Одной из разновидностей компьютерных вирусов являются вирусы-"черви". Это вирусы, которые распространяются в компьютерной сети и, так же как и вирусы-"спутники", не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Самым же известным вирусом-"червем" является наделавший много шума в этом году вирус под названием "I-worm.LoveLetter". Рассмотрим принцип действия вирусов-"червей" на его примере. Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook (одна из наиболее популярных почтовых программ на сегодняшний день. Написана известной фирмой Microsoft) и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (поддержкой программ-скриптов) (но в Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000 (это означает, что в более ранних версиях этой программы червь размножаться не будет).

При активизации червь рассылает свои копии по электронной почте, устанавливает себя в систему, выполняет деструктивные действия, скачивает из Интернет и устанавливает в систему троянский файл. Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом (VBS-файл - это файл с программой на языке Visual Basic Script, на которой и написан вирус), который, собственно, и является телом червя. Письмо имеет следующие характеристики:

Тема письма: ILOVEYOU (Я люблю тебя). Сообщение в письме: "kindly check the attached LOVELETTER coming from me". (Будь так добр, прочти любовное письмо от меня, которое прикреплено к этому сообщению).

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

Червь также инсталлирует (устанавливает) себя в систему. Он создает в каталогах Windows файлы со своими копиями. Затем червь записывает ссылки на эти файлы в секции автоматического запуска системного реестра. В результате червь активизируется при каждом перезапуске Windows.

Червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия:

· VBS, VBE: записывает вместо них свою копию.
· JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и записывает в них свою копию.
· JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
· MP2, MP3: создает новый файл и именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".

Поскольку червь распространяется в исходном виде (в виде текстовой программы), его тело может быть легко модифицировано. В результате за одну неделю после появления первой версии червя появилось почти три десятка его модификаций. Большинство из них отличались лишь мелкими исправлениями: измененными оказались заголовок и тело письма, имена VBS-файлов, и т.п. Профилактика от заражения LoveLetter и другими "червями" такого рода крайне проста: не открывать файлы, приложенные к почтовым сообщениям от незнакомых людей, а также от своих знакомых (ведь вирус использует адресную книгу почтовой программы), но со странным содержанием. Во втором случае лучше послать ответное письмо с вопросом, действительно ли Ваш знакомый отправлял Вам какой-то файл.