Вирус который сам распространяется

Обновлено: 28.03.2024

Что такое вредоносное ПО?

Malware – программное обеспечение, которое может быть использовано для компрометации компьютера, кражи данных, контроля доступа, или причинения вреда компьютеру. Вредоносное ПО – это широкий термин, обозначающий множество вредоносных программ. В этом посте будут определены несколько наиболее распространенных типов вредоносных программ; рекламное ПО, боты, ошибки, руткиты, шпионское ПО, троянские кони, вирусы и черви.

Adware

Bot (бот)

Боты – это программы, созданные для автоматического выполнения определенных операций. Хотя некоторые боты создаются для относительно безобидных целей (видеоигры, интернет-аукционы, онлайн-конкурсы и т. д.), становится все более распространенным злонамеренное использование ботов. Ботов можно использовать в ботнетах (коллекциях компьютеров, которые будут контролироваться третьими сторонами) для DDoS-атак, в качестве спам-ботов, отображающих рекламу на веб-сайтах, в качестве веб-пауков, которые очищают данные сервера, и для распространения вредоносных программ, замаскированных под популярные элементы поиска на сайтах загрузки. Веб-сайты могут защищать от ботов с помощью тестов CAPTCHA, которые проверяют пользователей как людей.

Bug

В контексте программного обеспечения баг (ошибка) – это недостаток, приводящий к нежелательному результату. Эти недостатки обычно являются результатом человеческой ошибки и обычно присутствуют в исходном коде или компиляторах программы. Незначительные баги лишь незначительно влияют на поведение программы и, как следствие, могут сохраняться в течение долгого времени, прежде чем будут обнаружены. Более серьезные баги могут вызвать сбой или зависание. Ошибки безопасности являются наиболее серьезным типом ошибок и могут позволить злоумышленникам обойти проверку подлинности пользователя, переопределить права доступа или украсть данные. Баги можно предотвратить с помощью инструментов обучения разработчиков, контроля качества и анализа кода.

Ransomware (программы-вымогатели)

Rootkit (Руткит)

Руткит представляет собой тип вредоносного программного обеспечения для удаленного доступа или управления компьютером без обнаружения пользователей или программ безопасности.

После установки руткита злоумышленник, стоящий за руткитом, может удаленно запускать файлы, получать доступ / красть информацию, изменять конфигурации системы, изменять программное обеспечение (особенно любое программное обеспечение безопасности, которое может обнаруживать руткит), устанавливать скрытые вредоносные программы или управлять компьютером как частью ботнета. Предотвращение, обнаружение и удаление руткитов может быть затруднено из-за их скрытой работы. Поскольку руткит постоянно скрывает свое присутствие, обычные продукты безопасности неэффективны для обнаружения и удаления руткитов. В результате для обнаружения руткитов используются ручные методы, такие как мониторинг поведения компьютера на предмет нерегулярной активности, сканирование сигнатур и анализ дампа хранилища. Организации и пользователи могут защитить себя от руткитов, регулярно исправляя уязвимости в программном обеспечении, приложениях и операционных системах, обновляя описания вирусов, избегая подозрительных загрузок и выполняя сканирование со статическим анализом.

Spyware (Шпионское ПО)

Шпионское ПО – это тип вредоносного ПО, которое отслеживает действия пользователей без их ведома. Эти возможности шпионажа могут включать в себя мониторинг активности, сбор нажатий клавиш , сбор данных (информация об учетной записи, логины, финансовые данные) и многое другое. Шпионское ПО также часто имеет дополнительные возможности, от изменения настроек безопасности программного обеспечения или браузеров до вмешательства в сетевые соединения. Шпионское ПО распространяется, используя уязвимости программного обеспечения, связывая себя с законным ПО или троянами.

Trojan Horse (Троянский конь)

Virus (Вирус)

Вирус – это разновидность вредоносного ПО, которое способно копировать себя и распространяться на другие компьютеры. Вирусы часто распространяются на другие компьютеры, присоединяясь к различным программам и выполняя код, когда пользователь запускает одну из этих зараженных программ. Вирусы также могут распространяться через файлы сценариев, документы и уязвимости межсайтового сценария в веб-приложениях. Вирусы можно использовать для кражи информации, нанесения вреда хост-компьютерам и сетям, создания бот-сетей, кражи денег, отображения рекламы и многого другого.

Worm (Червь)

Симптомы вредоносного ПО

Хотя эти типы вредоносных программ сильно различаются по способам распространения и заражения компьютеров, все они могут вызывать схожие симптомы. Компьютеры, зараженные вредоносным ПО, могут проявлять любые из следующих симптомов:

Предотвращение и удаление вредоносного ПО

Существует несколько общих рекомендаций, которым должны следовать организации и отдельные пользователи для предотвращения заражения вредоносными программами. Некоторые случаи вредоносного ПО требуют специальных методов профилактики и лечения, но выполнение этих рекомендаций значительно повысит защиту пользователя от широкого спектра вредоносных программ:

  • Установите и запустите антивирусное программное обеспечение и брандмауэр. При выборе программного обеспечения выберите программу, которая предлагает инструменты для обнаружения, помещения в карантин и удаления нескольких типов вредоносных программ. Как минимум, антивирусное ПО должно защищать от вирусов, шпионского, рекламного ПО, троянов и червей. Сочетание антивирусного программного обеспечения и брандмауэра гарантирует, что все входящие и существующие данные будут сканироваться на наличие вредоносных программ и что вредоносное ПО может быть безопасно удалено после обнаружения.
  • Обновляйте программное обеспечение и операционные системы с помощью текущих исправлений уязвимостей. Эти патчи часто выпускаются для исправления ошибок или других недостатков безопасности, которые могут быть использованы злоумышленниками.
  • Будьте бдительны при загрузке файлов, программ, вложений и т. д. Загрузки, которые кажутся странными или происходят из незнакомого источника, часто содержат вредоносное ПО.

Спам

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Главная задача биологии — это развитие представлений у человека о живых организмах, о многообразии видов, обо всех закономерностях развития живых существ, а также об их взаимодействии с окружающей природой. Предмет основы безопасности жизнедеятельности (ОБЖ) позволяет получить знания и умения, которые помогут сохранить жизнь и здоровье в опасных ситуациях. Эти ситуации всегда возникают неожиданно, но, тем не менее, большинство из них предсказуемы и к ним можно подготовиться заранее. ОБЖ учит нас предвидеть возможные опасности и минимизировать потери от той или иной ситуации. Сегодня мы сталкиваемся с новым видом вирусной опасности COVID-19,о котором поговорим с точки зрения биологии и ОБЖ.

Что такое вирус?

Вирус — это неклеточный инфекционный агент. Сегодня нам известно около 6 тысяч различных вирусов, но их существует несколько миллионов. Вирусы не похожи друг на друга и могут иметь как форму сферы, спирали, так и форму сложного асимметричного сплетения. Размеры вирусов варьируются от 20 нм до 300 нм.

Как устроен вирус?

В центре агента находится генетический материал РНК или ДНК, вокруг которого располагается белковая структура — капсид.
Капсид служит для защиты вируса и помогает при захвате клетки. Некоторые вирусы дополнительно покрыты липидной оболочкой, т.е. жировой структурой, которая защищает их от изменений окружающей среды.

Вирусолог Дэвид Балтимор объединил все вирусы в 8 групп, из которых некоторые группы вирусов содержат 1-2 цепочки ДНК. Другие же содержат 1 цепочку РНК, которая может удваиваться или достраивать на своей матрице ДНК. При этом каждая группа вирусов производит себя в различных органеллах зараженной клетки.

Вирусы имеют определенный диапазон хозяев, т.е. он может быть опасен для одних видов и абсолютно безвреден для других. Например, оспой болеет только человек, а чумкой только некоторые виды плотоядных. Вирус не способен выжить сам по себе, поэтому активируется только в хозяйской клетке, используя ее ресурсы и питательные вещества. Цель вируса — создание множества копий себя, чтобы инфицировать другие клетки!

Вирусы

Как вирус попадает в организм?

  • через физические повреждения (например, порезы на коже)
  • путём направленного впрыскивания (к примеру, укус комара)
  • направленного поражения отдельной поверхности (например, при вдыхании вируса через трахею)
  • к эпителию слизистых оболочек (это например вирус гриппа)
  • к нервной ткани (вирус простого герпеса)
  • к иммунным клеткам (вирус иммунодефицита человека)

Биология. Рабочая тетрадь. 9 класс

Геном вируса встраивается в одну из органелл или цитоплазму и превращает клетку в настоящий вирусный завод. Естественные процессы в клетке нарушаются, и она начинает заниматься производством и сбором белка вируса. Этот процесс называется репликацией. И его основная цель — это захват территории. Во время репликации генетический материал вируса смешивается с генами клетки хозяина — это приводит к активной мутации самого вируса, а также повышает его выживаемость. Когда процесс репликации налажен, вирусная частица отпочковывается и заражает уже новые клетки, в то время как инфицированная ранее клетка продолжает производство.

Выход вируса

Вирус создал множество собственных копий, клетка оказывается изнуренной из-за использования ее ресурсов. Больше вирусу клетка не нужна, поэтому клетка часто погибает и новорожденным вирусам приходится искать нового хозяина. Это и есть заключительная стадию жизненного цикла вируса.

Скорость распространения вирусной инфекции

Размножение вирусов протекает с исключительно высокой скоростью: при попадании в верхние дыхательные пути одной вирусной частицы уже через 8 часов количество инфекционного потомства достигает 10³, а концу первых суток − 10²³.

Вирусная латентность

Как вирус распространяется?

  • воздушно-капельный (кашель, чихание)
  • с кожи на кожу (при прикосновениях и рукопожатиях)
  • с кожи на продукты (при прикосновениях к пище грязными руками вирусы могут попасть в пищеварительную и дыхательную системы)
  • через жидкие среды организма (кровь, слюну и другие)

Почему с вирусами так тяжело бороться?

Сегодня людям уже удалось победить некоторые вирусы, а некоторые взять под жесткий контроль. Например, Оспа (она же черная оспа). Болезнь вызывается вирусом натуральной оспы, передается от человека к человеку воздушно-капельным путем. Больные покрываются сыпью, переходящей в язвы, как на коже, так и на слизистых внутренних органов. Смертность, в зависимости от штамма вируса, составляет от 10 до 40 (иногда даже 70%), На сегодняшний день вирус полностью истреблен человечеством.

Кроме того, взяты под контроль такие заболевания, как бешенство, корь и полиомиелит. Но помимо этих вирусов существует масса других, которые требуют разработок или открытия новых вакцин.

Коронавирус

Виновником эпидемии, распространяющейся сегодня по миру, стал коронавирус, вирусная частица в 0,1 микрона. Свое название он получил благодаря наростам на своей структуре, своеобразным шипам. Внутри вируса спрятан яд, с помощью которого он подчиняет себе зараженный организм. Этот вирус воздействует не только на человека, но и на птиц, свиней, собак и летучих мышей. В настоящий момент выделяют от 30 до 39 разновидностей коронавирусной инфекции. Но для человека патогенно всего 6. И как любой другой вирус COVID-19 мутирует.

симптомы и признаки.jpg

К наиболее распространенным симптомам COVID-19 относятся повышение температуры тела, сухой кашель и утомляемость. К более редким симптомам относятся боли в суставах и мышцах, заложенность носа, головная боль, конъюнктивит, боль в горле, диарея, потеря вкусовых ощущений или обоняния, сыпь и изменение цвета кожи на пальцах рук и ног. Как правило, эти симптомы развиваются постепенно и носят слабо выраженный характер. У некоторых инфицированных лиц болезнь сопровождается очень легкими симптомами.

Сколько же может жить этот вирус вне организма? Все зависит от типа вируса и от той поверхности, на которую вирусы попали. В качестве примера было рассмотрено 3 вируса, по которым велись исследования. Изучали время, на которое может задерживаться вирус на различных поверхностях. Данные приведены в таблице.

Таблица

Поскольку пока не изобретено вакцины от COVID-19, в целях защиты от инфекции самым важным для нас является соблюдение гигиены.

Гигиена — раздел медицины, изучающий влияние жизни и труда на здоровье человека и разрабатывающая меры (санитарные нормы и правила), направленные на предупреждение заболеваний, обеспечение оптимальных условий существования, укрепление здоровья и продление жизни.

Сегодня следует соблюдать определенные правила гигиены:

  • Соблюдение режима труда и отдыха, не допускающего развития утомления и переутомления.
  • Выполнение условий, обеспечивающих здоровый и полноценный сон (свежий воздух, отсутствие шума, удобная постель, оптимальная продолжительность).
  • Правильное здоровое питание в соответствии с потребностями организма.
  • Комфортный микроклимат в жилище (температура, влажность и подвижность воздуха, естественная и искусственная освещенность помещений).
  • Содержание в чистоте тела и тщательный уход за зубами.
  • Спокойное и корректное поведение в конфликтных ситуациях.

профилактика.jpg

"Черви" постоянно развиваются, оптимизируя скорости своего распространения. Сегодня существует две разновидности вирусов, потому что "черви" эффективно работающие в глобальном Интернет, обычно очень плохо распространяются в локальной сети. Поэтому, быстрее всего распространяемые Интернет "черви", например Code Red и SQL Slammer, являются гораздо менее эффективными при полной дискредитации локальной сети, чем вирусы отдающие преимущество локальной адресации, что было доказано вирусом W32.Blaster. Теперь возможно создание гибридного вируса, который случайным образом выбирал сеть, а затем последовательно её сканировал.

Введение

Предпосылки

В настоящее время, использование злонамеренного кода типа вирусов, "червей" и "троянов", является одним из наиболее распространенных видов атак в Интернет. Все современные IT организации, использующие любые виды подключений к Интернет, должны быть готовы к отражению такого вида нападений.

При общих условиях, злонамеренный код описывается как любая несанкционированная пользователем активность, а более конкретные и специфические условия можно найти в технических описаниях.

Червь или саморазмножающийся вирус это определенный вид злонамеренного кода, он отличается от остальных видов вирусов способностью самопроизвольного размножения без вмешательства пользователя. Принимая во внимание тот факт, что традиционные вирусы требуют определенного взаимодействия с пользователем, будь-то запуск программы или загрузка какого-нибудь компонента с Web сайта, в то же время "черви" способны к размножению вообще без каких-либо взаимодействий с пользователем или системой. Наиболее часто, они используются для поиска хостов, на которых запущены уязвимые службы и для эксплуатации этих уязвимостей. Черви наиболее опасны тем, что не требуют никаких действий от пользователя, поэтому в случае удачной атаки, вирус будет очень быстро распространяться по Сети, при этом ему будут безразличны время и регион распространения.

Одним из последствий действия этого вируса стало опубликование огромного количества исследований и проведение анализа различных уязвимостей, помогающих специалистам определять их защитную политику. При рассмотрении этих исследований можно выделить несколько особенностей. В большинстве проводимых исследований подразумевалось, что распространение вируса будет проходить глобально в Интернет, и практически не рассматривались варианты активности вируса в изолированных частных секторах Интернет, к примеру, в корпоративных сетях. Это упущение может быть критическим при глобальных угрозах заражения и попытках предусмотреть сценарии защиты от вирусного вторжения.

Значение того, как ведет себя вирус в изолированных, частных секторах Internet становиться важным, когда мы узнаем, что в большинстве организаций нет достаточного количества публичных IP адресов, и поэтому в них используются частные сети (к примеру: 10.Х.Х.Х, 172.16.Х.Х, 192.168.Х.Х). В таких сетях большинство подключенных к Интернет компьютеров используются в обход устройств трансляции сетевых адресов. Поскольку такие компьютеры напрямую не подключены к Интернет, то заражение "червями" происходит из дискредитированных внутренних хостов, и поэтому распространение вирусов в частных сетях может быть достаточно серьезной проблемой. Такая же проблема может возникнуть, если в организации есть публичные IP адреса, но отсутствует должная межсетевая защита. Ранее большинство людей считало, что у них была проведена межсетевая защита, а их хосты были достаточно защищены, но как показали вирусы W32.SQLExp и Blaster это было заблуждением.

Факторы, влияющие на распространение "червей"

В многочисленной документации было сфокусировано внимание на факторах распространения вирусов, в попытке выявить наиболее значимые из них и определить стратегии, которые вероятно будут использоваться авторами "червей" в будущем. Именно это и попытался описать Том Вогт в статье "Моделирование и оптимизация алгоритмов распространения червей". Вогт смоделировал сеть, чтобы проверить влияние различных стратегий на суммарную скорость распространения вируса. Исходя их этих тестов, Вогт выделил несколько факторов, имеющих наибольшее влияние на смоделированное распространение вируса.

Выборка по адресу: метод адресной выборки имеет огромное значение в скорости распространения вируса по Интернет. Различные методы могут включать полностью случайную выборку, случайную выборку с локальным предпочтением и последовательный опрос.

Метод поточной обработки: при одиночном потоке сканирования результатов, скорость размножения вируса гораздо более низкая, чем при многократном.

Метод предварительного сканирования: более эффективным способом является выполнение предварительного сканирования, перед пересылкой данных на хост, для определения "прослушивания" этим хостом требуемого порта.

Метод сканирования или инфицирования: заключается в использовании эффективных подпрограмм для уменьшения времени ожидания при инфицировании и сканировании результатов.

Вогт в своей статье описывает воздействие вышесказанных факторов при учете глобального распространения вируса, но в тоже время он отводит мало места под описание воздействия этих факторов в замкнутых, изолированных сетях, являющихся составной частью глобальных сетей.

Для чего нужен анализ старых "червей"?

Черви, начиная с самого первого Code Red, дают нам отличную возможность исследования различных стратегий и уязвимостей, необходимую для создания удачного вируса. В то время как каждый из вирусов использовал различные стратегии, с различными скоростями распространения, все они достигли реальной степени успеха, часто используя малейшие уязвимости для проникновения через существующие системы защиты. Анализ действия этих вирусов и проверка существующих защитных стратегий позволит организациям защитить себя от подобных нападений в будущем.

Какие виды "червей" мы будем анализировать.

Выбор соответствующих вирусов для проведения данного анализа был не легок, но в итоге мы выбрали "черви", которые воздействовали на системы Windows, главным образом, потому эти операционные системы очень распространены. И в тоже время очевиден факт, что Windows системы подвергались наибольшему количеству атак со стороны "червей".

Семейство вирусов Code Red I

Уязвимость, эксплуатируемая вирусами подобными Code Red, происходит при обработке *.ide файлов, используемых службами индексации (Indexing Services). Переполнение происходит при обработке запроса, обычно в форме URL закодированного GET запросом.

Сам "червь" начал свое распространение 12 июля 2001 года, но даже сейчас, спустя два с половиной года, он и его варианты остаются в Интернет достаточно сильной проблемой, т.к зараженные системы до сих пор пытаются размножать этот вирус. В отличие от плохо администрируемых систем, другой проблемой являются хосты установленные с оригинальных носителей и инфицированные прежде, чем к ним могут быть загружены и применены "заплаты". Это достаточно серьезная проблема для домашних пользователей, но она не должна игнорироваться администраторами, которые могут быстро переустановить систему, предоставляющую IIS службы.

Есть один интересный факт относительно действия семейства вирусов Code Red I - они существуют исключительно в памяти компьютера и на диск не записывается никакой информации, поэтому при перезагрузке, инфекция пропадала с системы до следующей эксплуатации. Обнаружение вируса в памяти компьютера, давало возможность администратору применить "заплату", перезагрузить компьютер и больше ничего не напоминало бы о дискредитации системы.

W32.SQLExp (также известный как SQL Slammer или SQL Sapphire)

Этот "червь", известный также под названиями W32. SQLExp, SQL Slammer, и SQL Sapphire, использовал для своего распространения одиночные UDP датаграммы. Использование протокола UDP гарантировало, что "червь" мог распространяться по сети с огромной скоростью, превосходящей все известные до этого вирусы.

Вирус распространялся на системах использующих Microsoft SQL Server. Он выполнял переполнение буфера в службе SQL Server Resolution Service, работающей на 1434 порте UDP протокола. Переполнение могло запуститься с помощью одной UDP датаграммы, означая при этом, что единственным способом предохраниться от вируса, является удаление "преступного" пакета, до того как он достигнет атакуемой службы.

Посылая одиночную UDP датаграмму, на случайным образом выбранный хост, W32.SQLExp не был ограничен в необходимости ждать ответ на запрос сокета, для продолжения своего распространения, вместо этого функция sendto() возвращала результат, сразу после помещения данных в исходящую очередь. Как показали исследования Вогта, существенную часть времени вирус тратил на ожидание ответа от уязвимых или несуществующих хостов, а при использовании протокола UDP этот недостаток исчезал.

Различные исследования глобальной скорости распространения вируса (как теоретической, так и реальной), показали, что наибольшая часть уязвимых систем была заражена в течение первых 15 минут размножения вируса.

В августе 2003, была найдена уязвимость в DCOM, позволяющая перезаписывать стек деформированным пакетом. Ошибка происходит при обработке пути в network/file-системе для DCOM запроса. Разработка эксплойта, устойчиво работающего на различных пакетах программ и версиях языков, занял некоторое время, но как только был готов универсальный эксплойт, появилась возможность для устойчивой работы вируса.

Сам "червь" включал в себя этот эксплойт, а для передачи вирусного кода на инфицированные системы, использовал другие средства, включая TFTP. По сравнению с вирусами Code Red и W32.SQLExp, W32.Blaster был очень простым, что было удивительно, но очень эффективно.

Конфигурация сети

Чтобы иметь возможность для сравнения и сопоставления результатов действия вирусов и путей доступа этих вирусов к сетям, необходимо установить "типичную" сетевую конфигурацию, состоящую из различных систем наиболее часто используемых для получения доступа "червями". В нашей статье мы будем рассматривать сеть, логически сегментируемую в DMZ, защищенную списками доступа (ACL) маршрутизатора, а во внутренней сети установлена межсетевая защита и используется сетевая и портовая трансляция адресов (NAT/PAT) в дополнение к использованию прокси большого количества протоколов изнутри сети в Интернет. Ниже представлен вид базовой топологии сети.


Анализ Code Red v1 и v2

Вирусы Code Red первой и второй версий использовали подпрограмму случайной выборки адресов, хотя в первой версии был недостаток, заключающийся в том, что при каждой активизации вируса он пытался атаковать один и тот же список IP адресов. Во второй версии "червя" этот недостаток был устранен и, следовательно, он мог поражать большее количество компьютеров, заражая хосты, пропущенные ранее первой версией.

Наблюдение за распространением пробных SYN пакетов, посылаемых вирусом Code Red 2, показало нам скорость инфицирования сервера до 11 пакетов в секунду. Для нашего исследования мы предпримем случайную выборку адресов со скоростью 11 пакетов в секунду для каждого уникального адреса.

В нашем примере, Интернет доступ к 80 порту был заблокирован всем системам в корпоративной сети, кроме Web служб, расположенных в DMZ. Из всех серверов поддерживающих Web службы (мы предполагаем, что на них были установлены все патчи), уязвим только хост и, выполняя прослушивание данного порта, мы можем минимизировать риск заражения вирусом. Также в DMZ имеется ряд других серверов (такие как SQL сервера, контроллеры доменов, мониторинговые системы), на которых был запущен уязвимый IIS, но благодаря граничной маршрутизации, они не были доступны из Интернет. Но даже при том, что эти сервера не доступны из Интернет, они все же уязвимы в случае проникновения "червя" через граничный маршрутизатор.

Сразу после атаки на уязвимый сервер и его дискредитации, запускается процедура сканирования. Зараженная машина случайный образом выбирает список IP адресов и пытается соединиться с ними со средней скоростью 11 пакетов в секунду. Интервалом адресов для этого отбора является весь Интернет, и шанс, что этот хост заразит другие хосты в той же сети примерно 1 к 4.2 миллиардам. Для покрытия всего адресного интервала одним хостом, потребовалось как минимум 12 лет. Если подразумевать, что больше не существует уязвимых хостов, то скорость распространения вируса в локальной сети будет очень мала.

Для вычисления распространения вируса при случайной выборке адресов можно использовать следующую формулу:

AdressRange/(2 * VulnAddress * PropagationRate) , где:

В случае с вирусом Code Red v.2:

255*255*255*255/(2*100*11)

Использование данного типа случайной выборки адресов, хотя и очень эффективно при глобальном распространении в Интернет, но абсолютно не действительно в локальной сети при проникновении вируса через межсетевую защиту. Очевидно, что вероятность заражения любого четырехбайтового IP адреса одинакова для всего адресного пространства, но очень мала при заражении конкретного IP адреса или интервала адресов. "Червь" Code Red - это типичный пример вируса созданного для угрозы глобального заражения, и он не способен вызвать проблемы в локальной сети, при проникновении вируса через граничный хост.

Для организаций, которые установили все возможные патчи на свои системы, и правильно сконфигурировали фильтрацию в системах межсетевой защиты и граничных маршрутизаторах, Code Red и "черви", в которых отсутствует оптимизируемый алгоритм распространения, не будут представлять серьезной угрозы, т.к исходящие соединения с Интернет из инфицированной системы распознавались бы системой прежде, чем вирус смог бы заразить внутренние хосты.

Червь W32.SQLExp является следующим поколением вирусов после Code Red, главное его преимущество заключается в скорости распространения. Как было сказано ранее многие показатели указывают на то, что этот вирус может заразить все уязвимые компьютеры в Интернет менее, чем за 20 минут. Это гораздо быстрее, чем скорость распространения вируса Code Red.

W32.SQLExp использует случайную адресную выборку, такую же, как и вирусы Code Red v.1 и v.2. Как было сказано в статье Тома Вогта "Моделирование и оптимизация алгоритмов распространения червей", это не самый лучший метод, но он был эффективен.

W32.SQLExp был хорошо оптимизирован, но содержал недостаток при выборе адреса, означавший, что любой зараженный хост не мог распространять угрозу на весь Интернет.

Размер вируса = 404 байтов UDP + 30 Ethernet кадра = 434 байта.

В 100 мегабитной коммутируемой дуплексной сети при 80% использовании (скромный подсчет) W32.SQLExp может посылать 23,041 пакета в секунду. В случае 1 гигабитной сети покрытие вирусом 4,2 миллиардов адресов заняло бы около 5 часов.

Используя ту же формулу, как и для вируса Code Red и принимая, что в сети 150 уязвимых хостов, получаем:

255*255*255*255/2*150*23,041

Т.е. в среднем проходит 612 секунд между получением доступа вирусом W32.SQLExp к защищенной сети через 100 мегабитную сеть и вторичным заражением. Очевидно, что как только будет заражен другой хост, данный интервал уменьшается вдвое.

Вирус W32.Blaster имеет очень низкую скорость распространения и из-за этого многие подвергали сомнению мнение о глобальной опасности этого вируса. Низкая скорость вируса Blaster особенно очевидна при сравнении со скоростью распространения W32.SQLExp.

Blaster использует способ размножения, заключающийся в выборе адреса близкого к адресу инфицированного хоста. Вирус генерирует случайное число по модулю 20 и если результат больше или равен 12, то происходит сканирование локальных адресов, если меньше 12, то выбирается случайная сеть для начала сканирования. После выбора исходной точки, вирус начинает последовательное сканирование, увеличивая каждый раз IP адрес на единицу. Эта схема работает до перезапуска, после чего снова происходит генерация случайного числа по модулю 20.

В статье Тома Вогта отмечено, что последовательное сканирование чрезвычайно не эффективно при глобальном размножении "червя". Из-за этого вирус Blaster гораздо более эффективен при дискредитации уязвимых хостов в локальной сети.

Как и с вирусом W32.SQLExp, лучшим подходом будет сегментация сети с мобильными хостами, сегментированными в другой внутренней сети. Но в таком случае существует один недостаток - если на одном из серверов, выполняющих Exchange найдется неизвестная уязвимость, то 135 порт будет незащищен и "червь" сможет проникнуть через систему межсетевой защиты.

"Черви" постоянно развиваются, оптимизируя скорости своего распространения. Сегодня существует две разновидности вирусов, потому что "черви" эффективно работающие в глобальном Интернет, обычно очень плохо распространяются в локальной сети. Поэтому, быстрее всего распространяемые Интернет "черви", например Code Red и SQL Slammer, являются гораздо менее эффективными при полной дискредитации локальной сети, чем вирусы отдающие преимущество локальной адресации, что было доказано вирусом W32.Blaster. Теперь возможно создание гибридного вируса, который случайным образом выбирал сеть, а затем последовательно её сканировал.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!


Обзор

Автор
Редакторы

Обратите внимание!

Спонсоры конкурса: Лаборатория биотехнологических исследований 3D Bioprinting Solutions и Студия научной графики, анимации и моделирования Visual Science.

Эволюция и происхождение вирусов

В 2007 году сотрудники биологического факультета МГУ Л. Нефедова и А. Ким описали, как мог появиться один из видов вирусов — ретровирусы. Они провели сравнительный анализ геномов дрозофилы D. melanogaster и ее эндосимбионта (микроорганизма, живущего внутри дрозофилы) — бактерии Wolbachia pipientis. Полученные данные показали, что эндогенные ретровирусы группы gypsy могли произойти от мобильных элементов генома — ретротранспозонов. Причиной этому стало появление у ретротранспозонов одного нового гена — env, — который и превратил их в вирусы. Этот ген позволяет вирусам передаваться горизонтально, от клетки к клетке и от носителя к носителю, чего ретротранспозоны делать не могли. Именно так, как показал анализ, ретровирус gypsy передался из генома дрозофилы ее симбионту — вольбахии [7]. Это открытие упомянуто здесь не случайно. Оно нам понадобится для того, чтобы понять, чем вызваны трудности борьбы с вирусами.

Из давних письменных источников, оставленных историком Фукидидом и знахарем Галеном, нам известно о первых вирусных эпидемиях, возникших в Древней Греции в 430 году до н.э. и в Риме в 166 году. Часть вирусологов предполагает, что в Риме могла произойти первая зафиксированная в источниках эпидемия оспы. Тогда от неизвестного смертоносного вируса по всей Римской империи погибло несколько миллионов человек [8]. И с того времени европейский континент уже регулярно подвергался опустошающим нашествиям всевозможных эпидемий — в первую очередь, чумы, холеры и натуральной оспы. Эпидемии внезапно приходили одна за другой вместе с перемещавшимися на дальние расстояния людьми и опустошали целые города. И так же внезапно прекращались, ничем не проявляя себя сотни лет.

Вирус натуральной оспы стал первым инфекционным носителем, который представлял действительную угрозу для человечества и от которого погибало большое количество людей. Свирепствовавшая в средние века оспа буквально выкашивала целые города, оставляя после себя огромные кладбища погибших. В 2007 году в журнале Национальной академии наук США (PNAS) вышла работа группы американских ученых — И. Дэймона и его коллег, — которым на основе геномного анализа удалось установить предположительное время возникновения вируса натуральной оспы: более 16 тысяч лет назад. Интересно, что в этой же статье ученые недоумевают по поводу своего открытия: как так случилось, что, несмотря на древний возраст вируса, эпидемии оспы не упоминаются в Библии, а также в книгах древних римлян и греков [9]?

Строение вирусов и иммунный ответ организма

Дмитрий Ивановский и Эдвард Дженнер

Рисунок 1. Первооткрыватель вирусов Д.И. Ивановский (1864–1920) (слева) и английский врач Эдвард Дженнер (справа).

Строение ВИЧ

Почти все известные науке вирусы имеют свою специфическую мишень в живом организме — определенный рецептор на поверхности клетки, к которому и прикрепляется вирус. Этот вирусный механизм и предопределяет, какие именно клетки пострадают от инфекции. К примеру, вирус полиомиелита может прикрепляться лишь к нейронам и потому поражает именно их, в то время как вирусы гепатита поражают только клетки печени. Некоторые вирусы — например, вирус гриппа А-типа и риновирус — прикрепляются к рецепторам гликофорин А и ICAM-1, которые характерны для нескольких видов клеток. Вирус иммунодефицита избирает в качестве мишеней целый ряд клеток: в первую очередь, клетки иммунной системы (Т-хелперы, макрофаги), а также эозинофилы, тимоциты, дендритные клетки, астроциты и другие, несущие на своей мембране специфический рецептор СD-4 и CXCR4-корецептор [13–15].

Генетическая организация ВИЧ-1

Одновременно с этим в организме реализуется еще один, молекулярный, защитный механизм: пораженные вирусом клетки начинают производить специальные белки — интерфероны, — о которых многие слышали в связи с гриппозной инфекцией. Существует три основных вида интерферонов. Синтез интерферона-альфа (ИФ-α) стимулируют лейкоциты. Он участвует в борьбе с вирусами и обладает противоопухолевым действием. Интерферон-бета (ИФ-β) производят клетки соединительной ткани, фибробласты. Он обладает таким же действием, как и ИФ-α, только с уклоном в противоопухолевый эффект. Интерферон-гамма (ИФ-γ) синтезируют Т-клетки (Т-хелперы и (СD8+) Т-лимфоциты), что придает ему свойства иммуномодулятора, усиливающего или ослабляющего иммунитет. Как именно интерфероны борются с вирусами? Они могут, в частности, блокировать работу чужеродных нуклеиновых кислот, не давая вирусу возможности реплицироваться (размножаться).

Вирус Эбола

Причины поражений в борьбе с ВИЧ

Тем не менее нельзя сказать, что ничего не делается в борьбе с ВИЧ и нет никаких подвижек в этом вопросе. Сегодня уже определены перспективные направления в исследованиях, главные из которых: использование антисмысловых молекул (антисмысловых РНК), РНК-интерференция, аптамерная и химерная технологии [12]. Но пока эти антивирусные методы — дело научных институтов, а не широкой клинической практики*. И потому более миллиона человек, по официальным данным ВОЗ, погибают ежегодно от причин, связанных с ВИЧ и СПИДом.

Схема развития феномена ADE

Подобный вирусный механизм характерен не только для ВИЧ. Он описан и при инфицировании некоторыми другими опасными вирусами: такими, как вирусы Денге и Эбола. Но при ВИЧ антителозависимое усиление инфекции сопровождается еще несколькими факторами, делая его опасным и почти неуязвимым. Так, в 1991 году американские клеточные биологи из Мэриленда (Дж. Гудсмит с коллегами), изучая иммунный ответ на ВИЧ-вакцину, обнаружили так называемый феномен антигенного импринтинга [23]. Он был описан еще в далеком 1953 году при изучении вируса гриппа. Оказалось, что иммунная система запоминает самый первый вариант вируса ВИЧ и вырабатывает к нему специфические антитела. Когда вирус видоизменяется в результате точечных мутаций, а это происходит часто и быстро, иммунная система почему-то не реагирует на эти изменения, продолжая производить антитела к самому первому варианту вируса. Именно этот феномен, как считает ряд ученых, стоит препятствием перед созданием эффективной вакцины против ВИЧ.

Макрофаг, инфицированный ВИЧ-1

Открытие биологов из МГУ — Нефёдовой и Кима, — о котором упоминалось в самом начале, также говорит в пользу этой, эволюционной, версии.

Мембрана макрофага и ВИЧ

Сегодня не только ВИЧ представляет опасность для человечества, хотя он, конечно, самый главный наш вирусный враг. Так сложилось, что СМИ уделяют внимание, в основном, молниеносным инфекциям, вроде атипичной пневмонии или МЕRS, которыми быстро заражается сравнительно большое количество людей (и немало гибнет). Из-за этого в тени остаются медленно текущие инфекции, которые сегодня гораздо опаснее и коварнее коронавирусов* и даже вируса Эбола. К примеру, мало кто знает о мировой эпидемии гепатита С, вирус которого был открыт в 1989 году**. А ведь по всему миру сейчас насчитывается 150 млн человек — носителей вируса гепатита С! И, по данным ВОЗ, каждый год от этой инфекции умирает 350-500 тысяч человек [33]. Для сравнения — от лихорадки Эбола в 2014-2015 гг. (на состояние по июнь 2015 г.) погибли 11 184 человека [34].

* — Коронавирусы — РНК-содержащие вирусы, поверхность которых покрыта булавовидными отростками, придающими им форму короны. Коронавирусы поражают альвеолярный эпителий (выстилку легочных альвеол), повышая проницаемость клеток, что приводит к нарушению водно-электролитного баланса и развитию пневмонии.

Воссозданный вирус H1N1

Рисунок 8. Электронная микрофотография воссозданного вируса H1N1, вызвавшего эпидемию в 1918 г. Рисунок с сайта phil.cdc.gov.

Почему же вдруг сложилась такая ситуация, что буквально каждый год появляются новые, всё более опасные формы вирусов? По мнению ученых, главные причины — это сомкнутость популяции, когда происходит тесный контакт людей при их большом количестве, и снижение иммунитета вследствие загрязнения среды обитания и стрессов. Научный и технический прогресс создал такие возможности и средства передвижения, что носитель опасной инфекции уже через несколько суток может добраться с одного континента на другой, преодолев тысячи километров.

Читайте также: