Мережевий черв'як - різновид самовідтворюються комп'ютерних програм, що розповсюджуються в локальних і глобальних комп'ютерних мережах. На відміну від інших типів комп'ютерних вірусів черв'як є самостійною програмою.
механізми поширення
Черви можуть використовувати різні механізми ( "вектори") поширення. Деякі черв'яки вимагають певної дії користувача для поширення (наприклад, відкриття інфікованого повідомлення в клієнті електронної пошти). Інші черви можуть поширюватися автономно, вибираючи і атакуючи комп'ютери в повністю автоматичному режимі. Іноді зустрічаються черв'яки з цілим набором різних векторів поширення, стратегій вибору жертви, і навіть експлойтів під різні операційні системи.
структура
ОЗУ-резидентні хробаки - можуть інфікувати працюючу програму і перебувати в ОЗУ, не зачіпаючи при цьому жорсткі диски. За допомогою перезапуску комп'ютера, можна позбутися від таких хробаків (або скиданням ОЗУ). Даний вид черв'яків складається в основному з "інфекційної" частини: експлойта (шелл-коду) і невеликий корисного навантаження (самого тіла хробака), яка розміщується цілком в ОЗУ.
Специфіка: такі хробаки не завантажуються через завантажувач, як всі звичайні виконувані файли і можуть розраховувати тільки на ті динамічні бібліотеки, які вже були завантажені в пам'ять іншими програмами.
Існують черви, які після інфікування пам'яті зберігають код на жорсткому диску і вживають заходів для подальшого запуску цього коду (наприклад, прописування відповідних ключів в реєстрі Windows). Від таких хробаків можна позбутися тільки за допомогою антивірусу або подібних інструментів, або відповідних знаннях і навичках. Часто інфекційна частина таких хробаків (експлойт, шелл-код) містить невелику корисне навантаження, яка завантажується в ОЗУ і здатна "довантажити" по мережі, безпосередньо саме тіло хробака, у вигляді окремого файлу. Для цього деякі черв'яки містять в інфекційній частини простий TFTP-клієнт. Тіло хробака, завантажувати таким способом (зазвичай окремий виконуваний файл), тепер відповідає за подальше сканування та поширення вже з інфікованої системи, а також може містити більше серйозну, повноцінну корисне навантаження, метою якої може бути, наприклад, нанесення будь-якої шкоди (наприклад , DoS-атаки).
Поштові черв'яки, в більшості випадків, поширюються як один файл. Зазвичай користувач-жертва, за допомогою поштового клієнта, добровільно викачує і запускає хробака цілком. Тому їм не потрібна окрема "інфекційна" частина.
Корисне навантаження
Дуже часто черви, навіть без будь-якої корисного навантаження, перевантажують і тимчасово виводять з ладу мережі лише за рахунок інтенсивного поширення. Типова корисне навантаження може полягати в псуванні файлів на комп'ютері-жертві (в тому числі, зміна веб-сторінок, "deface"), заздалегідь запрограмованої DDoS-атаці з комп'ютерів жертв на окремий веб-сервер, або Backdoor для віддаленого контролю над комп'ютером-жертвою . Бувають випадки, коли новий вірус експлуатує Backdoor, залишені старим.