Как черви работы

Share

|

В 1988 Моррис Worm (Worm Интернет) и его братьями и сестрами, как WANK и CHRISTMA EXEC, обычно нацелены большой мощности ЭВМ и микрокомпьютерных оборудования, почтовых и операционных систем. В последнее время угрозы были направлены в основном на ПК, и в одном широкую огласку инциденту (AutoStart червь), Apple Mac. Однако, они могут иметь случайный эффект сокращения почтовых серверов с помощью огромного веса трафик они создают. Некоторые из них были по-разному классифицируются различными исследователями и поставщиками, как вирусы, как черви, как вирус / червь гибридов, а иногда, как троянские кони.

Сегодняшнее сообщение червей и вирусы, как правило, быстро горелки. Они может распространиться до мире антивирусное продавцов есть время анализировать их и распределять средства обнаружения и дезинфекция. Некоторые вредоносной программы обычно называют червей фактически специализированных вирусы, инфицирующие только один файл. Это не означает, конечно, что вирус, как и Лихай, который инфицирует только COMMAND.COM, может быть обоснованно определена как червь.

Принимаем общепризнанные классификации червей нет, но Кэри Нахенберг в документе, на 1999 вирусов Бюллетень конференции, предложил классификации следующего содержания:

· Электронная почта Вормс, неудивительно, распространения по электронной почте.

· произвольным протоколом Черви распространения через протоколы не на основе электронной почты (IRC / ДКК, FTP, TCP / IP розетки).

Как и предлагает классификацию транспорта механизма Нахенберг также предложил классификацию путем создания механизма:

· самостоятельно запускающее Черви такие, как 1988 Интернет Worm не требуют взаимодействия с компьютера пользователя на распространение: они эксплуатируют некоторые уязвимость принимающей среды, а не каким-то образом заставить пользователя в исполнении инфицированной код. Однако KAK и довольно редкого BubbleBoy примеры самостоятельной начало червей. К эксплуатации ошибку в Windows среде, они могут выполнять без вмешательства пользователя.

· пользователем запущен Черви взаимодействуют с пользователем. Они должны использовать методы социальной инженерии для того, чтобы убедить жертву открыть / исполнить вложение до червь может подорвать среды, с тем, как начать сам на следующей группе хостов. Многие сегодняшние VBScript черви попадут в эту или гибридным запуска категории.

В действительности, некоторые из червей мы уже видели на сегодняшний день, вероятно, лучше классифицируются как Гибрид запуска Черви (по Нахенберг в классификации) или многосторонних (в виде обычных вирусов терминологии), поскольку они используют как самостоятельной запуска и пользователей начало механизмов.

Virus Характеристики

Следующие характеристики не обязательно ограничиваться частности вирус / червь классификаций, но определенное значение, если только из-за того, как условия стелс-операции полиморфизм и столь часто неправильно:

· Stealth. Почти все вирусы включать степень стелс-операции, т.е. они пытаются скрыть свое присутствие в целях обеспечения максимальной возможности их распространения. Там были вирусы, спрашивает разрешения перед заражение, но это любезность не было вознаграждено широкого распространения. Бросается аппаратура, как правило, следует избегать, или поставляются достаточно нерегулярно. Stealth вирусов использовании любых ряд методов, чтобы скрыть тот факт, что объект был инфицирован. Например, когда операционная система требует определенной информации, стелс-операции вируса реагирует с изображением окружающей среды, как это было до инфицированных вирусом он. Иными словами, когда инфекция занимает первое место, вирус записи информации, необходимой для последующих глупого операционной системы.

Это также влияет на антивирусные инструменты, чтобы работа обнаруживать, что что-то изменилось, а не путем выявления и определения известных вирусов. Чтобы быть эффективными, такие средства должны использовать общие противопехотных стелс-операции методов. Конечно, невозможно гарантировать, что такие методы будут работать против вируса, которые еще не были обнаружены. Вместе с тем, что вирус сканеры обнаружения известных вирусов на преимущество в этом отношении, поскольку продавцы, как правило, компенсацию за новый метод спуфинга, когда они добавить для обнаружения вируса, что он работает. Задача занятых некоторыми ИПБ отображать изображение первоначальный загрузочный сектор, как будто он по-прежнему принадлежал, где она является классическим стелс-операции техники. Файл вирусов характерно (но не всегда) увеличение продолжительности зараженном файле, и может обманывать операционную систему или антивирусного сканера путем подрыва системы требует, чтобы атрибуты файла до заражения, как сообщается, в том числе длина файла, время и дату, и КПР контрольную.

· Полиморфизм. Polymorphic вирусы обожать вирусом авторов и опасается почти все остальные. Это отчасти объясняется завышенная оценка воздействия на polymorphic угрозы. Неприсоединения polymorphic вирусов инфицируют, как правило, путем добавления более или менее идентичные копии самих к новой принимающей объект. Polymorphic вирусов превратилась прилагаю копию себя, так что форму изменения вируса от одного заражения к другому. Раннее polymorphic вирусов используются такие методы, как изменение порядка инструкции, представляя шума байт и манекена инструкции, и различные инструкции, используемых для выполнения конкретной функции. Более дифференцированный подход заключается в использовании переменной шифрования, резко сократив количество статических (неизменных) код для антивирусной программист, который будет использоваться для получения модели, с помощью которых вирус может быть установлен. Вы можете себе представить (как многие делают), что это делает полиморфизм собой технологию для борьбы. Действительно, появление polymorphic вирусов и модуля в мутации двигателей (позволяет практически любой вирус автора включить шифрование переменной в своей работе без изобретать колесо) способствует исчезновению некоторых ранее антивирусные пакеты. Однако, хотя polymorphic вирусы популярностью у вируса авторы демонстрируют свои навыки, они не столь широко представлены в области, чем в коллекциях антивирусных исследователей, сертификационных лабораторий, сравнительный тестеров, а другие, которые нуждаются в полную коллекцию сроки. Антивирусная технология сканирования также перешел, и простой подписи сканирования на фиксированный буквенная комбинация не играет значительную роль в деятельности современного сканера.

В классификации вирусных вредоносной программы, описанные выше, не охватывают весь спектр объектов, обнаруженных антивирусное программное обеспечение. Некоторые поставщики быстро отметить, что они продают это антивирусное программное обеспечение, не против вредоносного программного обеспечения. Тем не менее, в настоящее время большинство коммерческих продуктов обнаружить некоторые троянских коней и других объектов, которые едва качестве вредоносной программы, не говоря уже о вирусах. Такие объекты включают в (нефункционирующие) вирусов, шутка программ, программ DDoS (распределенной атаки на отказ от обслуживания), даже мусорных файлов, которые, как известно, присутствует в плохое содержание вируса коллекции может быть использован продукт рецензентов.

Конечно, есть более вирусы, инфицирующие PC платформ (DOS и всеми видами Windows), чем любая другая операционная система. Родные Macintosh вирусы намного меньше. На самом деле, существует, вероятно, более родной вирусов на такие системы, как Atari и Amiga, что никогда не имели той же популярности (в корпоративных средах, по крайней мере). Однако тот факт, что Apple Macintoshes поделиться с Windows степени уязвимости в Microsoft Управление макро вирусов делает их другими основными вируса благоприятных условий сегодня.

Не следует полагать, однако, что другие платформы не имеют вирус проблем. Доступ контроля может быть применен к непривилегированным счетов в UNIX (включая Linux), NT, NetWare и другие платформы, чтобы ограничить поток инфекции. Однако они не могут допустить непривилегированным пользователям из обмена файлы, если только по электронной почте. Не можем их предотвратить привилегированного пользователя случайно распространения инфекции. Даже систем, которые не поддерживают любые известные родной вирусов (серверов или рабочих станций) может передавать инфицированные объекты между infectable Саваоф, процесс иногда называют неоднородной передаче вируса. Это важно как для сканирования сетевых файловых серверов, Интранет и других веб-серверов, независимо от их родной операционной системы. По сути, все большее число продуктов обнаружения вирусов, связанных с других операционных средах. Так, некоторые Mac продукты обнаружения вирусов PC, и наоборот.

Ясно, что делать вирусы представляют опасность в Интернете. Этот риск выше для тех текущих DOS, любой вариант Windows или некоторых макро, способных приложений, в частности Microsoft Управления заявок оф. В основном это вопрос рынка. Большинство вирусов писателей целевого компьютера и Windows, поскольку именно они имеют доступ. Однако, существуют и другие факторы, которые повышают риск: например, PC архитектуру аппаратного обеспечения Microsoft в розовых ввиду отсутствия необходимости обеспечения безопасности на одного пользователя системы, и об опасностях, с макро кода и данных в одном файле. Существуют некоторые инструменты, которые помогают сохранить систем безопасности от вирусов нападения. Антивирусное программное обеспечение в основном реагирования: В ответ на предполагаемой угрозе, и работает наиболее эффективно против угроз, она может определить с точностью (то есть известных вирусов). Лучшая защита против неизвестных вирусов зачастую работать в условиях, не принимающей в частности классов опасности. Однако, к сожалению, это часто не выход, особенно в некоторых корпоративных средах, где Microsoft продукция считается обязательным.