Сетевые черви (Network worms)
Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для размножения сетевые протоколы и устройства.
Задача вредоносного объекта такого рода состоит в том, чтобы попасть на компьютер, активироваться и отправить копии самого себя на машины других пользователей. По форме существования сетевые черви бывают обычными и пакетными. Обычные, проникая в систему через флеш-накопитель или интернет, воспроизводят себя в большом количестве, а затем рассылают эти дубли по электронным адресам, найденным на компьютере, или распределяют их по папкам общего доступа в локальной сети. Пакетные (или бесфайловые) черви существуют в виде особого сетевого пакета; внедрившись в устройство, они стремятся проникнуть в его оперативную память с целью сбора персональных данных и другой ценной информации.
Классификация и способы распространения
Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.
К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.
- Репликация через сеть. Червь находит удаленные ПК и воспроизводит себя в разных каталогах, где можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможны попытки открыть общий сетевой доступ к дискам зараженного компьютера.
- Репликация через уязвимости операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО и отправляют запрос либо сетевой пакет для эксплуатации изъянов, обеспечивая попадание произвольного кода в машину жертвы.
- Репликация через ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их загрузит и запустит уже на своем компьютере.
- Паразитирование на других вредоносных программах. Например, червь находит ПК, который уже заражен бекдором, и использует этот хакерский инструмент для собственного распространения.
Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:
- Почтовые черви (Email-Worm) — рассылаются по сети в виде приложений к сообщениям электронной почты. Это может быть копия самого червя или ссылка на файл, размещенный на вредоносном веб-ресурсе. Для активации полученного кода нужно открыть полученный файл или нажать на ссылку для перехода; впрочем, в истории киберпреступности известны и случаи, когда достаточно было просто открыть полученное письмо. Адреса, куда будут отправлены копии червя, берутся из адресной книги почтового клиента, из базы WAB и прочих файлов, имеющихся на диске.
- IM-черви (IM-Worm) — вредоносные объекты, которые пользуются службами мгновенного обмена сообщениями. Они во многом похожи на почтовых червей, отличаясь главным образом тем, что рассылают файлы или ссылки по списку контактов в мессенджере, а не по базе почтовых адресов.
- IRC-черви (IRC-Worm) — разновидность червей, распространяющаяся по чат-каналам.
- Черви для файлообменных сетей (Р2Р-Worm) — вредоносные программы, которые распространяются через торрент-трекеры и другие подобные сервисы. Копия червя внедряется в каталог обмена файлами, находящийся на локальном устройстве, под видом популярного контента.
- Сетевые черви (Network Worm или Net-Worm) — общее название для объектов, проникающих в систему через локальную сеть.
Объект воздействия
Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:
- замедленная работа компьютера,
- уменьшение места на жестком диске и объема свободной оперативной памяти,
- возникновение посторонних файлов,
- проблемы с работой какой-либо программы или приложения,
- появление ошибок, внезапное выключение машины, самопроизвольная перезагрузка,
- потеря данных.
В 2003 году червь SQL Slammer, рассылая множество сетевых пакетов, остановил работу десятков тысяч серверов в разных странах мира. В 2017 году этот вредоносный объект заработал снова. О том, какая опасность подстерегает пользователей, можно узнать из статьи «Check Point: Сетевой червь SQL Slammer возобновил свою активность».
Источник угрозы
Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.
Анализ риска
Как отмечено выше, червь может быть относительно безобиден, лишь создавая дополнительную нагрузку на компьютер и сеть. Тем не менее, многие черви имеют и по-настоящему вредоносные функции вроде уничтожения данных или отключения систем безопасности.
Для защиты от сетевых червей необходимо использовать:
- антивирусные программы,
- межсетевые экраны,
- антиспам-решения;
- обновленные и современные операционные системы.