Классификация вирусов
(Окончание. Начало в №25)
NetWorms
Сетевой червь - вредоносный программный код, распространяющий свои копии по локальным или (и) глобальным сетям с целью: проникновения на компьютеры-жертвы, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, ISQ, P2P- и IRC-сети, LAN, сети обмена данными между мобильными устройствами.
Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно.
Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные бреши в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).
Теперь, пожалуй, подробнее о классах сетевых червей:
- Почтовые черви (Email-Worm)
Данный класс сетевых червей использует для распространения электронную почту. При этом червь отправляет жертве письмо с прикреплённым телом кода либо в письме присутствует ссылка на ресурс (естественно, заражённый).
Для отправки сообщений червями используются следующие способы:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Для поиска адресов жертв чаще всего используются адресная книга MS Outlook, но также может использоваться адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Могут отсылать свои копии по всем письмам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
- Черви, использующие интернет-пейджеры (IM-Worm)
Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный приём практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
- Черви в IRC-каналах (IRC-Worm)
Черви этого класса используют два вида распространения: первый - посылание пользователю URL-ссылки на файл-тело; второй - отсылка пользователю файла (при этом пользователь должен подтвердить приём).
- Черви для файлообменных сетей (P2P-Worm)
Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берёт на себя - при поиске файлов в сети она сообщит удалённым пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с заражённого компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно (при этом червь предлагает для скачивания свою копию).
- Прочие сетевые черви (NET-Worm)
Существуют прочие способы заражения удалённых компьютеров, например:
- копирование червя на сетевые ресурсы;
- проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
- проникновение в сетевые ресурсы публичного использования;
- паразитирование на других вредоносных программах.
Используя первый способ, червь ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам.
Для проникновения вторым способом червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос) и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.
Hacktools
К прочим вредоносным относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удалённые серверы, взлома других компьютеров и т. п.
- Сетевые атаки (Dos, DDoS)
Эти "утилиты" используются нарушителями для организации атак на отказ в обслуживании. При выполнении атаки в адрес жертвы отправляется большое количество пакетов, в результате оборудование не справляется и наступает так называемый "висюк". Программы данного класса бывают двух видов: первый - атака производится с компьютера злоумышленника, с его приказа; второй - осуществляется распределительная атака, путём заражения компьютеров (такой компьютер называется компьютером-зомби), пользователь работает в сети и при этом не подозревает, что его компьютер - участник распределительной атаки направленной на отказ в обслуживании.
- Взломщики удалённых компьютеров (Exploit, Hacktool)
Эти программы используются хакерами для удалённого взлома компьютеров с целью дальнейшего управления ими. При этом эксплоиты направлены непосредственно на работу с уязвимостями.
- "Замусоривание" сети (Flood)
Забивание каналов Интернета бесполезной информацией.
- Конструкторы (Constructor)
Софт, использующийся, как правило, малограмотными людьми, т.к. позволяют наиболее просто создавать троянские программы и т.д. Люди знающие обычно пишут свои;)).
- Фатальные сетевые атаки (Nuker)
Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.
- Введение пользователя в заблуждение (Bad-Joke, Hoax)
Это, в общем-то, и вредоносной программой назвать нельзя. Это программка, которая заставляет пользователя испытать страх, эквивалентный тому, который ощущает пользователь, видя надпись типа: "Warning! System has bin delete"; ну, или что-то в этом роде.
- Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor)
Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное программное обеспечение от антивирусных программ. Ещё их называют пакерами. А вредоносный код, зашифрованный пакером, - пакованный.
- "Полиморфы" (PolyEngine)
Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в их коде не заложены действия на размножение, порчу информации и т.д. Но, всё же...
Вот и всё, что я хотел сказать о классификации вредоносного ПО. Теперь, думаю, вы имеете представление о фауне бактерий, обитающих в цифровой среде.
Евгений КУЧУК,
[email protected]
SASecurity gr.
Горячие темы