###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Viermii de e-mail folosesc e-mailul pentru a se răspândi. Trojan-Notifier - notificarea unui atac reușit

    18.09.2020 Recenzii

    penetrare pe calculatoare la distanță;

    lansați-vă copia pe un computer la distanță;

    distribuție ulterioară către alte computere din rețea.

    Pentru a se răspândi, viermii de rețea folosesc o varietate de computere și retele mobile: e-mail, sisteme de mesagerie instantanee, partajare de fișiere (P2P) și rețele IRC, LAN, rețele de schimb de date între dispozitive mobile(telefoane, PC-uri de buzunar), etc.

    Cei mai cunoscuți viermi sunt distribuiti ca fișiere: atașamente la e-mail, un link către un fișier infectat de pe orice resursă web sau FTP din mesajele ICQ și IRC, un fișier din directorul de schimb P2P etc.

    Unii viermi (numiți viermi „fără fișiere” sau „pachet”) se răspândesc sub formă de pachete de rețea, pătrund direct în memoria PC-ului și le activează codul.

    Pentru a pătrunde în computerele de la distanță și a lansa o copie a lor, viermii folosesc diverse metode: inginerie socială (de exemplu, textul unui e-mail care vă îndeamnă să deschideți un fișier atașat), defecte în configurațiile rețelei (de exemplu, copierea pe un disc care este deschis la acces complet), erori în sistemele de operare și aplicațiile serviciilor de securitate.

    Unii viermi au și proprietăți ale altor tipuri de malware. De exemplu, unii viermi conțin funcții troiene sau sunt capabili să infecteze fișierele executabile disc local, adică au proprietățile unui program troian și/sau a unui virus informatic.

    Clasificarea viermilor de rețea

    Principalul mod în care tipurile de viermi diferă unul de celălalt este metoda de propagare a viermelui - modul în care își transmite copia la computere la distanță. Alte semne că viermii diferă unul de celălalt sunt metodele de lansare a unei copii a viermelui pe computerul infectat, metoda de introducere în sistem, precum și polimorfismul, stealth și alte caracteristici inerente altor tipuri de software rău intenționat (viruși și troieni).

    Email-Worm - viermi de e-mail

    Această categorie de viermi îi include pe cei care folosesc e-mailul pentru a se răspândi. În acest caz, viermele trimite fie o copie a lui însuși ca atașament la un e-mail, fie un link către fișierul său situat pe o resursă de rețea (de exemplu, o adresă URL către un fișier infectat situat pe un site web piratat sau hacker).

    În primul caz, codul vierme este activat atunci când este deschis (lansat) un atașament infectat, în al doilea - când se deschide un link către un fișier infectat. În ambele cazuri, efectul este același - codul de vierme este activat. Pentru a trimite mesaje infectate, folosesc viermii mail diferite căi. Cel mai comun:


    Conexiune directă la serverul SMTP folosind biblioteca de e-mail încorporată în codul vierme;

    Utilizarea serviciilor MS Outlook;

    Utilizarea funcțiilor MAPI.

    Diverse metode sunt folosite de viermii de e-mail pentru a căuta adrese de e-mail la care vor fi trimise e-mailurile infectate. Viermi mail:

    Trimiteți-vă la toate adresele găsite în carte de adrese MS Outlook;

    · citește adrese din baza de date de adrese WAB;

    Scanați fișierele „potrivite” de pe disc și selectați liniile din ele care sunt adrese de e-mail;

    · se trimit la toate adresele găsite în scrisorile în cutie poștală(în același timp, unii viermi de corespondență „răspund” la scrisorile găsite în cutia poștală).

    Mulți viermi folosesc mai multe dintre aceste metode simultan. Există și alte modalități de a găsi adrese de e-mail.

    IM-Worm - viermi care folosesc mesagerie pe Internet

    Viermi de computer cunoscuți de acest tip utilizați singura metodă de distribuție - trimiterea către contactele detectate (din lista de contacte mesaje care conțin o adresă URL către un fișier aflat pe un server. Această tehnică repetă aproape complet metoda similară de distribuție folosită de viermii de mail.

    IRC-Worm - viermi în canalele IRC Ei, ca și viermii de corespondență, au două moduri de a răspândi viermele prin canalele IRC, repetând metodele descrise mai sus. Primul implică trimiterea unui URL către o copie a viermelui. A doua metodă este de a trimite un fișier infectat unui utilizator de rețea. În acest caz, utilizatorul atacat trebuie să confirme primirea fișierului, apoi să-l salveze pe disc și să-l deschidă (rulați-l pentru execuție).

    Net-Vierme- alți viermi de rețea

    Există și alte modalități de a infecta computerele de la distanță, de exemplu:

    copierea viermelui în resursele rețelei;

    pătrunderea unui vierme într-un computer prin vulnerabilități în sistemul de operare și aplicații;

    pătrunderea în resursele rețelei publice;

    Prima metodă este ca viermele să caute computere la distanță și să se copieze în directoare care sunt deschise pentru citire și scriere (dacă sunt găsite).

    În acest caz, viermii de acest tip caută fie prin directoarele de rețea disponibile folosind funcțiile sistem de operare, și/sau căutați aleatoriu computere în retea globala, conectați-vă la ei și încercați să-și deschidă discurile pentru acces complet.

    Pentru a pătrunde folosind cea de-a doua metodă, viermii caută în rețea computere care folosesc software care conține vulnerabilități critice. Pentru a infecta computerele vulnerabile, viermele trimite un pachet de rețea special conceput sau o cerere (exploatare de vulnerabilitate), în urma căreia codul vierme (sau o parte a codului) pătrunde în computerul victimă. Dacă pachetul de rețea conține doar o parte din codul viermelui, apoi descarcă fișierul principal și îl rulează.

    O categorie separată este formată din viermi care utilizează servere web și FTP pentru distribuția lor. Infecția are loc în două etape. În primul rând, viermele pătrunde în computerul serverului și modifică necesar fișierele de serviciu ale serverului (de exemplu, pagini web statice). Viermele așteaptă apoi vizitatorii care solicită informații de la serverul infectat (de exemplu, prin deschiderea unei pagini web infectate) și astfel se infiltrează în computerele din rețea.

    Trebuie remarcat faptul că mulți viermi de computer folosesc mai mult de o metodă de răspândire a copiilor lor în rețele, folosind două sau mai multe metode pentru a ataca computerele de la distanță.

    Р2Р-Worm - viermi pentru rețele de partajare a fișierelor

    Mecanismul de funcționare al majorității acestor viermi este destul de simplu - pentru a se infiltra într-o rețea P2P, viermele trebuie doar să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală. Rețeaua P2P preia restul muncii de răspândire a virusului - atunci când căutați fișiere în rețea, va raporta utilizatori la distanță O acest fișierși va oferi toate serviciile necesare pentru a descărca fișierul de pe computerul infectat.

    Există viermi P2P mai complecși care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și interogări de căutare răspunde pozitiv - iar viermele își oferă copia pentru descărcare.

    Clasificarea amenințărilor după diverse criterii.

    Nu există o clasificare exactă și unificată a amenințărilor din cauza diversității mari a acestora și a schimbării constante a compoziției amenințărilor. În continuare, va fi luată în considerare clasificarea în funcție de mai multe criterii diferite.

    - în funcție de scopul implementării amenințării:încălcarea confidențialității, încălcarea integrității, încălcarea disponibilității, utilizarea neautorizată a resurselor de calcul;

    - din cauza apariției unei erori de securitate utilizate: (despre ce am vorbit puțin mai devreme) deficiențe tehnologice, defecte de configurare, inadecvare a politicii de securitate (aceasta include uneori și erori de proiectare, dar pot fi incluse în deficiențele tehnologice);

    - prin metoda influenţei: în modurile interactiv și în lot (ca exemplu pentru primul, când un atacator folosește să pirateze acces de la distanță, pentru al doilea - răspândirea virusului);

    - prin intermediul atacului folosit: folosind software standard, folosind software dezvoltat;

    - în funcţie de starea ţintei atacului: la stocarea unui obiect, la transferul unui obiect, la procesarea unui obiect.

    Este posibil un număr semnificativ de clasificări bazate pe alte criterii.

    Acum să trecem la luarea în considerare a unor tipuri specifice de amenințări.

    http://www.viruslist.ru- Enciclopedie mare de virusuri de la producătorii AVP.

    Virușii informatici au fost și rămân una dintre cele mai frecvente cauze ale pierderii de informații (adică, încălcarea integrității informațiilor). În plus, pot supraîncărca canalele de comunicare (încălcarea disponibilității) și pot transfera în mod independent creatorului orice date valoroase (încălcarea confidențialității). În rețeaua corporativă a AvtoVAZ, virușii sunt cei care acest moment una dintre principalele probleme de securitate.

    Nu există informații exacte despre nașterea primului virus informatic. Dar calculatoarele Univax 1108 și IBM 360/370 le aveau deja la mijlocul anilor 1970.

    Există mai multe tipuri cod rău intenționat, de care sistemul trebuie protejat. Deși un astfel de cod este numit în mod colectiv „viruși”, există o diferență între viruși, cai troieni și viermi.

    Virus este un mic program care este scris pentru a schimba funcționarea unui computer fără știrea utilizatorului. Virușii au cod executabil fie sub formă program independent, sau ca macrocomandă conținută într-un alt fișier și trebuie să se poată copia pentru a continua să ruleze după finalizarea programului sau macrocomenzii inițiale.

    Spre deosebire de viermii de rețea, virușii nu folosesc servicii de rețea pentru a pătrunde în alte computere. O copie a unui virus informatic ajunge la un computer la distanță numai dacă obiectul infectat este activat pe un alt computer din motive independente de funcționalitatea virusului, de exemplu:



    Când unitățile accesibile sunt infectate, virusul pătrunde în fișierele aflate pe o partajare de rețea;

    Virusul se autocopiază suporturi amovibile sau infectează fișierele de pe ele;

    Utilizatorul trimite un e-mail cu un atașament infectat cu virus.

    Vierme de rețea este un program rău intenționat care își distribuie în mod independent copiile prin rețele locale și/sau globale.

    Viermii se pot răspândi de la un computer la altul prin copierea unui fișier infectat sau fără ajutorul unui fișier. Viermii „fără fișier” sau „pachet” se răspândesc sub formă de pachete de rețea, pătrund direct în memoria computerului și își activează codul.

    Pentru a pătrunde în computerele de la distanță și a lansa o copie a lor, viermii de rețea folosesc următoarele metode: inginerie socială (de exemplu, textul unui e-mail care vă îndeamnă să deschideți un fișier atașat), defecte în configurația rețelei (de exemplu, copierea într-un disc care este deschis accesului complet), erori în securitatea serviciilor de sisteme de operare și aplicații.

    Troian (program troian, troian) este un program rău intenționat care este conținut în alt program aparent inofensiv. Când porniți un astfel de program (de exemplu, un protector de ecran, felicitare etc.) pe sistem este instalat un troian. Troienii pot acționa ca programe spion prin trimitere informații confidențiale terță parte sau poate fi folosit pentru atacuri DoS. Principala diferență dintre troieni și viruși și viermi de rețea este că troienii nu se reproduc singuri - trebuie să fie lansate manual pentru a infecta un sistem.

    Atac DoS (Denial of Service) trimite un număr mare de solicitări către un anumit server sau URL, determinând încărcarea puternică a serverului și împiedicându-l să servească alte solicitări. Un atac DoS distribuit folosește viruși, troieni sau viermi pentru a prelua mai multe computere de pe Internet, spunându-le să atace simultan un server. Adică, în acest caz vorbim despre o încălcare a accesibilității.

    Astfel: virușii se răspândesc singuri, dar nu folosesc rețeaua pentru a face acest lucru, viermii se răspândesc independent în rețea, troienii nu se răspândesc independent.

    În ce scop sunt creați virușii?

    1. Afirmarea de sine a programatorilor.

    2. Furtul în masă de date (parole, numere de card de credit).

    3. Atacul în masă asupra nodurilor de internet.

    Condiții de apariție malware pentru anumite sisteme de operare sau aplicații:

    1. Popularitate, utilizarea pe scară largă a acestui sistem;

    2. Disponibilitate variat și destul de complet documentație conform sistemului;

    3. Insecuritate sisteme sau existența unor vulnerabilități cunoscuteîn sistemul de securitate.

    Clasificarea virușilor informatici de la Kaspersky (producător AVP).

    Virușii pot fi împărțiți în clase în funcție de următoarele caracteristici principale:

    • habitat;
    • sistem de operare (OC);
    • caracteristicile algoritmului de operare;
    • posibilități distructive.

    De habitat Virușii pot fi împărțiți în:

    • fişier;
    • cizmă;
    • macro;
    • reţea.

    Fișieră viruși sunt încorporate în fișierele executabile în diferite moduri (cel mai comun tip de virus).

    Porniți viruși se scriu fie în sectorul de pornire al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de pornire de sistem al hard disk-ului (Master Boot Record) sau schimbați indicatorul către sectorul de pornire activ.

    Viruși macro infectați fișierele documentelor și foile de calcul ale mai multor editori populari.

    Viruși de rețea utilizați protocoale sau comenzi pentru distribuirea lor retele de calculatoareși e-mail.

    Există un număr mare de combinații - de exemplu, fișier-boot viruși care infectează atât fișierele, cât și sectoarele de boot ale discurilor. Astfel de viruși, de regulă, au un algoritm de operare destul de complex, folosesc adesea metode originale de pătrundere în sistem și folosesc tehnologii ascunse și polimorfe. Un alt exemplu de astfel de combinație este virusul macro de rețea, care nu numai că infectează documentele editate, ci și trimite copii ale ei prin e-mail.

    Infectat sistem de operare(sau mai degrabă, sistemul de operare, ale cărui obiecte sunt susceptibile la infecție) este al doilea nivel de împărțire a virușilor în clase. Fiecare fișier sau virus de rețea infectează fișierele de pe unul sau mai multe sisteme de operare. Virușii macro infectează fișierele Formate Word, Excela. Virușii de pornire sunt, de asemenea, vizați către formate specifice pentru locația datelor de sistem în sectoarele de pornire ale discurilor.

    Printre caracteristicile algoritmului de operare viruși, sunt evidențiate următoarele puncte:

    • rezidenta;
    • utilizarea algoritmilor stealth;
    • auto-criptare și polimorfism;
    • utilizarea tehnicilor nestandardizate.

    Rezident Când un virus infectează un computer, acesta pleacă memorie cu acces aleator partea sa rezidentă, care apoi interceptează apelurile de la sistemul de operare pentru a infecta obiectele și se injectează în ele. Virușii rezidenți se află în RAM și sunt activi până când computerul este oprit sau sistemul de operare este repornit. Virușii nerezidenți nu infectează memoria RAM a computerului și rămân activi pentru o perioadă limitată de timp. Unii viruși lasă mici programe rezidente în RAM care nu răspândesc virusul. Astfel de viruși sunt considerați nerezidenți.

    Virușii macro pot fi considerați rezidenți, deoarece sunt prezenți în mod constant în memoria computerului pentru tot timpul în care editorul infectat rulează. În acest caz, rolul sistemului de operare este preluat de editor, iar conceptul de „repornire a sistemului de operare” este interpretat ca ieșire din editor.

    Utilizare algoritmi stealth(stealth, by stealth - furtiv, liniștit, pe ascuns) permite virușilor să se ascundă complet sau parțial în sistem. Cel mai comun algoritm de stealth este interceptarea cererilor OC de citire/scriere a obiectelor infectate. În acest caz, virușii stealth fie vindecă temporar obiectele infectate, fie „înlocuiesc” informații neinfectate în locul lor.

    Auto-criptareȘi polimorfism sunt folosite de aproape toate tipurile de viruși pentru a complica cât mai mult procedura de detectare a virusului. Virușii polimorfi sunt viruși care nu au semnături, adică. care nu conțin o singură bucată permanentă de cod. În cele mai multe cazuri, două mostre ale aceluiași virus polimorf nu vor avea o singură potrivire. Acest lucru se realizează prin criptarea corpului principal al virusului și modificarea programului de decriptare.

    De posibilități distructive Virușii pot fi împărțiți în:

    • inofensiv, adică care nu afectează în niciun fel funcționarea computerului (cu excepția reducerii memorie libera pe disc ca urmare a distribuției sale);
    • nepericuloase, al căror impact este limitat de o scădere a memoriei libere pe disc și efecte grafice, sonore etc.;
    • virusuri periculoase, care poate duce la defecțiuni grave ale computerului;
    • foarte periculos, al cărui algoritm conține evident proceduri care pot duce la întreruperea programelor și distrugerea datelor.

    Unii viruși pot reprograma cipurile BIOS, după care computerul necesită reparații. Și chiar, așa cum spune una dintre legendele computerelor neverificate, există viruși care contribuie la uzura rapidă a părților în mișcare ale mecanismelor - ele rezonează și distrug capetele unor tipuri de hard disk.

    Numele parametrului Sens
    Subiect articol: Viermi de rețea
    Rubrica (categoria tematica) Calculatoare

    pătrunderea computerelor la distanță;

    lansați-vă copia pe un computer la distanță;

    distribuție ulterioară către alte computere din rețea.

    Este important de reținut că viermii de rețea folosesc o varietate de rețele de calculatoare și mobile pentru a se răspândi: e-mail, sisteme de mesagerie instantanee, rețele de partajare a fișierelor (P2P) și IRC, LAN, rețele de schimb de date între dispozitive mobile (telefoane, computere de buzunar) și etc.

    Cei mai mulți viermi cunoscuți sunt distribuiti sub formă de fișiere: un atașament la un e-mail, un link către un fișier infectat de pe o resursă web sau FTP în mesaje ICQ și IRC, un fișier într-un director de schimb P2P etc.

    Unii viermi (numiți viermi „fără fișiere” sau „loturi”) se răspândesc sub formă de pachete de rețea, pătrund direct în memoria computerului și își activează codul.

    Pentru a pătrunde în computerele de la distanță și a lansa o copie a lor, viermii folosesc diverse metode: inginerie socială (de exemplu, textul unui e-mail care vă invită să deschideți un fișier atașat), defecte în configurațiile rețelei (de exemplu, copierea pe un disc care este deschis la acces complet), erori în sistemul de operare și serviciile de securitate a aplicațiilor.

    Unii viermi au și proprietăți ale altor tipuri de malware. De exemplu, unii viermi conțin funcții troiene sau sunt capabili să infecteze fișiere executabile de pe un disc local, adică au proprietățile unui program troian și/sau a unui virus de calculator.

    Clasificarea viermilor de rețea

    Principalul mod în care tipurile de viermi diferă unul de celălalt este metoda de propagare a viermelui - modul în care își transmite copia la computere la distanță. Alte semne că viermii diferă unul de celălalt sunt metodele de lansare a unei copii a viermelui pe computerul infectat, metoda de introducere în sistem, precum și polimorfismul, stealth și alte caracteristici inerente altor tipuri de software rău intenționat (viruși și troieni).

    Email-Worm - viermi de e-mail

    Această categorie de viermi îi include pe cei care folosesc e-mailul pentru a se răspândi. În acest caz, viermele trimite fie o copie a lui însuși ca atașament la un e-mail, fie un link către fișierul său situat pe o resursă de rețea (de exemplu, o adresă URL către un fișier infectat situat pe un site web piratat sau hacker).

    În primul caz, codul vierme este activat atunci când este deschis (lansat) un atașament infectat, în al doilea - când se deschide un link către un fișier infectat. În ambele cazuri, efectul este același - codul de vierme este activat. Viermii mail folosesc diverse metode pentru a trimite mesaje infectate. Cel mai comun:

    ‣‣‣ conexiune directa către serverul SMTP folosind biblioteca de e-mail încorporată în codul vierme;

    ‣‣‣ utilizarea serviciilor MS Outlook;

    ‣‣‣ utilizarea funcțiilor MAPI.

    Diverse metode sunt folosite de viermii de e-mail pentru a căuta adrese de e-mail la care vor fi trimise e-mailurile infectate. Viermi mail:

    ‣‣‣ se trimit la toate adresele găsite în agenda MS Outlook;

    · citește adrese din baza de date de adrese WAB;

    ‣‣‣ scanează fișierele „potrivite” de pe disc și evidențiază liniile din ele care sunt adrese de e-mail;

    · se trimit la toate adresele găsite în scrisorile din cutia poștală (în acest caz, unii viermi de corespondență „răspund” la scrisorile găsite în cutia poștală).

    Mulți viermi folosesc mai multe dintre aceste metode simultan. Există și alte modalități de a găsi adrese de e-mail.

    IM-Worm - viermi care folosesc mesagerie pe Internet

    Viermii informatici cunoscuți de acest tip folosesc singura metodă de distribuție - trimiterea către contactele detectate (din lista de contacte mesaje care conțin o adresă URL la un fișier aflat pe un server. Această tehnică repetă aproape complet metoda similară de distribuție folosită de viermii de mail.

    IRC-Worm - viermi în canalele IRCΟʜᴎ, ca și viermii de corespondență, au două moduri de a răspândi viermele prin canalele IRC, repetând metodele descrise mai sus. Primul implică trimiterea unui URL către o copie a viermelui. A doua metodă este de a trimite un fișier infectat unui utilizator de rețea. În acest caz, utilizatorul atacat trebuie să confirme primirea fișierului, apoi să-l salveze pe disc și să-l deschidă (rulați-l pentru execuție).

    Net-Vierme- alți viermi de rețea

    Există și alte modalități de a infecta computerele de la distanță, de exemplu:

    copierea viermelui în resursele rețelei;

    pătrunderea unui vierme într-un computer prin vulnerabilități în sistemul de operare și aplicații;

    pătrunderea în resursele rețelei publice;

    Prima metodă este, în esență, ca viermele să caute computere la distanță și să se copieze în directoare care sunt deschise pentru citire și scriere (dacă sunt găsite).

    În acest caz, viermii de acest tip fie caută prin directoarele de rețea disponibile folosind funcțiile sistemului de operare și/sau caută aleatoriu computere din rețeaua globală, se conectează la acestea și încearcă să-și deschidă discurile pentru acces complet.

    Pentru a pătrunde folosind cea de-a doua metodă, viermii caută în rețea computere care folosesc software care conține vulnerabilități critice. Pentru a infecta computerele vulnerabile, viermele trimite un pachet de rețea special conceput sau o cerere (exploatare de vulnerabilitate), datorită căruia codul vierme (sau o parte a codului) pătrunde în computerul victimei. Dacă pachetul de rețea conține doar o parte din codul vierme, apoi descarcă fișierul principal și îl rulează pentru execuție.

    O categorie separată este formată din viermi care utilizează servere web și FTP pentru distribuția lor. Infecția are loc în două etape. În primul rând, viermele pătrunde în computerul serverului și modifică necesar fișierele de serviciu ale serverului (de exemplu, pagini web statice). În continuare, viermele așteaptă vizitatorii care solicită informații de la serverul infectat (de exemplu, deschide o pagină web infectată) și astfel pătrunde în computerele din rețea.

    Trebuie remarcat faptul că mulți viermi de computer folosesc mai mult de o metodă de răspândire a copiilor lor în rețele, folosind două sau mai multe metode pentru a ataca computerele de la distanță.

    Р2Р-Worm - viermi pentru rețele de partajare a fișierelor

    Mecanismul de funcționare al majorității acestor viermi este destul de simplu - pentru a se infiltra într-o rețea P2P, viermele trebuie doar să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală. Rețeaua P2P se ocupă de restul lucrărilor de răspândire a virusului - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi toate serviciile necesare pentru descărcarea fișierului de pe computerul infectat.

    Există viermi P2P mai complecși care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la solicitările de căutare - în timp ce viermele oferă o copie a lui însuși pentru descărcare.

    Viermi de rețea - concept și tipuri. Clasificarea și caracteristicile categoriei „Viermi de rețea” 2017, 2018.

    Principalul mod în care tipurile de viermi diferă unul de celălalt este metoda de propagare a viermelui - modul în care își transmite copia la computere la distanță. Alte semne că CP-urile diferă unele de altele sunt metodele de lansare a unei copii a viermelui pe computerul infectat, metodele de introducere în sistem, precum și polimorfismul, stealth-ul și alte caracteristici inerente altor tipuri de software rău intenționat (viruși și troieni). ).

    Email-Worm - viermi de mail

    Această categorie de viermi îi include pe cei care folosesc e-mailul pentru a se răspândi. În acest caz, viermele trimite fie o copie a lui însuși ca atașament la un e-mail, fie un link către fișierul său situat pe o resursă de rețea (de exemplu, o adresă URL către un fișier infectat situat pe un site web piratat sau hacker).
    În primul caz, codul vierme este activat atunci când este deschis (lansat) un atașament infectat, în al doilea - când se deschide un link către un fișier infectat. În ambele cazuri, efectul este același - codul de vierme este activat.
    Viermii mail folosesc diverse metode pentru a trimite mesaje infectate. Cel mai comun:

    • conexiune directă la serverul SMTP folosind biblioteca de e-mail încorporată în codul vierme;
    • utilizarea serviciilor MS Outlook;
    • utilizare Funcții Windows MAPI.

    Diverse metode sunt folosite de viermii de e-mail pentru a căuta adrese de e-mail la care vor fi trimise e-mailurile infectate. Viermi mail:

    • se trimit la toate adresele găsite în agenda MS Outlook;
    • citește adrese din baza de date de adrese WAB;
    • scanați fișierele „potrivite” de pe disc și selectați liniile din ele care sunt adrese de e-mail;
    • se trimit la toate adresele găsite în scrisorile din cutia poștală (în timp ce unii viermi de corespondență „răspund” la scrisorile găsite în cutia poștală).

    Mulți viermi folosesc mai multe dintre aceste metode simultan. Există și alte modalități de a găsi adrese de e-mail.

    IM-Worm - viermi care folosesc mesagerie pe Internet

    Viermii informatici cunoscuți de acest tip folosesc singura metodă de propagare - trimiterea de mesaje către contactele detectate (din lista de contacte) care conțin o adresă URL către un fișier aflat pe un server web. Această tehnică reproduce aproape complet o metodă similară de corespondență utilizată de viermii de corespondență.

    IRC-Worm - viermi în canalele IRC

    Acest tip de vierme, precum viermii de e-mail, are două moduri de răspândire a viermelui prin canalele IRC, repetând metodele descrise mai sus. Primul implică trimiterea unui URL către o copie a viermelui. A doua metodă este de a trimite un fișier infectat unui utilizator de rețea. În acest caz, utilizatorul atacat trebuie să confirme primirea fișierului, apoi să-l salveze pe disc și să-l deschidă (rulați-l pentru execuție).

    Net-Worm - alți viermi de rețea

    Există și alte modalități de a infecta computerele de la distanță, de exemplu:

    Prima metodă este ca viermele să caute computere la distanță și să se copieze în directoare care sunt deschise pentru citire și scriere (dacă sunt găsite). În acest caz, viermii de acest tip fie caută prin directoarele de rețea disponibile folosind funcțiile sistemului de operare și/sau caută aleatoriu computere din rețeaua globală, se conectează la acestea și încearcă să-și deschidă discurile pentru acces complet.

    Pentru a pătrunde folosind cea de-a doua metodă, viermii caută în rețea computere care folosesc software care conține vulnerabilități critice. Pentru a infecta computerele vulnerabile, viermele trimite un pachet de rețea special conceput sau o cerere (exploatare de vulnerabilitate), în urma căreia codul vierme (sau o parte a codului) pătrunde în computerul victimă. Dacă pachetul de rețea conține doar o parte din codul viermelui, apoi descarcă fișierul principal și îl rulează.

    O categorie separată este formată din viermi care utilizează servere web și FTP pentru distribuția lor. Infecția are loc în două etape. În primul rând, viermele pătrunde în computerul serverului și modifică necesar fișierele de serviciu ale serverului (de exemplu, pagini web statice). Viermele așteaptă apoi ca vizitatorii să solicite informații de la serverul infectat (de exemplu, prin deschiderea unei pagini web infectate) și astfel se infiltrează în alte computere din rețea.

    Trebuie remarcat faptul că mulți viermi de computer folosesc mai mult de o metodă de răspândire a copiilor lor în rețele, folosind două sau mai multe metode pentru a ataca computerele de la distanță.

    P2P-Worm - viermi pentru rețele de partajare a fișierelor

    Mecanismul de funcționare al majorității acestor viermi este destul de simplu - pentru a se infiltra într-o rețea P2P, viermele trebuie doar să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală. Rețeaua P2P se ocupă de restul lucrărilor de răspândire a virusului - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi toate serviciile necesare pentru descărcarea fișierului de pe computerul infectat.

    Există viermi P2P mai complecși care imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la solicitările de căutare - în timp ce viermele oferă o copie a lui însuși pentru descărcare.

    Autopropagare prin rețele de calculatoare locale și globale.

    YouTube enciclopedic

      1 / 5

      ✪ Îndepărtarea 100% a oricărui virus: troian, rootkit, ransomware, spyware ☣️🛡️💻

      ✪ Cum au perturbat hackerii programul nuclear iranian

      ✪ CEI MAI PERICULOȘI VIRUSURI DE COMPUTER DIN TOATE TIMPUL

      ✪ Cum să verificați dacă portul este deschis folosind Windows

      ✪ Merită folosit Malwarebytes și Malwarebytes AdwCleaner?

      Subtitrări

      Salutare tuturor! Acest videoclip este despre cum să eliminați calul troian, virusul keylogger sau orice alt tip de virus sau malware de pe computer. Într-una din videoclipurile anterioare Ne-am uitat deja la cum să eliminați virușii de pe un computer sau laptop cu Windows 10, 8 sau 7; linkul este în descriere. Simptomele infectării computerului cu un program troian includ ștergerea, blocarea, modificarea sau ștergerea autorizată de utilizator. copierea datelor, precum și o încetinire vizibilă a funcționării calculatoarelor și a rețelelor de calculatoare. În plus, troienii pot provoca o funcționare instabilă sau înghețarea unor programe sau a rețelei și a internetului. Am discutat deja în detaliu ce să facem dacă browserul nu deschide pagini, în timp ce alte aplicații nu au probleme cu accesarea internetului, într-unul dintre videoclipurile anterioare ale canalului nostru, linkul este în descriere. Desigur, primul lucru pe care trebuie să-l faceți dacă găsiți semne de troieni, keylogger sau alți viruși pe computer este să vă scanați computerul folosind programe antivirus. Am arătat deja evaluarea celor mai bune antivirusuri gratuite într-unul dintre videoclipurile noastre. Prin urmare, nu o vom mai lua în considerare. Veți găsi un link către acest videoclip în descriere. În al doilea rând, deconectați computerul de la Internet și ștergeți Windows Task Scheduler de viruși și programe malware. Link către videoclipul despre cum să faceți acest lucru în descriere. În al treilea rând, eliminați toate programele malware posibile de pe computer folosind meniul Programe și caracteristici. Link către videoclip cu instrucțiuni în descriere. În al patrulea rând, ștergeți pornirea sistemului de la lansarea proceselor rău intenționate. Instrucțiuni detaliate cu instrucțiuni de acțiune sunt descrise în videoclip, linkul către care se află în descriere. Dacă metodele descrise nu au adus rezultatul dorit și știți în ce folder se află fișierul troian sau alt program rău intenționat, atunci puteți încerca să îl eliminați manual. Pentru a face acest lucru, pur și simplu selectați-l și ștergeți-l, apoi goliți Coșul de gunoi. Dar se întâmplă adesea ca atunci când încercați să ștergeți un fișier sau un folder cu malware, acesta să nu fie șters. Utilizatorul primește un mesaj că fișierul sau folderul este protejat la scriere sau la ștergere și nu poate fi accesat. În acest caz, vă recomandăm să vizionați un videoclip cu instrucțiuni despre cum să ocoliți un astfel de bloc și să ștergeți fișierul sau folderul dorit. Link către videoclipul din descriere. Aș dori să vă atrag atenția asupra faptului că, înainte de a începe să eliminați virușii de pe computer, este mai bine să îl deconectați de la Internet. Dacă niciuna dintre metode nu ajută la eliminarea programului rău intenționat și la restabilirea normalului sistem de operare, atunci acest lucru se poate face prin derularea înapoi a sistemului la un punct de restaurare creat anterior sau, ca ultimă soluție, prin efectuarea unei instalări curate a Windows. Linkuri către videoclipuri relevante de la instrucțiuni detaliate veti gasi in descriere. Curat Instalare Windows 10 pe computer sau laptop cu unitate flash bootabilă sau disc. Cum să creați, să ștergeți sau să derulați înapoi un punct de restaurare sistem Windows 10. În concluzie, pentru a preveni virușii și atacurile troiene să vă infecteze computerul: Nu rulați programe pe care le primiți de pe Internet sau ca atașament la e-mail fără a le verifica dacă există viruși. Verificați toate unitățile externe pentru prezența virusurilorînainte de a copia sau deschide fișierele pe care le conțin sau de a porni computerul de pe astfel de discuri. Instalați un program antivirus și utilizați-l în mod regulat pentru a vă scana computerul. Configurați scanarea automată a computerului de fiecare dată când porniți computerul și când conectați un dispozitiv de stocare extern. Principalul mijloc de protejare a informațiilor este salvarea datelor valoroase stocate pe hard disk. Asta nu este tot. Vă rugăm să dați like și abonați-vă la canal dacă acest videoclip v-a fost de folos. Mulțumesc tuturor pentru vizionare, succes.

    Poveste

    Experimentele timpurii privind utilizarea viermilor de computer în calculul distribuit au fost efectuate la Centrul de Cercetare Xerox Palo Alto de către John Shoch și Jon Hupp în 1978. Termenul „vierme” a fost influențat de romanele științifico-fantastice When HARLEY Was One Year Old de David Gerrold (1972), care descriau programe asemănătoare viermilor și On Shockwave. (Engleză) John Brunner (1975), unde este introdus termenul în sine.

    Unul dintre cei mai faimoși viermi de computer este „Viermele Morris”, scris în 1988 de Robert Morris Jr., care era student la Universitatea Cornell la acea vreme. Răspândirea viermelui a început pe 2 noiembrie, după care viermele a infectat rapid aproximativ 6.200 de computere (aceasta este aproximativ 10% din toate computerele conectate la Internet la acel moment).

    Mecanisme de distribuție

    Toate mecanismele („vectori de atac”) de propagare a viermilor sunt împărțite în două grupuri mari:

    • Exploatarea vulnerabilităților și erorilor administrative în software instalat pe computer. Viermele Morris a exploatat vulnerabilitățile software cunoscute la acea vreme și anume server de mail sendmail, serviciul de degete și selectat o parolă folosind un dicționar. Astfel de viermi sunt capabili să se răspândească în mod autonom, selectând și atacând computerele într-un mod complet automat.
    • Folosind mijloacele așa-numitei inginerie socială, utilizatorul este provocat să lanseze un program rău intenționat. Pentru a convinge utilizatorul că fișierul este sigur, pot fi incluse defecte interfața cu utilizatorul programe - de exemplu, viermele VBS.LoveLetter a profitat de faptul că Outlook Express ascunde extensiile de fișiere. Aceasta metoda utilizat pe scară largă în mesajele spam, în rețelele sociale etc.

    Uneori există viermi cu o gamă întreagă de vectori de propagare diferiți, strategii de selecție a victimelor și chiar exploatări pentru diferite sisteme de operare.

    Viteza de raspandire

    Viteza cu care se răspândește un vierme de rețea depinde de mulți factori: topologia rețelei, algoritmul de căutare a computerelor vulnerabile, viteza medie crearea de noi copii. Viermii de rețea care se răspândesc într-o rețea prin utilizarea directă a protocoalelor TCP/IP, adică de la orice adresă IP la oricare alta, se caracterizează printr-o răspândire rapidă.

    Cu condiția ca fiecare instanță a viermelui să cunoască în mod fiabil adresa unui nod de rețea neinfectat anterior, este posibilă reproducerea exponențială. De exemplu, dacă fiecare instanță infectează un computer pe secundă, întreg spațiul de adrese IPv4 va fi umplut cu viermele într-o jumătate de minut. Un vierme ipotetic care s-ar putea răspândi cu o asemenea viteză a primit numele de „vierme blitzkrieg”. Cercetătorul N. Weaver de la Universitatea din Berkeley a considerat algoritmi simpli suboptimi care ar putea permite unui vierme, reproducându-se ceva mai încet, să infecteze totuși internetul în 15 minute. Acest tip de vierme se numește „vierme Warhol” – în onoarea lui Andy Warhol, autorul zicalei: „în viitor toată lumea va avea șansa de 15 minute de faimă”. Epidemia de viermi SQL Slammer, care a infectat peste 75.000 de servere în 10 minute în 2003, a fost aproape de acest model de distribuție.

    Cu toate acestea, marea majoritate a viermilor folosesc algoritmi mult mai puțin eficienți. Instanțe ale unui vierme tipic căutează noduri de rețea vulnerabile folosind încercare și eroare - aleatoriu. În aceste condiții, curba sa de reproducere corespunde soluției ecuației diferențiale Verhulst și capătă un caracter „sigmoid”. Corectitudinea unui astfel de model a fost confirmată în 2001 în timpul epidemiei de viermi CodeRed II. În 28 de ore, viermele a infectat aproximativ 350.000 de noduri de rețea, iar în ultimele ore viteza de răspândire a acestuia a fost destul de scăzută - viermele a „locuit” în mod constant în nodurile infectate anterior.

    În condiții de contracarare activă a antivirusurilor care îndepărtează cazurile de vierme și vaccinează sistemul (adică făcându-l invulnerabil), curba epidemiei ar trebui să corespundă soluției ecuațiilor Kermack-McKendrick cu un început acut, aproape exponențial, atingând un extremum. și o scădere lină care poate continua săptămâni întregi. Această imagine este într-adevăr observată în realitate pentru majoritatea epidemilor.

    Aspectul curbelor de reproducere pentru viermi care utilizează protocoale de e-mail arată aproximativ același, dar viteza generală de răspândire a acestora este cu câteva ordine de mărime mai mică. Acest lucru se datorează faptului că viermele „mail” nu poate contacta direct niciun alt nod de rețea, ci doar pe cel adresa poștală care este prezent pe mașina infectată (de exemplu, în agenda de adrese client de mail Outlook Express). Durata epidemiei „poștă” poate ajunge la câteva luni.

    Structura

    Viermii pot fi formați din diferite părți.

    Așa-numiții viermi rezidenți sunt adesea izolați, care pot infecta un program care rulează și să locuiască în RAM fără a fi afectat hard disk-uri. Puteți scăpa de astfel de viermi repornind computerul (și, în consecință, resetarea memoriei RAM). Astfel de viermi constau în principal dintr-o parte „infecțioasă”: un exploit (shellcode) și o sarcină utilă mică (corpul viermelui însuși), care este situat în întregime în RAM. Specificul unor astfel de viermi este că nu sunt încărcați printr-un încărcător ca toate fișierele executabile obișnuite, ceea ce înseamnă că se pot baza doar pe biblioteci dinamice care au fost deja încărcate în memorie de către alte programe.

    Există și viermi care, după infectarea cu succes a memoriei, salvează codul pe hard disk și iau măsuri pentru a rula ulterior acest cod (de exemplu, scriind cheile corespunzătoare în Registrul Windows). Astfel de viermi pot fi eliminați numai folosind software antivirus sau instrumente similare. Adesea, partea infecțioasă a unor astfel de viermi (exploat, shellcode) conține o sarcină utilă mică, care este încărcată în RAM și poate „încărca” viermele în sine direct în rețea, sub forma unui fișier separat. Pentru a face acest lucru, unii viermi pot conține un simplu client TFTP în partea infecțioasă. Corpul viermelui s-a încărcat în acest fel (de obicei un separat fisier executabil) este acum responsabil pentru scanarea și distribuirea ulterioară dintr-un sistem deja infectat și poate conține, de asemenea, o sarcină utilă mai serioasă, cu drepturi depline, al cărei scop poate fi, de exemplu, acela de a provoca anumite prejudicii (de exemplu, un atac DoS) .

    Majoritatea viermilor de e-mail sunt distribuiți ca un singur fișier. Nu au nevoie de o parte separată de „infecție”, deoarece, de obicei, utilizatorul victimă, folosind un client de e-mail sau un browser de internet, descarcă și lansează în mod voluntar întregul vierme.

    Adesea, viermii, chiar și fără încărcătură utilă, supraîncărcă și dezactivează temporar rețelele pur și simplu din cauza răspândirii lor intensive. O sarcină utilă tipică semnificativă poate consta în coruperea fișierelor de pe computerul victimei (inclusiv schimbarea paginilor web, așa-numita „defacere”); este, de asemenea, posibilă organizarea unei rețele bot de pe computerele infectate pentru a efectua atacuri de rețea, spam sau (mai recent) minerit de criptomonede.

    Astfel, pentru a oferi o protecție completă împotriva viermilor moderni și a oricărui alt malware, este necesar să folosiți protecție proactivă. Se are în vedere și o metodă de protecție împotriva viermilor de rețea bazată pe „credite de încredere”. O serie de avantaje provin din utilizarea paravanelor de protecție și a utilităților similare (de exemplu, Windows Worms Doors Cleaner)