Мережевий черв'як - інформаційна безпека

Мережевий черв'як - різновид самовідтворюються комп'ютерних програм, що розповсюджуються в локальних і глобальних комп'ютерних мережах. На відміну від комп'ютерних вірусів черв'як є самостійною програмою.

Черви можуть використовувати різні механізми ( «вектори») поширення. Деякі черв'яки вимагають певної дії користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші черви можуть поширюватися автономно, вибираючи і атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються черв'яки з цілим набором різних векторів поширення, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.

Черви можуть складатися з різних частин.

Часто виділяють так звані ОЗУ-резидентні хробаки, які можуть інфікувати працюючу програму і перебувати в ОЗУ, при цьому не зачіпаючи жорсткі диски. Від таких хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗУ). Такі черви складаються в основному з «інфекційної» частини: експлойта (шелл-коду) і невеликий корисного навантаження (самого тіла хробака), яка розміщується цілком в ОЗУ. Специфіка таких хробаків полягає в тому, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, а значить, можуть розраховувати тільки на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.

Також існують черви, які після успішного інфікування пам'яті зберігають код на жорсткому диску і вживають заходів для подальшого запуску цього коду (наприклад, шляхом прописування відповідних ключів в реєстрі Windows). Від таких хробаків можна позбутися тільки за допомогою антивірусу або подібних інструментів. Найчастіше інфекційна частина таких хробаків (експлойт, шелл-код) містить невелику корисне навантаження, яка завантажується в ОЗУ і може «довантажити» через мережу безпосередньо саме тіло хробака у вигляді окремого файлу. Для цього деякі черв'яки можуть містити в інфекційній частини простий TFTP-клієнт. Завантажувати таким способом тіло хробака (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування та поширення вже з інфікованої системи, а також може містити більше серйозну, повноцінну корисне навантаження, метою якої може бути, наприклад, нанесення будь-якої шкоди (наприклад, DoS -атаки).

Більшість поштових черв'яків поширюються як один файл. Їм не потрібна окрема «інфекційна» частина, так як зазвичай користувач-жертва за допомогою поштового клієнта добровільно викачує і запускає хробака цілком.

Найчастіше черв'яки навіть без усякої корисного навантаження перевантажують і тимчасово виводять з ладу мережі лише за рахунок інтенсивного поширення. Типова осмислена корисне навантаження може полягати в псуванні файлів на комп'ютері-жертві (в тому числі, зміна веб-сторінок, «deface»), заздалегідь запрограмованої DoS-атаці з комп'ютерів жертв на окремий веб-сервер, або бекдор для віддаленого контролю над компьютером- жертвою. Часто зустрічаються випадки, коли новий вірус експлуатує бекдори, залишені старим.

Схожі статті