Зловреды: кто есть кто

Классификация вирусов

(Окончание. Начало в №25)


NetWorms

Сетевой червь - вредоносный программный код, распространяющий свои копии по локальным или (и) глобальным сетям с целью: проникновения на компьютеры-жертвы, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, ISQ, P2P- и IRC-сети, LAN, сети обмена данными между мобильными устройствами.

Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно.

Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные бреши в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).

Теперь, пожалуй, подробнее о классах сетевых червей:

- Почтовые черви (Email-Worm)

Данный класс сетевых червей использует для распространения электронную почту. При этом червь отправляет жертве письмо с прикреплённым телом кода либо в письме присутствует ссылка на ресурс (естественно, заражённый).

Для отправки сообщений червями используются следующие способы:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Для поиска адресов жертв чаще всего используются адресная книга MS Outlook, но также может использоваться адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Могут отсылать свои копии по всем письмам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.

- Черви, использующие интернет-пейджеры (IM-Worm)

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный приём практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

- Черви в IRC-каналах (IRC-Worm)

Черви этого класса используют два вида распространения: первый - посылание пользователю URL-ссылки на файл-тело; второй - отсылка пользователю файла (при этом пользователь должен подтвердить приём).

- Черви для файлообменных сетей (P2P-Worm)

Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берёт на себя - при поиске файлов в сети она сообщит удалённым пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с заражённого компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно (при этом червь предлагает для скачивания свою копию).

- Прочие сетевые черви (NET-Worm)

Существуют прочие способы заражения удалённых компьютеров, например:

  • копирование червя на сетевые ресурсы;
  • проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
  • проникновение в сетевые ресурсы публичного использования;
  • паразитирование на других вредоносных программах.

Используя первый способ, червь ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам.

Для проникновения вторым способом червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос) и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.


Hacktools

К прочим вредоносным относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удалённые серверы, взлома других компьютеров и т. п.

- Сетевые атаки (Dos, DDoS)

Эти "утилиты" используются нарушителями для организации атак на отказ в обслуживании. При выполнении атаки в адрес жертвы отправляется большое количество пакетов, в результате оборудование не справляется и наступает так называемый "висюк". Программы данного класса бывают двух видов: первый - атака производится с компьютера злоумышленника, с его приказа; второй - осуществляется распределительная атака, путём заражения компьютеров (такой компьютер называется компьютером-зомби), пользователь работает в сети и при этом не подозревает, что его компьютер - участник распределительной атаки направленной на отказ в обслуживании.

- Взломщики удалённых компьютеров (Exploit, Hacktool)

Эти программы используются хакерами для удалённого взлома компьютеров с целью дальнейшего управления ими. При этом эксплоиты направлены непосредственно на работу с уязвимостями.

- "Замусоривание" сети (Flood)

Забивание каналов Интернета бесполезной информацией.

- Конструкторы (Constructor)

Софт, использующийся, как правило, малограмотными людьми, т.к. позволяют наиболее просто создавать троянские программы и т.д. Люди знающие обычно пишут свои;)).

- Фатальные сетевые атаки (Nuker)

Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

- Введение пользователя в заблуждение (Bad-Joke, Hoax)

Это, в общем-то, и вредоносной программой назвать нельзя. Это программка, которая заставляет пользователя испытать страх, эквивалентный тому, который ощущает пользователь, видя надпись типа: "Warning! System has bin delete"; ну, или что-то в этом роде.

- Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor)

Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное программное обеспечение от антивирусных программ. Ещё их называют пакерами. А вредоносный код, зашифрованный пакером, - пакованный.

- "Полиморфы" (PolyEngine)

Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в их коде не заложены действия на размножение, порчу информации и т.д. Но, всё же...

Вот и всё, что я хотел сказать о классификации вредоносного ПО. Теперь, думаю, вы имеете представление о фауне бактерий, обитающих в цифровой среде.

Евгений КУЧУК,
q@sa-sec.org
SASecurity gr.

Версия для печатиВерсия для печати

Номер: 

27 за 2008 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!