Комп'ютерний хробак

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Хробак комп'ютерний — це саморозповсюджувана програма, яка може подолати всі три етапи розповсюдження самостійно (звичайний хробак), або використовує агента-користувача тільки на 2-му етапі (поштовий черв'як).

Історія[ред.ред. код]

Одні з перших експериментів по використанню комп'ютерних хробаків в розподілених обчисленнях відбулися в дослідницькому центрі Xerox в Пало Альто Джоном Шочем (John Shoch) та Йоном Хуппом (Jon Hupp) в 1978. Термін виник під впливом науково-фантастичних романів Девіда Герролда «Коли ХАРЛІ виповнився рік» та Джона Браннера «На ударній хвилі» (David Gerrold «When H.A.R.L.I.E Was One», John Brunner «The Shockwave Rider», Thomas Ryan «The Adolescence of P-1»).

Одним з найвідоміших комп'ютерних хробаків є «Хробак Моріса», написаний Робертом Морісом-молодшим, який був в той час студентом Корнельского Університету. Поширення хробака почалось 2 листопада 1988, після чого хробак швидко заразив велику кількість комп'ютерів, під'єднаних до інтернету.

Механізми поширення[ред.ред. код]

Хробаки можуть використовувати різноманітні механізми («вектори») поширення. Деякі хробаки потребують певних дій користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші хробаки можуть поширюватися автономно, вибираючи та атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються хробаки з цілим набором різноманітних векторів поширення, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.

Структура[ред.ред. код]

Хробаки можуть складатися з різних частин.

Часто виділяють так звані ОЗП-резидентні хробаки, які можуть інфікувати працюючу програму і знаходиться в ОЗП, при цьому не зачіпаючи тверді диски. Від подібних хробаків можна позбутися перезапуском комп'ютера (і, відповідно, скиданням ОЗП). Ці хробаки складаються в основному з «інфекційної» частини: експлойта (шелл-кода) і невеликого корисного навантаження (самого тіла хробака), яке міститься повністю в ОЗП. Специфіка подібних хробаків полягає в том, що вони не завантажуються через завантажувач як всі звичайні виконувані файли, тому відповідно, можуть розраховувати лише на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.

Також існують хробаки, які після вдалого інфікування пам'яті зберігають код на твердому диску і приймають заходи для наступного запуску цього коду (наприклад, прописують відповідні ключі в реєстрі Windows). Від таких хробаків можна позбутися лише за допомогою антивіруса або подібних інструментів. Часто інфекційна частина таких хробаків (експлойт, шелл-код) містить невелике корисне навантаження, яке завантажується в ОЗП і може «довантажити» через мережу саме тіло хробака в вигляді окремого файла. Для цього деякі хробаки можуть містити в інфекційній частині простий TFTP-клієнт. Завантажене таким способом тіло хробака (зазвичай окремий виконуваний файл) тепер відповідає за подальше сканування та поширення вже з інфікованої системи, а також може містити серйозніше, повноцінне корисне навантаження, цілю якого може бути, наприклад, нанесення певної шкоди (наприклад, DoS-атаки).

Більшість поштових хробаків поширюються як один файл. Їм не потрібна окрема «інфекційна» частина, так як зазвичай користувач-жертва за допомогою поштового клієнта добровільно завантажує та запускає хробака.

Корисне навантаження[ред.ред. код]

Часто хробаки навіть без певного корисного навантаження завантажують і тимчасово виводять з ладу мережі лише за рахунок інтенсивного поширення. Типове осмислене корисне навантаження може полягати в псуванні файлів на комп'ютері-жертві (в тому числі, зміна веб-сторінок, «Дефейс»), попередньо запрограмованої DDoS-атаці з комп'ютерів жертв на певний веб-сервер, або бекдор для віддаленого керування над комп'ютером-жертвою. Часто зустрічаються випадки, коли новий вірус експлуатує бекдори, залишені старим.

Див. також[ред.ред. код]