Viermii de internet

pericol pe internetÎn articolul anterior ( Spyware. Identificare, detectare, curăţare) am promis că voi aborda şi problema viermilor de internet, o altă ameninţare serioasă la adresa securităţii informatice. Va fi un articol un pic mai lung, fără imagini „vesele” de genul viermi care devorează un monitor (fie el şi CRT) şi cu date care mă străduiesc eu să fie cât mai exacte. Acestea fiind spuse, haideţi să vedem ce anume este un vierme de internet şi cum se manifestă el.

Voi începe prin a vă spune că un vierme de internet este un program care are capacitatea de a se auto-replica. El se foloseşte de reţea pentru a răspândi, de cele mai multe ori fără a mai necesita intervenţia utilizatorului. Există însă şi viermi de internet care „păcălesc” utilizatorul.

Una dintre cele mai folosite căi de transmitere a viermilor de internet este email-ul. Metoda este foarte simplă: viermele, ataşat unui mesaj, de obicei o poză sau un document, reuşeşte să convingă utilizatorul naiv să-l ruleze şi, fiindcă am vorbit deja despre „Afişarea extensiilor cunoscute în Windows”, n-ar strica să urmaţi acele indicaţii. În 2006, viermele SoccerA.1 a încercat să profite de popularitatea Cupei Mondiale, pentru a se putea răspândi mai uşor. Utilizatorii primeau un mesaj şocant: „Soccer fans killed five teens”, iar ca ataşament (emg. attachment) un fişier soccer_fans.jpg.exe.

Spre deosebire de un virus  care trebuie să se ataşeze unui program, viermele este de sine-stătător. Tot spre deosebire de viruşi, care aproape întotdeauna corup sau modifică fişiere de pe calculatorul infectat, viermii de internet au ca principal efect consumarea resurselor, cum ar lăţimea benzii pentru navigare pe internet. În cazuri extreme, dacă un vierme afectează un număr suficient de mare de calculatoare şi reţele, poate încetini drastic activitatea pe internet.

Am făcut această scurtă analogie cu viruşii deoarece, ca şi în cazul programelor de tip spion (spyware), termenul de virus este atribuit eronat oricărui software, care odată ajuns într-un calculator produce daune sau un comportament nedorit.

Viermii de internet reprezintă o sub-categorie de malware (software maliţios), alături de viruşi, troieni şi programele spyware.

Primul vierme de internet

Pe 2 noiembrie 1988 unele din calculatoarele cuplate la reţeaua numită Internet, care lega o parte dintre marile universităţi şi centre de cercetare americane, au început să prezinte simptome ciudate.

morris primul vierme de internet

Morris, primul vierme de internet

Calculatoarele executau tot felul de programe, compilau surse şi comunicau cu alte calculatoare din reţea, fără ca cineva să fi iniţiat aceste activităţi.

Prima alarmă a fost pornită la universitatea Stanford, la ora 9 seara (ora coastei de est a Statelor Unite), care afirma că majoritatea maşinilor Unix din campus (în număr de vreo 2500) erau infectate de un virus care pornise de la MIT. La ora 10 seara programatorii de la MIT au descoperit şi ei o activitate suspicioasă şi au încercat să rebooteze calculatoarele, crezând că e vorba de un program care nu mai răspunde la comenzi. Când au observat însă că, la scurt timp după repornire, calculatoarele începeau acelaşi lanţ de activităţi bizare, au realizat că ceva mai serios se află la mijloc.

În curând mesaje de e-mail schimbate cu colegi de la alte universităţi le-au confirmat că ameninţarea era una serioasă: calculatoare din toată America sufereau de aceleaşi simptom. Au urmat apoi două nopţi albe şi muncă în foc continuu în care hacker-ii încercau să înţeleagă în ce fel funcţionează noul virus care le ataca calculatoarele. La fel ca şi cei biologici, viruşii de obicei călătoresc în spinarea altor programe, care forţează celulele organismului gazdă să-i multiplice.

Programul cel nou era însă autonom; ca atare a fost botezat „vierme”: era un organism de sine-stătător, capabil să se multiplice şi să atace de la sine alte calculatoare.

Din fericire, viermele nu a realizat acte de distrugere, cum ar fi ştergerea de fişiere sau instalarea de conturi ascunse: singurul efect negativ provenea din faptul că maşinile erau infectate în mod repetat, şi repede nu făceau altceva decât să execute copii ale viermelui.

Cercetări ulterioare au relevat faptul că viermele fusese creat şi lansat de un student la doctorat al universităţii Cornell, pe nume Robert Tappan Morris. Ulterior, Robert Morris a fost condamnat la trei ani de închisoare cu suspendare pentru fapta sa, 10000 de dolari amendă şi 400 de ore de muncă în serviciul comunităţii. Condamnarea lui Morris a fost prima de acest fel pe teritoriul Statelor Unite, în „Actului de fraudă electronică şi abuzuri” (Computer Fraud and Abuse Act).

După terminarea sentinţei Robert Morris a terminat doctoratul la universitatea Harvard şi începând din 1999 este profesor la universitatea MIT, lucrând în domeniul reţelelor de calculatoare. Atenţie ! Să nu faceţi cumva greşeala să credeţi că Morris a avut aceste succese ulterioare datorită păţaniei cu viermele: el a reuşit să-şi „repare” cariera în pofida istoriei cu viermele, pentru că este o persoană capabilă şi foarte inteligentă. În prezent, Robert Morris, refuză să vorbească despre vierme sau să facă cercetare în securitatea calculatoarelor.

Viermele creat Robert Morris, mai este supranumit „Marele Vierme” datorită efectelor devastatoare (atât în plan tehnic, dar mai ales psihologic) pe care le-a avut asupra Internet-ului din acele vremuri. Deşi nu s-a ştiut niciodată numărul exact al sistemelor infectate, s-a speculat cifra de 6.000, adică 10% din Internet.

Modul în care acţionează viermii de internet

Viermii de internet se ascund în sistemul de operare sau în alte zone mai puţin expuse şi, cel mai adesea, rămân neobservaţi până când încep să îngreuneze activitatea calculatorului sau să afecteze alte programe. În afara faptului că se poate replica, un vierme de internet poate să ducă la îndeplinire şi alte sarcini precum să se ataşeze unui e-mail sau să şteargă anumite fişiere.

viermele internet sasser

Viermele Sasser. Diagrama de propagare.

Viermii de internet au abilitatea de a se trimite tuturor celor pe care îi aveţi în lista de mail şi mai departe în lista de mail a calculatorului nou infectat. Astfel, răspândirea este foarte rapidă, deoarece aceste mail-uri vin în, mare parte, de la persoane cunoscute.

Una dintre acţiunile obişnuite ale unui vierme de internet este să creeze o portiţă (eng. backdoor) pe fiecare calculator pe care îl infectează. Rezultatul ? Se pot trimite mesaje SPAM sau lansa atacuri DoS (Denial of Service) de pe calculator fără ştirea utilizatorului. Pentru cei care îşi mai amintesc, exact asta făcea Code Red V.1, care pe data de 20 a fiecărei luni, lansa de pe toate sistemele infectate un atac de tip DoS asupra câtorva adrese IP fixe, printre care şi un server de la Casa Albă.

Un vierme de internet, poate deschide un port aleatoriu şi acţiona precum un server web, descărcând noi fişiere maliţioase (malware). În unele cazuri, afişează mesaje de alarmă prin care utilizatorul este sfătuit să cumpere diverse soft-uri de securitate false, cum ar fi AntivirusXP2009 şi VirusRemover2009.

De asemenea, un vierme de internet poate fi responsabil pentru dezactivarea anumite servicii (Windows Update Service, Background Intelligent Transfer Service, Windows Defender, Windows Error Reporting Services), blocarea soft-urilor de securitate sau a acesului la site-urile producătorilor de soliţii antivirus. Este cazul viermelui de internet Conficker, despre care am vorbit pe larg într-un articol dedicat.

Viermi de internet „folositori”

Începând cu primele cercetări care s-au efectuat asupra viermilor de internet la Xerox PARC, a existat intenţia de crea viermi „folositori”. Un exemplu în acest sens, a fost viermele Welchia, cunoscut poate mai degrabă ca „Nachia”, ce exploata o vulnerabilitate în serviciul Microsoft Remote procedure call (RPC), tot cam aşa cum făcea şi viermele de internet Blaster. Spre deosebire de Blaster însă, Nachia încerca să ajute utilizatorul descărcând şi instalând update-uri de securitate de la Microsoft. Deşi nu făcea nimic rău, ba chiar din contră, faptul că genera un plus trafic în reţea, restarta calculatorul şi – poate cel mai important – opera fără consimţământul utilizatorului, l-au făcut indezirabil.

Alţi viermi, precum XSS au fost scrişi pentru a cerceta factorii – precum activităţile sociale sau modificarea comportamentului utilizatorului – care duc la răspândirea viermilor de internet. Viermii XSS, exploatează o vulnerabilitate numită „Cross-site scripting”, iar infectarea se făcea prin vizitarea unei pagini web.

Atenţie ! Astăzi, majoritatea experţilor în securitatea informatică, încadrează orice vierme de internet în categoria malware, indiferent de intenţia originală a creatorilor lor.

Protejarea calculatoarelor împotriva viermilor de internet

Aşa cum spuneam anterior, majoritatea viermilor internet exploatează vulnerabilităţi ale sistemelor de operare. Acesta este unul dintre motive pentru care toţi producătorii lansează regulat update-uri de securitate şi dacă acestea sunt instalare în timp util, este puţin probabil să aveţi probleme. Mai există însă şi situaţia nefericită în care un producător recunoaşte că există o vulnerabilitate, sau aceasta este dovedită pe alte canale de specialitate, dar întârzie, din motive mai mult sau mai puţin obiective, realizarea update-urilor de securitate. Deşi rară, în aceste condiţii, este posibilă o infecţie de tipul Ziua Zero.

edimax br 6204wgRevin la sfaturile practice şi vă recomand:

  • să nu deschideţi email-uri unde nu cunoaşteţi expeditorul
  • să nu rulaţi fişiere ataşate acestor email-uri
  • să nu urmaţi link-uri din email-urile în cauză

Viermi de internet celebri precum ILOVEYOU au profitat de naivitatea utilizatorilor, iar numărul în continuă creştere a atacurilor de tip fishing demonstrează că multă lume n-a învăţat încă din experienţele trecute.

Aveţi nevoie de programe anti-virus şi anti-spyware, şi în plus, de un firewall. Vă mai aduceţi aminte de ghidul de instalare XP care începea cu deconectarea de la reţea ? Până la viermele de internet Blaster, mulţi nici nu auziseră de firewall, iar acum un firewall a devenit la fel de prezent ca şi un client de email. Dacă folosiţi un router, ar fi bine să activaţi firewall-ul încorporat. Un astfel de firewall este destul de simplu de folosit şi beneficiaţi de protecţie împotriva atacurilor de tip DoS – incluzând Ping of Death, Port Scan sau Sync Flood, aveţi Acces Control şi Url Blocking (ca să numesc doar câteva dintre facilităţile comune).

Anul trecut, „IEEE Transactions on Dependable and Secure Computing” lansa o ipoteză interesantă despre cum un vierme de internet ar putea fi oprit „la timp”, înainte să mai producă pagube substanţiale. Secretul îl constituie numărul de scanări pe care sistemul infectat le face în reţea pentru a descoperi noi victime. Astfel, în cazul unui număr exagerat de scanări, administratorii sistemului sunt avertizaţi. Urmează deconectarea de la reţea a sistemului suspect şi verificarea sa amănunţită.

Viermi de internet „celebri”

windows-xp inchidere de urgentaM-am gândit destul de mult ce să aleg pentru încheiere şi cred că cel mai bine să ştiţi CU CE sau mai ales CU CINE aveţi de-a face. Asta ca un aviz amatorilor care cred că este totul o joacă. Majoritatea celor care au creat aceşti viermi de internet, au primit deja condamnări (cu sau fără suspendare).

Sobig – un vierme de internet care a infectat milioane de calculatoare în august 2003. Beneficia de capacitatea de auto replicare, ca orice vierme „clasic”, dar acţiona şi ca troian, ceea ce-l făcea cu atât mai periculos. Varianta ce mai răspândită a fost Sobig.F.

Viermele de internet Sobig apare sub forma unui email, cu unul din următoarele subiecte:

  • Re: Approved
  • Re: Details
  • Re: Re: My details
  • Re: Thank you!
  • Re: That movie
  • Re: Wicked screensaver
  • Re: Your application
  • Thank you!
  • Your details

Mydoom, cunoscut şi ca W32.MyDoom@mm – Descoperit pentru prima dată pe 26 ianuarie 2004, a devenit viermele de internet care s-a răspândit cel mai rapid, depăşind „recordul” stabilit anterior de Sobig. Viermele conţinea următorul mesaj „andy; I’m just doing my job, nothing personal, sorry”, lăsând impresia că a fost unul creat „la comandă”. Deşi mai multe firme de securitate au anunţat iniţial că programatorul responsabil s-ar afla în Rusia, autorul a rămas necunoscut.

Blaster – creaţia lui Jeffrey Lee Parson, un tânăr de 18 din Minnesota care a fost condamnat la 18 luni închisoare în ianuarie 2005. Blaster a fost poate cel mai răspândit vierme de internet din 2003, însă din fericire, atenţionările făcute de media de specialitate şi filtrările furnizorilor de servicii internet au limitat treptat efectele acestui vierme.

Sasser – observat în 2004, acest vierme de internet exploata vulnerabilităţile din sistemele de operare Windows XP şi Windows 2000. Cel mai cunoscut efect era mesajul de shutdown care apărea datorită faptului că viermele bloca fişierul LSASS.exe. Autorul lui, Sven Jaschan a fost găsit vinovat de sabotaj şi modificare ilegală a datelor, iar pe 8 iulie 2005 a primit o pedeapsă de 21 de luni cu suspendare.

Conficker – Primul vierme de internet menţionat în cadrul unei conferinţe de un preşedinte american. S-a întâmplat anul acesta, pe 29 mai, atunci când Preşedintele Barack Obama a criticat răspunsul autorităţilor şi lipsa de reacţie în faţa acestei ameninţării informatice. Se pare, că viermele de internet Conficker (în cele 5 variante: A, B, C, D, E) a infectat mai mult de 35 de milioane de sisteme, iar până la această dată autorul a rămas necunoscut.

În loc de încheiere…

Articolul despre viermii de internet este cel de-al doilea pe care l-am scris într-o serie dedicată ameninţărilor informatice iar la acea dată, am fost destul de mulţumit de forma finală. Ulterior, mi-am dat seama că au rămas mai multe lucruri nespuse, şi-am revenit cu prezentarea unei serii de filmuleţe, menite a conştientiza în mintea cititorilor acestui blog, pericolele care ne pândesc pe internet.

Din această categorie, vă invit să urmăriţi partea a şaptea, dăunătorii din calculator, „Ce este un virus, un vierme de internet sau un troian ?

Materiale bibliografice:
  • http://en.wikipedia.org/wiki/Computer_worm>
  • http://en.wikipedia.org/wiki/Morris_worm
  • http://en.wikipedia.org/wiki/Conficker
  • http://en.wikipedia.org/wiki/Cross-site_scripting
  • http://www.sciencedaily.com/releases/2008/06/080604143419.htm
  • http://www.cs.cmu.edu/~mihaib/articles/codered/codered-html.html

Despre autor şi articol

a scris 281 articole pe blogul Stefa Media.


Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.


Categorii: Ameninţări informatice, INTERNET, Materiale teoretice Etichete: antivirus, Conficker, INTERNET, malware, Robert Morris, spyware, viermii de internet, virus

  1. Nici un comentariu momentan.