A компьютерный червь - это автономная вредоносная программа компьютерная программа, которая копирует себя, чтобы распространить на другие компьютеры. Он часто использует компьютерную сеть для распространения, полагаясь на сбои безопасности на целевом компьютере для доступа к нему. Он будет использовать этот компьютер в качестве хоста для сканирования и заражения других компьютеров. Когда эти новые зараженные червем компьютеры находятся под контролем, червь будет продолжать сканировать и заражать другие компьютеры, используя эти компьютеры в качестве хостов, и такое поведение продолжится. Компьютерные черви используют рекурсивный метод, чтобы копировать себя без основной программы и распространять себя по закону экспоненциального роста, а затем контролируют и заражают все больше и больше компьютеров за короткое время. Черви почти всегда наносят по крайней мере некоторый вред сети, даже если только потребляют полосу пропускания, тогда как вирусы почти всегда повреждают или изменяют файлы на целевом компьютере.
Многие черви предназначены только для распространения и не пытаются изменить системы, через которые они проходят. Однако, как показали червь Morris и Mydoom, даже эти «лишенные полезной нагрузки» черви могут вызвать серьезные нарушения из-за увеличения сетевого трафика и других непредвиденных эффектов.
Фактический термин «червь» впервые был использован в романе Джона Бруннера 1975 года, Всадник Ударной Волны. В романе Никлас Хафлингер разрабатывает и запускает червя для сбора данных, чтобы отомстить влиятельным людям, которые управляют национальной электронной информационной сетью, которая побуждает массовое подчинение. «У вас самый большой червь в сети, и он автоматически саботирует любую попытку его контролировать. Никогда не было червя с такой крутой головой или таким длинным хвостом!»
Первый в мире компьютер червь был разработан как антивирусное программное обеспечение. Названный Reaper, он был создан Ray Tomlinson для репликации через ARPANET и удаления экспериментальной программы Creeper. 2 ноября 1988 года Роберт Таппан Моррис, аспирант Корнельского университета, аспирант информатики, выпустил то, что стало известно как червь Морриса, нарушивший работу многих компьютеров. Интернет, который, как предполагалось в то время, составлял одну десятую всех подключенных. Во время процесса апелляции Морриса Апелляционный суд США оценил стоимость удаления червя из каждой установки в сумму от 200 до 53 000 долларов; эта работа подтолкнула к формированию Координационного центра CERT и списка рассылки Phage. Сам Моррис стал первым человеком, которого судили и осудили в соответствии с Законом 1986 года о компьютерном мошенничестве и злоупотреблениях.
Независимость
Для компьютерных вирусов обычно требуется основная программа. Вирус записывает свой код в хост-программу. Когда программа запускается, сначала запускается написанная вирусная программа, вызывая заражение и повреждение. Червю не нужна основная программа, поскольку это независимая программа или фрагмент кода. Следовательно, он не ограничен программой хоста, но может работать независимо и активно проводить атаки.
Эксплойт атаки
Поскольку червь не ограничен программой хоста, черви может использовать различные уязвимости операционной системы для проведения активных атак. Например, вирус «Nimda » использует уязвимости для атаки.
Сложность
Некоторые черви сочетаются со сценариями веб-страниц и скрываются на страницах HTML с использованием VBScript, ActiveX и других технологий. Когда пользователь обращается к веб-странице, содержащей вирус, вирус автоматически сохраняется в памяти и ожидает срабатывания. Есть также некоторые черви, которые сочетаются с программами бэкдора или троянскими конями, например, «Code Red ".
Заразность
Черви более заразны, чем традиционные вирусы. Они заражают не только локальные компьютеры, но и все серверы и клиенты в сети на локальном компьютере. Черви могут легко распространяться через общие папки, сообщения электронной почты, вредоносные веб-страницы, и серверы с большим количеством уязвимостей в сети.
Любой код, предназначенный не только для распространения червя, обычно упоминается как «полезная нагрузка ». Типичные вредоносные полезные нагрузки могут удалять файлы в хост-системе (например, червь ExploreZip ), шифровать файлы при атаке программ-вымогателей или извлекать данные, например конфиденциальные. документы или пароли.
Некоторые черви могут устанавливать бэкдор. Это позволяет автору червя удаленно управлять компьютером как «зомби ». Сети таких машины часто ru именуются ботнетами и очень часто используются для ряда злонамеренных целей, включая отправку спама или выполнение DoS атак.
Некоторые специальные черви целенаправленно атакуют промышленные системы. Stuxnet в основном передавался через локальные сети и зараженные флэш-накопители, поскольку его цели никогда не были подключены к ненадежным сетям, таким как Интернет. Этот вирус может уничтожить основное компьютерное программное обеспечение для управления производством, используемое химическими компаниями, производителями электроэнергии и компаниями по передаче электроэнергии в разных странах по всему миру - в случае Stuxnet больше всего пострадали Иран, Индонезия и Индия - он использовался для «выдачи заказов» другим оборудования на заводе и скрыть эти команды от обнаружения. Stuxnet использовал несколько уязвимостей и четыре различных эксплойта нулевого дня (например: [1] ) в системах Windows и Siemens SIMATICWinCC для атаки на встроенные программируемые логические контроллеры. промышленных машин. Хотя эти системы работают независимо от сети, если оператор вставляет зараженный вирусом диск в USB-интерфейс системы, вирус сможет получить контроль над системой без каких-либо других требований или подсказок.
Черви распространяются путем использования уязвимостей в операционных системах. Поставщики, у которых есть проблемы с безопасностью, предоставляют регулярные обновления безопасности (см. «Patch Tuesday »), и если они установлены на машине, то большинство червей не сможет на нее распространиться. Если уязвимость раскрывается до выпуска исправления безопасности, выпущенного поставщиком, возможна атака нулевого дня.
Пользователи должны опасаться открытия неожиданных сообщений электронной почты и не должны запускать прикрепленные файлы или программы или посещать веб-сайты, связанные с такими сообщениями электронной почты. Однако, как и в случае с червем ILOVEYOU, а также с увеличением роста и эффективности атак фишинг, остается возможным обманом заставить конечного пользователя запустить вредоносный код.
Антивирус и антишпионское ПО полезны, но их необходимо обновлять с помощью новых файлов шаблонов не реже, чем каждые несколько дней. Также рекомендуется использовать межсетевой экран.
Пользователи могут минимизировать угрозу, создаваемую червями, обновляя операционную систему и другое программное обеспечение своих компьютеров, избегая открытия нераспознанных или неожиданных сообщений электронной почты и используя брандмауэр и антивирусное программное обеспечение.
Методы смягчения включают:
Иногда инфекции можно обнаружить по их поведению - обычно случайное сканирование Интернета в поисках уязвимых хостов для заражения. Кроме того, методы машинного обучения могут использоваться для обнаружения новых червей путем анализа поведения подозреваемого компьютера.
A полезный червь или анти-червь - это червь, созданный для того, чтобы делать то, что его автор считает полезным, хотя и не обязательно с разрешения владельца выполняющегося компьютера. Начиная с первого исследования червей в Xerox PARC, были попытки создать полезных червей. Эти черви позволили Джону Шочу и Джону Хаппу протестировать принципы Ethernet в своей сети компьютеров Xerox Alto. Точно так же семейство червей Nachi пыталось загрузить и установить патчи с веб-сайта Microsoft, чтобы исправить уязвимости в хост-системе, используя те же самые уязвимости. На практике, хотя это могло сделать эти системы более безопасными, он генерировал значительный сетевой трафик, перезагружал машину в процессе установки исправлений и выполнял свою работу без согласия владельца или пользователя компьютера. Независимо от их полезной нагрузки или намерений авторов, большинство экспертов по безопасности рассматривают всех червей как вредоносное ПО.
Несколько червей, в том числе некоторые XSS-черви, были написаны для исследования того, как распространяются черви, такие как последствия изменений в социальной активности или поведении пользователей. В одном исследовании было предложено то, что кажется первым компьютерным червем, который работает на втором уровне модели OSI (уровень канала передачи данных), используя информацию о топологии, такую как память с адресацией по содержимому (CAM) и информация связующего дерева, хранящаяся в коммутаторах, для распространения и исследования уязвимых узлов до тех пор, пока не будет покрыта корпоративная сеть.
Для борьбы с эффектами Code Red, Blaster и Santy черви. Welchia - пример полезного червя. Используя те же недостатки, что и червь Blaster, Welchia заразила компьютеры и автоматически начала загружать обновления безопасности Microsoft для Windows без согласия пользователей. Welchia автоматически перезагружает зараженные компьютеры после установки обновлений. Одним из этих обновлений был патч, устраняющий уязвимость.
Другими примерами полезных червей являются "Den_Zuko", "Cheeze", "CodeGreen" и "Millenium".