Многовекторный червь

Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе.Черви повреждают файлы и негативно влияют на работу компьютера.

Представители многовекторных червей

• Fizzer
• Nimda

Fizzer

"Fizzer" – многовекторный сетевой червь, распространяющимся по ресурсам интернета. Такое вредоносное программное обеспечение(ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером.^[1]

История Fizzer

Fizzer - сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.

Заражение

Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.

ISERVC.EXE файл - главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:

• ISERVC.EXE
• INITBAK.DAT

и параллельно создает 2 файла в справочнике Windows:

• ISERVC.DLL
• PROGOP.EXE

ISERVC.DLL файл - регистрирующий ключ компонент и PROGOP.EXE. Перед рассылкой, червь повторно собирает свой файл, используя ото компонент.

Составляющие компоненты Fizzer

Все ресурсы кроме первого зашифрованы и сжаты

• список адресов электронной почты
• файл progop.exe
• iservc.dll файл
• скрипты поведения
• текстовые строки

Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот скрипт также управляет поведением червя в определенных условиях. Например, когда дата изменяется, регистрации червя из IRC, ждет в течение некоторого времени и затем регистрирует, въезжают задним ходом снова.^[2]

Вредоносное ПО такого вида, как и обычное вредоносное ПО распространяется разными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО "Fizzer" сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного персонального компьютера (ПК). Чаще всего оно записывает собранную информацию в отдельный файл, который передается на сервер указанный владельцем данного вредоносного ПО. И как большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе.^[3]

Nimda

Nimda – компьютерный червь, являющийся файлом инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом/червем Интернета в течение 22 минут. Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова "admin", написанного справа налево.

История Nimda

Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.

Nimda - сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE.Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.

Nimda - первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также это - первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:

• Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China

Этот червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем "mikko.hypponen@datafellows.com" относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен – менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.

Составляющие компоненты Nimda

Фактически Nimda состоит из четырёх частей:

• Инфицирование файлов
• Массовая рассылка
• Веб-червь
• Распространение ЛВС

Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:

• по электронной почте
• через открытые сетевые ресурсы
• через просмотр вредоносных веб-сайтов
• через использование различных слабых мест Microsoft IIS 4.0 / 5.0 ^[4]

Процесс размножения по электронной почте

Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду, отправлять зараженные электронные письма, червь, хранит время, рассылки последней партии переданных электронных писем и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:

• .htm и.html файлы найденые в папках пользователя
• электронные письма отправленные пользователем

Распространение многовекторного червя в Файловой системе. Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена.

Примечания

1. ↑ [1] Email-Worm.Win32.Fizzer
2. ↑ [2] Worm:W32/Fizzer
3. ↑ [3] Fizzer: многовекторный червь нападает через e-mail и KaZaA
4. ↑ [4] Introduction to computer security

См. также

• Сетевой червь
• Компьютерные вирусы
• Хронология компьютерных вирусов и червей
• Антивирусная программа
• История компьютерных вирусов