Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Net Worms






До даної категорії відносяться програми, що поширюють свої копії по локальних і/або глобальних мережах з метою:

  • проникнення на віддалені комп'ютери;
  • запуску своєї копії на віддаленому комп'ютері;
  • подальшого розповсюдження на інші комп'ютери в мережі.

Для свого поширення мережеві віруси використовують різноманітні комп'ютерні і мобільні мережі: електронну пошту, системи обміну миттєвими повідомленнями, файлообмінні (P2P) і IRC-мережі, LAN, мережі обміну даними між мобільними пристроями (телефонами, кишеньковими комп'ютерами) і т. д.

Більшість відомих мережевих вірусів розповсюджується у вигляді файлів: вкладення в електронний лист, посилання на заражений файл на якому-небудь веб- або FTP-ресурсі в ICQ- і IRC-повідомленнях, файл в каталозі обміну P2P і т. д.

Існують мережеві віруси (так звані «бесфайлові» або «пакетні мережевий віруси»), що розповсюджуються у вигляді мережевих пакетів, проникають безпосередньо в пам'ять комп'ютера і активізують свій код. Для проникнення на віддалені комп'ютери і запуску своєї копії мережеві віруси використовують різні методи: соціальний інжиніринг (наприклад, текст електронного листа, що закликає відкрити вкладений файл), недоліки в конфігурації мережі (наприклад, копіювання на диск, відкритий для повного доступу), помилки в службах безпеки операційних систем і програм.

Деякі мережевий віруси мають властивості інших різновидів шкідливого програмного забезпечення. Наприклад, деякі мережеві віруси містять троянські функції або здатні інфікувати виконувані файли на локальному диску, тобто мають властивість троянської програми і/або комп'ютерного вірусу.

Суттєвою ознакою, за якою можна класифікувати мережеві віруси, є спосіб розповсюдження віруса — тобто, яким чином він передає свою копію на віддалені комп'ютери. Іншими ознаками відмінності даних вірусів між собою є способи запуску копії віруса на комп'ютері, що інфікується, методи впровадження в систему, а також поліморфізм, «стелс» і інші характеристики, властиві і іншим типам шкідливого програмного забезпечення.

Email-Worm: — поштові мережеві віруси для свого розповсюдження використовують електронну пошту. При цьому мережевий вірус посилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на якому-небудь мережевому ресурсі (наприклад, URL на заражений файл, розташований на зламаному або завчасно підготовленому веб-сайті). В першому випадку код мережевий віруса активізується при відкритті (запуску) інфікованого вкладення, в другому — при відкритті посилання на заражений файл. В обох випадках ефект однаковий — активізується код мережевого віруса.

Для відправки заражених повідомлень поштові мережеві віруси використовують різні способи. Найбільш поширені:

· пряме підключення до SMTP-серверу, використовуючи вбудовану в код мережевий віруса поштову бібліотеку;

· використання сервісів MS Outlook;

· використання функцій Windows MAPI (en: Messaging Application Programming Interface – дозволяє отримувати, читати, створювати, відправляти поштові повідомлення, приєднувати до них файли, або отримувати доступ до цих файлів).

Різні методи використовуються поштовими мережевий вірусами для пошуку поштових адрес, на які розсилатимуться заражені листи. Поштові мережеві віруси спроможні:

· розсилати себе за всіма адресами, знайденими в адресній книзі MS Outlook;

· зчитувати адреси адресної бази WAB;

· сканувати «відповідні файли» на диску і знаходити в них рядки, що є адресами електронної пошти;

· розсилати себе за всіма адресами, знайденими в листівках з поштовї скриньки (при цьому деякі поштові мережеві віруси «відповідають» на знайдені листи).

Багато мережевих вірусів використовують відразу декілька з перерахованих методів. Зустрічаються також і інші способи пошуку адрес електронної пошти.

IM-Worm: — віруси, що використовують інтернет-пейджери. Використовують єдиний спосіб розповсюдження — розсилку на знайдені контакти (з контакт-листа) повідомлень, що містять URL на файл, розташований на якому-небудь веб-сервері. Даний прийом практично повністю повторює аналогічний спосіб розсилки, що використовується поштовими мережевий вірусами.

IRC-Worm: — віруси в IRC-каналах. Як і поштові мережеві віруси, мають два способи розповсюдження по IRC-каналах, повторюючі способи, описані вище. Перший полягає у відсиланні URL-посилання на копію мережевий віруса. Другий спосіб — відсилання інфікованого файлу якому-небудь користувачу мережі. Користувач, що при цьому атакується, повинен підтвердити прийом файлу, потім зберегти його на диск і відкрити (запустити на виконання).

Net-Worm: — інші мережеві віруси. Існують багато інших способів зараження віддалених комп'ютерів, наприклад:

§ копіювання віруса на мережеві ресурси - даний спосіб полягає в тому, що мережевий вірус шукає віддалені комп'ютери і копіює себе в каталоги, відкриті на читання і запис (якщо такі знайдені). При цьому мережеві віруси даного типа або перебирають доступні мережеві каталоги, використовуючи функції операційної системи, і/або випадковим чином шукають комп'ютери в глобальній мережі, підключаються до них і намагаються відкрити їх диски для повного доступу.

§ проникнення мережевого віруса на комп'ютер через уразливості в операційних системах і додатках - віруси шукають в мережі комп'ютери, на яких використовується програмне забезпечення, що містить критичні уразливості. Для зараження уразливих комп'ютерів мережевий вірус посилає спеціально оформлений мережевий пакет або запит (експлойт уразливості), внаслідок чого код (або частина коду) мережевого віруса проникає на комп'ютер-жертву. Якщо мережевий пакет містить тільки частину коду мережевого віруса, він потім викачує основний файл і запускає його на виконання.

§ проникнення в мережеві ресурси публічного використання – дана підгрупа містить окрему категорію мережевих вірусів, що використовують для свого розповсюдження web- і FTP-сервери. Зараження відбувається в два етапи. Спочатку мережевий вірус проникає в комп'ютер-сервер і необхідним чином модифікує службові файли серверу (наприклад, статичні веб-сторінки). Потім мережевий вірус «чекає» відвідувачів, які отримають інформацію із інфікованого серверу (наприклад, відкривають заражену веб-сторінку), і таким чином проникає на інші комп'ютери в мережі.

§ паразитування на інших шкідливих програмах - віруси, що паразитують на інших мережевий вірусах і/або троянських програмах віддаленого адміністрування (бекдорах). Такі мережеві віруси використовують той факт, що значна кількість бекдорів дозволяє за певною командою викачувати вказаний файл і запускати його на локальному диску. Те ж можливо з деякими мережевими вірусами, що містять бекдор-процедури. Для зараження віддалених комп'ютерів дані мережеві віруси шукають інші комп'ютери в мережі і посилають на них команду викачування і запуску своєї копії. Якщо комп'ютер, що атакується, виявляється вже зараженим «відповідною троянською програмою», мережевий вірус проникає в нього і активізує свою копію.

Слід зазначити, що багато комп'ютерних мережевих вірусів використовують більше одного способу розповсюдження своїх копій по мережах, використовуючи два і більше методів атаки віддалених комп'ютерів.

P2P-Worm: — мережеві віруси для файлообмінних мереж. Механізм роботи більшості подібних мережевих вірусів достатньо простий — для впровадження в P2P-мережу вірусу достатньо скопіювати себе в каталог обміну файлами, який зазвичай розташовано на локальній машині. Решту роботи по розповсюдженню вірусу бере на себе сама P2P-мережа — при пошуку файлів в мережі вона повідомить віддалених користувачів про даний файл і надасть весь необхідний сервіс для викачування файлу із інфікованого комп'ютера.

Існують складніші P2P-мережеві віруси, які імітують мережевий протокол конкретної файлообмінної системи і на пошукові запити відповідають позитивно — при цьому мережевий вірус пропонує для викачування свою копію.

 


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.007 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал