A többvektoros féreg egy olyan hálózati féreg , amely többféle mechanizmust ( támadási vektort ) használ a terjedéshez, például az e- mailek és az operációs rendszer hibáinak kihasználását . Egyes esetekben a férgek károsítják a fájlokat és hátrányosan befolyásolják a számítógép működését (ha a készítő biztosítja).
A Fizzer egy többvektoros hálózati féreg, amely az internetes forrásokon terjed. Az ilyen rosszindulatú szoftverek (szoftverek) végrehajtható fájl formájában kerülnek a célszámítógépre, és az indításkor aktiválódnak. Ezenkívül az ilyen " vírusok " több fájlt hoznak létre, és regisztrálva vannak a Windows " nyilvántartási ágában ", hogy később elinduljanak a számítógéppel együtt [1] .
A Fizzer egy összetett e-mail féreg, amely 2003. május 8-án jelent meg. Az F-Secure megkezdi a Fizzer elfogására szolgáló program fejlesztését.
A féreg postai rendeléses alkalmazásként terjeszti saját másolatait. Amikor az áldozat felhasználó elindítja az alkalmazást, létrehoz egy ISERVC nevű fájlt. EXE fájlt egy ideiglenes mappába, és aktiválja azt.
Az ISERVC.EXE fájl a féreg fő összetevője. A következő nevekkel másolja magát a Windows könyvtárba:
és ezzel párhuzamosan 2 fájlt hoz létre a Windows könyvtárban:
Az ISERVC.DLL fájl a regisztrációs kulcsösszetevő, és a PROGOP.EXE. A terjedés előtt a féreg újra összeállítja a fájlját ezzel az összetevővel.
Az első kivételével minden erőforrás titkosított és tömörített
A viselkedési parancsfájlok tartalmazzák a féreg fő beállításait, például a telepítés nevét és mappáját. Ugyanez a szkript szabályozza a féreg viselkedését bizonyos feltételek mellett [2] .
Az ilyen rosszindulatú szoftverek, mint minden más rosszindulatú program, különféle módokon terjeszthetők, például e-mailben vagy fájlmegosztó hálózatokon . A rosszindulatú programokat tartalmazó e-mailek küldéséhez a Fizzer megvizsgálja a Microsoft Outlook és a Windows címjegyzékeit. A féreg véletlenszerű címeket használ a levelezőrendszerekben támadási objektumként. Az ilyen típusú szoftverek felhasználóneveket és jelszavakat lophatnak el egy fertőzött számítógépről. Leggyakrabban az összegyűjtött információkat egy külön fájlba írja, amelyet a kártevő tulajdonosa által meghatározott dedikált szerverre továbbít. A legtöbb vírushoz hasonlóan ez is bezárja a vírusirtó programok aktív folyamatait , hogy megnehezítse azok észlelését és elkapását a rendszerben [3] .
A Nimda egy számítógépes féreg, amely fájlfertőző. Gyorsan terjed, eltörpülve a korábbi járványok, például a „ Code Red ” okozta gazdasági károk mellett. A többszörös terjedési vektorok lehetővé tették, hogy a Nimda 22 percen belül a legelterjedtebb vírus legyen az interneten.Windows 95 , 98, Me, NT, 2000 vagy XP rendszert futtató felhasználói munkaállomásokat (klienseket) , valamint a Windows NT és 2000 rendszert futtató szervereket. A féreg neve az "admin" szóból származik, jobbról írva bal.
A Net-Worm:W32/Nimda család féregének első változatát 2001. szeptember 18-án vették észre, és gyorsan elterjedt az egész világon.
A Nimda egy összetett vírus tömeges levelezőféreggel, amely e-mailben terjed a README.EXE fájl elküldésével. A Nimda Unicode kódokat is használ az IIS webszervereinek megfertőzésére .
A Nimda az első féreg, amely módosítja a meglévő webhelyeket a fertőzött fájlok letöltése érdekében. Ezenkívül ez az első féreg, amely a felhasználó számítógépét használja a webhely sebezhetőségeinek megtekintéséhez. Ez a technika lehetővé teszi, hogy a Nimda könnyen átvegye a nem védett internetes erőforrásokat. A féregnek van egy szerzői jogi szövege, amely soha nem jelenik meg:
Ez a féreg 2001. október 11-én 15:00 GMT-kor több száz Nimdával fertőzött e-mailt küldött ki. Leveleket küldtek különböző címekre szerte a világon. A "[email protected]" e-mail feladó címe az F-Secure vírusvédelmi cégre utal. Valójában az F-Secure-t egykor datafellows.com-nak hívták, a cég nevét 2000 elején megváltoztatták. Mikko Hipponen pedig a cég víruskereső kutatási részlegének vezetője, akinek semmi köze ehhez az incidenshez.
Valójában a Nimda négy részből áll:
A Nimda nagyrészt azért volt hatékony, mert más vírusokkal ellentétben öt különböző fertőzési vektort használ:
A vírus két részből álló üzenetként érkezik. Az első rész HTML szkripteket tartalmaz. A második rész a "readme.exe" fájlból áll, amely parancsok végrehajtható halmaza. A Nimdának van egy parancsa a fertőzött e-mailek küldésére. A féreg nyomon követi a továbbított e-mailek utolsó kötegének idejét, és 10 naponta megismétli a címgyűjtés és a féreg e-mailben történő elküldésének folyamatát. A féreg fogadására szánt e-mail címeket két forrásból gyűjtjük:
A Nimda több kódolt másolatot hoz létre önmagáról, .eml és .nws fájlokat használva minden írható könyvtárban, amelyhez a felhasználó hozzáfér. Ha egy másik számítógépet használó felhasználó elindítja a féregfájl másolatát a fertőzött számítógéppel megosztott erőforrásokon, a rendszer is megfertőződik. Ráadásul, ahogy már említettük, a NIMDA vírus létrehozásától számított 22 perc elteltével több mint 3 milliárd számítógép fertőződött meg.