Hlavní třída: VirWare
Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.
Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).
Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.
Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.
Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.
Viry lze rozdělit podle metody používané k infikování počítače:
souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.
Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.
Třída: Virus
Viry se replikují na prostředcích místního počítače.Na rozdíl od červů, viry nepoužívají síťové služby k šíření nebo pronikání do jiných počítačů. Kopie viru dosáhne vzdálených počítačů pouze v případě, že infikovaný objekt je z nějakého důvodu nesouvisející s virální funkcí aktivován na jiném počítači. Například:
když infikuje dostupné disky, virus proniká do souboru umístěného na síťovém zdroji
virus se zkopíruje na vyměnitelné úložné zařízení nebo infikuje soubor na vyměnitelném zařízení
uživatel pošle e-mail s infikovanou přílohou.
Platfoma: MSWord
Microsoft Word (MS Word) je populární textový editor a součást Microsoft Office. Soubory aplikace Microsoft Word mají příponu .doc nebo .docx.Popis
Technické údaje
Tento makrovírus se replikuje pod Word 8 a Word 9 (Office97 a Office2000), infikuje dokument a šablony aplikace Word a odesílá své kopie prostřednictvím e-mailových zpráv pomocí aplikace MS Outlook. Virus je extrémně rychlý infektor: jeho rutina šíření e-mailů může posílat mnoho infikovaných dokumentů na různé e-mailové adresy, když se virus vloží do systému. Virus má také spouštěcí rutinu, mění systémový registr a zakáže makro-virus ochranu aplikace Word.
K odeslání svých kopií prostřednictvím e-mailových zpráv virus využívá schopnosti VisualBasic k aktivaci jiných aplikací společnosti Microsoft a využívá jejich rutiny: virus získá přístup k MS Outlooku a vyvolává jeho funkce. Virus získává adresy z databáze Outlook a pošle jim novou zprávu. Tato masáž má:
Předmět: "Důležitá zpráva z [UserName]" (UserName je proměnná)Zpráva má také přiložený dokument (netřeba říkat, že je infikován) - virus se připojí k dokumentu, který je právě upravován (aktivní dokument). Jako vedlejší účinek tohoto způsobu šíření lze dokumenty uživatele (včetně důvěrných) odesílat na internetu.
Tělo zprávy: "Zde je ten dokument, o který jste požádali ... neukazujte někoho jiného ;-)"
Virus může odeslat velmi mnoho zpráv: skenuje Outlook AddressBook (databáze adres), otevírá každý seznam a odesílá až 50 zpráv na adresy z každé z nich. Pokud má seznam méně než 50 záznamů (e-mailové adresy), všechny jsou ovlivněny. Virus pošle jednu zprávu na každý seznam, pole TO: ve zprávě obsahuje všechny adresy z tohoto seznamu (až 50) a může být ignorováno antispamovými filtry.
Virus odesílá infikované e-maily pouze po jednom. Před odesláním virus kontroluje systémový registr pro jeho ID razítko:
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" = "... od Kwyjibo"
Pokud tato položka neexistuje, virus pošle e-mail z infikovaného počítače a poté tuto položku vytvoří v registru. V opačném případě virus přeskočí rutinu e-mailu. V důsledku toho virus zasílá infikované e-mailové zprávy pouze jednou: během následujících pokusů vyhledá položku "Melissa? =" A přeskočí ji.
Virus se může šířit do dokumentů Office2000 (Word verze 9). Tato možnost je založena na funkci "konverze" Office. Při otevření nové verze sady Office a načtení dokumentů a šablon vytvořených předchozími verzemi aplikace Word převede data do dokumentů do nových formátů. Makroprogram v souborech je také převeden, včetně maker virů. V důsledku toho se virus může replikovat sám pod Office2000.
V případě, že je virus spuštěn v Office2000, provádí další akce: zakáže (nastavení na minimální úroveň) nastavení zabezpečení Office2000 (antivirové ochrany).
Virusový kód obsahuje jeden modul s názvem "Melissa" s jednou automatickou funkcí: "Document_Open" v infikovaných dokumentech nebo "Document_Closed" v oblasti NORMAL.DOT (oblast globálních maker). Virus infikuje oblast globálních maker na otevírání infikovaných dokumentů a po jejich zavření se rozšíří o další dokumenty. Chcete-li infikovat dokumenty a šablony, virus zkopíruje kód řádku po řádku z infikovaného objektu na "oběti". V případě, že je NORMAL.DOT infikován, virus označuje svůj program v modulu jako "Document_Close", když virus zkopíruje svůj kód z NORMAL.DOT do dokumentu, virus jej označuje jako "Document_Open". V důsledku toho se virus vloží do aplikace Word současně s otevřeným infikovaným dokumentem a infikuje jiné dokumenty pouze v případě, že jsou zavřené.
Virus má také spouštěcí rutinu, která je aktivována, pokud aktuální datum odpovídá aktuálnímu času v minutách. Pokaždé, když makra virů získají kontrolu, tato rutina vloží text do aktuálního dokumentu:
Dvacet dva bodů plus triple-word-score plus padesát bodů pro použití
všechny mé dopisy. Konec hry. Jdu odsud.
Tento text, stejně jako pseudonym autora viru "Kwyjibo", jsou odkazy na oblíbenou televizní seriál "Simpsons".
Virus má komentáře:
Slovo / Melissa napsané Kwyjibo
Pracuje v programech Word 2000 i Word 97
Červ? Macro Virus? Virus aplikace Word 97? Word 2000 Virus? Rozhodnete se!
Slovo -> Email Word 97 <-> Word 2000 ... je to nový věk!
Melissa.b
Tato verze virů se mění na červ, nikoliv na virus: ve svém kódu je globální oblast maker a další rutina infikovaných dokumentů "komentována" (tento kód je přítomen v kódu červa, ale všechny příkazy jsou zakázány "to je komentář text "znak VisualBasic). To je také uvedeno v komentářích autorů v kódu červa: "Nechceme skutečně infikovat PC, jen je varujeme"
Infikovaný dokument je připojen ke zprávě s:
Předmět: "Trust No One"
Tělo: "Buďte opatrní, co otevřete. Může to být virus."
Při otevření přiloženého dokumentu přebírá rutina šíření červů. V registru systému zkontroluje značku "Melissa.a" a pokud není k dispozici, červa získá jednu (první) adresu z každého seznamu adres aplikace Outlook a odešle nové zprávy se svou kopií na tyto adresy. Potom červa vloží následující text do aktuálního dokumentu:
Mohlo to mít katastrofické výsledky. Buďte opatrnější při příštím otevření
e-mail. Chraň sebe! Zjistěte, jak na těchto webových stránkách:
http://www.eos.ncsu.edu/eos/info/computer_ethics/www/abuse/wvt/worm/
http://www.nipc.gov/nipc/w97melissa.htm
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com