Жизненный цикл вируса информатика

Сайт СТУДОПЕДИЯ проводит ОПРОС! Прими участие :) - нам важно ваше мнение.

Компьютерные вирусы. Основные определения и классификация.

Учебно-материальное обеспечение

Комплект слайдов по материалам лекции.

Основная часть лекции проводится в стандартной форме, изложение материала сопровождается краткими пояснениями и демонстрацией плакатов или слайдов. Изложение учебного материала по каждому вопросу должно заканчиваться кратким выводом и ответом на неясные вопросы.

В заключительной части лекции делаются выводы по изученному на занятии материалу, производится ответ на неясные вопросы и для контроля усвоения материала проводится опрос отдельных студентов.

Заканчивается занятие доведением литературы для самостоятельной работы по изложенной теме и называется тема следующего занятия.

Компьютерные вирусы теперь способны делать практически все то же, что и на­стоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проникнуть мимо выставленных против них защитных кордо­нов. Проникнув в информационную систему, компьютерный вирус может ограничить­ся безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае информационная система, пораженная вирусом, окажется под полным контролем злоумышленника. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационных систем мо­жет иметь весьма тяжелые последствия, вплоть до человеческих жертв.

В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими свойствами:

1. Способностью к созданию собственных копий, необязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведе­ние).

2. Наличием механизма, обеспечивающего внедрение создаваемых копий в ис­полняемые объекты вычислительной системы.

Следует отметить, что эти свойства являются необходимыми, но не достаточ­ными. Указанные свойства необходимо дополнить свойствами деструктивности и скрытности действий данной вредоносной программы в вычислительной среде.

Классификация компьютерных вирусов

На сегодняшний день известны десятки тысяч различных компьютерных вирусов. Несмотря на такое изобилие число типов вирусов, отличающихся друг от друга меха­низмом распространения и принципом действия, достаточно ограничено. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким ти­пам. Вирусы можно разделить на классы по следующим основным признакам [35,85]:

– операционная система (ОС);

– особенности алгоритма работы;

Основной и наиболее распространенной классификацией компьютерных вирусов является классификация по среде обитания, или, иначе говоря, по типам объектов компьютерной системы, в которые внедряются вирусы (рис. 1). По среде обитания компьютерные вирусы можно разделить на:

Файловые вирусы либо внедряются в выполняемые файлы (наиболее распрост­раненный тип вирусов) различными способами, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой систе­мы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Заг­рузочные вирусы замещают код программы, получающей управление при загрузке системы. В результате при перезагрузке управление передается вирусу. При этом оригинальный boot-сектор обычно переносится в какой либо другой секгор диска. Иногда загрузочные вирусы называют бутовыми вирусами.

Рис. 1. Классификация компьютерных вирусов по среде обитания

Макровирусы заражают макропрограммы и файлы документов современных путем обработки информации, в частности файлы-документы и электронные таблицы популярных редакторов Microsoft Word, Microsoft Excel и др. Для размножения макровирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Вирусы этого типа получают управле­ние при открытии зараженного файла и инфицируют файлы, к которым впослед­ствии идет обращение из соответствующего офисного приложения.

Существует много комбинированных типов компьютерных вирусов, например известен сетевой макровирус, который заражает редактируемые документы, а так­же рассылает свои копии по электронной почте. В качестве другого примера виру­сов комбинированного типа можно указать файлово-загрузочные вирусы, заражаю­щие как файлы, так и загрузочные сектора дисков. Такие вирусы имеют усложненный алгоритм работы и применяют своеобразные методы проникновения в систему.

Другим признаком деления компьютерных вирусов на классы является опера­ционная система, объекты которой подвергаются заражению. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операцион­ных систем - DOS, Windows 95/98, Windows NT/2000 и т.д. Макровирусы зара­жают файлы форматов Word, Excel и других приложений пакета Microsoft Office. На определенные форматы расположения системных данных в загрузочных секто­рах дисков также ориентированы загрузочные вирусы.

Как и у любой программы, у компьютерных вирусов можно выделить две основ­ные стадии жизненного цикла - хранение и исполнение.

Стадия хранения соответствует периоду, когда вирус просто хранится на диске со­вместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного программного обеспечения, так как он не акти­вен и не может контролировать работу операционной системы с целью самозащиты.

Некоторые вирусы на этой стадии используют механизмы защиты своего кода от обнаружения. Наиболее распространенным способом защиты является шифро­вание большей части тела вируса. Его использование совместно с механизмами мутации кода (об этом идет речь ниже) делает невозможным выделение сигнатур – устойчивых характеристических фрагментов кода вирусов.

Стадия исполнения компьютерных вирусов, как правило, включает пять этапов:

1. Загрузка вируса в память.

3. Заражение найденной жертвы.

4. Выполнение деструктивных функций.

5. Передача управления программе-носителю вируса.

Рассмотрим эти этапы подробнее [35, 70].

Загрузка вируса. Загрузка вируса в память осуществляется операционной сис­темой одновременно с загрузкой исполняемого объекта, в который вирус внедрен. Например, если пользователь запустил на исполнение программный файл, содер­жащий вирус, то, очевидно, вирусный код будет загружен в память как часть этого файла. В простейшем случае процесс загрузки вируса представляет собой не что иное как копирование с диска в оперативную память, сопровождаемое иногда на­стройкой адресов, после чего происходит передача управления коду тела вируса. Эти действия выполняются операционной системой, а сам вирус находится в пас­сивном состоянии. В более сложных ситуациях вирус может после получения уп­равления выполнять дополнительные действия, которые необходимы для его фун­кционирования. В связи с этим рассматриваются два аспекта.

– изменение порядка независимых инструкций;

– замену некоторых инструкций на эквивалентные по результату работы;

– замену используемых в инструкциях регистров на другие;

– введение случайным образом зашумляющих инструкций.

Вирусы, использующие подобные механизмы мутации кода, получили название полиморфных вирусов. При совместном использовании механизмов шифрования и мутации внедряемая копия вируса окажется отличной от оригинала, так как одна ее часть будет изменена, а другая окажется зашифрованной на ключе, сгенерированном специально для этой копии вируса. А это существенно осложняет выявление виру­са в вычислительной системе.

Полиморфные вирусы (polymorphic) - это трудно обнаруживаемые вирусы, не име­ющие сигнатур, то есть не содержащие ни одного постоянного участка кода. В боль­шинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм встречается в вирусах всех типов - файловых, загрузочных и макровирусах.

Дополнительные действия, которые выполняют полиморфные вирусы на этапе загрузки, состоят в расшифровании основного тела вируса.

В случае макровирусов наиболее популярным способом является запрет вызо­вов меню просмотра макросов. Одним из первых файловых стелс-вирусов был вирус Frodo, первым загрузочным стелс-вирусом был вирус Brain.

Нередко в вирусах используются различные нестандартные приемы с целью глубже спрятаться в ядре ОС, либо защитить от обнаружения свою резидентную копию, либо затруднить лечение от вируса и т.п.

Второй аспект связан с так называемыми резидентными вирусами. Поскольку вирус и объект, в который он внедрен, являются для операционной системы еди­ным целым, то после загрузки они располагаются, естественно, в едином адресном пространстве. После завершения работы объекта он выгружается из оперативной памяти, при этом одновременно выгружается и вирус, переходя в пассивную ста­дию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вирусоносителя. Эти вирусы по­лучили название резидентных.

Резидентные вирусы при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения опера­ционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Следует отметить, что деление вирусов на резидентные и нерезидентные справедливо в основном для файловых вирусов. Загрузочные вирусы, как и макрови­русы, относятся к резидентным вирусам.

Поиск жертвы. По способу поиска жертвы вирусы можно разделить на два класса.

К первому относятся вирусы, осуществляющие активный поиск с использова­нием функций операционной системы. Примером являются файловые вирусы, использующие механизм поиска исполняемых файлов в текущем каталоге.

Заражение жертвы. В простейшем случае заражение представляет собой само­копирование кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на этом этапе связана с анализом особенностей этого копирования, а так­же способов модификации заражаемых объектов.

Рассмотрим сначала особенности заражения файловыми вирусами.

По способу инфицирования жертвы вирусы можно разделить на два класса.

К первому относятся вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают новый, содержащий тело вируса.

Второй класс составляют вирусы, внедряющиеся непосредственно в файлы-жертвы. Они характеризуются местом внедрения. Возможны следующие варианты.

1. Внедрение в начало файла. Этот способ является наиболее удобным для СОМ-файлов MS-DOS, так как данный формат не предусматривает наличия служеб­ных заголовков. При внедрении данным способом вирусы могут либо произ­водить конкатенацию собственного кода и кода программы-жертвы, либо переписывать начальный фрагмент файла в конец, освобождая место для себя.

2. Внедрение в конец файла. Это наиболее распространенный тип внедрения. Передача управления коду вирусов обеспечивается модификацией первых команд программы (СОМ) или заголовка файла (ЕХЕ).

Для загрузочных вирусов особенности этапа заражения определяются особен­ностями объектов, в которые они внедряются, - загрузочными секторами гибких и жестких дисков и главной загрузочной записью (MBR) жестких дисков. Основной проблемой является ограниченный размер этих объектов. В связи с этим ви­русам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригинальный код инфицированного загрузчика. Существуют различные способы решения этой задачи. Ниже приводится класси­фикация, предложенная Е. Касперским [35, 85]:

1. Используются псевдосбойные сектора. Вирус переносит необходимый код в сво­бодные сектора диска и помечает их как сбойные, защищая тем самым себя и загрузчик от перезаписи.

2. Используются редко применяемые сектора в конце раздела. Вирус переносит необходимый код в эти свободные сектора в конце диска. С точки зрения операционной системы эти сектора выглядят как свободные.

3. Используются зарезервированные области разделов. Вирус переносит необхо­димый код в области диска, зарезервированные под нужды операционной системы, а потому - неиспользуемые.

4. Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции главной загрузочной записи MBR или загрузочного сектора.

Для макровирусов процесс заражения сводится к сохранению вирусного макро­кода в выбранном документе-жертве. Для некоторых систем обработки информа­ции это сделать не совсем просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм. В качестве примера приведем Microsoft Word 6.0. Сохранение макрокода для этой системы возможно только в файлах шаблонов (имеющих по умолчанию расширение .DOT). Поэтому для своего сохранения вирус должен контролировать обработку команды Save as из меню File, которая вызывается всякий раз, когда происходит первое сохране­ние документа на диск. Этот контроль необходим, чтобы в момент сохранения из­менить тип файла-документа (имеющего по умолчанию расширение .DOC) на тип файла-шаблона. В этом случае на диске окажутся и макрокод вируса, и содержи­мое документа.

Помимо простого копирования кода вируса в заражаемый объект на этом этапе могут использоваться более сложные алгоритмы, обеспечивающие защиту вируса на стадии хранения. К числу таких вирусов относятся описанные выше полиморф­ные вирусы.

Выполнение деструктивных функций. Вирусы могут выполнять помимо само­копирования деструктивные функции.

По деструктивным возможностям вирусы можно разделить на безвредные, нео­пасные, опасные и очень опасные [85].

Безвредные вирусы - это вирусы, в которых реализован только механизм само­распространения. Они не наносят вред системе, за исключением расхода свобод­ной памяти на диске в результате своего распространения.

Неопасные вирусы - это вирусы, присутствие которых в системе связано с раз­личными эффектами (звуковыми, видео) и уменьшением свободной памяти на диске, но которые не наносят вред программам и данным.

Опасные вирусы – это вирусы, которые могут привести к серьезным сбоям в работе компьютера. Последствием сбоя может стать разрушение программ и данных.

Очень опасные вирусы – это вирусы, в алгоритм работы которых заведомо зало­жены процедуры, непосредственно приводящие к разрушению программ и данных, а также к стиранию информации, записанной в системных областях памяти и не­обходимой для работы компьютера.

На степень опасности вирусов оказывает существенное влияния та среда, под управлением которой вирусы работают.

Так, вирусы, созданные для работы в MS-DOS, обладают практически неогра­ниченными потенциальными возможностями.

Распространение вирусов под управлением Windows NT/2000 ограничивается развитой системой разграничения доступа.

Возможности макровирусов напрямую определяются возможностями макро­языков, на которых они написаны. В частности, язык Word Basic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.

Дополняя эту классификацию, можно отметить также деление вирусов на нано­сящие вред системе вообще и предназначенные для целенаправленных атак на оп­ределенные объекты.

Передача управления программе-носителю вируса. Здесь следует указать на деление вирусов на разрушающие и неразрушающие.

Разрушающие вирусы не заботятся о том, чтобы при инфицировании программ сохранять их работоспособность, поэтому для них этот этап функционирования от­сутствует.

Для неразрушающих вирусов этот этап связан с восстановлением в памяти про­граммы в том виде, в котором она должна корректно исполняться, и передачей управления программе-носителю вируса.

|	следующая лекция ==>
Лекция №13	|	Вредоносных программ

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Физическая структура компьютерного вируса достаточно проста, поскольку состоит из головы и, возможно, хвоста. Голова вируса — компонента вируса, получающая управление первой. Хвост — это часть вируса, расположенная в коде зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегмен- тированными; вирусы, содержащие голову и хвост, — сегментированными.

Жизненный цикл вируса обычно включает следующие периоды:

• • внедрение;
• • инкубационный период;
• • период репликации (саморазмножение);
• • проявление.

В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на носителях информации.

Принцип работы вируса.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоноси- теля, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

Наиболее существенные признаки компьютерных вирусов позволяют классифицировать последние по четырем критериям.

• • резидентные вирусы — вирусы, которые после активации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам;
• • транзитные вирусы — вирусы, которые выполняются только в момент запуска зараженной программы.

• файловые вирусы — вирусы, заражающие файлы.

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

• — исполняемые файлы;
• — командные файлы;
• — файлы, составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы);
• — файлы с драйверами устройств;
• — файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, с библиотеками динамической компоновки и т.п.;
• • загрузочные (бутовые) вирусы — вирусы, заражающие код, хранящийся в системных областях дисков.

Загрузочные вирусы подразделяются на вирусы, заражающие:

• — системный загрузчик, расположенный в загрузочном секторе логических дисков;
• — внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

• • перезаписывающие вирусы (overwriting);
• • паразитические вирусы (parasitic);
• • вирусы-компаньоны (companion);
• • вирусы-ссылки (.link);
• • вирусы, заражающие объектные модули (OBJ);
• • вирусы, заражающие библиотеки компиляторов (LIB);
• • вирусы, заражающие исходные тексты программ.

Перезаписывающие вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Как результат файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

Паразитические вирусы. К таковым относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting).

Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место.

При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу. Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).

Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.

Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным блоком байтов, при этом вирус записывает свой код вместо такого блока. Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса — в этом случае файл может быть необратимо испорчен.

Вирусы-компаньоны — это вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вредоносных программ состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник.

К вирусам данного типа относятся вирусы, которые при заражении переименовывают файл, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл Notepad.exe переименовывается в Notepad.exd, а вирус записывается под именем Notepad.exe. При запуске управление получает код вируса, который затем запускает оригинальный Notepad, ехе, который был переименован в Notepad.exd.

Существуют и другие типы вирусов-компаньонов, использующих иные оригинальные идеи или особенности операционных систем. Например, path-компаньоны размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке переменной окружения Path и файлы для запуска Windows в первую очередь будут искать именно его (этот каталог). Данным способом собственного запуска пользуются также многие программы- черви и троянские программы.

• • вирусы, не использующие средств маскировки;
• • stealth-вирусы — вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных;
• • вирусы-мутанты (MtE-вирусы) — вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса.

В свою очередь, MtE-вирусы подразделяются на две группы:

• — обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
• — полиморфные вирусы, в разных копиях которых различаются не только зашифрованные, но и их дешифрованные тела.

Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.

Файловый транзитный вирус целиком размещается в исполняемом файле, в связи с чем он активируется только в случае активирования вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса.

В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования, среди которых наиболее распространенным является инфицирование запускаемых программ, а также файлов при их открытии или чтении. Отличительной особенностью последних является инфицирование загрузочного сектора (бут-сектор) носителя данных. Голова бутового вируса всегда находится в бут-секторе, а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора.

Механизм инфицирования, реализуемый бутовыми вирусами, например, при загрузке ОС, таков. При загрузке ОС с инфицированного носителя вирус, в силу своего положения на нем (независимо от того, с CD, флеш-карты или с винчестера производится загрузка), получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерываний таким образом, чтобы прерывания при обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик ОС. Посредством перехвата прерываний бутовые вирусы могут реализовывать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.

Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.

Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Наибольшее число макровирусов функционируют под управлением системы ОС Windows. В то же время известны макровирусы, работающие под управлением и других операционных систем.

• • VBS-вирусы, написанные на языке Visual Basic Script;
• • JS-вирусы, написанные на языке Java Script;
• • ВАТ-вирусы, написанные на языке командного интерпретатора MS-DOS (на ВАТ-языке);
• • PIF-eupyc в формате PIF(Program Information File);
• • WScript-черви, как правило, встроенные в HTML-файлы;
• • РНР-скрипт-вирусы, написанные на языке РНР, либо вирусы, заражающие РНР-файлы;
• • HTML-вирусы, встраиваемые в HTML-страницы;
• • Perl-вирусы, написанные на языке Perl.

Сетевые вирусы наиболее просто реализуют размножение в тех случаях, когда сетевыми протоколами предусмотрен обмен программами. Однако размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса размножения с использованием только стандартных средств электронной почты является репликатор Морриса. Текст репликатора передается от одного компьютера к другому, как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти компьютера-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса. Тем самым вирус получает управление и начинает функционировать на компью- тере-адресате.

Сетевые черви — вредоносные программы, самостоятельно распространяющиеся через локальные и глобальные компьютерные сети. Классификация программ-червей включает:

• • почтовые программы-черви (Email-Worms) — вредоносные программы, использующие для своего распространения электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо веб-сервере;
• • программы-черви, использующие интернет-пейджеры (IM- Worms) — вредоносные программы, использующие для своего распространения рассылку на обнаруженные контакты из контакт-листа интернет-пейджера (программы ICQ, MSN Messenger, Yahoo Messenger, Google Talk, AOL Instant Messenger, Trillian, Miranda, QIP и др.) сообщений, содержащих ссылку на свой файл;
• • программы-черви в IRC-каналах (IRC-Worms) — вредоносные программы, которые распространяются, используя среду IRC каналов СInternet Relayed Chat channels);
• • классические сетевые программы-черви (Net-Worms) — вредоносные программы, использующие для своего распространения уязвимости в операционных системах и прикладном ПО или распространяющиеся с помощью копирования себя на сетевые ресурсы;
• • программы-черви для файлообменных сетей (P2P-Worms) — вредоносные программы, использующие для своего распространения Р2Р-сети (распространяющиеся с помощью программ eMule, eDonkey, Kazzaa, DC++, BitTorrent, Gnutella, FastTrack и др.);
• • вирусные черви — вредоносные программы, которые незаметно перемещаются между узлами вычислительной сети, не нанося никакого вреда до тех пор, пока не доберутся до целевого узла. В нем программа размещается и перестает размножаться.