Вирусы и черви: Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости.

Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код или часть кода червя проникает на компьютер-жертву и активируется.

Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Например:

Net-Worm.Win32.Vesser.a — Вирус-червь. Распространяется по глобальным сетям, используя про размножения компьютеры зараженные червем I-Worm.Mydoom (версий а и b). Также использует для своего размножения файлообменную сеть Soulseek. Содержит в себе "бэкдор"-процедуру.

Червь сканирует адресное пространство интернета для поиска компьютеров, зараженных Mydoom. IP-адрес выбирается произвольно. Червь пытается подсоединиться к компьютерам по портам 3127, 3128 и 1080, и если удаленный компьютер заражен червем Mydoom - то пересылает туда свою копию.

Открывает на зараженной машине порт 2766 для приема команд. Также соединяется с определенными IRC-каналами и может принимать оттуда команды.