Багатовекторний хробак — Вікіпедія

Багатовекторний хробак — мережевий хробак, що застосовує для свого поширення кілька різних механізмів (векторів атаки), наприклад, електронну пошту і експлойт помилки в операційній системі. У деяких випадках хробаки ушкоджують файли і негативно впливають на роботу комп'ютера (якщо це передбачено творцем).

Представники багатовекторних хробаків[ред. | ред. код]

Fizzer
Nimda

Fizzer[ред. | ред. код]

«Fizzer» — багатовекторний мережевий хробак, що розповсюджується по ресурсах Інтернету. Таке зловмисне програмне забезпечення (ПО) доставляється на цільовий комп'ютер у вигляді виконуваного файлу та активізується при його запуску. Далі такі «віруси» створюють кілька файлів і прописуються в гілку реєстру Windows, для подальшого запуску разом із комп'ютером^[1].

Історія Fizzer[ред. | ред. код]

Fizzer — складний поштовий хробак, який з'явився 8 травня 2003. Компанія F-Secure починає розробляти програму для відлову Fizzer.

Зараження[ред. | ред. код]

Хробак поширює свої копії як застосунок, що розповсюджується поштою. Коли користувач-жертва запускає застосунок, він створює файл під назвою ISERVC.EXE в тимчасовій теці і активізує його.

Файл ISERVC.EXE — головний компонент хробака. Він копіює себе до довідника Windows із такими назвами:

ISERVC.EXE
INITBAK.DAT

і паралельно створює 2 файли в довіднику Windows:

ISERVC.DLL
PROGOP.EXE

Файл ISERVC.DLL — компонент, що реєструє ключ, і PROGOP.EXE. Перед розсиланням хробак повторно збирає свій файл, використовуючи цей компонент.

Складові компоненти Fizzer[ред. | ред. код]

Всі ресурси окрім першого зашифровані і стиснуті:

список адрес електронної пошти
файл progop.exe
файл iservc.dll
скрипти (код) поведінки
текстові рядки

Скрипти поведінки містять головні параметри налаштування для хробака, такі як його інсталяційна назва і тека. Цей скрипт керує поведінкою хробака за певних умов^[2].

Шкідливе ПЗ такого роду, як і будь-яке інше шкідливе ПЗ розповсюджується різними шляхами, такими як, наприклад, електронна пошта або файлообмінні мережі. Для розсилання електронних повідомлень зі шкідливим ПЗ «Fizzer» сканує адресні книги Microsoft Outlook і Windows Address Book. Хробак використовує як об'єкт атаки випадкові адреси в поштових системах. Програмне забезпечення такого типу може вкрасти імена й паролі користувача зараженого комп'ютера. Найчастіше воно записує зібрану інформацію в окремий файл, який передається на виділений сервер зазначений власником даного шкідливого ПЗ. Як і більшість вірусів закриває активні процеси антивірусних програм, для ускладнення виявлення і відлову його в системі^[3].

Nimda[ред. | ред. код]

Nimda — комп'ютерний хробак, який є файловим інфектором. Він швидко поширюється, затьмарюючи економічний збиток, нанесений минулими спалахами, такими як «Code Red». Численні вектори поширення дозволили Nimda стати найпоширенішим вірусом Інтернету протягом 22 хвилин. Nimda зачіпає обидва типи користувацьких автоматизованих робочих місць (клієнтів), що працюють під управлінням Windows 95, 98, Me, NT, 2000 або XP і сервери працюють на Windows NT і 2000. Походження імені хробака походить від слова «admin», написаного справа наліво.

Історія Nimda[ред. | ред. код]

Перший різновид хробака сімейства Net-Worm: W32/Nimda була помічена 18 вересня 2001 року, та швидко поширювалася по всьому світі.

Nimda — складний вірус із компонентом хробака масової розсилки, який поширюється через електронну пошту надсилаючи файл README.EXE. Nimda також використовує коди Unicode, щоб заразити вебсервер IIS.

Nimda — перший хробак, який змінює наявні вебсайти, для завантаження заражених файлів. Також, це — перший хробак, який використовує комп'ютер, щоб переглядати уразливості вебсайтів. Ця техніка дозволяє Nimda легко заволодіти інтернет-ресурсами, які не мають системи захисту. У хробака є текстовий рядок авторського права, який ніколи не показується:

Concept Virus (CV) V. 5, Copyright (C) 2001 R. P. China

Цей хробак о 15:00 за Гринвічем 11 жовтня 2001 року розіслав сотні електронних листів, заражених вірусом. Листи було розіслано за різними адресами з усього світу. Адреса відправника електронних листів «[email protected]» відноситься до компанії F-Secure, що займається антивірусним захистом. Дійсно F-Secure колись називалася datafellows.com назва компанії було змінено на початку 2000 року. А пан Мікко Хіппонен — менеджер компанії відділу антивірусних досліджень, який не мав жодного стосунку до цього інциденту.

Складові компоненти вірусів[ред. | ред. код]

Інфікування файлів
Масова розсилка
Вебхробак
Поширення ЛОМ

Nimda був багато в чому ефективним завдяки тому, що він, на відміну від інших вірусів використовує п'ять різних векторів інфекції:

електронною поштою
через відкриті мережеві ресурси
через перегляд шкідливих вебсайтів
через використання різних слабких місць Microsoft IIS 4.0 / 5.0^[4]

Процес розмноження електронною поштою[ред. | ред. код]

Вірус прибуває як повідомлення, що складається з двох секцій. У першій секції знаходиться HTML-скрипти. Друга секція складається з файлу «readme.exe», яке є здійсненним набором команд. Nimda має команду відправляти заражені електронні листи. Хробак зберігає час розсилки останньої партії, переданих електронних листів, і кожні 10 днів повторює процес збору адрес розсилки хробака електронною поштою. Адреси електронної пошти, які призначені для того, щоб прийняти хробака, зібрані з двох джерел:

.htm і .html файли, знайдені в теках користувача
електронні листи надіслані користувачем

Поширення багатовекторного хробака у файловій системі[ред. | ред. код]

Nimda створює численні закодовані копії себе, при цьому використовує файли з розширеннями .eml та .nws у всіх перезаписуваних довідниках, до яких користувач має доступ. Якщо користувач, що використовує інший комп'ютер, запустить на спільних з зараженим комп'ютером ресурсах копію файлу хробака, то систему буде заражено. Як вже було сказано, через 22 хвилини після створення вірусу NIMDA ним було заражено понад 3 млрд комп'ютерів.

Примітки[ред. | ред. код]

↑ [1] Email-Worm.Win32.Fizzer
↑ [2] [Архівовано 19 вересня 2018 у Wayback Machine.] Worm: W32/Fizzer
↑ [3] [Архівовано 4 березня 2016 у Wayback Machine.] Fizzer: многовекторный червь нападает через e-mail и KaZaA
↑ [4] [Архівовано 30 червня 2016 у Wayback Machine.] Introduction to computer security

Див. також[ред. | ред. код]

[nom2-1] [1] Email-Worm.Win32.Fizzer

[nom4-2] [2] [Архівовано 19 вересня 2018 у Wayback Machine.] Worm: W32/Fizzer

[nom3-3] [3] [Архівовано 4 березня 2016 у Wayback Machine.] Fizzer: многовекторный червь нападает через e-mail и KaZaA

[nom5-4] [4] [Архівовано 30 червня 2016 у Wayback Machine.] Introduction to computer security

[1]

[2]

[3]

[4]