Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Багатовекторний хробак — мережевий хробак, що застосовує для свого поширення кілька різних механізмів (векторів атаки), наприклад, електронну пошту і експлойт помилки в операційній системі. У деяких випадках хробаки ушкоджують файли і негативно впливають на роботу комп'ютера (якщо це передбачено творцем).
Представники багатовекторних хробаків
- Fizzer
- Nimda
Fizzer
«Fizzer» — багатовекторний мережевий хробак, що розповсюджується по ресурсах Інтернету. Таке зловмисне програмне забезпечення (ПО) доставляється на цільовий комп'ютер у вигляді виконуваного файлу та активізується при його запуску. Далі такі «віруси» створюють кілька файлів і прописуються в гілку реєстру Windows, для подальшого запуску разом із комп'ютером.
Історія Fizzer
Fizzer — складний поштовий хробак, який з'явився 8 травня 2003. Компанія F-Secure починає розробляти програму для відлову Fizzer.
Зараження
Хробак поширює свої копії як застосунок, що розповсюджується поштою. Коли користувач-жертва запускає застосунок, він створює файл під назвою ISERVC.EXE в тимчасовій теці і активізує його.
Файл ISERVC.EXE — головний компонент хробака. Він копіює себе до довідника Windows із такими назвами:
- ISERVC.EXE
- INITBAK.DAT
і паралельно створює 2 файли в довіднику Windows:
- ISERVC.DLL
- PROGOP.EXE
Файл ISERVC.DLL — компонент, що реєструє ключ, і PROGOP.EXE. Перед розсиланням хробак повторно збирає свій файл, використовуючи цей компонент.
Складові компоненти Fizzer
Всі ресурси окрім першого зашифровані і стиснуті:
- список адрес електронної пошти
- файл progop.exe
- файл iservc.dll
- скрипти (код) поведінки
- текстові рядки
Скрипти поведінки містять головні параметри налаштування для хробака, такі як його інсталяційна назва і тека. Цей скрипт керує поведінкою хробака за певних умов.
Шкідливе ПЗ такого роду, як і будь-яке інше шкідливе ПЗ розповсюджується різними шляхами, такими як, наприклад, електронна пошта або файлообмінні мережі. Для розсилання електронних повідомлень зі шкідливим ПЗ «Fizzer» сканує адресні книги Microsoft Outlook і Windows Address Book. Хробак використовує як об'єкт атаки випадкові адреси в поштових системах. Програмне забезпечення такого типу може вкрасти імена й паролі користувача зараженого комп'ютера. Найчастіше воно записує зібрану інформацію в окремий файл, який передається на виділений сервер зазначений власником даного шкідливого ПЗ. Як і більшість вірусів закриває активні процеси антивірусних програм, для ускладнення виявлення і відлову його в системі.
Nimda
Nimda — комп'ютерний хробак, який є файловим інфектором. Він швидко поширюється, затьмарюючи економічний збиток, нанесений минулими спалахами, такими як «Code Red». Численні вектори поширення дозволили Nimda стати найпоширенішим вірусом Інтернету протягом 22 хвилин. Nimda зачіпає обидва типи користувацьких автоматизованих робочих місць (клієнтів), що працюють під управлінням Windows 95, 98, Me, NT, 2000 або XP і сервери працюють на Windows NT і 2000. Походження імені хробака походить від слова «admin», написаного справа наліво.
Історія Nimda
Перший різновид хробака сімейства Net-Worm: W32/Nimda була помічена 18 вересня 2001 року, та швидко поширювалася по всьому світі.
Nimda — складний вірус із компонентом хробака масової розсилки, який поширюється через електронну пошту надсилаючи файл README.EXE. Nimda також використовує коди Unicode, щоб заразити вебсервер IIS.
Nimda — перший хробак, який змінює наявні вебсайти, для завантаження заражених файлів. Також, це — перший хробак, який використовує комп'ютер, щоб переглядати уразливості вебсайтів. Ця техніка дозволяє Nimda легко заволодіти інтернет-ресурсами, які не мають системи захисту. У хробака є текстовий рядок авторського права, який ніколи не показується:
- Concept Virus (CV) V. 5, Copyright (C) 2001 R. P. China
Цей хробак о 15:00 за Гринвічем 11 жовтня 2001 року розіслав сотні електронних листів, заражених вірусом. Листи було розіслано за різними адресами з усього світу. Адреса відправника електронних листів «mikko.hypponen@datafellows.com» відноситься до компанії F-Secure, що займається антивірусним захистом. Дійсно F-Secure колись називалася datafellows.com назва компанії було змінено на початку 2000 року. А пан Мікко Хіппонен — менеджер компанії відділу антивірусних досліджень, який не мав жодного стосунку до цього інциденту.
Складові компоненти вірусів
- Інфікування файлів
- Масова розсилка
- Вебхробак
- Поширення ЛОМ
Nimda був багато в чому ефективним завдяки тому, що він, на відміну від інших вірусів використовує п'ять різних векторів інфекції:
- електронною поштою
- через відкриті мережеві ресурси
- через перегляд шкідливих вебсайтів
- через використання різних слабких місць Microsoft IIS 4.0 / 5.0
Процес розмноження електронною поштою
Вірус прибуває як повідомлення, що складається з двох секцій. У першій секції знаходиться HTML-скрипти. Друга секція складається з файлу «readme.exe», яке є здійсненним набором команд. Nimda має команду відправляти заражені електронні листи. Хробак зберігає час розсилки останньої партії, переданих електронних листів, і кожні 10 днів повторює процес збору адрес розсилки хробака електронною поштою. Адреси електронної пошти, які призначені для того, щоб прийняти хробака, зібрані з двох джерел:
- .htm і .html файли, знайдені в теках користувача
- електронні листи надіслані користувачем
Поширення багатовекторного хробака у файловій системі
Nimda створює численні закодовані копії себе, при цьому використовує файли з розширеннями .eml та .nws у всіх перезаписуваних довідниках, до яких користувач має доступ. Якщо користувач, що використовує інший комп'ютер, запустить на спільних з зараженим комп'ютером ресурсах копію файлу хробака, то систему буде заражено. Як вже було сказано, через 22 хвилини після створення вірусу NIMDA ним було заражено понад 3 млрд комп'ютерів.
Примітки
- [1] Email-Worm.Win32.Fizzer
- [2] [ 19 вересня 2018 у Wayback Machine.] Worm: W32/Fizzer
- [3] [ 4 березня 2016 у Wayback Machine.] Fizzer: многовекторный червь нападает через e-mail и KaZaA
- [4] [ 30 червня 2016 у Wayback Machine.] Introduction to computer security
Див. також
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Bagatovektornij hrobak merezhevij hrobak sho zastosovuye dlya svogo poshirennya kilka riznih mehanizmiv vektoriv ataki napriklad elektronnu poshtu i eksplojt pomilki v operacijnij sistemi U deyakih vipadkah hrobaki ushkodzhuyut fajli i negativno vplivayut na robotu komp yutera yaksho ce peredbacheno tvorcem Predstavniki bagatovektornih hrobakivFizzer NimdaFizzer Fizzer bagatovektornij merezhevij hrobak sho rozpovsyudzhuyetsya po resursah Internetu Take zlovmisne programne zabezpechennya PO dostavlyayetsya na cilovij komp yuter u viglyadi vikonuvanogo fajlu ta aktivizuyetsya pri jogo zapusku Dali taki virusi stvoryuyut kilka fajliv i propisuyutsya v gilku reyestru Windows dlya podalshogo zapusku razom iz komp yuterom Istoriya Fizzer Fizzer skladnij poshtovij hrobak yakij z yavivsya 8 travnya 2003 Kompaniya F Secure pochinaye rozroblyati programu dlya vidlovu Fizzer Zarazhennya Hrobak poshiryuye svoyi kopiyi yak zastosunok sho rozpovsyudzhuyetsya poshtoyu Koli koristuvach zhertva zapuskaye zastosunok vin stvoryuye fajl pid nazvoyu ISERVC EXE v timchasovij teci i aktivizuye jogo Fajl ISERVC EXE golovnij komponent hrobaka Vin kopiyuye sebe do dovidnika Windows iz takimi nazvami ISERVC EXE INITBAK DAT i paralelno stvoryuye 2 fajli v dovidniku Windows ISERVC DLL PROGOP EXE Fajl ISERVC DLL komponent sho reyestruye klyuch i PROGOP EXE Pered rozsilannyam hrobak povtorno zbiraye svij fajl vikoristovuyuchi cej komponent Skladovi komponenti Fizzer Vsi resursi okrim pershogo zashifrovani i stisnuti spisok adres elektronnoyi poshti fajl progop exe fajl iservc dll skripti kod povedinki tekstovi ryadki Skripti povedinki mistyat golovni parametri nalashtuvannya dlya hrobaka taki yak jogo instalyacijna nazva i teka Cej skript keruye povedinkoyu hrobaka za pevnih umov Shkidlive PZ takogo rodu yak i bud yake inshe shkidlive PZ rozpovsyudzhuyetsya riznimi shlyahami takimi yak napriklad elektronna poshta abo fajloobminni merezhi Dlya rozsilannya elektronnih povidomlen zi shkidlivim PZ Fizzer skanuye adresni knigi Microsoft Outlook i Windows Address Book Hrobak vikoristovuye yak ob yekt ataki vipadkovi adresi v poshtovih sistemah Programne zabezpechennya takogo tipu mozhe vkrasti imena j paroli koristuvacha zarazhenogo komp yutera Najchastishe vono zapisuye zibranu informaciyu v okremij fajl yakij peredayetsya na vidilenij server zaznachenij vlasnikom danogo shkidlivogo PZ Yak i bilshist virusiv zakrivaye aktivni procesi antivirusnih program dlya uskladnennya viyavlennya i vidlovu jogo v sistemi NimdaNimda komp yuternij hrobak yakij ye fajlovim infektorom Vin shvidko poshiryuyetsya zatmaryuyuchi ekonomichnij zbitok nanesenij minulimi spalahami takimi yak Code Red Chislenni vektori poshirennya dozvolili Nimda stati najposhirenishim virusom Internetu protyagom 22 hvilin Nimda zachipaye obidva tipi koristuvackih avtomatizovanih robochih misc kliyentiv sho pracyuyut pid upravlinnyam Windows 95 98 Me NT 2000 abo XP i serveri pracyuyut na Windows NT i 2000 Pohodzhennya imeni hrobaka pohodit vid slova admin napisanogo sprava nalivo Istoriya Nimda Pershij riznovid hrobaka simejstva Net Worm W32 Nimda bula pomichena 18 veresnya 2001 roku ta shvidko poshiryuvalasya po vsomu sviti Nimda skladnij virus iz komponentom hrobaka masovoyi rozsilki yakij poshiryuyetsya cherez elektronnu poshtu nadsilayuchi fajl README EXE Nimda takozh vikoristovuye kodi Unicode shob zaraziti vebserver IIS Nimda pershij hrobak yakij zminyuye nayavni vebsajti dlya zavantazhennya zarazhenih fajliv Takozh ce pershij hrobak yakij vikoristovuye komp yuter shob pereglyadati urazlivosti vebsajtiv Cya tehnika dozvolyaye Nimda legko zavoloditi internet resursami yaki ne mayut sistemi zahistu U hrobaka ye tekstovij ryadok avtorskogo prava yakij nikoli ne pokazuyetsya Concept Virus CV V 5 Copyright C 2001 R P China Cej hrobak o 15 00 za Grinvichem 11 zhovtnya 2001 roku rozislav sotni elektronnih listiv zarazhenih virusom Listi bulo rozislano za riznimi adresami z usogo svitu Adresa vidpravnika elektronnih listiv mikko hypponen datafellows com vidnositsya do kompaniyi F Secure sho zajmayetsya antivirusnim zahistom Dijsno F Secure kolis nazivalasya datafellows com nazva kompaniyi bulo zmineno na pochatku 2000 roku A pan Mikko Hipponen menedzher kompaniyi viddilu antivirusnih doslidzhen yakij ne mav zhodnogo stosunku do cogo incidentu Skladovi komponenti virusiv Infikuvannya fajliv Masova rozsilka Vebhrobak Poshirennya LOM Nimda buv bagato v chomu efektivnim zavdyaki tomu sho vin na vidminu vid inshih virusiv vikoristovuye p yat riznih vektoriv infekciyi elektronnoyu poshtoyu cherez vidkriti merezhevi resursi cherez pereglyad shkidlivih vebsajtiv cherez vikoristannya riznih slabkih misc Microsoft IIS 4 0 5 0Proces rozmnozhennya elektronnoyu poshtoyu Virus pribuvaye yak povidomlennya sho skladayetsya z dvoh sekcij U pershij sekciyi znahoditsya HTML skripti Druga sekciya skladayetsya z fajlu readme exe yake ye zdijsnennim naborom komand Nimda maye komandu vidpravlyati zarazheni elektronni listi Hrobak zberigaye chas rozsilki ostannoyi partiyi peredanih elektronnih listiv i kozhni 10 dniv povtoryuye proces zboru adres rozsilki hrobaka elektronnoyu poshtoyu Adresi elektronnoyi poshti yaki priznacheni dlya togo shob prijnyati hrobaka zibrani z dvoh dzherel htm i html fajli znajdeni v tekah koristuvacha elektronni listi nadislani koristuvachemPoshirennya bagatovektornogo hrobaka u fajlovij sistemi Nimda stvoryuye chislenni zakodovani kopiyi sebe pri comu vikoristovuye fajli z rozshirennyami eml ta nws u vsih perezapisuvanih dovidnikah do yakih koristuvach maye dostup Yaksho koristuvach sho vikoristovuye inshij komp yuter zapustit na spilnih z zarazhenim komp yuterom resursah kopiyu fajlu hrobaka to sistemu bude zarazheno Yak vzhe bulo skazano cherez 22 hvilini pislya stvorennya virusu NIMDA nim bulo zarazheno ponad 3 mlrd komp yuteriv Primitki 1 Email Worm Win32 Fizzer 2 19 veresnya 2018 u Wayback Machine Worm W32 Fizzer 3 4 bereznya 2016 u Wayback Machine Fizzer mnogovektornyj cherv napadaet cherez e mail i KaZaA 4 30 chervnya 2016 u Wayback Machine Introduction to computer securityDiv takozhMerezhevij hrobak Komp yuterni virusi Hronologiya komp yuternih virusiv i hrobakiv Antivirusna programa Istoriya komp yuternih virusiv