1.6.3 Сетевые черви и защита от них

К сетевым червям (англ. worm) относятся вредоносные программы, распространяющие свои копии по локальным и/или глобальным сетям. Для своего распространения сете­вые черви используют разнообразные сервисы глобальных и локальных компьютерных сетей: Всемирную паутину, элек­тронную почту и т. д.

Сетевые черви кроме вредоносных действий, которыми обладают и классические компьютерные вирусы, могут вы­полнять шпионскую функцию троянских программ.

Сетевые черви являются вредоносными програм­мами, которые проникают на компьютер, используя сервисы компьютерных сетей. Активизация сетево­го червя может вызывать уничтожение программ и данных, а также похищение персональных данных пользователя.

Основным признаком, по которому типы червей разли­чаются между собой, является способ распространения чер­вя — как он передает свою копию на удаленные компьюте­ры. Однако многие сетевые черви используют более одного способа распространения своих копий по компьютерам ло­кальных и глобальных сетей.

Web-черви. Отдельную категорию составляют черви, ис­пользующие для своего распространения Web-серверы. За­ражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и модифицирует Web-страницы сервера. Затем червь «ждет» посетителей, которые запрашивают ин­формацию с зараженного сервера (например, открывают в браузере зараженную Web-страницу), и таким образом про­никает на другие компьютеры сети.

Разновидностью Web-червей являются скрипты — ак­тивные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-стра- ниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.

Профилактическая защита от таких червей состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.

Еще более эффективны Web-антивирусные программы, которые включают межсетевой экран и модуль проверки скриптов на языках JavaScript и VBScript.

Межсетевой экран. Межсетевой экран (брандмауэр) — это программное или аппаратное обеспечение, которое про­веряет информацию, входящую в компьютер из локальной сети или Интернета, а затем либо отклоняет ее, либо пропус­кает в компьютер, в зависимости от параметров бранд­мауэра.

Межсетевой экран обеспечивает проверку всех Web-стра­ниц, поступающих на компьютер пользователя. Каждая Web-страница перехватывается и анализируется межсетевым экраном на присутствие вредоносного кода. Распознавание вредоносных программ происходит на основании баз, исполь­зуемых в работе межсетевого экрана, и с помощью эвристиче­ского алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнару­живать новые вирусы, еще не описанные в базах.

Если Web-страница, к которой обращается пользова­тель, содержит вредоносный код, доступ к нему блокирует­ся. При этом на экран выводится уведомление о том, что за­прашиваемая страница заражена. Если Web-страница не содержат вредоносного кода, она сразу же становится дос­тупной для пользователя.

Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сете­вые игры, которым требуется принимать информацию из Интернета или локальной сети, межсетевой экран запраши­вает пользователя о блокировании или разрешении подклю­чения. Если пользователь разрешает подключение, брандма­уэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.

Проверка скриптов в браузере. Проверка всех скриптов, обрабатываемых в браузере, производится следующим обра­зом:

  • •каждый запускаемый на Web-странице скрипт пере­хватывается модулем проверки скриптов и анализиру­ется на присутствие вредоносного кода;
  • •если скрипт содержит вредоносный код, модуль про­верки скриптов блокирует его, уведомляя пользовате­ля специальным всплывающим сообщением;
  • •если в скрипте не обнаружено вредоносного кода, он выполняется.

Почтовые черви. Почтовые черви для своего распрос­транения используют электронную почту. Червь либо отсы­лает свою копию в виде вложения в электронное письмо, либо отсылает ссылку на свой файл, расположенный на ка- ком-либо сетевом ресурсе. В первом случае код червя акти­визируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код чер­вя.

Лавинообразная цепная реакция распространения по­чтового червя базируется на том, что червь после заражения компьютера начинает рассылать себя по всем адресам элек­тронной почты, которые имеются в адресной книге пользо­вателя.

Профилактическая защита от почтовых червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источни­ков.

Профилактическая защита от таких червей состоит в том, что рекомендуется своевременно скачивать из Интер­нета и устанавливать обновления системы безопасности опе­рационной системы и приложений.

3 Информатика и ИКТ

Контрольные вопросы

  1. 1.Как сетевые черви проникают на компьютер?
  2. 2.Какие типы сетевых червей существуют?