2.2 Черви
В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".
Червь (сетевой червь)- это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.
Жизненный цикл червей состоит из таких стадий:
Проникновение в систему
Активация
Поиск объектов для заражения
Подготовка копий
Распространение копий
В зависимости от способа проникновения в систему черви делятся на типы:
Сетевые черви используют для распространения локальные сети и Интернет
Почтовые черви - распространяются с помощью почтовых программ
IM-черви используют системы мгновенного обмена сообщениями
IRC-черви распространяются по каналам IRC
P2P-черви - при помощи пиринговых файлообменных сетей
После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует. На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.
Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).
Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:
- по среде обитания вируса
- по способу заражения среды обитания
- по деструктивным возможностям
- по особенностям алгоритма вируса.
Более подробную классификацию внутри этих групп можно представить в таблице 2:
Таблица 2 - Классификация компьютерных вирусов
Параметры классификации |
Тип вируса |
Описание |
Среда обитания |
сетевые |
распространяются по компьютерной сети |
файловые |
внедряются в программные файлы | |
загрузочные |
внедряются в загрузочный сектор диска (Boot-сектор) | |
Способы заражения |
резидентные |
находятся в памяти, активны до выключения компьютера |
нерезидентные |
не заражают память, являются активными ограниченное время | |
безвредные |
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения | |
Деструктивные возможности |
неопасные |
уменьшают свободную память, создают звуковые, графические и прочие эффекты |
опасные |
могут привести к серьезным сбоям в работе | |
очень опасные |
могут привести к потере программ или системных данных | |
вирусы-"спутники" |
вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением, СОМ | |
вирусы-"черви" |
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса | |
Особенности алгоритма вируса |
"паразитические" |
изменяют содержимое дисковых секторов или файлов |
"студенческие" |
примитив, содержат большое количество ошибок | |
«стелс»-вирусы (невидимки) |
перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки | |
вирусы-призраки |
не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано | |
макровирусы |
пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot |