Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Эта статья о кодировании червя. Для устройства хранения данных см. « Записывать один раз, читать много» . Для использования в других целях, см червь (значения) .
Не путать с компьютерным вирусом .
Hex дамп от Blaster червя , показывая сообщения , оставленные для Microsoft генерального директора Билла Гейтса червем программист
Распространение червя Conficker
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

Компьютерный червь представляет собой автономный вредоносная компьютерная программа , которая размножается в целях распространения на другие компьютеры. [1] Он часто использует компьютерную сеть для распространения, полагаясь на ошибки безопасности на целевом компьютере для доступа к нему. Он будет использовать этот компьютер в качестве хоста для сканирования и заражения других компьютеров. Когда эти новые зараженные червем компьютеры находятся под контролем, червь будет продолжать сканировать и заражать другие компьютеры, используя эти компьютеры в качестве хостов, и такое поведение будет продолжаться. [2]Компьютерные черви используют рекурсивные методы, чтобы копировать себя без хост-программ и распространять себя по закону экспоненциального роста, таким образом контролируя и заражая все больше и больше компьютеров за короткое время. [3] Черви почти всегда наносят по крайней мере некоторый вред сети, даже если они только потребляют пропускную способность , тогда как вирусы почти всегда повреждают или изменяют файлы на целевом компьютере.

Многие черви предназначены только для распространения и не пытаются изменить системы, через которые они проходят. Однако, как показали червь Морриса и Mydoom , даже эти «лишенные полезной нагрузки» черви могут вызвать серьезные нарушения из-за увеличения сетевого трафика и других непредвиденных эффектов.

История [ править ]

Дискета с исходным кодом червя Морриса в Музее компьютерной истории

Фактический термин «червь» был впервые использован в романе Джона Бруннера 1975 года «Наездник на ударной волне» . В романе Николас Хафлингер разрабатывает и запускает червя для сбора данных, чтобы отомстить влиятельным людям, которые управляют национальной электронной информационной сетью, побуждающей к массовому подчинению. «У вас самый большой червь в сети, и он автоматически саботирует любую попытку слежения за ним. Никогда не было червя с такой твердой головой или таким длинным хвостом!» [4]

Первый компьютерный червь был разработан как антивирус. Названный Reaper , он был создан Рэем Томлинсоном для репликации через ARPANET и удаления экспериментальной программы Creeper . 2 ноября 1988 года Роберт Таппан Моррис , аспирант по информатике Корнельского университета , распространил то, что стало известно как червь Морриса , нарушивший работу многих компьютеров в Интернете, которые, как предполагалось, составляли одну десятую всех подключенных к сети. [5] Во время процесса апелляции Морриса Апелляционный суд США оценил стоимость удаления червя из каждой установки в сумму от 200 до 53 000 долларов; эта работа подтолкнула к формированиюКоординационный центр CERT [6] и список рассылки Phage. [7] Сам Моррис стал первым человеком, которого судили и осудили в соответствии с Законом 1986 года о компьютерном мошенничестве и злоупотреблениях . [8]

Особенности [ править ]

Независимость

Компьютерные вирусы обычно требуют наличия основной программы. [9] Вирус записывает свой код в хост-программу. Когда программа запускается, сначала выполняется записанная вирусная программа, вызывая заражение и повреждение. Червю не нужна основная программа, так как это независимая программа или фрагмент кода. Следовательно, он не ограничен основной программой , но может работать независимо и активно проводить атаки. [10] [11]

Атаки с использованием эксплойтов

Поскольку червь не ограничен программой хоста, черви могут использовать различные уязвимости операционной системы для проведения активных атак. Например, вирус « Nimda » использует уязвимости для атаки.

Сложность

Некоторые черви сочетаются со сценариями веб-страниц и скрываются на HTML- страницах с помощью VBScript , ActiveX и других технологий. Когда пользователь обращается к веб-странице, содержащей вирус, вирус автоматически сохраняется в памяти и ожидает срабатывания. Также существуют черви, которые сочетаются с бэкдор- программами или троянскими конями , например, « Code Red ». [12]

Заразительность

Черви более заразны, чем традиционные вирусы. Они заражают не только локальные компьютеры, но и все серверы и клиенты в сети на базе локального компьютера. Черви могут легко распространяться через общие папки , электронную почту , вредоносные веб-страницы и серверы с большим количеством уязвимостей в сети. [13]

Вред [ править ]

Любой код, предназначенный не только для распространения червя, обычно называют « полезной нагрузкой ». Типичные вредоносные полезные нагрузки могут удалять файлы в хост-системе (например, червь ExploreZip ), шифровать файлы при атаке программы- вымогателя или извлекать данные, такие как конфиденциальные документы или пароли. [ необходима цитата ]

Некоторые черви могут устанавливать бэкдор . Это позволяет автору червя дистанционно управлять компьютером как « зомби ». Сети таких машин часто называют ботнетами и очень часто используются для ряда злонамеренных целей, включая рассылку спама или выполнение DoS- атак. [14] [15] [16] [17] [18] [ чрезмерное цитирование ]

Некоторые специальные черви целенаправленно атакуют промышленные системы. Stuxnet в основном передавался через локальные сети и зараженные флэш-накопители, поскольку его цели никогда не были подключены к ненадежным сетям, таким как Интернет. Этот вирус может уничтожить основное компьютерное программное обеспечение для управления производством, используемое химическими компаниями, производителями электроэнергии и компаниями по передаче электроэнергии в разных странах по всему миру - в случае Stuxnet больше всего пострадали Иран, Индонезия и Индия - он использовался для «выдачи заказов» другим оборудования на заводе и скрыть эти команды от обнаружения. Stuxnet использовал несколько уязвимостей и четыре различных эксплойта нулевого дня (например: [1] ) в системах Windows и Siemens SIMATICWinCC.системы для атаки на встроенные программируемые логические контроллеры промышленных машин. Хотя эти системы работают независимо от сети, если оператор вставляет зараженный вирусом диск в интерфейс USB системы, вирус сможет получить контроль над системой без каких-либо других требований к работе или запросов. [19] [20] [21]

Контрмеры [ править ]

Черви распространяются путем использования уязвимостей в операционных системах. Поставщики, у которых есть проблемы с безопасностью, поставляют регулярные обновления безопасности [22] (см. « Вторник исправлений »), и если они установлены на машину, то большинство червей не сможет распространиться на нее. Если уязвимость раскрывается до выпуска исправления безопасности, выпущенного поставщиком, возможна атака нулевого дня .

Пользователи должны опасаться открытия неожиданных сообщений электронной почты [23] [24] и не должны запускать прикрепленные файлы или программы или посещать веб-сайты, связанные с такими сообщениями электронной почты. Однако, как и в случае с червем ILOVEYOU , а также с ростом числа и эффективности фишинговых атак, остается возможным обманом заставить конечного пользователя запустить вредоносный код.

Антивирусное и антишпионское программное обеспечение полезно, но его необходимо обновлять, добавляя новые файлы шаблонов, по крайней мере, каждые несколько дней. Также рекомендуется использовать брандмауэр .

Пользователи могут минимизировать угрозу, создаваемую червями, обновляя операционную систему и другое программное обеспечение своих компьютеров, избегая открытия нераспознанных или неожиданных сообщений электронной почты и используя брандмауэр и антивирусное программное обеспечение. [25]

Методы смягчения последствий включают:

  • ACL в маршрутизаторах и коммутаторах
  • Пакетные фильтры
  • Демоны сетевых служб с TCP Wrapper / ACL
  • Nullroute

Иногда инфекции можно обнаружить по их поведению - обычно случайное сканирование Интернета в поисках уязвимых хостов для заражения. [26] [27] Кроме того, методы машинного обучения могут использоваться для обнаружения новых червей путем анализа поведения подозреваемого компьютера. [28]

Черви с добрыми намерениями [ править ]

Полезным червь или анти-червь является червь разработан , чтобы сделать что - то , что его автор чувствует себя полезным, хотя и не обязательно с разрешения владельца Исполнит компьютера. Начиная с первого исследования червей в Xerox PARC , были попытки создать полезных червей. Эти черви позволили Джону Шочу и Джону Хаппу протестировать принципы работы Ethernet в своей сети компьютеров Xerox Alto [ необходима цитата ] . Точно так же, Нати семейство червей пытались загрузить и установить патчи с сайта компании Microsoft для исправления уязвимостей в хост - системе, эксплуатируя те же уязвимости.[29] На практике, хотя это могло сделать эти системы более безопасными, оно генерировало значительный сетевой трафик, перезагружало машину в процессе установки исправлений и выполняло свою работу без согласия владельца или пользователя компьютера. Независимо от их полезной нагрузки или намерений авторов, эксперты по безопасности рассматривают всех червей как вредоносное ПО .

Несколько червей, в том числе некоторые XSS-черви , были написаны для исследования того, как распространяются черви, например, последствий изменений в социальной активности или поведении пользователей. [ необходима цитата ] В одном исследовании было предложено то, что кажется [ ласковыми словами ] первым компьютерным червем, который работает на втором уровне модели OSI (уровень канала передачи данных), используя информацию о топологии, такую ​​как таблицы с адресуемой памятью (CAM) и Spanning Информация о дереве, хранящаяся в коммутаторах, распространяется и исследует уязвимые узлы, пока не будет покрыта корпоративная сеть. [30]

Античервяки использовались для борьбы с эффектами червей Code Red , [31] Blaster и Santy . Welchia - пример полезного червя. [32] Используя те же недостатки, что и червь Blaster , Welchia заразила компьютеры и автоматически начала загружать обновления безопасности Microsoft для Windows без согласия пользователей. Welchia автоматически перезагружает зараженные компьютеры после установки обновлений. Одним из этих обновлений был патч, исправляющий эксплойт. [32]

Другими примерами полезных червей являются «Den_Zuko», «Cheeze», «CodeGreen» и «Millenium». [32]

См. Также [ править ]

  • BlueKeep
  • Ботнет
  • Код Шикара (Червь)
  • Компьютерное и сетевое наблюдение
  • Компьютерный вирус
  • Электронный спам
  • Дед Мороз (компьютерный червь)
  • Самовоспроизводящаяся машина
  • Мошенничество со службой технической поддержки - нежелательные телефонные звонки от фальшивого сотрудника службы технической поддержки, утверждающего, что на компьютере есть вирус или другие проблемы.
  • Хронология компьютерных вирусов и червей
  • Троянский конь (вычисления)
  • XSS-червь
  • Зомби (информатика)

Ссылки [ править ]

  1. ^ Барвайз, Майк. "Что такое интернет-червь?" . BBC . Проверено 9 сентября 2010 года .
  2. ^ Чжан, Чангван; Чжоу, Ши; Цепь, Бенджамин М. (2015-05-15). «Гибридные эпидемии - пример компьютерного червя Conficker» . PLOS ONE . 10 (5): e0127478. arXiv : 1406.6046 . Bibcode : 2015PLoSO..1027478Z . DOI : 10.1371 / journal.pone.0127478 . ISSN 1932-6203 . PMC 4433115 . PMID 25978309 .   
  3. ^ Марион, Жан-Ив (2012-07-28). «От машин Тьюринга до компьютерных вирусов» . Философские труды Королевского общества A: математические, физические и инженерные науки . 370 (1971): 3319–3339. Bibcode : 2012RSPTA.370.3319M . DOI : 10,1098 / rsta.2011.0332 . ISSN 1364-503X . PMID 22711861 .  
  4. ^ Бруннер, Джон (1975). Наездник ударной волны . Нью-Йорк: Ballantine Books. ISBN 978-0-06-010559-4.
  5. ^ «Подводная лодка» .
  6. ^ «Безопасность Интернета» . CERT / CC .
  7. ^ "Список рассылки Phage" . securitydigest.org.
  8. ^ Дресслер, Дж. (2007). "Соединенные Штаты против Морриса". Дела и материалы по уголовному праву . Сент-Пол, Миннесота: Томсон / Вест. ISBN 978-0-314-17719-3.
  9. ^ [+ https://www.avast.com/c-worm-vs-virus «Компьютерный вирус против червя: в чем разница? | Avast»] Проверить значение ( справка ) .|url=
  10. Йео, Сан-Су. (2012). Информатика и ее приложения: CSA 2012, Чеджу, Корея, 22-25.11.2012 . Springer. п. 515. ISBN 978-94-007-5699-1. OCLC  897634290 .
  11. ^ Ю, Вэй; Чжан, Нан; Фу, Синьвэнь; Чжао, Вэй (октябрь 2010 г.). «Самодисциплинарные черви и контрмеры: моделирование и анализ». Транзакции IEEE в параллельных и распределенных системах . 21 (10): 1501–1514. DOI : 10.1109 / tpds.2009.161 . ISSN 1045-9219 . S2CID 2242419 .  
  12. ^ Брукс, Дэвид Р. (2017), «Введение в HTML», Программирование в HTML и PHP , Темы для студентов в области компьютерных наук, Springer International Publishing, стр. 1–10, doi : 10.1007 / 978-3-319-56973-4_1 , ISBN 978-3-319-56972-7
  13. ^ Лоутон, Джордж (июнь 2009 г.). «По следу червя Conficker». Компьютер . 42 (6): 19–22. DOI : 10.1109 / mc.2009.198 . ISSN 0018-9162 . S2CID 15572850 .  
  14. Рэй, Тирнан (18 февраля 2004 г.). «Бизнес и технологии: количество вирусов электронной почты, обвиняемых в спаме, резко возрастает» . Сиэтл Таймс . Архивировано из оригинального 26 августа 2012 года . Проверено 18 мая 2007 года .
  15. Перейти ↑ McWilliams, Brian (9 октября 2003 г.). «Маскирующее устройство, созданное для спамеров» . Проводной .
  16. ^ "Интернет-червь Mydoom, вероятно, из России, связанный со спамом: охранная фирма" . www.channelnewsasia.com . 31 января 2004 года Архивировано из оригинала на 2006-02-19.
  17. ^ «Обнаружено: трояны как роботы-спамеры» . Hiese онлайн . 21 февраля 2004 г. Архивировано из оригинала на 2009-05-28 . Проверено 2 ноября 2012 .
  18. ^ "Хакерские угрозы букмекерам исследованы" . BBC News . 23 февраля 2004 г.
  19. ^ Бронк, Кристофер; Тикк-Рингас, Энекен (май 2013 г.). «Кибератака на Saudi Aramco». Выживание . 55 (2): 81–96. DOI : 10.1080 / 00396338.2013.784468 . ISSN 0039-6338 . S2CID 154754335 .  
  20. Линдси, Джон Р. (июль 2013 г.). «Stuxnet и пределы кибервойны». Исследования безопасности . 22 (3): 365–404. DOI : 10.1080 / 09636412.2013.816122 . ISSN 0963-6412 . S2CID 154019562 .  
  21. ^ Ван, Гуанвэй; Пан, Хонг; Вентилятор, Мингю (2014). «Динамический анализ подозреваемого вредоносного кода Stuxnet» . Труды 3-й Международной конференции по компьютерным наукам и системам обслуживания . Париж, Франция: Atlantis Press. DOI : 10,2991 / CSSS-14.2014.86 . ISBN 978-94-6252-012-7.
  22. ^ "Список USN" . Ubuntu . Проверено 10 июня 2012 .
  23. ^ «Описание угрозы Email-Worm» . Архивировано из оригинала на 2018-01-16 . Проверено 25 декабря 2018 .
  24. ^ Описание угрозы Электронный червь: VBS / LoveLetter
  25. ^ «Информация о компьютерном черве и шаги по удалению» . Veracode. 2014-02-02 . Проверено 4 апреля 2015 .
  26. ^ Sellke, SH; Шрофф, Н.Б .; Багчи, С. (2008). «Моделирование и автоматическое сдерживание червей». Транзакции IEEE о надежных и безопасных вычислениях . 5 (2): 71–86. DOI : 10.1109 / tdsc.2007.70230 .
  27. ^ «Новый способ защиты компьютерных сетей от интернет-червей» . Newswise . Проверено 5 июля 2011 года .
  28. Москович, Роберт; Еловичи, Юваль; Рокач, Лиор (2008). «Обнаружение неизвестных компьютерных червей на основе поведенческой классификации хоста». Вычислительная статистика и анализ данных . 52 (9): 4544–4566. DOI : 10.1016 / j.csda.2008.01.028 .
  29. ^ "Вирусное предупреждение о черве Nachi" . Microsoft.
  30. ^ Аль-Саллум, ZS; Wolthusen, SD (2010). «Самовоспроизводящийся агент обнаружения уязвимостей на канальном уровне». Симпозиум IEEE по компьютерам и коммуникациям . п. 704. DOI : 10,1109 / ISCC.2010.5546723 . ISBN 978-1-4244-7754-8. S2CID  3260588 .
  31. ^ 'Anti-worms' борются с угрозой Code Red (архив в Интернет-архиве 14 сентября 2001 г.)
  32. ^ a b c Велчийский червь . 18 декабря 2003 г. с. 1 . Проверено 9 июня 2014 .

Внешние ссылки [ править ]

  • Руководство по вредоносным программам  - Руководство для понимания, удаления и предотвращения заражения червями на Vernalex.com.
  • «Программы-черви - ранний опыт работы с распределенными вычислениями» , Джон Шоч и Джон Хапп, Сообщения ACM , том 25, выпуск 3 (март 1982 г.), стр. 172–180.
  • «Случай использования многоуровневой защиты для остановки червей» , несекретный отчет Агентства национальной безопасности США (АНБ), 18 июня 2004 г.
  • Эволюция червя [ постоянная мертвая ссылка ] , доклад Джаго Манискальчи о цифровой угрозе, 31 мая 2009 г.