Опросы

«Піду я у садочок – наїмся червячків…»
Верка.

Веселая песня известного артиста эстрады в современном сетевом окружении имеет не такой уж бесшабашный смысл… Действительно, какую опасность может представлять для персонального компьютера невинное хордовое создание? Самую непосредственную…

Сетевой червь (i-worm) — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов червь является самостоятельной самодостаточной программой.

Черви, как правило, используют различные механизмы распространения (векторы). Отдельная категория i-worms требует определенного действия пользователя для активации и распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другая категория распространяться автономно, выбирая и атакуя компьютеры в полностью автономном режиме. Все чаще встречаются черви с полным набором различных векторов распространения, стратегий выбора атакуемой жертвы, и даже эксплойтов под различные операционные системы.

Черви, как показывает структурный анализ, чаще всего состоят из отдельных частей. В основном выделяют так называемые ОЗУ–резидентные черви, которые могут инфицировать систему и находиться в ОЗУ, при этом не используя жесткие диски. Такая напасть обезвреживается банальным перезапуском компьютера (и, соответственно, сбросом ОЗУ). Черви, как таковые, состоят из «инфекционной» части (шелл–кода) и небольшой полезной нагрузки (непосредственно тело червя), которая размещается целиком в ОЗУ. Отличительная особенность таких угроз заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют свой код на HDD и принимают меры для последующего запуска этого кода (как пример - прописывание соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких i-worms (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и самораспространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки) или другие разрушительные и противоправные действия.

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно неопытный пользователь–жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.
Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения (переполнение буфера). Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве, в том числе изменении дизайна веб-страниц, «deface», заранее запрограммированной DoS-атаке с компьютеров жертв на отдельный веб-сервер, или backdoors для удалённого контроля над компьютером-жертвой. Часто встречаются случаи, когда новый вирус эксплуатирует бэкдоры, оставленные предыдущим червем.

Для эффективной защиты вашего ПК компания «Инфобезпека» рекомендует проверенные временем решения по информационной безопасности ведущих производителей – продукты компаний SOFTWIN (BitDefender), «Лаборатория Касперского» и McAfee, стабильно входящие в пятерку надежных решений по результатам тестов признанных компаний и авторитетных изданий (сертифицирован ICSA Labs, Virus Bulletin и Checkmark).