Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Email-Worm
Email-Worms se šíří e-mailem. Červ zasílá vlastní kopii jako přílohu k e-mailové zprávě nebo k odkazu na soubor na síťovém zdroji (např. URL na infikovaný soubor na ohrožených webových stránkách nebo webových stránkách vlastněných hackery).V prvním případě se červový kód aktivuje při otevření (spuštěném) infikovaném přílohě. Ve druhém případě je kód aktivován, když se otevře odkaz na infikovaný soubor. V obou případech je výsledek stejný: aktivuje se kód červů.
Email-Worms používají řadu metod pro odesílání infikovaných e-mailů. Nejběžnější jsou:
pomocí přímého připojení k serveru SMTP pomocí e-mailového adresáře zabudovaného do kódu červa
pomocí služeb MS Outlook
pomocí funkcí systému Windows MAPI.
Email-Worms používají řadu různých zdrojů, aby našli e-mailové adresy, na které budou zasílány infikované e-maily:
adresář v aplikaci MS Outlook
databázi adres WAB
.txt soubory uložené na pevném disku: červa může identifikovat, které řetězce v textových souborech jsou e-mailové adresy
e-maily v doručené poště (některé e-mailové červy dokonce "odpověď" na e-maily nalezené ve doručené poště)
Mnoho e-mailových červů používá více než jeden ze zdrojů uvedených výše. Existují také další zdroje e-mailových adres, jako jsou například adresáře spojené s webovými e-mailovými službami.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o první známý moderní internetový červ, objevený "ve volné přírodě". Tento
počítačový červ je druh virového programu, který při šíření svých kopií neinfikuje diskové soubory jako hlavní cíl, ale replikuje své kopie zasláním
prostřednictvím internetu jako přílohu v e-mailových zprávách. Červ byl odeslán někým (možná autorem červů) do několika zpravodajských serverů
v lednu 1999 a poté za pár dní byla v Evropě objevena "ve volné přírodě" a dále se šíří.
Červ přijde jako příloha v e-mailu jako soubor HAPPY99.EXE.
Když je infikovaná příloha spuštěna a získává se kontrola, zobrazí se červ
zábavný ohňostroj v okně programu, aby skryl jeho škodlivý charakter. Během
to se instaluje do systému, posílá háčky na internet,
převede kód na přílohu a připojí jej ke zprávám. Jako
výsledkem je červ, když je instalován do systému, schopen se šířit
jeho kopie do všech adres, kterým jsou zprávy odesílány.
Během instalace reaguje červ na soubory v adresáři systému Windows
pouze. Vytváří tam soubory SKA.EXE a SKA.DLL, zkopíruje
WSOCK32.DLL nově vytvořené WSOCK32.SKA a opravy originálu
Soubor WSOCK32.DLL k zavěšení e-mailu odesílání hovorů.
Odstranění a ochrana
Pokud je červ detekován ve vašem systému, můžete se ho snadno zbavit
odstranění souborů SKA.EXE a SKA.DLL v adresáři systému Windows. Vy
také by měl odstranit soubor WSOCK32.DLL a nahradit jej WSOCK32.SKA
původní soubor. Původní soubor HAPPY99.EXE by měl být také umístěn a
vymazána.
Chcete-li počítač chránit před opakovanými infekcemi, musíte nastavit pouze nastavení "Jen pro čtení"
atribut souboru WSOCK32.DLL. Červ nevěnuje pozornost
Pouze pro čtení a nelze soubor opravit. Tento trik byl objeven
Peter Szor na DataFellows (http://www.datafellows.com).
Prosím pamatuj
Neotevírejte a neprovádějte soubor HAPPY99.EXE, který jste obdrželi
jako přílohu v každé zprávě, pokud ji obdržíte z nedůvěryhodného nebo neznámého zdroje. Měli byste také pamatovat na soubory, které jste získali
z Internetu může obsahovat škodlivý kód, který může infikovat váš počítač,
zničit data, odeslat důvěrné soubory přes Internet nebo nainstalovat špiona
programy pro monitorování počítače ze vzdáleného počítače.
Otevření souborů MS Office s vypnutým programem VirusProtection a spouštění nedůvěryhodných spustitelných souborů je velmi riskantní. Měli byste to mít na paměti při každém příběhu příchozí zprávy.
Technické údaje
Červ přijde přesně jako soubor HAPPY99.EXE, který je 10 000 bajtů.
Tento soubor má vnitřní strukturu Win32 Portable Executable (PE). Červ
nainstaluje se do systémů Win95 / 98 a dále se šíří ne
problémy. Pod WinNT není schopen se šířit kvůli chybám.
Červ obsahuje textové řetězce, některé jsou šifrované:
Je to virus, červ, trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999!
začněte 644 koncem Happy99.exe
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe
Při spuštění souboru HAPPY99.EXE se červ sám zkopíruje do systému Windows
systémový adresář s názvem SKA.EXE a zruší další soubor SKA.DLL
soubor ve stejném adresáři. SKA.DLL je uložen v hlavním souboru EXE
(HAPPY99.EXE) v šifrované a lite-zabalené podobě.
Červ potom zkopíruje WSOCK32.DLL na název WSOCK32.SKA (dělá a
"zálohování") a opravy souboru WSOCK32.DLL. Je-li WSOCK32.DLL používán
a nemůže být otevřen pro psaní, červ vytvoří nový klíč v systému
registru spustit jeho dropper během dalšího restartování:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE
Náplast WSOCK32.DLL se skládá z rutiny inicializace červa a dvou
přesměrovaný vývoz. Inicializační rutina je jen malý kus
červový kód - pouhých 202 bajtů. Uloží se na konec kódu WSOCK32.DLL
(část ".text"). WSOCK32.DLL má dostatek místa pro to,
a velikost souboru WSOCK32.DLL se během infekce nezvyšuje. Pak
červ zpravuje exportní tabulky WSOCK32.DLL tak, že dvě funkce ("connect"
a "odeslat") bude ukazovat rutinu inicializace červa na konci
Část kódu WSOCK32.DLL.
Pokud se uživatel připojuje k Internetu, aktivuje se WSOCK32.DLL a
červ zasílá dvě události: připojení a odesílání dat. Červí monitory
e-mailové a zpravodajské porty (25 a 119 - smtp a nntp). Když detekuje a
na jednom z těchto portů načte knihovnu SKA.DLL, která má dvě
export: "pošta" a "zprávy". V závislosti na čísle portu volá červ
jedna z těchto rutin, ale obě vytvoří novou zprávu, vložte ji
UUkódovaný červec HAPPY99.EXE do něj a poslat jej na internetovou adresu. Červ přidává také razítko do hlavičky kludge "infikovaných"
zprávy:
X-Spanska: Ano
Během odesílání nakažených příloh červec ukládá zprávy o příjmech,
adresy do souboru LISTE.SKA v adresáři systému Windows. Tento "protokol"
soubor obsahuje až 5 kB dat a může obsahovat až asi 200 adres
infikované zprávy byly odeslány.
Demonstrace vlivů viru:
happy.gif |
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com