Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Если говорить упрощенно, то черви — это вирусы, которые способны распространятся между компьютерами. Собственно, эта возможность и является основным способом их распространения. При этом, как правило, черви попадают на компьютер либо по неосторожности пользователя (пользователь сам запустил файл с червем), либо с помощью ошибок в операционной системе и программном обеспечении. Во втором случае от действия пользователя ничего не зависит. Хотя нет, зависит — своевременная установка обновлений для операционной системы, и большинство червей вам не страшны.

Очень часто червей используют для того, чтобы они установили на компьютер какую-либо другую вредоносную программу, (вирус или троянскую программу). Например, именно для этого использовались черви Mydoom, Bagle, Warezov.

Черви, по сравнению с обычными вирусами, больше любят операционные системы на основе Unix (хотя они не прочь полакомиться и ОС Windows). Связано это с тем, что черви распространяются в Интернете, а на большинстве веб-серверов в Интернете как раз установлены операционные системы Linux, FreeBSD и подобные.

Например, к червям для операционной системы Linux можно отнести следующих: Net-Worm.Linux.Adm, Net-Worm.Linux.Lupper, Net-Worm.Linux.Ramen, Net-Worm.Linux.Slapper, Worm.FreeBSD.Scalper.

Давайте посмотрим на некоторые вехи появления червей:

• 2000 год — первый червь (Jer), который проникал на компьютеры пользователей через веб-сайт — видимо его девизом были слова «мы думаем о вас — просто откройте страницу»;
• январь 2001 год — первый червь для операционной системы Red Hat Linux (имя ему Ramen);
• чуть позже подверглась нападению и операционная система FreeBSD;
• февраль 2006 года — операционная система Mac OS X становится настолько популярной, что для нее впервые создается червь — Leap.

Интернетова фауна: черви обыкновенные и черви пакетные

Черви бывают разные. Например, по принципу действия черви бывают обычные и пакетные («бесфайловые»).

Обычные черви больше похожи на вирусы, они при попадании на компьютер также создают свою копию и выполняют какую-то деструктивную деятельность. Правда, помимо этого черви пытаются найти на вашем компьютере адреса других сетевых компьютеров, после чего пробуют проникнуть на эти компьютеры.

Например, червь Net-Worm.Win32.Nimda.a создает на зараженном компьютере файлы с расширением EML и NWS, в которые помещает свою копию.

Пакетные черви — уникальная порода. Такие черви не являются файлами и при попадании на компьютер никаких объектов в файловой системе жертвы не создают, и никакие файлы не заражают. Пакетные черви распространяются в виде сетевых пакетов, и после проникновения на компьютер заражают его оперативную память. Такие черви выполняют свои деструктивные действия до тех пор, пока компьютер не будет перезагружен. После перезагрузки компьютера червь будет удален и никаких следов его работы не останется. Это очень плохо, ведь до перезагрузки компьютера червь мог собрать все ваши пароли и отправить их злоумышленнику. И вы об этом никогда не узнаете.

Первый пакетный червь появился в 2001 году, и наделал много бед. Ведь на тот момент антивирусные программы не могли защитить пользователя от пакетных червей. Для этого нужен был брандмауэр, который в то время редко можно быть встретить на компьютерах пользователей. К счастью, сейчас антивирусные программы способны обнаруживать пакетных червей. Но это не значит, что помимо антивирусной программы вам не обязательно устанавливать брандмауэр.

Среда обитания червей

Также черви разделяют по способу, с помощью которого они путешествуют между компьютерами.

Email-Worm Так называют червей, которые для своего распространения используют почтовые программы. Для этого червь, после того, как попадает на компьютер жертвы, ищет в адресной книге почтовой программы все адреса электронной почты, и посылает на них электронные письма. Иногда, в качестве вложения к письмам червь прикрепляет свою копию. А иногда он просто указывает в теле письма ссылку на зараженный файл или зараженную страницу. Второй вариант для червя предпочтительнее, ведь электронное письмо будет передано почтовому серверу, а большинство почтовых серверов всегда проверяют вложения антивирусными программами.

А как вам понравится электронное сообщение от лица компании Media Defender, в котором вам сообщается, что вас застукали за скачиванием с Интернета пиратских файлов мультимедиа? И что против вас даже собраны неопровержимые улики, посмотреть на которые можно перейдя по ссылке…

Вы перейдете по такой ссылке? Надеюсь, нет. Ведь если бы вы перешли по ссылке, указанной в таком письме, тогда, скорее всего, на ваш компьютер была бы установлена вредоносная программа.

Для отправки электронных писем червь использует различные способы. Например, возможности Microsoft Outlook, API-функции Windows MAPI, а некоторые черви содержат в себе функции для прямого подключения к SMTP-серверу.

По статистике, около 55% всех вредоносных программ, которые рассылались в 2007 году с помощью почтовых рассылок, как раз являются почтовыми червями. На втором и третьем месте находились троянские программы типа Trojan-Downloader (15%) и Trojan-Spy (13%).

IM-Worm А эти черви (пример: W32.Aplore.A@mm) выбрали для своего обитания клиенты мгновенной связи наподобие ICQ (Интернет-пейджеры). Для распространения червь ищет контакты в списке контактов клиента, и посылает на найденные контакты сообщение. В теле сообщения помимо всего прочего содержится ссылка на зараженный файл или зараженную Интернет-страницу.

IRC-Worm Ареал обитания этих червей — IRC-сети. По своему действию они похожи на червей класса IM-Worm. Правда, размножаться могут не только с помощью отправки сообщения со ссылкой, но и с помощью отправки самого зараженного файла пользователю IRC. Правда, это не очень надежный способ распространения — пользователю сначала нужно подтвердить загрузку файла, а потом еще и открыть его. Вряд ли найдется настолько любопытный пользователь.

P2P-Worm А эти черви обитают в темных и мрачных подворотнях файлообменных сетей (KaZaA, Grokster, BearShare, eDonkey2000, Morpheus и т.д.). Способ их распространения довольно оригинален — они играют на наших пороках. Попав на компьютер жертвы, червь помещает в каталог, содержащий файлы, доступные для скачивания другими пользователями файлообменной сети, множество своих копий, давая им самые привлекательные имена.

А что пользуется наибольшим спросом у современного пользователя? Правильно, порно-картинки, хакерские программы, всякие генераторы электронных денег и универсальная открывашка Интернета, дарующая каждому бесплатный доступ к Сети.

Разместив таким образом множество приманок, червь, как заправский охотник, тихо и мирно поджидает своих жертв.

Net-Worm К этой категории можно отнести остальные разновидности сетевых червей.

Примеры червей

Для того чтобы лучше понять, что могут натворить черви, давайте рассмотрим назначение некоторых из них.

• ROGUEMARIO.A. Весьма полезный червь. Он устанавливает на зараженном компьютере одну из версий известной игры Mario Bros.
• VOTER.A. Каждые 9 секунд отображает на зараженном компьютере фотографию одного из кандидатов на выборах в Кении. Как видите, технологию сетевых червей уже начали использовать для предвыборной агитации.
• STORM. Легендарный червь, который появился в начале 2007 года, и уже через неделю заразил более полутора миллионов компьютеров по всему миру. На самом деле, это не совсем червь, ведь помимо всех признаков сетевого червя, он содержит в себе функциональность троянской программы, бэкдора, а также позволяет создавать ботнеты для организации DDOS-атак. Поэтому некоторые антивирусные компании говорят о нем, как о черве, а другие — как о троянской программе. Более года ботнет, созданный с помощью Storm, считался самым большим из всех существующих.

Автор: Клименко Роман