Ana sınıf: VirWare
Virüsler ve solucanlar, bilgisayarlarda veya bilgisayar ağları aracılığıyla kullanıcının kendi kendine farkında olmadan kendini kopyalayan kötü amaçlı programlardır; Bu tür kötü amaçlı programların sonraki her kopyası kendi kendini kopyalayabilmektedir. Ağlar yoluyla yayılan ya da uzaktaki makinelere “sahibi” (örn. Backdoors) tarafından komut verildiğinde ya da kendi kendine çoğaltılamayan birden çok kopya oluşturan programlar Virüsten ve Solucanlar alt sınıfının parçası değildir. Bir programın Virüsler ve Solucanlar alt sınıfı içinde ayrı bir davranış olarak sınıflandırılıp sınıflandırılmadığını belirlemek için kullanılan temel özellik, programın nasıl yayıldığıdır (yani, kötü amaçlı programın kendi kopyalarını yerel veya ağ kaynakları aracılığıyla nasıl yaydığı). Bilinen pek çok solucan yayılır. e-posta eki olarak gönderilen dosyalar, bir web veya FTP kaynağına bağlantı yoluyla, bir ICQ veya IRC mesajında gönderilen bir bağlantı yoluyla, P2P dosya paylaşım ağları vb. yoluyla gönderilir. Bazı solucanlar, ağ paketleri olarak yayılır; Bunlar doğrudan bilgisayar belleğine nüfuz eder ve solucan kodu daha sonra aktif hale gelir. Solucanlar, uzaktaki bilgisayarlara girmek ve kendi kopyalarını başlatmak için aşağıdaki teknikleri kullanırlar: sosyal mühendislik (örneğin, kullanıcının ekli bir dosyayı açmasını öneren bir e-posta iletisi), ağ yapılandırma hatalarını (tam olarak erişilebilen bir diske kopyalama gibi) ve istismar etme işletim sistemindeki boşluklar ve uygulama güvenliği. Virüsler, bir bilgisayara bulaşmak için kullanılan yönteme göre bölünebilir: dosya virüsleri önyükleme sektörü virüsleri makro virüsleri komut dosyaları virüsleri Bu alt sınıftaki herhangi bir program ek Truva işlevlerine sahip olabilir. Ayrıca, birçok solucanın kopyaları ağlar üzerinden dağıtmak için birden fazla yöntem kullandığı da not edilmelidir. Algılanan nesneleri çoklu işlevlerle sınıflandırma kuralları, bu tür solucanları sınıflandırmak için kullanılmalıdır.Sınıf: Net-Worm
Net-Worms bilgisayar ağları yoluyla yayılır. Bu tür solucanın ayırt edici özelliği, yayılmak için kullanıcı eylemi gerektirmemesidir. Bu tür solucan genellikle ağdaki bilgisayarlarda çalışan yazılımlardaki kritik güvenlik açıklarını arar. Ağdaki bilgisayarları enfekte etmek için, solucan özel hazırlanmış bir ağ paketi (istismar olarak adlandırılır) gönderir ve bunun sonucunda solucan kodu (veya solucan kodunun bir kısmı) kurbanın bilgisayarına nüfuz eder ve aktive olur. Bazen ağ paketi, ana solucan modülünü içeren bir dosyayı indirip çalıştıracak olan solucan kodunun yalnızca bir kısmını içerir. Bazı ağ solucanları, yayılmak için eş zamanlı olarak birkaç istismar kullanır, böylece kurbanların bulunduğu hızı arttırır.Platform: Linux
Linux, Linux çekirdeği ve GNU araçlarına dayanan bir UNIX-etkilemiş işletim sistemi ailesidir.Açıklama
Teknik detaylar
Bu RedHat Linux sistemlerini enfekte eden ilk bilinen kurttur. Solucan, 2001 yılının Ocak ayının ortasında keşfedildi. Solucan, sistemden sisteme bir RedHat güvenlik ihlali (sözde "arabellek taşması" ihlali) kullanarak yayılıyor ve bu da uzak bir sisteme yükleme yapılmasına ve kısa bir parçanın çalıştırılmasına izin veriyor. Orada kod, daha sonra ana solucan bileşenini indirir ve etkinleştirir.
Solucan VirusLab'da test edilmedi, bu nedenle aşağıdaki tüm bilgiler "eğer gerçekten işe yarayacaksa kurtçuk yapabilirdi" şeklinde okunmalıdır. Ayrıca virüslü sunucular hakkında müşterilerimizden onaylanmış bir raporumuz bulunmamaktadır.
Solucan RedHat'ın 6.2 ve 7.0 versiyonlarında üç güvenlik ihlali kullanır, bu ihlaller solucan keşfinden en az üç ay önce 2000 yaz-yaz aylarında keşfedilmiştir.
Solucan ayrıca FreeBSD ve SuSE makinelerine saldırmak niyetinde olan rutinler içerir, ancak bu rutinler ne aktive ne de solucan kodunda kullanılır.
Kendini Solucan
Toplam uzunluğu 300K olan 26 dosyadan oluşan çok bileşenli bir solucan bu. Bu dosyalar komut dosyası programları ve yürütülebilir dosyalardır. Komut dosyası programları, bir Linux komut kabuğu tarafından çalıştırılan ".sh" dosyalarıdır (DOS BAT dosyaları ve Windows CMD dosyaları gibi). Yürütülebilir dosyalar standart Linux ELF yürütülebilir dosyalarıdır.
Solucanın ana bileşenleri, ana bilgisayar olarak çalıştırılan komut dosyası ".sh" dosyalarıdır ve daha sonra gerekli eylemleri gerçekleştirmek için dosyaların kalanını (ek ".sh" dosyaları ve ELF yürütülebilir dosyaları) çalıştırır.
Bileşenlerin listesi aşağıdaki gibi görünür:
asp hackl.sh randb62 start62.sh wh.sh asp62 hackw.sh randb7 start7.sh wu62 asp7 index.html s62 Instagram Hesabındaki Resim ve Videoları synscan62 bd62.sh l62 s7 synscan7 bd7.sh l7 scan.sh w62 getip.sh lh.sh start.sh w7
"62" bileşenleri RedHat 6.2 sistemleri altında aktif hale getirildi, "7" bileşenleri RedHat 7.0 altında aktive edildi. "Wu62" dosyası hiç kullanılmıyor.
Yayma
Yayma (bir uzak Linux makinesine bulaşan) bir "arabellek taşması" saldırısı ile yapılır. Bu saldırı, saldırıya uğrayan bir makineye gönderilen özel bir paket olarak gerçekleştirilir. Paketin özel hazırlanmış bir veri bloğu vardır. Bu paket veri bloğu daha sonra bu makinede bir kod olarak yürütülür. Bu kod, virüs bulaşmış bir makineye bağlantı açar, solucan kodunun geri kalanını alır ve etkinleştirir. Bu anda, makine enfekte ve solucanı daha da yaymaya başlıyor.
Solucan, makineden makineye bir "tgz" arşivi (standart UNIX arşivi) olarak bir "ramen.tgz" adıyla, içinde 26 adet solucan bileşeni ile aktarılır. Yeni bir makine enfekte ederken, solucan paketi paketten çıkarır ve diğer solucan bileşenlerini etkinleştiren ana "start.sh" dosyasını çalıştırır.
Solucan bileşenleri daha sonra diğer Linux makineleri için küresel ağı tarar ve "tampon taşması" saldırısı başarıyla gerçekleştirilirse oraya solucanı yükler.
Solucan aynı zamanda, başlangıçtaki ".sh" dosyasını bir "/etc/rc.d/rc.sysinit" dosyasına çalıştırmak için bir komut ekler ve sonuç olarak, solucanın bileşenleri, takip edilen her sistem başlangıcında etkinleştirilir.
Solucan ayrıca sistemi enfekte etmek için kullanılan güvenlik ihlallerini de kapatır. Bu yüzden, enfekte bir makine, kurtçuk tarafından iki kez saldırıya uğramaz.
ayrıntılar
Onlara saldırmak için uzak makinelerin IP adreslerini almak için, solucan IP adresleri için mevcut küresel ağı tarar; Yani, standart "sniffer" yardımcı programlarına benzer şekilde çalışır.
Uzak bir sisteme saldırmak için, solucan üç RedHat Linux iblisinde güvenlik açıklarını kullanır: "statd", "lpd" ve "wu-ftp".
Uzak bir makinede kopyasını yüklemek ve etkinleştirmek için, solucan "arabellek taşması" kodu "root" ayrıcalıklarına geçen, bir komut kabuğu çalıştıran ve aşağıdaki komutları takip eden yönergeleri içerir:
- solucan "tgz" dosyasını indirmek için bir dizin oluşturur, dizin adı "/usr/src/.poop"
- Bir sonraki adım için gerekli olan "TERM = vt100" değişkenini dışa aktarır
- bir ana makineden (solucanın yayıldığı makine) bir solucan "tgz" dosyasını indiren "lynx" (sadece WWW tarayıcısı) çalıştırır
- tüm solucan bileşenlerini bir "tgz" arşivinden çıkarır
- solucan başlangıç bileşenini çalıştırır: "start.sh" dosyası
Bir "ramen.tgz" arşivi göndermek için, solucan solucan "tgz" arşivi bir solucan "buffer overrun" bileşeninden talep ederek gönderen ek bir "asp" sunucusunu çalıştırır.
Çeşitli.
Solucan birkaç yük ve diğer bulaşıcı olmayan rutinleri vardır.
Her şeyden önce, tüm "index.html" dosyalarını (bir Web sunucusunun başlangıç sayfaları) kök dizinden başlayarak yerel bir makinede bulur ve aşağıdaki metni içeren kendi "index.html" dosyası ile değiştirir:
Solucan "/etc/hosts.deny" dosyasını siler. Bu dosya, bu sisteme erişimi reddedilen ana bilgisayarların (adresler ve / veya Internet adları) bir listesini içerir (TCP sarmalayıcı olarak adlandırılan bir durum söz konusuysa). Sonuç olarak, kısıtlanmış makinelerin herhangi biri etkilenen sisteme erişebilir.
Yeni bir sistem enfekte olduğunda, solucan "bildirim" mesajlarını üç e-posta adresine gönderir:
- sadece virüslü makinenin adresi
- gb31337@hotmail.com
- gb31337@yahoo.com
İleti, virüs bulaşmış makinenin IP adresidir, ileti gövdesi metni içerir:
Ramenini ye!
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com