Компютърните червеи са вид самовъзпроизвеждащи се злонамерени програми. Te атакуват мрежи и компютри, използвайки различни уязвимости в тях. Защо самовъпзроизвеждащи се?! Червеите са самостоятелни програми, програмирани да създават свои копия (реплики), които да се разпространяват до други, незаразени компютри в мрежата. По-интересното е, че това обикновено става на фонов режим, без знанието и намесата на потребителя.
Компютърните червеи се причисляват към групата на т.нар. злонамерен софтуер (малуер), към който спадат още вирусите и троянците. В тази връзка е важно е да отбележим, че понятията „компютърен вирус“ и „компютърен червей“, макар и с известни сходства, не са едно и също нещо.
Каква е разликата между компютърните вируси и червеите?
За да направим разграничение между тези две понятия, е необходимо първо да изясним същността на компютърните вируси.
Компютърният вирус е злонамерена програма, която е устроена да се прикрепя към друга програма, файл или дори сектора за зареждане на твърдия диск. Подобно на вирусите в биологията, компютърните вируси се нуждаят от приемник (хост). Обикновено такъв приемник се явява някой изпълним файл или офис документ, който бива заразен. Когато този файл бъде отворен, вирусът се изпълнява и може да порази много други файлове в системата.
За разлика от компютърните вируси, червеите могат да съществуват като самостоятелен софтуер. Те не се нуждаят от хост файл, към който да се прикрепят, за да инфектират системата. Ако вирусите модифицират различни файлове на заразения компютър, то компютърният червей може да не засегне нито един от тези файлове. За сметка на това, червеят може да стои зареден в системната памет на заразения компютър и там се репликира, търсейки пътища към нови компютри.
Как се разпространяват компютърните червеи?
Както вече казахме, червеите могат да се самовъзпроизвеждат (саморепликират). Поради способността си да създават свои копия, компютърните червеи могат да се разпростряняват неконтролируемо, на принципа на „верижната реакция“ и щетите от тях да са наистина мащабни.
Все пак най-често използваните начини за заразяване на компютърните системи с червеи включват:
- Чрез електронната поща. Най-често това става като червеят пристигне като прикачен към съобщението файл или интегриран в самия текст на писмото. Когато потребителят отвори писмото или файла, прикачен към него, червеят прониква в системата. След това той може да започне да създава свои копия, които да изпрати до наличните контакти в адресната ви книга.
- Чрез уязвимости в операционната система, инсталирания софтуер и дори в мрежовите протоколи. Ето защо е много важно да обновяваме операционната система с всички налични ъпдейти за сигурност, както и да използваме защитна стена.
- Чрез съобщения. В миналото софтуерът за мигновени съобщения като mIRC, MSN Messenger, Yahoo IM и ICQ се оказа изключително плодотворна среда за разпространение на компютърни червеи. Днес използването на FB Messenger, Skype и други подобни платформи също крие известни рискове, особено ако се доверяваме на всеки получен като съобщение файл.
Какво влияние имат червеите върху системата? Как да ги разпознаем?
Голяма част от червеите са разработени така, че да се възпроизвеждат на фонов режим, без да будят подозрение у потребителя. Способността на тези злонамерени програми да се саморепликират в големи мащаби често води до прекомерно използване на системни ресурси. Това от своя страна няма как да остане незабелазано от по-опитните потребители!
Има разбира се и червеи, които са създадени да нанасят щети на засегнатите компютри. Тези злонамерени програми носят в себе си т.нар. „полезен товар“. Това е тази част от кода, която е предназначена да причинява вреди, в т.ч. изтриване на файлове, криптиране на данни или компроментиране стабилността на системата. Този „полезен товар“ може да също така да изпълнява кражба на данни, инсталиране backdoor-програми („задни вратички“), които да позволят на хакерите да получат контрол над компютъра и неговите системни настройки, както и да инсталират друг зловреден софтуер.
Много от червеите съчетават в себе си характеристиките и на други злонамерени програми и влиянието им върху системата може да бъде разнопосочно. Нека все пак обобщим някои от най-често срещаните индикации за проникване на червей в компютърната система:
- Понижена производителност на компютъра – системата зарежда по-бавно от обичайното, изпълнението на ежедневните задачи изисква повече време.
- Системата се държи нестабилно – често „забиване“ на операционната система или определени приложения, внезапни рестартирания и показване на различни съобщения за грешки могат да са само част от проявите на инфекция с компютърен червеи.
- Бавна работа на уеб браузъра – много често работата на уеб браузърите бива афектирана от редица видове зловредни програми, в т.ч. и компютърните червеи.
- Бавна интернет скорост – тъй като червеите могат да се репликират неконтролируемо, често пъти „изяждат“ мрежовите ресурси.
- Предупреждения на защитната стена – дано все пак имате действаща такава!
- Поява на различни съмнителни файлове в локалния компютър, включително и изпълнението на такива. Откривате нови, непознати файлове на локалния диск или заредени такива в диспечера на задачите?! Твърде вероятно да са резултат от съмнителна дейност във вашата система.
- Наличие на изпратени от ваше име имейли до вашите контакти, без ваша намеса. Много компютърни червеи използват именно електронната поща като средство за разпространение.
Как да се защитим от компютърните червеи?
Вече споменахме, че компютърните червеи използват различни уязвимости в операционната система, приложенията и мрежовите протоколи. По този начин те проникват в целевата система, размножават се, а това е предпоставка за тяхното разпространение и до други компютри. Ето защо е от ключова важност да поддържаме операционната система и инсталираните приложения винаги актуални. Забраната на автоматичните обновления на Windows е грешка, която е идеална предпоставка след време системата да стане потенциална мишена за злонамерен софтуер.
На следващо място и с не по-малко значение е използването на подходящ антивирусен софтуер и защитна стена (Firewall). Важно е антивирусната програма да може да се обновява редовно – принципно, всички антивирусни програми могат да обновяват своите дефиниции автоматично, ето защо в никакъв случай не бива тази възможност да бъде спирана или ограничавана.
Не на последно място е поведението на потребителите в мрежата. Винаги в подобни наши материали сме се опитвали да изтъкнем, колко голяма роля имаме ние – потребителите, що се отнася до сигурността на нашите компютри. Какво имаме предвид: да познаваме принципа на работа на различните видове злонамерен софтуер, за да знаем как да се предпазим. В тази връзка ще се опитаме да формулираме няколко конкретни препоръки:
- Не отваряйте съмнителни прикачени файлове, пристигнали по електронната поща, както и такива изпратени ни по Messenger, Skype или други платформи за съобщения.
- Избягвайте да отваряте съмнителни уеб страници. Използването на антивирусна програма, която разполага с уеб филтър е добро решение в този случай!
- Избягвайте да кликате върху съмнителни реклами в мрежата, особено ако се появяват на необичайни места.
- Избягвайте използване на софтуер, свален от съмнителен източник.
В заключение: повече за най-популярните атаки с компютърни червеи
WannaCry
През 2017 година червеят WannaCry (WanaCrypt0r 2.0) причини невиждани щети за милиарди по цял свят. WannaCry е познат повече като рансъмуер атака, но той всъщност е хибрид между червей и рансъмуер.
Вече сме говорили за това какво е рансъмуер (ransomware). Това е вид злонамерен софтуер, който прониква в системата и ограничава достъпа до потребителските файлове, като ги криптира или заключва системата. Това обикновено е придружено от съобщение с искане на откуп – често пъти в криптовалута, след заплащането на който потребителя би трябвало да получи скрипт за „отключване“ или декриптиране на своите данни.
WannaCry се възползва от уязвимостта на протокола Microsoft Server Message Block ver.1 (SMBv1), който се използва за споделяне/достъп до файлове в някои мрежови устройства. Червеят използва EternalBlue експлоит, който използва въпросната уязвимост в SMB протокола. Така той инсталира „задна вратичка“ в системата, която позволява изтеглянето на софтуера.
Червеят порази множество Windows-базирани системи, които използват стара версия на операционни системи Windows, както и системи, на които не са правени ъпдейти за сигурност. WannaCry може да се самовъзпроизвежда и веднъж попаднал в даден компютър може да зарази всички останали, свързани в мрежата.
Stuxnet
През 2010 година първият компютърен червей, използван като кибер-оръжие бе открит след поредица инциденти в Иран. От Symantec съобщиха, че червеят е създаден с цел атака на иранска електроцентрала, а крайната цел е да се саботира производството на ядрено оръжие. Този червей, наречен Stuxnet има изключително сложен механизъм, невиждан до този момент. Stuxnet атакува определени контролери на Siemens, които се използват широко в индустрията, включително и в иранската ядрена програма.
Sasser & Netsky
Sasser & Netsky са два отделни червея, често групирани заедно поради сходствата си в кода. Именно заради тези прилики се смята, че червеите Sasser и Netsky са създадени от един и същи човек – 17-годишния германски студент Sven Jaschan.
Sasser се разпространява чрез заразени компютри, като сканира случайни IP адреси и ги инструктира да изтеглят зловредния код.
Netsky от своя страна използва по-познатия подход за разпространение чрез използването на електронна поща. Потребителите биват приканени да отворят прикачен към писмото файл, съдържащ зловреден код. След като този файл бъде стартиран програмата започва да сканира компютъра за e-mail адреси и изпраща свое копие до всеки открит електронен адрес.
ILOVEYOU
ILOVEYOU е друга голяма атака от червей, нанесла огромни щети на десетки милиони компютри. Атаката започва през май 2000 година. Червеят се разпространява чрез електронната поща, под формата на съобщения, носещи заглавието „ILOVEYOU“. Към въпросните съобщения е прикачен файл с „двойно разширение“, носещ името „LOVE-LETTER-FOR-YOU.txt.vbs“. Повечето Windows-базирани мейл клиенти скриват истинското разширение (.vbs) на файла и потребителите биват заблудени, че това е текстов (.txt) файл. Отваряйки въпросния файл се изпълнява Visual Basic скрипт, който инфектира системата.
Веднъж активирал се, ILOVEYOU презаписва както системни файлове, така и лични файлове – офис документи, музика, изображения и т.н. След това червеят започва да се самовъзпроизвежда отново и отново.
© PCGuide.bg. Автор: Светослав Миронов.
Казвам се Светослав Миронов и съм администратор на PCGuide.bg. Автор съм на материалите, публикувани тук. Интересите ми са преди всичко в областта на информационните технологии и по-конкретно операционни системи Microsoft Windows, софтуер и антивирусна защита.