Примеры и классификации компьютерных вирусов. Что такое сетевые вирусы

В данной части бюллетеня использована информация Лаборатории Касперского http://www.avp.ru - самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение.

Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" и "Wank Worm". Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватила аж несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же, как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" (back door) закрыты. В результате за последние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.
Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word. ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.
Этот вирус иллюстрирует первый тип современного сетевого вируса, который объединяет возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.
Второй вирус ("Homer") использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как "полусетевой", однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.
Возможны, конечно же, и другие способы проникновения вирусов в современные сети, однако мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

Сетевые вирусы - раздел Компьютеры, Компьютерные вирусы К Сетевым Относятся Вирусы, Которые Для Своего Распространения Активно Исполь...

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" и "Wank Worm&". Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусов Морриса эпидемия захватила аж несколько глобальных сетей в США.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за песледние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.

Второй вирус ("Homer") использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленнов сервере, этот вирус можно охарактеризовать как "полу-сетевой", однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Возможны, конечно же, и другие способы проникновения вирусов в современные сети, однано мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Алгоритм работы загрузочного вируса
Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с ко

Файловые вирусы
1. Способы заражения 2. Прочие замечани

Способы заражения -> Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанав

Способы заражения -> Вирусы без точки входа
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих "точки входа" (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд пер

Способы заражения -> Компаньон-вирусы
К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске

Способы заражения -> Файловые черви
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они

Способы заражения -> Link-вирусы
Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификаци

Способы заражения -> OBJ-, LIB-вирусы и вирусы в исходных текстах
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-

Внедрение вируса в DOS COM- и EXE-файлы
Выполняемые двоичные файлы DOS имеют форматы COM или EXE, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (".COM" или ".EXE") не всегд

Примитивная маскировка
При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражен

Скорость распространения
Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятее возникновение эпидемии этого вируса. Чем медленнее рас

Алгоритм работы файлового вируса
Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться

Макро-вирусы -> Word/Excel/Office97-вирусы. Принципы работы
При работе с документом Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие "встроенные мак

Макро-вирусы -> Алгоритм работы Word макро-вирусов
Большинство известных Word-вирусов (версий 6, 7 и Word97) при запуске переносят свой код (макросы) в область глобальных макросов документа ("общие" макросы), для этого они используют кома

Макро-вирусы -> Алгоритм работы Excel макро-вирусов
Методы размножения Excel-вирусов (включая Excel97) в целом аналогичны методам Word-вирусов. Различия заключаются в командах копирования макросов (например, Sheets.Copy) и в отсутствии NORMAL.DOT -

Макро-вирусы -> Алгоритм работы вирусов для Access
Поскольку Access является частью пакета Office97 Pro, то вирусы для Access представляют собой такие же макросы на языке Visual Basic, как и прочие вирусы, заражающие приложения Office97. Однако в д

Макро-вирусы -> AmiPro-вирусы
При работе с каким-либо документом редактор AmiPro создает два файла - непосредственно текст документа (с расширением имени SAM) и дополнительный файл, содержащий макросы документа и, возможно, про

Полиморфик-вирусы -> Полиморфные расшифровщики
Простейшим примером частично полиморфного расшифровщика является следующий набор команд, в результате применения которого ни один байт кода самого вируса и его расшифровщика не является постоянным

Полиморфик-вирусы -> Уровни полиморфизма
Существует деление полиморфик-вирусов на уровни в зависимости от сложности кода, который встречается в расшифровщиках этих вирусов. Такое деление впервые предложил д-р. Алан Соломон, через некоторо

Полиморфик-вирусы -> Изменение выполняемого кода
Наиболее часто подобный способ полиморфизма используется макро-вирусами, которые при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или меняют с

Стелс-вирусы -> Загрузочные вирусы
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет

Стелс-вирусы -> Файловые вирусы
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают п

Стелс-вирусы -> Макро-вирусы
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением

Резидентные вирусы -> DOS-вирусы
DOS предусматривает два легальных способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы для ма

Резидентные вирусы -> Загрузочные вирусы
Подявляющее большинство резидентных загрузочных вирусов для выделения системной памяти для своей резидентной копии использует один и тот же прием: они уменьшают объем DOS-памяти (слово по адресу 00

Резидентные вирусы -> Windows-вирусы
Для того, чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами. Самый простой спо

Резидентные вирусы -> Макро-вирусы
Большинство макро-вирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора. Они так же как резидентные загрузочные и файл

Прочие "вредные программы" -> Intended-вирусы
К таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает&

Прочие "вредные программы" -> Конструкторы вирусов
Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные т

Прочие "вредные программы" -> Полиморфные генераторы
Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в

IRC-черви -> IRC-клиенты
На компьютерах с MS Windows самыми распространенными клиентами являются mIRC и PIRCH. Это не очень объемные, но довольно сложные программные продукты, которые кроме предоставления основных услуг IR

IRC-черви -> Скрипт-черви
Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так назыв

IRC-черви -> mIRC.Acoragil и mIRC.Simpsalapim
Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря 1997. Названия получили по кодовым словам, которые используются червями: если в тексте, переданном в канал каким-либо пользов

IRC-черви -> Win95.Fono
Опасный резидентный файлово-загрузочный полиморфик-вирус. Использует mIRC как один из способов своего распространения: перехватывает системные события Windows и при запуске файла MIRC32.EXE активиз

IRC-черви -> pIRCH.Events
Первый известный PIRCH-червь. Рассылает себя каждому присоединившемуся к каналу пользователю. По ключевым словам выполняет различные действия, например: по команде ".query"

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 80-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы Cristmas Tree и Wank Worm. Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени. Вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. Эпидемия вируса Морриса захватила в свое время несколько глобальных сетей в США.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за последние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом и не появилось ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997 г. с появлением вирусов Macro.Word.ShareFun и Win.Homer. Первый из них использует возможности электронной почты Microsoft Mail. Он создает новое письмо, содержащее зараженный файл-документ (ShareFun является макровирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современных сетевых вирусов, которые объединяют возможности встроенного в Word и Excel языка Бейсик, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса.

Второй вирус (Homer) использует для распространения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP не позволяет запускать файлы на удаленном сервере, этот вирус можно охарактеризовать как полусетевой, однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Конечно же возможны и другие способы проникновения вирусов в современные сети, однако мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

Сетевые вирусы – это особые программы, которые распространяются через интернет. Для этого они используют сетевые протоколы, общие для всех пользователей во всем мире. Подобная унификация делает возможным стремительное размножение и распространение программ-убийц, уничтожающих полезные данные. Вирусы известны очень давно, если даже вы не проходили их в школе на информатике, то на Западе уже появились знаменитые хакеры, писатели вирусов: Моррис, Митник и им подобные.

Пути распространения вирусов

Понимание того, как распространяются сетевые вирусы, во многом может обезопасить пользователя, который умеет защищаться от них. Знание – это не только сила, но и безопасность. Среди основных путей распространения можно упомянуть:

Даже если вы никогда не принимали почту от посторонних людей, шансы заразиться все равно есть.

Электронную почту. По ней вирусы приходят в виде письма, затем автоматически запускаются в Word или собственном вьювере программы и начинают планомерно заражать операционную систему.

Программное обеспечение, полученное через FTP или Web. На многих сайтах есть полезные программы, утилиты, хранители экрана, фильмы, музыка и прочие софтверные продукты, потенциально зараженные вирусами. При скачивании пользователем такого контента и последующем его запуске, возникает опасность инфицирования.

Инфицированные сайты. Иногда при запуске очередного сайта пользователь наблюдает картину того, как его антивирус не дает странице раскрыться и пишет что-то вроде «Страница с потенциально опасным содержимым». Не исключено, что она заражена вирусом, способным попасть в систему.

Самозащита в сети

Невозможно полностью обезопасить компьютер и операционную систему от проникновения вредоносных программ. Все что остается пользователю, это снизить потенциальную опасность и по возможности предупредить ее. Для этого есть некоторые способы:

Нет стопроцентной защиты от вирусов, есть просто разумные меры предосторожности.

Не заходить на страницы с потенциально опасным содержимым, контентом (+18) и по ссылкам, которые прислали неизвестные люди через ICQ, Skype или Mail.

Не скачивать программы из неизвестных источников. В сети есть много проверенных популярных ресурсов, которыми можно пользоваться. Остальное на ваше усмотрение.

Не открывать полученную почту, если она пришла с неизвестных адресов.

Поставить на систему хороший антивирус (Касперский, НОД, Аваста и т.д.) и регулярно задавать ему обновления, вручную или автоматически. Не стоит пользоваться пиратскими версиями подобных программ. Кроме того, что это незаконно, обидно если скаченный антивирус, уже будет заражен вирусом.

Осторожность и только осторожность – главное правило при работе, общении и развлечении через интернет. В мире много хороших людей и тех, кто просто любит сделать гадость ближнему своему. От последних стоит защищаться вышеописанными способами.

ЧТО ТАКОЕ СЕТЕВОЙ ВИРУС? Сетевой вирус - разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети, использующая для своего распространения «дыры» - ошибки в защите Window, Internet Explore, Outlook и др. Такой вирус умеет передавать свой код без сторонней помощи на рабочую станцию или удаленный сервер

ВИДЫ ВИРУСОВ Почтовые черви – распространяется через электронную почту в виде приложения к письму или ссылки на вирус в Интернете. Самые активные вирусы – более 90%! Сетевые черви – проникают на компьютер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компьютеров в сети) – IRC-черви и IM-черви – распространяются через IRS-чаты и интернет-пейджеры (ICQ,AOL, Windows Messenger, MSN Messenger) P2P-черви – распространяются через файлообменные сети Р2Р (peer-to-peer)

CHRISTMAS TREE Christmas Tree (CHRISTMAS EXEC) одна из первых сетевых самовоспроизводящихся программ, которая парализовала работу частной почтовой сети IBM Vnet по всему миру 17 декабря 1987 года. Написана на языке REXX для VM/CMS. * ** ***** ******* ********* ************* A ******* *********** VERY *************** ******************* HAPPY *********** *************** CHRISTMAS ******************* *********************** AND MY *************** ******************* BEST WISHES *********************** *************************** FOR THE NEXT ****** ****** YEAR ******

MACRO.WORD.SHAREFUN Один из наиболее популярных почтовых червей. Использует все возможности электронной почты MS Mail. Создает новое письмо, в состав которого входит код вируса, а результатом является файл-документ. Затем выбирает из доступного списка адресатов три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо.

WIN. HOMER Использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на уда­ленный ftp- сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полу сетевой», однако это реальный пример возможностей вирусов по использованию совре­менных сетевых протоколов и поражению глобальных сетей.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1% 82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%87%D0%B 5%D1%80%D0%B2%D1%8C https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1% 82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%87%D0%B 5%D1%80%D0%B2%D1%8C tehnologii.ru/komp_vir/setev_vir/index.html tehnologii.ru/komp_vir/setev_vir/index.html