Мережевий хробак
Мережевий хробак - різновид шкідливої програми, що самостійно поширюється через локальні та глобальні комп'ютерні мережі.
Зміст
Історія
Одні з перших експериментів з використання комп'ютерних черв'яків у розподілених обчисленнях були проведені в дослідницькому центрі Xerox в Пало Альто Джоном Шочем (John Shoch) і Йоном Хуппом (Jon Hupp) у 1978 році. Термін виник під впливом науково-фантастичних романів Девіда Герролда «Коли Харлі виповнився рік » та Джона Браннера «На ударній хвилі ». Одним з найбільш відомих комп'ютерних черв'яків є «Хробак Морріса», написаний Робертом Морісом-молодшим, який був у той час студентом Корнельського Університету. Поширення хробака почалося 2 листопада 1988, після чого хробак швидко уразив близько 10% всіх комп'ютерів, підключених, в той час, до Інтернету.
Механізми розповсюдження
Усі механізми («вектори атаки ») поширення хробаків діляться на дві великі групи:
- Використання вразливостей і помилок адміністрування в програмному забезпеченні, встановленому на комп'ютері. Наприклад, шкідлива програма Conficker для свого поширення використовувала вразливість в операційній системі Windows; хробак Морріса підбирав пароль за словником. Такі хробаки здатні поширюватися автономно, вибираючи і атакуючи комп'ютери в повністю автоматичному режимі.
- Використовуючи методи так званої соціальної інженерії, провокується запуск шкідливої програми самим користувачем. Щоб переконати користувача в тому, що файл безпечний, можуть підключатися недоліки користувальницького інтерфейсу програми - наприклад, черв'як VBS.LoveLetter використав той факт, що Outlook Express приховує розширення файлів. Даний метод широко застосовується в спам-розсилках, соціальних мережах і т. д. Іноді зустрічаються черв'яки із цілим набором різних векторів розповсюдження, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.
Структура
Хробаки можуть складатися з різних частин.
Часто виділяють так звані резидентні хробаки, які можуть інфікувати працюючу програму і перебувати в ОЗУ, при цьому не зачіпаючи жорсткі диски. Від таких хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗУ). Такі хробаки складаються в основному з «інфекційної» частини: експлойта (шелл-коду) і невеликого корисного навантаження (власне тіла хробака), яка розміщується цілком в ОЗУ. Специфіка таких хробаків полягає в тому, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, а значить, можуть розраховувати тільки на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.
Також існують хробаки, які після успішного інфікування пам'яті зберігають код на жорсткому диску і вживають заходів для подальшого запуску цього коду (наприклад, шляхом прописування відповідних ключів в реєстрі Windows). Від таких хробаків можна позбутися лише за допомогою антивірусного програмного забезпечення чи подібних інструментів. Найчастіше інфекційна частина таких хробаків (експлойт, шелл-код) містить невелике корисне навантаження, що завантажується в ОЗУ і може «довантажити" через мережу безпосередньо саме тіло хробака у вигляді окремого файлу. Для цього деякі черв'яки можуть містити в інфекційній частини простий TFTP-клієнт. Завантажуване таким способом тіло черв'яка (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування і поширення вже з інфікованою системи, а також може містити більш серйозне, повноцінне корисне навантаження, метою якого може бути, наприклад, нанесення будь-якої шкоди (наприклад, DoS -атаки). Більшість поштових черв'яків поширюються як один файл. Їм не потрібна окрема «інфекційна» частину, так як зазвичай користувач-жертва за допомогою поштового клієнта або Інтернет-браузера добровільно викачує і запускає хробака цілком
Корисне навантаження
Найчастіше хробаки навіть без будь-якого корисного навантаження перевантажують і тимчасово виводять з ладу мережі лише за рахунок інтенсивного поширення. Типове осмислене корисне навантаження може полягати в псуванні файлів на комп'ютері-жертві (в тому числі, зміна веб-сторінок, так званий «deface»), також із заражених комп'ютерів можлива організація ботнету для проведення мережевих атак або розсилання спаму.
Способи захисту
Через те, що мережеві черв'яки для свого проникнення в систему користувача використовують уразливості в сторонньому програмному забезпеченні або операційній системі використання сигнатурних антивірусних моніторів недостатньє для захисту від черв'яків. Також, при використанні методів соціальної інженерії користувача під слушним приводом змушують запустити шкідливу програму, навіть незважаючи на попередження з боку антивірусного програмного забезпечення. Таким чином, для комплексного забезпечення захисту від сучасних черв'яків, і будь-яких інших шкідливих програм, необхідне використання проактивного захисту.
Посилання
- John Shoch, Jon Hupp The 'Worm' Programs — Early Experience with a Distributed Computation" (англ.), Communications of the ACM, March 1982 Volume 25 Number 3, pp.172-180, ISSN 0001—0782
- RFC 1135 (англ.)— The Helminthiasis of the Internet