Сетевые вирусы

Доклад

Сетевые вирусы

Выполнила:

                             Проверил:

Сетевые вирусы - самая распространенная компьютерная болезнь. Эти вирусы  способны самостоятельно передавать свой код на удаленный сервер, при этом они обладают возможностью также самостоятельно запустить зараженный файл. Такие вредители активно распространяются в локальных и глобальных сетях, они жестоко перебирают все локальные диски и сетевые диски с правом доступа и копируются туда под случайным именем. Опасность сетевых паразитов в том, что они по определенным датам активизируются и уничтожают файлы на Вашем зараженном компьютере.

Наиболее распространенное название сетевых вирусов - сетевые черви (worms) - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от других типов компьютерных вирусов червь является самостоятельной программой. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров, и рассылают по этим адресам свои копии.

Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало Альто Джоном Шочем и Йоном Хуппом в 1978. Термин возник под влиянием научно-фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне». Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом младшим, который был в то время студентом Корнельского Университета (распространение червя началось 2 ноября 1988).

В прошлом сетевые вирусы были способны на создание письма, содержащего зараженный файл-документ, затем выбирали из списка адресов случайных адресатов и рассылали по ним зараженное письмо, при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Структура червей:

Часто выделяют так называемые ОЗУ–резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл–кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик, как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).

Еще одним примером является "червяк", который использует для своего распространения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming.

Наиболее современные - почтовые черви. Они распространяются как один файл, им не нужна отдельная «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, «deface»), заранее запрограммированной DDoS-атаке с компьютеров жертв на отдельный веб-сервер, или бэкдор для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные старым.

Наиболее распространенные вирусы-черви (по данным Лаборатории Касперского):

       Email-Worm (18902 видов),

       Net-Worm (15720 видов) – распространяет по глобальным, локальным сетям, сетям файлообмена или вложен в электронное письмо; заражает компьютеры под управлением операционной системы Windows (Linux)

       P2P-Worm (11467 видов) - распространяется через интернет по сетям файлообмена (чаще всего Kazaa и Morpheus), является приложением Windows (PE EXE-файл)

       IM-Worm (3508 видов) - распространяется при помощи Windows Messenger; является приложением Windows (PE EXE-файл)

       IRC-Worm (1168 видов) - распространяется по chat-каналам mIRC и PIRCH; Передается из сети на компьютер в виде DOS-файла README.EXE; вирусная часть перехватывает INT 21h и записывается в конец DOS COM- и EXE-файлов при их запуске или открытии

Недавно появившееся компьюторные черви:

       Email-Worm.Win32.NetSky.q

       Email-Worm.Win32.Warezov.dn

       Email-Worm.Win32.Bagle.gen

       Email-Worm.Win32.Scano.gen

       Email-Worm.Win32.Mydoom.l

       Email-Worm.Win32.NetSky.aa

       Net-Worm.Win32.Mytob.c

Одной из разновидностей вирусов является троянский вирус. Троянская программа (троян, троянец, троянский конь, трой) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальную коварность истинных замыслов разработчика программы.

Действие троянской программы может и не быть в действительности вредоносным, но трояны заслужили свою дурную славу за их использование в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением. Троянец узнает идентификатор и пароль для доступа в интернет, и отправляют их на определенный почтовый адрес. В результате злоумышленники получают возможность доступа в Интернет за деньги пользователя. Распространение вируса базируется на том, что вирус после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя.

Троянская программа запускается пользователем вручную или автоматически — программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п.

Троянская программа может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). В том числе, злоумышленник может собрать существующую программу с добавлением к её исходному коду троянские компоненты, а потом выдавать за оригинал или подменять его.

Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.

По данным Лаборатории Касперского всего существует более 2144318 видов троянских программ.

Наиболее распространенные троянские программы (по данным Лаборатории Касперского):

       Trojan –ArcBomb

       Trojan – Clicker

       Trojan – DDoS

       Trojan – Downloader

       Trojan – Dropper

       Trojan – GameThief

       Trojan – IM

       Trojan – Notifier

       Trojan – Proxy

       Trojan – Ransom

       Trojan – SMS

       Trojan – Spy

       Trojan – Mailfinder

       Trojan – PSW

Вирусная пятёрка недели (Dr.Web):

       Trojan.DownLoad.47256              21.44%

       Trojan.Fakealert.5115              14.99%

       Trojan.Fakealert.5238              11.23%

       Trojan.DownLoad.37236              6.45%

       Trojan.Fakealert.5437              5.37%

Ущерб от атак вредоносных программ

Ущерб от проникновения вируса в домашний компьютер или компьютерную сеть предприятия может быть совершенно разным: от незначительного увеличения размера исходящего трафика (если внедрён троянец, рассылающий спам) до полного отказа работы сети или потери жизненно важной информации. Однако наносимый вирусом ущерб напрямую зависит от целей вируса, и результаты вирусной жизнедеятельности могут оказаться совершенно незаметными для пользователя заражённого компьютера — как «повезёт».

Работоспособность компьютеров и компьютерных сетей

Отказ в работе компьютеров и сетей или резкое замедление их работы бывает преднамеренным или случайным. В случае преднамеренной атаки вирус или троянская программа либо уничтожает критически важные элементы системы, чем приводит её в неработоспособное состояние, либо перегружает сеть DDoS-атакой, либо каким-либо еще образом влияет на работоспособность системы.

Часто фатальные проблемы являются результатом ошибки либо в коде вируса, либо в логике работы вредоносного кода. Ошибки есть в любом программном продукте, в том числе и в вирусах. К тому же маловероятно, что вирусы перед их запуском проходят столь же тщательное тестирование как, например, коммерческие программные продукты. Иногда вредоносные программы оказываются несовместимыми с программами и «железом», установленными на атакуемой системе, — в результате происходит сбой в работе компьютера, сервера, либо заполнение паразитным трафиком и паралич сети предприятия. Подобное случается довольно часто.

Но изредка происходят и гораздо более масштабные события. Одно из них состоялось в 1988 году в США, когда вирус Morris Worm вызвал эпидемию в прародителе современного интернета — сети Arpanet. Всего оказалось заражено более 6000 компьютеров — около 10% всех компьютеров этой сети. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам, запускал их на выполнение и, в результате, полностью забрал себе все ресурсы, парализовав работу сети.

Современный червь Slammer (январь 2003) вызвал «веерные» отключения интернета в США, Южной Корее, Австралии и Новой Зеландии. В результате неконтролируемого распространения червя нагрузка на интернет выросла на 25%. Из-за нарушений в работе сети была прекращена часть операций «Банка Америки» (Bank of America). Огромный ущерб также был нанесён сетевыми червями Lovesan (Blaster, MSBlast), Mydoom, Sasser и прочими червями, вызвавшими глобальные эпидемии — по причине их неконтролируемого распространения авиакомпаниями отменялись рейсы, прекращали работать банки и т.д.

Отказ работы «железа»

Вирус, как причина поломки компьютерного «железа» — явление крайне редкое, поскольку современные компьютеры достаточно хорошо защищены от программных сбоев. Однако в 1999 году срабатывание «бомбы» в вирусе CIH (также известного как «Чернобыль») привело к тому, что заражённые системы оказались неработоспособными. Вирус стирал данные на перезаписываемой памяти BIOS (Flash BIOS), и компьютер переставал даже включаться. В случае обычного настольного компьютера для восстановления работоспособности надо было обратиться к специалистам (в сервис-центр) и перезаписать Flash BIOS. На многих ноутбуках микросхема Flash BIOS оказалась впаянной в материнскую плату (вместе с диском, видеокартой и прочим «железом»), и в результате стоимость ремонта превышала стоимость покупки нового ноутбука — разрушенные компьютеры просто выкидывались. Всего в мире в результате срабатывания «бомбы» пострадало несколько сотен тысяч компьютеров — сколько из них не подлежало ремонту?

Изредка встречаются троянские программы, периодически открывающие и закрывающие лоток CD/DVD-привода — несмотря на достаточную надёжность современного «железа», теоретически они могут стать причиной поломки привода тех компьютеров, которые не выключаются продолжительное время.

Потеря или кража информации

Если целью атаки является уничтожение или кража информации, то ущерб от успешной атаки равен стоимости этой информации. Если атакован домашний компьютер, который используется только для развлечений, то цена вопроса минимальна. Если же под удар попадает важная информация, то может пропасть результат многолетнего труда, библиотека фотографий, важная переписка и т.п. Естественно, что спасением от уничтожения является элементарное резервное копирование, но многие им просто пренебрегают.

В случае кражи информации — тем более, в случаях целенаправленной атаки на заведомо определённую жертву — результат может оказаться плачевным для владельца этих данных, особенно если речь идёт об утечке информации, критически важной для компании, организации или даже государства. Клиентские базы данных, финансовая и техническая документация, номера банковских счетов, детали коммерческих предложений — список можно продолжать бесконечно. Мы живём в век информации, и её потеря или утечка иногда оказывается самой плохой и неожиданной новостью.