Internet crvi

Tekstovi o zaštiti, 06.12.2009, 23:17 PM

Internet  crvi

Za kompjuterske crve su svu čuli.

Crvi mogu biti klasifikovani prema metodi širenja koju koriste, na primer, kako isporučuju svoju kopiju novozaraženom kompjuteru, mogu biti klasifikovani iprema načinu instalacije, načinu pokretanja i najzad, prema osobinama uobičajenim za sve štetne programe: polimorfizam, nevidljivost itd.

Mnogi crvi napravljeni da bi prouzrokovali značajnu štetu koriste više od jedne metode za širenje kao i više od jednog načina infekcije. Metode su sledeće:

  • Email crvi

  • Crvi kratkih poruka (ICQ, MSN...)

  • Tipični internet crvi

  • IRC crvi

  • 'File-sharing' mrežni crvi

Email crvi

Email crvi se šire preko zaraženih email poruka. Crv može biti u obliku atačmenta ili pak, email može sadržati link ka zaraženom sajtu. Kako god, u oba slučaja, email je transportno sredstvo.

U prvom slučaju crv će biti aktiviran kada korisnik klikne na atačment. U drugom slučaju crv će biti aktiviran kada korisnik klikne na link koji vodi ka zaraženom sajtu.

Email crvi inače koriste jedan od sledećih metoda za širenje:

  • Direktna konekcija ka SMTP serverima korišćenjem SMTP API biblioteke kodirane unutar crva

  • MS Outlook servise

  • Windows MAPI funkcije

Email crvi sakupljaju email adrese sa zaraženog računara kako bi se kasnije širili. Za to koriste jednu od sledećih tehnika:

  • Skeniranje MS Outlook adresara

  • Skeniranje WAB baze podataka (adresa)

  • Skeniranje fajlova sa odgovarajućim ekstenzijama u potrazi za nizom tekstualnih podataka nalik email adresama

  • Slanje svojih kopija na sve email adrese iz korisnikovog poštanskog sandučeta (crvi čak mogu da "odgovore" na neotvorene mail-ove u inbox-u)

Dok se ove tehnike smatraju uobičajenim, neki crvi čak konstruišu nove adrese zasnovane na listi mogućih imena kombinovanih sa uobičajenim imenima domena.

Kratke poruke (ICQ i MSN) crvi

Ovi crvi imaju jedan metod širenja. Oni se šire korišćenjem aplikacija za slanje kratkih poruka, šaljući linkove ka zaraženim sajtovima svima na određenoj listi kontakata. Jedina razilka između ovih crva i email crva koji šalju linkove je medij izabran za slanje linkova - ovi koriste messengere.



Tipični internet crvi

Tvorci virusa koriste drugačije tehnike za distribuciju kompjuterskih crva, uključujući:

  • Kopiranje crva na mrežne resurse

  • Iskorišćavanje ranjivosti operativnog sistema radi ulaska u kompjuter i/ili mreže

  • Ulaženje u javne mreže

  • Piggybacking: korišćenje drugog štetnog programa kao nosioca crva.

U prvom slučaju, crv locira udaljene kompjutere i kopira se u direktorijume koji su otvoreni za sharing funkcije čitanja i pisanja. Ovi mrežni crvi pretražuju sve dostupne mrežne resurse koristeći lokalni operativni sistem i/ili pretražuju internet tražeći ranjive kompjutere. Oni će pokušati da se konektuju na ovakve kompjutere i ostvare potpun pristup njima.

U drugom slučaju, crvi pretražuju internet u potrazi za kompjuterima koji nemaju instalirane zakrpe, primera radi, ima operativnih sistema sa opasnim ranjivostima koji su još i otvoreni za iskorišćavanje. Crv šalje paket podataka ili zahteva koji iskorišćavaju propust i instaliraju ili celo telo crva ili deo izvornog koda crva koji raspolaže download funkcijom. Ako je samo deo koda instaliran onda crv pokreće download funkciju i preuzima ostatak crva. U svakom slučaju, jednom kada je crv instaliran, on će izvršiti svoj kod i ciklus se nastavlja.

Crvi koji koriste propuste na Web ili FTP serverima potpadaju u odvojene kategorije. Infekcija je proces u dva koraka. Ovi crvi najpre ulaze u fajlove koje server servira, kao što su statične web strane. Onda crvi čekaju da klijent pristupi zaraženim fajlovima i napadaju određeni kompjuter. Ovako zaraženi kompjuteri se tada koriste kao podloga za buduće napade.

Neki pisci virusa koriste crve ili Trojance kako bi širili nove crve. Oni najpre identifikuju Trojance ili crve koji imaju instalirane backdoor-ove na zaraženim kompjuterima. U većini slučajeva ovo omogućava onom ko upravlja procesom da šalje komande zaraženom kompjuteru: takvim zombi uređajima koji imaju instaliran backdoor može se narediti da preuzmu (download-uju) i izvrše fajlove - u ovom slučaju kopije novog crva.

Mnogi crvi koriste kombinaciju dve ili više metoda za širenje, u nastojanju da što uspešnije uđu u kompjutere koje će onda zaraziti.



IRC crvi

Meta ovih crva su kanali za četovanje (chat). IRC crvi takođe koriste metode širenja koje su nabrojane u tekstu iznad - slanje linkova ka zaraženim sajtovima ili zaražene fajlove kontaktima pronađenim na zaraženom računaru. Slanje zaraženih fajlova je manje delotvorno utoliko što primalac mora da potvrdi prijem, sačuva fajl i otvori ga i tek time omogući crvu ulazak u ciljani kompjuter.



File-sharing mreže ili P2P crvi

P2P crvi se kopiraju u direktorijume koje korisnik deli sa drugima (shared folder), obično smeštene na računar korisnika. Onda kada crv smesti svoju kopiju pod, naizgled, bezopasnim imenom u direktorijum čiji se sadržaj deli sa drugima, P2P mreža je "osvojena": mreža obaveštava druge korisnike o novim resursima i obezbeđuje infrastrukturu za preuzimanje (download) i izvršenje zaraženog fajla.

Složeniji P2P crvi oponašaju mrežni protokol određenih 'file-sharing' mreža: oni potvrdno odgovaraju na sve zahteve i nude svoju kopiju kao traženi fajl.

Članak preuzet sa www.viruslist.com


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje