Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Net-Worm
Net-Worms se propagent via des réseaux informatiques. La caractéristique distinctive de ce type de ver est qu'il ne nécessite pas d'action de l'utilisateur pour se propager. Ce type de ver recherche généralement les vulnérabilités critiques des logiciels s'exécutant sur les ordinateurs en réseau. Afin d'infecter les ordinateurs sur le réseau, le ver envoie un paquet réseau spécialement conçu (appelé exploit) et par conséquent le code du ver (ou une partie du code du ver) pénètre dans l'ordinateur de la victime et l'active. Parfois, le paquet réseau contient uniquement la partie du code de ver qui va télécharger et exécuter un fichier contenant le module de ver principal. Certains vers de réseau utilisent simultanément plusieurs exploits pour se propager, augmentant ainsi la vitesse à laquelle ils trouvent des victimes.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
C'est le premier ver connu qui a l'intention de cibler des sites Web en infectant les serveurs d'information Internet (ISS). Le ver réalise sa méthode de propagation d'un site Web à d'autres sites Web en envoyant et en exécutant son fichier EXE. Le nom du fichier de ver est constant - IISWORM.EXE.
Le ver infecte uniquement les machines avec un package IIS installé et le contenu du site Web. L'application de ver en cours d'exécution sur une telle machine localise et infecte les sites Web distants (machines distantes avec le paquet IIS installé): elle les saisit, et en utilisant une astuce, envoie sa copie là-bas, et génère cette copie. Par conséquent, le ver infecte tous les serveurs Web accessibles à partir de la machine infectée, et d'autres serveurs infectés propagent la copie de ver, etc.
Une méthode d'infection similaire a été utilisée par le fameux "virus Morris" ("ver Internet") qui a frappé les réseaux américains en 1988. Ce ver a infecté plusieurs milliers de machines et paralysé de nombreux réseaux en raison des copies illimitées envoyées. Heureusement, le "IISWorm" a un bug mortel et ne peut pas répéter cette histoire. Le ver semble être capable d'étendre sa copie à la première machine IIS, mais ne parvient pas à se propager plus loin.
Le code de ver ne contient que des routines d'étalement et non des routines de déclenchement. Le ver ne se manifeste d'aucune façon.
Détails
Le ver lui-même est une application Win32 d'environ 80 Ko, écrite en Borland C ++. Il est exécuté en tant qu'application Windows standard, ouvre une connexion et utilise un format de paquets HTTP pour se propager.
Pour localiser les serveurs victimes, le ver recherche les adresses de sites Web dans tous les fichiers * .HTM * des répertoires INetpub:
wwwroot
www racine
inetpubwwwroot
inetpubwww root
websharewwwroot
En utilisant les adresses de sites Web, le ver les connecte et envoie un paquet de bombes là-bas. Ce paquet exploite une vulnérabilité dans le logiciel IIS - le paquet est construit de sorte que ses données chevauchent un tampon de données sur un IIS distant, et un bloc du paquet est exécuté en tant que code (sur un IIS distant). Ce morceau de code ouvre une connexion à sa machine "parente", obtient la copie complète du ver (le fichier IISWORM.EXE), le crée sur un disque et génère des spawns. Par conséquent, la machine IIS distante est infectée et le ver y est actif et continue de s'étendre.
Au cours des tests en laboratoire, le code du ver comportait des erreurs qui empêchaient le ver de se propager. Le ver semble également dépendre des versions IIS et WinNT ServicePack.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com