Перейти к содержимому



Bot-черви: опасность приближается


  • Вы не можете ответить в тему
  • Вы не можете создать новую тему
Сообщений в теме: 7

#1 OFFLINE   Viktor@s

 

    Знаток

  • [Хранители]
  • сообщений: 6 408
    Последний визит:
    06 Дек 2018 05:30
  • Пол:Мужчина
  • Откуда:Lithuania
 

Отправлено 25 Август 2005 - 08:44

Bot-черви: опастность приближается...

Представляется, что текущая тенденция развития вредоносных программ движется в направлении bot-червей. Bot-программы, работающие как агент пользователя или другой программы, часто называются malware и способны атаковать огромное количество ничего не подозревающих пользователей. Каковы же возможные новые добавления и модификации, которые авторы bot-червей могут включить в свои отвратительные "произведения" уже в ближайшем будущем?

В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.

Идея модульности этих типов червей была реализована в WORM_RBOT.CBQ и WORM_ZOTOB - двух сетевых червях, которые стали "гвоздем" информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, "создатели" этих червей сразу могут внедрить его в код уже существующего червя, перекомпилировать, и, пожалуйста - уже готов к распространению новый опасный вид червя.

Изображение

Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь.

WORM_NIMDA: 366 дней
WORM_SLAMMER: 185 дней
WORM_BLASTER: 26 дней
WORM_SASSER: 18 дней
WORM_ZOTOB: 4 дня

Что из этого следует: в настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:

1. Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.

2. В корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа malware. Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, так называемые "фаерволлы", которые могут блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.

Предполагается, что в будущем вредоносные программы будут использовать следующие технологии:

Захват потоков RSS: как следует из названия, эта развивающаяся технология является методом автоматического получения обновлений, или "Real Simple Syndication". Содержание Web-страниц может обновляться, и их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии - захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Это достигается путем перенастройки уже сконфигурированного клиента на другой, вредоносный Web-контент. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить или изменить один из адресов для обновлений на адрес вредоносного Web-сайта. Такой тип атак может иметь два прямых последствия:

1. Измененный агент может служить в качестве "пассивной" точки загрузки, т.к. соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", он может обойти персональные межсетевые экраны и другие барьеры.

2. Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузки необходимо средство для удаления вредоносной информации из конфигурации клиента RSS.

Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является достаточно опасным.

Однако ситуация может измениться с выходом окончательной новой версии обозревателя Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного Интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. Поэтому авторы червей могут получить новые мощные возможности для атак.

Чтобы бороться с такими атаками, компании должны применять, если они еще не применяют, методы сканирования трафика HTTP. Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.

Еще одна возможная технология проникновения, о которой мы должны знать, заключается в следующем:

Полиморфные атаки с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет меняться при каждом запуске, но приносить такой же результат. Из-за того, что большинство систем обнаружения сетевых атак и систем обнаружения брешей в системе защиты определяют malware по определенным участкам кода, если код будет меняться каждый раз, вредоносные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, в случае, если такой модуль будет создан, его авторы должны иметь возможность понять, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше, и могут замедлить создание новых червей. Авторам червей придется выбирать между быстрой атакой и невидимой атакой. Будем надеяться, что такая технология останется возможной лишь теоретически, но эту опасность необходимо принимать во внимание.

Борясь с такими bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. После того, как производители антивирусов научатся определять эту вредоносную программу, авторы червя просто используют другой алгоритм сжатия, и процесс продолжается снова. Существуют сотни различных алгоритмов сжатия, поэтому задача обнаружения bot-червей становится очень сложной.

Необходимо, конечно, научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. В частности, компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения bot-червей они будут определяться сразу после появления.

Bot-черви - самый опасный вид malware, существующий в настоящее время. Пользователи должны осознавать их опасность, а также знать методы, которые они используют для заражения других компьютеров, чтобы иметь возможность защититься от них.

Tom's Hardware

#2 Гость_pavel_*

 
  • Пришельцы
 

Отправлено 25 Август 2005 - 19:06

вот так почитаю и не хочу жить , обложили со всех сторон ВИРУСАМИ > ЧЕРВЯМИ > НАЛОГАМИ  :yahoo:

#3 OFFLINE   Gadget

 

    Хранитель ослиной тропы

  • [Супер Модератор]
  • PipPipPipPipPipPipPipPipPipPipPipPip
  • сообщений: 10 861
    Последний визит:
  • Пол:Мужчина
  • Откуда:Таллинн
 

Отправлено 26 Август 2005 - 11:02

я похоже один словил, буду теперь виндовс переставлять.

#4 Гость_sla_va_*

 
  • Пришельцы
 

Отправлено 26 Август 2005 - 13:45

да ладно вам, червей боятся на рыбалку не ходить.
Gadget сочувствую ,я не так давно перставил ОС, комп так чудть начал , то что-то рвалось в нет , то пытался что-то сгрузить с нета. стенка аж раскалилась от напряга , а вот антивири ни чего не показывали, штуки четыре перепробовал. потом все затрахало и снес все к чертям.

#5 OFFLINE   Alexander28

 

    в доску Свой

  • Постоянные посетители
  • PipPipPipPipPipPip
  • сообщений: 102
    Последний визит:
    12 Мар 2018 01:57
 

Отправлено 27 Август 2005 - 06:19

Цитата

вот так почитаю и не хочу жить , обложили со всех сторон ВИРУСАМИ > ЧЕРВЯМИ > НАЛОГАМИ
бедному юзеру и деваться никуда :yahoo:

#6 Гость_dalimania_*

 
  • Пришельцы
 

Отправлено 31 Август 2005 - 11:32

Цитата

я не так давно перставил ОС, комп так чудть начал , то что-то рвалось в нет , то пытался что-то сгрузить с нета. стенка аж раскалилась от напряга , а вот антивири ни чего не показывали, штуки четыре перепробовал. потом все затрахало и снес все к чертям.

да уш, страшилки на ночь глядя... комп боюсь включеным оставлять, а вдруг какой нить червяк его....

#7 Гость_Beatb0x_*

 
  • Пришельцы
 

Отправлено 04 Сентябрь 2005 - 14:10

Не так страшен чёрт, как его малютка :yahoo:
Исходя из собственного опыта могу сказать, что подобные неприятности случаются гораздо реже, чем о них говорят..
Gadget, мои соболезнования.. Будем считать это просто невезением. В таких случаях порекомендовать можно только одно - хорошая связка антивирус+фаервол . Ну и самое главное не запускать на своём компе первые попавшиеся программы. Лучше на учёбе/работе/у "друга"(нужное подчеркнуть)
ПыСы: И ещё есть всякие тулзы для отлова червей от Kaspersky Lab и Norton.
В общем, жить можно..

#8 Гость_Edwin_*

 
  • Пришельцы
 

Отправлено 05 Сентябрь 2005 - 09:46

Цитата

1. Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.


Последнее убило наповал.... можна сказат` Плакал` и Рыдал`.... :108:

Если конечна на комп не ставит`ся подряд всякая ъ$%... то вопрос на засыпку: Винда сама червя напишет? :yahoo:  (это на тему домашнего компа без И-нета...)





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных