Главная-Word-Классификация вирусов. Почтовые черви для своего распространения используют электронную почту

Классификация вирусов. Почтовые черви для своего распространения используют электронную почту

Сетевые вирусы в качестве среды обитания используют глобальную или локальные компьютерные сети. Они не сохраняют свой код на жестком диске компьютера, а проникают напрямую в оперативную память ПК. Вирусы этого типа за способность вычислять сетевые адреса других машин, находясь в памяти компьютера, и самостоятельно рассылать по этим адресам свои копии называют сетевыми червями. Такой вирус может находиться одновременно в памяти нескольких компьютеров. Сетевые вирусы обнаружить сложнее, чем файловые. Сетевые вирусы распространяются с большой скоростью и могут сильно замедлить работу аппаратного обеспечения компьютерной сети.

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:

  1. Проникновение в систему.
  2. Активация.
  3. Поиск «жертв».
  4. Подготовка копий.
  5. Распространение копий.

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 - подготовка копий - практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

  • Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
  • Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты.
  • IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat).
  • P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей.
  • IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger - ICQ, MSN Messenger, AIM и др.)

Примеры. Классическими сетевыми червями являются представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP-службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.

В качестве примера почтового червя можно рассмотреть Email-Worm.Win32.Zafi.d. Зараженное сообщение включает в себя выбираемые из некоторого списка тему и текст, содержанием которых является поздравление с праздником (большая часть - с Рождеством) и предложение ознакомиться с поздравительной открыткой во вложении. Поздравления могут быть на разных языках. Имя находящегося во вложении файла червя состоит из слова postcard на языке, соответствующем поздравлению, и произвольного набора символов. Расширение файла червя случайным образом выбирается из списка.BAT, .COM, .EXE, .PIF, .ZIP. Для рассылки червь использует адреса электронной почты, найденные на зараженном компьютере. Чтобы получить управление, червь должен быть запущен пользователем.

IRC-Worm.Win32.Golember.a является, как следует из названия IRC-червем. При запуске он сохраняет себя в каталоге Windows под именем trlmsn.exe и добавляет в раздел автозапуска реестра Windows параметр со строкой запуска этого файла. Кроме этого червь сохраняет на диск свою копию в виде архива Janey2002.zip и файл-изображение Janey.jpg. Затем червь подключается к произвольным IRC-каналам под различными именами и начинает слать определенные текстовые строки, имитируя активность обычного пользователя. Параллельно всем пользователям этих каналов отсылается заархивированная копия червя.

Функциональностью распространения через P2P-каналы обладают многие сетевые и почтовые черви. Например, Email-Worm.Win32.Netsky.q для размножения через файлообменные сети ищет на локальном диске каталоги, содержащие названия наиболее популярных сетей или же слово «shared», после чего кладет в эти каталоги свои копии под различными названиями

IM-черви редко пересылают зараженные файлы непосредственно между клиентами. Вместо этого они рассылают ссылки на зараженные веб-страницы. Так червь IM-Worm.Win32.Kelvir.k посылает через MSN Messenger сообщения, содержащие текст «its you» и ссылку «http://www.malignancy.us// pictures.php?email=», по указанному в которой адресу расположен файл червя.

Сегодня наиболее многочисленную группу составляют почтовые черви. Сетевые черви также являются заметным явлением, но не столько из-за количества, сколько из-за качества: эпидемии, вызванные сетевыми червями зачастую отличаются высокой скоростью распространения и большими масштабами. IRC-, P2P- и IM-черви встречаются достаточно редко, чаще IRC, P2P и IM служат альтернативными каналами распространения для почтовых и сетевых червей.

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

  1. Для активации необходимо активное участие пользователя.
  2. Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия.

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Отличие в этих подходах глубже, чем может показаться на первый взгляд. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser. В результате вызванной таким сетевым червем эпидемии, используемая брешь закрывается администраторами либо пользователями, и по мере уменьшения компьютеров с открытой брешью эпидемия завершается. Для повторения эпидемии разработчикам вирусов приходится эксплуатировать другую брешь. В итоге, эпидемии, вызванные активными червями, существеннее влияют на работу сети в целом, однако случаются значительно реже, чем эпидемии пассивных сетевых червей. Обязательной мерой защиты от таких эпидемий является своевременная установка заплат безопасности. Отметим также, что особенно уязвимыми для этого типа червей являются операционные системы с заложенными возможностями удаленного управления или запуска программ - это семейство Microsoft Windows NT/2000/XP/2003.

Пример. Уязвимость в службе LSASS, впервые использованная в черве MyDoom в начале 2004 года, продолжала успешно применяться и спустя полтора года. Так Net-Worm.Win32.Mytob.be обнаруженный в июне 2005 все еще использовал эту уязвимость как один из способов распространения, в дополнение к распространению через электронную почту

С другой стороны, активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии . В большинстве случаев основным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электронный адрес, если знакомый уже заражен), служебное сообщение от почтовой системы или же что-либо подобное, столь же часто встречающееся в потоке обычной корреспонденции. Пользователь в суматохе просто не отличает обычное письмо от зараженного и производит запуск автоматически.

Защититься заплатами от такого рода червей невозможно. Даже внесение сигнатуры сетевого червя в вирусную базу данных не решает проблему до конца. Разработчикам вируса достаточно исполняемый файл так, чтобы антивирус его не обнаруживал, и незначительно поменять текст сообщения, используя в том числе и технологии спам-рассылок, применяемые для обхода фильтров.

В результате, эпидемии, вызванные пассивными сетевыми червями, могут быть гораздо продолжительнее и порождать целые семейства однотипных сетевых червей.

В последнее время наметилась тенденция к совмещению в червях обоих способов распространения. Многие представители семейства Mytob обладают функциями распространения через электронную почту и через уязвимость в службе LSASS.

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Наиболее часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

Аналогично, черви могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла - исполняемый модуль может быть приложен как есть или в заархивированном виде. Все это нельзя считать мета- или полиморфизмом, но определенной долей изменчивости черви, безусловно, обладают.

Пример вируса на моем компьютере: Email-Worm.Win32. Brontok.a.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог. Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

Copyright МБОУ "Гимназия №75" г. Казань 2014

«Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несёт только разрушения. Мы создаём жизнь по образу и подобию своему.» Стивен Хокинг

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

Факты

Одним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата.zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне - 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта. Вредоносное действие таких архивов заключается в переполнении системных ресурсов, когда их пытаются просканировать антивирусы или другие системные программы, хотя в настоящее время все приличные антивирусы распознают бомбы заранее и не пытаются вскрывать их до конца.

Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.

По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.

В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm - почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;

использование сервисов MS Outlook;

использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;

считывает адреса из адресной базы WAB;

сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;

отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IM-Worm - черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm - черви в IRC-каналах.

У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ - отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm - прочие сетевые черви.

Существуют прочие способы заражения удаленных компьютеров, например:

копирование червя на сетевые ресурсы;

проникновение червя на компьютер через уязвимости в операционных системах и приложениях;

проникновение в сетевые ресурсы публичного использования;

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб - и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm - черви для файлообменных сетей.

Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно - при этом червь предлагает для скачивания свою копию.

«Вирусы и антивирусы» - Зависит от конфигурации рабочего места! Инструкция пользователя. Термин. ? Носители информации. Монитор, сканер, клиент ЦУП. DMZ. Автоматическая установка на рабочих станциях. Вирусы и ВРЕДОНОСНЫЕ ПРОГРАММЫ. Антивирусная программа. Монитор, сканер. Вирус – компьютерная программа, способная к саморазмножению.

«Защита от компьютерных вирусов» - Составить рекомендации по защите рабочего места учителя и ученика от компьютерных вирусов. 1. Отключить компьютер от сети(локальной, интернет). 2. Провести полное сканирование компьютера. Профилактика вирусного заражения. Тема: Информационная защита и компьютерные вирусы. 3. Удалить все найденные вирусы.

«Троянская программа» - Название «троянская» восходит к легенде о «Троянском коне» - дарёном деревянном коне, послужившим причиной падения Трои. Загрузить троянскую программу на компьютер может и посторонний человек с помощью запуска программы с flash накопителя. Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

«Защита от вредоносных программ» - Вредоносные программы. Вирусы. Вредоносные действия. Механизмы передачи. Защита систем от угроз, связанных с действиями вредоносных программ. Целевая среда. Безопасность здания. Поиск сигнатур Эвристический анализ Анализ поведения. Устройства Операционные системы Приложения. Исполняемые файлы Скрипты Макросы Загрузочные области носителей информации.

«Информатика компьютерные вирусы» - Сейчас известно несколько десятков тысяч вирусов. Признаки заражения. Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Обязательно иметь антивирусную программу. Как обнаружить хакерскую атаку. Что делать, если компьютер заражён. Немного истории. Хакерские утилиты и вредоносные программы.

«Сетевые черви» - Компьютерный практикум. Черви, использующие «уязвимости» программного обеспечения. Почтовые черви для своего распространения используют электронную почту. Черви, использующие файлообменные сети. Защита от сетевых червей. Сетевые черви. Почтовые черви. Задание.

Всего в теме 21 презентация

) компьютерные сети.

История [ | ]

Ранние эксперименты по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год » Дэвида Герролда (1972), в котором были описаны червеподобные программы, и (англ. ) Джона Браннера (1975), где вводится сам термин.

Одним из наиболее известных компьютерных червей является «Червь Морриса », написанный в 1988 г. Робертом Моррисом -младшим, который был в то время студентом Корнеллского Университета . Распространение червя началось 2 ноября, после чего червь быстро заразил примерно 6200 компьютеров (это около 10% всех компьютеров, подключённых в то время к Интернету).

Механизмы распространения [ | ]

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы .

Скорость распространения [ | ]

Скорость распространения сетевого червя зависит от многих факторов: от топологии сети , алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий.

Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP , то есть, с любого IP-адреса на любой другой, характерно стремительное распространение. При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты. Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование «блицкриг-червя». Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование «червь Уорхола» - в честь Энди Уорхола , автора изречения:

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

[ | ]

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак , рассылки спама или (с недавнего времени)

Сетевые черви – что это?

В 1978 году два программиста компании Xerox - Джон Шоч и Йон Хупп задались вопросом, как собирать обрабатываемые данные со всех компьютеров и передавать их на центральный компьютер по сети!?

Вскоре в результате их мозговой деятельности каждый компьютер лаборатории обрабатывал определённый объём работы и результат передавал небольшой программульке, написанной нашими друзьями, которая всё время находилась в локальной сети и обрабатывала эти данные поступающие со всех компьютеров, затем отправляла на центральный компьютер. Но совсем неожиданно программа вышла из под контроля и стала создавать свой неконтролируемый трафик, чем заблокировала работу всей сети. Утихомирить её удалось не сразу.

Вот так друзья, совершенно случайно появилась разновидность компьютерного вируса по названием сетевой червь.

Сетевые черви: ликбез

Сетевые черви – это специфический тип вирусов. В отличие от , средой существования которых является файловая система, черви распространяются через сеть. Проникнуть в компьютер пользователя сетевой червь может не только через Интернет и электронную почту, этому типу вредоносного ПО подвластны многие сетевые технологии. Это и сети служб обмена мгновенными сообщениями, и сети P2P для обмена файлами напрямую между пользователями, и IRC-сети для чатов, и локальные LAN-сети, и сети мобильных операторов.

Те пользователи кто постарше наверняка помнят червя w32.Blaster.worm, который заражал операционные системы Windows 2000, Windows 2003, Windows XP и не давал выйти в интернет выводя такое окно, затем перезагружая компьютер. Помню я в то время с утра до вечера бегал по многочисленным друзьям и знакомым избавляя их от этой гадости.

Второстепенные задачи сетевых червей точно такие же, как и у обычных вирусов – проникнуть в компьютер, активироваться и размножаться, только уже не в пределах одного компьютера. А основная задача сетевых червей - пролезть через сеть в устройства других пользователей.

  • 2 ноября 1988 года, начал распространение по интернету «Червь Морриса», который задумывался автором как безобидный, но из-за ошибки в своём коде заразил около 10% компьютеров (свыше 6000) того времени подключенных к сети. В результате атаки червя большая часть сетей вышла из строя на целую неделю! Общий ущерб составил 100 миллионов долларов. Данная проделка обернулась всемирной известностью автору - студенту Корнельского Университета Роберту Моррису и условному заключению сроком на три года.

Типы сетевых червей и как они проникают в компьютер

Большая часть сетевых червей – это почтовые черви, которые попадают в компьютер пользователей, если те их активируют запуском заражённого файла, который прикрепляется к электронному письму. Отправители таких электронных писем используют всяческие ухищрения, чтобы мотивировать пользователей запустить заражённый файл. Таковые присылают, как правило, под видом полезных программ, обновлений, документов, изображений и т.п.

В расчёте на неосведомлённых пользователей заражённые сетевыми червями файлы оснащают якобы расширением в самом названии файла, при этом файл на самом деле будет иметь совершенно иное расширение – расширение запуска, оно же исполняемый файл сетевого червя. Расширения прикрепляемых к электронным письмам файлов, кстати, отображаются не всеми почтовыми клиентами и веб-сервисами. Например, получив заражённый сетевым червём файл «Pictures.jpg.exe», где «.exe» - реальное расширение файла, пользователь может увидеть только ложное расширение - «.jpg» - которое есть не что иное, как просто часть имени файла «Pictures.jpg». Конечно же, на это не поведётся опытный пользователь компьютера, а вот с новичками такой трюк проходит «на ура».

После активации сетевой червь выискивает на компьютере электронные адреса в контактах пользователя и рассылает им свою копию.

По этому же принципу сетевые черви распространяются и через интернет-мессенджеры типа ICQ или IRC-клиенты.

Реже сетевые черви проникают в компьютер самостоятельно, без активации, используя бреши в операционной системе, браузерах и прочем программном обеспечении, которое работает с сетевыми подключениями.

Некоторые сетевые черви проникают в открытые сетевые ресурсы, чтобы скопировать туда заражённые файлы. Также сетевые черви могут попадать в компьютеры, где уже до этого орудовали вирусы.

Какие у сетевых червей могут быть дополнительные задачи?

Выше перечислены только специфические признаки сетевых червей, при этом им, естественно, присущи все иные качества вредоносного ПО, в частности, . Так, сетевые черви, справившись со своей основной задачей по размножению – разослав по электронной почте свои копии, могут приступить к другим вредоносным действиям. Это может быть и воровство конфиденциальных данных, и установка программ для удалённого управления заражённым компьютером, и уничтожение данных, и любые иные действия, на которые сетевого червя запрограммировал его создатель. Но сетевые черви и без дополнительных миссий доставляют немало хлопот, поскольку после заражения на компьютере падает производительность, увеличивается объём сетевого трафика, а каналы связи, соответственно, нагружаются.

Признаки наличия сетевого червя

Повышенная сетевая активность с резким взлётом исходящего трафика – явный признак того, что в компьютере орудует сетевой червь. Блокировка антивируса – также признак наличия сетевого червя. Помимо этого, вирусы, в частности, сетевые черви, любят блокировать доступ к официальным сайтам разработчиков антивирусного ПО.

Как защититься от сетевых червей

В числе штатного функционала Windows инструментами для снижения рисков заражения системы сетевыми червями являются предустановленные настройки автоматического обновления системы и активированный брандмауэр (другое его название - файервол). В некоторых обновления и брандмауэр могут быть отключены. Это не самый лучший способ выделить сборку среди массы аналогичных, если она рассчитана на обычных пользователей, а не профи. Так, с помощью обновлений компания Microsoft постоянно устраняет бреши системы и защищает её от новых опасностей, появляющихся в Интернете с каждым днём. Штатный брандмауэр (файервол) – это внедрённый в Windows, начиная с версии ХР, инструмент для защиты компьютера, в частности, как раз таки от сетевых червей. Брандмауэр проверяет данные, которые поступают по сети, и только после проверки разрешает или запрещает их дальнейшую передачу на компьютер.

Для усиленной защиты от хакерских атак, сетевых червей и прочих вирусов в качестве альтернативы штатному брандмауэру можно установить файервол стороннего разработчика с возможностью более гибкой его настройки. Среди сторонних файерволов популярностью у пользователей пользуются программы и .

Похожие публикации: