Кирми бисёрвекторӣ

Кирми бисёрвекторӣяк кирми шабакавӣ мебошад, ки барои паҳн кардан аз якчанд механизмҳои гуногун (векторҳои ҳамла) истифода мебарад, ба монанди почтаи электронӣ ва истисмори хатогиҳои системаи амалиётӣ . Дар баъзе мавридҳо, кирмҳо ба файлҳо зарар мерасонанд ва ба кори компютер таъсири манфӣ мерасонанд (агар аз ҷониби созанда пешбинӣ шуда бошад).

Намояндагони кирмҳои бисёрвекторӣ

вироиш

Физер

вироиш

Fizzer як кирми шабакаи бисёрвекторӣ мебошад, ки дар захираҳои интернетӣ паҳн мешавад. Чунин нармафзори зараровар (нармафзор) ба компютери мавриди ҳадаф дар шакли файли иҷрошаванда расонида мешавад ва ҳангоми ба кор андохтани он фаъол мешавад. Ғайр аз ин, чунин « вирусҳо » якчанд файлро эҷод мекунанд ва дар «филиали реестр »-и Windows, барои ба кор андохтани минбаъда дар баробари компютер сабт мешаванд [1] .

Таърих

вироиш

Fizzer як кирми мураккаби почта мебошад, ки 8 майи соли 2003 пайдо шудааст. F-Secure ба таҳияи барнома барои сайди Fizzer оғоз мекунад.

Инфексия

вироиш

Кирм нусхаҳои худро ҳамчун барномаи фармоиши почта паҳн мекунад. Вақте ки корбари ҷабрдида барномаро оғоз мекунад, он файлеро бо номи ISERVC эҷод мекунад. EXE -ро дар папкаи муваққатӣ ҷойгир кунед ва онро фаъол созед.

файли ISERVC. EXE ҷузъи асосии кирм мебошад. Он худро ба директорияи Windows бо номҳои зерин нусхабардорӣ мекунад:

  • ISERVC. ПАРВАНДАИ ИҶРОКУНАНДА
  • ИНИТБАК. DAT

ва дар баробари ин дар феҳристи Windows 2 файл эҷод мекунад:

  • ISERVC. DLL
  • ПРОГОП. ПАРВАНДАИ ИҶРОКУНАНДА

файли ISERVC. DLL ҷузъи калидии сабти ном ва PROGOP мебошад. ПАРВАНДАИ ИҶРОКУНАНДА. Пеш аз паҳн шудан, кирм файли худро бо истифода аз ин компонент дубора ҷамъ мекунад.

Компонентҳои Fizzer

вироиш

Ҳама захираҳо, ба истиснои захираҳои аввал, рамзгузорӣ ва фишурда шудаанд

  • рӯйхати почтаи электронӣ
  • файли progop.exe
  • iserc.dll файл
  • скриптҳои (рамзи) рафтор
  • сатрҳои матнӣ

Скриптҳои рафтор танзимоти асосии кирмро дар бар мегиранд, ба монанди номи насб ва ҷузвдони он. Ҳамин скрипт рафтори кирмро дар шароити муайян назорат мекунад [2] .

Нармафзори зараровар аз ин намуд, ба монанди ҳама гуна нармафзори зараровар, бо роҳҳои гуногун паҳн мешавад, ба монанди почтаи электронӣ ё шабакаҳои мубодилаи файл . Барои фиристодани мактубҳои дорои нармафзори зараровар, Fizzer Microsoft Outlook ва Windows Address Books-ро скан мекунад. Кирм суроғаҳои тасодуфиро дар системаҳои почтаи электронӣ ҳамчун объекти ҳамла истифода мебарад. Ин навъи нармафзор метавонад номи корбар ва паролҳоро аз компютери сироятшуда дуздад. Аксар вақт, он маълумоти ҷамъшударо ба файли алоҳида менависад, ки он ба сервери ҷудошуда, ки соҳиби ин нармафзори зараровар муайян кардааст, интиқол дода мешавад. Мисли аксари вирусҳо, он равандҳои фаъоли барномаҳои антивирусиро маҳкам мекунад, то ошкор ва сайди онро дар система мушкилтар кунад [3] .

Нимда

вироиш

Nimda як кирми компютер аст, ки сирояткунандаи файл аст. Он босуръат паҳн шуда, зарари иқтисодиро, ки дар натиҷаи хуруҷи гузашта ба мисли " Код Red " расонидааст, кам мекунад. Векторҳои сершумори паҳншавӣ ба Нимда имкон доданд, ки дар тӯли 22 дақиқа ба вируси паҳншудатарин дар Интернет табдил ёбад.[сарчашма оварда нашудааст 1306 рӯз] Nimda ҳам ба истгоҳҳои кории корбар (мизоҷон) бо Windows 95, 98, Me, NT, 2000 ё XP ва ҳам серверҳои Windows NT ва 2000 таъсир мерасонад. Номи кирм аз калимаи "admin" меояд, ки аз рост ба тарафи рост навишта шудааст. чап.

Таърих

вироиш

Варианти аввалини оилаи Net-Worm:W32/Nimda 18 сентябри соли 2001 пайдо шуд ва зуд дар тамоми ҷаҳон паҳн шуд.

Нимда як вируси мураккабест, ки дорои ҷузъи кирми оммавӣ мебошад, ки тавассути почтаи электронӣ тавассути фиристодани файли README паҳн мешавад. ПАРВАНДАИ ИҶРОКУНАНДА. Nimda инчунин кодҳои Юникодро барои сироят кардани веб-серверҳои IIS истифода мебарад.

Nimda аввалин кирмест, ки вебсайтҳои мавҷударо барои зеркашии файлҳои сироятшуда тағир медиҳад. Инчунин, ин аввалин кирмест, ки компютери корбарро барои дидани осебпазирии вебсайт истифода мебарад. Ин техника ба Нимда имкон медиҳад, ки захираҳои интернетии муҳофизатнашударо ба осонӣ аз худ кунанд. Кирм дорои сатри матнии ҳуқуқи муаллиф аст, ки ҳеҷ гоҳ нишон дода намешавад:

Ин кирм дар соати 15:00 GMT, 11 октябри соли 2001 садҳо почтаи электрониро фиристод, ки бо Нимда сироят ёфтааст. Ба адресхои гуногуни чахон мактубхо фиристода шуданд. Суроғаи ирсолкунандаи почтаи электронӣ "mikko.hypponen@datafellows.com" ба F-Secure, як ширкати муҳофизати зидди вирус ишора мекунад. Дар ҳақиқат F-Secure як вақтҳо datafellows.com номида мешуд, номи ширкат дар аввали соли 2000 иваз карда шуд. Ва ҷаноби Микко Ҳиппонен мудири шӯъбаи пажӯҳишҳои зидди вируси ширкат аст, ки ба ин ҳодиса рабте надошт.

Унсурҳои Нимда

вироиш

Дар асл, Нимда аз чор қисм иборат аст:

  • Инфексияи файл
  • Почтаи оммавӣ
  • Кирми веб
  • Тақсимоти LAN

Нимда аз он сабаб самаранок буд, ки бар хилофи дигар вирусҳо, он панҷ вектори гуногуни сироятро истифода мебарад:

  • тавассути почтаи электронӣ
  • тавассути захираҳои шабакаи кушода
  • тавассути дидани вебсайтҳои зараровар
  • тавассути истифодаи заъфҳои гуногуни Microsoft IIS 4.0/5.0 [4]

Раванди паҳнкунӣ тавассути почтаи электронӣ

вироиш

Вирус ҳамчун паёме меояд, ки аз ду қисм иборат аст. Қисми якум дорои скриптҳои HTML мебошад. Қисми дуюм аз файли "readme.exe" иборат аст, ки маҷмӯи фармонҳои иҷрошаванда мебошад. Нимда фармони фиристодани мактубҳои сироятшуда дорад. Кирм вақти бастаи охирини мактубҳои ирсолшударо пайгирӣ мекунад ва раванди ҷамъоварии суроғаҳо ва ирсоли кирмро тавассути почтаи электронӣ ҳар 10 рӯз такрор мекунад. Суроғаҳои почтаи электронӣ, ки барои гирифтани кирм пешбинӣ шудаанд, аз ду манбаъ ҷамъоварӣ карда мешаванд:

  • Файлҳои .htm ва .html дар ҷузвдонҳои корбар пайдо шудаанд
  • мактубҳои аз ҷониби корбар фиристодашуда

Паҳншавии кирми бисёрвекторӣ дар системаи файлӣ

вироиш

Нимда бо истифода аз файлҳои .eml ва .nws дар ҳама феҳристҳои навишташаванда, ки корбар ба онҳо дастрасӣ дорад, нусхаҳои сершумори рамзгузоришудаи худро эҷод мекунад. Агар корбаре, ки компютери дигарро истифода мебарад, нусхаи файли кирмро дар захираҳои муштарак бо компютери сироятшуда оғоз кунад, система низ сироят мешавад. Илова бар ин, тавре ки аллакай зикр гардид, пас аз 22 дақиқа аз таъсиси вируси NIMDA, беш аз 3 миллиард компютер сироят ёфт.[сарчашма оварда нашудааст 1306 рӯз]

Қайдҳо

вироиш
  1. [1] Email-Worm.Win32.Fizzer
  2. [2] Бойгонӣ шудааст 19 сентябри 2018  сол. Worm:W32/Fizzer
  3. [3] Бойгонӣ шудааст 4 марти 2016  сол. Fizzer: многовекторный червь нападает через e-mail и KaZaA
  4. [4] Бойгонӣ шудааст 30 июни 2016  сол. Introduction to computer security

Инчунин нигаред

вироиш