Червь-шпион

Червь Spybot — это большое семейство компьютерных червей с различными характеристиками. Хотя фактическое количество версий неизвестно, по оценкам, оно исчисляется тысячами. На какое-то время он стал рекордсменом для большинства вариантов, но впоследствии его превзошло семейство Агоботов . ^{[ 1 ] [ 2 ]}

Варианты Spybot обычно имеют несколько общих черт:

• Возможность распространения через P2P программу KaZaA , зачастую в дополнение к другим подобным программам.
• Возможность распространения как минимум через уязвимость в операционной системе Windows . В более ранних версиях в основном использовалось переполнение буфера RPC DCOM , хотя сейчас некоторые используют переполнение буфера LSASS .
• Способность распространяться через различные распространенные бэкдорные трояны .
• Возможность распространения на системы со слабыми административными паролями.

Поскольку для семейства Spybot не существует стандарта обнаружения и классификации, не существует и стандартного соглашения об именах. Из-за отсутствия стандартных соглашений об именах и общих функций варианты червя Spybot часто можно путать с Agobot и IRCBot червями семейства . Большинство антивирусных программ обнаруживают варианты в целом (например, W32/Spybot.worm), и определить, какой конкретный вариант Spybot указан, практически невозможно, за исключением самых ранних или наиболее распространенных версий.

Из-за большого количества вариантов одна антивирусная компания часто не может распознать и удалить все версии червя. То же самое относится и к большинству антишпионских программ.

На раннем этапе обнаружения червя Spybot обычно сетевые инженеры обнаруживают атаку типа «отказ в обслуживании», возникающую, когда червь пытался связаться с различными IRC- каналами.

Хакеры время от времени используют червя для создания программ легкого доступа для каналов FTP и IRC.