Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-6

Будь бдителен!

При написании этой статьи преследовались две цели. Во-первых, показать тебе все возможности червей, а также методы их распространения. А во-вторых, обратить твое внимание на собственную безопасность - не исключено, что на твоем компьютере вовсю орудует какой-нибудь LoveSan или Cheese. Обязательно подпишись на рассылку Microsoft (хоть это и противно звучит ;)) и получай список уязвимостей и новых патчей, которые выходят чуть ли не каждый день. Тем самым ты оградишь себя от ненужной заразы и сохранишь всю информацию на своей машине.

Разумеется, всю информацию о червяках в одной статье уместить невозможно. Поэтому рекомендую посетить ряд ссылок, где ты можешь ознакомиться с этим видом заразы более подробно:

www.viruslist.com/viruslist.html - энциклопедия всех известных вирусов. От Лаборатории Касперского.

www.sdteam.com/articles/hack044.html - Малая вирусная энциклопедия. Часть первая.

http://old.softerra.ru/review/security/7085/page1.html - Малая вирусная энциклопедия. Часть вторая.

http://web-support.ru/net-security/sec_43_3.shtml - Малая вирусная энциклопедия. Часть третья.

Черви-шутки

Помимо заразы, которая вредит пользователю (удаляет файлы, организует DDoS), существуют и вполне миролюбивые червяки, которые делают какую-нибудь безобидную пакость. К примеру, выводят крупный смайлик на рабочий стол или отправляют пользователю сообщение "Matrix has you".

Проникая на территорию врага, вирус осваивается в системе, а затем начинает сканить инет и ломиться на другие машины.

Самым нашумевшим вирусом, который проникал в систему через IIS, был известный CodeRed. По подсчетам, он заразил порядка двенадцати тысяч серверов по всему миру. Изначально червь был ориентирован на глобальный DDoS против сайта Белого дома www.whitehouse.gov.

Уникальность CodeRed была в том, что вирус не использовал никаких временных и постоянных файлов в своей работе. Червь переползал в систему в виде TCP/IP пакета, затем селился в оперативке машины и искал новые жертвы.

В Linux было обнаружено много уязвимостей в модулях Apache. Один из вирей, использовавший багу в mod_ssl, получил название Mighty. Эта зараза при запуске соединялась с IRC-сервером и могла выполнять команды от хозяина.

Линуксовый Adm юзает переполнение буфера в BIND, записывая себя на удаленную машину. При этом он передает лишь часть своего кода, который автоматически компилируется и докачивает остальные компоненты уже с зараженной машины.

Вирусописатель LoveSan был явно обижен на Microsoft, потому что зараза проверяла системное время, и после 15 августа вирь начинал флудить HTTP-запросами сервер www.windowsupdate.com.

Особый вид представляют собой червячки, заражающие систему через СУБД (системы управления базами данных). Ярким примером такой заразы является Spida. Этот экземпляр долбится на службу MsSql с дефолтовым паролем "sa". При удачном коннекте вирус создает в системе новую учетную запись sqlagentcmdexec со случайным паролем, добавляя ее в группу Administrators.