Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Net-Worm
Net-Worms se šíří prostřednictvím počítačových sítí. Rozlišujícím znakem tohoto typu červa je, že nevyžaduje akci uživatele, aby se rozšířil.Tento typ červa obvykle vyhledává kritické chyby v softwaru běžícím v síťových počítačích. Za účelem napadnutí počítačů v síti posílá červ speciálně vytvořený síťový paket (nazývaný exploit) a v důsledku toho se červový kód (nebo část kódu škůdce) proniká do počítače oběti a aktivuje se. Někdy síťový paket obsahuje pouze část červového kódu, který bude stahovat a spouštět soubor obsahující hlavní modul červů. Někteří síťoví červi používají několik zneužívání současně k šíření, čímž zvyšují rychlost, s jakou se oběti nacházejí.
Platfoma: Linux
Linux je rodina operačních systémů ovlivňujících systém UNIX založených na jádře Linuxu a nástrojích GNU.Popis
Technické údaje
To je červ, který infikuje systémy Linux. Červ byl odhalen na jaře 1998. Rozšiřuje se ze systému na systém pomocí porušení zabezpečení systému Linux (tzv. "Překročení vyrovnávací paměti"), který umožňuje odesílání do vzdáleného systému a spustit tam krátký kód, který se pak stáhne a aktivuje hlavní komponent červa.
Červ využívá bezpečnostní porušení v programovém balíčku BIND (Berkeley Internet Name Domain), který je distribuován v mnoha populárních systémech UNIX a poskytuje jmenovku pro internet.
Červ sám
Jedná se o vícesložkový červ, který obsahuje 8 souborů. Tyto soubory jsou programy skriptu a spustitelné soubory. Programy skriptu jsou soubory ".sh", které jsou spuštěny příkazem shell Linux. Spouštěcí soubory jsou standardní spustitelné soubory Linux ELF.
Hlavní součásti červu jsou skripty ".sh", které jsou spouštěny jako hostitele, a potom spustit ostatní soubory (další soubory ".sh" a spustitelné soubory ELF), aby provedly potřebné akce.
Seznam komponent vypadá následovně:
ADMw0rm Hned gimmeIP remotecmd gimmeRAND scanco přírůstkový test
Šíření
Rozšiřování (infikování vzdáleného počítače Linux) probíhá útokem "překročení vyrovnávací paměti". Tento útok je prováděn jako speciální balíček, který je odeslán na napadený počítač. Paket obsahuje blok speciálně připravených dat. Tento blok paketových dat je pak proveden jako kód na tomto počítači. Tento kód otevírá spojení s infikovaným počítačem, získává zbytek kódu červu a aktivuje ho. V tom okamžiku je počítač nakažen a začíná šířit červ.
Červ se přenáší ze stroje na stroj jako archiv "tgz" (standardní archiv UNIX) s názvem "ADMw0rm.tgz" se 8 vnitřními součástmi červů. Během infikování nového počítače se červeň rozbalí, že tento balíček obsahuje a spustí hlavní soubor "ADMw0rm", který pak aktivuje další komponenty červů.
Podrobnosti
Chcete-li získat IP adresy vzdálených počítačů a napadnout je, červa kontroluje dostupnou globální síť pro adresy IP s počítači a servery DNS na něm nainstalované.
K útoku na vzdálený systém používá červa slabá místa zabezpečení v démonu Linux: "named".
K odeslání a aktivaci jeho kopie na vzdáleném počítači obsahuje kód "překročení vyrovnávací paměti" červa, který přepíná na oprávnění "root", spouští příkazový shell a řídí příkazy:
- běží deamon "/ usr / sbin / named"
- vytvoří adresář ke stažení souboru "tgz", název adresáře je "/tmp/.w0rm0r"
- běží "ftp" (standardní program Linux), který stahuje soubor červa "tgz" z hostitelského počítače (stroj, ze kterého se červ šíří)
- rozbalí všechny součásti červů z archivu tgz
- spouští spouštěcí komponentu červa: soubor "ADMw0rm"
Různé.
Červ má několik užitečných zatížení a jiných neinfekčních rutin.
Nejprve najde na lokálním počítači od kořenového adresáře všechny soubory "index.html" (startovní stránky webových serverů) a nahradí je vlastním "index.html" souborem, který obsahuje text:
ADM Inet w0rm je tady!
Červ odstraní soubor "/etc/hosts.deny". Tento soubor obsahuje seznam hostitelů (adresy a / nebo názvy Inet), kterým je odepřen přístup k tomuto systému (v případě, že se používá takzvaný TCP wrapper). V důsledku toho může některý z omezených počítačů přistupovat k postiženému systému.
Když je nový systém napaden, červa odešle zprávy "oznámení" na e-mailovou adresu "admsmb@hotmail.com".
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com