Компьютерный червь
Компьютерный червь — это отдельная вредоносная компьютерная программа , которая копирует себя с целью распространения на другие компьютеры. [1] Для своего распространения он часто использует компьютерную сеть , полагаясь на сбои в системе безопасности целевого компьютера для доступа к нему. Он будет использовать эту машину в качестве хоста для сканирования и заражения других компьютеров. Когда эти новые зараженные червями компьютеры находятся под контролем, червь будет продолжать сканировать и заражать другие компьютеры, используя эти компьютеры в качестве хостов, и такое поведение будет продолжаться. [2] Компьютерные черви используют рекурсивные методы для копирования себя без хост-программ и распространения, используя преимущества экспоненциального роста , таким образом контролируя и заражая все больше и больше компьютеров за короткое время. [3] Черви почти всегда наносят хоть какой-то вред сети, даже если только потребляют пропускную способность , тогда как вирусы почти всегда повреждают или изменяют файлы на целевом компьютере.
Многие черви предназначены только для распространения и не пытаются изменить системы, через которые они проходят. Однако, как показали червь Morris и Mydoom , даже эти черви «без полезной нагрузки» могут вызвать серьезные сбои в работе за счет увеличения сетевого трафика и других непредвиденных эффектов.
История
[ редактировать ]Термин «червь» впервые был использован в романе Джона Бруннера 1975 года «Наездник на ударной волне » . В романе Николас Хафлингер разрабатывает и запускает червя, собирающего данные, чтобы отомстить влиятельным людям, которые управляют национальной электронной информационной сетью, вызывающей массовое согласие. «У вас в сети болтается самый большой червь, и он автоматически саботирует любую попытку проследить за ним. Никогда еще не было червя с такой крепкой головой или таким длинным хвостом!» [4] «Тогда его осенил ответ, и он чуть не рассмеялся. Флюкнер прибегнул к одному из самых старых трюков в магазине и выпустил в континентальную сеть самовоспроизводящегося солитера, вероятно, возглавляемого группой разоблачителей, «позаимствованной» у крупного Корпорация, которая переключалась с одного узла на другой каждый раз, когда его кредитный код вводился на клавиатуре. На уничтожение такого червя могли уйти дни, а иногда и недели. [4]
Второй компьютерный червь был разработан как антивирусное программное обеспечение. Названный Reaper , он был создан Рэем Томлинсоном для репликации себя в сети ARPANET и удаления экспериментальной программы Creeper (первого компьютерного червя, 1971 год).
2 ноября 1988 года Роберт Таппан Моррис , аспирант Корнельского университета в области компьютерных наук, запустил так называемый червь Морриса , нарушивший работу многих компьютеров в Интернете, которые, как предполагалось в то время, составляли одну десятую часть всех подключенных к нему компьютеров. [5] В ходе апелляционного процесса Морриса Апелляционный суд США оценил стоимость удаления червя из каждой установки в сумму от 200 до 53 000 долларов; эта работа послужила толчком к созданию Координационного центра CERT. [6] и список рассылки Phage. [7] Сам Моррис стал первым человеком, которого судили и осудили по Закону о компьютерном мошенничестве и злоупотреблениях 1986 года . [8]
Conficker , компьютерный червь, обнаруженный в 2008 году и ориентированный в первую очередь на операционные системы Microsoft Windows , представляет собой червь, использующий три различные стратегии распространения: локальное зондирование, зондирование соседства и глобальное зондирование. [9] Этот червь считался гибридной эпидемией и поразил миллионы компьютеров. Термин «гибридная эпидемия» используется из-за трех отдельных методов распространения, которые были обнаружены в результате анализа кода. [10]
Функции
[ редактировать ]Независимость
Компьютерным вирусам обычно требуется хост-программа. [11] Вирус записывает свой собственный код в хост-программу. При запуске программы сначала запускается написанная вирусная программа, вызывая заражение и повреждение. Червю не нужна хост-программа, поскольку он представляет собой независимую программу или фрагмент кода. Таким образом, он не ограничен хост-программой , но может работать независимо и активно осуществлять атаки. [12] [13]
Эксплойт-атаки
Поскольку червь не ограничен хостовой программой, черви могут использовать различные уязвимости операционной системы для проведения активных атак. Например, вирус « Nimda » использует уязвимости для атак.
Сложность
Некоторые черви объединяются со сценариями веб-страниц и скрываются на HTML страницах с помощью VBScript , ActiveX и других технологий. Когда пользователь заходит на веб-страницу, содержащую вирус, вирус автоматически сохраняется в памяти и ожидает срабатывания. Существуют также черви, сочетающиеся с программами- бэкдорами или троянскими конями , например " Code Red ". [14]
Заразность
Черви более заразны, чем традиционные вирусы. Они заражают не только локальные компьютеры, но также все серверы и клиенты сети на базе локального компьютера. Черви могут легко распространяться через общие папки , электронную почту , [15] вредоносные веб-страницы и серверы с большим количеством уязвимостей в сети. [16]
Вред
[ редактировать ]Любой код, предназначенный не только для распространения червя, обычно называется « полезной нагрузкой ». Типичные вредоносные программы могут удалять файлы в хост-системе (например, червь ExploreZip ), шифровать файлы при атаке программы-вымогателя или похищать такие данные , как конфиденциальные документы или пароли. [ нужна ссылка ]
Некоторые черви могут установить бэкдор . Это позволяет автору червя удаленно управлять компьютером как « зомби ». Сети таких машин часто называют ботнетами и очень часто используются для различных вредоносных целей, включая рассылку спама или выполнение DoS- атак. [17] [18] [19]
Некоторые специальные черви целенаправленно атакуют промышленные системы. Stuxnet в основном передавался через локальные сети и зараженные флэш-накопители, поскольку его цели никогда не были подключены к ненадежным сетям, таким как Интернет. Этот вирус может уничтожить основное компьютерное программное обеспечение для управления производством, используемое химическими, энергетическими и передающими компаниями в различных странах мира (в случае Stuxnet больше всего пострадали Иран, Индонезия и Индия). Его использовали для «выдачи заказов» другим компаниям. оборудование на заводе и скрыть эти команды от обнаружения. Stuxnet использовал множество уязвимостей и четыре различных эксплойта нулевого дня (например: [1] ) в системах Windows и системах Siemens SIMATICWinCC для атаки на встроенные программируемые логические контроллеры промышленных машин. Хотя эти системы работают независимо от сети, если оператор вставит зараженный вирусом накопитель в USB-интерфейс системы, вирус сможет получить контроль над системой без каких-либо других эксплуатационных требований или подсказок. [20] [21] [22]
Контрмеры
[ редактировать ]Черви распространяются, используя уязвимости в операционных системах. Поставщики, у которых есть проблемы с безопасностью, регулярно предоставляют обновления безопасности. [23] (см. « Вторник обновлений »), и если они установлены на машине, то большинство червей не смогут на нее распространиться. Если уязвимость обнаружена до того, как производитель выпустил исправление безопасности, атака нулевого дня возможна .
Пользователям следует опасаться открытия неожиданных писем, [24] [25] и не должен запускать вложенные файлы или программы или посещать веб-сайты, на которые есть ссылки в таких электронных письмах. Однако, как и в случае с червем ILOVEYOU , а также с увеличением роста и эффективности фишинговых атак, остается возможность обманом заставить конечного пользователя запустить вредоносный код.
Антивирусное и антишпионское программное обеспечение полезно, но его необходимо обновлять новыми файлами шаблонов не реже одного раза в несколько дней. использовать брандмауэр . Также рекомендуется
Пользователи могут свести к минимуму угрозу, исходящую от червей, обновляя операционную систему и другое программное обеспечение своих компьютеров, избегая открытия нераспознанных или неожиданных электронных писем и запуская брандмауэр и антивирусное программное обеспечение. [26]
Методы смягчения включают в себя:
- ACL в маршрутизаторах и коммутаторах
- Пакетные фильтры
- TCP Wrapper / ACL сетевых служб с поддержкой Демоны
- EPP / EDR Программное обеспечение
- Нулевой маршрут
Заражения иногда можно обнаружить по их поведению: обычно они случайным образом сканируют Интернет в поисках уязвимых узлов для заражения. [27] [28] Кроме того, методы машинного обучения можно использовать для обнаружения новых червей путем анализа поведения подозреваемого компьютера. [29]
Черви с добрыми намерениями
[ редактировать ]или Полезный червь анти -червь — это червь, созданный для того, чтобы делать что-то, что его автор считает полезным, хотя и не обязательно с разрешения владельца исполняющего компьютера. Начиная с первых исследований червей в Xerox PARC , предпринимались попытки создать полезных червей. Эти черви позволили Джону Шоху и Джону Хаппу протестировать принципы Ethernet в своей сети компьютеров Xerox Alto . [30] Аналогичным образом, черви семейства Nachi пытались загрузить и установить патчи с веб-сайта Microsoft для устранения уязвимостей в хост-системе, используя те же самые уязвимости. [31] На практике, хотя это могло сделать эти системы более безопасными, оно создавало значительный сетевой трафик, перезагружало машину в процессе установки исправлений и выполняло свою работу без согласия владельца или пользователя компьютера. Независимо от их полезной нагрузки и намерений их авторов, эксперты по безопасности считают всех червей вредоносными программами . Другим примером этого подхода является исправление в ОС Roku ошибки, позволяющей рутировать ОС Roku посредством обновления каналов заставки, которые скринсейвер попытается подключить к telnet и исправить устройство. [32]
В одном исследовании был предложен первый компьютерный червь, который работает на втором уровне модели OSI (уровень канала передачи данных), используя информацию о топологии, такую как таблицы контентно-адресуемой памяти (CAM) и информацию связующего дерева, хранящуюся в коммутаторах, для распространения и поиска уязвимых узлов. пока сеть предприятия не будет покрыта. [33]
использовались античерви Для борьбы с последствиями « Красного кода» . [34] Бластер и черви Санти . Welchia — пример полезного червя. [35] Используя те же недостатки, которые использовал червь Blaster , Welchia заразила компьютеры и автоматически начала загрузку обновлений безопасности Microsoft для Windows без согласия пользователей. Welchia автоматически перезагружает зараженные компьютеры после установки обновлений. Одним из таких обновлений стал патч, исправляющий эксплойт. [35]
Другими примерами полезных червей являются «Den_Zuko», «Cheeze», «CodeGreen» и «Millenium». [35]
Художественные черви помогают художникам создавать масштабные эфемерные произведения искусства. Он превращает зараженные компьютеры в узлы, вносящие вклад в произведение искусства. [36]
См. также
[ редактировать ]- Список компьютерных червей
- BlueKeep
- Ботнет
- Код Шикара (Червь)
- Компьютерное и сетевое наблюдение
- Компьютерный вирус
- Компьютерная безопасность
- Спам по электронной почте
- Дед Мороз (компьютерный червь)
- Самовоспроизводящаяся машина
- Мошенничество со службой технической поддержки - нежелательные телефонные звонки от фальшивого человека из «технической поддержки», утверждающего, что на компьютере есть вирус или другие проблемы.
- Хронология компьютерных вирусов и червей
- Троянский конь (компьютеры)
- Проверка памяти на червяков
- XSS-червь
- Зомби (информатика)
Ссылки
[ редактировать ]- ^ Барвайз, Майк. «Что такое интернет-червь?» . Би-би-си. Архивировано из оригинала 24 марта 2015 г. Проверено 9 сентября 2010 г.
- ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN 1932-6203 . ПМЦ 4433115 . ПМИД 25978309 .
- ^ Марион, Жан-Ив (28 июля 2012 г.). «От машин Тьюринга до компьютерных вирусов» . Философские труды Королевского общества A: Математические, физические и технические науки . 370 (1971): 3319–3339. Бибкод : 2012RSPTA.370.3319M . дои : 10.1098/rsta.2011.0332 . ISSN 1364-503X . ПМИД 22711861 .
- ^ Перейти обратно: а б Бруннер, Джон (1975). Наездник ударной волны . Нью-Йорк: Ballantine Books. ISBN 978-0-06-010559-4 .
- ^ «Подводная лодка» . www.paulgraham.com .
- ^ «Безопасность Интернета» . CERT/CC .
- ^ «Список рассылки фагов» . Securitydigest.org. Архивировано из оригинала 26 июля 2011 г. Проверено 17 сентября 2014 г.
- ^ Дресслер, Дж. (2007). «Соединенные Штаты против Морриса». Дела и материалы по уголовному праву . Сент-Пол, Миннесота: Томсон/Вест. ISBN 978-0-314-17719-3 .
- ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN 1932-6203 . ПМЦ 4433115 . ПМИД 25978309 .
- ^ Чжан, Чанван; Чжоу, Ши; Чейн, Бенджамин М. (15 мая 2015 г.). Сунь, Гуй-Цюань (ред.). «Гибридные эпидемии — пример компьютерного червя Conficker» . ПЛОС ОДИН . 10 (5): e0127478. arXiv : 1406.6046 . Бибкод : 2015PLoSO..1027478Z . дои : 10.1371/journal.pone.0127478 . ISSN 1932-6203 . ПМЦ 4433115 . ПМИД 25978309 .
- ^ «Червь против вируса: в чем разница и имеет ли это значение?» . Червь против вируса: в чем разница и имеет ли это значение? . Проверено 8 октября 2021 г.
- ^ Да, Сан-Су. (2012). Информатика и ее приложения: CSA 2012, Чеджу, Корея, 22-25 ноября 2012 г. Спрингер. п. 515. ИСБН 978-94-007-5699-1 . OCLC 897634290 .
- ^ Ю, Вэй; Чжан, Нань; Фу, Синьвэнь; Чжао, Вэй (октябрь 2010 г.). «Самодисциплинарные черви и меры противодействия: моделирование и анализ». Транзакции IEEE в параллельных и распределенных системах . 21 (10): 1501–1514. дои : 10.1109/tpds.2009.161 . ISSN 1045-9219 . S2CID 2242419 .
- ^ Брукс, Дэвид Р. (2017), «Введение в HTML», Программирование на HTML и PHP , Темы бакалавриата по информатике, Springer International Publishing, стр. 1–10, doi : 10.1007/978-3-319-56973-4_1 , ISBN 978-3-319-56972-7
- ^ Дэн, Юэ; Пей, Юнчжэнь; Ли, Чанго (09 ноября 2021 г.). «Оценка параметров модели восприимчивого – зараженного – выздоровевшего – мертвого компьютерного червя» . Моделирование . 98 (3): 209–220. дои : 10.1177/00375497211009576 . ISSN 0037-5497 . S2CID 243976629 .
- ^ Лоутон, Джордж (июнь 2009 г.). «По следам червя Conficker». Компьютер . 42 (6): 19–22. дои : 10.1109/mc.2009.198 . ISSN 0018-9162 . S2CID 15572850 .
- ^ Рэй, Тирнан (18 февраля 2004 г.). «Бизнес и технологии: Вирусы электронной почты обвиняются в резком росте спама» . Сиэтл Таймс . Архивировано из оригинала 26 августа 2012 года . Проверено 18 мая 2007 г.
- ^ Маквильямс, Брайан (9 октября 2003 г.). «Масковое устройство, созданное для спамеров» . Проводной .
- ^ «Расследованы хакерские угрозы букмекерам» . Новости Би-би-си . 23 февраля 2004 г.
- ^ Бронк, Кристофер; Тикк-Рингас, Энекен (май 2013 г.). «Кибератака на Saudi Aramco». Выживание . 55 (2): 81–96. дои : 10.1080/00396338.2013.784468 . ISSN 0039-6338 . S2CID 154754335 .
- ^ Линдси, Джон Р. (июль 2013 г.). «Stuxnet и пределы кибервойны». Исследования безопасности . 22 (3): 365–404. дои : 10.1080/09636412.2013.816122 . ISSN 0963-6412 . S2CID 154019562 .
- ^ Ван, Гуанвэй; Пан, Хонг; Фан, Мингю (2014). «Динамический анализ предполагаемого вредоносного кода Stuxnet». Материалы 3-й Международной конференции по информатике и сервисным системам . Том. 109. Париж, Франция: Атлантис Пресс. дои : 10.2991/csss-14.2014.86 . ISBN 978-94-6252-012-7 .
- ^ «Список УСН» . Убунту . Проверено 10 июня 2012 г.
- ^ «Описание угрозы Email-Worm» . Архивировано из оригинала 16 января 2018 г. Проверено 25 декабря 2018 г.
- ^ «Email-Worm:VBS/LoveLetter Описание | F-Secure Labs» . www.f-secure.com .
- ^ «Информация о компьютерных червях и этапы их удаления» . Веракод. 2014-02-02 . Проверено 4 апреля 2015 г.
- ^ Селлке, Ш.; Шрофф, Северная Каролина; Багчи, С. (2008). «Моделирование и автоматизированное сдерживание червей». Транзакции IEEE для надежных и безопасных вычислений . 5 (2): 71–86. дои : 10.1109/tdsc.2007.70230 .
- ^ «Новый способ защиты компьютерных сетей от интернет-червей» . Новости . Проверено 5 июля 2011 г.
- ^ Москович, Роберт; Эловичи, Юваль; Рокач, Лиор (2008). «Обнаружение неизвестных компьютерных червей на основе поведенческой классификации хоста». Вычислительная статистика и анализ данных . 52 (9): 4544–4566. дои : 10.1016/j.csda.2008.01.028 . S2CID 1097834 .
- ^ Шох, Джон; Хапп, Джон (март 1982 г.). «Программы-черви — ранний опыт распределенных вычислений» . Коммуникации АКМ . 25 (3): 172–180. дои : 10.1145/358453.358455 . S2CID 1639205 .
- ^ «Вирусное предупреждение о черве Nachi» . Майкрософт.
- ^ «Укорени мой Року» . Гитхаб .
- ^ Аль-Саллум, ЗС; Вольтхузен, С.Д. (2010). «Самовоспроизводящийся агент обнаружения уязвимостей на канальном уровне». Симпозиум IEEE по компьютерам и коммуникациям . п. 704. дои : 10.1109/ISCC.2010.5546723 . ISBN 978-1-4244-7754-8 . S2CID 3260588 .
- ^ «Анти-черви vnunet.com борются с угрозой Code Red» . 14 сентября 2001 г. Архивировано из оригинала 14 сентября 2001 г.
- ^ Перейти обратно: а б с Червь Welchia . 18 декабря 2003 г. с. 1 . Проверено 9 июня 2014 г.
- ^ Эйкок, Джон (15 сентября 2022 г.). «Рисунок Интернета» . Леонардо . 42 (2): 112–113 – через MUSE.
Внешние ссылки
[ редактировать ]- Руководство по вредоносному ПО (архивная ссылка) – Руководство по пониманию, удалению и предотвращению заражения червями на Vernalex.com.
- «Программы-черви – ранний опыт распределенных вычислений» , Джон Шок и Джон Хапп, Communications of the ACM , том 25, выпуск 3 (март 1982 г.), стр. 172–180.
- «Дело об использовании многоуровневой защиты для остановки червей» , несекретный отчет Агентства национальной безопасности США (АНБ), 18 июня 2004 г.
- Worm Evolution (архивная ссылка), статья Джаго Манискальчи о цифровой угрозе, 31 мая 2009 г.