Файловые вирусы, классификация, алгоритм работы файлового вируса

Файловые вирусы, классификация, файловые черви

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.

По способу заражения файлов вирусы делятся на:

- overwriting

-parasitic

-компаньон вирусы (companion)

-link

-вирусы-черви

-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)

 

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов(компаньон-вирусы не изменяют содержимое изменяемых файлов, а создают файл-двойник), но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.

Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Файловые вирусы, классификация, OBJ-, LIB- вирусы и вирусы в исходных текстах

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.

По способу заражения файлов вирусы делятся на:

- overwriting

-parasitic

-компаньон вирусы (companion)

-link

-вирусы-черви

-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIВ-файлы, записывают в них свой код в формате объектного модуля или библиотеки.

Зараженный файл при этом не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится СОМ- или ЕХЕ-файл, получаемый в процессе компоновки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором (компоновка) получается работоспособный вирус.

 

Файловые вирусы, классификация, алгоритм работы файлового вируса

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.

По способу заражения файлов вирусы делятся на:

- overwriting

-parasitic

-компаньон вирусы (companion)

-link

-вирусы-черви

-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)

Файловый вирус выполняет следущую последовательность действий:

• резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
• выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.;
• возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). Компаньон-вирусы запускают на выполнение своего "хозяина", вирусы-черви и overwriting-вирусы возвращают управление DOS.