Компьютерный червь - Computer worm
Эта статья является частью серии статей о |
Информационная безопасность |
---|
Связанные категории безопасности |
Угрозы |
|
Защиты |
А компьютерный червь автономный вредоносное ПО компьютерная программа который копирует себя, чтобы распространиться на другие компьютеры.[1] Часто используется компьютерная сеть распространяться, полагаясь на ошибки безопасности на целевом компьютере для доступа к нему. Он будет использовать этот компьютер в качестве хоста для сканирования и заражения других компьютеров. Когда эти новые зараженные червем компьютеры находятся под контролем, червь будет продолжать сканировать и заражать другие компьютеры, используя эти компьютеры в качестве хостов, и такое поведение продолжится.[2] Компьютерные черви используют рекурсивный метод, чтобы копировать себя без основной программы и распространять себя по закону экспоненциального роста, а затем контролируют и заражают все больше и больше компьютеров за короткое время.[3] Черви почти всегда наносят хоть какой-то вред сети, даже если только потребляют пропускная способность, в то время как вирусы почти всегда повреждают или изменяют файлы на целевом компьютере.
Многие черви предназначены только для распространения и не пытаются изменить системы, через которые они проходят. Однако, как Червь Морриса и Mydoom показал, что даже эти «лишенные полезной нагрузки» черви могут вызвать серьезные нарушения из-за увеличения сетевого трафика и других непредвиденных эффектов.
История
Фактический термин «червь» впервые был использован в Джон Бруннер роман 1975 года, Наездник ударной волны. В романе Никлас Хафлингер разрабатывает и запускает червя для сбора данных, чтобы отомстить влиятельным людям, которые управляют национальной электронной информационной сетью, которая побуждает массовое подчинение. «У вас самый большой червь в сети, и он автоматически саботирует любую попытку слежения за ним. Никогда не было червя с такой крутой головой или таким длинным хвостом!»[4]
Первый компьютерный червь был разработан как антивирусное ПО. Названный Жнец, он был создан Рэй Томлинсон реплицировать себя через ARPANET и удалить экспериментальный Creeper программа. 2 ноября 1988 г. Роберт Таппан Моррис, а Корнелл Университет аспирант информатики, развязал то, что стало известно как Червь Морриса, нарушивший работу многих компьютеров в Интернете, в то время предполагалось, что это одна десятая от всех подключенных.[5] Во время процесса апелляции Морриса Апелляционный суд США оценил стоимость удаления червя из каждой установки в сумму от 200 до 53 000 долларов; эта работа подтолкнула к формированию Координационный центр CERT[6] и список рассылки Phage.[7] Сам Моррис стал первым человеком, которого судили и осудили в 1986 году. Закон о компьютерном мошенничестве и злоупотреблении.[8]
Функции
Независимость
Компьютерные вирусы обычно требуют ведущая программа. Вирус записывает свой код в хост-программу. Когда программа запускается, сначала запускается написанная вирусная программа, вызывая заражение и повреждение. Червю не нужна основная программа, поскольку это независимая программа или фрагмент кода. Следовательно, это не ограничивается ведущая программа, но может работать самостоятельно и активно проводить атаки.[9][10]
Использовать нападения
Поскольку червь не ограничен программой хоста, черви могут использовать различные уязвимости операционной системы для проведения активных атак. Например, "Нимда " вирус подвиги уязвимости нападать.
Сложность
Некоторые черви объединены со скриптами веб-страниц и скрыты в HTML страницы, использующие VBScript, ActiveX и другие технологии. Когда пользователь получает доступ к веб-странице, содержащей вирус, вирус автоматически сохраняется в памяти и ожидает запуска. Есть также некоторые черви, которые сочетаются с задняя дверь программы или троянские кони, Такие как "Код красный ".[11]
Заразительность
Черви более заразны, чем традиционные вирусы. Они заражают не только локальные компьютеры, но и все серверы и клиенты в сети на основе локального компьютера. Черви могут легко распространяться через общие папки, электронная почта, вредоносные веб-страницы и серверы с большим количеством уязвимостей в сети.[12]
Вред
Любой код, предназначенный не только для распространения червя, обычно называется "полезная нагрузка ". Типичные вредоносные полезные данные могут удалять файлы в хост-системе (например, ExploreZip червь), зашифровать файлы в программа-вымогатель нападение, или эксфильтровать данные например, конфиденциальные документы или пароли.[нужна цитата ]
Некоторые черви могут устанавливать задняя дверь. Это позволяет автору червя удаленно управлять компьютером как "зомби ". Сети таких машин часто называют ботнеты и очень часто используются для ряда вредоносных целей, включая отправку спам или выполнение DoS атаки.[13][14][15][16][17][чрезмерное цитирование ]
Некоторые специальные черви целенаправленно атакуют промышленные системы. Stuxnet в основном передавался через локальные сети и зараженные флэш-накопители, поскольку его цели никогда не были подключены к ненадежным сетям, таким как Интернет. Этот вирус может уничтожить основное компьютерное программное обеспечение для управления производством, используемое химическими компаниями, производителями электроэнергии и компаниями по передаче электроэнергии в разных странах по всему миру - в случае Stuxnet больше всего пострадали Иран, Индонезия и Индия - он использовался для «выдачи заказов» другим оборудования на заводе и скрыть эти команды от обнаружения. Stuxnet использовал несколько уязвимостей и четыре различных эксплойта нулевого дня (например: [1] ) в Системы Windows и Сименс SIMATICWinCC системы для атак на встроенные программируемые логические контроллеры промышленных машин. Хотя эти системы работают независимо от сети, если оператор вставляет зараженный вирусом диск в интерфейс USB системы, вирус сможет получить контроль над системой без каких-либо других операционных требований или подсказок.[18][19][20]
Контрмеры
Черви распространяются за счет использования уязвимостей в операционных системах. Поставщики, у которых есть проблемы с безопасностью, регулярно предоставляют обновления безопасности.[21] (видеть "Патч вторник "), и если они установлены на машине, то большинство червей не могут распространиться на нее. Если уязвимость раскрывается до выпуска исправления безопасности, выпущенного поставщиком, атака нулевого дня возможно.
Пользователи должны опасаться открытия неожиданных писем,[22][23] и не должны запускать прикрепленные файлы или программы или посещать веб-сайты, связанные с такими сообщениями электронной почты. Однако, как и в случае с Я ТЕБЯ ЛЮБЛЮ червя, а при повышенном росте и эффективности фишинг атаки, остается возможным обманом заставить конечного пользователя запустить вредоносный код.
Антивирус и антишпионское ПО программное обеспечение полезно, но его необходимо обновлять, добавляя новые файлы шаблонов, по крайней мере, каждые несколько дней. Использование брандмауэр также рекомендуется.
Пользователи могут минимизировать угрозу, создаваемую червями, обновляя операционную систему и другое программное обеспечение своих компьютеров, избегая открытия нераспознанных или неожиданных сообщений электронной почты и запуска брандмауэр и антивирусное программное обеспечение.[дублирование? ][24]
Методы смягчения включают:
- ACL в маршрутизаторы и переключатели
- Пакетные фильтры
- TCP Wrapper /ACL включенная сетевая служба демоны
- Nullroute
Иногда заражения можно обнаружить по их поведению - обычно случайное сканирование Интернета в поисках уязвимых хостов для заражения.[25][26] Кроме того, методы машинного обучения могут использоваться для обнаружения новых червей путем анализа поведения подозреваемого компьютера.[27]
Черви с добрыми намерениями
А полезный червь или же противоглистный - это червь, созданный для того, чтобы делать то, что его автор считает полезным, хотя и не обязательно с разрешения владельца выполняющегося компьютера. Начиная с первых исследований червей на Xerox PARC, были попытки создать полезных червей. Эти черви разрешены Джон Шох и Джон Хапп, чтобы проверить Ethernet принципы их сети Xerox Alto компьютеры[нужна цитата ]. Точно так же Nachi Семейство червей пыталось загрузить и установить патчи с веб-сайта Microsoft, чтобы исправить уязвимости в хост-системе, используя те же самые уязвимости.[28] На практике, хотя это могло сделать эти системы более безопасными, он генерировал значительный сетевой трафик, перезагружал машину в процессе установки исправлений и выполнял свою работу без согласия владельца или пользователя компьютера. Независимо от их полезной нагрузки или намерений авторов, большинство экспертов по безопасности[ВОЗ? ] рассматривать всех червей как вредоносное ПО.
Несколько червей, в том числе некоторые XSS-черви, были написаны для исследования того, как распространяются черви, например, последствий изменений в социальной активности или поведении пользователей.[нужна цитата ] Одно исследование предложило то, что кажется[ласковые слова ] первый компьютерный червь, работающий на втором слое Модель OSI (Уровень канала данных), используя информацию о топологии, такую как Память с адресацией по содержимому (CAM) таблицы и информация связующего дерева, хранящаяся в коммутаторах, для распространения и проверки уязвимых узлов, пока не будет покрыта корпоративная сеть.[29]
Античервей использовались для борьбы с воздействием Код красный,[30] Blaster, и Санти черви. Велчия это пример полезного червя.[31] Используя те же недостатки, что и Бластерный червь, Welchia заразила компьютеры и автоматически начала загрузку Microsoft обновления безопасности для Windows без согласия пользователей. Welchia автоматически перезагружает зараженные компьютеры после установки обновлений. Одним из этих обновлений был патч, исправляющий эксплойт.[31]
Другими примерами полезных червей являются «Den_Zuko», «Cheeze», «CodeGreen» и «Millenium».[31]
Смотрите также
- BlueKeep
- Ботнет
- Код Шикара (Червь)
- Компьютерное и сетевое наблюдение
- Компьютерный вирус
- Электронный спам
- Дед Мороз (компьютерный червь)
- Самовоспроизводящаяся машина
- Мошенничество с технической поддержкой - незатребованные телефонные звонки от фальшивого сотрудника службы технической поддержки, утверждающего, что на компьютере есть вирус или другие проблемы.
- Хронология компьютерных вирусов и червей
- Троянский конь (вычисления)
- XSS-червь
- Зомби (информатика)
Рекомендации
- ^ Барвайз, Майк. "Что такое интернет-червь?". BBC. Получено 9 сентября 2010.
- ^ Чжан, Чангван; Чжоу, Ши; Цепь, Бенджамин М. (2015-05-15). «Гибридные эпидемии - пример компьютерного червя Conficker». PLOS ONE. 10 (5): e0127478. arXiv:1406.6046. Bibcode:2015PLoSO..1027478Z. Дои:10.1371 / journal.pone.0127478. ISSN 1932-6203. ЧВК 4433115. PMID 25978309.
- ^ Марион, Жан-Ив (2012-07-28). «От машин Тьюринга к компьютерным вирусам». Философские труды Королевского общества A: математические, физические и инженерные науки. 370 (1971): 3319–3339. Bibcode:2012RSPTA.370.3319M. Дои:10.1098 / rsta.2011.0332. ISSN 1364-503X. PMID 22711861.
- ^ Бруннер, Джон (1975). Наездник ударной волны. Нью-Йорк: Ballantine Books. ISBN 978-0-06-010559-4.
- ^ «Подводная лодка».
- ^ «Безопасность Интернета». CERT / CC.
- ^ "Список рассылки фагов". securitydigest.org.
- ^ Дресслер, Дж. (2007). "Соединенные Штаты против Морриса". Дела и материалы по уголовному праву. Сент-Пол, Миннесота: Томсон / Вест. ISBN 978-0-314-17719-3.
- ^ Йео, Санг-Су. (2012). Информатика и ее приложения: CSA 2012, Чеджу, Корея, 22-25.11.2012. Springer. п. 515. ISBN 978-94-007-5699-1. OCLC 897634290.
- ^ Ю, Вэй; Чжан, Нан; Фу, Синьвэнь; Чжао, Вэй (октябрь 2010 г.). «Самодисциплинарные черви и контрмеры: моделирование и анализ». Транзакции IEEE в параллельных и распределенных системах. 21 (10): 1501–1514. Дои:10.1109 / tpds.2009.161. ISSN 1045-9219. S2CID 2242419.
- ^ Брукс, Дэвид Р. (2017), «Введение в HTML», Программирование в HTML и PHP, Бакалавриат по компьютерным наукам, Springer International Publishing, стр. 1–10, Дои:10.1007/978-3-319-56973-4_1, ISBN 978-3-319-56972-7
- ^ Лотон, Джордж (июнь 2009 г.). «По следу червя Conficker». Компьютер. 42 (6): 19–22. Дои:10.1109 / mc.2009.198. ISSN 0018-9162. S2CID 15572850.
- ^ Рэй, Тирнан (18 февраля 2004 г.). «Бизнес и технологии: количество вирусов электронной почты, обвиняемых в резком росте спама». Сиэтл Таймс. Архивировано из оригинал 26 августа 2012 г.. Получено 18 мая, 2007.
- ^ Маквильямс, Брайан (9 октября 2003 г.). «Маскирующее устройство, созданное для спамеров». Проводной.
- ^ "Интернет-червь Mydoom, скорее всего, из России, связанный со спамом: охранная фирма". www.channelnewsasia.com. 31 января 2004 г. Архивировано с оригинал 19 февраля 2006 г.
- ^ «Обнаружено: трояны как спам-роботы». Hiese онлайн. 21 февраля 2004 г. Архивировано из оригинал на 2009-05-28. Получено 2012-11-02.
- ^ «Рассмотрены хакерские угрозы букмекерам». Новости BBC. 23 февраля 2004 г.
- ^ Бронк, Кристофер; Тик-Рингас, Энекен (май 2013 г.). «Кибератака на Saudi Aramco». Выживание. 55 (2): 81–96. Дои:10.1080/00396338.2013.784468. ISSN 0039-6338. S2CID 154754335.
- ^ Линдси, Джон Р. (июль 2013 г.). «Stuxnet и пределы кибервойны». Исследования безопасности. 22 (3): 365–404. Дои:10.1080/09636412.2013.816122. ISSN 0963-6412. S2CID 154019562.
- ^ Ван, Гуанвэй; Пан, Хонг; Вентилятор, Мингю (2014). «Динамический анализ предполагаемого вредоносного кода Stuxnet». Труды 3-й Международной конференции по компьютерным наукам и системам обслуживания. Париж, Франция: Atlantis Press. Дои:10.2991 / csss-14.2014.86. ISBN 978-94-6252-012-7.
- ^ «Список USN». Ubuntu. Получено 2012-06-10.
- ^ "Описание угрозы Email-Worm". Архивировано из оригинал на 2018-01-16. Получено 2018-12-25.
- ^ Электронный червь с описанием угрозы: VBS / LoveLetter
- ^ «Информация о компьютерном черве и шаги по удалению». Veracode. 2014-02-02. Получено 2015-04-04.
- ^ Sellke, S.H .; Шрофф, Н.Б .; Багчи, С. (2008). «Моделирование и автоматизированное сдерживание червей». Транзакции IEEE о надежных и безопасных вычислениях. 5 (2): 71–86. Дои:10.1109 / tdsc.2007.70230.
- ^ «Новый способ защиты компьютерных сетей от интернет-червей». Newswise. Получено 5 июля, 2011.
- ^ Москович, Роберт; Еловичи, Юваль; Рокач, Лиор (2008). «Обнаружение неизвестных компьютерных червей на основе поведенческой классификации хоста». Вычислительная статистика и анализ данных. 52 (9): 4544–4566. Дои:10.1016 / j.csda.2008.01.028.
- ^ "Вирусное предупреждение о черве Nachi". Microsoft.
- ^ Аль-Саллум, З. С .; Вольтхузен, С. Д. (2010). «Самовоспроизводящийся агент обнаружения уязвимостей на канальном уровне». Симпозиум IEEE по компьютерам и коммуникациям. п. 704. Дои:10.1109 / ISCC.2010.5546723. ISBN 978-1-4244-7754-8. S2CID 3260588.
- ^ «Античерви» борются с угрозой Code Red (архив в Интернет-архиве 14 сентября 2001 г.)
- ^ а б c Велчийский червь. 18 декабря 2003 г. с. 1. Получено 9 июн 2014.
внешняя ссылка
- Руководство по вредоносному ПО - Руководство для понимания, удаления и предотвращения заражения червями на Vernalex.com.
- «Программы-черви - ранний опыт распределенных вычислений», Джон Шоч и Джон Хапп, Коммуникации ACM, Volume 25, Issue 3 (март 1982), стр. 172–180.
- «Обоснование использования многоуровневой защиты для остановки червей», Несекретный отчет Агентства национальной безопасности США (АНБ), 18 июня 2004 г.
- Эволюция червя[постоянная мертвая ссылка ], доклад Джаго Манискальчи о цифровой угрозе, 31 мая 2009 г.