Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Net-Worm
Net-Worms se šíří prostřednictvím počítačových sítí. Rozlišujícím znakem tohoto typu červa je, že nevyžaduje akci uživatele, aby se rozšířil.Tento typ červa obvykle vyhledává kritické chyby v softwaru běžícím v síťových počítačích. Za účelem napadnutí počítačů v síti posílá červ speciálně vytvořený síťový paket (nazývaný exploit) a v důsledku toho se červový kód (nebo část kódu škůdce) proniká do počítače oběti a aktivuje se. Někdy síťový paket obsahuje pouze část červového kódu, který bude stahovat a spouštět soubor obsahující hlavní modul červů. Někteří síťoví červi používají několik zneužívání současně k šíření, čímž zvyšují rychlost, s jakou se oběti nacházejí.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o internetový červ, který cílí na webové stránky infikováním Internetových informačních serverů (ISS). Červ zasahuje tuto metodu šíření z jednoho webu na jiný odesláním a spuštěním jeho souboru EXE.
Název souborů červa je konzistentní - SVCHOST.EXE a HTTPEXT.DLL. Soubor EXE je aplikace Win32 (soubor PEE EXE) o délce 29 kB a je napsán v aplikaci Microsoft C ++. Tam také byla objevena komprimovaná varianta, která má velikost asi 14K. Soubor DLL má velikost přibližně 47 kB a je napsán v aplikaci Microsoft C ++.
Všimněte si, že červ používá standardní názvy souborů Win32 EXE. SVCHOST.EXE a HTTPEXT.DLL lze nalézt ve standardních instalacích Win2000 v podsložce SYSTEM32.
Červ infikuje pouze počítače nainstalované s balíčkem služby IIS a obsahem webu. Aplikace červa, která je spuštěna na takovém počítači, vyhledá a infikuje vzdálené weby (vzdálené počítače s nainstalovaným IIS balíčkem): vstupuje do nich a pomocí WWW Traversal exploit posílá tam svou kopii a rozmnožuje tuto kopii. Výsledkem je, že červa infikuje všechny navzájem propustné webové servery, ze kterých lze přistupovat ze současného infikovaného počítače, a další infikované servery dále šíří kopii červa a podobně.
Červ má rutinu užitečného zatížení, která od 10:00 do 11:00 hodin globálního času provádí DoS útok (Deny of Service) na webovém serveru http://www.nsfocus.com.
Instalace
Červ vytváří své kopie (EXE a DLL) v kořenovém adresáři jednotky C: C: SVCHOST.EXE a C: HTTPEXT.DLL. Tento soubor EXE je registrován v klíči automatického spuštění registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunČerv potom vytvoří a vymění soubor skriptu C: D.VBS, poté vyhledá aplikaci INETINFO.EXE a ukončí ji, pokud je aktivní. Program skriptů VBS také vyhledává a odstraňuje indexační službu, dotazování indexování a mapování tiskárny.
Správce domény = C: svchost.exe
Výsledkem je, že červ vypne bezpečnostní porušení, které mohou být použity (nebo byly použity) jinými červy k infekci stroje a / nebo hackerům, aby prolomili ochranu Web-security.
Šíření
Chcete-li se dále šířit, červa spouští 100 vláken, které skenují náhodně vybrané adresy IP a napadají je.
V 50% případů jsou napadené počítače ve stejné síti a napadené adresy IP jsou "aa.bb. ??? ??", kde "aa.bb" je součástí adresy IP infikovaného počítače a "??" jsou náhodné.
V dalších 50% případů jsou napadené adresy velmi náhodné.
Chcete-li napadnout počítač poškozený, použije Worm Web Directory Traversal třikrát:
- pokusí se určit adresář služby IIS na vzdáleném počítači,
- potom pošle vzdálenému počítači žádost o stažení součásti DLL souboru (HTTPEXT.DLL) z infikovaného souboru,
- poslední požadavek je zkopírovat tento soubor DLL do kořenového adresáře C:.
Chcete-li načíst soubor DLL na poškozený stroj, použije čep příkaz "tftp" a aktivuje dočasný server TFTP na infikovaném (aktuálním) počítači, aby zpracoval příkaz "get data" ze zařízení pro poškození (vzdálené).
Při nahrávání souboru DLL na poškozený stroj je aktivován trikem. Kópia červa tedy začíná na vzdáleném serveru a potom spadne a spustí složku EXE, která pak rozšiřuje virus viru.
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com