Вирусы сетевые черви. Вирус-червь

В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин " сетевой червь ".

Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом .

Жизненный цикл червей состоит из таких стадий:

Проникновение в систему
Активация
Поиск объектов для заражения
Подготовка копий
Распространение копий

В зависимости от способа проникновения в систему черви делятся на типы:

Сетевые черви используют для распространения локальные сети и Интернет
Почтовые черви - распространяются с помощью почтовых программ
IM-черви используют системы мгновенного обмена сообщениями 2IM (от англ. Instant Messenger - мгновенный обмен сообщениями) - программы обмена сообщениями через Интернет в режиме реального времени. Сообщения могут содержать наряду с текстом картинки, звуковые файлы, видео. К IM-клиентам относятся такие программы как ICQ, MSN Messenger, Skype
IRC-черви распространяются по каналам IRC 3IRC (от англ. Internet Relay Chat - ретранслируемый интернет-чат) - система обмена сообщениями в режиме реального времени. Создана в 1988 году финским студентом Ярко Ойкариненом (Jarkko Oikarinen). На сегодняшний день самый популярный IRC-клиент - это mIRC
P2P-черви - при помощи пиринговых файлообменных сетей 4P2P (от англ. peer-to-peer - равный с равным) - это одноранговые (их иногда называют также пиринговыми) компьютерные сети, то есть такие, где отсутствуют выделенные сервера, а все входящие в нее компьютеры выступают в двух ролях - и клиентом, и сервером. Такие сети в основном используются для организации обмена файлами, обычно музыкой и фильмами, а также для решения особо сложных математических задач, требующих много ресурсов. Наиболее известные пиринговые сети - это eDonkey и Gnutella

После проникновения на компьютер , червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл , но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.

Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).

Трояны

Трояны или программы класса троянский конь , в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Троян (троянский конь) - программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе .

Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет .

Следовательно, жизненный цикл троянов состоит всего из трех стадий:

Проникновение в систему
Активация
Выполнение вредоносных действий

Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение , которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет ) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.

После проникновения на компьютер , трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.

Поскольку главная цель написания троянов - это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки:

Клавиатурные шпионы , постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору.
Похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат.
Утилиты скрытого удаленного управления - это трояны, которые обеспечивают несанкционированный удаленный контроль над инфицированным компьютером. Перечень действий, которые позволяет выполнять тот или иной троян, определяется его функциональностью, заложенной автором. Обычно это возможность скрыто загружать, отсылать, запускать или уничтожать файлы. Такие трояны могут быть использованы как для получения конфиденциальной информации, так и для запуска вирусов, уничтожения данных.
Анонимные SMTP-сервера 5Для передачи электронных писем в сетях, подобных Интернет, используется определенный протокол, называемый SMTP (от англ. Simple Mail Transfer Protocol - простой протокол передачи почты). Соответственно, почтовый сервер, который принимает и отправляет почту по этому протоколу, называется SMTP-сервером и прокси-сервера 6Прокси-сервер (от англ. Proxy - заместитель, уполномоченный) - это сервер-посредник, в чьи задачи входит обрабатывание запросов, поступающих из своей сети, на получение информации, расположенной вне ее - такие трояны на зараженном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама.
Утилиты дозвона в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет.
Модификаторы настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п.
Логические бомбы характеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.

Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы - организаторы DDoS-атак.

Другие вредоносные программы

Кроме вирусов, червей и троянов существует еще множество других вредоносных программ, для которых нельзя привести общий критерий. Однако среди них можно выделить небольшие группы. Это в первую очередь :

Условно опасные программы , то есть такие, о которых нельзя однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя. К ним относятся:
- Riskware 7Riskware (сокращение от англ. Risk Software) - опасное программное обеспечение - вполне легальные программы, которые сами по себе не опасны, но обладают функционалом, позволяющим злоумышленнику использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей и другие.
- Рекламные утилиты (adware) 8Аdware (сокращение от англ. Advertisement Software) - рекламное программное обеспечение - условно-бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров. После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме. Проблема adware кроется в механизмах, которые используются для загрузки рекламы на компьютер. Кроме того, что для этих целей часто используются программы сторонних и не всегда проверенных производителей, даже после регистрации такие модули могут автоматически не удаляться и продолжать свою работу в скрытом режиме. Однако среди adware-программ есть и вполне заслуживающие доверия - например, клиент ICQ.
- Pornware 9Pornware (сокращение от англ. Porno Software) - порнографическое программное обеспечение - к этому классу относятся утилиты, так или иначе связанные с показом пользователям информации порнографического характера. На сегодняшний день это программы, которые самостоятельно дозваниваются до порнографических телефонных служб, загружают из Интернет порнографические материалы или утилиты, предлагающие услуги по поиску и показу такой информации. Отметим, что к вредоносным программам относятся только те утилиты класса pornware, которые устанавливаются на компьютер пользователя несанкционированно - через уязвимость в операционной системы или браузера или при помощи троянов. Обычно это делается с целью насильственного показа рекламы платных порнографических сайтов или служб.
Хакерские 10Сейчас хакерами (от англ. жарг. hack - рубить, кромсать) обычно называют людей, способных проникнуть в чужую компьютерную сеть с целью кражи какой-либо важной информации или системных ресурсов. Однако изначально, на заре компьютерной эры, этот термин был придуман для обозначения компьютерных гениев, способных, например, переписать операционную систему или обойти всеми забытый администраторский пароль к ней утилиты - К этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов), автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (конструкторы вирусов), наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (RootKit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры.
Злые шутки 11используются термины Hoax (англ. ложь, обман) и Bad-Joke (англ. плохая шутка) - программы, которые намеренно вводят пользователя в заблуждение путем показа уведомлений, например, форматировании диска или обнаружении вирусов, хотя на самом деле ничего не происходит. Текст таких сообщений целиком и полностью отражает фантазию автора.

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm - почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IM-Worm - черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm - черви в IRC-каналах

У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ - отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm - прочие сетевые черви

Существуют прочие способы заражения удаленных компьютеров, например:

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm - черви для файлообменных сетей

Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно - при этом червь предлагает для скачивания свою копию.

Они представляют из себя специфический, особый тип вирусов. Средой существования обычных зловред является файловая система, а черви попадают на наши устройства через сеть. К тому же попасть в ПК они могут не только посредством электронной почты или интернета, им подвластны и другие Поэтому темой этой статьи и являются сетевые черви и защита от них. Ведь они проникают и через сети операторов мобильной сети, и локальные LAN-сети, и IRC-сети для чатов, и сети P2P, предназначенные для прямого обмена файлами между пользователями напрямую, и сети служб, используемых для обмена мгновенными сообщениями.

Немного из истории сетевых червей

Первая информация об их действии появилась в 1978 году. Йон Хупп и Джон Шоч, программисты компании Ксерокс, задались вопросом о сборе и обработке информации со всех компьютеров на один, центральный. Через какое-то время каждый ПК компании, обработав нужный объем работы, передавал результат программе, которую написали наши программисты, а она, все время находясь в локальной сети, обработав данные, отправляла их на центральный компьютер. Совсем быстро друзья потеряли контроль над своей программой и долго не могли понять в чем дело.

Появился неконтролируемый траффик, затем была заблокирована вся сеть. Исследовав проблему, программисты и обнаружили разновидность вирусов, которые и получили название вирусы сетевые. Компьютерные пользователи старшего возраста должны также помнить w32.Blaster.worm - червя, который заражал Windows от 2000 до XP и не пускал в интернет, перезагружая компьютер. В ноябре 1988 года получил известность “Червь Морриса”, заразивший 10% всех мировых компьютеров из-за небольшой ошибки автора кода. Целую недели эти ПК не функционировали, нанеся ущерб порядка 100 миллионов долларов. Поэтому такая тема, как сетевые черви и защита от них, очень важная и ее значимость со временем только увеличивается.

Типы сетевых червей и их пути в компьютер

Какие же задачи у этих зловред? Второстепенные - проникнуть в ваше устройство, активироваться в нем и начать размножаться, но уже не только в вашем ПК. Отсюда и основная задача - через сеть обязательно пролезть в устройства других людей. Какие же они есть, их типы? Основная часть этого особого вируса - почтовые черви, попадающие в компьютер с файлом, прикрепленным к электронному письму. Пользователь сам его и активирует, пытаясь открыть. Особо это относится к неопытным компьютерщикам, которые не замечают ничего подозрительного в расширении запускаемого файла, так как часто видно только ложное.

Поэтому всегда нужно выполнять старую рекомендацию - не реагировать на письма от неизвестных людей. Активировавшись, вирусы сетевые находят на устройстве электронные адреса и отправляют им копию себя любимого. Подобным способом черви “расползаются” и через IRC-клиенты, и ICQ, и другие подобные мессенджеры. Иногда они проникают в ПК из-за брешей в операционной системе, программном обеспечении и браузерах. Есть и другие виды сетевых червей: IRC-черви, P2P-черви и IM-черви. Думаем, уже с названий понятно, чем они занимаются и как попадают в ПК.

Другие задачи сетевых червей и их признаки на компьютере

Их принцип действия схож с деятельностью некоторого другого вредоносного ПО, например, Выполнив свою основную задачу, они начинают выполнять другие задачи. Среди них: установка программ для управления (удаленного) зараженным компьютером, воровство данных, их уничтожение, то есть все то, на что их запрограммировал создатель.

Но даже без этих дополнительных действий на устройстве увеличивается объем траффика, падает производительность, нагружаются каналы связи. Это и является явным признаком наличия червя в системе. Если блокируется работа антивируса, то это еще один факт, на который нужно обратить внимание. Может даже быть заблокирован доступ к сайтам антивирусного ПО.

Как же защищаться от сетевых червей?

Мы с вами достаточно хорошо рассмотрели первую часть выражения - сетевые черви и защита от них, теперь приступим ко второй. Хотим сразу же предупредить, что обычный антивирус, имеющий базовый функционал, особо вам не поможет, в лучшем случае выявит сам факт угрозы и заблокирует ее. Но это не помешает очередной компании зловред лезть к вам через сеть снова. Но если ваш ПК подключен к сети, хороший антивирус - необходимое условие его работы.

Защита от сетевых червей входит и в функционал самой операционной системы. Она обладает инструментами для этого, которые, как минимум, значительно снижают риски заражения. Основной из них - автоматическое обновление ОС и активированный файервол/брандмауэр. В пиратских сборках это часто отключено, что чревато серьезными проблемами. Ведь именно файервол проверяет все данные, поступающие на компьютер сети, и решает, пропускать их или нет.

Сторонняя защита от сетевых червей

Для того чтобы усилить защиту компьютера от сетевых червей, хакерских червей и других вирусов, рекомендуется установить в качестве альтернативного решения брандмауэр стороннего разработчика. Такие программы, благодаря более узкой направленности, имеют более гибкие настройки. У пользователей популярностью пользуются: Comodo Firewall - полностью бесплатное ПО и Outpost Firewall Pro - платное.

Для того чтобы быть постоянно в куре всех новинок борьбы с новой “заразой”, советуем обратиться к ресурсу viruslist ru. Сетевые черви там все наперечет, появление новых отслеживается, и вы сразу же об этом узнаете. Кстати, помимо известных антивирусов, черви блокируют доступ и к ресурсу VirusInfo, который имеет сервис для бесплатного лечения устройств от различных инфекций.

Выводы

Кратко совместим в нескольких предложениях весь жизненный цикл развития сетевых червей:

Проникновение в вашу систему.
Важный пункт - активация.
Поиск потенциальных жертв.
Производство и подготовка копий.

Дальнейшее распространений копий.

Теперь делайте выводы. Надеемся, что вы уже хорошо поняли, что такое сетевые черви, и защита от них реальна на самом первом этапе. Тогда не будет никаких проблем. Так что защищайте свой компьютер от проникновения угрозы, и не придется затем тратить много усилий на борьбу с последствиями.

проникновения на удаленные компьютеры;

запуска своей копии на удаленном компьютере;

дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (Р2Р) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными ПК) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FТР-ресурсе в IСQ- и IRC-сообщениях, файл в каталоге обмена Р2Р и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память ПК и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигураций сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классификация сетевых червей

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия червей между собой являются способы запуска копии червя на заражаемом компьютере, метод внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm - почтовые черви

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

Прямое подключение к SМТР-серверу, используя встроенную в код червя почтовую библиотеку;

Использование сервисов МS Оutlоок;

Использование функций МАРI.

Рассылают себя по всем адресам, обнаруженным в адресной книге МS Оutlоок;

· считывает адреса из адресной базы WАВ;

Сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;

· отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

IМ-Worm - черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа сообщений содержащих URL на файл, расположенный на каком-либо сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm - черви в IRC -каналах Они, как и почтовые черви, имеют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm - прочие сетевые черви

Существуют прочие способы заражения удаленных компьютеров, например:

копирование червя на сетевые ресурсы;

проникновение червя на компьютер через уязвимости в ОС и приложениях;

проникновение в сетевые ресурсы публичного использования;

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены).

При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FТР-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на компьютеры в сети.

Р2Р-Worm - черви для файлообменных сетей

Механизм работы большинства подобных червей достаточно прост - для внедрения в Р2Р-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса Р2Р-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные Р2Р-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно - при этом червь предлагает для скачивания свою копию.

Самостоятельно распространяющейся через локальные и глобальные компьютерные сети.

Энциклопедичный YouTube

1 / 5

✪ 100% удаление любого вируса: трояна, руткита, вымогателя, шпионской программы ☣️🛡️💻

✪ Как хакеры сорвали иранскую ядерную программу

✪ САМЫЕ ОПАСНЫЕ КОМПЬЮТЕРНЫЕ ВИРУСЫ ВСЕХ ВРЕМЁН

✪ Как Проверить Открыт ли Порт средствами Windows

✪ Malwarebytes и Malwarebytes AdwCleaner стоит ли использовать?

Субтитры

Всем привет! Это видео о том, как удалить с компьютера Троянскую программу, вирус кейлогер или любой другой тип вирусов или вредоносных программ. В одном из предыдущих видео мы уже рассматривали то, как удалить вирусы с компьютера или ноутбука с Windows 10, 8 или 7, ссылка него есть в описании. Симптомами заражения компьютера именно Троянской программой, являются несанкционированные пользователем удаление, блокирование, изменение или копирование данных, а также ощутимое замедление работы компьютеров и компьютерных сетей. Кроме этого, Трояны могут быть причиной нестабильной работы или зависания некоторых программ или Сети и Интернета. О том, что делать если браузер не открывает страницы, в то время как другие приложения не имеют проблем с доступом к Интернет, мы уже детально рассматривали в одном из предыдущих видео нашего канала, ссылка в описании. Конечно же, первым, что необходимо сделать в случае обнаружения на ПК признаков наличия Троянских программ, кейлогера или других вирусов – это проверить компьютер с помощью антивирусных программ. Рейтинг лучших бесплатных антивирусов мы уже показывали в одном из наших роликов. Поэтому повторно рассматривать его мы не будем. Ссылку на данный ролик вы найдёте в описании. Второе, отключите компьютер от интернета и очистите планировщик заданий Windows от вирусов и вредоносных программ. Ссылка на видео о том, как это сделать в описании. Третье, удалите все возможные вредоносные программы с вашего компьютера используя меню Программы и компоненты. Ссылка на ролик с инструкцией в описании. Четвёртое, очистите автозагрузку системы от запуска вредоносных процессов. Детальная инструкция с руководством действия описана нами в ролике, ссылка на который в описании. Если описанные способы не принесли желаемого результата, а вы знаете в какой папке расположен файл троянской или другой вредоносной программы, то его можно попытаться удалить вручную. Для этого просто выделите его и удалите, очистив после этого Корзину. Но часто бывает, что при попытке удаления файла или папки с вредоносным ПО, они не удаляются. Пользователь получает сообщение о том, что файл или папка защищены от записи или удаления и к ним отсутствует доступ. В таком случае, рекомендуем посмотреть ролик с инструкцией, как обойти такую блокировку и удалить желаемый файл или папку. Ссылка на ролик в описании. Хочу обратить ваше внимание, что прежде чем приступить к удалению вирусов на ПК, лучше отключить его от интернета. Если ни один из способов не поможет удалить вредоносную программу и восстановить нормальную работу системы, то сделать это можно с помощью отката системы к созданной раннее точки восстановления или, в самом крайнем случае, осуществив чистую установку Windows. Ссылки на соответствующие ролики с детальными инструкциями вы найдёте в описании. Чистая установка Windows 10 на компьютер или ноутбук с загрузочной флешки или диска. Как создать, удалить точку восстановления или откатить систему Windows 10. В завершение хочу сказать, чтобы предотвратить заражение компьютера вирусами и атаки троянских программ: Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса. Проверяйте все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков. Установите антивирусную программу и регулярно используйте её для проверки компьютера. Настройте автоматическое сканирование компьютера при каждом включении ПК и при подключении внешнего носителя информации. Основным средством защиты информации является резервное копирование ценных данных, которые хранятся на жестких дисках Не этом всё. Ставьте лайки и подписывайтесь на канал, если данное видео было полезным для Вас. Всем спасибо за просмотр, удачи.

История

Ранние эксперименты по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год » Дэвида Герролда (1972), в котором были описаны червеподобные программы, и «На ударной волне» (англ. ) Джона Браннера (1975), где вводится сам термин.

Одним из наиболее известных компьютерных червей является «Червь Морриса », написанный в 1988 г. Робертом Моррисом -младшим, который был в то время студентом Корнеллского Университета. Распространение червя началось 2 ноября, после чего червь быстро заразил примерно 6200 компьютеров (это около 10% всех компьютеров, подключённых в то время к Интернету).

Механизмы распространения

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. червь Морриса использовал известные на тот момент уязвимости в программном обеспечении, а именно в почтовом сервере sendmail, сервисе finger и подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
Используя средства так называемой социальной инженерии , провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы - например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы .

Скорость распространения

Скорость распространения сетевого червя зависит от многих факторов: от топологии сети, алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий. Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP , то есть, с любого IP-адреса на любой другой, характерно стремительное распространение.

При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты. Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование "блицкриг-червя". Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование "червь Уорхола" - в честь Энди Уорхола , автора изречения: "в будущем каждый получит шанс на 15 минут славы". Эпидемия червя SQL Slammer , заразившего в 2003 г. более 75000 серверов за 10 минут, была близка к этой модели распространения.

Тем не менее, подавляющее большинство червей используют гораздо менее эффективные алгоритмы. Экземпляры типичного червя ищут уязвимые узлы сети методом проб и ошибок - случайным образом. В этих условиях кривая его размножения соответствует решению дифференциального уравнения Ферхюльста и приобретает "сигмовидный" характер. Корректность такой модели была подтверждена в 2001 году во время эпидемии червя CodeRed II . За 28 часов червь заразил около 350000 узлов сети, причем в последние часы скорость его распространения была довольно мала - червь постоянно "натыкался" на ранее уже зараженные узлы.

В условиях активного противодействия со стороны антивирусов, удаляющих экземпляры червя и вакцинирующих систему (т.е. делающих её неуязвимой), кривая эпидемии должна соответствовать решению системы уравнений Кермака-Маккендрика с острым, почти экспоненциальным началом, достижением экстремума и плавным спадом, который может продолжаться неделями. Такая картина, действительно, наблюдается в реальности для большинства эпидемий.

Вид кривых размножения для червей, использующих почтовые протоколы , выглядит примерно так же, но общая скорость их распространения на несколько порядков ниже. Связано это с тем, что "почтовый" червь не может напрямую обратиться к любому другому узлу сети, а только к тому, почтовый адрес которого присутствует на зараженной машине (например, в адресной книге почтового клиента Outlook Express). Продолжительность "почтовых" эпидемий может достигать нескольких месяцев.

Структура

Черви могут состоять из различных частей.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак, рассылки спама или (с недавнего времени) майнинга криптовалют.

Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты . Рассматривается также способ защиты от сетевых червей на основе "кредитов доверия" . Ряд преимуществ дает применение межсетевых экранов и подобных им утилит (например, Windows Worms Doors Cleaner)