Желілік құрт

Желілік құрт — жергілікті және ғаламдық компьютерлік желіде өздігінен таралатын компьютерлік вирустың бір түрі.

Тарихы

1978 жылы Пало-Альто Xerox зерханалық орталығында Джон Шоч және Йон Хупп компьютерлік құрттарды есептеулерде қолдану туралы зерттеулер жүргізген болатын. «Құрт» термині құрттәріздес бағдарламалар сипатталған Дэвид Героолдтың «Когда ХАРЛИ исполнилось год» (1972) және терминнің өзі енгізілген Джон Браннердің «На ударной волне» (1975) ғылыми-шытырман оқиғаларының әсерінен пайда болды.

Ең танымал компьютерлік құрттардың бірі «Моррис құрты» болып табылады. Оны 1988 сол кезде Корнелл университетінің студенті болған кіші Роберт Моррис жазды. Құрттың таралуы 2 қараша күні басталды. Одан кейін компьютерлік құрт шамамен 6200 компьютерге енді (бұл сол кездегі ғаламторға қосылған барлық адамның 10%-ы)..

Таралу механизмі

Құрттың таралуының барлық механизмдерін («шабуыл векторы») екі ірі топқа бөлуге болады. • Компьютерге орнатылған бағдарламалық жасақтаманың әкімшілік қателіктері мен осалдықтарын пайдалану. Моррис құрты сол кездегі бағдарламалық жасақтаманың кемшіліктерін, атап айтсақ, sendmail пошталық серверін, finger сервисін, пайдалана білді және сөздік бойынша құпиясөз таңдайтын болды. Мұндай құрттар компьютерге толықтай автоматты режимде шабуыл жасау арқылы дербес таралады. • Әлеуметтік инженерия құралдарын қолдану арқылы компьютерді пайдаланушы өзі вирустың іске қосылуына себепші болады. Файлдың қауіпсіздігін дәлелдеу үшін бағдарламаның пайдаланушы интерфейсіндегі кемшіліктер көріне бастайды, мысалы, VBS.LoveLetter құрты Outlook Express-тың файлдарды кеңеюін жасыратындығын өз пайдасына жаратты. Аталған әдіс спам-таратуларда, әлеуметтік желілерде көп қолданылады. Кейде құрбанды таңдау стратегиясы мен таралудың әртүрлі векторларының жиынтығы бар құрттар кездеседі.

Таралу жылдамдығы

Желілік құрттың таралу жылдамдығы желі топологиясына, осал компьютерлерді іздеу алгоритміне және жаңа көшірменің пайда болуының орташа жылдамдығына тәуелді. TCP/IP протоколдарын тікелей қолдану арқылы желіде таралатын құрт түрлері қарқынды түрде таралады Егер құрттың әр данасы бұрын залалданбаған желі торабының мекенжайын нақты білсе, экспоненттік көбею әбден мүмкін. Мысалы, егер әр дана бір компьютерді 1 секундта залалдайтын болса, бүкіл IPv4 адрестік кеңістігі жарты минуттың ішінде құртқа толы болады. Осындай жылдамдықпен таралатын теориялық құрттың аты – «блицкриг құрты».

2003 жылы 75000 серверді 10 минутта залалдандырған SQL Slammer құрты эпидемиясы осы таралу моделіне ұқсайды. Дегенмен, құрттардың көпшілігі тиімсіз тәсілдерді қолданады. Қарапайым құрт түрлері осал желң тораптарын кездейсоқтықтық нәтижесінде ғана табады. Мұндай жағдайда оның таралу қисығы Ферхюльст дифференциалды теңдеуінің шешіміне сәйкес келеді және сигма тәріздес пішінге ие болады. Бұл модельдің дұрыстығы 2001 жылғы CodeRed II құрты эпидемиясы кезінде дәлелденді. 28 сағатта құрт 350000 желі торабын залалдандырды. Айта кететіні, соңғы сағаттарда оның таралу жылдамдығы төмен болды, себебі бұрын залалданған тораптарға тіреліп қалатын. Антивирустардың қарсылығы жағдайында эпидемия қисығы Кермак-Маккендрик теңдеулер жүйесінің шешіміне сәйкес келуі тиіс. Мұндай көрініс шынайы өмірде жиі бақыланады.

Пошталық протоколдарды қолданатын құрттардың таралу қисығы жоғарыда айтылған қисықтарға ұқсайды, бірақ жалпы таралу жылдамдығы біршама төмен. Өйткені, «пошталық» құрт тікелей кез-келген желі торабына қатынаса алмайды, ол залалданған машинада бар пошталық адреспен ғана байланыса алады. Осындай эпидемия бірнеше айға созылуы мүмкін.

Құрылымы

Құрттар бірнеше бөліктен тұруы мүмкін.

Ерекше атап өтілетіні – жұмыс жасап тұрған бағдарламаны зақымдайтын, қатқыл дискке тиіспей, оперативтік жадыда сақталатын резидентті құрттар. Мұндай құрттардан компьютерді қайта іске қосу арқылы (және сәйкесінше оперативті жадыны тастау арқылы) құтылуға болады. Бұл құрттар негізінде «зақымдайтын» бөліктен, яғни эксплойттан, және толықтай оперативті жадыда орналасатын кішігірім пайдалы жүктемеден (құрттың денесінен) тұрады. Бұндай құрттардың ерекшелігі, олар қарапайым файлдар секілді жүктеле алмайды, өзге бағдарламармен бірге келетін динамикалық кітапхананың ішінде болады.

Сондай-ақ, жадыны зақымдағаннан кейін қатқыл дискте кодты сақтап қалып, келесіде қайта іске қосылуға жағдай жасайтын құрттар бар. Ондай құрттардан тек антивирустік бағдарламалық жасақтама немесе сол секілді құралдардың көмегімен арылуға болады. Көп жағдайда бұндай құрттардың эксплойты құрт денесін жеке файл ретінде көрсете алатын шағын пайдалы жүктемені қамтиды. Пошталық құрттардың көп бөлігі бір файл ретінде таралады. Оларға бөлек «зақымдайтын» бөлік керек емес, себебі компьютер пайдаланушысы пошталық клиент немсе ғаламтор-браузер көмегіне жүгіне отырып, өз еркімен толық құртты жүктейді және іске қосады.

Қорғану тәсілдері

Желілік құрттар компьютер пайдаланушысының жүйесіне ену үшін бағдарламалық жасақтама мен операциялық жүйенің осал тұстарын пайдаланатындықтан, құрттардан қорғану үшін сигнатуралық вирусқа қарсы мониторлар жеткіліксіз. Заманауи құрттардан аулақ болу үшін проактивті қорғанысты қолданған жөн.

Қосымша

1. ↑ Воронцов В. В., Котенко И. В. Анализ механизмов обнаружения и сдерживания эпидемий сетевых червей на основе "кредитов доверия" // Известия высших учебных заведений. Приборостроение. — 2015. — № (том 58).

Сілтемелер

• Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста. - М.: ДМК-Пресс, 2013. С. 656. ISBN 978-5-94074-885-4 • John Shoch, Jon Hupp The 'Worm' Programs — Early Experience with a Distributed Computation" (англ.), Communications of the ACM, March 1982 Volume 25 Number 3, pp. 172–180, ISSN 0001—0782 • Nicholas C. Weaver Warhol Worms: The Potential for Very Fast Internet Plagues • RFC 1135 (англ.)— The Helminthiasis of the Internet