Многовекторный червь

Многовекторный червь — сетевой червь, применяющий для своего распространения несколько разных механизмов (векторов атаки), например, электронную почту и эксплойт ошибки в операционной системе. В некоторых случаях черви повреждают файлы и негативно влияют на работу компьютера (если это предусмотрено создателем).

Представители многовекторных червей

Fizzer
Nimda

Fizzer

«Fizzer» — многовекторный сетевой червь, распространяющийся по ресурсам Интернета. Такое вредоносное программное обеспечение (ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером^[1].

История Fizzer

Fizzer — сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.

Заражение

Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь-жертва запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.

Файл ISERVC.EXE — главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:

ISERVC.EXE
INITBAK.DAT

и параллельно создает 2 файла в справочнике Windows:

ISERVC.DLL
PROGOP.EXE

Файл ISERVC.DLL — регистрирующий ключ компонент, и PROGOP.EXE. Перед рассылкой червь повторно собирает свой файл, используя этот компонент.

Составляющие компоненты Fizzer

Все ресурсы кроме первого зашифрованы и сжаты

список адресов электронной почты
файл progop.exe
файл iservc.dll
скрипты (код) поведения
текстовые строки

Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот же скрипт управляет поведением червя в определенных условиях^[2].

Вредоносное ПО подобного рода, как и любое другое вредоносное ПО распространяется различными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО «Fizzer» сканирует адресные книги Microsoft Outlook и Windows Address Book. Червь использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного компьютера. Чаще всего оно записывает собранную информацию в отдельный файл, который передается на выделенный сервер указанный владельцем данного вредоносного ПО. Как и большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе^[3].

Nimda

Nimda — компьютерный червь, являющийся файловым инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». За первые 24 часа, распространяясь через почту, браузеры, корпоративные сети, вирус заразил около 150 000 веб-серверов и персональных компьютеров в Соединенных Штатах^[4]. Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево.

История Nimda

Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.

Nimda — сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE. Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.

Nimda — первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также, это — первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет-ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:

Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China

Этот червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем «mikko.hypponen@datafellows.com» относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен — менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.

Составляющие компоненты Nimda

Фактически Nimda состоит из четырёх частей:

Инфицирование файлов
Массовая рассылка
Веб-червь
Распространение ЛВС

Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:

по электронной почте
через открытые сетевые ресурсы
через просмотр вредоносных веб-сайтов
через использование различных слабых мест Microsoft IIS 4.0 / 5.0^[5]

Процесс размножения по электронной почте

Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML-скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду отправлять зараженные электронные письма. Червь хранит время рассылки последней партии, переданных электронных писем, и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:

.htm и.html файлы найденные в папках пользователя
электронные письма отправленные пользователем

Распространение многовекторного червя в файловой системе

Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена. К тому же, как уже было сказано, после 22 минут от создания вируса NIMDA, было заражено более 3 миллиардов компьютеров.

Примечания

↑ [1] Email-Worm.Win32.Fizzer
↑ [2] Архивная копия от 19 сентября 2018 на Wayback Machine Worm:W32/Fizzer
↑ [3] Архивная копия от 4 марта 2016 на Wayback Machine Fizzer: многовекторный червь нападает через e-mail и KaZaA
↑ . John L. Hennessy, David A. Patterson, Herbert S. Lin: Information Technology for Counterterrorism: Immediate Actions and Future Possibilities (англ.). National Academies of Sciences, Engineering, and Medicine. The National Academies Press. doi:https://doi.org/10.17226/10506. Дата обращения: 22 ноября 2025.
↑ [4] Архивная копия от 30 июня 2016 на Wayback Machine Introduction to computer security

См. также

[nom2-1] [1] Email-Worm.Win32.Fizzer

[nom4-2] [2] Архивная копия от 19 сентября 2018 на Wayback Machine Worm:W32/Fizzer

[nom3-3] [3] Архивная копия от 4 марта 2016 на Wayback Machine Fizzer: многовекторный червь нападает через e-mail и KaZaA

[4] . John L. Hennessy, David A. Patterson, Herbert S. Lin: Information Technology for Counterterrorism: Immediate Actions and Future Possibilities (англ.). National Academies of Sciences, Engineering, and Medicine. The National Academies Press. doi:https://doi.org/10.17226/10506. Дата обращения: 22 ноября 2025.

[nom5-5] [4] Архивная копия от 30 июня 2016 на Wayback Machine Introduction to computer security

[1]

[2]

[3]

[4]

[5]