Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: PIF
No platform descriptionОписание
Technical Details
Данный червь представляет собой PIF-файл и является первым известным Интернет-червем в формате PIF (Program information file).
В зараженной системе файл-червь встречается в трех видах:
- собственно как PIF-файл;
- как BAT-файл для распространения самого себя в пределах локальной машины;
- как INI-скрипт для распростанения через IRC;
При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции.
Червь также создает дополнительный VBS-скрипт для распространения через электронную почту.
При запуске файла-червя FABLE.PIF он делает две свои копии: C:TEST.BAT и %WinDir%BackUp570.pif. После этого он запускает C:TEST.BAT. Во время работы TEST.BAT создает множество (более 30) своих копий в разных каталогах и под разными именами, например:
%WinDir%CommandMS_Dos_Prompt.pif
%WinDir%MS_Dos_Prompt.pif
%WinDir%Game.pif
%WinDir%MrBat.bat
%WinDir%Plans.bat
%WinDir%TasksDefault.bat
При этом некоторым файлам присваиваются аттрибуты Hidden и Read-Only. Кроме того создаются INI-файлы для mIRC и VBS-скрипты:
%WinDir%Blah.vbs
%WinDir%Blah2.vbs
C:mIRCScript.ini
C:Program FilesScript.ini
INI-файл используется для распространения червя через IRC. VBS-скрипт создает файл WINSTART.BAT в каталоге, где установлена Windows, содержащий команды для запуска одной из своих копий при старте операционной системы. После этого скрипт при помощью API Outlook создает и отсылает письма каждому адресату из адресной книги. Письма содержат тему, случайно выбранную из трех возможных:
Fable
Something You Should Read
Very Important That You Receive This
Тело письма состоит из одной фразы, выбираемой случайно из двух возможных:
A nice little fable
Wanted to make sure you received this
К каждому письму приклеивается файл FABLE.PIF.
После рассылки червь выводит тесктовое сообщение:
The Grasshopper and the Owl An Owl, accustomed to feed at night and to sleep during the day, was greatly disturbed by the noise of a Grasshopper and earnestly besought her to stop chirping. The Grasshopper refused to desist, and chirped louder and louder the more the Owl entreated. When she saw that she could get no redress and that her words were despised, the Owl attacked the chatterer by a stratagem. "Since I cannot sleep," she said, "on account of your song which, believe me, is sweet as the lyre of Apollo, I shall indulge myself in drinking some nectar which Pallas lately gave me. If you do not dislike it, come to me and we will drink it together." The Grasshopper, who was thirsty, and pleased with the praise of her voice, eagerly flew up. The Owl came forth from her hollow, seized her, and put her to death.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com