1. Главная страница » Компьютеры

Http www viruslist ru сетевые черви

Автор: | 16.12.2019
Нет комментариев

Читайте также:

  1. III. УЧЕБНО-МАТЕРИАЛЬНОЕ ОБЕСПЕЧЕНИЕ
  2. IV. Учебно-материальное обеспечение
  3. IV. Учебно-материальное обеспечение
  4. IV. Учебно-материальное обеспечение
  5. IV. Учебно-материальное обеспечение
  6. L Организация экономного расходования и надлежащего хранения сырья, а также обеспечение его сохранности без снижения его качества
  7. N Основной функцией крови является обеспечение взаимосвязи метаболизма между различными органами и системами
  8. V. Учебно-материальное обеспечение
  9. V. Учебно-материальное обеспечение
  10. V. Учебно-материальное обеспечение
  11. V. Учебно-материальное обеспечение
  12. V. Учебно-материальное обеспечение

Классификация угроз по различным признакам.

Точной и единой классификации угроз не существует ввиду их большого разнообразия и постоянного изменения состава угроз. Далее будет рассмотрена классификация по нескольким различным признакам.

по цели реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности, несанкционированное использование вычислительных ресурсов;

по причине появления используемой ошибки защиты: (то о чем я говорил немого раньше) технологические недостатки, недостатки конфигурации, неадекватность политики безопасности (сюда же еще иногда относят ошибки проектирования, но их можно включить в технологические недостатки);

по способу воздействия: в интерактивном и пакетном режимах (в качестве примера для первого, когда злоумышленник использует для взлома удаленный доступ, для второго – распространение вируса);

по используемым средствам атаки: с использованием штатного программного обеспечения, с использованием разработанного программного обеспечения;

по состоянию объекта атаки: при хранении объекта, при передаче объекта, при обработке объекта.

Возможно значительное количество классификаций по другим признакам.

Теперь переходим к рассмотрению конкретных видов угроз.

http://www.viruslist.ru— Большая вирусная энциклопедия от производителей AVP.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации (т.е. нарушения целостности информации). Кроме того, они могут перегружать каналы связи (нарушение доступности) и самостоятельно передавать создателю какие-либо ценные данные (нарушение конфиденциальности). В корпоративной сети АвтоВАЗа именно вирусы на данный момент одна из главных проблем безопасности.

Точных сведений по поводу рождения первого компьютерного вируса нет. Но на компьютерах Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Существует несколько типов вредоносного кода, от которого необходимо защищать систему. Хотя такой код обобщенно называют "вирусами", существует разница между вирусами, троянцами и червями.

Вирус — это небольшая программа, которая написана с целью изменения без ведома пользователя функционирования компьютера. Вирусы имеют исполняемый код либо в виде самостоятельной программы, либо в виде макроса, содержащегося в другом файле, и он должен иметь возможность копировать самого себя, чтобы продолжать работу после завершения начальной программы или макроса.

В отличие от сетевых червей вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия компьютерного вируса попадает на удалённый компьютер только в том случае, если зараженный объект оказывается активизированным на другом компьютере по причинам, не зависящим от функционала вируса, например:

— при заражении доступных дисков вирус проникает в файлы, расположенные на сетевом ресурсе;

— вирус копирует себя на съёмные носители или заражает файлы на них;

— пользователь отослает электронное письмо с зараженным вирусом вложением.

Сетевой червь– это вредоносная программа, которая самостоятельно распространяет свои копии по локальным и/или глобальным сетям.

Черви способны распространяться с одного компьютера на другой посредством копирования зараженного файла либо без помощи файла. “Безфайловые" или "пакетные" черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют следующие методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Троянец (троянская программа, троян) — это вредоносная программа, которая содержится внутри другой внешне безобидной программы. При запуске такой программы (например, хранителя экрана, поздравительной открытки и т.д.) в систему инсталлируется троянец. Троянцы могут выполнять роль spyware (шпионских программ), отправляя конфиденциальную информацию третьей стороне или могут использоваться для атак типа DoS. Основное отличие троянов от вирусов и сетевых червей состоит в том, что трояны сами не размножаются — для инфицирования системы они должны быть запущены вручную.

Атака DoS (Denial of Service) посылает большое количество запросов на некоторый сервер или URL, вызывая сильную загрузку сервера и предотвращая обслуживание им других запросов. Распределенная атака DoS использует вирусы, троянцы или червей для подчинения нескольких компьютеров в Интернет, приказывая им одновременно атаковать некоторый сервер. Т.е., в данном случае речь идет о нарушении доступности.

Таким образом: вирусы распространяются сами, но не используют для этого сеть, черви распространяются самостоятельно по сети, троянцы не распространяются самостоятельно.

С какой целью создаются вирусы?

1. Самоутверждение программистов.

2. Массовая кража данных (пароли, номера кредитных карт).

3. Массовая атака на узлы в Интернет.

Условия появления вредоносных программ для конкретных ОС или приложений:

1. Популярность, широкое распространение данной системы;

2. Наличие разнообразной и достаточно полной документации по системе;

3. Незащищенность системы или существование известных уязвимостей в системе безопасности.

Классификация компьютерных вирусов от Касперского (производителя AVP).

Вирусы можно разделить на классы по следующим основным признакам:

  • среда обитания;
  • операционная система (OC);
  • особенности алгоритма работы;
  • деструктивные возможности.

По среде обитания вирусы можно разделить на:

Файловые вирусы различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания — сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS. Макро-вирусы заражают файлы форматов Word, Excel. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

  • резидентность;
  • использование стелс-алгоритмов;
  • самошифрование и полиморфичность;
  • использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в оперативной памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают оперативную память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

Использование стелс-алгоритмов (stealth, by stealth — украдкой, втихомолку, тайком) позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат зараженные объекты, либо "подставляют" вместо себя незараженные участки информации.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) — это вирусы не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По деструктивным возможностям вирусы можно разделить на:

  • безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
  • неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
  • опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
  • очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к нарушению работы программ и уничтожению данных.

Некоторые вирусы умеют перепрограммировать микросхемы BIOS’а, после чего компьютеру необходим ремонт. И даже, как гласит одна из непроверенных компьютерных легенд, существуют вирусы, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.

Дата добавления: 2014-01-07 ; Просмотров: 1629 ; Нарушение авторских прав? ;

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Сетевой червь — разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные (Интернет) компьютерные сети.

Содержание

История [ править | править код ]

Ранние эксперименты по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год» Дэвида Герролда (1972), в котором были описаны червеподобные программы, и «На ударной волне» ( англ. ) Джона Браннера (1975), где вводится сам термин.

Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный в 1988 г. Робертом Моррисом-младшим, который был в то время студентом Корнеллского Университета. Распространение червя началось 2 ноября, после чего червь быстро заразил примерно 6200 компьютеров (это около 10 % всех компьютеров, подключённых в то время к Интернету).

Механизмы распространения [ править | править код ]

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

  • Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Червь Морриса использовал известные на тот момент уязвимости в программном обеспечении, а именно в почтовом сервере sendmail, сервисе finger и подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
  • Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

Скорость распространения [ править | править код ]

Скорость распространения сетевого червя зависит от многих факторов: от топологии сети, алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий.

Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP, то есть, с любого IP-адреса на любой другой, характерно стремительное распространение. При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты. Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование «блицкриг-червя». Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование «червь Уорхола» — в честь Энди Уорхола, автора изречения:

В будущем каждый получит шанс на 15 минут славы

Эпидемия червя SQL Slammer, заразившего в 2003 г. более 75000 серверов за 10 минут, была близка к этой модели распространения.

Тем не менее, подавляющее большинство червей используют гораздо менее эффективные алгоритмы. Экземпляры типичного червя ищут уязвимые узлы сети методом проб и ошибок — случайным образом. В этих условиях кривая его размножения соответствует решению дифференциального уравнения Ферхюльста и приобретает «сигмовидный» характер. Корректность такой модели была подтверждена в 2001 году во время эпидемии червя CodeRed II. За 28 часов червь заразил около 350000 узлов сети, причем в последние часы скорость его распространения была довольно мала — червь постоянно «натыкался» на ранее уже зараженные узлы.

В условиях активного противодействия со стороны антивирусов, удаляющих экземпляры червя и вакцинирующих систему (то есть делающих её неуязвимой), кривая эпидемии должна соответствовать решению системы уравнений Кермака-Маккендрика с острым, почти экспоненциальным началом, достижением экстремума и плавным спадом, который может продолжаться неделями. Такая картина, действительно, наблюдается в реальности для большинства эпидемий.

Вид кривых размножения для червей, использующих почтовые протоколы (SMTP), выглядит примерно так же, но общая скорость их распространения на несколько порядков ниже. Связано это с тем, что «почтовый» червь не может напрямую обратиться к любому другому узлу сети, а только к тому, почтовый адрес которого присутствует на зараженной машине (например, в адресной книге почтового клиента Outlook Express). Продолжительность «почтовых» эпидемий может достигать нескольких месяцев.

Структура [ править | править код ]

Черви могут состоять из различных частей.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик, как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы по локальной сети, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (к примеру, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

Полезная нагрузка (Payload) [ править | править код ]

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак, рассылки спама или (с недавнего времени) майнинга криптовалют.

Способы защиты [ править | править код ]

По причине того, что сетевые черви для своего проникновения в систему пользователя используют уязвимости в стороннем программном обеспечении или операционной системе, использования сигнатурных антивирусных мониторов недостаточно для защиты от червей. Также, при использовании методов социальной инженерии пользователя под благовидным предлогом вынуждают запустить вредоносную программу, даже несмотря на предупреждение со стороны антивирусного программного обеспечения. Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты. Рассматривается также способ защиты от сетевых червей на основе «кредитов доверия» [1] . Ряд преимуществ дает применение межсетевых экранов и подобных им утилит (например, Windows Worms Doors Cleaner)

«Лаборатория Касперского» выпускает бесплатную утилиту для обнаружения и удаления червя

Всего за 6 дней с момента обнаружения — 18 июля 2001 г. — сетевой червь SirCam распространился по всему миру и прочно занял первое место в списке наиболее распространенных вредоносных программ. На данный момент служба технической поддержки «Лаборатории Касперского» получила десятки тысяч сообщений о случаях заражения SirCam из Франции, США, Канады, Китая, России, Испании, Индии, Великобритании, Германии, Польши, Италии, Турции, Аргентины и многих других стран.

SirCam использует те же технологии распространения и проникновения на компьютеры, что и печально известные черви LoveLetter, Melissa и им подобные. Распространенность SirCam подтверждает тот факт, что многие пользователи не извлекли уроков из ранее произошедших глобальных эпидемий.

SirCam распространяется во вложенных файлах электронной почты. Эти файлы не имеют постоянного названия, расширения и текста письма. Червь рассылается с зараженных компьютеров, — якобы от имени их владельцев. Для этого он, незаметно для пользователя, фабрикует поддельные электронные письма и рассылает их по адресам, найденным на зараженном компьютере. Такое непостоянство внешних признаков заставляет многих пользователей поверить в подлинность и безопасность присылаемых файлов. Ничего не подозревая, они запускают полученные файлы на своих компьютерах, тем самым вызывая их заражение.

Также нельзя забывать об опасных побочных эффектах SirCam: помимо быстрого поглощения свободного места на диске, он удаляет при каждой перезагрузке компьютера все файлы и поддиректории из директории Windows, с вероятностью 5%.

Процедуры защиты от данного сетевого червя были добавлены в базу данных Антивируса Касперского еще 18 июля. «Лаборатория Касперского» настоятельно рекомендует всем пользователям загрузить и подключить соответствующее обновление.

Для пользователей других антивирусных программ «Лаборатория Касперского» разработала специальную программу обнаружения и полного удаления (включая восстановление поврежденного системного реестра Windows) SirCam.

Более подробную информацию о черве SirCam Вы можете получить в «Вирусной энциклопедии».

Читайте также:  Dir 300 как установить пароль на wifi

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *