###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tanácsot
  • hírek
  • Vélemények

    • Az e-mail férgek az e-maileket használják a terjedéshez. Trojan-Notifier - értesítés a sikeres támadásról

    18.09.2020 Vélemények

    penetráció on távoli számítógépek;

    indítsa el a másolatot egy távoli számítógépen;

    további terjesztés a hálózat többi számítógépére.

    A terjedéshez a hálózati férgek különféle számítógépes és mobilhálózat: email, azonnali üzenetküldő rendszerek, fájlmegosztó (P2P) és IRC hálózatok, LAN, adatcsere hálózatok között mobil eszközök(telefonok, zsebszámítógépek) stb.

    A legtöbb ismert férgek fájlokként kerülnek terjesztésre: mellékletként a következőhöz: email, hivatkozás egy fertőzött fájlra bármely web- vagy FTP-erőforráson az ICQ- és IRC-üzenetekben, egy fájl a P2P-cserekönyvtárban stb.

    Egyes férgek (az úgynevezett "fájl nélküli" vagy "csomagos" férgek) hálózati csomagok formájában terjednek, közvetlenül behatolnak a számítógép memóriájába, és aktiválják kódjukat.

    A távoli számítógépekbe való behatoláshoz és önmaguk másolatának elindításához a férgek különféle módszereket alkalmaznak: social engineering (például egy csatolt fájl megnyitására buzdító e-mail szövege), hálózati konfigurációk hibái (például lemezre másolás, teljes hozzáférésre nyitva), hibák a biztonsági szolgáltatások operációs rendszereiben és alkalmazásaiban.

    Egyes férgek más típusú rosszindulatú programok tulajdonságaival is rendelkeznek. Például egyes férgek trójai függvényeket tartalmaznak, vagy képesek megfertőzni a futtatható fájlokat helyi lemez, azaz trójai program és/vagy számítógépes vírus tulajdonságaival rendelkeznek.

    A hálózati férgek osztályozása

    A fő módja annak, hogy a férgek típusai különböznek egymástól, a féreg terjedésének módja - hogyan továbbítja másolatát a távoli számítógépekre. A férgek eltérésének további jelei a féreg másolatának a fertőzött számítógépen való elindításának módja, a rendszerbe való bejuttatás módja, valamint a polimorfizmus, a lopakodó és egyéb, más típusú rosszindulatú szoftverekben (vírusok és trójaiak).

    Email-féreg - e-mail férgek

    A férgek ebbe a kategóriába tartoznak azok, amelyek e-mailt használnak a terjedéshez. Ebben az esetben a féreg vagy egy másolatot küld egy e-mail mellékleteként, vagy egy hivatkozást küld valamilyen hálózati erőforráson található fájljára (például egy feltört vagy hacker webhelyen található fertőzött fájl URL-címére).

    Az első esetben a féregkód akkor aktiválódik, amikor egy fertőzött mellékletet megnyitnak (indítanak), a másodikban - amikor egy fertőzött fájlra mutató hivatkozást megnyitnak. Mindkét esetben a hatás ugyanaz - a féregkód aktiválódik. A fertőzött üzenetek küldésére a levelezőférgek használják különböző módokon. A leggyakrabban:


    Közvetlen kapcsolat az SMTP szerverrel a féregkódba épített levelezőkönyvtár segítségével;

    MS Outlook szolgáltatások használata;

    MAPI függvények használata.

    Az e-mail férgek különféle módszereket használnak olyan e-mail címek keresésére, amelyekre a fertőzött e-maileket küldik. Levélférgek:

    Küldjék el magukat az összes itt található címre címjegyzék MS Outlook;

    · címeket olvas ki a WAB címadatbázisból;

    Olvassa be a „megfelelő” fájlokat a lemezen, és válassza ki bennük azokat a sorokat, amelyek e-mail címek;

    · elküldik magukat minden olyan címre, amelyikben megtalálhatók postafiók(ugyanakkor egyes levelezőférgek „válaszolnak” a postaládában talált levelekre).

    Sok féreg egyszerre több ilyen módszert is alkalmaz. Vannak más módok is az e-mail címek keresésére.

    IM-Worm - férgek, amelyek internetes üzenetküldőket használnak

    Ismert számítógépes férgek ebből a típusból az egyetlen terjesztési módot használjuk - az észlelt névjegyeknek való küldést (a névjegyzékből az URL-t tartalmazó üzenetek valamelyik szerveren található fájlba. Ez a technika szinte teljesen megismétli a levelezőférgek által használt hasonló terjesztési módot.

    IRC-féreg - férgek az IRC csatornákban A levelezőférgekhez hasonlóan kétféle módon is elterjeszthetik a férget IRC csatornákon keresztül, megismételve a fent leírt módszereket. Az első egy URL elküldése a féreg másolatának. A második módszer a fertőzött fájl elküldése valamelyik hálózati felhasználónak. Ebben az esetben a megtámadott felhasználónak meg kell erősítenie a fájl átvételét, majd lemezre kell mentenie, és meg kell nyitnia (futtatásra futnia).

    Net-féreg- egyéb hálózati férgek

    Vannak más módok is a távoli számítógépek megfertőzésére, például:

    a féreg másolása hálózati erőforrásokba;

    féreg behatolása a számítógépbe az operációs rendszer és az alkalmazások biztonsági résein keresztül;

    behatolás a nyilvános hálózati erőforrásokba;

    Az első módszer az, hogy a féreg távoli számítógépeket keres, és bemásolja magát olyan könyvtárakba, amelyek nyitva állnak olvasásra és írásra (ha van ilyen).

    Ebben az esetben az ilyen típusú férgek vagy az elérhető hálózati könyvtárakban keresnek a funkciók segítségével operációs rendszer, és/vagy véletlenszerűen keressen számítógépeket globális hálózat, csatlakozzon hozzájuk, és próbálja meg megnyitni a lemezeiket a teljes hozzáférés érdekében.

    A második módszerrel való behatolás érdekében a férgek olyan számítógépeket keresnek a hálózaton, amelyek kritikus sebezhetőséget tartalmazó szoftvert használnak. A sérülékeny számítógépek megfertőzésére a féreg egy speciálisan kialakított hálózati csomagot vagy kérést küld (vulnerability exploit), melynek eredményeként a féregkód (vagy annak egy része) behatol az áldozat számítógépébe. Ha a hálózati csomag a féreg kódjának csak egy részét tartalmazza, akkor letölti a fő fájlt és futtatja.

    Külön kategóriát alkotnak azok a férgek, amelyek web- és FTP-kiszolgálókat használnak terjesztésükhöz. A fertőzés két szakaszban történik. Először a féreg behatol a szerver számítógépébe, és szükség szerint módosítja a szerver szolgáltatási fájljait (például statikus weboldalakat). A féreg ezután várja a látogatókat, akik információkat kérnek a fertőzött szervertől (például egy fertőzött weboldal megnyitásával), és így behatol a hálózat számítógépeibe.

    Meg kell jegyezni, hogy sok számítógépes féreg egynél több módszert használ másolatainak hálózaton keresztüli terjesztésére, és két vagy több módszert használ a távoli számítógépek megtámadására.

    Р2Р-Worm - férgek fájlmegosztó hálózatokhoz

    A legtöbb ilyen féreg működési mechanizmusa meglehetősen egyszerű - a P2P hálózatba való behatoláshoz a féregnek csak be kell másolnia magát egy fájlmegosztó könyvtárba, amely általában a helyi gépen található. A P2P hálózat magára vállalja a vírus terjesztésének összes többi részét – amikor fájlokat keres a hálózaton, jelentést küld távoli felhasználók O ez a fájlés minden szükséges szolgáltatást biztosít a fájlnak a fertőzött számítógépről való letöltéséhez.

    Vannak bonyolultabb P2P férgek, amelyek egy adott fájlmegosztó rendszer hálózati protokollját utánozzák és keresési lekérdezések válaszoljon pozitívan – és a féreg felajánlja a másolatát letöltésre.

    A fenyegetések osztályozása különböző kritériumok szerint.

    A fenyegetések pontos és egységes osztályozása a nagy sokféleségük és a fenyegetések összetételének állandó változása miatt nem létezik. Ezt követően több különböző kritérium szerinti besorolást kell mérlegelni.

    - a fenyegetés megvalósításának célja szerint: a titoktartás megsértése, az integritás megsértése, a rendelkezésre állás megsértése, a számítási erőforrások jogosulatlan használata;

    - használt biztonsági hiba fellépése miatt: (amiről kicsit korábban beszéltem) technológiai hiányosságok, konfigurációs hibák, a biztonsági politika elégtelensége (ebbe is van néha tervezési hibák, de ezek a technológiai hiányosságok közé sorolhatók);

    - a befolyásolás módszerével: interaktív és kötegelt módban (példaként az első esetre, amikor a támadó feltöri távoli hozzáférés, a második - a vírus terjedése);

    - alkalmazott támadás segítségével: szabványos szoftver használata, fejlesztett szoftver használata;

    - a támadó célpont állapotának megfelelően: tárgy tárolásánál, tárgy átvitelénél, tárgy feldolgozásánál.

    Jelentős számú osztályozás más kritériumok alapján lehetséges.

    Most pedig térjünk át a fenyegetések konkrét típusaira.

    http://www.viruslist.ru- Nagy vírusenciklopédia az AVP gyártóktól.

    A számítógépes vírusok az információvesztés (azaz az információ integritásának megsértése) egyik leggyakoribb oka volt és marad is. Ezenkívül túlterhelhetik a kommunikációs csatornákat (elérhetőség megsértése), és bármilyen értékes adatot függetlenül továbbíthatnak az alkotónak (titoktartás megsértése). Az AvtoVAZ vállalati hálózatában a vírusok azok Ebben a pillanatban az egyik fő biztonsági probléma.

    Az első számítógépes vírus születéséről nincs pontos információ. De az Univax 1108 és IBM 360/370 számítógépek már az 1970-es évek közepén rendelkeztek velük.

    Több típusa van rosszindulatú kód, amelytől a rendszert védeni kell. Bár az ilyen kódokat összefoglalóan "vírusoknak" nevezik, van különbség a vírusok, trójai falók és férgek között.

    Vírus egy kis program, amely a számítógép működésének megváltoztatására készült a felhasználó tudta nélkül. A vírusoknak van végrehajtható kódja az űrlapon független program, vagy egy másik fájlban található makróként, és képesnek kell lennie arra, hogy önmagát másolja, hogy a kezdeti program vagy makró befejezése után is futhasson.

    A hálózati férgekkel ellentétben a vírusok nem használják hálózati szolgáltatások hogy behatoljon más számítógépekbe. Egy számítógépes vírus másolata csak akkor ér el egy távoli számítógépet, ha a fertőzött objektumot egy másik számítógépen a vírus működésétől független okokból aktiválják, például:



    Amikor az elérhető meghajtók fertőzöttek, a vírus behatol a hálózati megosztáson található fájlokba;

    A vírus lemásolja magát cserélhető adathordozó vagy megfertőzi a rajtuk lévő fájlokat;

    A felhasználó e-mailt küld vírussal fertőzött melléklettel.

    Hálózati féreg egy rosszindulatú program, amely önállóan terjeszti másolatait helyi és/vagy globális hálózatokon.

    A férgek átterjedhetnek egyik számítógépről a másikra egy fertőzött fájl másolásával vagy egy fájl segítsége nélkül. A „fájl nélküli” vagy „csomagos” férgek hálózati csomagok formájában terjednek, közvetlenül behatolnak a számítógép memóriájába, és aktiválják kódjukat.

    A távoli számítógépekbe való behatoláshoz és önmaguk másolatának elindításához a hálózati férgek a következő módszereket használják: social engineering (például egy csatolt fájl megnyitására buzdító e-mail szövege), hálózati konfigurációs hibák (például másolás egy teljes hozzáférésre nyitott lemez), hibák az operációs rendszerek és alkalmazások szolgáltatásbiztonságában.

    Trójai (trójai program, trójai) egy rosszindulatú program, amely egy másik ártalmatlannak tűnő programban található. Amikor elindít egy ilyen programot (például egy képernyővédőt, üdvözlőlap stb.) egy trójai telepítve van a rendszerre. A trójaiak küldéssel kémprogramként működhetnek bizalmas információ harmadik féltől, vagy DoS támadásokhoz használható. A fő különbség a trójaiak, valamint a vírusok és hálózati férgek között az, hogy a trójaiak nem reprodukálják magukat – a rendszer megfertőzéséhez manuálisan kell elindítani őket.

    Támadás DoS (szolgáltatásmegtagadás) nagyszámú kérést küld egy bizonyos kiszolgálónak vagy URL-nek, ami miatt a szerver erősen leterhelődik, és megakadályozza, hogy más kéréseket kiszolgáljon. Az elosztott DoS-támadások vírusokat, trójaiakat vagy férgeket használnak, hogy több számítógép felett uralják az uralmat az interneten, és felszólítják őket, hogy egyidejűleg támadjanak meg valamilyen szervert. Vagyis ebben az esetben az akadálymentesítés megsértéséről beszélünk.

    Így: a vírusok maguktól terjednek, de nem a hálózatot használják erre, a férgek egymástól függetlenül terjednek a hálózaton, a trójaiak nem terjednek önállóan.

    Milyen célból hoznak létre vírusokat?

    1. A programozók önigazolása.

    2. Tömeges adatlopás (jelszavak, hitelkártyaszámok).

    3. Tömeges támadás az internetes csomópontok ellen.

    A megjelenés feltételei rosszindulatú adott operációs rendszerhez vagy alkalmazásokhoz:

    1. Népszerűség, ennek a rendszernek a széles körű használata;

    2. Elérhetőség változatos és egészen teljes dokumentáció a rendszer szerint;

    3. Bizonytalanság rendszerek ill ismert sebezhetőségek megléte a biztonsági rendszerben.

    A Kaspersky (gyártó AVP) számítógépes vírusainak osztályozása.

    A vírusok osztályokra oszthatók a következő főbb jellemzők szerint:

    • élőhely;
    • operációs rendszer (OC);
    • a működési algoritmus jellemzői;
    • romboló lehetőségek.

    Által élőhely A vírusok a következőkre oszthatók:

    • fájl;
    • csomagtartó;
    • makró;
    • hálózat.

    Fájlvírusok különféle módon vannak beágyazva futtatható fájlokba (a vírusok leggyakoribb típusa).

    Boot vírusokírják magukat vagy a lemez indító szektorába (boot szektor), vagy a merevlemez rendszerindító betöltőjét tartalmazó szektorba (Master Boot Record), vagy módosítsák a mutatót az aktív rendszerindító szektorra.

    Makróvírusok megfertőzheti számos népszerű szerkesztő dokumentumfájljait és táblázatait.

    Hálózati vírusok terjesztésükhöz protokollokat vagy parancsokat használjon számítógépes hálózatokés e-mailben.

    Számos kombináció létezik – pl. file-boot vírusok, amelyek a fájlokat és a lemezek rendszerindító szektorait egyaránt megfertőzik. Az ilyen vírusok általában meglehetősen bonyolult működési algoritmussal rendelkeznek, gyakran eredeti módszereket alkalmaznak a rendszerbe való behatolásra, és lopakodó és polimorf technológiákat használnak. Egy másik példa egy ilyen kombinációra hálózati makró vírus, amely nem csak a szerkesztett dokumentumokat fertőzi meg, hanem e-mailben is küld magáról másolatokat.

    Fertőzött operációs rendszer(vagy inkább az operációs rendszer, amelynek objektumai érzékenyek a fertőzésre) a vírusok osztályokra osztásának második szintje. Minden fájl vagy hálózati vírus megfertőzi egy vagy több operációs rendszer fájljait. A makróvírusok megfertőzik a fájlokat Word formátumok, Excel. A rendszerindító vírusok speciális formátumokat is céloznak a rendszeradatoknak a lemezek rendszerindító szektoraiban.

    Között a működési algoritmus jellemzői vírusok esetén a következő pontokat emeljük ki:

    • rezidencia;
    • lopakodó algoritmusok használata;
    • öntitkosítás és polimorfizmus;
    • nem szabványos technikák alkalmazása.

    Rezidens Amikor egy vírus megfertőzi a számítógépet, az távozik véletlen hozzáférésű memória a rezidens része, amely azután elfogja az operációs rendszer hívásait a fertőzési objektumokhoz, és beinjektálja magát azokba. A helyi vírusok a RAM-ban vannak, és a számítógép kikapcsolásáig vagy az operációs rendszer újraindításáig aktívak. A nem rezidens vírusok nem fertőzik meg a számítógép RAM-ját, és korlátozott ideig aktívak maradnak. Egyes vírusok kis rezidens programokat hagynak a RAM-ban, amelyek nem terjesztik a vírust. Az ilyen vírusok nem rezidensnek minősülnek.

    A makróvírusok rezidensnek tekinthetők, mivel folyamatosan jelen vannak a számítógép memóriájában a fertőzött szerkesztő teljes működése alatt. Ebben az esetben az operációs rendszer szerepét a szerkesztő veszi át, és az „operációs rendszer újraindítása” fogalmát a szerkesztőből való kilépésként értelmezzük.

    Használat lopakodó algoritmusok(lopakodva, lopva – lopva, csendesen, ravaszul) lehetővé teszi a vírusok számára, hogy teljesen vagy részben elrejtőzzenek a rendszerben. A leggyakoribb lopakodó algoritmus a fertőzött objektumok olvasására/írására irányuló OC kérések elfogása. Ebben az esetben a lopakodó vírusok vagy ideiglenesen meggyógyítják a fertőzött objektumokat, vagy „helyettesítenek” nem fertőzött információkat.

    ÖntitkosításÉs polimorfizmus szinte minden vírustípus használja annak érdekében, hogy a vírusfelderítési eljárást a lehető legnagyobb mértékben megnehezítsék. A polimorf vírusok olyan vírusok, amelyek nem rendelkeznek aláírással, pl. nem tartalmaz egyetlen állandó kódrészletet sem. A legtöbb esetben ugyanazon polimorf vírus két mintája nem egyezik. Ez a vírus törzsének titkosításával és a visszafejtő program módosításával érhető el.

    Által romboló lehetőségek A vírusok a következőkre oszthatók:

    • ártalmatlan, azaz. amelyek semmilyen módon nem befolyásolják a számítógép működését (kivéve a csökkentését szabad memória lemezen a terjesztés eredményeként);
    • nem veszélyes, amelynek hatását korlátozza a szabad memória csökkenése a lemezen és a grafikus, hang stb. effektusok;
    • veszélyes vírusok, ami a számítógép súlyos meghibásodásához vezethet;
    • nagyon veszélyes, amelynek algoritmusa nyilvánvalóan tartalmaz olyan eljárásokat, amelyek a programok megzavarásához és az adatok megsemmisüléséhez vezethetnek.

    Egyes vírusok átprogramozhatják a BIOS chipeket, ami után a számítógép javítást igényel. És még, ahogy az egyik ellenőrizetlen számítógépes legenda mondja, vannak vírusok, amelyek hozzájárulnak a mechanizmusok mozgó alkatrészeinek gyors kopásához - rezonálnak és tönkreteszik bizonyos típusú merevlemezek fejét.

    Paraméter neve Jelentése
    Cikk témája: Hálózati férgek
    Rubrika (tematikus kategória) Számítógépek

    távoli számítógépek behatolása;

    indítsa el a másolatot egy távoli számítógépen;

    további terjesztés a hálózat többi számítógépére.

    Fontos megjegyezni, hogy a hálózati férgek többféle számítógépes és mobilhálózatot használnak a terjedéshez: e-mailt, azonnali üzenetküldő rendszereket, fájlmegosztó (P2P) és IRC hálózatokat, LAN-t, adatcsere-hálózatokat a mobil eszközök (telefonok, zsebszámítógépek) között, ill. stb.

    A legtöbb ismert féreg fájlok formájában kerül terjesztésre: egy e-mail melléklete, egy fertőzött fájlra mutató hivatkozás valamilyen web- vagy FTP-erőforráson ICQ- és IRC-üzenetekben, egy fájl egy P2P-cserekönyvtárban stb.

    Egyes férgek (az úgynevezett „fájl nélküli” vagy „kötegelt” férgek) hálózati csomagok formájában terjednek, közvetlenül behatolnak a számítógép memóriájába, és aktiválják kódjukat.

    A férgek a távoli számítógépekbe való behatoláshoz és önmaguk másolatának elindításához különféle módszereket alkalmaznak: social engineering (például egy csatolt fájl megnyitására felkérő e-mail szövege), hálózati konfigurációs hibák (például lemezre másolás teljes hozzáférésre nyitva), hibák az operációs rendszer és az alkalmazás biztonsági szolgáltatásaiban.

    Egyes férgek más típusú rosszindulatú programok tulajdonságaival is rendelkeznek. Például egyes férgek trójai funkciókat tartalmaznak, vagy képesek megfertőzni a helyi lemezen lévő végrehajtható fájlokat, vagyis olyan tulajdonságokkal rendelkeznek, mint egy trójai program és/vagy egy számítógépes vírus.

    A hálózati férgek osztályozása

    A fő módja annak, hogy a férgek típusai különböznek egymástól, a féreg terjedésének módja - hogyan továbbítja másolatát a távoli számítógépekre. A férgek eltérésének további jelei a féreg másolatának a fertőzött számítógépen való elindításának módja, a rendszerbe való bejuttatás módja, valamint a polimorfizmus, a lopakodó és egyéb, más típusú rosszindulatú szoftverekben (vírusok és trójaiak).

    Email-féreg - e-mail férgek

    A férgek ebbe a kategóriába tartoznak azok, amelyek e-mailt használnak a terjedéshez. Ebben az esetben a féreg vagy egy másolatot küld egy e-mail mellékleteként, vagy egy hivatkozást küld valamilyen hálózati erőforráson található fájljára (például egy feltört vagy hacker webhelyen található fertőzött fájl URL-címére).

    Az első esetben a féregkód akkor aktiválódik, amikor egy fertőzött mellékletet megnyitnak (indítanak), a másodikban - amikor egy fertőzött fájlra mutató hivatkozást megnyitnak. Mindkét esetben a hatás ugyanaz - a féregkód aktiválódik. A levelezőférgek különféle módszereket használnak a fertőzött üzenetek küldésére. A leggyakrabban:

    ‣‣‣ közvetlen kapcsolat az SMTP szerverre a féregkódba épített levelezőkönyvtár segítségével;

    ‣‣‣ MS Outlook szolgáltatások használata;

    ‣‣‣ MAPI függvények használata.

    Az e-mail férgek különféle módszereket használnak olyan e-mail címek keresésére, amelyekre a fertőzött e-maileket küldik. Levélférgek:

    ‣‣‣ elküldi magát az MS Outlook címjegyzékében található összes címre;

    · címeket olvas ki a WAB címadatbázisból;

    ‣‣‣ átvizsgálja a „megfelelő” fájlokat a lemezen, és jelölje ki bennük azokat a sorokat, amelyek e-mail címek;

    · elküldik magukat a postafiókban található levelekben található összes címre (ebben az esetben egyes levelezőférgek „válaszolnak” a postafiókban talált levelekre).

    Sok féreg egyszerre több ilyen módszert is alkalmaz. Vannak más módok is az e-mail címek keresésére.

    IM-Worm - férgek, amelyek internetes üzenetküldőket használnak

    Az ilyen típusú ismert számítógépes férgek az egyetlen terjesztési módot alkalmazzák - az észlelt névjegyeknek küldést (a névjegyzékből az URL-t tartalmazó üzenetek valamelyik szerveren található fájlba. Ez a technika szinte teljesen megismétli a levelezőférgek által használt hasonló terjesztési módot.

    IRC-féreg - férgek az IRC csatornákban A Οʜᴎ, mint a levelezőférgek, kétféleképpen terjeszthetik a férget IRC csatornákon keresztül, megismételve a fent leírt módszereket. Az első egy URL elküldése a féreg másolatának. A második módszer a fertőzött fájl elküldése valamelyik hálózati felhasználónak. Ebben az esetben a megtámadott felhasználónak meg kell erősítenie a fájl átvételét, majd lemezre kell mentenie, és meg kell nyitnia (futtatásra futnia).

    Net-féreg- egyéb hálózati férgek

    Vannak más módok is a távoli számítógépek megfertőzésére, például:

    a féreg másolása hálózati erőforrásokba;

    féreg behatolása a számítógépbe az operációs rendszer és az alkalmazások biztonsági résein keresztül;

    behatolás a nyilvános hálózati erőforrásokba;

    Az első módszer lényegében az, hogy a féreg távoli számítógépeket keres, és bemásolja magát olyan könyvtárakba, amelyek nyitva állnak olvasásra és írásra (ha van ilyen).

    Ebben az esetben az ilyen típusú férgek vagy az elérhető hálózati könyvtárakban keresnek az operációs rendszer funkcióival és/vagy véletlenszerűen keresnek számítógépeket a globális hálózaton, csatlakoznak hozzájuk, és megpróbálják megnyitni a lemezeiket a teljes hozzáférés érdekében.

    A második módszerrel való behatolás érdekében a férgek olyan számítógépeket keresnek a hálózaton, amelyek kritikus sebezhetőséget tartalmazó szoftvert használnak. A sérülékeny számítógépek megfertőzésére a féreg egy speciálisan kialakított hálózati csomagot vagy kérést (vulnerability exploit) küld, aminek köszönhetően a féregkód (vagy a kód egy része) behatol az áldozat számítógépébe. Ha a hálózati csomag a féregkódnak csak egy részét tartalmazza, akkor letölti a fő fájlt és futtatja azt végrehajtásra.

    Külön kategóriát alkotnak azok a férgek, amelyek web- és FTP-kiszolgálókat használnak terjesztésükhöz. A fertőzés két szakaszban történik. Először a féreg behatol a szerver számítógépébe, és szükség szerint módosítja a szerver szolgáltatási fájljait (például statikus weboldalakat). Ezután a féreg várja a látogatókat, akik információkat kérnek a fertőzött szervertől (például megnyitnak egy fertőzött weboldalt), és így behatolnak a hálózat számítógépeibe.

    Meg kell jegyezni, hogy sok számítógépes féreg egynél több módszert használ másolatainak hálózaton keresztüli terjesztésére, és két vagy több módszert használ a távoli számítógépek megtámadására.

    Р2Р-Worm - férgek fájlmegosztó hálózatokhoz

    A legtöbb ilyen féreg működési mechanizmusa meglehetősen egyszerű - a P2P hálózatba való behatoláshoz a féregnek csak át kell másolnia magát egy fájlmegosztó könyvtárba, amely általában a helyi gépen található. A P2P hálózat gondoskodik a vírus terjesztésével kapcsolatos összes többi munkáról - a hálózaton lévő fájlok keresésekor tájékoztatja a távoli felhasználókat erről a fájlról, és biztosítja az összes szükséges szolgáltatást a fájl letöltéséhez a fertőzött számítógépről.

    Vannak bonyolultabb P2P férgek, amelyek egy adott fájlmegosztó rendszer hálózati protokollját utánozzák, és pozitívan válaszolnak a keresési kérésekre – miközben a féreg felajánlja saját másolatát letöltésre.

    Hálózati férgek - koncepció és típusok. A "Hálózati férgek" kategória osztályozása és jellemzői 2017, 2018.

    A fő módja annak, hogy a férgek típusai különböznek egymástól, a féreg terjedésének módja - hogyan továbbítja másolatát a távoli számítógépekre. A CP-k különbözésére utaló további jelek a féreg másolatának a fertőzött számítógépen történő elindításának módjai, a rendszerbe való bejuttatás módjai, valamint a polimorfizmus, a lopakodás és más, más típusú rosszindulatú szoftverekben (vírusok és trójaiak) rejlő jellemzők. ).

    E-mail-féreg - e-mail férgek

    A férgek ebbe a kategóriába tartoznak azok, amelyek e-mailt használnak a terjedéshez. Ebben az esetben a féreg vagy egy másolatot küld egy e-mail mellékleteként, vagy egy hivatkozást küld valamilyen hálózati erőforráson található fájljára (például egy feltört vagy hacker webhelyen található fertőzött fájl URL-címére).
    Az első esetben a féregkód akkor aktiválódik, amikor egy fertőzött mellékletet megnyitnak (indítanak), a másodikban - amikor egy fertőzött fájlra mutató hivatkozást megnyitnak. Mindkét esetben a hatás ugyanaz - a féregkód aktiválódik.
    A levelezőférgek különféle módszereket használnak a fertőzött üzenetek küldésére. A leggyakrabban:

    • közvetlen kapcsolat az SMTP szerverrel a féregkódba épített levelezőkönyvtár segítségével;
    • MS Outlook szolgáltatások használata;
    • használat Windows funkciók MAPI.

    Az e-mail férgek különféle módszereket használnak olyan e-mail címek keresésére, amelyekre a fertőzött e-maileket küldik. Levélférgek:

    • elküldik magukat az MS Outlook címjegyzékében található összes címre;
    • címeket olvas ki a WAB címadatbázisból;
    • szkennelje be a „megfelelő” fájlokat a lemezen, és válassza ki bennük azokat a sorokat, amelyek e-mail címek;
    • elküldik magukat a postafiókban található levelekben található összes címre (miközben egyes levélférgek „válaszolnak” a postafiókban talált levelekre).

    Sok féreg egyszerre több ilyen módszert is alkalmaz. Vannak más módok is az e-mail címek keresésére.

    IM-Worm - férgek, amelyek internetes üzenetküldőket használnak

    Az ilyen típusú ismert számítógépes férgek az egyetlen terjedési módszert használják – üzeneteket küldenek az észlelt névjegyeknek (a névjegyzékből), amelyek egy webszerveren található fájl URL-címét tartalmazzák. Ez a technika szinte teljesen lemásolja a levelezőférgek által használt hasonló levelezési módszert.

    IRC-féreg - férgek az IRC csatornákban

    Az ilyen típusú férgek, mint az e-mail férgek, kétféleképpen terjeszthetik a férget IRC csatornákon keresztül, megismételve a fent leírt módszereket. Az első egy URL elküldése a féreg másolatának. A második módszer a fertőzött fájl elküldése valamelyik hálózati felhasználónak. Ebben az esetben a megtámadott felhasználónak meg kell erősítenie a fájl átvételét, majd lemezre kell mentenie, és meg kell nyitnia (futtatásra futnia).

    Net-Worm – egyéb hálózati férgek

    Vannak más módok is a távoli számítógépek megfertőzésére, például:

    Az első módszer az, hogy a féreg távoli számítógépeket keres, és bemásolja magát olyan könyvtárakba, amelyek nyitva állnak olvasásra és írásra (ha van ilyen). Ebben az esetben az ilyen típusú férgek vagy az elérhető hálózati könyvtárakban keresnek az operációs rendszer funkcióival és/vagy véletlenszerűen keresnek számítógépeket a globális hálózaton, csatlakoznak hozzájuk, és megpróbálják megnyitni a lemezeiket a teljes hozzáférés érdekében.

    A második módszerrel való behatolás érdekében a férgek olyan számítógépeket keresnek a hálózaton, amelyek kritikus sebezhetőséget tartalmazó szoftvert használnak. A sérülékeny számítógépek megfertőzésére a féreg egy speciálisan kialakított hálózati csomagot vagy kérést küld (vulnerability exploit), melynek eredményeként a féregkód (vagy annak egy része) behatol az áldozat számítógépébe. Ha a hálózati csomag a féreg kódjának csak egy részét tartalmazza, akkor letölti a fő fájlt és futtatja.

    Külön kategóriát alkotnak azok a férgek, amelyek web- és FTP-kiszolgálókat használnak terjesztésükhöz. A fertőzés két szakaszban történik. Először a féreg behatol a szerver számítógépébe, és szükség szerint módosítja a szerver szolgáltatási fájljait (például statikus weboldalakat). A féreg ezután arra vár, hogy a látogatók információkat kérjenek a fertőzött szervertől (például egy fertőzött weboldal megnyitásával), és így behatol a hálózat többi számítógépébe.

    Meg kell jegyezni, hogy sok számítógépes féreg egynél több módszert használ másolatainak hálózaton keresztüli terjesztésére, és két vagy több módszert használ a távoli számítógépek megtámadására.

    P2P-Worm - férgek fájlmegosztó hálózatokhoz

    A legtöbb ilyen féreg működési mechanizmusa meglehetősen egyszerű - a P2P hálózatba való behatoláshoz a féregnek csak be kell másolnia magát egy fájlmegosztó könyvtárba, amely általában a helyi gépen található. A P2P hálózat gondoskodik a vírus terjesztésével kapcsolatos összes többi munkáról - a hálózaton lévő fájlok keresésekor tájékoztatja a távoli felhasználókat erről a fájlról, és biztosítja az összes szükséges szolgáltatást a fájl letöltéséhez a fertőzött számítógépről.

    Vannak bonyolultabb P2P férgek, amelyek egy adott fájlmegosztó rendszer hálózati protokollját utánozzák, és pozitívan válaszolnak a keresési kérésekre – miközben a féreg felajánlja saját másolatát letöltésre.

    Önszaporodás helyi és globális számítógépes hálózatokon keresztül.

    Enciklopédiai YouTube

      1 / 5

      ✪ Minden vírus 100%-os eltávolítása: trójai, rootkit, ransomware, spyware ☣️🛡️💻

      ✪ Hogyan zavarták meg a hackerek az iráni atomprogramot

      ✪ MINDEN IDŐK LEGVESZÉLYESEBB SZÁMÍTÓGÉPES VÍRUSAI

      ✪ Hogyan ellenőrizhető, hogy a port nyitva van-e Windows használatával

      ✪ Érdemes-e a Malwarebytes és a Malwarebytes AdwCleaner használata?

      Feliratok

      Sziasztok! Ez a videó arról szól, hogyan távolíthat el trójai falót, keylogger vírust vagy bármilyen más típusú vírust vagy rosszindulatú programot a számítógépéről. Az egyikben korábbi videók Már megvizsgáltuk, hogyan lehet eltávolítani a vírusokat egy számítógépről vagy laptopról Windows 10, 8 vagy 7 operációs rendszerrel; a link a leírásban található. A számítógép trójai program általi fertőzésének tünetei közé tartozik a felhasználó által engedélyezett törlés, blokkolás, módosítás vagy adatok másolása, valamint a számítógépek és a számítógépes hálózatok működésének érezhető lassulása. Ezenkívül a trójaiak instabil működést vagy lefagyást okozhatnak egyes programokban vagy a hálózatban és az interneten. Azt már részletesen megbeszéltük, hogy mi a teendő, ha a böngésző nem nyit meg oldalakat, míg más alkalmazásoknak nem okoz gondot az internet elérése, csatornánk egyik korábbi videójában a link a leírásban található. Természetesen az első dolog, amit meg kell tennie, ha trójaikra, billentyűnaplózókra vagy más vírusokra utaló jeleket talál a számítógépén, az az, hogy víruskereső programokkal ellenőrizze a számítógépét. Egyik videónkban már bemutattuk a legjobb ingyenes vírusirtó értékelését. Ezért nem fogjuk újra megvizsgálni. A leírásban találsz linket ehhez a videóhoz. Másodszor, válassza le a számítógépet az internetről, és távolítsa el a Windows Feladatütemezőt a vírusoktól és a rosszindulatú programoktól. Link a videóhoz a leírásban, hogy hogyan kell ezt megtenni. Harmadszor, távolítsa el az összes lehetséges rosszindulatú programot a számítógépéről a Programok és szolgáltatások menü segítségével. Link a videóhoz, a leírásban található utasításokkal. Negyedszer, tisztítsa meg a rendszerindítást a rosszindulatú folyamatok indításától. A részletes utasításokat a cselekvési utasításokkal együtt a videó tartalmazza, amelynek linkje a leírásban található. Ha a leírt módszerek nem hozták meg a kívánt eredményt, és tudja, hogy melyik mappában található a trójai vagy más rosszindulatú programfájl, akkor megpróbálhatja manuálisan eltávolítani. Ehhez egyszerűen válassza ki és törölje, majd ürítse ki a Kukat. De gyakran előfordul, hogy amikor megpróbál egy rosszindulatú programot tartalmazó fájlt vagy mappát törölni, az nem törlődik. A felhasználó üzenetet kap arról, hogy a fájl vagy mappa írásvédett vagy törlésvédett, és nem érhető el. Ebben az esetben javasoljuk, hogy nézzen meg egy videót az ilyen blokkok megkerülésére és a kívánt fájl vagy mappa törlésére vonatkozó utasításokkal. Link a videóhoz a leírásban. Szeretném felhívni a figyelmét arra, hogy mielőtt elkezdi eltávolítani a vírusokat a számítógépéről, jobb, ha leválasztja az internetről. Ha egyik módszer sem segít eltávolítani a rosszindulatú programot és visszaállítani a normál állapotot rendszer működése, akkor ez megtehető a rendszer visszaállításával egy korábban létrehozott visszaállítási pontra, vagy végső esetben a Windows tiszta telepítésével. Linkek a releváns videókhoz innen részletes utasításokat a leírásban megtalálod. Tiszta Windows telepítés Számítógépenként vagy laptoponként 10 indítható flash meghajtó vagy lemez. Visszaállítási pont létrehozása, törlése vagy visszaállítása Windows rendszer 10. Összefoglalva, a vírusok és a trójai támadások számítógépének megfertőzésének megakadályozása érdekében: Ne futtasson az internetről vagy e-mail mellékletként kapott programokat anélkül, hogy ellenőrizné bennük a vírusokat. Ellenőrizze az összes külső meghajtót vírusok jelenléte mielőtt másolja vagy megnyitja a bennük lévő fájlokat, vagy elindítja a számítógépet ilyen lemezekről. Telepítsen egy víruskereső programot, és használja rendszeresen a számítógép ellenőrzéséhez. Állítsa be a számítógép automatikus vizsgálatát minden alkalommal, amikor bekapcsolja a számítógépet, és amikor külső tárolóeszközt csatlakoztat. Az információk védelmének fő eszköze a merevlemezen tárolt értékes adatok biztonsági mentése.Ez még nem minden. Lájkold és iratkozz fel a csatornára, ha ez a videó hasznos volt számodra. Köszönöm mindenkinek a megtekintést, sok sikert.

    Sztori

    A számítógépes férgek elosztott számítástechnikában való felhasználásával kapcsolatos korai kísérleteket a Xerox Palo Alto Kutatóközpontban végezték John Shoch és Jon Hupp 1978-ban. A "féreg" kifejezést David Gerrold Amikor HARLEY egy éves volt (1972) című tudományos-fantasztikus regényei befolyásolták, amelyek féregszerű programokat írnak le, valamint az On Shockwave. (Angol) John Brunner (1975), ahol magát a kifejezést vezetik be.

    Az egyik leghíresebb számítógépes féreg a „Morris Worm”, amelyet 1988-ban írt Robert Morris Jr., aki akkoriban a Cornell Egyetem hallgatója volt. A féreg terjedése november 2-án kezdődött, majd a féreg gyorsan megfertőzött hozzávetőleg 6200 számítógépet (ez az akkori internetre csatlakozó számítógépek körülbelül 10%-a).

    Elosztási mechanizmusok

    A férgek terjedésének minden mechanizmusa („támadási vektor”) két nagy csoportra osztható:

    • A sebezhetőségek és adminisztrációs hibák kihasználása szoftver telepítve a számítógépre. A Morris féreg az akkoriban ismert szoftveres sebezhetőségeket használta ki, nevezetesen levelezőszerver sendmail, finger service, és egy szótár segítségével választott jelszót. Az ilyen férgek képesek önállóan terjedni, teljesen automatikus módban kiválasztani és megtámadni a számítógépeket.
    • Az úgynevezett social engineering eszközeivel a felhasználót rosszindulatú program indítására provokálják. A felhasználó meggyőzése érdekében a fájl biztonságosságáról hibákat tartalmazhatnak felhasználói felület programok – például a VBS.LoveLetter féreg kihasználta azt a tényt, hogy az Outlook Express elrejti a fájlkiterjesztéseket. Ez a módszer széles körben használják a spam levelekben, a közösségi hálózatokon stb.

    Néha léteznek olyan férgek, amelyek különféle terjedési vektorokkal, áldozatkiválasztási stratégiákkal és akár exploitokkal is rendelkeznek a különböző operációs rendszerekhez.

    Spread sebesség

    A hálózati férgek terjedési sebessége számos tényezőtől függ: a hálózati topológiától, a sebezhető számítógépek keresésének algoritmusától, átlagsebességúj másolatok létrehozása. Azokat a hálózati férgeket, amelyek közvetlenül a TCP/IP protokollok használatával, azaz bármely IP-címről bármely másikra terjednek át a hálózaton, a gyors terjedés jellemzi.

    Feltéve, hogy a féreg minden példánya megbízhatóan ismeri egy korábban nem fertőzött hálózati csomópont címét, lehetséges az exponenciális reprodukálás. Például, ha minden példány másodpercenként egy számítógépet fertőz meg, a teljes IPv4-címtér fél perc alatt megtelik a féreggel. Egy hipotetikus féreg, amely ilyen sebességgel tudna terjedni, a "villámháborús féreg" nevet kapta. N. Weaver, a Berkeley Egyetem kutatója olyan egyszerű, szuboptimális algoritmusokat vizsgált, amelyek lehetővé teszik, hogy egy valamivel lassabban szaporodó féreg 15 perc alatt megfertőzze az internetet. Ezt a féregfajtát "Warhol féregnek" nevezik – Andy Warhol tiszteletére, aki a mondás szerzője: "a jövőben mindenkinek lesz esélye 15 perc hírnévre." Az SQL Slammer féregjárvány, amely 2003-ban 10 perc alatt több mint 75 000 szervert fertőzött meg, közel állt ehhez a terjesztési modellhez.

    A férgek túlnyomó többsége azonban sokkal kevésbé hatékony algoritmusokat használ. Egy tipikus férgek előfordulásai, amelyek próba és hiba segítségével keresnek sebezhető hálózati csomópontokat – véletlenszerűen. Ilyen körülmények között a reprodukciós görbéje megfelel a Verhulst-differenciálegyenlet megoldásának, és „szigmoid” karaktert kap. Egy ilyen modell helyességét 2001-ben a CodeRed II féregjárvány idején erősítették meg. 28 óra alatt a féreg körülbelül 350 000 hálózati csomópontot fertőzött meg, és az elmúlt órákban terjedésének sebessége meglehetősen alacsony volt - a féreg folyamatosan „ütközött” a korábban fertőzött csomópontokhoz.

    A féreg példányait eltávolító és a rendszert vakcinázó (vagyis sebezhetetlenné) vírusellenes antivírusok aktív ellenhatása esetén a járványgörbének meg kell felelnie a Kermack-McKendrick egyenletek megoldásának akut, majdnem exponenciális kezdettel, és eléri a szélsőséget. és hetekig tartó sima hanyatlás. Ez a kép valóban megfigyelhető a legtöbb járvány esetében.

    A levélprotokollokat használó férgek szaporodási görbéinek megjelenése megközelítőleg ugyanúgy néz ki, de terjedésük általános sebessége több nagyságrenddel kisebb. Ez annak a ténynek köszönhető, hogy a „mail” féreg nem tud közvetlenül kapcsolatba lépni más hálózati csomópontokkal, csak az egyikkel levelezési cím amely megtalálható a fertőzött gépen (például a címjegyzékben levelező kliens Outlook Express). A „postai” járványok időtartama több hónapot is elérhet.

    Szerkezet

    A férgek különböző részekből állhatnak.

    Az úgynevezett rezidens férgeket gyakran izolálják, amelyek megfertőzhetnek egy futó programot, és a RAM-ban tartózkodhatnak anélkül, hogy befolyásolnák. merevlemezek. Megszabadulhat az ilyen férgektől a számítógép újraindításával (és ennek megfelelően a RAM visszaállításával). Az ilyen férgek főként egy „fertőző” részből állnak: egy exploitból (shellkód) és egy kis hasznos terhelésből (maga a féregtest), amely teljes egészében a RAM-ban található. Az ilyen férgek sajátossága, hogy nem töltődnek be betöltőn keresztül, mint az összes szokásos végrehajtható fájl, ami azt jelenti, hogy csak olyan dinamikus könyvtárakra támaszkodhatnak, amelyeket más programok már betöltöttek a memóriába.

    Vannak olyan férgek is, amelyek a memória sikeres megfertőzése után kódot mentenek a merevlemezre, és intézkedéseket tesznek a kód későbbi futtatására (például a megfelelő kulcsok beírásával Windows rendszerleíró adatbázis). Az ilyen férgeket csak vírusirtó szoftverrel vagy hasonló eszközökkel lehet kiküszöbölni. Gyakran az ilyen férgek fertőző része (exploit, shellcode) tartalmaz egy kis hasznos terhelést, amely a RAM-ba töltődik, és magát a férget közvetlenül a hálózaton keresztül „fel tudja tölteni”, külön fájl formájában. Ennek érdekében egyes férgek egy egyszerű TFTP-klienst tartalmazhatnak a fertőző részben. Az így feltöltött féreg teste (általában külön futtatható fájl) most már a már fertőzött rendszerről történő további szkennelésért és terjesztésért felelős, és komolyabb, teljes értékű rakományt is tartalmazhat, aminek a célja lehet például valamilyen károkozás (például DoS támadás) .

    A legtöbb e-mail féreg egyetlen fájlként kerül terjesztésre. Nincs szükségük külön „fertőző” részre, mivel általában az áldozat felhasználó egy e-mail kliens vagy internetböngésző segítségével önként letölti és elindítja a teljes férget.

    Gyakran előfordul, hogy a férgek még hasznos terhelés nélkül is túlterhelik és ideiglenesen letiltják a hálózatokat pusztán az intenzív terjedésük miatt. Tipikusan értelmes hasznos teher lehet az áldozat számítógépén lévő fájlok megrongálása (beleértve a weboldalak megváltoztatását, az ún. „deface”-t); lehetőség van arra is, hogy a fertőzött számítógépekről botnetet szervezzenek. hálózati támadások, spamelés vagy (újabban) kriptovaluta bányászat.

    Ezért a modern férgek és bármely más rosszindulatú program elleni átfogó védelem érdekében proaktív védelmet kell alkalmazni. A hálózati férgek elleni védelem „bizalmi kreditjein” alapuló módszerét is fontolgatják. A tűzfalak és hasonló segédprogramok (például a Windows Worms Doors Cleaner) használata számos előnnyel jár.