Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: Linux
Linux – семейство операционных систем, которые образовались под влиянием UNIX на базе ядра Linux и пользовательского окружения GNU.Описание
Этот вирус состоит из двух компонент: компонента для заражения файлов и компонента удаленного администрирования Backdoor. Он размножается в операционной системе Linux и записывается в конец исполняемых файлов ELF.
После заражения размер файлов увеличивается на 8759 байт. 3979 байт включают в себя код вируса и еще 4662 байта содержат компоненту backdoor. Вирус переносит backdoor компоненту при заражении файлов.
Хотя backdoor компонента и копируется вместе с кодом вируса, она является самостоятельной и может обновляться. Backdoor компонента не встраивается внутрь ELF файла, а загружается и выполняется вирусом самостоятельно.
Вирус заражает все файлы в текущем каталоге, кроме тех имена которых заканчиваются символами "ps", например "steps", "ps". Вирус также не заражает файлы в каталогах "/dev" и "/proc". Если он запущен пользователем с правами системного администратора, то он заражает все файлы из каталога "/bin". При каждом запуске заражается не более 201 файла.
Backdoor компонента проверяет и слушает UDP порт 3049. Если же такой порт не найден, то используется другой номер. Компонента сканирует все доступные порты с большим значением и слушает первый найденный. При первом запуске вирус отдает управление Backdoor компоненте, которая раздваивает процесс-родитель и таким образом остается резидентно в памяти. Если вирус будет запущен в следующий раз системным администраторм, то он установит новый процесс с backdoor компонентой, а старый выгрузит.
Backdoor компонента отвечает на некоторые внешние команды:
- запуск файлов на управляемом компьютере;
- запуск прослушивания проходящего трафика и перенаправление его на другой компьютер;
- редактирование настроек локального firewall.
Вирус также пытается противодействовать трассировке своего кода при помощи утилиты отладки. Если процесс с вирусом запускается из-под отладчика, то вирус немедленно прекращает свое выполнение.
Он также проверяет время от начала перезагрузки компьютера. Если прошло менее 5 минут, вирус прекращает свое выполнение. Возможно эта проверка была добавлена для противодействия запуска вируса на тестовом компьютере.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com