Vierme informatic
Un vierme informatic sau vierme de calculator reprezintă o formă de malware, un tip de virus autoreplicant. În comparație cu un virus, viermii informatici nu au nevoie de un fișier gazdă executabil pentru a se răspândi, sau de a afecta sectorul de boot. De obicei, viermii tind să se multiplice și să se extindă prin intermediul unei rețele și utilizează o infrastructură existentă pentru a se copia automat în alte sisteme. Factorul de multiplicare al viermilor este exponențial.
Unii viermi sunt concepuți să fie atractivi pentru utilizator. Ei pot lua forma unor imagini, clipuri video, aplicații sau orice alt tip de program sau fișier util. Obiectivul acțiunii frauduloase este să păcălească utilizatorul să instaleze viermele. Alți viermi sunt concepuți să fie total invizibili, întrucât ei exploatează lacunele dispozitivului (sau ale programelor instalate pe el) pentru a se instala singuri, fără a fi vreodată remarcați de către utilizator. Odată instalat, viermele utilizează resursele fizice ale dispozitivului pentru a-și crea copii și pentru a trimite apoi acele copii către alte dispozitive la care poate ajunge într-o rețea. Dacă urmează să fie trimis un volum mare de copii ale viermelui, performanțele dispozitivului pot avea de suferit. Dacă sunt afectate multe dispozitive dintr-o rețea și acestea trimit copii ale viermelui, rețeaua însăși poate deveni nefuncțională. De asemenea, unii viermi pot face mai multe daune directe unui dispozitiv afectat, cum ar fi modificarea fișierelor stocate pe acesta, instalarea altor aplicații dăunătoare sau furtul de date.[1]
Conform RFC 1135 , „un vierme este un program care poate rula independent, care consumă resursele gazdei pentru a se executa și care poate propaga o versiune funcțională a sa către alte calculatoare”. [2]
Mod de acționare
[modificare | modificare sursă]Viermii se răspândesc pe rețele sau pe suporturi detașabile, cum ar fi stick-urile USB. Pentru aceasta, de obicei au nevoie de un serviciu de rețea sau un software de aplicație, ca interfață cu rețeaua respectivă.
Cele mai răspândite daune cauzate de către viermii informatici sunt:
- Degradează sever viteza de conectare la internet și performanța generală a sistemului, cauzând instabilitatea programelor software.
- Deschiderea unor porturi pentru a permite accesul la sistemul de operare infectat, ștergere a informațiilor de pe hard disk sau lansarea unor atacuri DoS.
- Modificarea setărilor de sistem esențiale pentru a scade securitatea generală a sistemului, și a-l face mai vulnerabil.
- Utilizarea unui sistem compromis pentru a se răspândi prin email, rețele de partajare fișiere, mesagerie instant, chat-uri online sau rețele deschise.
- Infectarea fișierelor, coruperea aplicațiilor instalate, și avarierea întregului sistem de operare.
- Furtul sau dezvăluirea de informații personale sensibile, documente valoroase, parole, nume de autentificare, și contactele utilizatorului.
- Instalează un backdoor sau spyware
- Nu oferă funcție de dezinstalare, își ascunde procesele, fișierele, pentru a complica eliminarea cât mai mult posibil.
Istoric
[modificare | modificare sursă]- În 1975 a fost menționat pentru prima dată conceptul de vierme de calculator în cartea science fiction The Shockwave Rider de John Brunner.
- Primul vierme Morris Worm a fost creat, probabil din greșeală în 1988 de Robert Tappan Morris infectând calculatoarele DEC VAX și Sun care rulau BSD. Pentru a se infiltra în rețeaua internet a eploatat vulnerabilitățile existente în programele sendmail, rsh/rexec și fingerd.[3]
- În 1997 se răspândește primul vierme prin e-mail cunoscut sub numele de ShareFun. Acesta a fost scris în limbajul macro BASIC pentru Microsoft Word 6/7. În același an, se descoperă primul vierme care se poate răspândi prin IRC, folosind fișierul SCRIPT.INI al programului MIRC. Apare și Homer, un vierme care utilizează pentru distribuire mai întâi protocolul de transfer FTP.
- Melissa, viermele de poștă electronică se răspândește în 1999 prin Microsoft Outlook. Încep să apară viermi complexi, cum ar fi Toadie, care infectează atât fișiere DOS cât și fișiere Windows și se răspândește prin IRC și e-mail și W32.Babylonia, primul vierme care se actualizează singur.
- În 2000, ILOVEYOU, de asemenea cunoscut sub numele de Letter Love, VBS, sau Love Bug, este un vierme creat de un student filipinez în informatică. Scris în VBScript, a infectat milioane de computere Windows în toată lumea în câteva ore de la lansarea sa. Este considerat unul dintre cei mai dăunători viermi de calculator.
- În 2001 apar primii viermi cu propriul motor SMTP care se pot răspândi prin intermediul rețelelor ICQ sau peer-to-peer. Sadmind și Code Red se răspândesc exploatând breșe atât în Sun Solaris, cât și în Microsoft IIS. Nimda a fost destinat în principal să compromită serverele web, cu scopul de a perturba traficul Internet.
- SQL Slammer se răspândește rapid exploatând o vulnerabilitate în Microsoft SQL Server, în 2003, iar W32.Blaster, Agabot, Belgimo, exploatează vulnerabilități în sistemul de operare Microsoft Windows.
- În 2004, viermele Sasser exploatează o vulnerabilitate în sistemul de operare Windows și atacă computerele utilizatorilor privați. Mydoom duce la o încetinire a traficului pe internet cu 10% și încărcare a paginilor web de 50% prin atacuri DoS. Cabir este primul vierme de telefon mobil care se răspândește pe smartphone-uri cu sistemul de operare Symbian OS folosind tehnologia de rețea Bluetooth. Commwarrior, de asemenea un vierme Symbian OS, a fost primul care s-a răspândit prin [Multimedia Messaging Service|MMS]], afectând numai platforma software Nokia S60.
- Primul vierme pentru Mac OS X, cunoscut sub numele de OSX/Leap-A sau OSX/Oompa-A, este descoperit în februarie 2006 lansat de pe un forum un de chat din SUA.
- Apărut la sfârșitul anului 2006, Storm Worm s-a răspândit printr-un e-mail cu titlul: “230 de morți în furtunile din Europa”. Având mai multe versiuni, virusul transforma calculatoarele în zombie-computers direcționându-le spre Botnet Storm.
- Conficker, cunoscut și sub numele de Downadup, este un vierme întâlnit în 2008. Acesta profită de o vulnerabilitate a serviciului de rețea din serverele Windows 2000 și Windows 7, inclusiv ale unor agenții guvernamentale ca Marina Franceză, Ministerul Apărării din Marea Britanie, Bundeswehr. Intrând în sistem, viermeler ignoră actualizările sistemului de operare, blochează site-urile antivirus și instalează module adiționale care direcționează la un botnet. Conficker a infectat mai mult de 9 milioane de calculatoare, pierderile aproximative fiind de 9 miliarde de dolari.
- Symantec a descoperit viermele Daprosy în 2009, destinat să sustragă parole din jocurile online în cafenelele internet. Viermele putea, de asememea, să intercepteze toate apăsările de la tastatură și să infecteze sistemele B2B.
- În 2010, a fost descoperit viermele Stuxnet care a vizat în mod specific controlerele logice programabile (PLC), exploatând vulnerabilități zero-day, aflate într-o resursă hardware sau software. Atacurile Stuxnet erau îndreptate în special către sistemele Siemens Simatic PCS 7, WinCC, Simatic S7 PLC și aplicațiile software industriale STEP 7 bazate pe SCADA care rulează pe Windows 10. În plus, acest vierme iese în evidență datorită unei complexități neobișnuit de mari, care se reflectă în dimensiunea mare a fișierului (500 kB) și scris în mai multe limbaje de programare diferite (inclusiv C și C++).
- Viermele Morto se răspândește în anul 2011 prin intermediul Remote Desktop Protocol (RDP) din Windows. Viermele se răspândește prin forțarea sistemelor infectate să scaneze servere Windows pentru conectare la RDP. Odată găsit un sistem accesibil, încearcă să se conecteze la un cont de domeniu sau un sistem local "Administrator", folosind un număr de parole comune.
- În anul 2012 NGRBot este un vierme care a utilizat rețeaua IRC pentru transferul de fișiere, trimiterea și primirea de comenzi între calculatoare de rețea zombie și serverul IRC al atacatorului, precum și monitorizarea și controlul conectivității rețelei. Utilizează o tehnică de rootkit pentru a se ascunde și sustrage informații. [4][5][6]
Tipuri de viermi
[modificare | modificare sursă]Funcție de tipul de rețea prin care se răspândesc, viermii informatici pot fi de mai multe tipuri. Majoritatea viermilor se răspândesc numai pe un anumit tip de rețea. Unii viermi se pot răspândi pe două sau mai multe tipuri, cu toate că aceștia sunt relativ rari.
Viermi de rețea locală
[modificare | modificare sursă]Utilizează o rețea locală de calculatoare ca mijloc de a afecta negativ integritatea, fiabilitatea sau disponibilitatea sistemului. Un vierme de rețea locală poate ataca de la un sistem la altul prin stabilirea unei conexiuni de rețea. Acesta este, de obicei, un program autonom, care nu are nevoie să se atașeze de un fișier gazdă pentru a se infiltra.(ex.Daprosy)
Viermi de e-mail
[modificare | modificare sursă]Este una din cele mai folosite metode de împrăștiere a viermilor. Se răspândesc prin fișierele infectate atașate e-mail-urilor spam sau prin link-uri înșelătoare către alte site-uri. Codul se activează când atașamentul infectat sau legătura spre site sunt deschise. Metodele cunoscute de răspândire sunt serviciile MS Outlook, WAB (Windows Address Book), Gmail, Outlook Web Access, conexiunile directe cu serverele SMTP utilizând funcțiile API (Application Programming Interface), sau MAPI (Messaging Application Programming Interface). Acești viermi culeg informații despre adresele de e-mail dar pot scana și prelua adrese de e-mail din orice fișier care conține informații de acest tip. De multe ori pot construi noi adrese de e-mail. (ex. Brontok).
Exemple de mesaje spam care conduc spre site-uri infectate:
- „Felicitări tocmai ați fost selectați pentru o călătorie în S.U.A.”
- „Ați primit un bonus pe cardul Visa”
- „Sunteți unul din cei 1.000.000 de vizitatori! Tocmai ați câștigat un smartphone”
- „Ați câștigat un bonus de 300 $”
Viermi de Internet
[modificare | modificare sursă]Acești viermi scanează toate resursele de rețea disponibile utilizând serviciile locale ale sistemului de operare și caută calculatoare vulnerabile legate la Internet care nu au firewall instalat sau nu au actualizări de securitate instalate, cu scopul de a se conecta la acestea și a avea acces deplin. Atacatorul trimite apoi pachete de date cu actualizări false ce conțin viermele sau un utilitar ce va descărca și instala viermele pe calculatorul respectiv. De acolo viermele va căuta noi potențiale gazde. (ex. Witty worm).
Viermi de mesagerie instantantanee
[modificare | modificare sursă]Sunt asemănători cu viermii de rețea, cu excepția faptului că se răspândesc prin intermediul diferitelor rețele IM ca urmare a lacunelor din rețea. Viermii IM nu necesită o adresă IP vulnerabilă pentru a avea acces la lista de contacte a unui utilizator. Se răspândesc folosind clienți de IM (Yahoo! Messenger, MSN, AIM, Facebook), prin trimiterea de link-uri către site-uri infectate pentru toți utilizatorii de pe lista de contacte locale. Cand linkul respectiv este deschis, viermele este activat și va incepe sa scaneze lista de contacte, trimitand acelasi link la toti cei din lista. (ex. Boface.BJ., Choke, Sumom, SoFunny).
Viermi de rețele P2P
[modificare | modificare sursă]Se răspândesc prin rețele de partajare de fișiere P2P (peer-to-peer), cum ar fi Kazaa, Grokster, EDonkey, FastTrack, Gnutella etc..
Pentru a pătrunde într-o rețea P2P, acești viermi se autocopieză în directorul de partajare a fișierelor, care este de obicei pe un calculator local. Atunci când se efectuează o căutare de fișiere, aceasta informează utilizatorii de la distanță despre fișier și fac posibilă descărcarea fișierului de pe computerul infectat. (ex.Benjamin, Gnuman, Worm.P2P.Palevo.DP).
Viermi pentru telefoane mobile
[modificare | modificare sursă]Viermii pentru telefoane mobile s-au răspândit în principal prin rețeaua Bluetooth. Au apărut pentru prima dată în iunie 2004, atunci când a fost identificat Cabir, primul vierme care a infectat telefoane mobile cu sistemul de operare Symbian OS. Viermii mobili pot fi transmiși prin mesaje text SMS sau [Multimedia Messaging Service|MMS]] și de obicei nu necesită interacțiune cu utilizatorul pentru a fi executați. Alte exemple: ComboWriter, Ikee primul vierme cunoscut pentru platformele iOS, Gunpoder care a infectat Google Play.[7]
Protecție
[modificare | modificare sursă]Cel mai bun mod pentru a preveni infecțiile cu viermii informatici este utilizarea de software antivirus sau anti-malware. De asemenea, atașamentele sau link-uri de e-mail ar trebui deschise doar atunci când utilizatorul este sigur de conținut.
Vezi și
[modificare | modificare sursă]Referințe și note
[modificare | modificare sursă]- ^ Viermi help.f-secure.com
- ^ The Helminthiasis of the Internet rfc-editor.org
- ^ Securitatea rețelelor. Viermele Internetului academia.edu
- ^ Timeline of computer viruses and worms en.wikipedia.org
- ^ A Short History Of Computer Viruses Arhivat în , la Wayback Machine. itspmagazine.com, March 26 2019, David Balaban
- ^ Top 10 Worst Computer Worms of All Time encyclopedia2.thefreedictionary.com
- ^ Category:Worm Arhivat în , la Wayback Machine. malware.wikia.org
Legături externe
[modificare | modificare sursă]Bibliografie
[modificare | modificare sursă]- Mihai, Ioan-Cosmin: Securitatea informațiilor, Editura Sitech, 2012, ISBN 978-606-11-29203-4