Мережеві віруси в якості середовища проживання використовують глобальну або локальні комп'ютерні мережі. Вони не зберігають свій код на жорсткому диску комп'ютера, а проникають безпосередньо в оперативну пам'ять ПК. Віруси цього типу за здатність обчислювати мережеві адреси інших машин, перебуваючи в пам'яті комп'ютера, і самостійно розсилати за цими адресами свої копії називають мережними хробаками. Такий вірус може знаходитися одночасно в пам'яті кількох комп'ютерів. Мережеві віруси виявити складніше, ніж файлові. Мережеві віруси поширюються з великою швидкістю і можуть сильно уповільнити роботу апаратного забезпечення комп'ютерної мережі.
Так само як для вірусів, життєвий цикл хробаків можна розділити на певні стадії:
- Проникнення в систему.
- Активація.
- Пошук «жертв».
- Підготовка копій.
- Поширення копій.
Стадії 1 і 5, взагалі кажучи, симетричні і характеризуються в першу чергу використовуваними протоколами і додатками.
Стадія 4 - підготовка копій - практично нічим не відрізняється від аналогічної стадії в процесі розмноження вірусів. Сказане про підготовку копій вірусів без змін застосовно і до черв'якам.
На етапі проникнення в систему черви діляться переважно за типами використовуваних протоколів:
- Мережеві черв'яки - черв'яки, що використовують для поширення протоколи Інтернет і локальних мереж. Зазвичай цей тип черв'яків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp / ip.
- Поштові черв'яки - черв'яки, що поширюються в форматі повідомлень електронної пошти.
- IRC-черв'яки - черв'яки, що поширюються по каналах IRC (Internet Relay Chat).
- P2P-черв'яки - черв'яки, що поширюються за допомогою пірінгових (peer-to-peer) файлообмінних мереж.
- IM-черв'яки - черв'яки, що використовують для поширення системи миттєвого обміну повідомленнями (IM, Instant Messenger - ICQ, MSN Messenger, AIM і ін.)
Приклади. Класичними мережними хробаками є представники сімейства Net-Worm.Win32.Sasser. Ці черв'яки використовують уразливість в службі LSASS Microsoft Windows. При розмноженні, черв'як запускає FTP-службу на TCP-порту 5554, після чого вибирає IP-адреса для атаки і відсилає запит на порт 445 по цій адресі, перевіряючи, чи запущена служба LSASS. Якщо атакується комп'ютер відповідає на запит, хробак посилає на цей же порт експлойт уразливості в службі LSASS, в результаті успішного виконання якого на вилученому комп'ютері запускається командна оболонка на TCP-порту 9996. Через цю оболонку хробак віддалено виконує завантаження копії хробака по протоколу FTP із запущеного раніше сервера й віддалено ж запускає себе, завершуючи процес проникнення і активації.
Як приклад поштового хробака можна розглянути Email-Worm.Win32.Zafi.d. Заражена повідомлення включає в себе обрані з деякого списку тему і текст, змістом яких є привітання зі святом (велика частина - з Різдвом) і пропозицію ознайомитися з вітальною листівкою у вкладенні. Поздоровлення можуть бути на різних мовах. Ім'я перебуває у вкладенні файлу хробака складається з слова postcard мовою, відповідному привітання, і довільного набору символів. Розширення файлу хробака випадковим чином вибирається зі списку .BAT, .COM, .EXE, .PIF, .ZIP. Для розсилки хробак використовує адреси електронної пошти, знайдені на зараженому комп'ютері. Щоб отримати управління, черв'як повинен бути запущений користувачем.
IRC-Worm.Win32.Golember.a є, як випливає з назви IRC-хробаком. При запуску він зберігає себе в каталозі Windows під ім'ям trlmsn.exe і додає в розділ автозапуску реєстру Windows параметр з рядком запуску цього файлу. Крім цього хробак зберігає на диск свою копію у вигляді архіву Janey2002.zip і зображення Janey.jpg. Потім хробак підключається до довільних IRC-каналах під різними іменами і починає слати певні текстові рядки, імітуючи активність звичайного користувача. Паралельно всім користувачам цих каналів відсилається заархівована копія хробака.
Функціональністю поширення через P2P-канали мають багато мережних і поштових хробаків. Наприклад, Email-Worm.Win32.Netsky.q для розмноження через файлообмінні мережі шукає на локальному диску каталоги, що містять назви найбільш популярних мереж або ж слово «shared», після чого кладе в ці каталоги свої копії під різними назвами
IM-черв'яки рідко пересилають заражені файли безпосередньо між клієнтами. Замість цього вони розсилають посилання на заражені веб-сторінки. Так хробак IM-Worm.Win32.Kelvir.k посилає через MSN Messenger повідомлення можуть містити текст «its you» і посилання «http://www.malignancy.us/[removed]/ pictures.php? Email = [email]» , за вказаною в якій адресою розташований файл хробака.
Сьогодні найбільш численну групу складають поштові черв'яки. Мережеві черв'яки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані мережними хробаками найчастіше відрізняються високою швидкістю поширення і великими масштабами. IRC-, P2P- і IM-черв'яки зустрічаються досить рідко, частіше IRC, P2P і IM служать альтернативними каналами поширення для поштових і мережевих черв'яків.
На етапі активації хробаки діляться на дві великі групи, що відрізняються як за технологіями, так і за термінами життя:
- Для активації необхідно активна участь користувача.
- Для активації участь користувача не потрібно зовсім або досить лише пасивної участі.
Під пасивною участю користувача в другій групі розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер, проте, виявляється зараженим.
Відмінність в цих підходах глибше, ніж може здатися на перший погляд. Активація мережного хробака без участі користувача завжди означає, що хробак використає проломи в безпеці програмного забезпечення комп'ютера. Це призводить до дуже швидкого поширення хробака усередині корпоративної мережі з великим числом станцій, істотно збільшує завантаження каналів зв'язку і може повністю паралізувати мережу. Саме цей метод активації використовували черви Lovesan і Sasser. В результаті викликаної таким мережевим черв'яком епідемії, яка використовується пролом закривається адміністраторами або користувачами, і в міру зменшення комп'ютерів з відкритою проломом епідемія завершується. Для повторення епідемії розробникам вірусів доводиться експлуатувати іншу пролом. У підсумку, епідемії, викликані активними хробаками, істотніше впливають на роботу мережі в цілому, однак трапляються значно рідше, ніж епідемії пасивних мережевих черв'яків. Обов'язковою мірою захисту від таких епідемій є своєчасна установка латок безпеки. Відзначимо також, що особливо уразливими для цього типу хробаків є операційні системи із закладеними можливостями віддаленого управління або запуску програм - це сімейство Microsoft Windows NT / 2000 / XP / 2003.
Приклад. Уразливість в службі LSASS, вперше використана в черв'яка MyDoom на початку 2004 року, продовжувала успішно застосовуватися і через півтора року. Так Net-Worm.Win32.Mytob.be виявлений в червні 2005 все ще використовував цю уразливість як один із способів поширення, на додаток до розповсюдження через електронну пошту
З іншого боку, активна участь користувача в активації хробака означає, що користувач був введений в оману методами соціальної інженерії . У більшості випадків основним фактором служить форма подачі інфікованого повідомлення: воно може імітувати лист від знайомої людини (включаючи електронну адресу, якщо знайомий уже заражений), службове повідомлення від поштової системи або ж що-небудь подібне, настільки ж часто зустрічається в потоці звичайної кореспонденції. Користувач в метушні просто не відрізняє звичайний лист від зараженого й робить запуск автоматично.
Захиститися латками від такого роду хробаків неможливо. Навіть внесення сигнатури мережного хробака у вірусну базу даних не вирішує проблему до кінця. Розробникам вірусу досить виконуваний файл так, щоб антивірус його не виявляється, і незначно поміняти текст повідомлення, використовуючи в тому числі і технології спам-розсилок, що застосовуються для обходу фільтрів.
В результаті, епідемії, викликані пасивними мережними хробаками, можуть бути набагато триваліший і породжувати цілі сімейства однотипних мережевих черв'яків.
Останнім часом намітилася тенденція до поєднання в хробаків обох способів поширення. Багато представників сімейства Mytob мають функції поширення через електронну пошту і через уразливість в службі LSASS.
Спосіб пошуку комп'ютера-жертви повністю базується на використовуваних протоколах і додатках. Зокрема, якщо мова йде про поштовому черв'яка, проводиться сканування файлів комп'ютера на предмет наявності в них адрес електронної пошти, за якими в результаті і проводиться розсилка копій хробака.
Точно так же інтернет-черви сканують діапазон IP адрес в пошуках уразливих комп'ютерів, а P2P хробаки кладуть свої копії в загальнодоступні каталоги клієнтів пірінгових мереж. Деякі черв'яки здатні експлуатувати списки контактів інтернет-пейджерів, таких як ICQ, AIM, MSN Messenger, Yahoo! Messenger і ін.
Сказане раніше про підготовку копій для поширення вірусів, можна застосувати і для черв'яків.
Найбільш часто серед хробаків зустрічаються спрощені реалізації метаморфізму. Деякі черв'яки здатні розсилати свої копії в листах, як з впровадженням скрипта приводить до автоматичної активації хробака, так і без впровадження. Така поведінка хробака обумовлено двома факторами: скрипт автоматичної активації підвищує ймовірність запуску хробака на комп'ютері користувача, але при цьому зменшує ймовірність проскочити антивірусні фільтри на поштових серверах.
Аналогічно, черви можуть змінювати тему і текст інфікованого повідомлення, ім'я, розширення і навіть формат вкладеного файлу - виконує модуль може бути прикладений як є або в заархівує. Все це не можна вважати мета- або поліморфізмом, але певною часткою мінливості черви, безумовно, мають.
Приклад вірусу на моєму комп'ютері: Email-Worm.Win32. Brontok.a.
Вірус-черв'як, що поширюється через інтернет у вигляді вкладень в заражені електронні листи. Розсилається по всіх знайдених на зараженому комп'ютері адресами електронної пошти.
Черв'як є додатком Windows (PE EXE-файл). Написаний на Visual Basic. Розмір відомих заражених файлів цієї версії хробака значно варіюється. Нижче приведена функціональність найбільш часто зустрічаються варіантів даного хробака.
Далі черв'як отримує шлях до каталогу додатків Windows для поточного користувача (% UserProfile% \ Local Settings \ Application Data) і копіює своє тіло в цей каталог. Також черв'як копіює себе в каталог автозавантаження програм меню «Пуск» під ім'ям Empty.pif:
Черв'як розсилає свої копії з наступними іменами у вкладенні до заражених листів. Вибирається зі списку Також черв'як змінює вміст файлу autoexec.bat в кореневому каталозі диска C :, додаючи в нього рядок «pause».
Наявність деструктивних дій зовсім не є обов'язковим критерієм для класифікації програмного коду як вірусного. Слід також зазначити, що одним тільки процесом саморозмноження вірус здатний завдати колосальної шкоди. Найбільш яскравий приклад - Net-Worm.Win32.Slammer.
Php?