Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Email-Worm
Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.Подробнее
Платформа: VBS
VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.Описание
Technical Details
Интернет-червь. Написан на скрипт-языке Visual Basic Script (VBS). Первая инструкция червя содержит текст-копирайт "Gabry", по которй червь и получил свое название.
Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Известная версия червя содержит ошибку, в результате которой червь не в состоянии рассылать зараженные письма. Однако, эта ошибка может быть легко исправлена и червь будет в состоянии распространять свои копии по сетям Инетрнет.
Червь также способен заразить локальную сеть. Для этого ищет доступные сетевые ресурсы (диски) и копирует на них свой файл. Червь не может запустить свои копии на удаленных компьютерах и способен заразить их только в том случае, если они будут активизированы пользователем.
Червь попадает на компьютер в виде электронного письма с характеристиками:
Тема: I'am missing U
Текст: Could u remember me ?
Вложение: Y072QWV.VBS
При активизации (если пользователь открывает вложение) червь копирует себя под именем Y072QWV.VBS в системный каталог Windows и регистрирует этот файл в системном реестре с секции авто-запуска:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" = %Windir%Y072QWV.VBS
где %Windir% - имя системного каталога Windows.
Затем червь заражает локальную сеть - копирует себя с именем Y072QWV.VBS в корневые каталоги всех сетевых дисков, доступных на запись.
При рассылке зараженных сообщений червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.
По той причине, что файл червя зарегистрирован в системном реестре как авто-запускаемое приложение, червь затем активизируется каждый раз при старте системы. Однако, рассылка писем происходит только при каждой 20-й перезагрузке Windows. Для этого червь создает счетчик своих запусков и хранит его в системном реестре в ключе:
HKEY_LOCAL_MACHINE "Y072QWV" = номер запуска
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com