Сетевые черви

Классификация вредоносов

В наше время каждый знает, что такое компьютерный вирус. Однако не каждый знает, что компьютерные вирусы - только часть вредоносного программного обеспечения.

На самом деле не каждая программа, которая может негативно повлиять на работу компьютера, является вирусом. Как правило, у каждой антивирусной корпорации есть своя классификация, согласно, которой эксперты ее лаборатории определяют принадлежность нового вредоносного кода. У разных корпораций один и тот же код будет иметь разные названия. Именно разность классификаций тому виной. Попытка создать единую систему классификации и именования вирусов была предпринята на встрече CARO (Computer Antivirus Researchers Organization - организация исследователей компьютерных вирусов) в 1991 году. Кроме того, в 2005 году американская организация US-CERT, занимающаяся проблемами в области компьютерной безопасности, предложила использовать стандартные названия для интернет-червей и других вредоносных программ. Члены US-CERT назвали свою программу “Общая классификация вредоносных программ” (CME). Цель программы - не вводить пользователей в заблуждение, используя разные названия для одних и тех же вирусов.

Классификация вредоносных программ по версии Microsoft:

В Microsoft разделяют все вредоносные программы (Malware) на:

1. Viruses (вирусы и черви): - Trojan horse - Virus – Worm;

2. Spyware (шпионские программы).

Классификация вредоносных программ по версии Лаборатории Касперского (опубликована в вирусной энциклопедии):

Сетевые черви

Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от других типов компьютерных вирусов червь является самостоятельной программой.

Механизмы распространения.

Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы. Exploit (Эксплойт) – это компьютерная программа, блок данных или фрагмент программного кода, которые способны вызвать некорректную работу ПО, и тем самым предоставить злоумышленнику (вредоносному ПО) контроль над системой или же нарушить ее функционирование.

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «deface» - портить, стирать, коверкать и т.д.(перевод)), заранее запрограммированной DDoS-атаке с компьютеров жертв на отдельный веб-сервер, или бэкдор для удалённого контроля над компьютером-жертвой.

Бэкдор, backdoor (от англ. back door, чёрный ход) — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор.

Есть 3 вида предоставления shell-доступа (shell – оболочка операционной системы):

· «BindShell» — самый распространённый, работает по архитектуре «клиент-сервер», то есть бэкдор ожидает соединение.

· «Back Connect» — применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.

· «Middle Connect» — бэкдор и компьютер хакера обмениваются данными через дополнительный сервер.

Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: - проникновения на удаленные компьютеры; - запуска своей копии на удаленном компьютере; - дальнейшего распространения на другие компьютеры в сети.

К ним относятся: - Email-Worm - почтовые черви - IM-Worm - черви, использующие интернет-пейджеры - IRC-- IRC-Worm - черви в IRC-каналах - Net-Worm - прочие сетевые черви - P2P-Worm - черви для файлообменных сетей

Основное назначение Backdoor – скрытное управление компьютером. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают её после заражения ПК. Второй особенностью многих Backdoor-программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей – при этом попытки взлома ведутся с компьютера ничего не подозревающего пользователя.