпечення такого типу може вкрасти імена й паролі користувача зараженого комп'ютера. Найчастіше воно записує зібрану інформацію в окремий файл, який передається на виділений сервер зазначений власником даного шкідливого ПЗ. Як і більшість вірусів закриває активні процеси антивірусних програм, для ускладнення виявлення і відлову його в системі.[3]

Nimda

Nimda — комп'ютерний хробак, який є файловим інфектором. Він швидко поширюється, затьмарюючи економічний збиток, нанесений минулими спалахами, такими як «Code Red». Численні вектори поширення дозволили Nimda стати найпоширенішим вірусом Інтернету протягом 22 хвилин. Nimda зачіпає обидва типи користувацьких автоматизованих робочих місць (клієнтів), що працюють під управлінням Windows 95, 98, Me, NT, 2000 або XP і сервери працюють на Windows NT і 2000. Походження імені хробака походить від слова «admin», написаного справа наліво.

Історія Nimda

Перший різновид хробака сімейства Net-Worm:W32/Nimda була помічена 18-го вересня 2001 року, та швидко поширювалася по всьому світі.

Nimda — складний вірус з компонентом хробака масової розсилки, який поширюється через електронну пошту надсилаючи файл README.EXE. Nimda також використовує коди Unicode, щоб заразити веб-сервер IIS.

Nimda — перший хробак, який змінює наявні вебсайти, для завантаження заражених файлів. Також, це — перший хробак, який використовує комп'ютер, щоб переглядати уразливості вебсайтів. Ця техніка дозволяє Nimda легко заволодіти інтернет-ресурсами, які не мають системи захисту. У хробака є текстовий рядок авторського права, який ніколи не показується:

  • Concept Virus (CV) V. 5, Copyright (C) 2001 R. P. China

Цей хробак о 15:00 за Гринвічем 11-го жовтня 2001 розіслав сотні електронних листів, заражених вірусом. Листи було розіслано за різними адресами з усього світу. Адреса відправника електронних листів «mikko.hypponen@datafellows.com» відноситься до компанії F-Secure, що займається антивірусним захистом. Дійсно F-Secure колись називалася datafellows.com назва компанії було змінено на початку 2000 року. А пан Мікко Хіппонен — менеджер компанії відділу антивірусних досліджень, який не мав жодного стосунку до цього інциденту.

Складові компоненти вірусів

  • Інфікування файлів
  • Масова розсилка
  • Вебхробак
  • Поширення ЛОМ

Nimda був багато в чому ефективним завдяки тому, що він, на відміну від інших вірусів використовує п'ять різних векторів інфекції:

  • електронною поштою
  • через відкриті мережеві ресурси
  • через перегляд шкідливих вебсайтів
  • через використання різних слабких місць Microsoft IIS 4.0 / 5.0[4]

Процес розмноження електронною поштою

Вірус прибуває як повідомлення, що складається з двох секцій. У першій секції знаходиться HTML-скрипти. Друга секція складається з файлу «readme.exe», яке є здійсненним набором команд. Nimda має команду відправляти заражені електронні листи. Хробак зберігає час розсилки останньої партії, переданих електронних листів, і кожні 10 днів повторює процес збору адрес розсилки хробака електронною поштою. Адреси електронної пошти, які призначені для того, щоб прийняти хробака, зібрані з двох джерел:

  • .htm і .html файли, знайдені в теках користувача
  • електронні листи надіслані користувачем

Поширення багатовекторного хробака у файловій системі

Nimda створює численні закодовані копії себе, при цьому використовує файли з розширеннями .eml та .nws у всіх перезаписуваних довідниках, до яких користувач має доступ. Якщо користувач, що використовує інший комп'ютер, запустить на спільних з зараженим комп'ютером ресурсах копію файлу хробака, то систему буде заражено. Як вже було сказано, через 22 хвилини після створення вірусу NIMDA ним було заражено більше 3 мільярдів комп'ютерів.

Примітки

  1. Email-Worm.Win32.Fizzer
  2. Worm:W32/Fizzer
  3. Fizzer: многовекторный червь нападает через e-mail и KaZaA
  4. Introduction to computer security

Див. також

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.