Многовекторный червь

• Fizzer
• Nimda

«Fizzer» — многовекторный сетевой червь, распространяющийся по ресурсам Интернета. Такое вредоносное программное обеспечение (ПО) доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. Далее такие «вирусы» создают несколько файлов и прописываются в «ветку реестра» Windows, для последующего запуска вместе с компьютером^[1].

Fizzer — сложный почтовый червь, который появился 8 мая 2003. Компания F-Secure начинает разрабатывать программу для отлова Fizzer.

Червь распространяет свои копии как приложение распространяемое по почте. Когда пользователь-жертва запускает приложение, оно создает файл под названием ISERVC.EXE во временной папке и активизирует его.

Файл ISERVC.EXE — главный компонент червя. Он копирует себя к справочнику Windows со следующими именами:

• ISERVC.EXE
• INITBAK.DAT

и параллельно создает 2 файла в справочнике Windows:

• ISERVC.DLL
• PROGOP.EXE

Файл ISERVC.DLL — регистрирующий ключ компонент, и PROGOP.EXE. Перед рассылкой червь повторно собирает свой файл, используя этот компонент.

Все ресурсы кроме первого зашифрованы и сжаты

• список адресов электронной почты
• файл progop.exe
• файл iservc.dll
• скрипты (код) поведения
• текстовые строки

Скрипты поведения содержат главные параметры настройки для червя, такие как его инсталляционное имя и папка. Этот же скрипт управляет поведением червя в определенных условиях^[2].

Вредоносное ПО подобного рода, как и любое другое вредоносное ПО распространяется различными путями, такими как, например электронная почта или файлообменные сети. Для рассылки электронных сообщений с вредоносным ПО «Fizzer» сканирует адресные книги Microsoft Outlook и Windows Address Book. Червь использует в качестве объекта атаки случайные адреса в почтовых системах. Программное обеспечение такого типа может украсть имена и пароли пользователя зараженного компьютера. Чаще всего оно записывает собранную информацию в отдельный файл, который передается на выделенный сервер указанный владельцем данного вредоносного ПО. Как и большинство вирусов закрывает активные процессы антивирусных программ, для усложнения обнаружения и отлова его в системе^[3].

Nimda — компьютерный червь, являющийся файловым инфектором. Он быстро распространяется, затмевая экономический ущерб, нанесенный прошлыми вспышками, такими как «Code Red». Многократные векторы распространения позволили Nimda стать самым широко распространенным вирусом Интернета в течение 22 минут.^{[источник не указан 1266 дней]} Nimda затрагивает оба пользовательских автоматизированных рабочих места (клиенты), работающих под управлением Windows 95, 98, Me, NT, 2000 или XP и серверы работающие на Windows NT и 2000. Происхождение имени червя происходит от слова «admin», написанного справа налево.

Первая разновидность червя семейства Net-Worm:W32/Nimda была замечена 18-го сентября 2001, и быстро распространялась во всем мире.

Nimda — сложный вирус с компонентом червя массовой рассылки, который распространяется через электронную почту присылая файл README.EXE. Nimda также использует коды Unicode, чтобы заразить веб-серверы IIS.

Nimda — первый червь, который изменяет существующие веб-сайты, для загрузки зараженных файлов. Также, это — первый червь, который использует компьютер пользователя, чтобы просматривать уязвимости веб-сайтов. Эта техника позволяет Nimda легко завладеть интернет-ресурсами, не имеющими системы защиты. У червя есть текстовая строка авторского права, которая никогда не показывается:

• Вирус понятия (резюме) V.5, Copyright (C) 2001 R.P.China

Этот червь в 15:00 по Гринвичу 11-го октября 2001 разослал сотни электронных писем, зараженных Nimda. Письма были разосланы по разным адресам всего мира. Адрес отправителя электронных писем «mikko.hypponen@datafellows.com» относится к компании F-Secure занимающейся антивирусной защитой. Действительно F-Secure когда-то называлась datafellows.com название компании было изменено в начале 2000 года. А господин Микко Хиппонен — менеджер компании отдела антивирусных исследований, который не имел никакого отношения к этому инциденту.

Фактически Nimda состоит из четырёх частей:

• Инфицирование файлов
• Массовая рассылка
• Веб-червь
• Распространение ЛВС

Nimda был во многом эффективен благодаря тому, что он, в отличие от других вирусов использует пять различных векторов инфекции:

• по электронной почте
• через открытые сетевые ресурсы
• через просмотр вредоносных веб-сайтов
• через использование различных слабых мест Microsoft IIS 4.0 / 5.0^[4]

Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML-скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду отправлять зараженные электронные письма. Червь хранит время рассылки последней партии, переданных электронных писем, и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте. Адреса электронной почты, предназначенные для того, чтобы принять червя, собраны из двух источников:

• .htm и.html файлы найденные в папках пользователя
• электронные письма отправленные пользователем

Nimda создает многочисленные закодированные копии себя, при этом использует файлы с расширениями .eml и.nws во всех перезаписываемых справочниках, к которому у пользователя есть доступ. Если пользователь использующий другой компьютер запустит на общих с зараженным компьютером ресурсах копию файла червя, то система тоже будет заражена. К тому же, как уже было сказано, после 22 минут от создания вируса NIMDA, было заражено более 3 миллиардов компьютеров.^{[источник не указан 1266 дней]}

• Сетевой червь
• Компьютерные вирусы
• Хронология компьютерных вирусов и червей
• Антивирусная программа
• История компьютерных вирусов