Информационная безопасность. Макаренко С.И. - 175 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

175
существуют исключительно в системной памяти, а при передаче на другие
компьютеры - в виде специальных пакетов данных. Для проникновения на
удаленные компьютеры CodeRed использовал брешь в системе безопасности
IIS (Internet Information Services), которая позволяет злоумышленникам
запускать на удаленных серверах посторонний программный код. 18 июня
2001 года Microsoft выпустила соответствующую заплатку, однако
подавляющее большинство пользователей не успело вовремя обновить свое
программное обеспечение. CodeRed вызвал эпидемию, заразив около 12000
(по другим данным - до 200000) серверов по всему миру и провел
крупномасштабную DDoS атаку на веб-сервер Белого дома, вызвав
нарушение его нормальной работы. Через неделю, 19 июля появилась новая
модификация CodeRed, показавшая чудеса распространения - более 350000
машин за 14 часов (до 2000 компьютеров в минуту).
В это же время был обнаружен почтовый червь Sircam (12 июля 2001
года). Этот вирус отличала необычная процедура выбора имени зараженного
вложения. Для этого случайным образом на диске инфицированного
компьютера выбирался документ, к имени которого добавлялось расширение
.pif, .lnk, .bat или .com. Полученная конструкция вида mydiary.doc.com
служила темой рассылаемых писем и именем новой копии программы: к
отобранному файлу дописывался код червя - таким образом Sircam мог
привести к утечке конфиденциальной информации. При рассылке в поле от
указывался один из адресов, найденных на зараженном компьютере, а
сообщение содержало текст вида «Hi! How are you? I send you this file in order
to have your advice. See you later. Thanks». Кроме этого, в определенный
момент времени зависимости от системного времени и модификации
вируса) на зараженном компьютере удалялись все файлы на системном
жестком диске.
18 сентября 2001 года началась эпидемия Nimda - этот вирус-червь в
течение всего 12 часов поразил до 450000 компьютеров. Для
распространения были задействованы пять методов: электронная почта
(брешь в системе безопасности Internet Explorer, позволяющая автоматически
выполнять вложенный исполняемый файл), по локальной сети, внедрение на
IIS-сервера, заражение браузеров, а также с помощью бекдор-процедур,
оставленных предыдущими вирусами. После заражения Nimda открывал
локальные диски на полный доступ для всех желающих.
Вскоре после Nimda появился Klez - почтовый червь, различные
модификации которого на протяжении следующих нескольких лет занимали
первые строки в рейтингах популярности. Программа проникала на
компьютер по сети или через электронную почту, используя брешь в защите
IFrame браузера Internet Explorer, которая допускала автоматический запуск
вложенного файла. Также вирус имел встроенную функцию поиска и
подавления антивирусного программного обеспечения. Klez дописывал свой
код к одному из документов на зараженной машине и начинал массовую
рассылку. В поле «От» подставлялся любой адрес, найденный на компьютере 
существуют исключительно в системной памяти, а при передаче на другие
компьютеры - в виде специальных пакетов данных. Для проникновения на
удаленные компьютеры CodeRed использовал брешь в системе безопасности
IIS (Internet Information Services), которая позволяет злоумышленникам
запускать на удаленных серверах посторонний программный код. 18 июня
2001 года Microsoft выпустила соответствующую заплатку, однако
подавляющее большинство пользователей не успело вовремя обновить свое
программное обеспечение. CodeRed вызвал эпидемию, заразив около 12000
(по другим данным - до 200000) серверов по всему миру и провел
крупномасштабную DDoS атаку на веб-сервер Белого дома, вызвав
нарушение его нормальной работы. Через неделю, 19 июля появилась новая
модификация CodeRed, показавшая чудеса распространения - более 350000
машин за 14 часов (до 2000 компьютеров в минуту).
       В это же время был обнаружен почтовый червь Sircam (12 июля 2001
года). Этот вирус отличала необычная процедура выбора имени зараженного
вложения. Для этого случайным образом на диске инфицированного
компьютера выбирался документ, к имени которого добавлялось расширение
.pif, .lnk, .bat или .com. Полученная конструкция вида mydiary.doc.com
служила темой рассылаемых писем и именем новой копии программы: к
отобранному файлу дописывался код червя - таким образом Sircam мог
привести к утечке конфиденциальной информации. При рассылке в поле от
указывался один из адресов, найденных на зараженном компьютере, а
сообщение содержало текст вида «Hi! How are you? I send you this file in order
to have your advice. See you later. Thanks». Кроме этого, в определенный
момент времени (в зависимости от системного времени и модификации
вируса) на зараженном компьютере удалялись все файлы на системном
жестком диске.
       18 сентября 2001 года началась эпидемия Nimda - этот вирус-червь в
течение всего 12 часов поразил до 450000 компьютеров. Для
распространения были задействованы пять методов: электронная почта
(брешь в системе безопасности Internet Explorer, позволяющая автоматически
выполнять вложенный исполняемый файл), по локальной сети, внедрение на
IIS-сервера, заражение браузеров, а также с помощью бекдор-процедур,
оставленных предыдущими вирусами. После заражения Nimda открывал
локальные диски на полный доступ для всех желающих.
       Вскоре после Nimda появился Klez - почтовый червь, различные
модификации которого на протяжении следующих нескольких лет занимали
первые строки в рейтингах популярности. Программа проникала на
компьютер по сети или через электронную почту, используя брешь в защите
IFrame браузера Internet Explorer, которая допускала автоматический запуск
вложенного файла. Также вирус имел встроенную функцию поиска и
подавления антивирусного программного обеспечения. Klez дописывал свой
код к одному из документов на зараженной машине и начинал массовую
рассылку. В поле «От» подставлялся любой адрес, найденный на компьютере

                                     175

Страницы