Віруси – хробаки

На жаль, визначення хробака відсутнє у державних стандартах і розпорядницьких документах, тому тут наведено лише інтуїтивне визначення, що дає подання про принципи роботи й виконуваних функцій цього типу шкідливих програм.

Хробак (мережний хробак) — тип шкідливих програм, що поширюються по мережних каналах, здатних до автономного подолання систем захисту автоматизованих і комп’ютерних мереж, а також до створення й подальшого поширення своїх копій, що не завжди збігаються з оригіналом, і здійсненню іншого шкідливого впливу.

Життєвий цикл

Так само як для вірусів, життєвий цикл хробаків можна розділити на певні стадії:

1. Проникнення в систему
2. Активація
3. Пошук “жертв”
4. Підготовка копій
5. Поширення копій

Стадії 1 й 5, загалом кажучи, симетричні й характеризуються в першу чергу використовуваними протоколами й додатками.

Стадія 4 – Підготовка копій – практично нічим не відрізняється від аналогічної стадії в процесі розмноження вірусів. Сказане про підготовку копій вірусів без змін застосовно й до чирв.

Канали поширення

На етапі проникнення в систему чирви діляться переважно по типах використовуваних протоколів:

• Мережні хробаки – чирви, що використають для поширення протоколи Інтернет і локальні мережі. Звичайно цей тип хробаків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp/ip
• Поштові хробаки – чирви, що поширюються у форматі повідомлень електронної пошти
• IRC-хробаки – хробаки, що поширюються по каналах IRC (Internet Relay Chat)
• P2P-хробаки – чирви, що поширюються за допомогою пірінгових (peer-to-peer) файлообміних мереж
• IM-хробаки – хробаки, що використають для поширення системи миттєвого обміну повідомленнями (IM, Instant Messenger – ICQ, MSN Messenger, AIM й ін.)

Приклади. Класичними мережними хробаками є представники сімейства Net-Worm.Win32.Sasser. Ці хробаки використають уразливість у службі LSASS Microsoft Windows. При розмноженні, хробак запускає FTP-службу на TCP-порту 5554, після чого вибирає IP-адресу для атаки й відсилає запит на порт 445 по цій адресі, перевіряючи, чи запущена служба LSASS. Якщо атакується комп’ютер, що відповідає на запит, хробак посилає на цей же порт експлойт уразливості в службі LSASS, у результаті успішного виконання якого на вилученому комп’ютері запускається командна оболонка на TCP-порту 9996. Через цю оболонку хробак віддалено виконує завантаження копії хробака по протоколі FTP із запущеного раніше сервера й віддалено ж запускає себе, завершуючи процес проникнення й активації.

Як приклад поштового хробака можна розглянути Email-Worm.Win32.Zafi.d. Заражене повідомлення містить у собі обирані з деякого списку тему й текст, змістом яких є поздоровлення зі святом (більша частина – з Різдвом) і пропозиція ознайомитися з вітальною листівкою у вкладенні. Поздоровлення можуть бути на різних мовах. Ім’я файлу, що перебуває у вкладенні, хробака складається зі слова postcard мовою, що відповідає поздоровленню, і довільного набору символів. Розширення файлу хробака випадковим образом вибирається зі списку .BAT, .COM, .EXE, .PIF, .ZIP. Для розсилання хробак використає адреси електронної пошти, знайдені на зараженому комп’ютері. Щоб одержати керування, хробак повинен бути запущений користувачем.

IRC-Worm.Win32.Golember.a є, як треба з назви IRC-хробаком. При запуску він зберігає себе в каталозі Windows під ім’ям trlmsn.exe і додає в розділ автозапуску реєстру Windows параметр із рядком запуску цього файлу. Крім цього хробак зберігає на диск свою копію у вигляді архіву Janey2002.zip і зображення Janey.jpg. Потім хробак підключається до довільних IRC-каналів під різними іменами й починає слати певні текстові рядки, імітуючи активність звичайного користувача. Паралельно всім користувачам цих каналів відсилається заархівована копія хробака.

Функціональністю поширення через P2P-канали володіють багато мережних і поштових хробаків. Наприклад, Email-Worm.Win32.Netsky.q для розмноження через файлообмінні мережі шукає на локальному диску каталоги, що містять назви найбільш популярних мереж або ж слово “shared”, після чого кладе в ці каталоги свої копії під різними назвами.

IM-хробаки рідко пересилають заражені файли безпосередньо між клієнтами. Замість цього вони розсилають посилання на заражені веб-сторінки. Так хробак IM-Worm.Win32.Kelvir.k посилає через MSN Messenger повідомлення, що містять текст “its you” і посилання “http://www.malignancy.us/[removed]/pictures.php?email=[email]”, по зазначеному в якій адресі розташований файл хробака.

Сьогодні найбільш численну групу становлять поштові чирви. Мережні хробаки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані мережними хробаками найчастіше відрізняються високою швидкістю поширення й більших масштабів. IRC-, P2P- і IM-хробаки зустрічаються досить рідко, частіше IRC, P2P й IM служать альтернативними каналами поширення для поштових і мережних хробаків.

Способи активації

На етапі активації хробаки діляться на дві більші групи, що відрізняються як за технологіями, так і по строках життя:

1. Для активації необхідно активна участь користувача
2. Для активації участь користувача не потрібно зовсім або досить лише пасивної участі

Під пасивною участю користувача в другій групі розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп’ютер, проте, виявляється зараженим.

Відмінність у цих підходах глибше, ніж може здатися на перший погляд. Активація мережного хробака без участі користувача завжди означає, що хробак використає проломи в безпеці програмного забезпеченні комп’ютера. Це приводить до дуже швидкого поширення хробака усередині корпоративної мережі з більшим числом станцій, істотно збільшує завантаження каналів зв’язку й може повністю паралізувати мережа. Саме цей метод активації використали чирви Lovesan й Sasser. У результаті викликаної таким мережним хробаком епідемії, використовувана пролом закривається адміністраторами або користувачами, і в міру зменшення комп’ютерів з відкритим проломом епідемія завершується. Для повторення епідемії розроблювачам вірусів доводиться експлуатувати інший пролом. У підсумку, епідемії, викликані активними хробаками, істотніше впливають на роботу мережі в цілому, однак трапляються значно рідше, ніж епідемії пасивних мережних хробаків. Обов’язковою мірою захисту від таких епідемій є своєчасна установка латок безпеки. Відзначимо також, що особливо уразливими для цього типу хробаків є операційні системи із закладеними можливостями вилученого керування або запуску програм – це сімейство Microsoft Windows NT/2000/XP/2003.

Приклад. Уразливість у службі LSASS, уперше використана в хробаку MyDoom на початку 2004 року, продовжувала успішно застосовуватися й через півтора року. Так Net-Worm.Win32.Mytob.be виявлений у червні 2005 усе ще використав цю уразливість як один зі способів поширення, на додаток до поширення через електронну пошту.

З іншого боку, активна участь користувача в активації хробака означає, що користувач був уведений в оману методами соціальної інженерії. У більшості випадків основним фактором служить форма подачі інфікованого повідомлення: воно може імітувати лист від знайомої людини (включаючи електронну адресу, якщо знайомий уже заражений), службове повідомлення від поштової системи або ж що-небудь подібне, настільки ж що часто зустрічається в потоці звичайної кореспонденції. Користувач у метушні просто не відрізняє звичайний лист від зараженого й робить запуск автоматично.

Захиститися латками від такого роду хробаків неможливо. Навіть внесення сигнатури мережного хробака у вірусну базу даних не вирішує проблему до кінця. Розроблювачам вірусу досить змінити виконує файл, що, так, щоб антивірус його не виявляв, і незначно поміняти текст повідомлення, використовуючи в тому числі й технології спам-разсиланнь, що застосовуються для обходу фільтрів.

У результаті, епідемії, викликані пасивними мережними хробаками, можуть бути набагато триваліше й породжувати цілі сімейства однотипних мережних хробаків.

Останнім часом намітилася тенденція до сполучення в хробаках обох способів поширення. Багато представників сімейства Mytob мають функції поширення через електронну пошту й через уразливість у службі LSASS.

Пошук “жертв”

Спосіб пошуку комп’ютера-жертви повністю базується на використовуваних протоколах і додатках. Зокрема, якщо мова йде про поштового хробака, виробляється сканування файлів комп’ютера на предмет наявності в них адрес електронної пошти, по яких у результаті й виробляється розсилання копій хробака.

Точно так само Інтернет-хробаки сканують діапазон IP адрес у пошуках уразливих комп’ютерів, а P2P хробаки кладуть свої копії в загальнодоступні каталоги клієнтів пірінгових мереж. Деякі хробаки здатні експлуатувати списки контактів інтернет-пейджерів, таких як ICQ, AIM, MSN Messenger, Yahoo! Messenger й ін.

Підготовка копій для поширення

Найбільше часто серед хробаків зустрічаються спрощені реалізації метаморфізму. Деякі хробаки здатні розсилати свої копії в листах, як із впровадженням скріпта хробака, що приводить до автоматичної активації, так і без впровадження. Таке поводження хробака обумовлене двома факторами: скріпт автоматичної активації підвищує ймовірність запуску хробака на комп’ютері користувача, але при цьому зменшує ймовірність проскочити антивірусні фільтри на поштових серверах.

Аналогічно, хробаки можуть міняти тему й текст інфікованого повідомлення, ім’я, розширення й навіть формат вкладеного файлу – виконує модуль, що, може бути прикладений як є або в заархівованому виді.