Интернет черви - основы основ.

Автор - kAMIkaDze ([email protected])

Code Red, Code Red II, Klez - кто о них не слышал, а сколько от них пострадало кампаний и простых людей… Все это компьютерные черви. Цель этой статьи - объяснить, что такое интернет червь или компьютерный червь (разницы никакой) и показать способы защиты от них. Вперед!

Что такое компьютерный червь?
Компьютерный червь очень похож на компьютерный вирус, то есть это программа, которая сама себя копирует и часто, но не всегда, содержит некую функцию, которая вмешивается в нормальную работу компьютера.

Интернет червь - это саморазмножающаяся программа, которая не заражает (изменяет) файлы, а оседает в активной памяти и размножается, использую компьютерные сети.

Черви пользуются средствами операционных систем, что бы скрыть свое присутствие на компьютере от пользователя, и каждый раз загружаться без ведома юзеров. Обычно, компьютерных червей обнаруживают, когда их неконтролируемое размножение начинает потреблять много системных ресурсов, тормозя некоторые приложения или всю систему. Новый класс интернет червей, например, Worm.ExploreZip, также оседает в активной памяти и размножается через компьютерные сети, но он еще содержит некую опасную функцию.

В отличие от вирусов, черви распространяются, как отдельная программа; они не прикрепляют свое тело к другим файлам или программам. Компьютерный червь может распространяться сам (без помощи пользователя) через сеть - с одного компьютера, на следующий и т. д.

Интернет черви были так названы, потому что наносят гигантский вред и из-за того, что они распространяются самостоятельно, то есть пользователю не обязательно запускать какую-либо программу, чтобы активировать компьютерный червь.

Черви, которые ломали IIS и потрясли мир.

Code Red, Code Red II и Nimda буйствовали в сети с Июля по Октябрь 2001 года. 19 июля 2001 года, в течение девяти часов, вирус Code Red подорвал работу более 250,000 серверов. Некоторые сети просто прекратили свою работу, другие работали очень медленно. Множество маленьких интернет провайдеров вынуждены были прекратить свою работу на несколько часов или даже более того.

Вирус получил название 'Code Red', потому что он был открыт техническими служащими, которые пили новый напиток компании 'Mountain Dew', под названием Code Red.

Интернет 'червь' Code Red заражал компьютерные сервера, на которых использовалось программное обеспечение фирмы Microsoft, а точнее Microsoft's Internet Information Server (IIS), который входил в стандартную комплектацию новых версии Windows NT. Около 6 миллионов веб серверов используют IIS. Когда червь заражал компьютерный сервер, он дефейсил главную страницу и помещал следующий текст: "Welcome to http://www.worm.com! Hacked by Chinese!". Также, зараженные сервера должны были послать 400 мегабайтовые пакеты информации на whitehouse.gov то есть провести DDoS атаку. Компьютеры Белого Дома спасло лишь то, что служащие вовремя сменили IP адреса серверов.

Code Red распространялся так: 1) Случайным образом выбирал 100 IP адресов 2) определял, стоит ли на этих компьютерах IIS 3) Заражал только те компьютеры, на которых присутствовал интернет сервер от Microsoft (тот самый IIS). Почему заражению подверглись компьютеры только с установленным IIS? Все очень просто - червь использовал недавно обнаруженную уязвимость в этом программном обеспечении. Похоже, что Code Red заражал только Англоязычные сервера.

За две недели до появления Code Red, Microsoft выпустила патч, закрывающий дыры, которые в последствии использует червь Code Red. Как водится, этот патч скачали не все, а точнее почти никто ;), за что и поплатились. Кстати, заплатка и сейчас доступна на сайте Microsoft (http://www.microsoft.com). Если бы все скачали этот патч, то 100%, что они не подвергли себя угрозе заражения.

Вслед за Code Red, появился и Code Red II - гораздо более деструктивный (разрушительный) вариант, который использовал те же самые уязвимости в IIS, что и Code Red, но содержал в себе еще и троян. Этот троян давал хакерам полный контроль над зараженной системой.

Затем, 11 сентября 2001 года появился червь из червей - NIMDA. Если бы этот червь производил какие-либо разрушительные действия, то ущерб, нанесенный им, был бы огромен!

"По сути, это настоящий коктейль из вируса, трояна и компьютерного червя", - сказал первый заместитель директора 'Internet Services'.

Nimda использовала уже обнаруженную дыру в Microsoft's Internet Information Server Web software (тоже самое, что Code Red и Code Red II). Когда Nimda попадает на компьютер, она первым делом пытается размножить себя тремя способами. 1) У этого червя есть свой собственный e-mail движок, то есть Nimda пытается разослать себя всем тем, кто находится в адресной книги Microsoft Outlook. 2) Червь занимается поиском IIS серверов и сканирует их на предмет существования уже найденных уязвимостей. 3) Nimda ищет расшаренные диски и пытается на них пробраться.

В конце концов, червь Nimda заразил порядка 8,3 миллиона компьютерных сетей. Причиненный ущерб оценивается в 590 миллионов долларов.

Как защититься от компьютерных червей?

EXIT
Есть еще много способов защиты от червей, но я привел самые популярные. Помните, черви появляются раньше, чем антивирусы находят на них 'противоядие' и в этот промежуток именно ВЫ можете стать жертвой. Будьте бдительными и обновите антивирусные базы