Hoe Worms Werk

Share

|

De 1988 Morris Worm (Internet Worm) en haar broers en zussen, zoals Wank en Christma EXEC, meestal gericht zware mainframe en minicomputers hardware, post, en besturingssystemen. Meer recente bedreigingen zijn voornamelijk gericht op pc's, en in een met veel publiciteit incident (de AutoStart worm), Apple Macs. Toch zouden ze hebben een bijkomstig gevolg van het terugdringen van mailservers door de enorme gewicht van het verkeer ze genereren. Sommige van deze zijn afwisselend zijn ingedeeld door verschillende onderzoekers en leveranciers als virussen, zoals wormen, zoals virus / worm hybriden, en af en toe als Trojaanse paarden.

Today's e-mail wormen en virussen worden meestal snel branders. Ze hebben de potentie om wereldwijd verspreiden voor anti-virus leveranciers de tijd hebben om ze te analyseren en aan de hand van de detectie en ontsmetting te distribueren. Sommige van de malware gewoonlijk aangeduid als wormen eigenlijk zijn gespecialiseerd virussen die infecteren slechts een bestand. Dit wil niet zeggen natuurlijk, dat een virus zoals Lehigh, die alleen COMMAND.COM infecteert, verstandig kan worden gedefinieerd als een worm.

Algemeen aanvaarde indelingen van wormen niet bestaan, maar Carey Nachenberg, in een papier voor de Virus Bulletin Conference 1999, een voorstel voor een classificatieschema langs de volgende lijnen:

· Email Worms, niet verbazingwekkend, verspreid via e-mail.

· Arbitrary protocol Wormen verspreiden via protocollen niet gebaseerd op e-mail (IRC / DCC, FTP, TCP / IP-sockets).

Alsmede het voorstellen van de indeling door transportmechanisme, Nachenberg ook voorgesteld door de lancering van classificatie mechanisme:

· Self-Worms, zoals de lancering van de 1988 Internet Worm vereisen geen interactie met de computer gebruiker te verspreiden: ze misbruiken sommige kwetsbaarheid van het ontvangende milieu, in plaats van in een of andere manier tricking de gebruiker in de uitvoering van de besmettelijke code. Echter, KAK en de vrij zeldzamer BubbleBoy zijn voorbeelden van zelf-lancering wormen. Door het uitbuiten van een bug in de Windows-omgeving, kunnen ze uitvoeren zonder tussenkomst van de gebruiker.

· User gelanceerd Worms interactie met de gebruiker. Zij hebben behoefte aan social engineering-technieken gebruiken om het slachtoffer ervan te overtuigen om te openen / een bijlage worden uitgevoerd voordat de worm het milieu kan ondermijnen om zich te lanceren naar de volgende groep van hosts. Veel van VBScript wormen vandaag vallen in deze of de hybride-launch categorie.

In feite, zijn enkele van de wormen die we hebben gezien tot op heden waarschijnlijk beter ingedeeld als hybride-launch Worms (door indeling Nachenberg's stelsel) of multipartiet (in termen van conventionele virus terminologie), omdat zij zowel zichzelf lanceren en door de gebruiker gestart mechanismen .

Virus Characteristics

De volgende kenmerken zijn niet noodzakelijk beperkt tot specifieke virus / worm classificaties, maar zijn wel van belang alleen al vanwege de manier waarop de termen stealth en polymorfisme zijn zo vaak misbruikt:

· Stealth. Bijna alle virussen bevatten een zekere mate van stealth, dat wil zeggen, ze proberen om hun aanwezigheid te verbergen om hun kans op verspreiding te maximaliseren. Er zijn virussen die vroeg toestemming voor infecteren, maar dit hoffelijkheid is niet beloond door de ruime verspreiding. Opvallend ladingen vaak worden vermeden, of zijn vrij onregelmatig geleverd. Stealth virussen gebruiken van een aantal technieken te verbergen het feit dat een object is besmet. Bijvoorbeeld, wanneer het besturingssysteem vraagt om bepaalde informatie, de stealth-virus reageert met een afbeelding van het milieu zoals het was voordat het virus is besmet. Met andere woorden, wanneer de infectie op de eerste plaats, het virus records informatie die nodig is om later gek het besturingssysteem.

Dit heeft ook implicaties voor anti-virus tools die werken door het detecteren dat er iets is veranderd in plaats van door opsporing en identificatie van bekende virussen. Om doeltreffend te zijn, moeten deze hulpmiddelen te gebruiken generische anti-stealth-technieken. Natuurlijk is het niet mogelijk te garanderen dat dergelijke technieken zal werken tegen een virus dat nog niet is ontdekt. Echter, virus scanners die bekende virussen detecteren zijn in het voordeel in dit verband, omdat de verkopers normaal te compenseren voor een nieuwe spoofing-techniek toe te voegen wanneer zij detectie voor het virus dat zij in dienst heeft. De truc die door sommige balansposten van het weergeven van een afbeelding van de originele bootsector alsof het nog steeds was waar hij behoorde, is een klassieke stealth techniek. Bestand virussen typisch (maar niet altijd) de lengte van een geïnfecteerd bestand, en kan spoof het besturingssysteem of een anti-virus scanner door ondermijning van system calls zodat attributen van het bestand vóór infectie, zijn gemeld, waaronder bestand lengte, tijd-en datumstempel wilt voorzien en CRC controlesom.

· Polymorfisme. Polymorfe virussen worden aanbeden door virus auteurs en gevreesd door bijna iedereen. Dit is gedeeltelijk het gevolg van een overschatting van het effect van de polymorfe dreiging. Niet-polymorfe virussen meestal infecteren door het toekennen van een meer-of-meer identieke kopie van zichzelf naar een nieuwe host object. Polymorfe virussen hechten zich ontwikkeld een kopie van zichzelf, zodat de vorm van het virus van de ene infectie naar de andere. Vroege polymorfe virussen gebruikte technieken zoals het veranderen van de volgorde van de instructies, de invoering van lawaai bytes en dummy instructies en het variëren van de instructies gebruikt voor het uitvoeren van een specifieke functie. Een meer gesofisticeerde aanpak is het gebruik van variabele encryptie, drastisch verminderen van de hoeveelheid statisch (onveranderlijk) code ter beschikking van de anti-virus programmeur te gebruiken om een patroon waarmee het virus kan worden geïdentificeerd extract. Je zou kunnen denken (zoals veel mensen doen), dat maakt dit polymorfisme een formidabele techniek te pareren. Inderdaad, de opkomst van polymorfe virussen en plug-in mutatie motoren (waarvan bijna een virus auteur aan variabele encryptie in zijn eigen werk op te nemen zonder het opnieuw uitvinden van het wiel) bijgedragen tot de verdwijning van enkele van eerdere anti-virus pakketten. Hoewel polymorfe virussen populair zijn bij virus schrijvers tonen hun vaardigheden, zijn ze minder goed zijn vertegenwoordigd in het veld dan in de collecties van anti-virus onderzoekers, certificering laboratoria, vergelijkende testers, en anderen die nodig zijn om als een verzameling compleet mogelijk te maken. Anti-virus scanning technologie heeft ook verplaatst op, en eenvoudige handtekening scannen voor een vaste tekenreeks niet een grote rol spelen in de werking van een moderne scanner.

De classificaties van virale malware eerder beschreven hebben geen betrekking op het hele scala van objecten ontdekt door anti-virus software. Sommige leveranciers zijn snel op wijzen dat wat ze verkopen, is anti-virus software, niet anti-malware software. Niettemin tegenwoordig de meeste commerciële producten ontdekken enkele Trojaanse paarden en andere voorwerpen die nauwelijks in aanmerking komen als malware, laat staan virussen. Dergelijke voorwerpen zijn bestemd (niet-functioneren) virussen, Joke programma's, programma's DDoS (Distributed Denial of Service), zelfs afval bestanden die bekend zijn om aanwezig te zijn slecht onderhouden virus collecties kunnen worden gebruikt per product reviewers.

Zeker, er zijn meer virussen die infecteren pc-platformen (DOS en alle smaken van Windows) dan enig ander besturingssysteem. Native Macintosh-virussen zijn veel minder. In feite zijn er waarschijnlijk meer inheemse virussen op systemen zoals Atari en Amiga die nog nooit had dezelfde populariteit (in zakelijke omgevingen, tenminste). Echter, het feit dat Apple Macintosh delen met Windows een zekere mate van kwetsbaarheid voor Microsoft Office-macro virussen maakt ze de andere grote virus-vriendelijke omgeving vandaag.

Het moet niet worden aangenomen, maar dat andere platformen geen virus problemen. Toegang controles kunnen worden opgelegd aan onbevoegde accounts in UNIX (inclusief Linux), NT, NetWare, en andere platforms te beperken infectie stroom. Zij kunnen echter niet voorkomen dat onbevoegde gebruikers van het delen van bestanden, alleen al door e-mail. Evenmin kunnen zij voorkomen dat een bevoorrechte gebruiker ongewild verspreiding infectie. Zelfs systemen die geen native ondersteuning voor enig bekende virussen (servers of werkstations) kunnen uitvoeren geïnfecteerde objecten tussen infectable hosts, soms een proces dat bekend staat als heterogene virusoverdracht. Het is zo belangrijk om te netwerken file servers, intranet en andere webservers scannen, ongeacht hun eigen besturingssysteem. In feite, een toenemend aantal producten detecteren virussen geassocieerd met andere operationele omgevingen. Zo waren sommige Mac-producten te detecteren pc-virussen, en vice versa.

Het is duidelijk dat virussen vormen een risico op het internet. Dat risico is hoger voor degenen met een DOS, een variant van Windows, of bepaalde macro-toepassingen geschikt, met name de toepassingen van Microsoft Office-suite. Meestal is dit een kwestie van het marktaandeel. De meeste virusschrijvers doelwit pc's en Windows, want dat is wat ze toegang hebben. Echter, er zijn andere factoren die het risico: bijvoorbeeld, PC hardware architectuur, Microsoft's rooskleurig, wegens het ontbreken van de behoefte aan veiligheid op de single-user systemen, en de gevaren van het hebben van macro-code en data in hetzelfde bestand. Er zijn een aantal instrumenten om te helpen houden systemen veilig virusaanvallen. Anti-virus software is meestal reactief: Het reageert op een waargenomen bedreiging, en werkt het meest effectief tegen bedreigingen kan identificeren met precisie (dat wil zeggen, bekende virussen). De beste verdediging tegen onbekende virussen is vaak te werken in een omgeving die niet een host te bieden aan bepaalde klassen van de bedreiging. Helaas is dit vaak geen optie, met name in bepaalde zakelijke omgevingen waar Microsoft-producten zijn verplicht beschouwd.

---