- •6.1. Класифікація шкідливого програмного забезпечення
- •6.2. Програмні закладки
- •6.2.1. Функції програмних закладок
- •6.2.2. Шпигунські програми
- •6.2.3. «Логічні бомби»
- •6.2.4. Люки — утиліти віддаленого адміністрування
- •6.2.5. Несанкціонована робота з мережею
- •6.2.6. Інші програмні закладки
- •6.3. Комп'ютерні віруси
- •6.3.1. Файлові віруси
- •6.3.2. Завантажувальні віруси
- •6.3.3. Макровіруси
- •6.3.4. Скриптові віруси
- •6.3.5. Захист від комп'ютерних вірусів
- •6.4. Мережні хробаки
- •6.4.1. Класифікація мережних хробаків
- •6.4.2. Хробак Морріса
- •6.4.3. Сучасні мережні хробаки
- •6.5. «Троянські коні»
- •6.5.1. Соціальна інженерія
- •3DNow!(tm) mobile emulator for *games* .
- •Internet Accelerator
- •Internet accelerator, ssl security update #7. Internet Cracker
- •Virtual sex mobile engine from Russian hackers!
- •6.5.2. Класифікація «троянських коней»
- •6.5.3. Шпигунські троянські програми
- •6.5.4. Троянські інсталятори
- •6.5.5. «Троянські бомби»
- •6.6. Спеціальні хакерські утиліти
- •6.6.1. Засоби здійснення віддалених атак
- •6.6.2. Засоби створення шкідливого програмного забезпечення
- •6.6.3. Створення засобів атак
6.4.3. Сучасні мережні хробаки
Після Морріса протягом багатьох років ніхто не спромігся створити щось подібне. Те, що називали (і називають) хробаками, фактично наполовину було «троянськими кіньми», оскільки автоматично реалізовувало лише технологію доставляння на комп'ютер-жертву свого програмного коду або посилання на мережний ресурс, де цей код містився. Запуск шкідливого коду на комп'ютері-жертві здійснювався через необережні дії користувачів. Але згодом почали з'являтися справжні хробаки.
У грудні 1997 року з'явилися повідомлення про появу принципово нового типу мережних хробаків, що використовують канали IRC (Internet Relay Chat — система діалогового спілкування через Інтернет). Як виявилося, найпопулярніша утиліта для роботи з IRC — mIRC — мала небезпечну ваду захисту: файл настроювань script.ini знаходився в каталозі, який одночасно застосовувався для зберігання файлів, завантажених через IRC. Таким чином, після того як файл з ім'ям script.ini, що містив програмний код хробака, потрапляв на віддалений комп'ютер, він автоматично замінював оригінальний файл настроювань. Разом із mIRC запускався й хробак, який, у свою чергу, розсилав себе іншим користувачам. Про соціальну інженерію і технології «троянських коней» тут не йдеться — здійснювався запуск звичайної програми.
У наступні роки переважна більшість хробаків використовувала різні вразливості у програмних продуктах корпорації Майкрософт, які давали їм можливість розповсюджуватися без активного сприяння некомпетентних користувачів. Продукти Майкрософт завжди приваблювали зловмцсників, по-перше, через свою надзвичайну розповсюдженість, по-друге, завдяки наявності докладної документації та оснащення для розроблення програм (бібліотек, ресурсі©-, середовищ розроблення, засобів налагодження тощо), а по-третє, через велику кількість критичних помилок. Такі помилки було виявлено у програмі Microsoft Outlook (під час глобальної епідемії хробака Нарру99, також відомого як Ska), у поштовому клієнті Outlook Express, у браузері Internet Explorer. Незважаючи на те що Майкрософт, як правило, дуже швидко випускає виправлення (патчі), в Інтернеті завжди залишається безліч хостів, де ці виправлення не встановлено. Є багато прикладів глобальних епідемій хробаків, що використовували вразливості, виправлення для яких уже не один рік були доступними на сайті Майкрософт.
Безумовним лідером у 2002 році за кількістю інцидентів став хробак Klez. Його модифікації щонайменше два роки посідали «призові» місця у списках найбільш поширених загроз. Упродовж 2002 року кожні 6 із 10 зареєстрованих випадків зараження було викликано Klez. I Klez, і його найближчий конкурент за кількістю викликаних інцидентів — хробак Lentin, а також хробаки Tanatos і Bad-Trans використовували для свого розповсюдження вразливість IFRAME в системі безпеки Internet Explorer. Загалом на них припало більше 85 % усіх інцидентів [61].
Слід визнати, що останнім часом корпорація Майкрософт суттєво вдосконалила свої технології програмування, тож помилок у продуктах стало менше. Однак давні помилки ще нагадують про себе, оскільки і зараз користувачі вчасно не встановлюють необхідні виправлення.
Зловмисники не стоять на місці та вигадують усе вибагливіші технології розповсюдження шкідливих програм. Ось, наприклад, незвичайний винахід 2001 року — безтілесні хробаки, які стали одним із найнеприємніших сюрпризів як для користувачів, так і для розробників антивірусних засобів. Такі хробаки (відомими з них стали, наприклад, CodeRed і BlueCode) здатні активно розповсюджуватися і працювати на заражених комп'ютерах, взагалі не використовуючи файли. У процесі роботи ці програми існують виключно в системній пам'яті, а на інші комп'ютери потрапляють у вигляді спеціальних пакетів даних. Слід зауважити, що технології, які використовували на той час усі антивірусні засоби, ґрунтувалися саме на перехопленні файлових операцій, тому ефективного захисту від безтілесних хробаків на момент їх появи взагалі не було. Крім того, для захисту необхідно було не лише оновити антивірусні бази, а й впровадити нові технології виявлення таких хробаків. Глобальна епідемія хробака CodeRed (за деякими оцінками, було заражено понад 300 000 комп'ютерів) підтвердила ефективність технології, яку застосовували безтілесні хробаки [61].