Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: VBS
Visual Basic Scripting Edition (VBScript) je skriptovací jazyk interpretovaný hostitelem Windows Script Host. VBScript je široce používán k vytváření skriptů v operačních systémech Microsoft Windows.Popis
Technické údaje
Typ: Email Worm
Platforma: MS Windows s aplikací Internet Explorer 5.0, MS Outlook 98/2000 nebo MS Outlook Express
Jedná se o internetový virus červ, který se šíří prostřednictvím internetu jako infikovaných e-mailových zpráv. Červ přijde jako zpráva bez přílohy a červ používá několik triků pro aktivaci svého kódu přímo z těla zprávy. Po otevření této zprávy přebírá kód červů kontrolu, získá přístup k systémovým prostředkům (diskové soubory a systémový registr), zpracovává adresář aplikace Outlook a odesílá na tyto adresy infikované zprávy (podobně jako Macro.Word97.Melissa virus dělá).
Jedná se o první známý moderní internetový červ, který šíří své kopie bez připojených dat. Stejně jako v případě ostatních internetových červů, uživatel musí otevřít přílohu, aby aktivoval rutiny červa, které převezmou kontrolu v okamžiku, kdy je zpráva sama otevírána.
Podvody
K šíření svých kopií používá tento červ dva způsoby podvodu. První z nich je funkce MS Outlook umožňující vytváření zpráv ve formátu HTML. Zprávy ve formátu HTML mohou obsahovat skripty, které se automaticky spustí v okamžiku, kdy se zobrazí zpráva HTML (uživatel otevře zprávu). Červ používá tuto funkci k tomu, aby spustil svůj kód při otevření infikované zprávy.
K rozšiřování svých kopií a obtěžování zabezpečení aplikace Internet Explorer používá červ další trik. V tuto chvíli se tato chyba označuje jako "Scriptlet.Typelib".
Toto narušení zabezpečení umožňuje skriptům HTML vytvářet diskové soubory. Červ využívá tohoto porušování k vytvoření souboru HTA (aplikace HTML, nový typ se objevil s IE5), který obsahuje hlavní kód červů. Tento soubor je vytvořen ve složce Startup Windows a jako výsledek je aktivován při příštím spuštění systému Windows. Běží jako soubor lokálního disku, skript červa v tomto HTML získá přístup k souborům a zdrojům disku bez varovných zpráv zabezpečení aplikace Internet Explorer, připojuje se k adresáři aplikace Outlook a rozšiřuje se.
Technické údaje
Když uživatel otevře infikovanou zprávu, skript červů vložený do tohoto těla zprávy je automaticky aktivován a spouštěn MS Outlook. Tento skript (pomocí narušení zabezpečení) vytvoří soubor "UPDATE.HTA" v adresáři "C: WINDOWSSTART MENUPROGRAMSSTARTUP". Jedná se o stejný soubor, který se červ snaží pokoušet vytvořit v adresáři "C: WINDOWSMENU INICIOPROGRAMASINICIO" (výchozí název systému Windows).
Tento soubor "UPDATE.HTA" obsahuje hlavní kód červů. Bude proveden při příštím spuštění systému Windows kvůli jeho umístění ve složce Po spuštění. Červ má zde malou chybu: předpokládá, že systém Windows je vždy nainstalován v adresáři C: WINDOWS. Pokud tomu tak není, červa nemůže vytvořit svůj soubor a nebude se dále replikovat.
Při spuštění souboru UPDATE.HTA červa spustí aplikaci Outlook ve skrytém okně a vytvoří novou zprávu všem příjemcům z adresáře aplikace Outlook stejně jako virus "Melissa". Tato nová zpráva má formát HTML a obsahuje skript červa v těle. Předmět zprávy je "BubbleBoy zpět!" A textové tělo se zobrazí takto:
BubbleBoy incident, obrázky a zvuky http://www.towns.com/dorms/tom/bblboy.htm
Po odeslání této zprávy červ vytvoří v klíči registru systému následující kód, aby zabránil odesílání duplicitních zpráv:
"HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 od Zulu"
Na konci červa opouští na obrazovku okno s následujícím textem uvnitř:
Systémová chyba, odstraňte ze spouštěcí složky "UPDATE.HTA", abyste tuto možnost vyřešili problém.
Červ také mění registrační data systému Windows (tato rutina je spuštěna ve chvíli, kdy skript UPDATE.HTA přebírá kontrolu):
RegisteredOwner = "BubbleBoy" RegisteredOrganization = "Vandelay Industries"
Ochrana
Společnost Microsoft vydala aktualizaci, která eliminuje zabezpečení zranitelnosti "Scriptlet.Typelib". Důrazně doporučujeme navštívit stránku http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP a nainstalovat tuto aktualizaci.
Pokud nepoužíváte žádné aplikace HTML (soubory HTA), existuje další způsob, jak zabránit infekci virem tohoto typu (červy a viry, které používají chybu zabezpečení "Scriptlet.Typelib"). Pro rozšíření .HTA je nutné odstranit přidružení souboru. Chcete-li to provést, musíte postupovat podle několika kroků:
- Poklepejte na ikonu "Tento počítač" na ploše.
- V otevřeném okně vyberte nabídku "Zobrazit" -> "Možnosti ...".
- Na kartě "Typy souborů" v seznamu "Typ registrovaných souborů" vyberte položku "Aplikace HTML".
- Klikněte na tlačítko "Odebrat" a potvrďte akci.
- Zavřete dialogové okno možností.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com