Un vierme de rețea este un tip de program rău intenționat care se răspândește în mod independent prin rețelele de computere locale și globale ( Internet ).
Experimentele timpurii folosind viermi de computer în calculul distribuit au fost efectuate la Centrul de Cercetare Xerox Palo Alto de John Shoch și Jon Hupp în 1978. Termenul „vierme” a fost influențat de romanele științifico-fantastice When HARLEY Turned One de David Gerrold (1972), care descriu programe asemănătoare viermilor, și On the Shockwave John Brunner (1975), care introduce termenul în sine. .
Unul dintre cei mai faimoși viermi de computer este Morris Worm , scris în 1988 de Robert Morris Jr., care atunci era student la Universitatea Cornell . Răspândirea viermelui a început pe 2 noiembrie, după care viermele a infectat rapid aproximativ 6.200 de computere (aproximativ 10% din toate computerele conectate la internet la acel moment ). De asemenea, un alt vierme cunoscut este MyDoom , care este și malware-ul care a provocat cel mai mare daune economice în comparație cu orice alt malware - 38.000.000.000 de dolari SUA . Modificările acestui vierme de e-mail rămân active și răspândite până în prezent.
Toate mecanismele („ vectori de atac ”) de propagare a viermilor sunt împărțite în două grupuri mari:
Uneori există viermi cu o gamă întreagă de vectori de propagare diferiți, strategii de selecție a victimelor și chiar exploatări pentru diferite sisteme de operare .
Viteza de propagare a unui vierme de rețea depinde de mulți factori: topologia rețelei, algoritmul de căutare a computerelor vulnerabile și viteza medie de creare a copiilor noi.
Viermii de rețea care se propagă prin rețea prin utilizarea directă a protocoalelor TCP/IP , adică de la orice adresă IP la oricare alta, se caracterizează printr-o răspândire rapidă. Cu condiția ca fiecare instanță a viermelui să cunoască în mod fiabil adresa unui nod de rețea neinfectat anterior, este posibilă reproducerea exponențială . De exemplu, dacă fiecare instanță infectează un computer pe secundă, întreg spațiul de adrese IPv4 va fi umplut cu viermele într-o jumătate de minut. Un vierme ipotetic care s-ar putea răspândi cu o asemenea viteză a primit numele de „vierme blitzkrieg”. Cercetătorul N. Weaver de la Universitatea din Berkeley a considerat algoritmi simpli suboptimi care ar putea permite unui vierme, înmulțindu-se ceva mai încet, să infecteze Internetul în 15 minute. Acest tip de vierme a fost numit „vierme Warhol” - în onoarea lui Andy Warhol , autorul zicalului:
În viitor, toată lumea va avea șansa de 15 minute de faimă
Viermele SQL Slammer care a infectat peste 75.000 de servere în 10 minute în 2003 a fost aproape de acest tipar de distribuție.
Cu toate acestea, marea majoritate a viermilor folosesc algoritmi mult mai puțin eficienți. Instanțele unui vierme tipic caută noduri de rețea vulnerabile prin încercare și eroare - aleatoriu. În aceste condiții, curba sa de înmulțire corespunde soluției ecuației diferențiale Verhulst și capătă un caracter „sigmoid”. Corectitudinea acestui model a fost confirmată în 2001 în timpul izbucnirii viermelui CodeRed II . În 28 de ore, viermele a infectat aproximativ 350.000 de noduri de rețea, iar în ultimele ore viteza de răspândire a acestuia a fost destul de scăzută - viermele „s-a împiedicat” constant de noduri infectate anterior.
În fața opoziției active a antivirusurilor care îndepărtează instanțe de viermi și vaccinează sistemul (adică îl fac invulnerabil), curba epidemiei ar trebui să corespundă soluției sistemului de ecuații Kermack-Mackendrick cu un debut ascuțit, aproape exponențial, atingând un extremum și o scădere lină care poate dura săptămâni întregi. O astfel de imagine este într-adevăr observată în realitate pentru cele mai multe epidemii.
Curbele de propagare pentru viermi care utilizează protocoale de e- mail (SMTP) arată aproximativ la fel, dar rata lor generală de propagare este cu câteva ordine de mărime mai mică. Acest lucru se datorează faptului că viermele „mail” nu se poate adresa direct niciunui alt nod al rețelei, ci doar celui a cărui adresă de e-mail este prezentă pe mașina infectată (de exemplu, în agenda clientului de e-mail Outlook Express ). Durata epidemilor „poștă” poate ajunge la câteva luni.
Viermii pot fi formați din diferite părți.
Așa-numiții viermi rezidenți sunt adesea izolați, care pot infecta un program care rulează și pot locui în RAM , fără a afecta hard disk-urile . Puteți scăpa de astfel de viermi repornind computerul (și, în consecință, resetând memoria RAM). Astfel de viermi constau în principal dintr-o parte „infecțioasă”: un exploit ( shellcode ) și o sarcină utilă mică (corpul viermelui însuși), care este plasat în întregime în RAM. Specificul unor astfel de viermi este că nu sunt încărcați prin încărcător, ca toate fișierele executabile obișnuite, ceea ce înseamnă că se pot baza doar pe acele biblioteci dinamice care au fost deja încărcate în memorie de către alte programe.
Există și viermi care, după infectarea cu succes a memoriei, salvează codul pe hard disk și iau măsuri pentru a rula ulterior acest cod (de exemplu, prin prescrierea cheilor corespunzătoare în registrul Windows ). Acești viermi pot fi scăpați numai cu software antivirus sau instrumente similare. Adesea, partea infecțioasă a unor astfel de viermi (exploat, shellcode) conține o mică sarcină utilă care este încărcată în RAM și poate „încărca” corpul vierme însuși în rețea ca fișier separat. Pentru a face acest lucru, unii viermi pot conține un simplu client TFTP în partea lor infecțioasă . Corpul vierme încărcat în acest mod (de obicei un fișier executabil separat) este acum responsabil pentru scanarea și răspândirea ulterioară din sistemul infectat prin rețeaua locală și poate conține, de asemenea, o sarcină utilă mai serioasă, cu drepturi depline, al cărei scop poate: de exemplu, provocați un fel de rău (de exemplu , atacuri DoS ).
Majoritatea viermilor de e-mail sunt distribuiți ca un singur fișier. Nu au nevoie de o parte „infecțioasă” separată, deoarece, de obicei , utilizatorul victimă, folosind un client de e-mail sau un browser de internet, descarcă și lansează voluntar întregul vierme.
Adesea, viermii, chiar și fără încărcătură utilă, supraîncarcă și dezactivează temporar rețelele doar din cauza propagării intensive. O sarcină utilă tipică semnificativă poate consta în coruperea fișierelor de pe computerul victimei (inclusiv schimbarea paginilor web, așa-numita „ defacere ”), este, de asemenea, posibilă organizarea unei rețele bot de pe computerele infectate pentru a efectua atacuri de rețea , a trimite spam sau a mea . criptomonede .
Datorită faptului că viermii de rețea folosesc vulnerabilități în software-ul terților sau în sistemul de operare pentru a pătrunde în sistemul unui utilizator, utilizarea monitoarelor antivirus bazate pe semnături nu este suficientă pentru a proteja împotriva viermilor. De asemenea, atunci când folosește metode de inginerie socială, utilizatorul este forțat să ruleze un program rău intenționat sub un pretext plauzibil, chiar și în ciuda unui avertisment din partea software-ului antivirus. Astfel, pentru a oferi o protecție completă împotriva viermilor moderni și a oricăror alte programe rău intenționate, este necesar să folosiți protecție proactivă. Se are în vedere și o metodă de protecție împotriva viermilor de rețea bazată pe „credite de încredere”. O serie de avantaje sunt oferite de utilizarea paravanelor de protecție și a utilităților similare (de exemplu, Windows Worms Doors Cleaner)
| Software rău intenționat | |
|---|---|
| Malware infecțios | |
| Metode de ascundere | |
| Malware pentru profit |
|
| După sisteme de operare |
|
| Protecţie |
|
| Contramăsuri |
|
| Rețele bot | |
|---|---|
| |
| Distribuție software | |
|---|---|
| Licențe | |
| Modele de venit | |
| Metode de expediere |
|
| Frauduloasă/ilegală | |
| Alte |
|