Типовые структура и поведение программы-червяТипичный современный червь представляет собой автономную программу, выполняющуюся в 32- и 64-разрядных версиях Windows. Он не заражает никаких других программ, поэтому требование компактности кода для него не слишком актуально. В большинстве случаев он даже пишется на каком-нибудь языке высокого уровня — на C, Delphi, Visual Basic и т. п. Чтобы затруднить работу вирусологу, зловредная программа частенько обрабатывается каким-нибудь внешним упаковщиком или шифровщиком типа AsPack, AsProtect, UPX, PECompact, PE-Crypt, tElock, Armadillo и т. п., а то и несколькими сразу.

Обычно программа-червь не имеет окна и представляет собой постоянно находящийся в памяти процесс. Важной особенностью большинства червей является их многопоточность: зловредная программа оформляется в виде нескольких зацикленных потоков, каждый из которых непрерывно выполняет определенную операцию. Основных операций две: «закрепление» на компьютере, чтобы обеспечить себе автозапуск при каждой перезагрузке;

Последняя группа операций характерна для так называемых «зомбированных» машин, входящих в состав «ботнета» — группы зараженных машин, совместно выполняющих какие-либо не предусмотренные хозяевами, но необходимые злоумышленникам действия. Многопоточность червя означает, что отдельные операции выполняются несколькими потоками, например один из них рассылает файл червя по машинам локальной сети, другой делает то же самое средствами электронной почты, третий пытается подобрать пароль к хосту и т. п.

Еще интересные статьи :

Типовые структура и поведение программы-червя
Типовые структура и поведение программы-червя
Типовые структура и поведение программы-червя
Типовые структура и поведение программы-червя