2.2 Черви

В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".

Червь (сетевой червь)- это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

Жизненный цикл червей состоит из таких стадий:

1. Проникновение в систему

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Распространение копий

В зависимости от способа проникновения в систему черви делятся на типы:

• Сетевые черви используют для распространения локальные сети и Интернет

• Почтовые черви - распространяются с помощью почтовых программ

• IM-черви используют системы мгновенного обмена сообщениями

• IRC-черви распространяются по каналам IRC

• P2P-черви - при помощи пиринговых файлообменных сетей

После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.

Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).

Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:

- по среде обитания вируса

- по способу заражения среды обитания

- по деструктивным возможностям

- по особенностям алгоритма вируса.

Более подробную классификацию внутри этих групп можно представить в таблице 2:

Таблица 2 - Классификация компьютерных вирусов

Параметры классификации	Тип вируса	Описание
Среда обитания	сетевые	распространяются по компьютерной сети
	файловые	внедряются в программные файлы
	загрузочные	внедряются в загрузочный сектор диска (Boot-сектор)
Способы заражения	резидентные	находятся в памяти, активны до выключения компьютера
	нерезидентные	не заражают память, являются активными ограниченное время
	безвредные	практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
Деструктивные возможности	неопасные	уменьшают свободную память, создают звуковые, графические и прочие эффекты
	опасные	могут привести к серьезным сбоям в работе
	очень опасные	могут привести к потере программ или системных данных
	вирусы-"спутники"	вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением, СОМ
	вирусы-"черви"	распространяются по сети, рассылают свои копии, вычисляя сетевые адреса
Особенности алгоритма вируса	"паразитические"	изменяют содержимое дисковых секторов или файлов
	"студенческие"	примитив, содержат большое количество ошибок
	«стелс»-вирусы (невидимки)	перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
	вирусы-призраки	не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
	макровирусы	пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot