Počítačový červ

Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľský počítač, využíva jeho prepojenie cez sieť s ďalšími počítačmi a prostredníctvom nich sa šíri ďalej.

Je podtriedou počítačového vírusu. Červ nepotrebuje na svoje šírenie hostiteľský program. Obsahuje totiž rutiny, resp. podprogramy ktoré zabezpečujú jeho kopírovanie a ďalšie šírenie, čo je ich obrovská výhoda. Nebezpečné sú najmä vďaka svojej schopnosti replikácie vo veľkých objemoch. Najrozšírenejším typom vírusov sú práve červy a to z dôvodu ich vysokej infekčnosti.

Typy

Jedným z kritérií na rozlišovanie typov počítačových červov je podľa povahy šírenia a typu útoku:

• e-mailový červ, ktorý sa šíri na základe zoznamu adries v užívateľskom programe. Na svoje šírenie používa e-mailovú komunikáciu, pričom zneužíva chyby v programe. Väčšinou vyžaduje ľudský faktor na umožnenie šírenia, aj keď za určitých podmienok sa na niektorých počítačoch dokáže šíriť sám. Príklady e-mailových červov: ILoveYou, Klez, BugBear, W32/Kedebe-F, Zotob, …
• sieťový červ sa po sieti šíri využívajúc chyby v serverových častiach programov, pričom sám aktívne vyhľadáva ďalšie servery vhodné na napadnutie. Vďaka tomu, že nepotrebuje k svojej činnosti ľudský prvok, je nebezpečnejší a ťažko ovládateľný. Príklady sieťových červov: CodeRed, Slapper, Sdbot.ABI, Randex.AJA, ...

História

Dňa 2.11.1988 bol internetom rozšírený prvý počítačový červ, ktorého autorom bol Robert Tappan Morris. Jediným cieľom tohto červa bolo šírenie sa, no aj napriek tomu bol jeho výsledný efekt zdrvujúci. Následkom jeho zlého naprogramovania bolo to, že červ napádal aj napadnuté počítače. Morrisov červ tak ako prvý v praxi predviedol, aké možnosti poskytuje internet ako médium šírenia. Odozvou na neho, bolo vytvorenie koordinačného centra CERT (Computer Emergency Response Team), ktoré sa zaoberá bezpečnosťou internetu. R.T. Morris bol ako autor červa odsúdený na 3 roky podmienečne, 400 hodín verejnoprospešných prác a musel zaplatiť pokutu vo výške 10 000USD (približne 6864 €).^{[chýba zdroj]}

Činnosť červa

Opis sieťového červa

Jeho obvyklou súčasťou je program, ktorý na infikovanom stroji aktívne a úplne automaticky vyhľadáva ďalšie systémy, ktoré sú vhodné na napadnutie. Keď takýto počítač (resp. server) nájde, červ spustí svoju infekčnú rutinu a prenesie sa na nový server, pričom na pôvodnom stroji zostáva ďalej a skúša vyhľadať ďalší napadnuteľný systém. Tento cyklus sa opakuje aj na novo napadnutom stroji.

Modelový príklad činnosti sieťového červa

Na zvýšenie svojej efektivity, býva zväčša vytvorený zoznam "infikovateľných" počítačov. Tieto zoznamy môžu mať desaťtisíce konkrétnych IPv4 adries / mailových adries.

Pre zväčšenie infekčnosti dnešné červy používajú distribuovaný zoznam infikovateľných počítačov. Tj., prvý vírus je odoslaný s kompletným zoznamom a pri nasledujúcich infekciách ho delí na menšie časti pre dcérske vírusy.

Napr. je možné zoznam rozdeliť na polovicu, pričom jednu polovicu si ponechá pôvodný vírus, druhú potomok. Toto sa znova opakuje s ďalšou generáciou. Môže sa však stať, že vírus v niektorom z prvých štádií natrafí na neinfikovateľný počítač a tak sa výrazne spomalí šírenie. V budúcnosti sa pravdepodobne objavia matematicky zložitejšie vírusy, zefektívňujúce túto metódu.

Takéto počiatočné podmienky je možné získať skenovaním potenciálnych cieľov. Náhodné skenovanie však začína upadať spolu s úpadkom počtu dosiaľ neinfikovaných počítačov. To sa dá zredukovať použitím permutačného skenovania. Pri šírení sú potom geneticky silnejšie vírusy kombinujúce viacerých spôsobov infekcie. Taký červ sa nazýva multimode worm. Príkladom je červ Nimda, ktorý sa bol schopný šíriť e-mailom, ale aj web servermi.

V prípade tvorby botnetu sa na prvé šírenie často používajú červy, typ mass mailer. Umiestnením "zadných vrát" (backdoor), je možné neskôr prevziať nad daným PC kontrolu a vykonávať ďalšie škodlivé aktivity, ako DDoS útok.

Šírenie všeobecne

S výnimkou vírusov šíriacich sa s využitím nejakej chyby napr. e-mailových klientov (tzv. mass mailer), červ sa nemôže šíriť bez toho, aby ho používateľ predtým nespustil. Červy typu mass mailer sa primárne šíria v prílohách e-mailov. Iné červy a vírusy sa môžu šíriť prostredníctvom programov, ktoré používateľ stiahne z Internetu alebo zo zavírených diskov či diskiet.

Na podobné šírenia sú náchylné všetky komunikačné aplikácie. Napr. je možné vidieť vírusy šíriace sa cez Skype.^[1]

Detekcia

Detekcia červov nebýva zložitá, keďže zvyčajne nepoužívajú techniky na ochranu pred antivírusovým softvérom.

Zabránenie šíreniu podobných vírusov zvyčajne spočíva v opravení chýb v softvéri, pomocou ktorých sa vírus šíril.Výnimkou sú červy využívajúce zvedavosť a nevzdelanosť používateľov PC, ako napr. ILOVEYOU.

WikiProjekt

• Článok je súčasťou Wikiprojektu IT a Počítačová bezpečnosť

Referencie

1. https://community.skype.com/t5/Security-Privacy-Trust-and/virus-sending-out-messages/td-p/476391