Типы червей различаются по следующим признакам: по способу распространения червя - то как он
передает всою копию на удаленные компьютеры, по способу запуска копии червя на заражаемом компьютере,
по методу внедрения в систему, кроме того по таким характеристикам как полифоризм, "стелс" и прочие
типы вредоносного программного обеспечения (вирусы, троянские программы).
О почтовых червях - Email-Worm
Эта категория червей характеризуется тем, что для своего распространения они используют
электронную почту. Червь действует следующим образом: он отсылает свою копию в виде вложения в
электронное письмо или присылает ссылку на свой файл, расположенный на одном из сетевых ресурсов,
например URL на зараженный файл, находящийся на взломанном или хакерском веб-сайте. В итоге, при
открытии зараженнго вложения или ссылки на зараженный файл, активизируется код червя.
Наиболее распространенные пути отправки зараженных сообщений почтовыми червями:
- использование сервисов MS Outlook;
- через функции Windows MAPI;
- через прямое подключение к SMTP-серверу, при использовании встроенной в код червя почтовой
библиотеки.
Методы, используемые почтовыми червями для посика почтовых адресов для отправки зараженных
писем:
- могут разослать себя по всем адресам, найденным в адресной книге MS Outlook и по адресам, которые
обнаружат в почтовом ящике, а некоторые почтовые черви смогут даже "ответить" на обнаруженные в ящике
письма;
- они сканируют доступные им файлы на диске и выделяют в них строки, которые идентифицируются как
ареса электронной почты.
В основном черви используют сразу несколько из вышеизложенных методов. Существуют и другие методы
по поиску "электронных" адресов.
Черви, использующие интернет-пейджеры - IM-Worm
Черви этого типа используют единственный способ своего распространения, они рассылают себя на
обнаруженные контакты сообщений в контакт-листе, эти контакты содержат URL на файл, распологающийся
на одном из веб-серверов. Этот прием почти один в один копирут такойже способ рассылки, используемый
почтовыми червями.
IRC-Worm — черви в IRC-каналах
Как и почтовые черви, этот тип червей имеет два способа распространения по IRC-каналам.
Первый способ: отсылка URL-ссылки на копию червя.
Второй способ: отсылка зараженного файла несчастному пользователю. Атакуемый пользователь, в свое
время, должен подтвердит принятие этого файла, после чего сохранить его на диск и открыть
(запустить).
Net-Worm — прочие сетевые черви
Приведем пример прочих способов заражения удаленных компьютеров. Здесь может быть копирование червя на сетевые ресурсы, его проникновение на компьютер через уязвимые моменты в операционных системах и приложениях, а также проникновение в сетевые ресурсы публичного использования. Кроме перечисленного они могут паразитировать на других вредоносных программах.
Для первого способо характерно то, что червь пытается найти удаленные компьютеры, отыскав, копирует себя в катологи, которые открыты на чтение и запись, в случае наличия таковых. Черви этого типа могут просто перебирать доступные сетевые катологи, используя функции операционной системы. Или такие черви будут случайным орбразом искать компьютеры в глобальной сети и, подключаясь к компьютерам, осуществлять попытки открыть их диски на полный доступ.
Второй способ возможен при наличии критических уязвимостей в программном обеспечении компьютера.
Данные черви ищут такие компьютеры и посылают специально оформленный сетевой пакет или запрос
(эксплойт уязвимости), таким образом код червя проникает на компьютер. При содержании в сетевом
пакете только части кода червя, основной файл скачивается им после проникновения и запускается на
исполнение.
К отдельной категории относятся черви, которые используют для своего распространения веб- и FTP-
сервера. Процесс заражения можно разделить на два этапа: на первой стадии червь проникает в
компьютерный сервер и определенным образом модифицирует служебные файлы сервера (как пример можно
прривести статистические веб-странички). После этого он находится в ожидании посетителей, которые
захотят запросить информацию с данного зараженного сервера, и так проникают на другие компьютеры в
сети.
Есть также категория сетевых червей, которые паразитируют на других червях или троянских программах удаленного администрирования (бэкдорах) или на том и другом одновременно. Они используют то, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на
локальном диске. На том же могут "реализаваться" черви, которые содержат бэкдор-процедуры. Такие
черви ищут для заражения другие компьютеры в сети и посылают затем команду скачивания и запуска своей
копии на эти компьютеры. В случае, когда аттакованный компьютер уже заражен "нужной" троянской программой, червь проникает в него и активизирует свою копию.
В основном компьютерные черви используют более одного способа, чтобы распространить свои копии по
сетям (могут обладать двуми и более методами атаки удаленных компьютеров).
Черви для файлообменных сетей - P2P-Worm
Такой червь, для внедрения в P2P-сеть, копирует себя в каталог обмена файлами, расположенный как
правило на локальной машине. Все остальное, в некотором смысле, будет происходить само, так как Р2Р-
сеть возьмет на себя работу по распространению вируса - осуществляя поиск в сети она сообщит
удаленным пользователям об этом файле, и обеспечит всем необходимым для скачивания файла с
зараженного компьютера.
Есть и более сложные P2P-черви, способные имитировать сетевой протокол реально существующей
файлообменной системы и отвечать положительно на поисковые запросы, в этом случае черьвь предлагает
для скачивания свою копию.
|