Как сетевые черви проникают на компьютер

Обновлено: 04.07.2024

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия.

Содержание

Основным признаком, по которому черви различаются между собой, является способ распространения червя. Другими признаками различия являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Виды червей

В зависимости от путей проникновения в операционную систему черви делятся на:

Решение проблем безопасности ICS / SCADA

ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств, систем, элементов управления и сетей, которые управляют производственными процессами. Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS) [1] .

Уже много лет большинство организаций внедряют меры для обеспечения информационной безопасности, а вот безопасность OT является несколько новой территорией. С ростом степени проникновения технологий промышленного Интернета вещей (IIoT) и последующей конвергенции IT/OT производства утратили «воздушный зазор», который защищал их системы OT от хакеров и вредоносных программ. В результате злоумышленники все чаще начинают нацеливаться на системы OT для кражи конфиденциальной информации, прерывания операции или совершения актов кибертерроризма в отношении критической инфраструктуры. Отчасти это происходит потому, что существующие вредоносные программы эффективно работают против устаревших систем, развернутых в сетях OT, которые, вероятно, не были исправлены или обновлены, учитывая отсутствие дополнительных ресурсов на доработку.

Ряд вызовов сыграли свою роль в эволюции кибератак, которые влияли на системы ОТ на протяжении многих лет. Среди них:

  • Недостаточность инвентаризации устройств OT. Организации не могут защитить активы – будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой.
  • Недостаточность удаленного доступа к сети. Большинство технологий, лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и ​​протоколах связи.
  • Устаревшее аппаратное и программное обеспечение. Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы, которые несовместимы или слишком деликатны для поддержки современных технологий защиты. Часто такое оборудование развернуто в средах, где системы не могут быть отключены для исправления или обновления.
  • Плохая сегментация сети. Среды OT, как правило, функционируют используя установки полного доверия, такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты, ограничивающие данные и приложения, которые могут мигрировать из одного сегмента в другой, в ICS в целом используется не очень часто.
  • Ограниченный контроль доступа и управление разрешениями. Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными, элементы управления и процессы, которые предписывали доступ, часто становятся запутанными.

К счастью, риски, которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и, как следствие, более приоритетными для многих крупных организаций. Правительственные органы, включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании, в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.

Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие, мы можем увидеть, насколько далеко продвинулись технологические возможности преступников. Однако, возможно, еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре, но и физической, негативно влияя на отдельных сотрудников и целые компании. Stuxnet, пожалуй, один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру.

Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие, а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры.

content/ru-ru/images/repository/isc/2017-images/virus-img-19.jpg

Компьютерный вирус и компьютерный червь — это вредоносные программы, которые способны воспроизводить себя на компьютерах или через компьютерные сети. При этом пользователь не подозревает о заражении своего компьютера. Так как каждая последующая копия вируса или компьютерного червя также способна к самовоспроизведению, заражение распространяется очень быстро. Существует очень много различных типов компьютерных вирусов и компьютерных червей, большинство которых обладают высокой способностью к разрушению.

Что нужно знать о компьютерных вирусах и червях

Вредоносное программное обеспечение из подкласса вирусов и червей включает:

  • Email-Worm
  • IM-Worm
  • IRC-Worm
  • Net-Worm
  • P2P-Worm
  • Virus

Большинство известных компьютерных червей распространяется следующими способами:

Компьютерные черви могут использовать ошибки конфигурации сети (например, чтобы скопировать себя на полностью доступный диск) или бреши в защите операционной системы и приложений. Многие черви распространяют свои копии через сеть несколькими способами.

Вирусы можно классифицировать в соответствии с тем, каким способом они заражают компьютер:

  • Файловые вирусы
  • вирусы загрузочного сектора
  • Макровирусы
  • Вирусные скрипты

Любая программа данного подкласса вредоносного ПО в качестве дополнительных может иметь и функции троянской программы.

Как защититься от компьютерных вирусов и червей

Рекомендуется установить антивирус: программное обеспечение для защиты от вредоносных программ на все свои устройства (включая ПК, ноутбуки, компьютеры Mac и смартфоны). Решение для защиты от вредоносных программ должно регулярно обновляться, чтобы защищать от самых последних угроз. Хороший антивирус (такой как Антивирус Касперского) обнаруживает и предотвращает заражение ПК вирусами и червями, а Kaspersky Internet Security для Android — отличный выбор для защиты смартфонов на базе Android. В «Лаборатории Касперского» созданы продукты для следующих устройств:

  • ПК на базе Windows;
  • компьютеры Mac;
  • смартфоны;
  • планшеты

Другие статьи и ссылки, связанные с компьютерными вирусами и червями

Что такое компьютерный вирус и компьютерный червь?

Существует очень много различных типов компьютерных вирусов и компьютерных червей, большинство которых обладают высокой способностью к разрушению.

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей в 2020 году

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

content/ru-ru/images/repository/isc/2020/videoconferencing1.jpg

Видеозвонки и видео-конференц-связь: как защититься от хакеров

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Здесь вы можете приобрести сувенирные продукты с корпоративной символикой «Лаборатории Касперского».

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.


Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, — и послушно сдался властям.

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы — черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии — для привлечения внимания потенциальной жертвы, а технический — для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива — уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников — внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ — ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами — следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков — содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом — если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Публикации на схожие темы

Развитие русскоязычной киберпреступности: что изменилось с 2016 по 2021 год


В предыдущих публикациях мы приводили общую классификацию вредоносного ПО, а также успели уделить отдельное внимание Adware-программам, созданным для показа рекламы на вашем устройстве. Пришло время поговорить о компьютерных червях.

Свое название они получили за способность «переползать» с устройства на устройство посредством любых доступных каналов связи. Данный вид вируса проникает на компьютер и начинает быстро продуцировать свои копии, которые, в свою очередь, также обладают способностью самовоспроизводиться в неограниченном количестве. Поэтому главная опасность червя кроется в том, что за очень короткий промежуток времени он способен заразить внушительное количество компьютеров, находящихся в одной сети.

Как работает классическая версия червя?

Заразив файл, червь выполняет в нем свою вредоносную задачу, после чего спешит скопировать себя в другие файлы. Размножаться он может только на локальном компьютере, самостоятельно проникнуть на другие машины он не в состоянии. Но если он заразит файл, находящийся в общем доступе, либо пользователь перешлет инфицированный документ по электронной почте, то червь легко может попасть и на другие компьютеры. После запуска он, как и любой другой вирус, активизируется и выполняет свою разрушительную функцию.

Есть несколько разновидностей червей, которые принято классифицировать по способу распространения:

Почтовый червь.
Проникает на компьютер посредством почтовой рассылки. Обычно это письмо, содержащее ссылку на файл или сам зараженный файл. После того, как вы или запустите прикрепленный файл, или перейдете по ссылке и скачаете его, червь начинает свою вредоносную деятельность. Затем он ищет другие почтовые адреса и начинает производить рассылку зараженных писем уже по ним.

Сетевой червь.
Распространяется главным образом через компьютерные сети. От других типов червей такой отличается тем, что ищет в локальной сети устройства, которые используют уязвимые программы. После обнаружения таковых, он посылает в сеть сформированный пакет, который содержит или весь код червя, или его часть. Если в сети есть незащищенная машина, то она принимает этот пакет и заражается. Проникнув в компьютер, червь копирует недостающую часть своего кода и становится полностью активен.

Червь чата.
Для распространения он использует интернет-чаты – системы для общения между собой в реальном времени. Такой червь публикует в чате ссылку на файл со своей копией, либо же сам файл. Заражение происходит после скачивания файла.

Червь файлообменника.
Для внедрения в файлообменную сеть, червь должен скопировать себя в каталог файлов на компьютере пользователя. Сеть файлообменника отображает всю информацию о данном файле, поэтому пользователь легко может найти его в системе, загрузить и открыть, после чего заражение неминуемо. Более продвинутые и сложные типы червей могут имитировать сетевой протокол определенной сети – они также положительно реагируют на запросы и предлагают зараженные файлы для загрузки.

Другие черви.
Сюда можно отнести вредоносное ПО, которое способно распространяться через сетевые ресурсы. Оно может использовать функции операционной системы для поиска доступных сетевых папок, после чего подключается к устройствам в глобальной сети и пытается открыть их диски на полный доступ. Главное отличие от сетевых червей - пользователь непременно должен открыть файл с копией вируса.
Также существуют черви, которые не обладают ни одним из вышеперечисленных признаков, и могут распространяться посредством мобильных телефонов, поражая их.

Читайте также: