Analiza viermilor informatici

Articol postat de:

malware

Viermii informatici sunt programe cu efecte distructive ce utilizează comunicarea între computere pentru a se răspândi. Viermii au trăsături comune atât cu viruşii cât şi cu troienii. Viermii informatici sunt capabili să se multiplice, asemenea viruşilor, însă nu local, ci pe alte calculatoare. Folosesc reţelele de calculatoare pentru a se răspândi pe alte sisteme. Caracteristica comună cu a troienilor este faptul că viermii nu pot infecta un fişier; ei afectează sistemul. Conform RFC 1135, „un vierme este un program care poate rula independent, care consumă resursele gazdei pentru a se executa şi care poate propaga o versiune funcţională a să către alte calculatoare”.

Viermii se răspândesc automat în cadrul reţelelor de calculatoare după principiul „caută şi distruge” (Search and Distroy). Ei caută calculatoare ce prezintă vulnerabilităţi, se instalează pe sistemele respective, efectuează operaţiile distructive pentru care au fost programaţi, compromiţând securitatea sistemelor respective, după care încearcă să se răspândească mai departe. Factorul de multiplicare al viermilor este exponenţial.

Viermii se pot răspândi prin email (folosind propriul motor SMTP sau un anumit client de e-mail, de obicei Microsoft Outlook sau Outlook Express), prin fişiere partajate în reţea, prin programele de mesagerie sau prin programe de partajare de fişiere. Din acest punct de vedere se poate face următoarea clasificare a viermilor:

  • viermi de e-mail: se răspândesc prin fişierele infectate ataşate e-mail-urilor sau prin link-urile către site-urile infectate. Metodele cunoscute de răspândire sunt serviciile MS Outlook, conexiunile directe cu serverele SMTP utilizând un API (Application Programming Interface) SMTP sau funcţiile Windows MAPI (Messaging Application Programming Interface).
  • Aceşti viermi sunt cunoscuţi colecţionarea adreselor de e-mail din cadrul calculatoarelor infectate din diverse surse: bazele de date din WAB (Windows Address Book), bazele de date cu e-mail-uri din MS Outlook sau orice fişiere cu extensii corespunzătoare ce vor fi scanate pentru preluarea adreselor de e-mail. De multe ori aceşti viermi combină nume posibile cu nume de domenii comune pentru a construi noi adrese de e-mail.
  • viermi de mesagerie instantanee: se răspândesc prin intermediul aplicaţiilor de mesagerie instantanee prin trimiterea de link-uri către site-urile infectate pentru toţi utilizatorii de pe lista de contacte locale.
  • viermi de Internet: aceşti viermi scanează toate resursele de reţea disponibile utilizând serviciile locale ale sistemului de operare şi caută calculatoarele vulnerabile din Internet cu scopul de a se conecta la acestea şi a avea acces deplin la ele. O altă metodă este cea de scanare a calculatoarelor vulnerabile din Internet ce nu au toate update-urile de securitate făcute. Aceste update-uri pot fi trimise sub forma unor pachete de date ce conţin viermele sau un utilitar ce va descărca şi instala viermele pe calculatorul respectiv. De acolo viermele va căuta noi potenţiale gazde.
  • viermi de IRC: canalele de chat sunt ţinta principală a viermilor de IRC. Sunt trimise tuturor utilizatorilor unui anumit canal fişiere infectate sau link-uri către site-uri infectate cu viermi.
  • viermi de fişiere partajate în reţea: se auto-copiază în directoarele partajate în reţea. sub un nume inofensiv. Viermele va fi gata de transfer prin reţelele P2P şi apoi acţiunea de infectare şi răspândire în reţea va continua.

Viermii informatici aduc o serie întreagă de prejudicii calculatorului infectat, cum ar fi distrugerea unor fişiere importante din sistemul de operare, deteriorarea funcţionării unor servicii critice pentru sistem sau degradarea performanţelor sistemului.  Alte acţiuni distructive ale viermilor pot fi de creare a unor breşe în securitatea sistemelor informatice, de deschidere a unor porturi pentru a permite ulterior accesul creatorilor lor la sistemul informatic infectat, de ştergere a informaţiilor de pe hard disk sau chiar de lansare a unor atacuri de refuz al serviciilor – DoS. Viermii pot fi programaţi să anunţe autorul acestora despre sistemele compromise pentru a le putea accesa şi a efectua operaţii distructive.

Primul vierme informatic a fost lansat (probabil accidental) în Internet de către Robert Tappan Morris în 1988. Viermele a folosit aplicaţiile sendmail, fingerd, and rsh/rexec pentru a se răspândi foarte repede pe Internet.

Au existat şi viermi informatici creaţi în scopuri utile. De exemplu familia de viermi Nachi a încercat să descarce şi să instaleze patch-uri Windows pentru a remedia anumite vulnerabilităţi de sistem. Deşi au făcut aceste sisteme mai sigure, aceşti viermi au generat trafic suplimentar şi au repornit calculatoarele după ce au făcut instalările de rigoare fără ştiinţa sau aprobarea utilizatorilor. Din acest motiv, toţi viermii informatici, indiferent de scopul cu care au fost creaţi, reprezintă o formă de malware.

Sursa foto: www.techwench.com
Sursa articolului: MIHAI, Ioan-Cosmin; “Securitatea informațiilor”, ISBN 978-606-11-29203-4, Editura Sitech, 2012


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>