18-10-2023
Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе.Черви повреждают файлы и негативно влияют на работу компьютера.
Содержание |
"Fizzer" – многовекторный сетевой червь, распространяющимся по ресурсам интернета. Такое вредоносное программное обеспечение(ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером. [1]
Fizzer - сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.
Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.
ISERVC.EXE файл - главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:
и параллельно создает 2 файла в справочнике Windows:
ISERVC.DLL файл - регистрирующий ключ компонент и PROGOP.EXE. Перед рассылкой, червь повторно собирает свой файл, используя ото компонент.
Все ресурсы кроме первого зашифрованы и сжаты
Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот скрипт также управляет поведением червя в определенных условиях. Например, когда дата изменяется, регистрации червя из IRC, ждет в течение некоторого времени и затем регистрирует, въезжают задним ходом снова.[2]
Вредоносное ПО такого вида, как и обычное вредоносное ПО распространяется разными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО "Fizzer" сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного персонального компьютера (ПК). Чаще всего оно записывает собранную информацию в отдельный файл, который передается на сервер указанный владельцем данного вредоносного ПО. И как большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе. [3]
Nimda – компьютерный червь, являющийся файлом инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом/червем Интернета в течение 22 минут. Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова "admin", написанного справа налево.
Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-ого сентября 2001, и быстро распространялась во всем мире.
Nimda - сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE.Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.
Nimda - первый червь, который изменяет существующие веб-сайты, чтобы для загрузки зараженных файлов. Также это - первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет ресурсами, не имеющими системы зщиты. У червя есть текстовая строка авторского права, которая никогда не показывается:
Этот червь в 15:00 по Гринвичу 11-ого октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адресс отправителя электронных писем "mikko.hypponen@datafellows.com" относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен – менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.
Фактически Nimda состоит из четырех частей:
Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:
Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором комманд. Nimda имеет комманду, отправлять зараженные электронные письма, червь, хранит время, рассылки последней партии переданных электронных писем и каждые 10 дней повторяет процесс сбора адресов адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:
Распространение многовекторного червя в Файловой системе. Nimda создает многочисленные закодированные копии себя, при этом использует файлы с раширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена.
Многовекторный червь.