Многовекторный червь
Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе. В некоторых случаях черви повреждают файлы и негативно влияют на работу компьютера (если это предусмотрено создателем).
Представители многовекторных червей
Fizzer
«Fizzer» — многовекторный сетевой червь, распространяющийся по ресурсам Интернета. Такое вредоносное программное обеспечение (ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером[1].
История Fizzer
Fizzer — сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.
Заражение
Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь-жертва запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.
Файл ISERVC.EXE — главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:
- ISERVC.EXE
- INITBAK.DAT
и параллельно создает 2 файла в справочнике Windows:
- ISERVC.DLL
- PROGOP.EXE
Файл ISERVC.DLL — регистрирующий ключ компонент, и PROGOP.EXE. Перед рассылкой червь повторно собирает свой файл, используя этот компонент.
Составляющие компоненты Fizzer
Все ресурсы кроме первого зашифрованы и сжаты
- список адресов электронной почты
- файл progop.exe
- файл iservc.dll
- скрипты (код) поведения
- текстовые строки
Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот же скрипт управляет поведением червя в определенных условиях[2].
Вредоносное ПО подобного рода, как и любое другое вредоносное ПО распространяется различными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО «Fizzer» сканирует адресные книги Microsoft Outlook и Windows Address Book. Червь использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного компьютера. Чаще всего оно записывает собранную информацию в отдельный файл, который передается на выделенный сервер указанный владельцем данного вредоносного ПО. Как и большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе[3].
Nimda
Nimda — компьютерный червь, являющийся файловым инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом Интернета в течение 22 минут.[] Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево.
История Nimda
Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.
Nimda — сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE. Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.
Nimda — первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также, это — первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет-ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:
- Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China
Этот червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем «mikko.hypponen@datafellows.com» относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен — менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.
Составляющие компоненты Nimda
Фактически Nimda состоит из четырёх частей:
- Инфицирование файлов
- Массовая рассылка
- Веб-червь
- Распространение ЛВС
Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:
- по электронной почте
- через открытые сетевые ресурсы
- через просмотр вредоносных веб-сайтов
- через использование различных слабых мест Microsoft IIS 4.0 / 5.0[4]
Процесс размножения по электронной почте
Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML-скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду отправлять зараженные электронные письма. Червь хранит время рассылки последней партии, переданных электронных писем, и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:
- .htm и.html файлы найденные в папках пользователя
- электронные письма отправленные пользователем
Распространение многовекторного червя в файловой системе
Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена. К тому же, как уже было сказано, после 22 минут от создания вируса NIMDA, было заражено более 3 миллиардов компьютеров.[]
Примечания
- ↑ [1] Email-Worm.Win32.Fizzer
- ↑ [2] Архивная копия от 19 сентября 2018 на Wayback Machine Worm:W32/Fizzer
- ↑ [3] Архивная копия от 4 марта 2016 на Wayback Machine Fizzer: многовекторный червь нападает через e-mail и KaZaA
- ↑ [4] Архивная копия от 30 июня 2016 на Wayback Machine Introduction to computer security
См. также
- Сетевой червь
- Компьютерные вирусы
- Хронология компьютерных вирусов и червей
- Антивирусная программа
- История компьютерных вирусов