W32.Downadup: развитие сетевых технологий
Популярный сетевой червь Downadup (или Net-Worm.Win32.Kido, а также Conficker), между прочим, на практике демонстрирует разнообразие своего сетевого инструментария.
Например, как пишут в блоге Symantec, процедура сканирования доступных машин на предмет заражения и передачи обновлений (через механизм P2P) оценивает ширину канала в Интернет, доступную заражённому компьютеру, и согласно этой оценке планирует свою активность по распространению и сканированию. Понятно, что это делается для того, чтобы меньше беспокоить админов локальных сетей и (даже более важно) админов интернет-провайдеров, дабы они не очень торопились принимать меры.
Кроме того, механизм сканирования сетей содержит “чёрный список” IP-адресов, принадлежащих компаниям, связанным с обеспечением компьютерной безопасности, – по этим адресам червь с попытками заражения не обращается.
Самое интересное, что W32.Downadup/Net-Worm.Win32.Kido ещё и умеет анализировать сетевую инфраструктуру. Алгоритм заражения, включающий несколько этапов, требует, чтобы заражаемая машина инициировала соединение через Интернет с заражающей и скачала к себе основной код вируса. Понятно, что брандмауэры, установленные в модемах и маршрутизаторах, обычно противятся такой активности локальных машин. Более того, заражённые машины вероятно располагаются за NATом. Поэтому код Downadup предварительно обнаруживает шлюзы в локальной сети, проверяет их настройки (всё через UPnP), организует себе такой канал, который шлюз будет пропускать в обратном направлении (из внешней сети вовнутрь) и уже с использованием этого канала заражает другие машины.
Если бы такой процедуры не было, то и заметного распространения в современной инфраструктуре червь не получил бы. Но решение задач автоматизации настройки сетевых соединений в очередной раз пришлось ко двору зловредным программам.
Адрес записки: https://dxdt.ru/2009/02/01/2045/
Похожие записки:
- Экспериментальный сервер TLS 1.3 - отключение
- Microsoft и DNS-over-HTTPS
- Поддержка STARTTLS сервисом audit.statdom.ru
- DNS-over-TLS на авторитативных серверах DNS
- Тест SSLLabs и X25519Kyber768
- Смартфон-шпион: восемь лет спустя
- Статья Cloudflare про ECH/ESNI
- Реплика: атака посредника в TLS и проблема доверия сертификатам
- "Краткий пересказ" новой возможности "Яндекс.Браузера"
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Нормализация символов Unicode и доменные имена