Сетевые черви


Сетевой червь — разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от других типов компьютерных вирусов червь является самостоятельной программой.


Механизмы распространения
Черви могут использовать различные механизмы ("векторы") распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.


Структура
ОЗУ-резидентные черви - могут инфицировать работающую программу и находиться в ОЗУ, не затрагивая при этом жёсткие диски. С помощью перезапуска компьютера, можно избавиться от таких червей (или сбросом ОЗУ). Данный вид червей состоит в основном из "инфекционной" части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ.
Специфика: такие черви не загружаются через загрузчик, как все обычные исполняемые файлы и могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Существуют черви, которые после инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, прописывание соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов, или соответствующих знаниях и навыках. Часто инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и способна "догрузить" по сети, непосредственно само тело червя, в виде отдельного файла. Для этого некоторые черви содержат в инфекционной части простой TFTP-клиент. Тело червя, загружаемое таким способом (обычно отдельный исполняемый файл), теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

Почтовые черви, в большинстве случаев, распространяются как один файл. Обычно пользователь-жертва, при помощи почтового клиента, добровольно скачивает и запускает червя целиком. Поэтому им не нужна отдельная "инфекционная" часть.


Полезная нагрузка
Очень часто черви, даже безо всякой полезной нагрузки, перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, "deface"), заранее запрограммированной DDoS-атаке с компьютеров жертв на отдельный веб-сервер, или Backdoor для удалённого контроля над компьютером-жертвой. Бывают случаи, когда новый вирус эксплуатирует Backdoor, оставленные старым.