כל הזכויות שמורות לטל בן שושן – Shushan.co.il
הסבר על Viruses, Spyware,Trojans, Ransomware,Malware,Rootkits וירוסים ורוגלות
במאמר זה אסביר על סוגים של Malware ומה כל אחד עושה:
Virus – WORM
הוא קוד\תוכנה שהמשתמש התקין או הפעיל, ווירוס יכול להגיע מתוכנות שהורדתם ברשת ומטרתו היא להתפשט ברשת בצורה מהירה לשאר המחשבים.
חלקם הגדול של ווירוסים הם למעשה, וירוס תולעת, בכל שהוא מתפשט לשאר המחשבים ברשת.
ווירוס לרוב יוצר נזק למערכת ההפעלה וגורם להפרעה בפעולתה על מנת להבין יותר טוב מהו ווירוס ניקח כמה דוגמאות:
Stuxnet
Stuxnet – הוא ווירוס שנחשב ל “Cyber Warfware” (הוא מורכב לא רק מווירוס כשלעצמו הוא תולעת,Exploit ועוד) הוא תקף בשנת 2011 את הכור הגרעיני בננתז ומטרתו הייתה לפגוע במערכת בקרה SCADA (תעשייתי) של חברת סימנס.
מערכת הבקרה של סימנס שלטה למעשה במהירות הסיבוב של הסליל בצנטריפוגה, כל סטייה במהירות (נמוכה או גבוהה מידי) תגרום להרס של הצנטריפוגה, הווירוס הזה נחשב לכל כך יעיל בכך שהוא שילב 4 התקפות (אקספלויט) מסוג Zero Day) ובנוסף הצליח להסתיר ממערכות ה SCADA שהכל לא תקין בכך שהוא מציג, מצג שווא שהכל תקין ועובד.
Sasser \ Blaster
Blaster – הוא ווירוס\תולעת שהיה מדביק מחשבים מסוג XP \ 2000 והיא הופצה בשנת 2003 רוב משתמשי המחשב בשנים אלו זוכרים את ההודעה שהייתה קופצת ומתריעה שהמחשב יכבה בתוך 59 שניות, תולעת זו הופצה על ידי חולשה (אקספלויוט) בשירות ה RPC של המחשב
Sasser – גם הוא ווירוס מסוג תולעת שהתפרץ בשנת 2004 והשתמש בחולשה בשירות השיתוף פורט 445 ולאחר מכן ניצל את שירות LSASS ה Local Security Authority Subsystem Service שאחראי על מדיניות האבטחה של המחשב (התחברות, סיסמאות וכו’)
Conficker
Conficker – התגלה בשנת 2008 והדביק מיליוני מחשבים, הנזק המוערך של הווירוס נאמד בכ- 10 מילארד דולר, הכוונה להערכת הנזק היא לצורך של אנשי מחשוב להסיר את הנוזקה ולהחזיר את המערכות הארגוניות לפעולה ובכך שפגע מההתחלה יצר בעיות בבנקים, חברות אשראי, עסקים, ממשלה ועוד.
מטרתו של Conficker היה להפוך את המחשבים בהם פגע ל “זומבים” Botnets – בפעולה זו יכלו לשלוט על המחשבים מרחוק ולבצע התקפות מסוג DDOS.
הווירוס המתין לשעת השין ה1 לאפריל 2009 ובאותו רגע (על פ”י הערכות) ינסה לפנות לשרתי C&C ויתן לתוקפים שליטה על המחשבים.
הנזק של הווירוס הוא ביטול שירותי מיקרוסופט כמו מערכת העדכונים, מרכז האבטחה, הפיירוואל של מיקרוסופט.
MyDoom
ידוע בכינוי W32.MyDoom@mm הוא ההווירוס שהופץ הכי מהר באמצעות שירותי מייל (נכון להיום) לא ידוע מי כתב אותו וחשבו שהוא נכתב תמורת כסף, מטרתו של הווירוס הייתה לבצע DDOS על חברת sco . com.
CodeRed
הוא ווירוס משנת 2001 ומטרתו הייתה לתקוף שרתים שמותקן בהם שירות ה Web של מייקרוסופט ה IIS, ברגע שהיה רץ ברקע ובקושי רב לזהות אותו היה משכפל עצמו ללא הפסקה ובכך גורם לניפוח של הדיסק הקשיח, נוסף על כך פעולות השכפול גרמו לזיכרון ולמעבד להגיע ל 100 אחוז ובכך לזלול את משאבי המערכת.
Spayware
הוא סוג של רוגלה, מטרתו של Spayware הוא להאזין \ לתפוס הקשות מקלדת של המשתמש או קול ואפילו ווידאו מתוך מצלמת הרשת.
המטרה היותר רצינית היא לגלות להיכן המשתמש גולש, הפצת פרסומות על המחשב ובכך להרוויח כסף מפרסומות.
Trojans
סוס טרויאני הוא רוגלה שמטרתה להראות כקובץ תמים אך הקובץ התמים הזה מכיל קוד זדוני, הקוד הזדוני יכול להיות Cryptolocker או Payload (ע”ע מאמרים באתר על Payload) מאמר זה שבו הסברתי כיצד להכניס ל Putty קוד זדוני (Payload) ובכך לתת לתוקף שליטה מלאה עליו, הוא למעשה סוס טרויאני , השם סוס טרויאני מגיע מהמיתולוגיה היוונית בה אודיסאוס השתמש בסוס ענק מימדים שאותו נתן במתנה לעיר טרויה ולמעשה תושבי טרויה לא חשדו שבסוס נמצאים חיילים, הדוגמה הזו מסבירה מדוע תוקפים משתמשים קבצים תמימים כמו Putty ומכניסים קוד זדוני ובכך גורמים למשתמש להפעיל את התוכנה.
הקוד הזדוני לרוב יכיל RAT קיצור של Remote Access Tools בכך שהקוד הזדוני ברגע שהופעל יתן לתוקף אפשרות להשתלט על המחשב מרחוק.
Rootkits
הוא קוד זדוני שיכול להתחבא בשירותי מערכת ההפעלה או בקרנל שלה ובכך לא להתגלות על ידי אנטי ווירוס או כל כלי אחר.
לרוב הוא יעלה לפני מערכת ההפעלה וינטרל את האנטי ווירוס ומערכת האבטחה של המחשב.
BackDoors
דלת אחורית הוא לרוב שירות המכיל קוד זדוני, השירות רץ במחשב בדיוק כמו שאר השירותים ומטרתו היא להשאיר לתוקף “דלת אחורית” כאשר תוקף הצליח לקבל גישה למחשב דרך Payload שהפעיל המשתמש או שקיים במחשב חור אבטחה.
ירצה התוקף להשאיר דלת אחורית שבה יוכל להיכנס מאוחר יותר לאותו מחשב, שכן לא יודע התוקף אם החולשה תישאר.
נוסף על כך השירות הזה נותן לתוקף הרשאות להתקין \ לשנות תוכנות קיימות (עדכוני אבטחה, לכבות את הפיירוואל וכו’) ובכך לאפשר לו “להחליש” את המערכת.
Polymorphic
ווירוס פולימורפיק הוא ווירוס שבזמן הפעלות \ התקנתו משנה את ההתנהגות שלו, זאת אומרת שהוא מסוגל לשנות את הפורט ממנו הוא יוצא (כל פעם כתובת\פורט אחר) הוא משנה את ה Hash שלו, מתקין את עצמו בנתיב בכל פעם ובכך גורם להתחמקות מתכונות האנטי ווירוס