Сетевые черви (Network worms)

Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для размножения сетевые протоколы и устройства.

Задача вредоносного объекта такого рода состоит в том, чтобы попасть на компьютер, активироваться и отправить копии самого себя на машины других пользователей. По форме существования сетевые черви бывают обычными и пакетными. Обычные, проникая в систему через флеш-накопитель или интернет, воспроизводят себя в большом количестве, а затем рассылают эти дубли по электронным адресам, найденным на компьютере, или распределяют их по папкам общего доступа в локальной сети. Пакетные (или бесфайловые) черви существуют в виде особого сетевого пакета; внедрившись в устройство, они стремятся проникнуть в его оперативную память с целью сбора персональных данных и другой ценной информации.

Классификация и способы распространения

Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.

К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.

• Репликация через сеть. Червь находит удаленные ПК и воспроизводит себя в разных каталогах, где можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможны попытки открыть общий сетевой доступ к дискам зараженного компьютера.
• Репликация через уязвимости операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО и отправляют запрос либо сетевой пакет для эксплуатации изъянов, обеспечивая попадание произвольного кода в машину жертвы.
• Репликация через ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их загрузит и запустит уже на своем компьютере.
• Паразитирование на других вредоносных программах. Например, червь находит ПК, который уже заражен бекдором, и использует этот хакерский инструмент для собственного распространения.

Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:

• Почтовые черви (Email-Worm) — рассылаются по сети в виде приложений к сообщениям электронной почты. Это может быть копия самого червя или ссылка на файл, размещенный на вредоносном веб-ресурсе. Для активации полученного кода нужно открыть полученный файл или нажать на ссылку для перехода; впрочем, в истории киберпреступности известны и случаи, когда достаточно было просто открыть полученное письмо. Адреса, куда будут отправлены копии червя, берутся из адресной книги почтового клиента, из базы WAB и прочих файлов, имеющихся на диске.
• IM-черви (IM-Worm) — вредоносные объекты, которые пользуются службами мгновенного обмена сообщениями. Они во многом похожи на почтовых червей, отличаясь главным образом тем, что рассылают файлы или ссылки по списку контактов в мессенджере, а не по базе почтовых адресов.
• IRC-черви (IRC-Worm) — разновидность червей, распространяющаяся по чат-каналам.
• Черви для файлообменных сетей (Р2Р-Worm) — вредоносные программы, которые распространяются через торрент-трекеры и другие подобные сервисы. Копия червя внедряется в каталог обмена файлами, находящийся на локальном устройстве, под видом популярного контента.
• Сетевые черви (Network Worm или Net-Worm) — общее название для объектов, проникающих в систему через локальную сеть.

Объект воздействия

Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:

• замедленная работа компьютера,
• уменьшение места на жестком диске и объема свободной оперативной памяти,
• возникновение посторонних файлов,
• проблемы с работой какой-либо программы или приложения,
• появление ошибок, внезапное выключение машины, самопроизвольная перезагрузка,
• потеря данных.

В 2003 году червь SQL Slammer, рассылая множество сетевых пакетов, остановил работу десятков тысяч серверов в разных странах мира. В 2017 году этот вредоносный объект заработал снова. О том, какая опасность подстерегает пользователей, можно узнать из статьи «Check Point: Сетевой червь SQL Slammer возобновил свою активность».

Источник угрозы

Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.

Анализ риска

Как отмечено выше, червь может быть относительно безобиден, лишь создавая дополнительную нагрузку на компьютер и сеть. Тем не менее, многие черви имеют и по-настоящему вредоносные функции вроде уничтожения данных или отключения систем безопасности.

Для защиты от сетевых червей необходимо использовать:

• антивирусные программы,
• межсетевые экраны,
• антиспам-решения;
• обновленные и современные операционные системы.

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Поиск

• Детектируемые объекты
  • Кто и почему создает вредоносные программы?
  • Три условия существования вредоносных программ
  • Способы проникновения вредоносных программ в систему
  • Классификация детектируемых объектов
    • Типы детектируемых объектов
      • Вредоносные программы
        • Вирусы и черви
        • Троянские программы
        • Подозрительные упаковщики
        • Вредоносные утилиты
        • Adware
        • Pornware
          • Porn-Dialer
          • Porn-Downloader
          • Porn-Tool
          • Client-SMTP
          • Client-P2P
          • Client-IRC
          • Dialer
          • FraudTool
          • Monitor
          • NetTool
          • PSWTool
          • RemoteAdmin
          • RiskTool
          • Server-Web
          • Server-Telnet
          • Server-Proxy
          • Server-FTP
          • WebToolbar
          • 1970-е
          • 1980-е
          • 1987
          • 1988
          • 1989
          • 1990
          • 1991
          • 1992
          • 1993
          • 1994
          • 1995
          • 1996
          • 1997
          • 1998
          • 1999
          • 2000
          • 2001
          • 2002
          • 2003
          • 2004
          • 2005
          • 2006
          • Выбор антивирусной защиты
          • Качество антивирусной защиты и проблемы антивирусных программ
          • Новые технологии против традиционных решений
          • Независимое тестирование
          • Что такое спам
          • Что такое «фишинг»
          • Инфраструктура спам-рынка
          • Вред от спама
          • Тематики спама
            • Спам «для взрослых»
            • «Цепочечные письма»
            • Фармацевтический спам
            • «Нигерийские» письма
            • Поддельные уведомления о выигрыше в лотерею
            • «Личные финансы»
            • Программные уязвимости
              • Примеры распространенных уязвимостей
              • Статистика использования уязвимостей

              Продукты для дома

              Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

              Бесплатные утилиты

              Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

              О компании

              Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.

              Пробные версии

              Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

              Связаться с нами

              Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

              При подготовке материала использовались источники:
              https://www.anti-malware.ru/threats/network-worms

              Net-Worm